레이와 6년(2024년) 개정 일본 개인정보 보호법의 핵심 포인트는? 알아두어야 할 변경 사항과 대응책을 설명합니다
레이와 6년(2024년) 4월, 개정된 일본 개인정보 보호법 시행규칙이 시행됩니다. 이번 개정에서는 정보 유출 등이 발생했을 때의 일본 개인정보 보호위원회에 대한 보고 의무와 본인에게의 통지 의무 대상이 확대됩니다.
이 개정의 주요 포인트는 웹 스키밍 등 최근 개인정보와 관련된 문제에 대응하는 데 있습니다.
그러나 개정 사항을 정확히 파악하고 적절히 대응하기 위해서는 전문적인 지식이 필요하며, 자사가 취해야 할 대응을 모르는 사람이 많을 것입니다. 이 기사에서는 레이와 6년 개정의 포인트와 대응책을 설명합니다.
레이와 6년(2024년) 개정 일본 개인정보보호법의 변경 사항 개요
레이와 6년(2024년)에 개정된 일본 개인정보보호법에서 주목해야 할 변경 내용은, 정보 유출 등 발생 시의 보고 및 통지 의무와 안전 관리 조치를 취하는 의무의 대상이 일부 ‘개인정보’까지 확대된 점입니다.
기존 규정에서는 유출 시의 보고 의무 등의 대상이 ‘개인 데이터’만을 포함하고 ‘개인정보’는 포함되지 않았습니다.
이번 개정으로, 일본 개인정보보호법 시행 규칙 제7조 제3호와, 「일본 개인정보보호법 가이드라인(통칙편)」[ja]에 변경 내용이 기록되어 있습니다.
개정법 | 개정 전 | |
유출 등의 보고 등 의무 | 부담함(일정한 경우) | 부담하지 않음 |
안전 관리 조치를 취하는 의무 | 부담함(일정한 경우) | 부담하지 않음 |
구체적인 규제 내용과 변경점은 아래에서 자세히 설명합니다.
그동안의 개인정보보호법에서의 규제 대상
개정법의 내용을 이해하기 위해서는 개정 전 규제 내용에 대한 정확한 이해가 필수적입니다. 여기서는 개정 전에 정해져 있던 규제의 정의와 내용을 설명하겠습니다.
개인정보와 개인 데이터의 차이
개인정보보호법에서는 보호 대상으로 ‘개인정보’와 ‘개인 데이터’를 구분하여 생각합니다.
‘개인정보’란 생존하는 개인에 관한 정보로, 해당 정보에 포함된 이름이나 생년월일 등의 기술로 특정 개인을 식별할 수 있는 정보입니다. 이는 개인정보보호법 제2조 1항 1호에 정의되어 있습니다.
관련 기사: 레이와 4년(2022년) 개정 개인정보보호법 ‘가명 처리 정보’ 신설 등으로 데이터의 활용 촉진[ja]
반면 ‘개인 데이터’란 개인정보 데이터베이스 등을 구성하는 개인정보를 가리키며, 개인정보보호법 제16조 1항에 규정되어 있습니다.
예를 들어, 이벤트의 참석자 명부를 작성하는 경우, 예약자가 보낸 이름이나 주소 등의 정보를 ‘개인정보’라고 합니다. 그리고 예약자 각각의 개인정보를 스프레드시트 등에 모아 만든 데이터베이스가 ‘개인정보 데이터베이스’입니다. 이 데이터베이스를 구성하는 개별 정보가 ‘개인 데이터’에 해당합니다.
개인정보보호법에서는 보호 대상이 ‘개인정보’인지 ‘개인 데이터’인지에 따라 규제 내용이 크게 달라짐을 이해할 필요가 있습니다.
유출 등 보고 의무란
개인정보 보호법은 개인 데이터의 유출 등이 발생한 경우, 개인정보 취급 사업자에게 개인정보보호위원회로의 보고와 본인에게의 통지를 의무화하고 있습니다.
(유출 등의 보고 등)
개인정보의 보호에 관한 법률|e-Gov 법령 검색[ja]
제26조 개인정보 취급 사업자는 자신이 취급하는 개인 데이터의 유출, 소실, 훼손 그 밖의 개인 데이터의 안전 확보에 관련된 사태로서 개인의 권리 이익을 해할 우려가 큰 것으로 개인정보보호위원회 규칙에서 정하는 것이 발생했을 때는, 개인정보보호위원회 규칙에서 정한 바에 따라, 해당 사태가 발생했음을 개인정보보호위원회에 보고해야 합니다. 단, 해당 개인정보 취급 사업자가, 다른 개인정보 취급 사업자 또는 행정 기관 등으로부터 해당 개인 데이터의 취급의 전부 또는 일부의 위탁을 받은 경우로서, 개인정보보호위원회 규칙에서 정한 바에 따라, 해당 사태가 발생했음을 해당 다른 개인정보 취급 사업자 또는 행정 기관 등에 통지했을 때는, 이에 한하지 않습니다.
2 제1항에 규정하는 경우에는, 개인정보 취급 사업자(동항 단서의 규정에 따른 통지를 한 자를 제외한다.)는, 본인에 대해, 개인정보보호위원회 규칙에서 정한 바에 따라, 해당 사태가 발생했음을 통지해야 합니다. 단, 본인에게의 통지가 어려운 경우로서, 본인의 권리 이익을 보호하기 위해 필요한 이에 대체할 수 있는 조치를 취할 때는, 이에 한하지 않습니다.
보고·통지 의무는 유출 등이 발생한 모든 경우에 발생하는 것은 아닙니다. 개인정보 보호법 시행규칙 제7조에 정해진 아래의 4가지 케이스에 한해서 보고 등을 의무화하고 있습니다.
- 주의가 필요한 개인정보가 포함된 개인 데이터의 유출(예: 직원의 건강검진 결과)
- 부정 사용으로 인해 재산적 피해가 발생할 우려가 있는 개인 데이터의 유출(예: 신용카드 번호)
- 부정 목적으로 이루어졌을 우려가 있는 개인 데이터의 유출
- 본인의 수가 1000명을 초과하는 유출
이번 개정에서는 규칙 제7조 3호의 내용이 변경되었습니다.
안전 관리 조치란
개인정보 보호법은 개인정보 처리 사업자에게 개인 데이터의 유출 등을 방지하고 안전 관리를 위해 필요하고 적절한 조치를 취할 것을 의무화하고 있습니다.
(안전 관리 조치)
개인정보의 보호에 관한 일본 법률|e-Gov 법령 검색[ja]
제23조 개인정보 처리 사업자는, 그가 처리하는 개인 데이터의 유출, 소실 또는 훼손 방지 및 기타 개인 데이터의 안전 관리를 위해 필요하고 적절한 조치를 취해야 한다.
구체적인 예로는 접근 제어, 직원 교육, 규율 정비 등이 있습니다.
개정 전의 규제 대상
개정 전에는, 유출 등 발생 시의 보고 의무와 안전 관리 조치를 취할 의무가 정해진 대상은 ‘개인 데이터’만이었습니다. ‘개인 정보’에 대해서는, 유출 등이 발생하더라도, 사업자가 이러한 의무를 지는 것은 아니었습니다.
그러나, 보고·통지 의무와 안전 관리 조치 설치 의무의 대상이 일부 ‘개인 정보’까지 확대된 것이, 이번 개정의 핵심입니다.
개인정보보호법 시행규칙 개정의 취지와 목적
이번 개정은 웹스키밍 대책을 염두에 둔 것이라고 할 수 있습니다. 웹스키밍이란, EC사이트 등에 악성 프로그램을 설치하여 개인정보를 도용하는 공격 기법입니다.
구체적으로는, 위탁자가 입력 폼에 입력한 비밀번호나 신용카드 정보 등을 입력 페이지에서 직접 취득하는 방법이 있습니다.
웹스키밍에서는, 위탁자가 입력한 정보가 EC사이트 사업자의 개인정보 데이터베이스 등에 통합되기 전에 직접 정보를 도용당하는 것이 특징입니다. 이 형태에서는 ‘개인 데이터’화 되기 전의 ‘개인정보’가 도용당하는 것에 불과합니다.
개정 전에는, 유출 등 보고의 의무는 ‘개인 데이터’만을 대상으로 했습니다. 그래서 웹스키밍에 의한 피해가 발생해도, EC사이트 사업자는 보고 등의 의무가 없었습니다.
이번 개정은 웹스키밍에 의한 정보 유출도 보고 대상으로 하여, 유출 등 보고와 안전 관리 조치의 대상을 ‘개인정보’까지 포함하도록 확대한 것입니다.
레이와 6년(2024년) 개인정보 보호법 시행규칙의 개정 내용
유출 등 보고 의무 대상 확대
개인정보 보호법 시행규칙 제7조 3호가 다음과 같이 개정되었습니다.
개정법 | 개정 전 |
제7조 법 제26조 제1항 본문의 개인의 권리 이익을 해할 우려가 큰 것으로서 개인정보 보호위원회 규칙으로 정하는 것은, 다음 각 호의 어느 하나에 해당하는 것으로 한다. 3. 부정한 목적으로 행해질 우려가 있는 해당 개인정보 취급 사업자에 대한 행위로 인한 개인 데이터(해당 개인정보 취급 사업자가 취득하고 있거나 취득하려고 하는 개인정보로서, 개인 데이터로서 취급될 것이 예정되어 있는 것을 포함한다.)의 유출 등이 발생하였거나 발생할 우려가 있는 상황 | 제7조 법 제26조 제1항 본문의 개인의 권리 이익을 해할 우려가 큰 것으로서 개인정보 보호위원회 규칙으로 정하는 것은, 다음 각 호의 어느 하나에 해당하는 것으로 한다. 3. 부정한 목적으로 행해질 우려가 있는 개인 데이터의 유출 등이 발생하였거나 발생할 우려가 있는 상황 |
「해당 개인정보 취급 사업자」에는 위탁업체나 개인정보 취급 서비스 제공자도 포함됩니다.
또한, 개인정보 취급 사업자가 「취득하려고 하는 개인정보」에 해당하는지 여부는 개인정보의 취득 수단 등을 고려하여 객관적으로 판단한다고 되어 있습니다(가이드라인 통칙편 3-5-3-1).
이와 같이, 유출 등의 보고·통지 의무 대상이, 일정한 경우에 있어서 「개인정보」까지 확대되었다는 것이 레이와 6년(2024년) 개정의 큰 변화점입니다.
안전 관리 조치 대상 확대
유출 등 보고 의무 규제의 개정에 따라, 개인정보 보호법 가이드라인 통칙편 3-4-2의 기술도 변경되었습니다.
사업자가 취해야 할 안전 관리 조치에 대하여, 개인정보 취급 사업자가 개인 데이터로서 취급할 것으로 예정되어 있는 개인정보(개인정보 취급 사업자가 취득하고 있거나 취득하려고 하는 개인정보)의 유출 등을 방지하기 위해 필요하고 적절한 조치도 포함된다고 되어 있습니다.
안전 관리 조치 대상도, 「개인 데이터」뿐만 아니라 일정한 경우에 있어서 「개인정보」까지 확대되었습니다.
참고:개인정보 보호위원회|(레이와 6년(2024년) 4월 1일 시행) 개인정보의 보호에 관한 법률에 대한 가이드라인(통칙편)
개정 개인정보보호법 시행에 따른 대책
레이와 6년(2024년) 개정된 개인정보보호법 시행에 대응하기 위한 대책은 다음 두 가지입니다.
- 개인정보 처리방침을 개정하기
- 사내 규정을 개정하여 알리기
각각 자세히 살펴보겠습니다.
개인정보 처리방침을 개정하기
개인정보 처리사업자는 보유 개인 데이터의 안전 관리 조치를 본인이 알 수 있는 상태로 해야 합니다. 이는 본인의 요구에 따라 지체 없이 응답할 수 있는 상태를 포함합니다(일본 개인정보보호법 제32조 1항 4호).
보유 개인 데이터의 안전 관리 조치를 개인정보 처리방침에 기재하여 대응하던 사업자는 주의가 필요합니다. 개인정보 처리방침에 일정한 개인정보를 새로운 안전 관리 조치 대상에 포함시키는 내용을 추가해야 합니다.
사내 규정을 개정하여 알리기
일부 개인정보의 유출 등에 대해서도 보고 및 통지 의무가 발생하게 된 점은 사내 규정에도 반영하여 직원에게 알려야 합니다.
개정으로 새롭게 보고 등의 대상이 된 개인정보의 유출이 발생할 수 있는 사례는 웹 스키밍에 국한되지 않습니다.
예를 들어, 개인정보 처리사업자가 주소가 변경된 회신용 봉투를 고객에게 발송한 결과, 봉투 내의 설문지에 기재된 개인정보가 제3자의 손에 넘어갔다고 합시다. 이 개인정보가 개인 데이터로서 처리될 예정이었던 경우, 정보 유출의 보고 및 통지 의무가 발생하는 상황이 됩니다.
이전에는 의무가 발생하지 않았던 개인정보에 대해서도 처리가 달라지므로, 직원들에게 주의를 촉구해야 합니다.
요약: 개인정보 보호법 개정에 대응하기 위해서는 전문가와 상담하세요
개인정보 보호법의 2024년(레이와 6년) 개정에서는 웹 스키밍 대책을 염두에 두고, 유출 등 발생 시의 보고·통지 의무와 안전 관리 조치의 대상이 확대되었습니다. 개정 전에는 ‘개인 데이터’만 대상으로 하였지만, 일정한 경우에 ‘개인정보’도 대상에 포함되도록 하였습니다.
이번 개정으로 인해, 프라이버시 정책이나 사내 규정의 개정 등의 대책을 취할 필요가 있습니다.
개인정보의 처리와 관련하여, 조치를 잘못하면 사회적 신용의 상실 등 큰 리스크가 있습니다. 대응 시에는 변호사와 상담하는 것이 좋습니다.
당사의 대책 안내
모노리스 법률사무소는 IT, 특히 인터넷과 법률 양면에서 풍부한 경험을 가진 법률사무소입니다. 최근 개인정보 유출은 큰 문제가 되고 있습니다. 만약 개인정보가 유출된다면, 기업 활동에 치명적인 영향을 미칠 수도 있습니다. 당사는 정보 유출 방지 및 대응책에 대해 전문적인 지식을 갖추고 있습니다. 아래 기사에서 자세한 내용을 확인하실 수 있습니다.
모노리스 법률사무소의 처리 분야: 개인정보 보호법 관련 법무[ja]