국가정보_일본

  •  유럽
  •  미국
  •  중국
  •  영국
  •  독일
  •  호주
  •  캐나다
  •  싱가포르
  •  베트남
  •  러시아
  •  프랑스
  • 태국
  • 대만
  • 필리핀
  •  말레이시아

법률체계

1개요

일본에서 기업의 고객정보가 유출되고 개인정보가 판매되어 유통되는 등 개인의 프라이버시 침해 문제가 제기되고 국민의 의식이 높아지면서 개인정보 처리에 대한 국민적인 관심과 불안감이 증대되었다. 이러한 배경에 따라 국민이 안심하고 개인정보의 적정한 취급의 원칙을 정하여 국민 권리의무의 침해를 미연에 방지하려는 목적으로 개인정보보호에 관한 법률(個人情報の保護に関する法律)이 2003년 5월 제정되어 2005년 4월부터 시행되었다. 이후 정보사회 환경이 변화하면서 개인정보의 자유로운 활용을 허용할 수 있는 경계가 불명확하게 되었고, 보호 대상이 되는 개인정보의 범위와 사업자가 준수할 원칙의 불명확성이 더욱 증대됨에 따라 보호 대상과 보호 원칙을 분명히 하여 소비자를 안심시킬 수 있는 제도의 필요성이 커졌다. 이에 2015년에 개인정보를 보호하고 신산업 발전을 추구하는 것을 목적으로 하는 개인정보보호법이 개정되었다. 이 법은 2015년 9월 9일 공표되었고, 2016년 1월 개인정보보호위원회 설치 등 각 조항별로 순차적으로 시행되면서, 2017년 5월 30일부터 전면 시행되었다. 2020년 6월 5일 일본 국회는 이 법을 추가로 수정하는 법안을 승인했다. 수정된 법은 2022년 4월에 시행된다.

2일본 개인정보보호법

일본은 ‘개인정보보호 기본방침(個人情報の保護に関する基本方針)’과 ‘개인정보보호법(個人情報保護法)’을 토대로 공공 분야와 민간 분야를 대상으로 한 개인정보보호 법률과 가이드라인을 제정하였다.

(공통) 개인정보보호법의 제1장~제3장은 기본이념, 국가 및 지방공공단체의 책무 및 개인정보보호 시책 등 포괄적인 법률 기반을 제시

(민간) 금융, 의료, 정보통신 분야별 가이드라인을 통해 법령 준수 가이드를 제공

(공공) 행정기관, 독립행정법인1) 법인 설립체 중 국민생활 및 사회 경제 안정 등의 공적인 관점에서 제공될 필요성이 명확한 사무 및 사업을 담당하는 법인. 예) 내각부 산하의 국립공문서관과 일본의료연구개발기구, 총무성 산하의 정보통신연구기구와 통계센터 등 및 공공단체 등 각각을 대상으로 한 행정기관 개인정보보호법(行政機関の保有する個人情報の保護に関する法律), 독립 행정법인 개인정보 보호법(独立行政法人 等の保有する個人情報の保護に関する法律), 개인정보 보호조례(個人情報保護条例) 등이 존재

1) 법인 설립체 중 국민생활 및 사회 경제 안정 등의 공적인 관점에서 제공될 필요성이 명확한 사무 및 사업을 담당하는 법인. 예) 내각부 산하의 국립공문서관과 일본의료연구개발기구, 총무성 산하의 정보통신연구기구와 통계센터 등

가. 개인정보 보호법의 역사

• 일본은 공공부문 개인정보보호를 위한 최초의 법제로 ‘88년 ‘행정기관이 보유한 전자계산기처리와 관련된 개인정보보호에 관한 법률’을 마련했으며, ‘03.5월 민간 영역을 규제대상에 포함시킨 ‘개인정보보호법(個人情報の保護に関する法律)’을 제정하였다.2)

• ‘15.9월에는 개인정보의 이용 규제를 완화하고 개인정보의 제3자 활용 요건을 구체적으로 명시한 개정 개인정보보호법이 공포되어 ’17.5월부터 시행하였다.3)

개정법에서는 개인정보에 대한 정의를 명확화하고, 익명가공정보의 개념·취급·관리 사항을 규정함으로써 개인정보 활용 촉진을 위한 제도 마련에 주안을 둠

또한 개인정보 취급 감독 권한을 보유한 개인정보보호 위원회 설치와 개인정보 국외 이전 관련 원칙을 제시함으로써 국제적인 수준에서의 개인정보 취급을 위한 제도 기반을 구축

이외 개인정보 취급 시 정보주체의 권리보장을 위한 동의 및 고지 제도와 개인정보 데이터베이스를 무단으로 제3자에게 제공하거나 도용하는 행위를 처벌하기 위한 데이터베이스 제공죄 등도 신설

• ‘20.6월 혁신 기술 기반, 개인정보를 활용할 수 있는 조건을 명확히 하고 기업이 개인의 인터넷 열람 이력을 제3자에게 제공하는 행위를 규제하기 위해 또 한 차례의 개인정보보호법 개정안이 가결되었으며, 주요 개정 내용은 다음과 같다.4)

(가명정보 개념 추가) 개인정보가 포함된 기술(記述)을 일부 삭제하여 다른 정보와 대조하지 않는 한 특정 개인을 식별할 수 없도록 처리된 개인정보로서, 개인정보에 대한 자체 분석은 허용하되 익명 처리된 정보와는 달리 제3자 제공이 불가(제2조제9항)

(개인 권리 보호 강화) 쿠키 등 “개인과 연관되어 사용하는 정보” 제공 시 본인 동의를 의무화하고, 원치 않는 개인정보 이용을 중지할 수 있도록 기업에 요구할 수 있는 권리를 보장(제16조 외)

(법집행 강화) 개인정보보호법을 위반한 법인에 대해 최대 1억 엔까지 벌금을 상향 조정하며(제87조제1항제1호), 일본 국내 체재자의 개인정보를 취급하는 해외 기업에도 법률 적용 확대(제75조 외)

(개인정보 국외 이전 관련 규제 강화) 정보를 제공하는 외국의 개인정보보호 제도나 해외 제3자가 강구하는 개인정보보호를 위한 조치를 포함하여 개인정보를 제공한 정보주체에게 이전에 대해 고지(제24조제2항, 제3항)

(유출 등의 보고의무) 개인정보취급사업자는 개인정보 보호위원회의 규정에 따라 유출, 멸실, 훼손이 있는 경우 개인정보보호위에 보고해야 하고, 개인정보보호위 규정에 따라 정보주체에게 그 사실을 통지하여야 함(제22조의2)

2) https://www.ppc.go.jp/files/pdf/personal_development.pdf
3) https://www.ppc.go.jp/files/pdf/28_setsumeikai_siryou.pdf
4) https://www.amt-law.com/asset/pdf/bulletins10_pdf/200714.pdf, https://www.businesslawyers.jp/articles/822

나. 개인정보보호 기본방침(個人情報の保護に関する基本方針)5)

• 개인정보보호법 제7조제1항에 따라 동 법이 추구하는 개인정보의 적절하고 효과적인 활용을 통해 신산업 창출과 경제 활성화와 함께 개인의 권익 추구라는 목적을 달성하기 위한 기본적인 방향성을 제시. 이를 위해 ‘04.4월 개인정보보호 기본방침이 각의6)(일본 내각제 하의 각료회의를 의미하며, 우리나라의 국무회의와 유사)에서 결정

동 지침에서는 개인정보보호법의 이념과 제도 추진의 방향성으로 △개인정보보호와 유용성을 위한 배려 △법의 올바른 이해를 촉진하기 위한 체제 △사업자들의 자율적인 체제 확립과 지방공공단체, 국가 행정기관 등 각 주체 간의 연계 등을 제시

국가가 강구해야 할 개인정보보호를 위한 조치로 △각 행정기관 및 사업자들이 보유하고 있는 개인정보보호 △개인정보보호위원회의 활동 상황 공표 △개인정보의 보호 및 원활한 유통을 위한 국제적 협력 체계 △개인정보에 대한 불법적인 접근 대응 등을 언급

5) https://www.ppc.go.jp/files/pdf/280219_personal_basicpolicy.pdf
6)일본 내각제 하의 각료회의를 의미하며, 우리나라의 국무회의와 유사

다. 행정기관 개인정보보호법(行政機関の保有する個人情報の保護に関する法律7)

• 행정기관의 개인정보 취급에 관한 기본적 사항 및 행정기관 비식별 처리 정보 제공에 관한 사항을 규정한 법률로 ‘88년에 제정되었으며, ’16.9월 빅데이터 활용을 도모할 수 있도록 ‘익명 처리 정보제도’ 도입을 중심으로 한 개정안이 마련

행정기관의 개인정보 보유는 법령이 정하는 소관 사무를 수행하는 데 필요한 경우에 한하며, 그 이용목적을 가능한 한 특정하여야 함(제3조 제1항)

행정기관은 본인으로부터 직접 서면·전자적 기록에 기록된 해당 본인의 개인정보를 취득할 때에는 원칙적으로 사전에 본인에게 그 이용목적을 명시해야 함(제4조)

7) https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=415AC0000000058

라. 독립 행정법인 개인정보보호법(独立行政法人等の保有する個人情報の保護に関する法律)8)

• 행정기관 개인정보보호법과 함께 제정 및 개정되었으며, 독립 행정법인의 개인정보 취급에 관한 기본적 사항 및 비식별 처리 정보 제공에 관한 사항을 규정

개인정보 이용목적 및 취득과 관련된 의무 조항은 행정기관 개인정보보호법과 동일

한편, 일본의 개인정보 감독기구인 개인정보보호위원회(個人情報保護委員会)는 위 법률을 포함하여 아래의 법률·시행령·규칙 등을 소관하고 있다.9)

8) https://www.ppc.go.jp/files/pdf/guidelines06.pdf
9) https://www.ppc.go.jp/personalinfo/legal/

[표 1] 일본의 개인정보보호 관련 법률·시행령·규칙

공공부문 연방법률
구분 주요 내용
법률

개인정보보호법

기본방침

개인정보보호 기본방침

시행령

개인정보보호법 시행령

규칙

개인정보보호법 시행령 규칙

행정기관 개인정보보호법 제4장의2 규정에 의한 행정기관 비식별가공정보 제공에 관한 규칙

독립행정법인 개인정보보호법 제4장의2 규정에 따른 독립행정법인 등 비식별가공정보 제공에 관한 규칙

보완 규정

개인정보보호법에 관한 EU 및 영국 역내로부터 적정성 인정에 의해 이전받은 개인정보의 취급에 관한 보완적 규정

가이드라인

개인정보보호법 가이드라인

행정기관 개인정보보호법 가이드라인

독립행정법인 개인정보보호법 가이드라인

고용관리 분야 개인정보 중 건강정보 취급 시 유의사항

금융 관련 분야 가이드라인

의료 관련 분야 가이드라인

기타 특정 분야 가이드라인

마. 주요 내용

(1)개인정보 및 민감정보의 정의

[표 2] 개인정보의 유형

[표 2] 개인정보의 유형
구분 주요 내용
개인정보

개인정보(個人情報)는 생존한 개인에 관계된 정보로서 다음의 하나에 해당하는 것이다.

당해 정보에 포함되어 있는 성명, 생년월일 및 그 밖의 기술 등에 의해 특정의 개인을 식별할 수 있는 것

개인식별부호가 포함된 것

개인정보에 해당하는 사례는 다음과 같다.

본인의 성명

생년월일, 연락처(주소·전화번호·이메일 주소), 회사에서의 직위 또는 소속에 관한 정보에 대해서, 그것들과 본인의 성명을 조합한 정보

방범 카메라에 기록된 정보 등 본인을 판별할 수 있는 영상정보

본인의 이름이 포함되는 등의 이유로 인해서 특정 개인을 식별할 수 있는 음성 녹음정보

특정 개인을 식별할 수 있는 이메일 주소(kojin_ichiro@example.com 등과 같이 이메일 주소만 있는 경우에도, example사에 소속한 고진 이치로의 이메일 주소라는 것을 알 수 있는 것과 같은 경우 등)

개인정보를 취득한 후에 그 정보에 부가된 개인에 관한 정보(취득 시에 생존하는 특정 개인을 식별할 수 없었다고 해도, 취득 후에 새로운 정보가 더해지거나 또는 대조된 결과, 생존하는 특정 개인을 식별할 수 있는 경우에는, 그 시점에서 개인정보에 해당한다.)

관보, 전화번호부, 직원명부, 법정 개시 서류(유가증권보고서 등), 신문, 홈페이지, SNS 등으로 공공연하게 된 특정 개인을 식별할 수 있는 정보

개인식별부호

인식별부호(個人識別符號)는 다음의 어느 하나에 해당하는 문자, 번호, 기호 및 그 밖의 부호 중 정령(政令)으로 정하는 것을 말한다.

특정 개인의 신체 일부의 특징을 전자계산기의 용도에 이용하기 위하여 변환된 문자, 번호, 기호 및 그 밖의 부호로서 당해 특정 개인을 식별할 수 있는 것

개인에게 제공되는 서비스의 이용 혹은 개인에게 판매되는 상품의 구입과 관련하여 할당되거나 또는 개인에게 발행된 카드 및 그 밖의 서류에 기재되거나 혹은 전자적 방식에 의해 기록된 문자, 번호, 기호 및 그 밖의 부호로서 그 이용자 혹은 구입자 또는 발행을 받은 자마다 달라지도록 할당되거나 또는 기재 혹은 기록됨으로써 특정의 이용자 혹은 구입자 또는 발행을 받은 자를 식별할 수 있는 것

정령에서는 개인식별부호를 여권 번호, 기초연금번호, 면허증 번호, 주민표 코드뿐만 아니라 다음과 같은 신체 특징도 포함하고 있다.

세포에서 채취된 DNA를 구성하는 염기서열

얼굴의 골격 및 피부색, 그리고 눈, 코, 입, 기타 얼굴 부위의 위치 및 형상에 따라서 정해지는 용모

홍채 표면의 기복에 의해서 형성되는 선상 모양

발성 시의 성대의 진동, 성문의 개폐 및 성도의 형상 및 그 변화

보행 시의 자세 및 양팔의 동작, 보폭, 기타 보행 모습

손바닥 또는 손등, 혹은 손가락 피하 정맥의 분지 및 단점에 따라서 결정되는 정맥 형상

지문 또는 손바닥 무늬

배려가 필요한 개인정보

배려가 필요한 개인정보(要配慮個人情報)는 본인의 인종, 신조, 사회적 신분, 병력, 범죄의 경력, 범죄로 인해 피해를 입은 사실 및 그 밖에 본인에 대한 부당한 차별, 편견 및 그 밖의 불이익이 생기지 않도록 그 취급에 특별히 배려를 요하는 것으로서 정령으로 정하는 기술 등이 포함되는 개인정보로 정의하였다.

인종

인종, 가계 또는 민족적 혹은 종족적 출신을 폭넓게 의미한다. 또한 단순한 국적이나 외국인이라는 정보는 법적 지위이고, 그것만으로는 인종에는 포함하지 않는다. 피부색은 인종을 짐작하게 하는 정보에 지나지 않기 때문에 인종에는 포함하지 않는다.

신조

개인의 기본적인 생각과 사고방식을 의미하고, 사상과 신앙 모두를 포함하는 것이다.

사회적 신분

어떤 개인이 평생 자력으로 쉽게 그로부터 벗어날 수 없는 지위를 의미하며, 단순한 직업적 지위나 학력은 포함하지 않는다.

병력

병에 걸린 경력을 의미하는 것으로, 특정 병력을 나타낸 부분(예: 특정 개인이 암에 걸렸거나, 조현병을 앓는 등)이 해당한다.

범죄 경력

전과, 즉 유죄 판결을 받아서 이것이 확정된 사실이 해당한다.

범죄 피해를 입은 사실

신체적 피해, 정신적 피해 및 금전적 피해를 묻지 않고, 범죄 피해를 입은 사실을 의미한다. 구체적으로는, 형벌 법령에 규정되는 구성 요건에 해당할 수 있는 행위 중에서, 형사사건에 관한 절차에 착수된 것이 해당한다.

신체장애, 지적장애, 정신장애, 기타 개인정보보호위원회 규칙으로 정하는 심신기능의 장애가 있는 것

정령에서는 개인식별부호를 여권 번호, 기초연금번호, 면허증 번호, 주민표 코드뿐만 아니라 다음과 같은 신체 특징도 포함하고 있다.

세포에서 채취된 DNA를 구성하는 염기서열

얼굴의 골격 및 피부색, 그리고 눈, 코, 입, 기타 얼굴 부위의 위치 및 형상에 따라서 정해지는 용모

홍채 표면의 기복에 의해서 형성되는 선상 모양

발성 시의 성대의 진동, 성문의 개폐 및 성도의 형상 및 그 변화

보행 시의 자세 및 양팔의 동작, 보폭, 기타 보행 모습

손바닥 또는 손등, 혹은 손가락 피하 정맥의 분지 및 단점에 따라서 결정되는 정맥 형상

지문 또는 손바닥 무늬

익명 가공정보

익명 가공정보(匿名加工情報)는 다음 각 호에 따라 개인정보의 구분에 따라 해당 각 호에서 정한 조치를 마련하여 특정 개인을 식별할 수 없도록 개인정보를 가공해 얻어진 개인에 관한 정보이며, 해당 개인정보를 복원할 수 없도록 한 것을 말한다. 개인정보취급사업자는 익명가공정보를 취급함에 있어서 당해 익명가공정보의 작성에 사용된 개인정보와 본인을 식별하기 위하여 당해 익명가공정보를 다른 정보와 조합해서는 안 된다.

제1항 제1호에 해당하는 개인정보

해당 개인정보에 포함되는 기술 등의 일부를 삭제하는 것(해당 일부 기술 등을 복원할 수 있는 규칙성을 갖지 않는 방법에 의해 다른 기술 등으로 치환하는 것을 포함)

제1항 제2호에 해당하는 개인정보

해당 개인정보에 포함되는 개인 식별 부호의 전부를 삭제하는 것(해당 개인 식별 부호를 복원할 수 있는 규칙성을 갖지 않는 방법에 의해 다른 기술 등으로 치환하는 것을 포함)

(2) 적용 범위

1) 인적 범위

개인이나 법인이나 모든 일본의 개인정보취급사업자에 적용됨. 5,000명 이상의 개인정보를 취급하지 않은 개인 또는 법인에 대한 예외는 2017년 개정으로 폐지되었지만, 일반지침은 '중소사업자'에 대한 완화된 보안 조치 기준을 유지하고 있음

업무 목적으로 개인정보를 취급하는 개인 또는 단체에 적용되는데, ‘업무’가 반드시 이익을 추구하는 것만을 뜻하지는 않음. 방송, 신문 등 언론 기관, 작가, 대학 또는 기타 학술 기관, 종교 단체 및 정당은 해당 언론, 전문 저술, 학술 및 정치 활동과 관련하여 적용 의무가 각각 면제됨

2) 영토적 범위

일본에서 해당 개인에게 상품 또는 서비스를 제공할 목적으로 정보 주체의 개인정보를 획득하는 해외 개인정보처리사업자는 해당 개인정보를 취급하는 경우 개인정보보호법의 적용을 받음. 개인정보감독기구는 그러한 역외 개인정보취급사업자에 대해 개인정보보호법을 집행할 수 없지만 외국 규제 당국에 정보를 제공하는 방식으로 규제 집행 목적을 달성

해외 개인정보취급사업자가 일본 내 본인에게 제공한 상품 또는 서비스 제공과 관련하여 일본 내 본인의 개인 정보를 취득한 경우에만 해당 조항이 역외적으로 적용. 2020년 수정안에서 개인정보보호법은 법인 고객과 본인이 모두 일본에 있는 경우 역외 적용됨

3) 물적 범위

개인정보보호법은 개인정보취급사업자의 개인정보 '취급'에 적용되지만, '취급'은 동법이나 개인정보감독기구 가이드라인에 정의되어 있지 않고 비교적 폭넓게 받아들여짐. 일본 정부 주최 토론에서, 수집(취득), 보유, 사용, 이전 및 기타 취급 행위를 의미한다고 설명하였음.

(3) 개인정보처리 동의10)

개인정보보호법 제 16 조에는 ‘개인 정보 취급 사업자는 미리 본인의 동의를 얻지 않고 전조의 규정에 의해 특정된 이용 목적의 달성에 필요한 범위를 넘어 개인 정보를 취급해서는 안 된다’ 라고 명기되어 있고 또한, 동 제 23 조에는 ‘개인정보취급사업자는 다음 각 호의 경우를 제외하고는 미리 본인의 동의를 얻지 않고 개인 정보를 타인에게 제공하여서는 아니 된다‘라고 쓰여져 있다. 이 점에서도 개인 정보 취급에서 ’본인의 동의'를 빼놓을 수 없다.

본인의 동의 정의: 본인의 개인 정보를 개인정보취급사업자에 의해 나타난 방법으로 취급을 승낙하는 취지의 해당 본인의 의사 표시

본인의 동의를 얻는 구체적인 예: 구두, 서면 등 외
· 본인의 서명 또는 기명 날인 한 신청서 확인란에 체크
· 웹 화면의 버튼 클릭 등으로 이러한 행위나 서류가 없으면 ‘본인의 동의'를 얻었다고 말할 수 없다.

개인 정보를 취급할 때는 개인 정보 자체뿐만 아니라, ’본인의 동의‘를 얻고 있는지 등에 대해서도 적절하게 관리할 필요가 있다.

개인정보 처리의 ‘적법 처리 근거(legal basis)’ 중 ‘동의’ 외에 1) 정보주체와의 계약, 2) 법적 의무 준수, 3) 공익에 의한 개인정보 처리도 가능하나 그 밖의 정보주체의 정당한 이익, 개인정보처리자의 정당한 이익 등은 인정되지 않음

10) 경제산업성, 개인정보보호에 관한 법률, 가이드라인 등 https://www.meti.go.jp/policy/it_policy/privacy/kojin_gadelane.html

(4) 정보주체의 권리

[표 3] 정보 주체의 권리

정보 주체의 권리
구분 설명 조항
삭제권 개인정보를 취급하는 사업자가 개인정보를 더 이상 사용할 필요가 없거나, 개인정보가 누출되거나, 정보주체의 권익이 침해될 수 있는 경우, 정보주체는 해당 사업자에게 개인정보의 이용중단 또는 삭제를 요구할 수 있는 권한을 부여한다. 제30조(5),(6)
정보를 제공받을 권리 정보주체는 개인정보를 취급하는 사업자에게 개인정보 제공 기록을 제3자에게 공개하도록 요청할 수 있는 권한을 부여하다 제28조(5)
접근권 사업자에 의해 보유된 개인정보가 정보주체에게 공개되어야 하는 방법을 정보 주체가 지정할 수 있는 권한을 부여한다. 제28조(1),(2)
정보 주체가 자신의 개인 정보가 제3자에게 제공되었음을 보여주는 모든 기록의 공개를 요청할 수 있는 권한을 부여한다. 제28조(4)
처리제한권 제3자에게 제공된 개인 정보가 부적절한 방식으로 얻은 정보이거나 수신 거부 예외에 따라 제공되는 개인 정보가 제3자에게 추가로 제공되는 경우 제23조에 따른 수신 거부 예외가 적용되지 않음을 명시한다. 제23조(4)
정정권 개인정보의 삭제가 6개월 이내인 경우에도 해당 개인정보에 대한 정정, 추가, 삭제 등의 권리를 부여한다. 제29조

(5) 위탁자 및 수탁자의 의무(제20조, 제21조, 제22조)

▶ (일반 의무) 개인정보보호법 제4장 전반에 걸쳐 개인정보 취급사업자에 대해 다음과 같은 의무를 규정하고 있다.

• 개인정보를 취급함에 있어 이용목적을 최대한 특정해야 하며, 원칙적으로 이용목적 달성에 필요한 범위를 넘어 개인정보를 취급해서는 아니 됨

• 개인정보를 취득하는 경우에는 이용목적을 통지·공표하지 않으면 아니 되며, 또한, 본인으로부터 직접 서면으로 개인정보를 취득하는 경우에는, 미리 본인에게 이용목적을 반드시 명시해야 함

• 개인 정보를 안전하게 관리하고, 직원 및 용역업체에 대한 감독을 실시해야 함

• 사전에 본인의 동의를 얻지 않고 제3자에게 개인정보를 제공해서는 아니 됨

• 사업자가 보유한 개인 정보에 관하여, 본인의 요구가 있을 시 공개해야 함

• 사업자가 보유한 개인 정보의 내용이 사실이 아니라는 이유로 본인으로부터 개인정보의 정정이나 삭제를 요구 받을 경우, 정정이나 삭제에 응해야 함

• 개인정보 취급에 관한 민원을 적절하고 신속하게 처리해야 함

▶ (위탁자 의무) 개인정보보호법 상의 위탁자(委託元)는 개인정보 취급사업자로서 수탁자(委託先)에 대한 감독 책임을 지닌다.(제22조)

• ’위탁자‘는 개인정보 취급사업자로, 검색할 수 있는 체계화된 개인정보를 사업에 사용하고 있는 자를 의미(제2조제5항)

• 개인정보를 수탁자에 위탁한 사업자는 자사가 완수해야 할 법적 의무가 수탁자 측에서 적절하게 수행하고 있는지 감독해야 함

• 위탁자의 실무 수행상의 의무는 개인정보보호법 가이드라인11)의 통칙편 제44항에서 상세 내용을 제시하고 있으며, 주요 내용은 다음과 같음

11) 個人情報の保護に関する法律についてのガイドライン

[표 4] 위탁자의 실무 수행상의 의무

위탁자의 실무 수행상의 의무
구분 세부 내용
①적절한 수탁자 선정

● 위탁자는 개인 정보를 적절히 취급할 것으로 기대할 수 있는 수탁자를 선택. 선정 전에는 수탁자의 기본방침, 내부 규율(취급 규정), 프라이버시 영향 평가(PIA) 등을 확인하고 안전관리 조치를 비롯하여 해당 수탁자가 개인 정보를 어떻게 취급하는지를 확인

● 구체적인 점검 사항으로는 법률 준수 조치 규정 여부와 적절한 안전관리 조치 정비 여부를 확인

②위탁 계약 체결

● 개인정보취급사업자가 개인정보보호법을 준수하는 것은 계약서에 기재되지 않더라도 법률에 따른 의무이기는 하나, 다음의 사항을 계약서상에 구체적으로 기재하는 것이 바람직

개인 정보의 구체적인 이용 목적

목적 이외 이용 금지

재위탁 인정 여부

외부 제공 인정 여부

안전관리 조치로 사전에 약속한 사항을 준수

③수탁자에 대한 개인 정보 취급 상황 파악

● 위탁 계약 이후에는 수탁자가 적절하게 개인 정보를 취급하고 있는지에 대한 현황 파악과 확인이 필요

● 정기 보고를 기본으로 하며, 필요 시 즉시 보고나 감사 실시 가능

▶ (수탁자 의무) 개인정보 취급사업자에 해당할 경우 규제대상이며, 이에 해당하지 않는 경우는 기본적으로는 민법상의 불법행위와 계약책임만 지게 됨(제22조)

• 수탁자가 개인정보 취급사업자에 해당하는 경우에는 재위탁처에 대한 감독 의무를 지니게 됨

• 개인정보 취급의 전부 또는 일부가 제3자에게 위탁되어 해당 수탁자에게서 정보유출이 발생할 경우, 1차적인 책임은 개인정보를 유출한 기업이 지게 됨12)

12) Nao Law Office, 【法務担当者必見!】個人情報の取扱い~外部へ委託をする場合~, 2020.1.25

(6) 개인정보 국외 이전

▶ ’20년 6월 개정법에 따라 일본의 개인정보 국외이전은 본인 동의를 원칙으로 하되 다음의 예외 단서를 통해 현실적인 수요를 반영하고 있다. (제24조)

• 일본과 동등한 수준으로 인정되는 개인정보보호에 관한 제도를 갖춘 외국으로의 개인정보 이전을 개인정보보호위원회 규칙으로 정할 경우

• 개인 정보 취급에 있어서 개인정보보호위원회 규칙이 정한 기준에 ‘적합한 체제’를 정비하기 위해 개인정보 취급사업자가 취해야 하는 조치에 상응하는 조치를 계속적으로 강구하는 경우

• 이 때 적합한 체제 정비는 다음의 사항을 포함할 수 있음

해당 제3자에 의한 계약 이행상황을 확인할 것

해당 계약의 이행과 관련된 외국의 법령 제‧개정 상황을 정기적으로 확인할 것

해당 제3자의 계약 이행이 어려운 경우에는 해당 제3자에 대한 개인정보 제공을 중지할 것

• APEC 회원국간 자유롭고 안전한 개인정보 이전을 지원하기 위한 글로벌 인증제도인 APEC CBPR이 2021년 현재 유일하게 인정된 인증방식

• EU와의 ‘적정성 결정’에 따라 EU 회원국 및 영국으로부터 적정성 결정에 기반하여 전송된 개인정보를 취급하는 사업자는 보다 엄격한 취급 규제를 받게 됨

(7) 집행

▶ ’20년 6월 개정된 개인정보보호법에서는 개인정보보호법 위반 법인에 대해 최대 1억 엔까지 벌금을 강화(제87조1항)하고 있으며, 일본 국내 체재자의 개인정보를 취급하는 해외 기업에도 보고 징수 및 명령을 확대하고 있다.

• 개정법의 벌금형/징역형에 관한 규정(제83조~제87조)은 ‘20년 12월부터 시행

[표 ]

위탁자의 실무 수행상의 의무
구분 징역형 벌금형
개정 전 개정 후 개정 전 개정 후
개인정보위원회 명령 위반 행위자 6월 이하 1년 이하 30만엔 이하 100만엔 이하
법인 - - 30만엔 이하 1억엔 이하
개인정보 DB 부정 제공 행위자 1년 이하 1년 이하 50만엔 이하 50만엔 이하
법인 - - 50만엔 이하 1억엔 이하
개인정보위원회 허위보고 등 행위자 - - 30만엔 이하 50만엔 이하
법인 - - 30만엔 이하 50만엔 이하
top