레이와 5년(2023년) 전기통신사업법 개정이란? 쿠키 규제에 대해 자세히 설명합니다

레이와 5년(2023년)에 시행될 예정인 ‘일본 전기통신사업법’ 개정에서는, 전기통신사업 환경의 변화를 고려하여 서비스의 원활한 제공과 위탁자 보호를 위해 다양한 규칙변경이 이루어집니다. 그 중에서도 특히 주목받는 것이 쿠키에 대한 규제입니다.

현재 쿠키를 이용하는 온라인 서비스는 매우 다양하며, ‘일본 전기통신사업법’의 개정으로 인해 온라인 서비스 운영에 어떤 영향을 미칠지는 많은 기업들의 관심사가 되고 있습니다. 앞으로의 웹 마케팅에도 큰 변화가 예상되고 있습니다.

이 글에서는 2022년 6월에 개정안이 확정되고, 2023년 6월 17일까지 시행을 맞을 ‘일본 전기통신사업법’과 그에 따라 마련된 ‘일본 전기통신사업법 시행규칙’ 등에 대해 소개합니다. 주목받는 쿠키규제에 대해서도 자세히 설명하겠습니다.

전기통신사업법 개정 개요

전기통신사업법은 전기통신사업의 공공성을 고려하여 그 운영을 적정하고 합리적으로 하며, 사업자 간의 공정한 경쟁을 촉진하고, 이용자의 이익을 보호하기 위한 법률입니다(전기통신사업법 제1조). 좀 더 쉽게 말하면, 인터넷, 휴대폰 등의 전기통신 서비스가 원활하게 제공될 수 있는 체계를 마련하고, 이용자의 이익과 국민의 편의성을 확보하는 것을 목표로 하고 있습니다.

전기통신사업자에 해당하는 사업은 전화나 인터넷 등의 정보통신 인프라를 제공하는 사업을 가리킵니다. 이번 개정에서는 대상 사업자의 범위확대를 비롯하여 다음과 같은 개정이 실시됩니다.

• 통신 서비스를 전기, 가스, 수도처럼 유니버설 서비스화
• 검색 엔진이나 SNS 등도 신고 대상으로 함
• 대형 휴대폰 캐리어와 저렴한 SIM 등의 공정한 경쟁 조성

2020년(헤이세이 32년) 이후, 재택근무나 웹회의, 원격교육 등이 급격히 일반화되었습니다. 이제 인터넷 환경은 개인이 선택하는 서비스가 아니라, 전기나 가스처럼 누구나 접근 가능한 인프라로 볼 수 있습니다. 이번 개정에서는 지역간의 통신격차를 없애기 위해, 인터넷 사업자가 수익을 내기 어려운 지역에서도 안정적인 서비스 제공을 보장할 수 있도록, 지급금 제도가 설립되었습니다.

‘전기통신사업자’의 범위도 변했습니다. 지금까지 대상에서 제외되었던 대규모 검색 서비스나 SNS도 규제 대상이 되었습니다. 즉, Google과 같은 대규모 검색 엔진이나, Twitter, Instagram 등의 SNS가 일정규모를 초과하는 경우 전기통신사업자로서 신고대상이 되었습니다.

다음은 이번에 새롭게 신고대상이 된 사업자의 조건입니다.

1. 검색정보 전기통신 역무(Google 등의 검색엔진) : 이용자 수가 1,000만 명 이상이며 분야를 가로질러 검색 서비스를 제공
2. 매개체 상당 전기통신 역무(Twitter 등의 SNS) : 이용자 수가 1,000만 명 이상이며 주로 불특정 이용자 간의 교류를 실질적으로 중개하는 것

또한, 휴대폰 대기업 3사와 그 외 MVNO 등의 경쟁 적정화를 이루기 위해, 요금산정방법의 제시의무 등을 명시하였습니다.

새롭게 도입된 ‘특정 이용자 정보’란

일본의 ‘전기통신사업법 시행규칙’에 따라, 새롭게 ‘특정 이용자 정보‘라는 개념이 도입되었습니다. 규제 대상은 이용자의 이익에 큰 영향을 미치는 전기통신 서비스를 제공하는 전기통신 사업자입니다. 구체적으로는, 매월 활성 이용자 수가 무료 서비스의 경우 1천만 명, 유료 서비스의 경우 500만 명 이상인 사업자가 규제 대상이 됩니다. 고정 전화·휴대전화, 인터넷 접속 서비스 사업자나, Google과 같은 검색 서비스, Twitter와 같은 SNS 등이 예시로 들 수 있습니다.

‘특정 이용자 정보’란, 이메일이나 전화 기록 등의 통신 비밀, 이용자 ID나 번호 등, 이용자를 식별할 수 있는 정보 등을 가리키며(전기통신사업법 시행규칙 [ja] 제2조의2, 제22조의2의21), 이러한 정보의 취급에 대해, 사업자는 다음과 같은 의무를 부담합니다(동 시행규칙 제22조의2의22). 또한, 쿠키에 저장되는 정보도 이 특정 이용자 정보에 포함됩니다.

1. 취급규정의 마련·신고
2. 취급방침의 마련·공표
3. 매 사업연도, 취급상황을 자체평가, 취급 규정·방침에 반영
4. 위의 시기에 대한 총괄관리자의 선임·신고
5. 유출시의 보고

특정 이용자 정보를 취급하는 사업자는, 그 취급방침을 마련하고 공표할 의무가 있습니다. 또한, 기술동향이나 사이버 공격위험 등의 자체평가를 실시하고, 필요에 따라 방침을 재검토해야 합니다.

또한, 누적 3년 이상의 경험을 가진 총괄관리자를 선임하고, 1,000명을 초과하는 이용자의 정보유출이 발생한 경우에는, 지체없이 일본의 ‘소방대장’에게 보고하는 것이 의무화되었습니다.

또한, 외부전송규칙, 일명 쿠키규제가 도입된 것은, 이번 개정에서 가장 중요한 포인트입니다. 하기에서 이어서 설명하겠습니다.

명시된 쿠키규제

쿠키란 무엇인가? 그 장점과 문제점

쿠키란, 사이트를 방문한 유저 정보를 브라우저에 저장하는 시스템을 가리킵니다. 즉, 웹사이트 등을 방문하는 유저가 PC나 스마트폰, 태블릿 등의 디바이스에서 웹 서버에 접속할 때, 해당 웹 서버가 유저의 디바이스에 저장하는 파일을 말합니다. 웹 서버는 유저가 접속할 때, 유저의 디바이스에 저장된 쿠키를 참조할 수 있습니다.

이를 통해, 한 번 사용한 웹 서비스의 사이트에 접속했을 때, 시스템은 그것이 이전에 방문한 유저임을 인식할 수 있습니다. 예를 들어, EC 사이트에서 쇼핑을 하고 있을 때, ‘관심 있는 상품을 장바구니에 넣고, 다른 상품 페이지를 잠시 둘러본 후 다시 장바구니를 보면, 방금 장바구니에 넣었던 상품이 그대로 있다’는 경험이 있을 것입니다. 사실, 이런 시스템에는 쿠키가 사용되고 있습니다.

간단히 말하면, 쿠키란 유저를 식별하기 위한 ID나 사이트를 방문한 날짜와 횟수 등 다양한 유저 정보가 집약된 데이터를 말합니다. 쿠키는 유저를 식별할 수 있기 때문에, 해당 유저가 두 번째 이후에 사이트를 방문했을 때 최적의 정보제공이 가능합니다.

쿠키를 사용함으로써, 유저가 의도하지 않은 곳에서 개인정보를 수집하는 것도 가능합니다. 어떤 위탁자가 어떤 디바이스에서 어떤 웹사이트에 접속하고 있는지를 수집함으로 유저의 취향과 선호의 분석이 가능합니다.

그러나, 대부분의 유저는 쿠키가 언제 어떤 데이터를 기록하고, 서버에 어떤 데이터를 전송하는지 알 수 없습니다. 쿠키의 데이터를 위탁자가 알지 못하는 제 3자의 기업이 비즈니스 목적으로 사용하는 것도 가능합니다. 따라서, 개인정보 침해와 관련해 2022년 4월의 개인정보보호법(Japanese Personal Information Protection Act) 개정에 따라, 쿠키가 ‘개인관련정보’로 지정되었습니다.

지금까지 많은 웹사이트 운영자들은 쿠키를 통해 위탁자 정보를 파악하고, 더욱 정확하고 효과적인 마케팅 접근을 시도하였습니다. 그러나, EU를 비롯한 여러 외국에서는 쿠키를 사용한 개인정보 침해가 문제시되어, 대책이 마련되어 왔습니다. 특히 EU 지역의 웹사이트를 방문하면, 쿠키의 사용에 동의를 요구하는 메시지가 표시되는 것을 많은 분들이 눈치챘을 것입니다.

퍼스트 파티 쿠키와 서드 파티 쿠키

쿠키는 크게 퍼스트 파티 쿠키와 서드 파티 쿠키의 2가지로 분류할 수 있습니다.

퍼스트 파티 쿠키란 유저가 방문하는 웹사이트의 도메인에서 직접 발행되는 쿠키를 말합니다. 즉, ‘쿠키의 발행원 도메인’ = ‘방문 웹사이트의 도메인’인 쿠키를 말합니다. 퍼스트 파티(first party)는 ‘당사자’라는 의미입니다. 위탁자가 방문한 웹사이트의 서버와 유저의 디바이스 간에서 쿠키의 교환이 완료되기 때문에 퍼스트 파티 쿠키라고 부릅니다.

반면, 서드 파티 쿠키란 유저가 방문한 웹사이트 외의 서버(제3자)에서 발행되는 쿠키를 말합니다. 유저가 방문한 웹사이트의 서버와 유저의 디바이스 간에서 완료되지 않고, 그 외의 서버와의 교환을 통해 데이터가 교환되기 때문에 서드 파티 쿠키라고 부릅니다.

일본 전기통신사업법(電気通信事業法) 개정에 따라 쿠키규제의 대상이 되는 것은 주로 서드 파티 쿠키의 사용입니다.

서드 파티 쿠키는 여러 도메인을 걸쳐 유저의 브라우징 기록정보 등을 얻을 수 있습니다. 특정 디바이스의 브라우징 기록을 얻으며, 그 디바이스 유저가 어떤 것에 관심이 있는지를 프로파일링 할 수 있게 됩니다. 유저가 인지하지 못하는 곳에서 자신의 취향이 프로파일링되어 광고 등에 사용되면, 위탁자의 불안을 유발하고, 개인정보보호 측면에서도 문제가 발생합니다. 과거에 방문한 사이트의 광고나 관련 상품의 광고가 많이 표시되는 경험을 많은 사람들이 해보았을 것입니다.

일본에서는 지금까지 쿠키의 사용자체를 직접적으로 규제하는 법규가 존재하지 않았습니다. 2010년 3월에 일본 총무성정보통신연구소(総務省情報通信研究所) 공표한 ‘행동 타겟팅 광고의 경제효과와 위탁자 보호에 관한 연구 보고서’에서 타겟팅 광고를 사용하는 사업자는 그 사용에 대해 명시하거나, 사전에 동의를 얻는 것이 바람직하다는 의견이 제시되었습니다. ‘바람직하다’는 말 그대로, 명확한 법적구속력은 없었습니다.

이번 전기통신사업법 개정은 ‘바람직하다’에서 한 걸음 나아가 ‘해야 한다’고 명시한 점에서, 쿠키 사용을 직접적으로 규제하는 법적규칙을 신설하는 움직임을 보입니다.

쿠키 규제의 내용

개정 전기통신사업법 제27조의 12는 “이용자에게 전기통신업무를 제공할 때, 해당 이용자의 전기통신설비를 송신처로 하는 정보송신지시통신(중략)을 하려고 할 때, 총무성령으로 정하는 바에 따라, 미리, 해당 정보송신지시통신이 작동시키는 정보송신기능에 의해 송신되게 될 해당 이용자에 관한 정보의 내용, 해당 정보의 송신처가 될 전기통신설비 그 밖의 총무성령으로 정하는 사항을 해당 이용자에게 통지하고, 또는 해당 이용자가 쉽게 알 수 있는 상태에 두어야 한다”고 규정하고 있습니다.

조금 어려운 부분이지만, 요약하면

• 이용자에게 전기통신업무(즉, 온라인 서비스)를 제공할 때
• 이용자의 전기통신설비(컴퓨터나 스마트폰)를 송신처로 하는 정보송신지시통신을 하려고 할 때

는 정해진 사항을 이용자에게 통지하거나 이용자가 쉽게 알 수 있게 해야한다는 것입니다.

그렇다면, 이용자에게 통지하는 ‘정해진 사항’은 구체적으로 무엇을 가리키는 것일까요?

개정 전기통신사업법 제27조의 12 및 개정 전기통신사업법 시행규칙 제22조의 2의 29에 따르면, 이러한 정보송신지시통신을 하는 경우, 다음 사항을 이용자에게 통지하거나, 이용자가 쉽게 알 수 있는 상태에 두어야 한다고 규정합니다.

• 송신하는 ‘이용자에 관한 정보’의 내용
• 송신처의 서버를 이용하여 ‘이용자에 관한 정보’를 처리하는 자의 성명/명칭
• 송신하는 ‘이용자에 관한 정보’의 이용 목적

즉, 쿠키규제의 대상이 되는 쿠키를 이용하면, 수집하는 쿠키정보나 송신처, 이용목적 등의 정보를 본인에게 통지하는 시스템을 도입하거나, 쿠키정책을 공표하는 등을 통해 이용자가 쉽게 알 수 있게 해야합니다.

쿠키규제의 4가지 예외 사항

개정된 일본 전기통신사업법 제27조의 12에서는 다음 4가지 경우에 유저에게 특정 사항을 알리거나, 유저가 쉽게 알 수 있게 할 필요가 없다고 규정합니다.

1. 해당 전기통신 서비스에서 전송하는 코드, 음향 또는 영상을 해당 유저의 전기통신 장비의 화면에 적절하게 표시하기 위해 필요한 정보 및 위탁자가 전기통신 서비스를 이용할 때 전송이 필요한 것으로 일본 내무성령으로 정하는 정보

개정된 일본 전기통신사업법 시행규칙 제22조의 2의 30에 따르면, 다음 사항이 해당됩니다.

• 서비스를 제공하기 위해 필요한 정보
• 유저가 서비스 이용시 입력한 정보(인증 정보 포함)를 재표시하기 위해 필요한 정보
• 부정행위의 탐지 및 피해감소를 위해 필요한 정보
• 서버의 적절한 운영을 위해 필요한 정보

2. 해당 전기통신 사업자 또는 제3호 사업을 영위하는 자가 해당 유저에게 해당 전기통신 서비스를 제공한 후 해당 위탁자의 전기통신 장비에 전송한 식별코드(전기통신 사업자 또는 제3호 사업을 영위하는 자가, 전기통신 서비스 제공 시, 유저를 타인과 구별하여 식별하기 위해 사용하는 문자, 번호, 기호 등)로서, 해당 정보 전송 지시 통신이 활성화시키는 정보전송기능에 의해 해당 전기통신 사업자 또는 제3호 사업을 영위하는 자의 전기통신 장비를 전송대상으로 전송되는 것

조금 복잡하지만, 이는 ‘자사가 위탁자의 장치에 전송한 ID를 자사의 서버에 전송하는 경우’를 가정하고 있습니다. 즉, 앞서 언급한 퍼스트 파티 쿠키의 경우는 예외가 되며, 써드 파티 쿠키만이 규제의 대상이 됩니다.

3. 유저의 전기통신장비에 전송되는 것에 대해 해당 위탁자가 동의하는 정보

자주 보게 되는 ‘쿠키의 사용에 동의하시겠습니까’라는 문구는 이 조항 때문입니다. 동의한 유저에 대해서는, 이 알림 등이 필요 없게 됩니다.

4. 해당 정보 전송 지시 통신이 다음 중 어느 하나에도 해당하는 경우에는, 해당 유저가 (중략) 규정하는 조치의 적용을 요구하지 않는 정보

이는 소위 말하는 옵트아웃 조치를 취해, 유저가 쿠키정보의 수집 및 이용을 언제든 거부할 수 있는 상태를 유지하는 경우를 의미합니다.

결론: 개정된 일본 전기통신사업법 대응책은 전문가에게 상담하십시오

온라인 서비스의 급속한 발전으로 인해, 해당 분야의 법률개정이 빈번히 이루어지고 있습니다. 관련 문헌도 부족한 관계로, 최신정보를 파악하고 대응하는 것은 쉽지 않을 것입니다.

일본 전기통신사업법 및 그에 따른 규정에 대한 대응책은 전문가의 조언을 받으며 진행하는 것을 권장합니다.

당사의 대책 안내

모노리스 법률사무소는 IT, 특히 인터넷과 법률의 양면에 풍부한 경험을 보유한 법률사무소입니다. 개정된 일본 전기통신사업법(Japanese Telecommunications Business Act)은 조문도 복잡하고, 전문가가 아니라면 이해하기 어렵다고 할 수 있습니다. 합법적으로 비즈니스를 운영하기 위해서는 법률 검토가 필요하므로, 꼭 한 번 상담해 보시기 바랍니다. 아래 기사에서 자세한 내용을 확인하실 수 있습니다.

모노리스 법률사무소의 취급 분야: IT 및 벤처기업의 기업법률 [ja]