개인정보보호법과 개인정보란 무엇인가? 변호사가 설명합니다
2015년에 개정되어(2017년부터 시행) ‘개인정보 보호법'(정확히는 ‘개인정보의 보호에 관한 법률’)은 기업 활동에서 개인정보 문제를 고려할 때 중요한 법률이며, 개인정보 취급 사업자가 부담하는 법적 의무를 명확히 하는 법률입니다. 개인정보 취급 사업자에 대해서는, 2015년(헤이세이 27년)까지는 보유하는 개인정보가 5000명을 초과하는 경우에만 해당되었기 때문에, 소규모 사업자와 같이 개인정보 취급 사업자가 아닌 기업도 많았습니다. 그러나 2015년 개정 후에는 이 조건이 사라져서 거의 모든 기업이 개인정보 취급 사업자가 되었고, 소규모 사업주에게도 피할 수 없는 법률이 되었습니다. 통신판매나 메일마가, DM 발행이나 실제 매장용 포인트 카드 등을 위해서는 고객의 성명이나 이메일 주소와 같은 개인정보를 취급해야 하므로, 개인정보 보호법의 기본을 알고 있어야 합니다.
개인정보보호법의 목적과 정의
개인정보보호법이 구체적으로 어떤 법률인지 살펴보겠습니다. 먼저 제1조에서는 이 법률의 목적이 명확하게 제시되어 있습니다.
개인정보보호법 제1조
이 법은 고도 정보통신사회의 발전에 따라 개인정보의 이용이 크게 확대되고 있는 것을 감안하여, 개인정보의 적절한 처리에 관한 기본원칙과 정부의 기본정책 수립 등 개인정보 보호에 관한 기본적인 사항을 규정하고, 국가와 지방공공단체의 책임 등을 명확히 하며, 개인정보를 처리하는 사업자가 준수해야 할 의무 등을 규정함으로써, 개인정보의 적절하고 효과적인 활용이 새로운 산업의 창출과 활기찬 경제사회 및 풍요로운 국민생활의 실현에 이바지함과 동시에, 개인의 권리와 이익을 보호하는 것을 목적으로 한다.
라고 되어 있습니다.
제2조에서는 개인정보, 개인데이터, 보유개인데이터가 정의되어 있습니다(제2조 1항, 4항, 5항).
개인정보보호법에서 말하는 ‘개인정보’란, ‘생존하는 개인에 관한 정보’로서, ‘해당 정보에 포함된 성명, 생년월일 등의 기재’에 의해 ‘특정 개인을 식별할 수 있는 것(다른 정보와 쉽게 대조할 수 있어 그에 따라 특정 개인을 식별할 수 있게 되는 것을 포함한다.)’을 말합니다. ‘개인데이터’란, 위의 개인정보를 컴퓨터로 데이터베이스화한 것이며, 그 중 사업자가 6개월 이상 보유하고 있는 것이 ‘보유개인데이터’입니다.
개인정보는 데이터베이스화되어 있는지 여부에 따라 그 보호의 필요성이 크게 달라집니다. 개인데이터는 데이터베이스화되어 쉽게 검색 등이 가능하도록 체계적으로 구성된 개인정보로서 그 권리 침해 가능성이 높아지므로, 일반적인 개인정보보다 강력한 보호가 주어집니다.
더욱 강력한 보호를 받는 것이 보유개인데이터로, 이는 개인정보 처리사업자가 공개, 내용의 정정, 추가 또는 삭제, 이용의 중지, 삭제 및 제3자에 대한 제공의 중지를 할 수 있는 권한을 가진 개인데이터입니다(제2조 7항). 보유개인데이터에 대해서는, 본인이 자신의 정보에 적절하게 관여할 수 있도록 하는 요구를 고려한 공개, 정정, 이용 중지 등의 요청이 인정되고 있습니다(이하 설명).
개인정보 처리에 관한 규율
개인정보가 무분별하게 이용되지 않도록 하기 위해서는, 적절한 처리에 관한 규칙으로서, 개인정보를 어떠한 목적으로 이용할 것인지를 명확하게 식별한 후, 그 처리를 해당 목적의 달성에 필요한 범위 내로 제한해야 합니다.
따라서, 개인정보 처리 사업자는,
- 개인정보를 처리하는 데 있어서, 이용 목적을 가능한 한 구체적으로 식별해야 한다(제15조 1항)
- 이용 목적의 달성에 필요한 범위를 초과하여 개인정보를 처리해서는 안 된다(제16조 1항)
- 거짓이나 기타 부정한 수단으로 개인정보를 획득해서는 안 된다(제17조 1항)
- 개인정보를 획득한 경우, 이용 목적을 본인에게 통지하거나 공개해야 한다(제18조)
라고 규정되어 있습니다. 개인정보보호법은, 사업주가 보유하는 개인정보에 대해, 미리 식별하고 공개한 목적에 따라 이용하도록 요구하고 있습니다. 다시 말해, “개인정보를 어떻게 사용해도 좋지만, 목적을 식별하고 공개 등을 해두어야 한다”는 것이 필요합니다. 예를 들어, “위탁자의 속성에 맞춘 광고를 표시하기 위해 개인정보를 이용하는” 것 자체는 불법이 아니지만, 그 이용 목적을 미리 공개해두어야 한다는 것입니다.
공개 방법은 특별히 지정되어 있지 않지만, “개인정보 보호정책”, “개인정보 보호 방침” 등의 형식으로 이를 수행하는 것이 일반적입니다.
한편, 소위 민감 정보인 주의 필요 개인정보에 대해서는, 일반적인 개인정보보다 더 엄격하게, 원칙적으로 본인의 동의 없는 획득이 금지되어 있습니다(제17조 2항).
주의 필요 개인정보란,
제2조 3항
이 법에서 “주의 필요 개인정보”란, 본인의 인종, 신조, 사회적 신분, 병력, 범죄 경력, 범죄로 인해 피해를 입은 사실 등 본인에 대한 부당한 차별, 편견 등의 불이익이 발생하지 않도록 그 처리에 특별한 주의를 요하는 것으로서 정부령으로 정하는 기재 등이 포함된 개인정보를 말한다.
라고 되어 있으며, 또한, 장애·건강검진 등의 결과·의사 등에 의한 지도·진료·조제 등·형사 절차가 진행된 사실·청소년 보호 사건에 관한 절차가 진행된 사실도 포함됩니다.
일정한 예외 사유가 없는 한, 원칙적으로 주의 필요 개인정보를 본인의 동의 없이 ‘획득’하는 것조차 할 수 없는 엄격한 규제가 부과되어 있는 것은, 주의 필요 개인정보가 획득의 필요성이 별로 고려되지 않는 경우에도 획득되고, 처리되는 것으로 인해, 차별이나 편견을 낳을 수 있는 정보이기 때문으로 생각됩니다.
관리 및 감독에 관한 규율
개인 정보가 유출되거나, 변조되는 상황을 많은 사람들이 우려하고 불안해하고 있습니다. 데이터베이스화된 개인 데이터에 대해서는, 고객 정보의 대량 유출 등, 사회 문제를 일으키는 상황도 많이 발생하고 있기 때문에, 더욱 그렇습니다. 따라서, 개인 정보 취급 사업자는, 개인 데이터의 안전 관리를 위한 필요하고 적절한 조치(안전 관리 조치)를 취하는 의무를 부담하고 있습니다(제20조).
안전 관리 의무 위반
실제로, 개인 정보가 인터넷 등에서 유출·유출된 사례에서는, 대부분의 경우 안전 관리 의무 위반이 인정되고 있으며, 중소 규모 사업자에 대해서도 그 특성을 고려한 안전 관리 조치의 내용이 ‘개인 정보 보호에 관한 법률에 대한 가이드라인(통則편)'(개인 정보 보호 위원회)에 명시되어 있는 것으로부터, 이 가이드라인에 준수한 대응을 취하는 것은, 개인 정보 보호법 제20조를 준수하는 것뿐만 아니라, 인터넷 등을 포함한 유출 사례에 의한 프라이버시 침해를 이유로 한 불법 행위 책임을 물음으로부터 상황을 회피하는 것도 중요합니다.
그러나, 제도나 시스템을 어떻게 구축하더라도, 그 적정한 운용은 결국 사람에게 맡겨져야 하므로, ‘개인 정보 취급 사업자는, 그 직원에게 개인 데이터를 취급하게 할 때에는, 해당 개인 데이터의 안전 관리가 도모되도록, 해당 직원에 대한 필요하고 적절한 감독을 수행해야 한다'(제21조)고 되어 있습니다.
https://monolith.law/corporate/trends-in-personal-information-leakage-and-loss-accidents-in-2019[ja]
또한, 직원에 의한 고객 데이터의 판매나 반출 등은, 그 직원 자신이 불법 행위 책임(민법 제709조)을 부담하는 것뿐만 아니라, 개인 정보 취급 사업자 자신도 위탁자 책임을 부담할 가능성이 있으므로(민법 제715조), 주의가 필요합니다.
‘제3자 제공’과 ‘위탁’
개인 정보 보호법에서는, 미리 공표한 목적을 위한 것이라고 해도, 고객의 개인 정보를 ‘제3자’에게 제공하는 것은, 동의가 없는 한 원칙적으로 금지되어 있습니다. 그러나, 이 규칙을 추진하면, ‘고객에 관한 데이터베이스를 렌탈 서버 등에 두는 것도 불법’이 됩니다. 렌탈 서버는 사업자에게 ‘제3자’이기 때문입니다.
그러나, ‘제3자 제공’ 중에서, ‘위탁’은 예외적으로 허용되어 있으며, 그 정보를 이용하지 않는 사람에게의 ‘위탁’이라면 허용됩니다. 예를 들어, 렌탈 서버는 단지 정보를 보관하는 것뿐이며, 이용하지 않습니다. 이러한, 제3자에게 개인 정보의 취급을 위탁하는 것은 자주 이루어지고 있지만, 위탁받은 자가 부적절한 취급을 하거나, 계층적 위탁을 반복함으로써 책임의 소재가 불명확해지는 등의 상황을 방지하기 위해, ‘개인 정보 취급 사업자는, 개인 데이터의 취급의 전부 또는 일부를 위탁하는 경우에는, 그 취급을 위탁받은 개인 데이터의 안전 관리가 도모되도록, 위탁을 받은 자에 대한 필요하고 적절한 감독을 수행해야 한다'(제22조)고 되어 있습니다.
본인 참여에 의한 개인정보 취급의 적정화
개인정보보호법은 본인 참여에 의한 개인정보 취급의 적정화를 위해, 일정한 요건에서 본인이 개인정보 취급 사업자에게 자신에 관한 보유 개인 데이터에 대한 공개(제28조), 정정·추가·삭제(제29조), 이용 중지 등(제30조)을 요구할 수 있음을 인정하고 있습니다. 이러한 본인 참여는 민법상의 청구권임이 명확하게 되어 있으며, 청구를 했음에도 불구하고 개인정보 취급 사업자가 이에 응하지 않으면 법원을 통해 권리를 실현할 수 있습니다.
개인정보 취급 사업자는 정보의 본인으로부터의 요구가 있으면, 보유 개인 데이터를 공개해야 하며, 내용에 오류가 있는 경우에는 정정 등에 응해야 하며, 목적 외 이용 등의 법률상의 의무에 위반하는 취급이나, 부적절한 취득 방법, 본인의 동의 없이 제3자에게 제공하고 있는 경우에는, 정보의 이용을 중지해야 한다고 되어 있습니다. 위와 같이, 개인정보보호법은, 개인정보를 취급하는 사업자에게 다양한 의무를 부과함으로써, 국민의 권리를 보호하려는 법률입니다.
개인정보 유출에 대한 벌칙
일본의 ‘개인정보 보호법’에는, 사업자가 개인정보를 유출했을 경우의 벌칙이 정해져 있습니다.
사업자가 ‘개인정보 보호법’을 위반하고 정보 유출을 일으킨 경우, 먼저 국가로부터 ‘위반 행위의 중단 및 기타 위반을 바로잡기 위한 필요한 조치를 취할 것’을 권고받게 됩니다(제42조). 이에도 위반한 경우에는, 위반한 직원에 대해 ‘6개월 이하의 징역 또는 30만 엔 이하의 벌금’이 부과될 수 있습니다(제84조), 그리고 그 직원을 고용하고 있는 회사에 대해서도 ’30만 엔 이하의 벌금’이 부과될 수 있습니다(제85조). 또한, 부정한 이익을 추구하는 목적으로 제공하거나 도용했을 때는 권고 없이 ‘1년 이하의 징역 또는 50만 엔 이하의 벌금에 처한다'(제83조)라고 되어 있습니다.
요약
개인정보보호법(Japanese Personal Information Protection Law)은 개인 정보를 취급하는 사업자에게 적절하게 개인 정보를 처리하고, 안전 관리를 위해 필요하고 적절한 조치를 취하도록 요구하는 법률입니다. 이는 거의 모든 기업에게 피할 수 없는 중요한 법률입니다.