국가정보_일본
법률체계
1개요
일본에서 기업의 고객정보가 유출되고 개인정보가 판매되어 유통되는 등 개인의 프라이버시 침해 문제가 제기되고 국민의 의식이 높아지면서 개인정보 처리에 대한 국민적인 관심과 불안감이 증대되었다. 이러한 배경에 따라 국민이 안심하고 개인정보의 적정한 취급의 원칙을 정하여 국민 권리의무의 침해를 미연에 방지하려는 목적으로 개인정보보호에 관한 법률(個人情報の保護に関する法律)이 2003년 5월 제정되어 2005년 4월부터 시행되었다. 이후 정보사회 환경이 변화하면서 개인정보의 자유로운 활용을 허용할 수 있는 경계가 불명확하게 되었고, 보호 대상이 되는 개인정보의 범위와 사업자가 준수할 원칙의 불명확성이 더욱 증대됨에 따라 보호 대상과 보호 원칙을 분명히 하여 소비자를 안심시킬 수 있는 제도의 필요성이 커졌다. 이에 2015년 개인정보를 보호하고 신산업 발전을 추구하는 것을 목표로 하여 개인정보보호법이 한 차례 개정되었다. 개정법은 2015년 9월 9일 공포된 후 2016년 1월 일본 개인정보 감독기구인 개인정보보호위원회(個人情報保護委員会) 설치 등 각 조항별로 순차 시행되었으며 2017년 5월 30일부터는 전면 시행에 돌입했다.
이후, 2020년 6월 5일 일본 국회는 동법을 추가로 개정하는 법안을 승인하였고 동 개정 법률은 2022년 4월부터 시행에 들어갔으며, 이후 행정기관과 독립행정법인1) 각각을 대상으로 한 개별 개인정보보호법2) 등이 폐지되고 단일 법률로 통합되었다.
일본에서 기업의 고객정보가 유출되고 개인정보가 판매되어 유통되는 등 개인의 프라이버시 침해 문제가 제기되고 국민의 의식이 높아지면서 개인정보 처리에 대한 국민적인 관심과 불안감이 증대되었다. 이러한 배경에 따라 국민이 안심하고 개인정보의 적정한 취급의 원칙을 정하여 국민 권리의무의 침해를 미연에 방지하려는 목적으로 개인정보보호에 관한 법률(個人情報の保護に関する法律)이 2003년 5월 제정되어 2005년 4월부터 시행되었다. 이후 정보사회 환경이 변화하면서 개인정보의 자유로운 활용을 허용할 수 있는 경계가 불명확하게 되었고, 보호 대상이 되는 개인정보의 범위와 사업자가 준수할 원칙의 불명확성이 더욱 증대됨에 따라 보호 대상과 보호 원칙을 분명히 하여 소비자를 안심시킬 수 있는 제도의 필요성이 커졌다. 이에 2015년 개인정보를 보호하고 신산업 발전을 추구하는 것을 목표로 하여 개인정보보호법이 한 차례 개정되었다. 개정법은 2015년 9월 9일 공포된 후 2016년 1월 일본 개인정보 감독기구인 개인정보보호위원회(個人情報保護委員会) 설치 등 각 조항별로 순차 시행되었으며 2017년 5월 30일부터는 전면 시행에 돌입했다.
이후, 2020년 6월 5일 일본 국회는 동법을 추가로 개정하는 법안을 승인하였고 동 개정 법률은 2022년 4월부터 시행에 들어갔으며, 이후 행정기관과 독립행정법인1) 각각을 대상으로 한 개별 개인정보보호법2) 등이 폐지되고 단일 법률로 통합되었다.
2일본 개인정보보호법
일본은 ‘개인정보보호 기본방침(個人情報の保護に関する基本方針)’과 ‘개인정보보호법(個人情報保護法)’을 토대로 공공 분야와 민간 분야를 대상으로 한 개인정보보호 법률과 가이드라인을 제정하였다.
1) 법인 설립체 중 국민생활 및 사회 경제 안정 등의 공적인 관점에서 제공될 필요성이 명확한 사무 및 사업을 담당하는 법인. 예) 내각부 산하의 국립공문서관과 일본의료연구개발기구, 총무성 산하의 정보통신연구기구와 통계센터 등
2) 행정기관 개인정보보호법(行政機関の保有する個人情報の保護に関する法律), 독립행정법인 개인정보보호법(独立行政法人 等の保有する個人情報の保護に関する法律)
가. 개인정보 보호법의 역사
일본은 공공부문 개인정보보호를 위한 최초의 법률로서 1988년 ‘행정기관이 보유한 전자계산기처리와 관련된 개인정보보호에 관한 법률’을 마련했으며, 2003년 5월 민간 영역을 규제대상에 포함시킨 ‘개인정보보호법(個人情報の保護に関する法律)’을 제정하였다3)
2015년 9월에는 개인정보의 이용 규제를 완화하고 개인정보의 제3자 활용 요건을 구체적으로 명시한 개정 개인정보보호법이 공포되어 2017년 5월부터 시행되었는데 개정법에서는 개인정보에 대한 정의를 명확히 하고, 익명가공정보의 개념·취급·관리 사항을 규정함으로써 개인정보 활용 촉진을 위한 제도 마련에 주안을 두었다. 또한 개인정보 취급 감독 권한을 보유한 개인정보보호위원회 설치와 개인정보 국외이전 관련 원칙을 제시함으로써 국제적인 수준에서의 개인정보 취급을 위한 제도 기반을 구축하였다. 이외에 개인정보 취급 시 정보주체의 권리보장을 위한 동의 및 고지 제도와 개인정보 데이터베이스를 무단으로 제3자에게 제공하거나 도용하는 행위를 처벌하기 위한 데이터베이스 제공죄 조항 등을 신설했다.
2020년 6월에는 혁신 기술 기반, 개인정보를 활용할 수 있는 요건을 명확히 하고 기업이 개인의 인터넷 열람 이력을 제3자에게 제공하는 행위를 규제하기 위해 개인정보보호법이 한 차례 더 개정되었는데, 2020년 개정되어 현재 시행 중인 해당 법률의 구성은 다음과 같다.
[표 1] 현행 개인정보보호법(2022년 4월 시행) 주요 구성
[표 1] 현행 개인정보보호법(2022년 4월 시행) 주요 구성
구분
주요 내용
조
제1장
총칙
제1조~제3조
제2장
국가 및 지방공공단체의 책무 등
제4조~제6조
제3장
개인정보보호에 관한 시책 등
제7조~제15조
제4장
개인정보최급사업자 등의 의무
제16조~제59조
제5장
행정기관 등의 의무 등
제60조~제126조
제6장
개인정보보호위원회
제127조~제165조
제7장
잡칙
제166조~제170조
제8장
벌칙
제171조~제180조
기존 대비 현행 개인정보보호법에 반영된 주요 내용은 다음과 같다. ① 가명정보의 개념을 추가하였다. 가명정보란 개인정보가 포함된 기술(記述)을 일부 삭제하여 다른 정보와 대조하지 않는 한 특정 개인을 식별할 수 없도록 처리된 개인정보로서, 개인정보에 대한 자체 분석은 허용하되 익명 처리된 정보와는 달리 제3자 제공이 불가능한 정보를 의미한다. (제2조제5항) ② 쿠키 등 “개인과 연관되어 사용하는 정보” 제공 시 본인 동의를 의무화하고, 원치 않는 개인정보 이용을 중지할 수 있도록 기업에 요구할 수 있는 권리를 보장(제18조 외)하는 등 개인의 권리 보호를 강화하였다. ③ 개인정보보호법을 위반한 법인에 대해 최대 1억 엔까지 벌금을 상향 조정하는 등 처벌을 강화하였고 (제179조) 일본 국내 체재자의 개인정보를 취급하는 해외 기업에도 법률 적용을 확대하였다. (제166조 외) ④ 정보를 제공하는 외국의 개인정보보호 제도나 해외 제3자가 강구하는 개인정보보호를 위한 조치를 포함하여 개인정보를 제공한 정보주체에게 이전에 대해 고지(제28조제2항, 제3항)하도록 요구하는 등 개인정보 국외이전 관련 규제를 강화하였다. ⑤ 개인정보 침해 사고에 대한 보고의무를 강화하여 개인정보 취급사업자는 개인정보보호위원회의 규정에 따라 유출, 멸실, 훼손이 있는 경우 개인정보보호위원회에 보고해야 하고 해당 규정에 따라 정보주체에게도 그 사실을 통지하도록 하였다. (제26조)
3) https://www.ppc.go.jp/files/pdf/personal_development.pdf
4) https://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf
5) https://www.businesslawyers.jp/articles/822
나. 개인정보보호 기본방침(個人情報の保護に関する基本方針)6)
개인정보보호법 제7조제1항에서는 동법이 추구하는 개인정보의 적절하고 효과적인 활용을 통해 신산업 창출과 경제 활성화와 함께 개인의 권익 추구라는 목적을 달성하기 위한 기본적인 방향성을 제시하고 있으며, 이를 위해 2004년 4월 개인정보보호 기본방침이 각의7)에서 결정되었다. 동 지침8)은 개인정보보호법의 이념과 제도 추진의 방향성으로 ▲개인정보보호와 유용성을 위한 배려 ▲법의 올바른 이해를 촉진하기 위한 체제 ▲각 주체들 간의 연계와 협력 ▲데이터 거버넌스 체제 구축 ▲개인 데이터9) 리터러시 향상 등을 제시했다. 또한 국가가 강구해야 할 개인정보보호를 위한 조치로 ▲각 주체들에 의한 개인정보의 적절한 취급 ▲개인정보의 보호 및 원활한 유통을 확보하기 위한 국제적 협력 체계 ▲개별 사안에 대한 대응력 강화 ▲홍보·계발 정보제공 등에 관한 방침 ▲개인정보 보호위원회의 활동 상황 공표 등을 밝히기도 했다.
6) https://www.ppc.go.jp/files/pdf/280219_personal_basicpolicy.pdf
7) 일본 내각제 하의 각료회의를 의미하며, 우리나라의 국무회의와 유사
8) 동 보고서 작성 시점 최근 개정 기본방침은 ‘22년 4월 1일 시행
9) 일본 개인정보보호법은 개인정보와 개인 데이터를 구분하고 있으며, 관련 내용은 9페이지 참조
다. 행정기관 개인정보보호법(行政機関の保有する個人情報の保護に関する法律10)
개인정보보호위원회는 개인정보보호법을 포함하여 하기의 법률·시행령·규칙 등을 소관하고 있다.
[표 2] 일본 개인정보보호위원회 소관 개인정보보호 관련 법률·시행령·규칙
[표 2] 일본 개인정보보호위원회 소관 개인정보보호 관련 법률·시행령·규칙
구분
주요 내용
법률
개인정보보호법
기본방침
개인정보보호 기본방침
시행령
개인정보보호법 시행령
규칙
개인정보보호법 시행령 규칙
개인정보보호법 제5장에 의한 행정기관 비식별가공정보 제공에 관한 규칙
개인정보보호법 제5장에 의한 독립행정법인 등 비식별가공정보 제공에 관한 규칙
보완 규정
개인정보보호법에 관한 EU 및 영국 역내로부터 적정성 인정에 의해 이전받은 개인정보의 취급에 관한 보완적 규정
가이드라인
개인정보보호법 가이드라인
행정기관 개인정보보호법 가이드라인
독립행정법인 개인정보보호법 가이드라인
고용관리 분야 개인정보 중 건강정보 취급 시 유의사항
금융 관련 분야 가이드라인
의료 관련 분야 가이드라인
기타 특정 분야 가이드라인
10) https://www.ppc.go.jp/personalinfo/legal/
라. 주요 내용
(1)개인정보 및 민감정보의 정의
개인정보(個人情報)는 생존한 개인에 관계된 정보로서 ① 당해 정보에 포함되어 있는 성명, 생년월일 및 그 밖의 기술 등에 의해 특정의 개인을 식별할 수 있는 것 ② 개인식별부호가 포함된 것을 의미한다. 구체적으로 다음의 경우를 개인정보의 예시로 들 수 있다
① 본인의 성명
② 생년월일, 연락처(주소·전화번호·이메일 주소), 회사에서의 직위 또는 소속에 관한 정보에 대해서, 그것들과 본인의 성명을 조합한 정보
③ 방범 카메라에 기록된 정보 등 본인을 판별할 수 있는 영상정보
④ 본인의 이름이 포함되는 등의 이유로 인해 특정 개인을 식별할 수 있는 음성 녹음정보
⑤ 특정 개인을 식별할 수 있는 이메일 주소 (kojin_ichiro@example.com 등과 같이 이메일 주소만 있는 경우에도, example사에 소속한 고진 이치로의 이메일 주소라는 것을 알 수 있는 것과 같은 경우 등)
⑥ 개인정보를 취득한 후에 그 정보에 부가된 개인에 관한 정보(취득 시에는 생존하는 특정 개인을 식별할 수 없었더라도 취득 후에 새로운 정보가 더해지거나 또는 대조한 결과 생존하는 특정 개인을 식별할 수 있게 된 경우에는, 그 시점에서 개인정보에 해당한다.)
⑦ 관보, 전화번호부, 직원명부, 법정 개시 서류(유가증권보고서 등), 신문, 홈페이지, SNS 등으로 공공연하게 된 특정 개인을 식별할 수 있는 정보
개인식별부호(個人識別符號)는 다음의 어느 하나에 해당하는 문자, 번호, 기호 및 그 밖의 부호 중 정령(政令)으로 정하는 것을 말한다.
① 특정 개인의 신체 일부의 특징을 전자기기 용도에 이용하기 위하여 변환한 문자, 번호, 기호 및 그 밖의 부호로서 당해 특정 개인을 식별할 수 있는 것
② 개인에게 제공되는 서비스의 이용 혹은 개인에게 판매되는 상품의 구입과 관련하여 할당되거나 또는 개인에게 발행된 카드 및 그 밖의 서류에 기재되거나 혹은 전자적 방식에 의해 기록된 문자, 번호, 기호 및 그 밖의 부호로서 그 이용 혹은 구입 당사자 또는 발행을 받은 자마다 달라지도록 할당되거나 또는 기재 혹은 기록됨으로써 특정의 이용 혹은 구입 당사자 또는 발행을 받은 자를 식별할 수 있는 것
정령에서는 개인식별부호를 더욱 구체화하고 있다. 정령에 따르면 여권번호, 기초연금번호, 면허증번호, 주민표 코드뿐만 아니라 다음과 같은 신체 특징도 개인식별부호에 포함하고 있다.
① 세포에서 채취된 DNA를 구성하는 염기서열
② 얼굴의 골격 및 피부색, 그리고 눈, 코, 입, 기타 얼굴 부위의 위치 및 형상에 따라서 정해지는 용모
③ 홍채 표면의 기복에 의해서 형성되는 선상 모양
④ 발성 시의 성대의 진동, 성문의 개폐 및 성도의 형상 및 그 변화
⑤ 보행 시의 자세 및 양팔의 동작, 보폭, 기타 보행 모습
⑥ 손바닥 또는 손등, 혹은 손가락 피하 정맥의 분지 및 단점에 따라서 결정되는 정맥 형상
⑦ 지문 또는 손바닥 무늬
동법에서는 민감정보에 대해서는 정의 내리고 있지 않지만, 이와 유사한 개념인 배려가 필요한 개인정보(要配慮個人情報)를 별도로 정의하고 있다. 배려가 필요한 개인정보란 본인의 인종, 신조, 사회적 신분, 병력, 범죄의 경력, 범죄로 인해 피해를 입은 사실 및 그 밖에 본인에 대한 부당한 차별, 편견 및 그 밖의 불이익이 생기지 않도록 그 취급에 특별히 배려를 요하는 것으로서 정령으로 정하는 기술 등이 포함되는 개인정보를 의미한다.
세부적으로, ① 인종은 인종, 가계 또는 민족적 혹은 종족적 출신을 폭넓게 의미한다. 단순한 국적이나 외국인이라는 정보는 법적 지위이고, 그것만으로는 인종에는 포함하지 않는다. 피부색은 인종을 짐작하게 하는 정보에 지나지 않기 때문에 인종에는 포함하지 않는다. ②신조는 개인의 기본적인 생각과 사고방식을 의미하고 사상과 신앙 모두를 포함하는 것이다. ③ 사회적 신분은 어떤 개인이 평생 자력으로 쉽게 그로부터 벗어날 수 없는 지위를 의미하며, 단순한 직업적 지위나 학력은 포함하지 않는다. ④ 병력은 병에 걸린 경력을 의미하는 것으로, 특정 병력을 나타낸 부분(예: 특정 개인이 암에 걸렸거나, 조현병을 앓는 등)이 해당한다. ⑤ 범죄 경력은 전과, 즉 유죄 판결을 받아 확정된 사실이 해당한다. ⑥ 범죄 피해를 입은 사실은 신체적 피해, 정신적 피해 및 금전적 피해를 묻지 않고 범죄 피해를 입은 사실을 의미한다. 구체적으로는, 형벌 법령에 규정되는 구성요건에 해당할 수 있는 행위 중에서, 형사사건에 관한 절차에 착수된 것이 해당된다.
한편, 익명가공정보(匿名加工情報)는 개인정보에 포함되는 내용 중 일부를 삭제하거나 개인식별부호 전부를 삭제함으로써 특정 개인을 식별할 수 없도록 개인정보를 가공해 얻은 개인에 관한 정보이며, 해당 개인정보를 복원할 수 없도록 한 것을 말한다.
(2) 적용 범위
1) 인적 범위
개인정보보호법은 개인, 법인 및 일본의 모든 개인정보 취급사업자에 적용된다. 5,000명 이상의 개인정보를 취급하지 않은 개인 또는 법인에 대한 예외는 2017년 개정으로 폐지되었지만, 일반 지침은 '중소사업자'에 대한 완화된 보안 조치 기준을 유지하고 있다. 동법은 업무 목적으로 개인정보를 취급하는 개인 또는 단체에 적용되는데, ‘업무’가 반드시 이익을 추구하는 것만을 뜻하지는 않는다. 방송, 신문 등 언론 기관, 작가, 대학 또는 기타 학술 기관, 종교 단체 및 정당은 해당 언론, 전문 저술, 학술 및 정치 활동과 관련하여 적용 의무가 각각 면제된다.
2) 영토적 범위
일본에서 해당 개인에게 상품 또는 서비스를 제공할 목적으로 정보주체의 개인정보를 취득하는 해외 개인정보 취급사업자는 해당 개인정보를 취급하는 경우 개인정보보호법의 적용을 받는다. 개인정보보호위원회는 그러한 역외 개인정보 취급사업자에 대해 개인정보보호법을 집행할 수 없지만 외국 규제 당국에 정보를 제공하는 방식으로 규제 집행 목적을 달성한다.
해외 개인정보 취급사업자가 일본 내 본인에게 제공한 상품 또는 서비스 제공과 관련하여 일본 내 본인의 개인정보를 취득한 경우에만 해당 조항이 역외적으로 적용된다.
3) 물적 범위
개인정보보호법은 개인정보 취급사업자의 개인정보 '취급'에 적용되지만, '취급'은 동법이나 개인정보보호위원회 가이드라인에 정의되어 있지 않고 비교적 폭넓게 받아들여진다. 일본 정부 주최 토론에서에는 취급을 수집(취득), 보유, 사용, 이전 및 기타 취급 행위를 의미한다고 설명한 바 있다.
(3) 개인정보처리 동의11)
개인정보보호법 제18조에는 ‘개인정보 취급사업자는 미리 본인의 동의를 얻지 않고 전조의 규정에 의해 특정된 이용 목적의 달성에 필요한 범위를 넘어 개인정보를 취급해서는 안 된다’라고 명시하고 있고, 또한 동법 제23조에는 ‘개인정보 취급사업자는 다음 각호의 경우를 제외하고는 미리 본인의 동의를 얻지 않고 개인정보를 타인에게 제공하여서는 아니된다‘라고 규정하고 있다. 이때 ‘본인의 동의’란 본인의 개인정보를 개인정보 취급사업자가 취급하는 것을 승낙하는 취지의 의사표시이다.
개인정보 처리의 적법한 근거에는 동의를 비롯하여 정보주체와의 계약, 법적 의무 준수, 공익에 의한 개인정보 처리 등이 있으나, 정보주체의 정당한 이익, 개인정보처리자의 정당한 이익 등은 처리의 적법한 근거로 인정되지 않는다.
11) 경제산업성, 개인정보보호에 관한 법률, 가이드라인 등 https://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.html
(4) 정보주체의 동의
1) 정보를 제공받을 권리
개인정보보호법은 명시적으로 정보주체에게 정보를 제공받을 권리를 부여하고 있지는 않고, 다만 개인정보 취급사업자에게 정보 제공 의무를 부과함으로써 간접적으로 정보주체가 정보를 제공받을 수 있도록 규정하고 있다.
개인정보 취급사업자는 개인정보를 취득한 경우에 미리 그 이용 목적을 공표하고 있는 경우를 제외하고 신속하게 그 이용 목적을 본인에게 통지하거나 공표하여야 하며, 이용 목적을 변경한 경우에는 변경된 이용 목적에 대하여 본인에게 통지하거나 공표해야 한다. (제21조)
또한 개인정보 취급사업자는 자신이 보유한 개인정보에 관하여 아래의 내용을 본인이 알 수 있는 상태로 두어야 한다. (제32조제1항)
① 개인정보 취급사업자의 성명/명칭, 주소, 개인정보 취급사업자가 법인인 경우 대표자의 성명
② 보유한 개인정보의 이용 목적
③ 정보주체의 주요 권리행사와 관련된 요청에 대한 대응 절차 및 개인정보의 안전한 취급을 위해 취하는 조치, 보유 개인정보의 처리와 관련해 불만을 제기할 곳
`
2) 접근권
정보주체는 개인정보 취급사업자에 사업자가 보유하고 있는 자신을 식별할 수 있는 개인정보를 공개할 것을 요구할 수 있다. 개인정보 취급사업자는 정보주체로부터 위와 같은 요구를 받은 때에는 본인이 요청한 방법대로 지체 없이 해당 보유 개인정보를 공개하여야 한다. (제33조) 또한 개인정보 취급사업자는 본인으로부터 보유 개인정보의 이용 목적을 통지해 줄 것을 요청받은 경우 지체 없이 본인에게 이를 통지해야 한다. (제32조제2항)
다만, 동법에서는 개인정보 취급사업자가 개인정보 공개 시 공개해야 하는 정보의 종류 및 목록에 대해서는 별도로 규정하고 있지 않다.
3) 정정권
정보주체는 개인정보 취급사업자에 대해 사업자가 보유하고 있는 자신을 식별할 수 있는 개인정보 내용이 사실이 아닌 경우 해당 개인정보 내용의 정정, 추가 또는 삭제를 요구할 수 있다. 개인정보 취급사업자는 내용의 정정 등에 관하여 다른 법령의 규정에서 특별히 정한 절차가 있는 경우를 제외하고는 이용 목적 달성에 필요한 범위 내에서 지체 없이 필요한 조사를 실시하고, 그 결과에 따라 자신이 보유한 개인정보 내용에 대해 정정 등을 실시해야 한다.
개인정보 취급사업자는 정보주체의 요구에 따라 보유 개인정보의 내용의 전부 또는 일부에 대하여 정정 등을 실시한 때에는 정정 내용 및 그 취지, 정정을 실시하지 아니하는 취지의 결정을 한 때에는 본인에게 지체 없이 그 취지를 통지하여야 한다. (제34조)
4) 반대권(이용정지) 및 삭제권
정보주체는 개인정보 취급사업자에 대하여 사업자가 보유하고 있는 자신을 식별할 수 있는 개인정보가 이용 목적 범위를 초과하여 취급되고 있거나 부적절하게 이용되고 있는 경우, 혹은 개인정보가 허위 기타 부정한 수단을 통해 취득된 경우 개인정보의 이용정지 및 삭제를 요구할 수 있다. 개인정보 취급사업자는 이용정지 및 삭제 요청을 받은 경우 그 요청이 이유가 있음이 판명된 때에는 위반을 시정하기 위해 필요한 한도에서 지체 없이 개인정보 이용정지 및 삭제를 수행해야 한다.
또한, 정보주체는 ▲개인정보 취급사업자가 자신의 개인정보를 이용할 필요가 없어진 경우 ▲사업자가 보유한 자신의 개인정보가 유출, 멸실, 훼손된 경우 ▲기타 자신의 권리 및 정당한 이익이 훼손될 우려가 있는 경우 등에는 자신의 개인정보를 이용정지 및 삭제할 것을 요구할 수 있다. 개인정보 취급사업자는 그 요구가 이유가 있다고 판명된 때에는 정보주체의 권리이익 침해를 방지하기 위해 필요한 한도에서 지체 없이 해당 개인정보를 이용정지 및 삭제해야 한다. 마찬가지로 개인정보 취급사업자는 정보주체의 요구에 따라 보유 개인정보의 전부 또는 일부를 이용정지 및 삭제하거나 혹은 이용정지 및 삭제하지 않기로 결정한 때에는 본인에게 지체 없이 그 취지를 통지하여야 한다. (제35조)
한편, 개인정보 취급사업자는 이용 목적의 달성에 필요한 범위 내에서 개인정보를 정확하고 최신의 내용으로 유지해야 하는데, 개인정보를 이용할 필요가 없어진 때에는 해당 개인정보를 지체 없이 삭제하도록 노력해야 한다. (제22조) 다만 동법에서는 구체적인 삭제 기한을 명시하고 있지 않다.
5) 개인정보 취급사업자의 의무
일본 개인정보보호법에서는 개인정보 처리를 담당하는 컨트롤러 또는 프로세서를 통칭하여 개인정보 취급자라는 표현을 사용하고 있다. 동법에서는 개인정보 취급사업자의 의무와 관련하여 ▲처리 활동 기록 유지 의무 관련 요건 ▲개인정보 영향평가 수행 요건 ▲DPO 지정 요건 등을 두고 있지 않으며, 제4장 전반에 걸쳐 다음과 같은 의무만을 규정하고 있다.
① 개인정보를 취급함에 있어 이용 목적을 최대한 특정해야 하며, 원칙적으로 이용 목적 달성에 필요한 범위를 넘어 개인정보를 취급해서는 안 된다.
② 개인정보를 취득하는 경우에는 이용 목적을 통지·공표하지 않으면 안 되며, 본인으로부터 직접 서면으로 개인정보를 취득하는 경우에는 미리 본인에게 이용 목적을 반드시 명시해야 한다.
③ 개인정보를 안전하게 관리하고 직원 및 용역업체에 대한 감독을 실시해야 한다.
④ 사전에 본인의 동의를 얻지 않고 제3자에게 개인정보를 제공해서는 안 된다.
⑤ 사업자가 보유한 개인정보에 관하여 본인의 요구가 있을 시 공개해야 한다.
⑥ 사업자가 보유한 개인정보의 내용이 사실이 아니라는 이유로 본인으로부터 개인정보의 정정이나 삭제를 요구 받을 경우, 정정이나 삭제에 응해야 한다.
⑦ 개인정보 취급에 관한 민원을 적절하고 신속하게 처리해야 한다.
개인정보 취급사업자가 개인정보 처리를 타 사업자에 위탁하는 경우가 종종 발생할 수 있다. 이러한 경우 개인정보 처리를 위탁하는 위탁자(委託元)는 개인정보 취급사업자로서의 일반적인 의무사항 외에, 수탁자(委託先)에 대한 감독책임을 지닌다. (제25조) 위탁자는 검색할 수 있는 체계화된 개인정보를 사업에 사용하고 있는 자를 의미하는데, 개인정보를 수탁자에 위탁한 사업자는 자사가 완수해야 할 법적 의무가 수탁자 측에서 적절하게 수행하고 있는지 감독해야 한다. 위탁자의 실무 수행상 상세한 의무내용은 법률에서는 구체적인 내용을 두고 있지 않고 개인정보보호법 가이드라인의 통칙편 제44항에서 자세히 제시하고 있으며, 주요 내용은 다음과 같다
한편, 개인정보 취급사업자는 이용 목적의 달성에 필요한 범위 내에서 개인정보를 정확하고 최신의 내용으로 유지해야 하는데, 개인정보를 이용할 필요가 없어진 때에는 해당 개인정보를 지체 없이 삭제하도록 노력해야 한다. (제22조) 다만 동법에서는 구체적인 삭제 기한을 명시하고 있지 않다.
[표 3] 위탁자의 실무 수행상의 의무
위탁자의 실무 수행상의 의무
구분
세부 내용
①적절한 수탁자 선정
위탁자는 개인정보를 적절히 취급할 것으로 기대할 수 있는 수탁자를 선택해야 하며, 선정 전에는 수탁자의 기본방침, 내부 규율(취급 규정), 개인정보 영향평가 등을 확인하고 안전관리 조치를 비롯하여 해당 수탁자가 개인정보를 어떻게 취급하는지를 확인해야 함
구체적인 점검사항으로는 법률 준수 조치 규정 여부, 적절한 안전관리 조치 정비 여부 등
②위탁 계약 체결
개인정보 취급사업자가 개인정보보호법을 준수하는 것은 계약서에 기재되지 않더라도 법률에 따른 의무이기는 하나, 다음의 사항을 계약서상에 구체적으로 기재하는 것이 바람직
- 개인정보의 구체적인 이용 목적
- 목적 이외 이용 금지
- 재위탁 인정 여부
- 외부 제공 인정 여부
- 안전관리 조치로 사전에 약속한 사항 준수
③수탁자에 대한 개인 정보 취급 상황 파악
위탁 계약 이후에는 수탁자가 적절하게 개인 정보를 취급하고 있는지에 대한 현황 파악과 확인이 필요
정기 보고를 기본으로 하며, 필요 시 즉시 보고나 감사 실시 가능
12) 個人情報の保護に関する法律についてのガイドライン
6) 개인정보 국외이전
개인정보 국외이전은 본인의 사전 동의를 거쳐 이전하는 것을 원칙으로 하되, 본인의 동의 없이 국외이전하는 것을 예외적으로 허용하고 있다. 그 예외사유는 다음과 같다 (제28조제1항)
① 일본과 동등한 수준으로 인정되는 개인정보보호에 관한 제도를 갖춘 외국으로의 이전으로서 개인정보보호위원회 규칙으로 정하는 경우
② 개인정보 취급과 관련하여, 동법에서 개인정보 취급사업자에 요구하는 수준에 준하는 적합한 체제를 수신자가 갖추고 있는 경우
다만, 본인의 사전 동의를 통해 개인정보를 국외이전하는 경우에도 개인정보 취급사업자는 개인정보보호위원회 규칙으로 정하는 바에 따라 해당 본인에게 미리 ① 수신지 국가의 개인정보보호 제도 ② 개인정보 수신자가 갖추고 있는 개인정보보호 조치 ③ 그밖에 정보주체 본인에게 참고가 될 정보 등을 반드시 제공하도록 함으로써 요건을 강화하고 있다. (제28조제2항)
(7) 집행
개인정보보호위원회는 개인정보보호 의무를 준수하지 않은 사업자 등에 대해 조사를 수행하고, 지도 및 조언, 권고 및 명령 등의 조치를 내릴 수 있다. (제143조~제145조) 그러나 해당 사업자 등에 대해 직접적으로 과징금 처분과 같은 금전적 제재를 부과할 권한은 없고 대신 법원이 판결을 통해 의무 위반행위에 대해 징역 또는 벌금, 과료 등의 제재를 내리게 된다. (제171조~제180조)
구체적으로, 개인정보보호법에서 정한 일련의 의무사항을 준수하지 않는 행위에 대해 개인정보보호위원회가 부과한 ‘명령’을 따르지 않은 자에 대해서는 1년 이하의 징역 또는 100만엔 이하의 벌금에 처한다. (제173조제1항) 또한 개인정보 취급사업자 등이 자신의 업무에 관하여 취급한 개인정보 데이터베이스 등을 자신 또는 제3자의 부정한 이익을 목적으로 제공하거나 도용한 자에 대해서는 1년 이하의 징역 또는 50만엔 이하의 벌금에 처한다. (제174조) 이때 법인의 대표자 또는 대리인, 사용인 그 외의 종업원이 해당 법인의 업무에 관하여 상기 언급한 위반행위를 한 때에는 그 행위자에 대한 처벌과 별도로 법인에 대해서도 1억엔 이하의 벌금을 내린다. (제179조제1항)
그밖에, 개인정보보호위원회에 허위보고 또는 허위자료를 제출하는 행위, 조사관의 질문에 답변을 거부하거나 허위답변을 하는 행위, 검사 거부, 방해, 기피에 대해서는 50만엔 이하의 벌금에 처한다. (제177조)
[표 4] 개인정보보호법 위반에 따른 주요 형사처벌 규정
개인정보보호법 위반에 따른 주요 형사처벌 규정
구분
징역형
벌금형
개인정보위원회 명령 위반
(제173조, 제179조)
행위자
1년 이하
100만엔 이하
법인
-
1억엔 이하
개인정보 DB 부정 제공
(제174조, 제179조)
행위자
1년 이하
50만엔 이하
법인
-
1억엔 이하
개인정보위원회 허위보고 등
(제177조, 제179조)
행위자
-
50만엔 이하
법인
-
50만엔 이하
일본은 ‘개인정보보호 기본방침(個人情報の保護に関する基本方針)’과 ‘개인정보보호법(個人情報保護法)’을 토대로 공공 분야와 민간 분야를 대상으로 한 개인정보보호 법률과 가이드라인을 제정하였다.
1) 법인 설립체 중 국민생활 및 사회 경제 안정 등의 공적인 관점에서 제공될 필요성이 명확한 사무 및 사업을 담당하는 법인. 예) 내각부 산하의 국립공문서관과 일본의료연구개발기구, 총무성 산하의 정보통신연구기구와 통계센터 등 2) 행정기관 개인정보보호법(行政機関の保有する個人情報の保護に関する法律), 독립행정법인 개인정보보호법(独立行政法人 等の保有する個人情報の保護に関する法律)
가. 개인정보 보호법의 역사
일본은 공공부문 개인정보보호를 위한 최초의 법률로서 1988년 ‘행정기관이 보유한 전자계산기처리와 관련된 개인정보보호에 관한 법률’을 마련했으며, 2003년 5월 민간 영역을 규제대상에 포함시킨 ‘개인정보보호법(個人情報の保護に関する法律)’을 제정하였다3)
2015년 9월에는 개인정보의 이용 규제를 완화하고 개인정보의 제3자 활용 요건을 구체적으로 명시한 개정 개인정보보호법이 공포되어 2017년 5월부터 시행되었는데 개정법에서는 개인정보에 대한 정의를 명확히 하고, 익명가공정보의 개념·취급·관리 사항을 규정함으로써 개인정보 활용 촉진을 위한 제도 마련에 주안을 두었다. 또한 개인정보 취급 감독 권한을 보유한 개인정보보호위원회 설치와 개인정보 국외이전 관련 원칙을 제시함으로써 국제적인 수준에서의 개인정보 취급을 위한 제도 기반을 구축하였다. 이외에 개인정보 취급 시 정보주체의 권리보장을 위한 동의 및 고지 제도와 개인정보 데이터베이스를 무단으로 제3자에게 제공하거나 도용하는 행위를 처벌하기 위한 데이터베이스 제공죄 조항 등을 신설했다.
2020년 6월에는 혁신 기술 기반, 개인정보를 활용할 수 있는 요건을 명확히 하고 기업이 개인의 인터넷 열람 이력을 제3자에게 제공하는 행위를 규제하기 위해 개인정보보호법이 한 차례 더 개정되었는데, 2020년 개정되어 현재 시행 중인 해당 법률의 구성은 다음과 같다.
[표 1] 현행 개인정보보호법(2022년 4월 시행) 주요 구성
| 구분 | 주요 내용 | 조 |
|---|---|---|
| 제1장 | 총칙 | 제1조~제3조 |
| 제2장 | 국가 및 지방공공단체의 책무 등 | 제4조~제6조 |
| 제3장 | 개인정보보호에 관한 시책 등 | 제7조~제15조 |
| 제4장 | 개인정보최급사업자 등의 의무 | 제16조~제59조 |
| 제5장 | 행정기관 등의 의무 등 | 제60조~제126조 |
| 제6장 | 개인정보보호위원회 | 제127조~제165조 |
| 제7장 | 잡칙 | 제166조~제170조 |
| 제8장 | 벌칙 | 제171조~제180조 |
기존 대비 현행 개인정보보호법에 반영된 주요 내용은 다음과 같다. ① 가명정보의 개념을 추가하였다. 가명정보란 개인정보가 포함된 기술(記述)을 일부 삭제하여 다른 정보와 대조하지 않는 한 특정 개인을 식별할 수 없도록 처리된 개인정보로서, 개인정보에 대한 자체 분석은 허용하되 익명 처리된 정보와는 달리 제3자 제공이 불가능한 정보를 의미한다. (제2조제5항) ② 쿠키 등 “개인과 연관되어 사용하는 정보” 제공 시 본인 동의를 의무화하고, 원치 않는 개인정보 이용을 중지할 수 있도록 기업에 요구할 수 있는 권리를 보장(제18조 외)하는 등 개인의 권리 보호를 강화하였다. ③ 개인정보보호법을 위반한 법인에 대해 최대 1억 엔까지 벌금을 상향 조정하는 등 처벌을 강화하였고 (제179조) 일본 국내 체재자의 개인정보를 취급하는 해외 기업에도 법률 적용을 확대하였다. (제166조 외) ④ 정보를 제공하는 외국의 개인정보보호 제도나 해외 제3자가 강구하는 개인정보보호를 위한 조치를 포함하여 개인정보를 제공한 정보주체에게 이전에 대해 고지(제28조제2항, 제3항)하도록 요구하는 등 개인정보 국외이전 관련 규제를 강화하였다. ⑤ 개인정보 침해 사고에 대한 보고의무를 강화하여 개인정보 취급사업자는 개인정보보호위원회의 규정에 따라 유출, 멸실, 훼손이 있는 경우 개인정보보호위원회에 보고해야 하고 해당 규정에 따라 정보주체에게도 그 사실을 통지하도록 하였다. (제26조)
3) https://www.ppc.go.jp/files/pdf/personal_development.pdf
4) https://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf
5) https://www.businesslawyers.jp/articles/822
나. 개인정보보호 기본방침(個人情報の保護に関する基本方針)6)
개인정보보호법 제7조제1항에서는 동법이 추구하는 개인정보의 적절하고 효과적인 활용을 통해 신산업 창출과 경제 활성화와 함께 개인의 권익 추구라는 목적을 달성하기 위한 기본적인 방향성을 제시하고 있으며, 이를 위해 2004년 4월 개인정보보호 기본방침이 각의7)에서 결정되었다. 동 지침8)은 개인정보보호법의 이념과 제도 추진의 방향성으로 ▲개인정보보호와 유용성을 위한 배려 ▲법의 올바른 이해를 촉진하기 위한 체제 ▲각 주체들 간의 연계와 협력 ▲데이터 거버넌스 체제 구축 ▲개인 데이터9) 리터러시 향상 등을 제시했다. 또한 국가가 강구해야 할 개인정보보호를 위한 조치로 ▲각 주체들에 의한 개인정보의 적절한 취급 ▲개인정보의 보호 및 원활한 유통을 확보하기 위한 국제적 협력 체계 ▲개별 사안에 대한 대응력 강화 ▲홍보·계발 정보제공 등에 관한 방침 ▲개인정보 보호위원회의 활동 상황 공표 등을 밝히기도 했다.
6) https://www.ppc.go.jp/files/pdf/280219_personal_basicpolicy.pdf 7) 일본 내각제 하의 각료회의를 의미하며, 우리나라의 국무회의와 유사 8) 동 보고서 작성 시점 최근 개정 기본방침은 ‘22년 4월 1일 시행 9) 일본 개인정보보호법은 개인정보와 개인 데이터를 구분하고 있으며, 관련 내용은 9페이지 참조
다. 행정기관 개인정보보호법(行政機関の保有する個人情報の保護に関する法律10)
개인정보보호위원회는 개인정보보호법을 포함하여 하기의 법률·시행령·규칙 등을 소관하고 있다.
[표 2] 일본 개인정보보호위원회 소관 개인정보보호 관련 법률·시행령·규칙
| 구분 | 주요 내용 |
|---|---|
| 법률 |
개인정보보호법 |
| 기본방침 |
개인정보보호 기본방침 |
| 시행령 |
개인정보보호법 시행령 |
| 규칙 |
개인정보보호법 시행령 규칙 개인정보보호법 제5장에 의한 행정기관 비식별가공정보 제공에 관한 규칙 개인정보보호법 제5장에 의한 독립행정법인 등 비식별가공정보 제공에 관한 규칙 |
| 보완 규정 |
개인정보보호법에 관한 EU 및 영국 역내로부터 적정성 인정에 의해 이전받은 개인정보의 취급에 관한 보완적 규정 |
| 가이드라인 |
개인정보보호법 가이드라인 행정기관 개인정보보호법 가이드라인 독립행정법인 개인정보보호법 가이드라인 고용관리 분야 개인정보 중 건강정보 취급 시 유의사항 금융 관련 분야 가이드라인 의료 관련 분야 가이드라인 기타 특정 분야 가이드라인 |
10) https://www.ppc.go.jp/personalinfo/legal/
라. 주요 내용
(1)개인정보 및 민감정보의 정의
개인정보(個人情報)는 생존한 개인에 관계된 정보로서 ① 당해 정보에 포함되어 있는 성명, 생년월일 및 그 밖의 기술 등에 의해 특정의 개인을 식별할 수 있는 것 ② 개인식별부호가 포함된 것을 의미한다. 구체적으로 다음의 경우를 개인정보의 예시로 들 수 있다 ① 본인의 성명 ② 생년월일, 연락처(주소·전화번호·이메일 주소), 회사에서의 직위 또는 소속에 관한 정보에 대해서, 그것들과 본인의 성명을 조합한 정보 ③ 방범 카메라에 기록된 정보 등 본인을 판별할 수 있는 영상정보 ④ 본인의 이름이 포함되는 등의 이유로 인해 특정 개인을 식별할 수 있는 음성 녹음정보 ⑤ 특정 개인을 식별할 수 있는 이메일 주소 (kojin_ichiro@example.com 등과 같이 이메일 주소만 있는 경우에도, example사에 소속한 고진 이치로의 이메일 주소라는 것을 알 수 있는 것과 같은 경우 등) ⑥ 개인정보를 취득한 후에 그 정보에 부가된 개인에 관한 정보(취득 시에는 생존하는 특정 개인을 식별할 수 없었더라도 취득 후에 새로운 정보가 더해지거나 또는 대조한 결과 생존하는 특정 개인을 식별할 수 있게 된 경우에는, 그 시점에서 개인정보에 해당한다.) ⑦ 관보, 전화번호부, 직원명부, 법정 개시 서류(유가증권보고서 등), 신문, 홈페이지, SNS 등으로 공공연하게 된 특정 개인을 식별할 수 있는 정보
개인식별부호(個人識別符號)는 다음의 어느 하나에 해당하는 문자, 번호, 기호 및 그 밖의 부호 중 정령(政令)으로 정하는 것을 말한다. ① 특정 개인의 신체 일부의 특징을 전자기기 용도에 이용하기 위하여 변환한 문자, 번호, 기호 및 그 밖의 부호로서 당해 특정 개인을 식별할 수 있는 것 ② 개인에게 제공되는 서비스의 이용 혹은 개인에게 판매되는 상품의 구입과 관련하여 할당되거나 또는 개인에게 발행된 카드 및 그 밖의 서류에 기재되거나 혹은 전자적 방식에 의해 기록된 문자, 번호, 기호 및 그 밖의 부호로서 그 이용 혹은 구입 당사자 또는 발행을 받은 자마다 달라지도록 할당되거나 또는 기재 혹은 기록됨으로써 특정의 이용 혹은 구입 당사자 또는 발행을 받은 자를 식별할 수 있는 것
정령에서는 개인식별부호를 더욱 구체화하고 있다. 정령에 따르면 여권번호, 기초연금번호, 면허증번호, 주민표 코드뿐만 아니라 다음과 같은 신체 특징도 개인식별부호에 포함하고 있다. ① 세포에서 채취된 DNA를 구성하는 염기서열 ② 얼굴의 골격 및 피부색, 그리고 눈, 코, 입, 기타 얼굴 부위의 위치 및 형상에 따라서 정해지는 용모 ③ 홍채 표면의 기복에 의해서 형성되는 선상 모양 ④ 발성 시의 성대의 진동, 성문의 개폐 및 성도의 형상 및 그 변화 ⑤ 보행 시의 자세 및 양팔의 동작, 보폭, 기타 보행 모습 ⑥ 손바닥 또는 손등, 혹은 손가락 피하 정맥의 분지 및 단점에 따라서 결정되는 정맥 형상 ⑦ 지문 또는 손바닥 무늬
동법에서는 민감정보에 대해서는 정의 내리고 있지 않지만, 이와 유사한 개념인 배려가 필요한 개인정보(要配慮個人情報)를 별도로 정의하고 있다. 배려가 필요한 개인정보란 본인의 인종, 신조, 사회적 신분, 병력, 범죄의 경력, 범죄로 인해 피해를 입은 사실 및 그 밖에 본인에 대한 부당한 차별, 편견 및 그 밖의 불이익이 생기지 않도록 그 취급에 특별히 배려를 요하는 것으로서 정령으로 정하는 기술 등이 포함되는 개인정보를 의미한다.
세부적으로, ① 인종은 인종, 가계 또는 민족적 혹은 종족적 출신을 폭넓게 의미한다. 단순한 국적이나 외국인이라는 정보는 법적 지위이고, 그것만으로는 인종에는 포함하지 않는다. 피부색은 인종을 짐작하게 하는 정보에 지나지 않기 때문에 인종에는 포함하지 않는다. ②신조는 개인의 기본적인 생각과 사고방식을 의미하고 사상과 신앙 모두를 포함하는 것이다. ③ 사회적 신분은 어떤 개인이 평생 자력으로 쉽게 그로부터 벗어날 수 없는 지위를 의미하며, 단순한 직업적 지위나 학력은 포함하지 않는다. ④ 병력은 병에 걸린 경력을 의미하는 것으로, 특정 병력을 나타낸 부분(예: 특정 개인이 암에 걸렸거나, 조현병을 앓는 등)이 해당한다. ⑤ 범죄 경력은 전과, 즉 유죄 판결을 받아 확정된 사실이 해당한다. ⑥ 범죄 피해를 입은 사실은 신체적 피해, 정신적 피해 및 금전적 피해를 묻지 않고 범죄 피해를 입은 사실을 의미한다. 구체적으로는, 형벌 법령에 규정되는 구성요건에 해당할 수 있는 행위 중에서, 형사사건에 관한 절차에 착수된 것이 해당된다.
한편, 익명가공정보(匿名加工情報)는 개인정보에 포함되는 내용 중 일부를 삭제하거나 개인식별부호 전부를 삭제함으로써 특정 개인을 식별할 수 없도록 개인정보를 가공해 얻은 개인에 관한 정보이며, 해당 개인정보를 복원할 수 없도록 한 것을 말한다.
(2) 적용 범위
1) 인적 범위
개인정보보호법은 개인, 법인 및 일본의 모든 개인정보 취급사업자에 적용된다. 5,000명 이상의 개인정보를 취급하지 않은 개인 또는 법인에 대한 예외는 2017년 개정으로 폐지되었지만, 일반 지침은 '중소사업자'에 대한 완화된 보안 조치 기준을 유지하고 있다. 동법은 업무 목적으로 개인정보를 취급하는 개인 또는 단체에 적용되는데, ‘업무’가 반드시 이익을 추구하는 것만을 뜻하지는 않는다. 방송, 신문 등 언론 기관, 작가, 대학 또는 기타 학술 기관, 종교 단체 및 정당은 해당 언론, 전문 저술, 학술 및 정치 활동과 관련하여 적용 의무가 각각 면제된다.
2) 영토적 범위
일본에서 해당 개인에게 상품 또는 서비스를 제공할 목적으로 정보주체의 개인정보를 취득하는 해외 개인정보 취급사업자는 해당 개인정보를 취급하는 경우 개인정보보호법의 적용을 받는다. 개인정보보호위원회는 그러한 역외 개인정보 취급사업자에 대해 개인정보보호법을 집행할 수 없지만 외국 규제 당국에 정보를 제공하는 방식으로 규제 집행 목적을 달성한다. 해외 개인정보 취급사업자가 일본 내 본인에게 제공한 상품 또는 서비스 제공과 관련하여 일본 내 본인의 개인정보를 취득한 경우에만 해당 조항이 역외적으로 적용된다.
3) 물적 범위
개인정보보호법은 개인정보 취급사업자의 개인정보 '취급'에 적용되지만, '취급'은 동법이나 개인정보보호위원회 가이드라인에 정의되어 있지 않고 비교적 폭넓게 받아들여진다. 일본 정부 주최 토론에서에는 취급을 수집(취득), 보유, 사용, 이전 및 기타 취급 행위를 의미한다고 설명한 바 있다.
(3) 개인정보처리 동의11)
개인정보보호법 제18조에는 ‘개인정보 취급사업자는 미리 본인의 동의를 얻지 않고 전조의 규정에 의해 특정된 이용 목적의 달성에 필요한 범위를 넘어 개인정보를 취급해서는 안 된다’라고 명시하고 있고, 또한 동법 제23조에는 ‘개인정보 취급사업자는 다음 각호의 경우를 제외하고는 미리 본인의 동의를 얻지 않고 개인정보를 타인에게 제공하여서는 아니된다‘라고 규정하고 있다. 이때 ‘본인의 동의’란 본인의 개인정보를 개인정보 취급사업자가 취급하는 것을 승낙하는 취지의 의사표시이다.
개인정보 처리의 적법한 근거에는 동의를 비롯하여 정보주체와의 계약, 법적 의무 준수, 공익에 의한 개인정보 처리 등이 있으나, 정보주체의 정당한 이익, 개인정보처리자의 정당한 이익 등은 처리의 적법한 근거로 인정되지 않는다.
11) 경제산업성, 개인정보보호에 관한 법률, 가이드라인 등 https://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.html
(4) 정보주체의 동의
1) 정보를 제공받을 권리
개인정보보호법은 명시적으로 정보주체에게 정보를 제공받을 권리를 부여하고 있지는 않고, 다만 개인정보 취급사업자에게 정보 제공 의무를 부과함으로써 간접적으로 정보주체가 정보를 제공받을 수 있도록 규정하고 있다.
개인정보 취급사업자는 개인정보를 취득한 경우에 미리 그 이용 목적을 공표하고 있는 경우를 제외하고 신속하게 그 이용 목적을 본인에게 통지하거나 공표하여야 하며, 이용 목적을 변경한 경우에는 변경된 이용 목적에 대하여 본인에게 통지하거나 공표해야 한다. (제21조)
또한 개인정보 취급사업자는 자신이 보유한 개인정보에 관하여 아래의 내용을 본인이 알 수 있는 상태로 두어야 한다. (제32조제1항) ① 개인정보 취급사업자의 성명/명칭, 주소, 개인정보 취급사업자가 법인인 경우 대표자의 성명 ② 보유한 개인정보의 이용 목적 ③ 정보주체의 주요 권리행사와 관련된 요청에 대한 대응 절차 및 개인정보의 안전한 취급을 위해 취하는 조치, 보유 개인정보의 처리와 관련해 불만을 제기할 곳 `
2) 접근권
정보주체는 개인정보 취급사업자에 사업자가 보유하고 있는 자신을 식별할 수 있는 개인정보를 공개할 것을 요구할 수 있다. 개인정보 취급사업자는 정보주체로부터 위와 같은 요구를 받은 때에는 본인이 요청한 방법대로 지체 없이 해당 보유 개인정보를 공개하여야 한다. (제33조) 또한 개인정보 취급사업자는 본인으로부터 보유 개인정보의 이용 목적을 통지해 줄 것을 요청받은 경우 지체 없이 본인에게 이를 통지해야 한다. (제32조제2항)
다만, 동법에서는 개인정보 취급사업자가 개인정보 공개 시 공개해야 하는 정보의 종류 및 목록에 대해서는 별도로 규정하고 있지 않다.
3) 정정권
정보주체는 개인정보 취급사업자에 대해 사업자가 보유하고 있는 자신을 식별할 수 있는 개인정보 내용이 사실이 아닌 경우 해당 개인정보 내용의 정정, 추가 또는 삭제를 요구할 수 있다. 개인정보 취급사업자는 내용의 정정 등에 관하여 다른 법령의 규정에서 특별히 정한 절차가 있는 경우를 제외하고는 이용 목적 달성에 필요한 범위 내에서 지체 없이 필요한 조사를 실시하고, 그 결과에 따라 자신이 보유한 개인정보 내용에 대해 정정 등을 실시해야 한다.
개인정보 취급사업자는 정보주체의 요구에 따라 보유 개인정보의 내용의 전부 또는 일부에 대하여 정정 등을 실시한 때에는 정정 내용 및 그 취지, 정정을 실시하지 아니하는 취지의 결정을 한 때에는 본인에게 지체 없이 그 취지를 통지하여야 한다. (제34조)
4) 반대권(이용정지) 및 삭제권
정보주체는 개인정보 취급사업자에 대하여 사업자가 보유하고 있는 자신을 식별할 수 있는 개인정보가 이용 목적 범위를 초과하여 취급되고 있거나 부적절하게 이용되고 있는 경우, 혹은 개인정보가 허위 기타 부정한 수단을 통해 취득된 경우 개인정보의 이용정지 및 삭제를 요구할 수 있다. 개인정보 취급사업자는 이용정지 및 삭제 요청을 받은 경우 그 요청이 이유가 있음이 판명된 때에는 위반을 시정하기 위해 필요한 한도에서 지체 없이 개인정보 이용정지 및 삭제를 수행해야 한다.
또한, 정보주체는 ▲개인정보 취급사업자가 자신의 개인정보를 이용할 필요가 없어진 경우 ▲사업자가 보유한 자신의 개인정보가 유출, 멸실, 훼손된 경우 ▲기타 자신의 권리 및 정당한 이익이 훼손될 우려가 있는 경우 등에는 자신의 개인정보를 이용정지 및 삭제할 것을 요구할 수 있다. 개인정보 취급사업자는 그 요구가 이유가 있다고 판명된 때에는 정보주체의 권리이익 침해를 방지하기 위해 필요한 한도에서 지체 없이 해당 개인정보를 이용정지 및 삭제해야 한다. 마찬가지로 개인정보 취급사업자는 정보주체의 요구에 따라 보유 개인정보의 전부 또는 일부를 이용정지 및 삭제하거나 혹은 이용정지 및 삭제하지 않기로 결정한 때에는 본인에게 지체 없이 그 취지를 통지하여야 한다. (제35조)
한편, 개인정보 취급사업자는 이용 목적의 달성에 필요한 범위 내에서 개인정보를 정확하고 최신의 내용으로 유지해야 하는데, 개인정보를 이용할 필요가 없어진 때에는 해당 개인정보를 지체 없이 삭제하도록 노력해야 한다. (제22조) 다만 동법에서는 구체적인 삭제 기한을 명시하고 있지 않다.
5) 개인정보 취급사업자의 의무
일본 개인정보보호법에서는 개인정보 처리를 담당하는 컨트롤러 또는 프로세서를 통칭하여 개인정보 취급자라는 표현을 사용하고 있다. 동법에서는 개인정보 취급사업자의 의무와 관련하여 ▲처리 활동 기록 유지 의무 관련 요건 ▲개인정보 영향평가 수행 요건 ▲DPO 지정 요건 등을 두고 있지 않으며, 제4장 전반에 걸쳐 다음과 같은 의무만을 규정하고 있다. ① 개인정보를 취급함에 있어 이용 목적을 최대한 특정해야 하며, 원칙적으로 이용 목적 달성에 필요한 범위를 넘어 개인정보를 취급해서는 안 된다. ② 개인정보를 취득하는 경우에는 이용 목적을 통지·공표하지 않으면 안 되며, 본인으로부터 직접 서면으로 개인정보를 취득하는 경우에는 미리 본인에게 이용 목적을 반드시 명시해야 한다. ③ 개인정보를 안전하게 관리하고 직원 및 용역업체에 대한 감독을 실시해야 한다. ④ 사전에 본인의 동의를 얻지 않고 제3자에게 개인정보를 제공해서는 안 된다. ⑤ 사업자가 보유한 개인정보에 관하여 본인의 요구가 있을 시 공개해야 한다. ⑥ 사업자가 보유한 개인정보의 내용이 사실이 아니라는 이유로 본인으로부터 개인정보의 정정이나 삭제를 요구 받을 경우, 정정이나 삭제에 응해야 한다. ⑦ 개인정보 취급에 관한 민원을 적절하고 신속하게 처리해야 한다.
개인정보 취급사업자가 개인정보 처리를 타 사업자에 위탁하는 경우가 종종 발생할 수 있다. 이러한 경우 개인정보 처리를 위탁하는 위탁자(委託元)는 개인정보 취급사업자로서의 일반적인 의무사항 외에, 수탁자(委託先)에 대한 감독책임을 지닌다. (제25조) 위탁자는 검색할 수 있는 체계화된 개인정보를 사업에 사용하고 있는 자를 의미하는데, 개인정보를 수탁자에 위탁한 사업자는 자사가 완수해야 할 법적 의무가 수탁자 측에서 적절하게 수행하고 있는지 감독해야 한다. 위탁자의 실무 수행상 상세한 의무내용은 법률에서는 구체적인 내용을 두고 있지 않고 개인정보보호법 가이드라인의 통칙편 제44항에서 자세히 제시하고 있으며, 주요 내용은 다음과 같다
한편, 개인정보 취급사업자는 이용 목적의 달성에 필요한 범위 내에서 개인정보를 정확하고 최신의 내용으로 유지해야 하는데, 개인정보를 이용할 필요가 없어진 때에는 해당 개인정보를 지체 없이 삭제하도록 노력해야 한다. (제22조) 다만 동법에서는 구체적인 삭제 기한을 명시하고 있지 않다.
[표 3] 위탁자의 실무 수행상의 의무
| 구분 | 세부 내용 |
|---|---|
| ①적절한 수탁자 선정 |
위탁자는 개인정보를 적절히 취급할 것으로 기대할 수 있는 수탁자를 선택해야 하며, 선정 전에는 수탁자의 기본방침, 내부 규율(취급 규정), 개인정보 영향평가 등을 확인하고 안전관리 조치를 비롯하여 해당 수탁자가 개인정보를 어떻게 취급하는지를 확인해야 함 구체적인 점검사항으로는 법률 준수 조치 규정 여부, 적절한 안전관리 조치 정비 여부 등 |
| ②위탁 계약 체결 |
개인정보 취급사업자가 개인정보보호법을 준수하는 것은 계약서에 기재되지 않더라도 법률에 따른 의무이기는 하나, 다음의 사항을 계약서상에 구체적으로 기재하는 것이 바람직 - 개인정보의 구체적인 이용 목적 - 목적 이외 이용 금지 - 재위탁 인정 여부 - 외부 제공 인정 여부 - 안전관리 조치로 사전에 약속한 사항 준수 |
| ③수탁자에 대한 개인 정보 취급 상황 파악 |
위탁 계약 이후에는 수탁자가 적절하게 개인 정보를 취급하고 있는지에 대한 현황 파악과 확인이 필요 정기 보고를 기본으로 하며, 필요 시 즉시 보고나 감사 실시 가능 |
12) 個人情報の保護に関する法律についてのガイドライン
6) 개인정보 국외이전
개인정보 국외이전은 본인의 사전 동의를 거쳐 이전하는 것을 원칙으로 하되, 본인의 동의 없이 국외이전하는 것을 예외적으로 허용하고 있다. 그 예외사유는 다음과 같다 (제28조제1항) ① 일본과 동등한 수준으로 인정되는 개인정보보호에 관한 제도를 갖춘 외국으로의 이전으로서 개인정보보호위원회 규칙으로 정하는 경우 ② 개인정보 취급과 관련하여, 동법에서 개인정보 취급사업자에 요구하는 수준에 준하는 적합한 체제를 수신자가 갖추고 있는 경우
다만, 본인의 사전 동의를 통해 개인정보를 국외이전하는 경우에도 개인정보 취급사업자는 개인정보보호위원회 규칙으로 정하는 바에 따라 해당 본인에게 미리 ① 수신지 국가의 개인정보보호 제도 ② 개인정보 수신자가 갖추고 있는 개인정보보호 조치 ③ 그밖에 정보주체 본인에게 참고가 될 정보 등을 반드시 제공하도록 함으로써 요건을 강화하고 있다. (제28조제2항)
(7) 집행
개인정보보호위원회는 개인정보보호 의무를 준수하지 않은 사업자 등에 대해 조사를 수행하고, 지도 및 조언, 권고 및 명령 등의 조치를 내릴 수 있다. (제143조~제145조) 그러나 해당 사업자 등에 대해 직접적으로 과징금 처분과 같은 금전적 제재를 부과할 권한은 없고 대신 법원이 판결을 통해 의무 위반행위에 대해 징역 또는 벌금, 과료 등의 제재를 내리게 된다. (제171조~제180조)
구체적으로, 개인정보보호법에서 정한 일련의 의무사항을 준수하지 않는 행위에 대해 개인정보보호위원회가 부과한 ‘명령’을 따르지 않은 자에 대해서는 1년 이하의 징역 또는 100만엔 이하의 벌금에 처한다. (제173조제1항) 또한 개인정보 취급사업자 등이 자신의 업무에 관하여 취급한 개인정보 데이터베이스 등을 자신 또는 제3자의 부정한 이익을 목적으로 제공하거나 도용한 자에 대해서는 1년 이하의 징역 또는 50만엔 이하의 벌금에 처한다. (제174조) 이때 법인의 대표자 또는 대리인, 사용인 그 외의 종업원이 해당 법인의 업무에 관하여 상기 언급한 위반행위를 한 때에는 그 행위자에 대한 처벌과 별도로 법인에 대해서도 1억엔 이하의 벌금을 내린다. (제179조제1항)
그밖에, 개인정보보호위원회에 허위보고 또는 허위자료를 제출하는 행위, 조사관의 질문에 답변을 거부하거나 허위답변을 하는 행위, 검사 거부, 방해, 기피에 대해서는 50만엔 이하의 벌금에 처한다. (제177조)
[표 4] 개인정보보호법 위반에 따른 주요 형사처벌 규정
| 구분 | 징역형 | 벌금형 | |
|---|---|---|---|
| 개인정보위원회 명령 위반 (제173조, 제179조) | 행위자 | 1년 이하 | 100만엔 이하 |
| 법인 | - | 1억엔 이하 | |
| 개인정보 DB 부정 제공 (제174조, 제179조) | 행위자 | 1년 이하 | 50만엔 이하 |
| 법인 | - | 1억엔 이하 | |
| 개인정보위원회 허위보고 등 (제177조, 제179조) | 행위자 | - | 50만엔 이하 |
| 법인 | - | 50만엔 이하 | |
