사물인터넷(IoT) 서비스에서 수집한 데이터의 활용과 법적 문제점
최근 가정 내에도 도입이 진행되고 있는 스마트 가전과 같은 IoT 디바이스는 매우 편리하지만, 인터넷에 연결되어 있다는 점에서 정보 유출의 위험에 노출되어 있다고 할 수 있습니다. IoT 비즈니스를 시작할 때는 생활 가전으로서의 안전성뿐만 아니라, 사이버 공격에도 견딜 수 있는 네트워크 상의 안전성 관리도 중요한 과제가 됩니다.
국내를 살펴보면, 이미 개인정보 유출 문제가 심각해지고 있으며, 도쿄 상공 리서치는 2021년에 발생한 상장 기업의 개인정보 유출, 분실 사고가 과거 최다인 137건, 574만 명 분에 달했다고 보고하고 있습니다.
이 글에서는 IoT 서비스로 수집한 데이터의 안전한 활용을 위해 알아두어야 할 법규제에 대해 설명하겠습니다.
IoT 비즈니스 관련 법규제
IoT란 ‘Internet of Things’의 약어로, 직역하면 ‘물건의 인터넷’이라고 할 수 있습니다. 즉, 우리가 일상적으로 사용하는 물건을 인터넷에 연결하여 원격 조작이나 자동 인식, 자동 제어 기능을 부여함으로써 생활을 더 편리하게 만들기 위한 시스템이나 서비스를 말합니다.
가전제품으로서의 하드웨어 측면에서는 위탁자의 신체에 직접적인 영향을 미칠 가능성이 있기 때문에 엄격한 규제가 적용됩니다.
또한 소프트웨어 측면에서는 통신 네트워크를 규제하는 일본 전파법(Japanese Radio Act)이나 일본 전기통신사업법(Japanese Telecommunications Business Act)에 따라 사업을 운영하기 위한 등록이나 신고가 요구됩니다.
IoT의 하드웨어 및 소프트웨어 측면에서의 법규제에 대해서는 이 기사에서 자세히 설명하고 있으니, 함께 참고하시기 바랍니다.
관련 기사: IoT 비즈니스에서 주의해야 할 하드웨어 및 소프트웨어 측면의 법규제를 설명[ja]
IoT 비즈니스에서는 기존의 디바이스를 인터넷에 연결하고 수집한 정보를 활용하는 특성이 있습니다. 따라서 하드웨어 및 소프트웨어 측면의 법규제뿐만 아니라, 수집된 정보를 어떻게 처리할지도 중요한 문제로 대두됩니다.
IoT로 취득한 데이터의 활용에 관한 법적 문제점
IoT 기기는 위탁자의 생활 데이터를 의도하지 않은 형태로 축적하고 활용할 위험성을 내포하고 있습니다.
위탁자 등록 시 개인정보의 활용에 동의했다 하더라도, IoT의 특성상 사용할 때마다 행동 정보를 수집하게 되므로 다음과 같은 문제가 발생합니다.
- 개인정보 보호
- 프라이버시 보호
- 사이버 공격에 대한 대응
여기서는 이러한 IoT 기기가 내포하는 법적 여러 문제에 대해 설명하겠습니다.
IoT와 개인정보
IoT 디바이스가 수집한 데이터 전부가 개인정보로 보호받는 대상은 아닙니다. 위탁자 등록과 생활 정보 데이터가 연계되어 개인을 특정할 수 있게 되면, 일본 개인정보보호법 제2조 제5항[ja]에 따라 보호 대상이 됩니다.
따라서 스마트홈 서비스에서 생활 데이터와 위탁자 정보를 연계하여 제공하는 사업자는 일본 개인정보보호법 제2조 제5항의 사업자로서, 다음과 같은 의무를 지게 됩니다.
<일본 개인정보보호법 제19조~제26조의 의무>
- 데이터의 정확성 확보 및 삭제 의무
- 안전 관리 조치 의무
- 직원의 감독 의무
- 위탁업체의 감독 의무
- 제3자 제공 제한 및 기록 보유 의무
개인정보를 다룰 때는 가능한 한 이용 목적을 구체적으로 정하고, 그 목적을 본인에게 통지하거나 공개해야 합니다. 또한, 필요 없게 된 개인정보는 신속하게 처리해야 합니다. 정보 유출에 대해서는 세심한 주의를 기울인 조치를 취하고, 직원이나 위탁업체에도 철저히 해야 합니다.
기본적으로, 수집한 개인정보를 제3자에게 제공하는 것은 제한됩니다. 그러나 서비스 향상을 위해서는 때때로 제3자 제공이 필요할 수도 있습니다. 그럴 때는 원래의 개인정보를 복원할 수 없을 정도로 익명 처리를 해야 합니다.
또한, 2022년(레이와 4년) 4월에 시행된 개정 일본 개인정보보호법에서는 본인의 권리 보호 강화와 사업자의 책임 가중 외에, 외국 사업자에 대한 제3자 제공이 새롭게 규정되었습니다.
이 개정으로 일본 개인정보보호위원회가 중시한 것은 다음의 5가지 관점입니다.
- 개인의 권리 이익 보호
- 보호와 이용의 균형
- 국제적 조류와의 조화
- 외국 사업자에 의한 리스크 변화에 대한 대응
- AI 및 빅데이터 시대에 대한 대응
IoT와 프라이버시 권리
수집하는 생활 데이터가 개인정보에 해당하지 않는 경우에도, 생활 정보는 본인의 행동 파악에 연결될 수 있으므로 신중하게 다루어야 합니다. 예를 들어, 전기나 가스 등의 사용 시간대 정보가 유출되면, 빈집털이와 같은 범죄에 악용될 위험이 있습니다.
한편, 스마트홈 서비스의 질을 높이기 위해서는 본인의 행동 정보를 파악하고 활용할 필요가 있습니다. 프라이버시를 보호하면서 본인 데이터를 서비스 향상을 위해 활용하기 위해서는 프라이버시를 고려하여, 개인정보에 해당하지 않는 경우에도 개인정보보호법에 준하는 대응을 하는 것이 요구될 것입니다.
IoT와 사이버보안
IoT 비즈니스는 개인정보나 프라이버시 권리에 접촉하는 정보를 수집, 관리, 활용함으로써 성립되며, 또한 그를 통해 발전하는 특성을 가지고 있습니다. 정보는 인터넷을 통해 집적, 관리되기 때문에, 네트워크에 연결되는 기기의 사이버보안 대책은 필수적입니다.
아래에서는 사전에 준비해야 할 사이버보안 대책과, 실제로 사이버 공격을 받았을 경우에 부담해야 할 책임에 대해 설명하겠습니다.
디바이스 제조업자의 책임: 제조물 책임법
사이버 공격을 받은 대상이 IoT 디바이스였다면, 디바이스 제조업자는 제조물 책임법(Japanese Product Liability Law)에 따른 손해배상 청구를 받을 가능성이 있습니다.
제조물 책임법(Japanese Product Liability Law)에 따른 책임 발생 기준은 다음과 같습니다.
- 제조물에 결함이 있었던 것
- 그로 인해 타인의 생명, 신체 또는 재산을 침해한 것
- 손해가 발생한 것
1에서 말하는 ‘결함’이란 ‘통상적으로 갖추어야 할 안전성’을 결여한 상태를 말하며, 제조상의 결함, 설계상의 결함, 지시·경고상의 결함으로 나뉩니다.
실제로 사이버 공격을 받았을 때 제조업자가 책임을 지게 되는지 여부는 다음과 같은 상황에 따라 판단됩니다.
- 인도 당시에 기대되었던 기술 수준을 충족하고 있었는지
- 공개된 최신 가이드라인이나 자율 기준에 부합하는 것이었는지
디바이스 제조업자는 결함이 있었다는 사실을 인지할 수 없었다는 것을 입증하면 책임을 회피할 수 있습니다. 그러나 인도 당시의 최고 기술 수준으로도 결함을 인지할 수 없었다는 것을 증명해야 하기 때문에, 실제로 인정받을 가능성은 낮다고 할 수 있습니다.
네트워크 관리자의 책임: 민법
네트워크가 사이버 공격을 받아 정보 유출 등이 발생한 경우, 제조물 책임법이 아닌 민법에 근거하여 다음과 같은 이유로 손해배상 청구를 받을 가능성이 있습니다.
- 네트워크 관리자와 위탁자 간의 계약 위반
- 네트워크 관리자의 보안 조치 의무 위반에 따른 채무 불이행
- 네트워크 관리자의 부주의에 의한 불법 행위 책임(민법 709조)
어느 원인이든, 네트워크 관리자가 ‘적절한 보안 조치를 소홀히 한 것에 과실이 있는지’가 논점이 됩니다.
그리고 ‘적절한 보안 조치’란, 계약 당시의 수준에 맞는 조치뿐만 아니라, 사이버 공격 발생 시에 공개된 가이드라인에 맞는 조치도 필요하다고 판시한 판례도 있습니다(도쿄지방재판소 2014년(헤이세이 26년) 1월 23일).
따라서 네트워크 관리자는 납품 후에도 항상 중요한 가이드라인의 최신 정보를 파악하고, 필요에 따라 소프트웨어를 업데이트해야 할 필요가 있습니다.
<현재의 정보 보안 가이드라인>
관련 기사:사이버 공격으로 인한 손해. 시스템 벤더의 손해배상 책임은? 계약서 기재 예를 해설[ja]
요약: IoT 비즈니스에는 전문적인 법적 이해가 필요합니다
IoT 비즈니스는 위탁자의 개인정보 및 프라이버시에 관한 정보를 인터넷을 통해 수집하고 활용함으로써 발전하는 특성을 가지고 있습니다.
따라서 사업자는 가전제품으로서의 제조물 책임을 지는 것뿐만 아니라, 개인정보를 취급하는 사업자로서, 개인정보 보호법(Japanese Personal Information Protection Act)과 정보 보안 가이드라인의 최신화에도 주의를 기울여야 합니다.
제품 사고가 발생하면 위탁자의 신체에 영향을 미칠 뿐만 아니라, 정보 유출로 인해 불특정 다수에게 피해가 확산될 가능성도 있습니다.
IoT 비즈니스를 시작할 때는 제조물 책임법(Japanese Product Liability Law)부터 개인정보 보호법, 최신 정보 보안 가이드라인에 이르기까지, 광범위한 전문 지식을 갖춘 변호사와 상담하는 것이 중요합니다.
당사의 대책 안내
모노리스 법률사무소는 IT, 특히 인터넷과 법률 양면에서 풍부한 경험을 가진 법률사무소입니다. 최근 IoT 비즈니스에 대한 관심이 집중되고 있으며, 법적 검토의 필요성은 점점 증가하고 있습니다. 당사는 IoT 비즈니스에 관한 솔루션을 제공하고 있습니다.
모노리스 법률사무소의 주요 업무 분야: IT·벤처 기업 법무[ja]
