레이와 4년(2022년) 개정 개인정보보호법 '사업자의 의무'에 대한 주의점을 설명

2022년 4월부터 개정된 일본 개인정보보호법(Japanese Personal Information Protection Law)이 시행되었습니다. 개인정보보호법은 개인정보의 유용성을 고려하면서 개인의 권리와 이익을 보호하기 위해, 개인정보의 적절한 처리를 보장하는 것을 목표로 하고 있습니다. 그렇다면 구체적으로 개정된 개인정보보호법의 시행으로 어떤 점이 변화하게 되는지 살펴보겠습니다. 이번에는 개인의 권리와 사업자의 의무에 대해 설명하겠습니다.

개인정보보호법의 개정 및 그 과정

2003년에 제정되고 2005년에 전면 시행된 개인정보보호법은, 시행 후 10년이 지난 2015년에 “정보통신기술의 발전으로 인해, 제정 당시에는 예상되지 않았던 개인 데이터의 활용이 가능해졌기 때문에”라는 이유로 개정되어, 2017년에 전면 시행되었습니다.

이 2017년 개정법에는 “국제적 동향, 정보기술의 발전, 새로운 산업의 창출과 발전 상황을 고려하여, 시행 후 3년마다 실제 상황에 맞는 내용으로 검토를 실시한다”는 ‘3년마다 검토 규정’이 포함되었습니다.

2017년 시행 개인정보보호법 개정법 부칙에서의 관련 규정 (일부)

(검토) 제12조

(생략)

2 정부는, 이 법의 시행 후 3년을 목표로, 개인정보의 보호에 관한 기본 방침의 수립 및 추진 그 외 개인정보보호위원회의 소관 업무에 대해, 이를 효과적으로 수행하기 위해 필요한 인적 체계의 구축, 재원의 확보 그 외의 조치의 상황을 고려하고, 그 개선에 대해 검토를 실시하며, 필요하다고 인정될 때는, 그 결과에 기초하여 필요한 조치를 취한다.

3 정부는, 전항에서 정한 사항 외에도, 이 법의 시행 후 3년을 목표로, 개인정보의 보호에 관한 국제적 동향, 정보통신기술의 발전, 그에 따른 개인정보를 활용한 새로운 산업의 창출 및 발전 상황 등을 고려하고, 새 개인정보보호법의 시행 상황에 대해 검토를 실시하며, 필요하다고 인정될 때는, 그 결과에 기초하여 필요한 조치를 취한다.

4, 5 (생략)

6 정부는, 새 개인정보보호법의 시행 상황, 제1항의 조치의 실행 상황 그 외의 상황을 고려하여, 새 개인정보보호법 제2조 제1항에서 규정하는 개인정보 및 행정기관 등이 보유한 개인정보의 보호에 관한 규정을 집약하고, 통합적으로 규정하는 것을 포함하여, 개인정보의 보호에 관한 법제의 형태에 대해 검토한다.

레이와 4년(2022년) 개정 개인정보보호법은, 이 ‘3년마다 검토 규정’에 기초한 첫 번째 법 개정입니다.

관련 기사: 개인정보보호법과 개인정보란? 변호사가 설명[ja]

레이와 4년(2022년) 개정 개인정보보호법 개요

개인정보보호법의 2022년 개정은 다음의 6가지 사항에 대해 이루어집니다.

1. 개인의 권리에 대한 방식
2. 사업자가 지켜야 할 의무에 대한 방식
3. 사업자의 자발적인 노력을 촉진하는 체계에 대한 방식
4. 데이터 활용에 대한 방식
5. 벌금에 대한 방식
6. 법의 해외 적용 및 국경을 넘는 이전에 대한 방식

본 글에서는 개정 사항 중 1번과 2번에 대해 설명하겠습니다.

관련 글: 레이와 4년(2022년) 개정 개인정보보호법 ‘벌금’에 대한 설명[ja]

개인의 권리에 대한 방식

개인의 권리에 대한 방식은 다음의 5가지가 개정되었습니다.

이용 중지 및 삭제 등 개인의 청구권 확대 (일본 개인정보보호법 제30조)

현행법에서는 이용 중지 및 삭제 등 개인의 청구권에 대해 ‘개인정보를 목적 외로 이용했을 때’나 ‘부정한 수단으로 획득했을 때’와 같은 법 위반의 경우에만 제한하고 있었습니다. 그러나 개정법에서는, ‘보유 개인 데이터를 취급하는 사업자가 이용할 필요가 없어진 경우’, ‘유출 등이 발생한 경우’, ‘본인의 권리나 정당한 이익이 침해될 우려가 있는 경우’에도 이용 중지, 삭제, 제3자 제공 중지를 청구할 수 있게 되었습니다.

보유 개인 데이터의 공개 방법 (일본 개인정보보호법 제28조)

본인이라면, 개인정보 취급 사업자에게 보유 개인 데이터의 공개를 청구할 수 있습니다. 청구를 받은 개인정보 취급 사업자는 원칙적으로 보유 개인 데이터를 공개해야 합니다. 현행법에서는 보유 개인 데이터의 공개는 원칙적으로 문서로 이루어졌습니다. 그러나 정보량이 방대한 경우, 문서로의 제공이 적절하지 않은 상황이 있고, 더욱이 보유 개인 데이터가 동영상이나 음성 데이터와 같이 원래 문서로의 제공에 적합하지 않은 데이터도 있습니다. 그래서 개정법에서는, 본인은 전자적 기록의 제공 방법 등, ‘본인이 지정하는 방법으로의 공개’를 청구할 수 있게 되었습니다. 개인정보 취급 사업자는 본인이 청구한 방법으로 공개하는 의무를 지게 되었습니다.

개인정보를 취급하는 기업은 디지털 데이터에 의한 공개 청구에 대응하는 체계를 조속히 구축하는 것이 요구됩니다.

제3자 제공 기록의 본인에 의한 공개 청구 (일본 개인정보보호법 제28조 5항)

개인정보 취급 사업자는 개인 데이터를 제3자에게 제공할 때 법령에서 정한 기록을 작성해야 하며, 제3자 제공을 받는 자도 법령에서 정한 기록을 작성해야 합니다. 이 개인 데이터의 제3자 제공에 관한 기록과 개인 데이터의 제3자 제공을 받을 때의 확인 기록을 합쳐 ‘제3자 제공 기록’이라고 합니다.

현행법에서는, 본인은 사업자가 작성한 제3자 제공 기록의 공개 청구를 할 수 없었지만, 개정법에서는, 본인은 제3자 제공 기록의 공개를 청구할 수 있게 되어, 본인에 의한 추적 가능성을 고려한 것이 되었습니다.

단기 보유 데이터를 보유 개인 데이터에 포함 (일본 개인정보보호법 제2조 7항)

현행법에서는, 보유 개인 데이터는 ‘개인정보 취급 사업자가, 공개, 내용의 정정, 추가 또는 삭제, 이용의 중지, 삭제 및 제3자에 대한 제공의 중지를 할 수 있는 권한을 가진 개인 데이터로서’, ‘그 존재 여부가 명백하게 알려짐으로써 공익 등의 이익이 해치는 것으로서 정령에서 정하는 것’ 또는 ‘1년 이내의 정령에서 정하는 기간 내에 삭제하는 것으로 하는 것’을 제외한 것,으로 정의하고 있었으며, ‘1년 이내의 정령에서 정하는 기간’은 6개월로 정해져 있었습니다.

그러나, 단기간에 삭제되는 것이라도 삭제되기까지의 기간에 유출 등이 발생할 가능성이 있기 때문에, 개정법에서는, 6개월 이내에 삭제되는 단기 보유 데이터에 대해서도 ‘보유 개인 데이터’에 포함하게 되었습니다.

옵트아웃 규정의 범위 제한 (일본 개인정보보호법 제23조 2항)

옵트아웃 규정이란, ‘본인의 요구가 있으면 사후적으로 중지하는 것을 전제로, 제공하는 개인 데이터의 항목 등을 공표 등한 상태에서, 본인의 동의 없이 제3자에게 개인 데이터를 제공할 수 있는 제도’이지만, 현행법에서는, 고려해야 할 개인정보만이 대상에서 제외되었습니다.

개정법에서는, 제3자에게 제공할 수 있는 개인 데이터의 범위를 제한하고, ‘부정 획득된 개인 데이터’, ‘옵트아웃 규정에 의해 제공된 개인 데이터’에 대해서도 대상에서 제외하게 되었습니다.

사업자가 지켜야 할 의무의 존재 방식

사업자가 지켜야 할 의무의 존재 방식에 대해, 다음의 2가지가 개정되었습니다.

유출 등 보고의 의무화 (제22조 2항)

현행법에서는 유출 등의 보고가 법령상의 의무가 아니므로, 적극적으로 대응하지 않는 사업자가 일부 존재하고, 사업자가 공표하지 않았을 경우에는, 개인정보보호위원회는 사건을 파악할 수 없어, 적절하게 대응할 수 없는 가능성이 있었습니다. 개정법에서는, 유출 등이 발생하고, 개인의 이익권리를 해치는 위험이 큰 경우에는, 개인정보보호위원회에의 보고 및 본인에게의 통지가 의무화되었습니다.

유출 등 보고의 의무화의 대상 사건에는, 건수에 관계없이 대상이 되는 ‘주의를 요하는 개인정보의 유출’, ‘부정 접근 등에 의한 유출’, ‘재산적 피해의 위험이 있는 유출’과, 1000건을 초과하는 ‘대규모 유출’이 있습니다.

부적절한 방법에 의한 이용의 금지 (제16조 2항)

급속한 데이터 분석 기술의 향상 등을 배경으로, 잠재적으로 개인의 권리이익의 침해에 이어질 수 있는 개인정보의 이용 형태가 보여지게 되어, 소비자의 우려가 높아지고 있습니다. 이를 받아, 개정법에서는, 불법 또는 부당한 행위를 조장하는 등의 부적절한 방법으로 개인정보를 이용해서는 안된다는 것을, 명확화하는 것으로 되었습니다.

‘불법 또는 부당한 행위를 조장하는 등의 부적절한 방법’이란, ‘불법 행위를 하는 제3자에게 개인정보를 제공하는 것’이나 ‘법원에 의한 공고 등으로 분산되어 공개되고 있는 개인정보에 대해, 차별이 유발될 가능성이 있는 것이 충분히 예견될 수 있음에도 불구하고, 그것을 집약하여 데이터베이스화하고, 인터넷 상에서 공개하는 것’과 같은, 상당히 악질적인 경우가 예상되고 있습니다.

요약

이 글에서는 개정 사항 1과 2에 대해 설명하였습니다. 개정 사항 3, 4, 5, 6에 대해서는 다른 글에서 설명하겠습니다.

관련 글: 레이와 4년(2022년) 개정 ‘일본 개인정보보호법’ 패널티에 대한 설명[ja]

본 법률사무소의 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률의 양면에 높은 전문성을 가진 법률사무소입니다. 최근 개정된 ‘일본 개인정보보호법’이 주목받고 있으며, 법률 검토의 필요성은 점점 더 증가하고 있습니다. 본 사무소에서는 지적재산에 관한 솔루션 제공을 진행하고 있습니다. 아래 기사에서 자세한 내용을 확인하실 수 있습니다.