레이와 4년(2022년) 개정 개인정보보호법 '벌칙'에 대한 설명

2022년 4월부터 개정된 개인정보보호법이 시행되었습니다. 2022년 개정 개인정보보호법에서 ‘사업자의 의무’에 대한 주의점에 이어, 데이터 활용방식과 패널티에 대해 설명하겠습니다.

레이와 4년(2022년) 개정 개인정보보호법 개요

개인정보보호법의 2022년 개정은 다음의 6가지 사항에 대해 이루어집니다.

1. 개인의 권리에 대한 방식
2. 사업자가 지켜야 할 의무에 대한 방식
3. 사업자의 자발적인 노력을 촉진하는 체계에 대한 방식
4. 데이터 활용에 대한 방식
5. 벌금에 대한 방식
6. 법의 해외 적용 및 국경을 넘는 이전에 대한 방식

‘2022년 개정 개인정보보호법 ‘사업자의 의무’에 대한 주의점을 설명 [ja]‘에서는 개정 사항의 (1) (2)에 대해 설명하였습니다. 본 기사에서는 개정 사항의 (3) (4) (5) (6)에 대해 설명하겠습니다.

사업자에 의한 자발적인 노력을 촉진하는 체계의 존재 방식

사업자에 의한 자발적인 노력을 촉진하는 체계의 존재방식에 대해, 업무실체의 다양화와 IT 기술의 발전에 따라, 민간단체가 특정분야에서 개인 데이터의 취급에 관한 자체적인 규칙을 마련하고, 적극적으로 대상 사업자에 대한 지도 등의 중요성이 증가하고 있습니다.

개인정보보호법에서는, 개인정보보호위원회 외에도, 민간단체를 활용한 정보보호를 도모하고 있으며, 인증단체제도가 설치되어 있습니다. 개인정보의 취급에 관한 불만처리, 사업자에게 개인정보의 적절한 취급에 관한 정보제공 등을 수행하는 법인 등의 단체는, 개인정보보호위원회의 인증을 받아 ‘인증 개인정보보호 단체’가 될 수 있지만, 개정법에서는 인증단체제도에 대해, 기업의 특정 분야(부문)를 대상으로 하는 단체를 인증단체로 인증할 수 있게 되었습니다(제47조 2항). 사업단위에서의 인증단체를 인정함으로써, 더욱 인증 단체의 활용을 촉진하고, 특정 사업을 대상으로 활동하는 단체에 의한, 전문성을 활용한 개인정보의 보호를 발전시키기 위한 노력입니다.

데이터 활용의 방향성

데이터 활용의 방향성에 대해 다음의 두 가지 사항이 개정되었습니다.

‘가명처리정보’의 설립 및 의무 완화(제2조 9항)

현행법에서는 개인정보를 단순히 가명화한 정보는 계속해서 ‘개인정보’로 간주되며, 사업자는 개인정보의 취급에 관한 다양한 의무를 부담합니다. 그러나, 이 ‘가명화된 개인정보’에 대해서는, 일정한 안전성을 확보하면서, 데이터로서의 유용성을 가명처리전의 개인정보와 동등한 수준으로 유지함으로써, 익명처리정보보다 더 상세한 분석을 비교적 간편한 처리방법으로 실시가 가능하여, 활용요구가 높아지고 있습니다.

이에 따라, 개정법에서는 혁신을 촉진하는 관점에서, 성명 등을 삭제한 ‘가명처리정보’를 설립하고, 내부분석에 한정하는 등의 조건을 달아, 공개·이용 중지요청에 대한 대응 등의 의무를 완화했습니다.

설립된 가명처리정보란 ‘다른 정보와 대조하지 않는 한, 특정 개인을 식별할 수 없게 개인 정보를 처리하여 얻은 개인에 관한 정보’를 가리킵니다. 예를 들어, ‘성명·나이·날짜·시간·금액·매장’을 ‘임시 ID·나이·날짜·시간·금액·매장’으로 처리한 것입니다. 예상되는 활용 사례로는 ‘최초의 이용 목적에는 해당하지 않는 목적이나, 해당하는지 판단하기 어려운 새로운 목적의 내부 분석'(의료·제약 분야 등에서의 연구나 부정 탐지·매출 예측 등의 기계 학습 모델의 학습), ‘이용목적을 달성한 개인정보에 대해, 미래 통계분석에 이용할 가능성이 있으므로, 가명처리정보로 처리한 후 보관’이 있습니다.

또한, 가명처리정보의 생성방법에 대해서는, 최소한의 규율로서,

• 특정 개인을 식별할 수 있는 기술 등(예: 성명)의 전부 또는 일부를 삭제(대체 포함. 이하 동일)하는 것
• 개인식별코드의 전부를 삭제하는 것
• 부정사용으로 인해 재산적 피해가 발생할 가능성이 있는 기술 등(예: 신용카드 번호)을 삭제하는 것

과 같은 조치를 취할것을 요구하고 있습니다.

제공처에서 개인 데이터가 될 것으로 예상되는 정보의 확인의무 부여(제26조 2)

현행법에서는, 제공원에서 개인 데이터에 해당하지 않는 정보라면, 제공처에서 개인 데이터가 될 것으로 예상되는 경우에도 규제대상이 되지 않습니다. 그러나 개정법에서는 제공원에서 개인 데이터에 해당하지 않는 것의, 제공처에서 개인 데이터가 될 것으로 예상되는 정보의 제3자 제공에 대해, 본인의 동의를 얻었는지 등의 확인을 의무화하게 되었습니다.

위탁자 데이터를 대량으로 축적하고, 이를 순간적으로 결합하여 개인 데이터로 만드는 기술이 발전·확산함에 따라, 제공처에서 개인 데이터가 될 것을 미리 알면서 비개인 정보로서 제3자에게 제공하는 것, 즉 개인 정보 보호법의 취지를 회피하는 빈틈을 보이고 있습니다. 이러한 본인참여없는 개인정보 수집방법이 확산될 것을 우려하기 때문입니다.

벌칙에 대하여

벌칙의 적용방식에 대해 다음의 두 가지 사항이 개정되었습니다.

위원회의 명령 위반 및 위원회에 대한 거짓 보고 등에 대한 법정형의 상향 조정 (제83조, 제87조 등)

법을 위반하는 사례가 증가하는 가운데, 보고수집 및 현장조사를 실시하는 사례도 증가하고 있습니다. 이에 따라, 사업자의 실상을 파악하는 출발점인 보고수집 및 현장조사의 효과를 높일 필요가 있다고 판단하여, 개정법에서는 법정형이 상향조정되었습니다.

행위자에 의한 ‘개인정보보호위원회로부터의 명령 위반’은 현행법에서는 6개월 이하의 징역 또는 30만 엔 이하의 벌금이었지만, 개정법에서는 1년 이하의 징역 또는 100만 엔 이하의 벌금으로 변경되었고, ‘개인정보 데이터베이스 등의 부정제공 등’은 1년 이하의 징역 또는 50만 엔 이하의 벌금이 그대로 유지되었지만, ‘개인정보보호위원회에 대한 거짓 보고 등’은 현행법에서는 30만 엔 이하의 벌금이었던 것이 개정법에서는 50만 엔 이하의 벌금으로 변경되었습니다.

법인에 대한 벌금형의 상향 조정 (제84조, 제85조 등)

현행법에서는 법인에 대한 벌금의 금액은 행위자와 동일한 법정형이었지만, 법인과 개인의 자본력 차이 등을 고려하여, 개정법에서는 명령위반 등에 대한 벌금에 대해, 법인에 대해서는 행위자보다 벌금형의 최고액을 상향조정(법인중과)하는 것으로 결정되었습니다. 법인에 대해 행위자와 동일한 금액의 벌금을 부과하더라도, 벌칙으로서의 충분한 억제효과를 기대할 수 없다는 판단입니다.

법인에 의한 ‘개인정보보호위원회로부터의 명령위반’은 현행법에서는 행위자와 동일한 금액인 30만 엔 이하의 벌금이었지만, 개정법에서는 10억 엔 이하의 벌금으로 변경되었고, ‘개인정보 데이터베이스 등의 부정 제공 등’은 현행법에서는 행위자와 동일한 금액인 50만 엔 이하의 벌금이었지만, 개정법에서는 10억 엔 이하의 벌금으로 변경되었습니다. 그러나, ‘개인정보보호위원회에 대한 거짓보고 등’은 현행법에서는 행위자와 동일한 금액인 30만 엔 이하의 벌금이었던 것이 개정법에서는 역시 행위자와 동일한 금액인 50만 엔 이하의 벌금으로 변경되었습니다.

법의 영역 외 적용 및 국경을 넘는 이전의 방식

법의 영역 외 적용 및 국경을 넘는 이전의 방식에 대해 다음의 두 가지 사항이 개정되었습니다.

영역 외 적용 강화 (제75조)

현행법에서는, 영역 외 적용의 대상이 되는 외국의 사업자에게 행사할 수 있는 권한은 지도 및 조언 그리고 권고와 같은 강제력을 동반하지 않는 권한에 그쳤습니다. 그러나 외국에서의 정보 유출 등의 사건에 대해 위원회가 적절하게 대처할 수 없는 위험이 있기 때문에, 개정법에서는 일본 내에 있는 사람에 대한 물품 또는 약무의 제공과 관련된 개인 정보 등을 다루는 외국 사업자를 벌칙에 의해 보장된 보고 징수 및 명령의 대상으로 하여, 개인 정보 보호 위원회의 권한 행사를 강화하게 되었습니다.

이전 대상 사업자에게서 개인정보의 처리에 관한 정보제공 강화 (제78조)

일부 국가에서는 국가 관리적 규제가 나타나고 있으며, 개인정보의 국경을 넘는 이전의 기회가 확대되는 가운데, 국가나 지역에 따른 제도의 차이는 개인이나 데이터를 다루는 사업자의 예측가능성을 불안정하게 하고, 개인의 권리이익보호 관점에서 우려가 생기고 있습니다.

이에 대응하여, 외국에 있는 제3자에게 개인 데이터를 제공할 때, 이전 대상 사업자에게서 개인 정보의 처리에 관한 정보 제공을 강화하고, 외국에 있는 제3자에게 개인 데이터를 제공할 수 있는 요건으로서 현행법에서는 ‘본인의 동의’였던 요건에 ‘동의를 얻을 때, 이전 대상 국가의 이름, 이전 대상 국가에서의 개인 정보 보호에 관한 제도의 유무 등에 대해 본인에게 정보 제공’을 의무화하고, ‘기준에 부합하는 체제를 갖춘 사업자’였던 요건에 ‘이전 대상 사업자의 처리 상황 등의 정기적인 확인 + 본인의 요구에 따른 관련 정보 제공’을 의무화하였습니다.

요약

‘3년마다 재검토 규정’에 따른 첫 번째 법률 개정인 2022년의 일본 개인정보보호법 개정은, 이용 중지 및 삭제 등의 확대, 부적절한 이용의 금지, 국경을 넘는 이전에 관한 정보 제공의 강화, ‘가명 처리 정보’의 설립 등이 이루어졌습니다. 이를 통해 개인의 권리와 이익보호 및 활용강화, 국경을 넘는 데이터의 유통 증가에 따른 새로운 위험에 대한 대응, AI 및 빅데이터 시대에 대한 대응 등이 추진되었습니다.

본 법률사무소의 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률의 양면에 높은 전문성을 가진 법률사무소입니다. 최근 개정된 ‘일본 개인정보보호법’이 주목받고 있으며, 법률 검토의 필요성은 점점 더 증가하고 있습니다. 본 사무소에서는 지적재산에 관한 솔루션 제공을 진행하고 있습니다.