개인정보보호법을 고려한 프라이버시 정책 작성 시의 주요 포인트는?
최근 개인정보 보호에 대한 사회적 관심이 높아지고 있습니다. 개인정보를 다루지 않는 사업자는 거의 없다고 해도 과언이 아니며, 많은 기업이나 개인 사업자에게 개인정보의 취급은 매우 민간함 문제입니다. 웹사이트를 운영하는 기업들은 사이트 내에 개인정보처리방침을 게시하는 경우가 많습니다. 개인정보처리방침이란, ‘일본 개인정보보호법(Japanese Personal Information Protection Act)’에 따라 해당 사업자의 개인정보 취급 지침을 공개하는 것입니다. 개인정보처리방침을 적절하게 수립하기 위해서는 개인정보보호법에 대한 이해가 필수적입니다. 따라서, 개인정보처리방침을 작성할 때의 체크 포인트를 설명하겠습니다. 개인정보보호법은 2015년(헤이세이 27년)에 법 개정이 있었고, 2017년 5월 30일(헤이세이 29년)에 개정법이 시행되었습니다. 특히, 개인정보의 제3자 제공에 관한 중요한 개정이 있었으므로, 그 부분에 대해서도 함께 설명하겠습니다.
개인정보 보호정책이란?
기업의 웹사이트에는 개인정보 보호정책이 게시되어 있는 경우가 대부분입니다. ‘개인정보 보호정책’이라는 이름으로 불리기도 하지만, 기본적으로는 같은 것을 의미합니다. 개인정보 보호정책은 해당 사업자의 개인정보 처리에 대한 기본적인 태도를 보여주는 것이며, 동시에 ‘일본 개인정보 보호법’에서 공개를 요구하는 사항을 표시하기 위한 것입니다. 따라서, ‘일본 개인정보 보호법’에서 공개를 요구하는 다음의 사항을 포함하는 것이 최소한으로 요구됩니다.
- 개인정보의 이용 목적
- 개인정보 처리 사업자의 성명 또는 명칭
- 본인으로부터의 이용 목적의 통지, 공개, 정정, 이용 중지 등의 요구에 응하는 절차
- 불만 제출처
이 외에도, 그룹 회사 내에서 개인정보를 공유하는 공동이용의 경우나, 후추 설명할 익명가공정보를 다루는 경우 등 법률상 정해진 특정 운영을 하는 각각의 경우에 대해 요구되는 사항이 정해져 있습니다.
개인정보 보호정책을 작성해야 하는 사업자
2017년(헤이세이 29년) 시행된 개정법 이전에는, ‘일본 개인정보 보호법’의 적용대상은 5000건 이상의 개인정보를 보유하고 있는 사업자로 제한되어 있었습니다. 이로인해 소규모 사업자나 BtoB 비즈니스를 주로 하는 사업자 중에는 개인정보 보호정책을 작성할 필요가 없는 사업자도 상당수 있었습니다. 그러나, 2017년 시행된 개정법에 따라, 개인정보의 보유 건수에 관계없이 모든 사업자에게 ‘일본 개인정보 보호법’이 적용되었습니다. 이 결과, 개인정보 보호정책에 대해서도 기본적으로는 모든 사업자가 작성하게 될 것으로 보입니다. 또한, 개인정보 보호정책을 작성하지 않은 경우에도, 개인정보를 획득할 때마다 ‘일본 개인정보 보호법’에서 공표를 요구하는 사항들을 당사자에게 알리는 방법으로 대체할 수 있습니다. 그러나, 이는 번거로우므로 일반적으로는 개인정보 보호정책을 작성하게 됩니다.
개인정보 보호정책의 체크포인트
개인정보의 정의
제〇조
개인정보란 생존하는 개인에 관한 정보로서, 해당 정보에 포함된 성명, 생년월일 등의 기재 등으로 특정 개인을 식별할 수 있는 것(다른 정보와 쉽게 대조할 수 있어, 그에 따라 특정 개인을 식별할 수 있게 되는 것을 포함)을 말합니다.
개인정보의 정의에 대해서는 ‘일본 개인정보보호법’에 정해진 대로 기재하면 충분합니다. 일반적으로는, 조항 예시처럼 성명이나 생년월일 등의 정보가 해당되지만, 그 외에도 나이, 성별, 주소, 전화번호, 가족 구성, 취미, 취향, 이메일 주소, ID, IP 주소 및 타임스탬프, 근무지, 소속, 근무지 주소 및 전화번호, 신용카드 번호, 은행 계좌 번호, 방문한 홈페이지의 정보, 불만, 상담 또는 문의 정보 등이 개인정보에 해당할 수 있습니다. 따라서, 이러한 항목 중에서 특히 자사의 고객 등으로부터 획득할 가능성이 높은 정보에 대해서는 개인정보 보호정책의 개인정보의 정의에 미리 기재해 두는 것이 좋습니다.
개인정보의 이용 목적
제〇조
1. 본사는 수집한 개인정보를 아래의 목적으로 이용합니다. 단, 본사가 운영하는 웹사이트 내에서 개인정보의 이용 목적에 대해 별도로 정하고 있는 경우에는 해당 이용 목적의 기술을 우선합니다.
(1) 본사가 문의 양식에서의 문의에 답변을 드리기 위해
(2) 본사가 제공하는 웹 서비스 또는 애플리케이션 그 외의 서비스(이하 ‘본 서비스’라 합니다.)의 제공과 본 서비스 또는 저희 회사가 제공하는 새로운 서비스의 안내를 드리기 위해
(3) 본 서비스의 개선이나 새로운 서비스의 개발 등에 활용하기 위해
(4) 그 외, 앞선 각 호에 부수하는 목적을 위해
2. 본사는, 전항에 정한 목적 외에도, 고객님으로부터 수집한 개인정보를 개인을 식별하거나 특정할 수 없는 방식과 범위로 통계적인 정보로 집계하고 참고사항으로 사용할 수 있습니다.
이용 목적
개인정보 보호법상, 수집한 개인정보의 이용 목적을 공개하는 것이 요구되고 있습니다. 위의 조항 예시의 제1항은 이에 상응하는 것입니다. 이용목적 정의에 중요한 점은 추상적·포괄적인 기술로는 충분하지 않고, 본인이 자신의 개인정보를 어떻게 이용되는지 파악할 수 있는 정도로 구체적으로 기술해야 한다는 것입니다. 따라서, 개인정보 보호 정책을 작성하는 사업자에 따라 이용 목적의 기술 내용은 변할 수 있으므로 주의가 필요합니다. 또한, 기술 누락이 있는 경우에는 해당 목적에 개인정보를 이용할 수 없게 되므로 누락이 없는지 충분히 검토하여야 합니다.
익명 처리 정보
조항 예시의 제2항은 익명 처리 정보에 관한 규정입니다. 익명 처리 정보란, 개인정보를 통해 본인을 식별할 수 없게 처리하고, 또한 복원할 수 없게 한 정보입니다. 이는 소위 말하는 빅데이터의 활용을 예상한 것입니다.
익명 처리 정보를 다루는 경우에는, 익명 처리 정보에 포함된 개인정보의 항목 등을 개인정보 보호 정책 등에서 공개해야 합니다. 조항 예시의 제2항은 ‘개인정보의 정의’에 기술된 개인정보를 익명 처리 정보로 이용하는 것을 정하는 것입니다. 또한, 제3자에게 익명 처리 정보를 제공하는 경우에는, 이에 더해 제공 방법의 공개도 필요하게 됩니다.
개인정보의 목적 외 사용
제〇조
당사는, 수집한 개인정보에 대해 이전 조의 사용 목적 달성에 필요한 범위 내에서 처리하도록 하겠습니다. 개인정보를 사용 목적의 범위 외에서 처리하는 경우에는, 사전에 고객 본인의 동의를 얻어 진행하도록 하겠습니다. 단, 아래의 경우에는 상기에 한하지 않습니다.
(1)법률에 근거한 경우
(2)사람의 생명, 신체 또는 재산의 보호가 필요한 경우로서, 고객 본인의 동의를 얻는 것이 어려운 경우
(3)공중보건의 향상 또는 아동의 건전한 성장을 촉진하기 위해 특히 필요한 경우로서, 고객 본인의 동의를 얻는 것이 어려운 경우
(4)국가 기관 또는 지방 공공 단체 또는 그 위탁을 받은 자가 법률에 의한 업무를 수행하는 데 협력이 필요한 경우로서, 본인의 동의를 얻음으로써 해당 업무의 수행에 지장을 초래할 우려가 있는 경우
개인정보는 원칙적으로 사용 목적의 범위 외에서 사용할 수 없습니다. 그러나, 개인정보보호법에서는, 위의 조항 예에서 제시한 (1)호에서 (4)호에 해당하는 경우에 대해 목적 외 사용이 허용되고 있습니다.
(2), (3)호는, 개인정보를 사용해야 하는 요구가 높은 반면 본인으로부터 신속한 동의를 얻는 것이 어려운 경우입니다. 또한, (1), (4)호는 국가나 지방 공공 단체 등의 의도에 따른 개인정보의 사용입니다. 예를 들면, 범죄 수사 등이 이에 해당합니다. 이 목적 외 사용에 관한 조항은 어떤 사업자에게나 대다수 일률적이며, 사업 내용에 따라 변하는 경우는 거의 없다고 할 수 있습니다.
개인정보 제3자 제공
제〇조
당사는 고객님의 개인정보에 대해 원칙적으로 고객님 본인의 동의 없이 제3자에게 제공하지 않습니다. 예외적으로, 제공받는 자와 제공 내용을 구체적으로 지정하고 고객님 본인의 동의를 받은 경우에만 제3자에게 제공합니다. 그러나, 아래의 경우에는 이에 해당하지 않습니다.
(1)법률에 근거한 경우
(2)사람의 생명, 신체 또는 재산의 보호가 필요한 경우로서 고객님 본인의 동의를 받는 것이 어려운 경우
(3)공중보건의 향상 또는 아동의 건전한 성장을 촉진하기 위해 특별히 필요한 경우로서 고객님 본인의 동의를 받는 것이 어려운 경우
(4)국가 기관 또는 지방 공공단체 또는 그 위탁을 받은 자가 법률에 의한 업무를 수행하는 데 협력이 필요한 경우로서 고객님 본인의 동의를 받음으로써 해당 업무의 수행에 지장을 초래할 우려가 있는 경우
(5)사용 목적에 따라, 당사와 비밀유지 계약을 체결한 업무 위탁처에 개인정보를 제공해야 하는 경우
개인정보 제3자 제공이 가능한 예외
이 조항 예는 사업자가 획득한 개인정보를 제3자에게 제공하는 상황에 관한 것입니다. 개인정보 보호법에 따르면, 개인정보를 제3자에게 제공하는 경우에는 본인의 동의를 받아야 합니다. 그러나, 조항 예(1)호에서 (5)호에 정해진 경우에는 본인의 동의 없이 제3자에게 개인정보를 제공할 수 있도록 법적으로 정해져 있습니다. 따라서, 개인정보의 목적 외 사용에 관한 조항과 마찬가지로, 제3자 제공에 대해서도 각 회사에서 거의 표준적인 조항이 됩니다. 실무에서는 상대적으로 자주 사용되는 것이 (5)호의 업무 위탁처에 개인정보를 제공하는 경우입니다. 그러나, 업무를 위탁한 경우에도 개인정보를 획득한 사업자는 위탁처에 대한 감독 책임을 지게 됩니다. 따라서, 위탁처에서 개인정보가 유출된 경우에는 위탁원인 사업자도 책임을 물을 수 있으므로 주의가 필요합니다. 따라서, 위탁처의 선정과 위탁 후의 관리 감독은 신중하게 이루어져야 합니다.
법 개정으로 인한 옵트아웃의 어려움
개인정보의 제3자 제공에 대해, 2017년에 시행된 개정법 이전에는 “본인의 요구에 따라 개인정보의 제3자 제공을 중단하는 것”을 조건으로, 본인의 사전 동의를 받지 않고 제3자에게 개인정보를 제공할 수 있었습니다. 이를 옵트아웃이라고 합니다. 그러나, 2017년 시행의 개정법에 따라, 개인정보 보호위원회에 사전 신고를 하지 않는 한 옵트아웃에 의한 개인정보의 제3자 제공이 불가능해지며 규정이 강화되었습니다.
개인정보 보호위원회에 신고하면 되지 않겠냐고 생각할 수도 있지만, 이 신고제도는 주로 명부업자 등 개인정보 자체를 상품으로 다루는 사업자를 대상으로 하는 취지이며 신고자는 공개되게 되어 있기 때문에, 실제로 신고를 한 기업은 아직 많지 않습니다. 따라서, 사실상, 본인의 동의를 받지 않는 개인정보의 제3자 제공은 업무 위탁 등 예외로 허용된 경우를 제외하고는 어려워졌습니다.
개인정보의 공개, 수정 등
일본의 ‘개인정보보호법’에서는, 본인으로부터의 이용 목적 통지, 공개, 수정, 이용 중지 등의 요구에 응답하는 절차를 공개하는 것도 요구되고 있습니다. 따라서, 개인정보 처리 방침을 작성하는 경우에는 이러한 사항에 대해서도 규정해야 합니다. 그러나, 이러한 사항을 규정하는 조항에 대해서는 많은 사업자들이 표준적인 문구를 사용하고 있습니다. 한 가지 고려해야 할 사항으로는, 본인으로부터의 공개 등의 요청에 응답하는 경우의 수수료를 정해두어야 하는지 여부입니다. 남용적인 요청으로 인해 업무가 지연되는 것을 방지하기 위해서는 적절한 금액의 수수료를 정하는 것도 한 가지 방법입니다. 수수료를 지불하는 경우에는 개인정보 처리방침 내에서 그 내용을 정해야합니다.
요약
개인정보 보호에 대한 사회적 관심이 높아짐에 따라, 법규제 또한 점차 강화되는 추세입니다. 개인정보 유출이 발생하지 않도록 회사 내에서 안전하게 정보를 관리하는 것은 물론, 동시에 법규제에 맞춰 개인정보 보호 정책이나 회사 내규 등을 마련해 두는 것도 중요합니다. 일본의 ‘개인정보 보호법’은 앞으로도 3년마다 정기적으로 개정될 예정입니다. 개인정보 처리에 관한 규칙이 변경될 때마다, 회사 내 시스템의 변경 등이 필요하게 될 뿐만 아니라 사업 방식 자체를 재검토해야 할 필요성도 있을 수 있습니다. 이런 의미에서 ‘개인정보 보호법’은 사업의 근간에 관련된 법률이라고 할 수 있으므로, 특히 개인정보를 많이 다루는 사업자는 항상 개정 동향을 파악해 두는 것이 중요합니다.
본 법률사무소에서 제공하는 계약서 작성 및 검토 등에 대한 안내
모노리스 법률사무소는 IT, 인터넷, 비즈니스 분야에 강점을 가진 법률사무소로서, 개인정보 보호정책 외에도 다양한 계약서 작성 및 검토 등의 업무를 고객사와 클라이언트 기업에게 제공하고 있습니다.