개인정보 유출이 발생하면? 기업이 취해야 할 행정 대응에 대해 설명
인터넷의 발전으로 온라인을 통한 정보교환이 가능해졌지만, 이로인해 예상치 못한 방식으로 기업의 중요정보가 유출되는 경우가 증가하고 있습니다.
최근 정보의 가치가 높아지고 있는 상황에서 일단 정보유출은 신용손상이라는 큰 문제로 이어질 수 있습니다. 기업으로서는 정보유출이 발생한 경우, 즉시 적절한 대응을 취하는 것이 요구되고 있습니다.
여기에서는 정보유출이 발생했을 경우 기업이 취해야 할 대응 중, 행정대응을 중심으로 자세히 설명하겠습니다.
정보유출 시 행정대응 또한 요구됩니다
정보유출에 있어서 정보의 내용이나 중요성은 상이합니다. 개인정보가 유출된 경우에는 행정대응이 필요합니다.
개인정보의 정의는 다음과 같이 일본의 ‘개인정보의 보호에 관한 법률’ (이하 ‘개인정보보호법’)을 제2조제1항에서 규정하고 있습니다.
(정의)
e-GOV|개인 정보 보호법 [ja]
제2조 이 법에서 ‘개인정보’란, 생존하는 개인에 관한 정보로서, 다음 각 호 중 어느 하나에 해당하는 것을 말한다.
1. 해당 정보에 포함된 성명, 생년월일 등의 기재(문서, 도면 또는 전자적 기록(전자적방식, 자기적방식 등 사람의 인식으로는 알아볼 수 없는 방식을 말한다. 다음 항 제2호에서 같다)으로 작성된 기록을 말한다. 이하 같다.)에 의해 특정 개인을 식별할 수 있는 것(다른 정보와 쉽게 대조할 수 있어 그에 따라 특정 개인을 식별할 수 있게 되는 것을 포함)
2. 개인식별코드가 포함된 것
위의 정의에 해당하는 정보는 개인정보로서, 개인정보보호법에 의한 보호를 받게 됩니다.
또한, 정보유출이 발생했을 때 기업이 취해야 하는 대응에는 행정대응 외에도 정보공개 등이 필요한 경우가 있습니다.
개인정보 유출에 관한 보고 의무
개인정보 취급사업자는 개인정보 유출 또는 유출 가능성이 있는 상황의 발생시, 상황에 따라 개인정보보호위원회에 보고할 의무가 있습니다.
2022년(레이와 4년) 4월 1일 이전에는 유출 또는 유출 가능성이 있는 상황이 발생했을 때의 일본 개인정보보호위원회에의 보고는 의무가 아닌 노력사항이었습니다. 그러나, 개인정보보호법이 개정되어 2022년 4월 1일 이후부터는 개인정보보호위원회에 보고하는 것이 의무화되었습니다.
여기서 말하는 ‘개인정보취급사업자’란, 개인정보 데이터베이스 등을 사업에 이용하는 사람을 말합니다. (일본 개인정보보호법 제16조 제2항) 단, 국가기관, 지방공공단체, 독립행정법인, 지방독립행정법인은 개인정보 취급사업자에 포함되지 않습니다.
‘개인정보 데이터베이스 등’이란, 개인정보를 포함하는 정보의 집합물로서 이용 방법에 따라 개인의 권리와 이익을 해할 가능성이 적은 것을 정부령으로 정한 것을 제외한 다음 두 가지 요건 중 하나를 충족하는 것을 말합니다(일본 개인정보보호법 제16조 제1항).
- 특정 개인정보를 컴퓨터를 이용하여 검색할 수 있도록 체계적으로 구성한 것
- 특정 개인정보를 쉽게 검색할 수 있도록 체계적으로 구성한 것
개인정보 데이터베이스 등을 사업에 이용하는 개인정보 취급사업자가 개인정보보호위원회에 보고 의무를 지게 됩니다.
개인정보보호위원회에 보고가 필요한 4가지 경우
개인정보 유출이 발생했을 때 개인정보보호위원회에 보고를 해야 하는 경우는 다음의 4가지가 있습니다(‘개인정보의 보호에 관한 법률 시행규칙’ 제7조).
- 주의가 필요한 개인정보가 포함된 개인 데이터의 유출 등이 발생하거나 발생할 가능성이 있는 경우
- 부정하게 이용되어 재산적 피해가 발생할 가능성이 있는 개인데이터의 유출 등이 발생하거나 발생할 가능성이 있는 경우
- 부정한 목적으로 행해진 것으로 의심되는 개인데이터의 유출 등이 발생하거나 발생할 가능성이 있는 경우
- 개인데이터에 관련된 본인의 수가 1,000명을 초과하는 유출 등이 발생하거나 발생할 가능성이 있는 경우
하기에서 이러한 경우에 대해 설명하겠습니다.
주의가 필요한 개인정보의 유출
‘주의가 필요한 개인정보’란, 본인의 인종, 신조, 사회적 신분, 병력, 범죄경력, 범죄피해 등, 본인에 대한 부당한 차별, 편견 그 외의 불이익이 발생하지 않도록 그 처리에 특별한 주의가 필요한 것으로 정부령으로 정하는 개인정보를 말합니다.
예를 들어, 직원의 건강검진 결과 등에서 직원의 병력에 관한 사항은 주의가 필요한 개인정보에 해당합니다.
재산적 피해가 발생할 가능성이 있는 개인정보의 유출
여기서는 개인데이터 중 부정하게 이용되어 재산적 손해가 발생할 가능성이 있는 개인데이터가 유출된 경우에 대해 규정하고 있습니다.
구체적인 예로는 기업이 고객의 신용카드 정보를 유출한 경우 등이 해당됩니다.
부정한 목적으로 행해진 개인정보의 유출
개인데이터를 유출한 주체에 부정한 목적이 있는 경우가 이에 해당합니다.
예를 들어, 제3자나 기업의 직원이 개인정보의 부정이용을 목적으로 기업의 네트워크에 부정하게 접근하여 개인데이터를 유출한 경우 등이 해당됩니다.
대규모 개인정보의 유출
개인 데이터에 관련된 본인의 수가 1,000명을 초과하는 유출의 경우가 이에 해당합니다.
대량의 개인 데이터를 다루는 기업의 경우, 한 번에 대량의 개인 데이터의 유출이 발생할 가능성이 있으므로 주의가 필요합니다.
정보 유출 시 개인정보보호위원회에 보고해야 할 사항
개인정보보호위원회에 보고가 필요한 상황이 발생했을 경우, 아래의 ‘개인정보의 보호에 관한 법률 시행규칙’ 제8조 제1항에 규정된 사항을 보고해야 합니다.
(개인정보보호위원회에의 보고)
e-GOV|개인정보의 보호에 관한 법률 [ja]
제8조 개인정보 취급사업자는, 법 제26조 제1항 본문의 규정에 따른 보고를 할 경우, 앞조 각호에 정한 사태를 알게 된 후, 신속하게, 해당 사태에 관한 다음에 열거하는 사항(보고하려는 시점에서 파악하고 있는 것으로 한정)을 보고해야 한다.
위에서 언급한 보고가 필요한 4가지 경우 중 어느 하나에 해당하는 경우, 사업자는 신속하게 다음 사항을 개인정보보호위원회에 보고해야 합니다.
- 개요
- 유출 등이 발생하거나 발생할 우려가 있는 개인 데이터 항목
- 유출 등이 발생하거나 발생할 우려가 있는 개인 데이터에 관련된 본인의 수
- 원인
- 2차 피해 또는 그 가능성 및 그 내용
- 본인에 대한 대응 상황
- 공개 상황
- 재발 방지를 위한 조치
- 기타 참고 사항
단, 이러한 보고사항 중에서 보고시점에서 파악하고 있는 것만으로도 충분합니다.
정보 유출 시 개인정보보호위원회에 대한 보고 기한
개인정보보호위원회에의 보고에는 기한이 정해져 있습니다(개인정보보호법 시행규칙 제8조 제2항).
개인정보보호위원회에의 보고는 원칙적으로 유출 등의 사태를 알게 된 날로부터 30일 이내에 이루어져야 합니다. 개인데이터 유출 등으로 인해 손상시킨 주체가 부정한 목적을 가지고 있는 경우에는 60일 이내에 보고가 이루어져야 합니다.
본인에 대한 통지 의무
개인정보 유출이 발생한 경우, 개인정보보호위원회에의 보고의무 외에도 본인에 대한 통지의무에 대해 규정하고 있습니다. (개인정보보호법 제26조 제2항).
본인에 대한 통지는, 본인이 가능한 한 빠른 시기에 개인정보의 유출 등에 대응을 할 수 있도록 하여, 본인의 권리와 이익이 침해되는 것을 방지하는 것이 목적입니다. 따라서, 개인정보 취급사업자는 본인에게 즉시 통지를 해야 합니다.
결론: 개인정보 유출에 대한 행정 대응은 변호사에게 상담하십시오
지금까지 기업에서 개인정보 유출이 발생했을 경우, 기업이 취해야 하는 대응에 대해, 행정대응을 중심으로 설명하였습니다.
기업으로서는, 당연히 정보유출 등이 발생하지 않도록 체계를 구축해 두는 것이 중요하지만, 만일 정보유출 등이 발생했을 경우에는 적절하게 대응해야 합니다.
개인정보보호법(Japanese Personal Information Protection Law)에 대해서는 많은 개정이 이루어졌으며, 복잡한 구조를 가지고 있기 때문에, 적절한 대응을 위해서는 전문 지식을 가진 변호사에게 상담하는 것을 권장합니다.
당사의 대책 안내
모노리스 법률사무소는 IT, 특히 인터넷과 법률의 양면에 높은 전문성을 가진 법률사무소입니다. 최근에는 개인정보 유출이 큰 문제가 되고 있습니다. 만일 개인정보가 유출된다면, 기업 활동에 치명적인 영향을 미칠 수도 있습니다. 당사는 정보 유출 방지 및 대응책에 대한 전문적인 지식을 가지고 있습니다.
