4월 시행 예정의 일본 개인정보보호법 개정 내용과 시사점

기사 메일 보내기
보내는 기사	4월 시행 예정의 일본 개인정보보호법 개정 내용과 시사점
보내는 사람	이름 손님
이메일
받는사람	이름
이메일
제목	4월 시행 예정의 일본 개인정보보호법 개정 내용과 시사점
내용	류정화 · 마츠우라 마사유키 · 송영섭 1. 들어가며 인공지능, 사물인터넷 등 ICT 산업이 주도하는 4차 혁명 시대에서 빅데이터의 중요성은 날로 커지고 있다. 특히, 인터넷을 기반으로 한 검색 엔진, 소셜 네트워크, 인터넷 쇼핑, 중개 플랫폼 회사들은, 개별 고객의 취향이 분석된 맞춤형 광고를 제작하거나 서비스의 품질 향상을 통한 더 많은 고객 유인을 위해 빅데이터를 수집, 활용하고 있다. 다만, 빅데이터에는 일반적으로 많은 개인정보가 포함되기 마련으로, 빅데이터를 처리 및 활용하는 과정에서 개인정보와 직접 관련이 없는 자료라 하더라도 개인정보로 식별될 가능성이 있으며, 개인정보 주체의 의도나 동의와 상관없이 개인의 민감한 정보를 추론할 수 있게 되어 개인정보가 노출되거나 침해될 위험성이 증가하는 것이 사실이다. 또한, 개인정보 수집 목적과는 다른 목적에의 유용, 개인정보 유출에 따른 문제도 항상 남아 있다. 개인정보는 개인의 존엄 또는 정부의 개입으로부터 개인의 자유권을 보장하기 위한 보호의 대상으로써 정보 주체의 자기결정권이라는 기본권으로 해석되고 있음에도 불구하고, 개인정보의 보호와 활용 사이에는 항상 딜레마가 존재한다. 이들 사이에서 균형을 찾는 것은 매우 어려운 과제로 한국 및 일본을 비롯한 주요 국가들은 이러한 배경하에서 개인정보보호 법제를 정비해 나가고 있다. 2. 일본 개인정보 보호법의 개정의 배경 일본에서는 2003년 5월에 민간영역을 규제대상으로 하는 개인정보보호법을 제정하였고, 국가의 행정기관을 규제대상으로 하는 행정기관 개인정보보호법, 독립행정법인 등을 규제하는 독립행정법인개인정보보호법 및 지방공공단체 등을 대상으로 하는 개인정보보호조례 등 관련 법령도 정비하였다. 개인정보보호법 제정 이후, 정보통신기술이 발달하면서 개인정보의 적극적인 활용이 필요해지고 기업 활동의 글로벌화로 인하여 개인정보가 국경을 넘어 유통되는 사례가 늘어나는 등 개인정보 취급환경에 많은 변화가 생겼다. 여기에 여러 개인정보 유출사건이 발생하여 개인정보 문제가 사회적 문제로 대두되는 복잡한 상황을 맞게 되었고, 개인정보보호 법제의 정비에 대한 요구가 높아졌다. 이러한 배경하에서 2015년, i) 민감한 개인정보를 '요배려(要配慮)개인정보'로 분류하여 보호를 강화하고, ii) 개인정보의 제3자 제공을 엄격화 하고, iii) 개인정보의 국외이전 및 Iv) 개인정보보호위원회 설치 등의 개정 내용을 담은 개정 개인정보보호법을 마련하고, 2017년 5월 30일 전면 시행하였다. 상기 개정 당시 정보통신기술의 현저한 발전 등 여러 환경의 변화에 능동적으로 대응하기 위하여 '3년 주기 평가'에 관한 규정을 개정법 부칙에 두게 되었는데, 일본의 개인정보보호위원회에서는 이러한 규정에 근거하여 3년 주기 평가를 실시하고 이에 기초하여 경제계, 소비자 의견, 국내외 상황을 고려하여 개정법안을 작성한 것이 2020년 6월 12일에 공포된 '개인정보의 보호에 관한 법률 등의 일부를 개정하는 법률'(이하 '2020년 개정법')이며 2022년 4월 1일 전면 시행될 예정이다. 2020년 개정법은 개인정보의 이용·활용과 보호 간의 균형 재조정하는 의미를 가지고 있으며, i) 개인정보의 해외 이전과 관련한 규정의 개정, ii) 개인관련정보 개념의 도입 iii) 개인정보취급사업자의 유출 등의 사고 발생 시 보고 및 통지의 의무화, iv) 가명가공정보 개념의 도입 등 다양한 규정의 추가/변경의 내용을 담고 있다. 2020년 개정법에 추가하여, 개인정보보호법제의 민관일원화, 학술연구에 관한 적용 제외 규정 등을 내용으로 한 '디지털 사회의 형성을 도모하기 위한 관계법률의 정비에 관한 법률'(이하 '2021년 개정법')도 2021년 5월 12월에 공표되어 2단계로 나누어 시행되는데, 1단계가 2020년 개정법과 같이 2022년 4월 1일 시행되며 2020년 개정법의 조문번호에 변화가 발생하였다. 아래에서는 2021년 개정법도 반영된 조문을 기준으로 표시하며, 2022년 4월 1일부터 시행되는 2020년 개정법 및 2021년 개정법(일부)에 따라 개정 후의 개인정보보호법을 '개정법'이라 한다. 일본에서 사업을 영위하고 있는 한국 기업의 경우, 개정법 중 개인정보의 해외 이전 및 개인관련정보에 대한 개정 내용에 특히 유의를 할 필요가 있어, 이에 대해 아래에서 자세히 살펴본다. 3. 개인정보의 외국에 있는 제3자에의 제공 1) 동의의 획득 한국 개인정보보호법상 개인정보처리자에 해당하는 일본의 개인정보보호법의 개인정보취급사업자가 개인 데이터(개인정보데이터베이스 등을 구성하는 개인정보를 의미)를 외국에 있는 제3자에게 제공하는 데 있어서는 일정한 예외에 해당하는 경우를 제외하고 사전에 개인정보 주체로부터 '외국에 있는 제3자에 대한 개인 데이터의 제공을 인정하는 취지의 본인의 동의'를 얻을 필요가 있다(개정법 제28조). '제3자'의 해당 여부는 다른 법인격을 소유하는지 여부로 판단되기 때문에, 일본 법인이 개인정보취급사업자이고 그 모회사가 외국에 있는 경우, 해당 모회사는 '외국에 있는 제3자'에 해당한다. 다만, 외국법령에 준거하여 설립된 법인이라고 하더라도 일본의 개인정보취급사업자에 해당하는 경우는 '외국에 있는 제3자'에 해당하지 않는데, 일본 내에 사무소를 설치하고 있는 경우 또는 사업 활동을 행하고 있는 경우 등 일본 내에서 개인정보 데이터베이스 등을 사업에 이용하고 있는 것으로 인정되는 때에는, '외국에 있는 제3자'에 해당하지 아니한다. 또한, 일본의 개인정보취급사업자가 스스로 외국에 설치하여 관리·운영하는 서버에 개인정보 데이터베이스를 보전하는 경우에도 '외국에 있는 제3자'에 해당하지 아니한다. 또한, 개인정보 취급의 전부 또는 일부를 위탁하는 경우, 합병 등의 사유에 의한 사업의 승계로 인하여 개인정보가 이전되는 경우 및 개인정보의 공동이용의 경우로 일본 국내에서의 상기 행위는 '제3자 제공'에 해당하지 않아 본인의 동의를 받지 않아도 된다고 하더라도, 정보 수령자가 '외국에 있는 제3자'인 경우는 원칙적으로 본인의 동의를 받아야 한다. 개정법은 '외국에 있는 제3자에게 개인 데이터 제공을 인정하는 취지의 본인 동의'를 취득함에 있어 i) 개인 데이터를 이전하는 곳의 외국 명칭, ii) 해당 외국의 개인정보보호제도, 및 iii) 해당 제3자가 강구하는 개인정보보호를 위한 조치 등에 관한 정보를 본인에게 제공하도록 하고 있다. 이에 따라, 각 기업은 개인정보의 일본 국외 이전 여부를 확인하여야 하며, 개인정보를 일본 국외에 이전하고 있는 경우라면 개인정보 처리방침 등에 상기 정보를 기재할 필요가 있는지 검토하여야 한다. 또한 개정법은 개인정보취급사업자가 개인 데이터를 포함한 정보를 클라우드 상에서 취급하기 위해 외국의 클라우드 사업자를 활용하는 경우에는, 해당 개인정보취급사업자는 클라우드 사업자가 소재한 국가의 제도를 파악한 후 안전관리조치를 강구해야 하며 이 점에 관하여 정보주체 본인에게 해당 정보를 제공할 것이 요구된다는 점을 명확히 하였다. 이에 따라, 실무적으로는 클라우드 이용규약 내용을 면밀히 조사한 후 적절한 클라우드 사업자를 선정하고 해당 클라우드 사업자에 대해 실효적인 안전관리조치를 강구하도록 하는 것이 바람직하다. 2) 동의 획득의 예외 '외국에 있는 제3자에 대한 개인 데이터의 제공을 인정하는 취지의 본인의 동의'를 얻을 필요가 없는 '일정한 예외'로 다음의 경우가 인정되고 있다. 첫째, 해당 제3자가 일본과 동등한 수준에 있다고 인정되는 개인정보 보호제도를 가지고 있는 국가로서 개인정보보호위원회가 정하는 국가에 소재하는 경우이다. EU 및 영국 등이 이에 해당하며, 한국은 현 시점에서는 이러한 국가에는 포함되지 않고 있다. 둘째, 해당 제3자가 개인정보취급사업자가 강구해야 할 조치에 해당하는 조치를 지속적으로 강구하기 위한 체제로서 개인정보 보호법 시행규칙으로 정하는 기준에 부합하는 체제를 정비하고 있는 경우이다. 이러한 체제를 정비하고 있음을 인정받기 위해서는 다음의 (1) 또는 (2) 중 하나에 해당할 필요가 있다. (1) 개인정보취급사업자와 개인 데이터의 제공을 받는 자 사이에, 해당 제공을 받는 자의 해당 개인 데이터 취급에 대하여 적절하고 합리적인 방법으로 개정법 제4장 제2절(개인정보취급사업자의 의무)규정 취지에 따른 조치의 실시를 확보하고 있을 것으로, 구체적으로는 정보 제공원 및 제공처 간의 계약, 정보 제공원 및 제공처 간에 공통적으로 적용되는 내규, 프라이버시 정책 등에서 개인정보보호법에서 개인정보취급사업자가 강구해야 할 것으로 되어 있는 조치의 실시를 확보하는 것이 이에 해당한다. (2) 개인 데이터의 제공을 받는 자가, 개인정보 취급에 관한 국제적인 시스템에 기초한 인정을 받고 있을 것으로, 구체적으로는 아시아 태평양 경제 협력체(APEC)의 Cross-Border Privacy Rules (CBPR) 시스템의 인증을 취득한 경우가 이에 해당한다. 셋째, 개정법 제27조제1항 각호에 해당하는 경우로, i) 법령에 의거하는 경우, ii) 사람의 생명, 신체 또는 재산의 보호를 위해 필요한 경우로, 본인의 동의를 얻기 어려운 경우, iii) 공중 위생의 향상 또는 아동의 건전한 육성을 위해서 특히 필요한 경우로, 본인의 동의를 얻기 곤란한 경우, iv) 국가기관이나 지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 데 협력할 필요가 있는 경우로, 본인의 동의를 얻음으로써 해당 사무의 수행에 지장을 줄 우려가 있는 경우가 이에 해당한다. 3) 한국의 경우 한국의 경우, 개인정보를 국외의 제3자에게 제공하기 위해서는 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알리고 동의를 받아야 한다(개인정보보호법 제17조 제2항 및 제3항). 정보통신서비스제공자의 경우, 이전되는 개인정보 항목, 개인정보가 이전되는 국가, 이전 일시 및 이전 방법, 개인정보를 이전 받는 자의 성명, 개인정보를 이전 받는 자의 개인정보 이용 목적 및 보유·이용 기간을 공개하고 이용자의 동의를 받아야 하며, 처리위탁과 보관의 경우에는 상기 내용을 포함한 개인정보 보호방침을 홈페이지에 지속적으로 게시하여 동의를 생략할 수 있다(개인정보보호법 제39조의12 제2항 및 제3항). 또한, 개인정보를 국외로 이전하는 정보통신서비스 제공자는 개인정보 보호를 위한 안전성 확보 조치, 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치, 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치를 취하여야 한다(개인정보보호법 시행령 제48조의10). 그러나, 일본과 같이 동의를 취득함에 있어 해당 외국의 개인정보보호제도에 대한 정보를 제공할 의무까지는 부담하지 않는다. 4. '개인관련정보' 개념의 신설 최근 세계적으로 개인정보에는 해당하지 아니하나 이용자의 인터넷 열람 이력 등을 수집하여 해당 정보를 제3자에게 제공하고, 이를 제공받은 제3자는 다른 정보와 결합하여 개인을 식별할 수 있는 정보(개인정보)로서 그 제3자의 비지니스에 이용되어지는 경우가 증가하고 있다. 이용자의 관점에서는 본인이 모르는 사이에 자신의 인터넷 열람 이력 등을 기업이 파악하여 개인정보로서 이용하는 것이다. 일본의 개정법에서는 개인관련정보라는 개념을 새롭게 도입하였다(개정법 제2조제7항). 개인관련정보는 생존하는 개인에 관한 정보로서, 개인정보, 가명가공정보 및 익명가공정보의 어느 것에도 해당하지 않는 것으로 정의되고 있으며, 구체적으로는 개인정보와 결합되지 않은 인터넷 열람 이력 등의 행태정보, 위치정보, 쿠키 등이 이에 해당한다. 개정법에 따르면, 어느 회사가 개인을 식별할 수 없는 정보를 다른 회사에 제공하고 그 다른 회사가 개인을 식별할 수 있는 형태로 해당 정보를 이용하는 것이 상정될 때에는(즉, 제3자가 개인관련정보를 개인 데이터로 취득하는 것이 상정될 때), 이를 제공하는 '개인관련정보취급사업자'는 정보 주체인 본인이 이에 동의하였는지를 확인할 필요가 있다(개정법 제31조). 즉, 개인관련정보를 개인관련정보취급사업자로부터 제공받아 개인정보로 식별하여 사용하고자 하는 자는 미리 정보 주체로부터 '개인관련정보를 식별 목적으로 이용한다는 취지의 동의'를 받아야 한다. 개인관련정보를 이러한 목적을 가진 제3자에게 제공하려는 개인관련정보취급사업자는 제공받는 제3자가 개인정보 주체로부터 적정한 동의를 받았는지 여부를 확인 후 제공하고, 확인에 관한 사항, 개인관련정보를 제공한 시점 등도 기록하여 일정 기간 보존하여야 한다. 위탁, 사업승계, 공동이용에 따른 정보 제공의 경우에도 동의 획득 및 동의 확인의 대상이 된다. 그러나, 동의 확인 의무가 모든 경우에 부과되는 것은 아니고, 제공받을 제3자가 개인 식별을 위해 다른 정보와 대조할 것으로 '예상'되는 경우에 한한다. 이에 대해 입법자는 제3자가 개인관련정보를 개인 데이터로서 취득한다고 볼 수 있는 경우로서, 정보 취득 경위 등 객관적 사정에 비추어 보았을 때 일반인의 인식을 기준으로 당해 제3자에 의해 개인 데이터로서 취득되는 것을 통상 상정할 수 있는 경우가 이에 해당한다고 한다. 구체적으로 개인관련정보를 제공할 때, 당해 개인관련정보를 성명 등과 결부하기 위해 고유 ID 등도 같이 제공하는 경우를 들 수 있다. 위와 같은 개정법에 따르면, 개인관련정보취급사업자로부터 수집된 온라인 이용자의 인터넷 열람 이력, 취미, 기호 등을 제공받아 자체적으로 가지고 있는 데이터와 대조하여 식별성을 지닌 개인정보로 이용하려는 기업은 사전에 정보 주체의 동의를 취득하여야 하므로, 지금과 같은 일본 내 이용자에 대한 행태정보의 자유로운 수집과 이용은 어려워질 수 있다. 한편, 한국의 경우에는 아직 행태정보 등의 개인관련정보의 수집 및 활용에 관한 규제 법제 및 이에 대한 정의 규정은 현재 존재하지 않는 상태로, 2017년 2월에 방송통신위원회가 마련했던 '온라인 맞춤형 광고 개인정보 가이드라인'에서 행태정보를 '웹 사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인 상의 이용자 활동정보'라고 정의한 바 있다. 5. 끝으로 일본에 진출하여 활동하고 있는 한국 기업들에게는, 개인정보 수집 및 활용 동의서 상의 중요한 내용을 표시함에 있어 사용할 글씨의 크기까지 상세히 규정하는 한국의 개인정보보호법 및 관련 규정에 비하여, 상대적으로 일본의 개인정보보호법은 한국보다는 이용자 보호 규정이 약하다는 인식이 있었던 것이 사실이다. 그러나 일본에서의 이번 개정법 시행에 따라, 한국의 개인정보보호법에는 도입되지 않은 조치가 필요하게 되었으므로, 이에 대한 주의가 요구된다. 이에 따라, 일본에서 사업을 영위하는 한국 기업 또는 사업자는 이러한 개인정보보호법의 개정 내용을 정확히 이해하고 이를 준수할 수 있도록 개인정보 처리방침의 개정을 검토할 필요가 있다. 또한 이번 개정으로 개인정보보호법 위반에 따른 벌칙 규정이 강화된 점, 외국의 사업자에 대하여도 일본 내 사업자와 동일하게 개인정보보호법을 적용하여 보고, 징수 또는 명령의 대상이 되도록 하는 역외적용 범위가 확대된 점도 참고할 필요가 있다. 한국의 개인정보보호법에서는 역외적용에 관한 규정이 없는데, 일본의 역외적용 규정에 따르면, 외국의 사업자가 개인정보보호위원회의 명령에 위반한 경우, 개인정보보호위원회가 그 취지를 공표할 수 있으며, 외국의 관계 당국과 집행 협력을 위하여 영사송달 및 공시송달이 가능하도록 하여 명령의 실효성 확보가 가능하도록 하고 있는 바, 유의할 필요가 있다. 류정화 변호사 (Atsumi&Sakai) 마츠우라 마사유키 일본변호사 (Atsumi&Sakai) 송영섭 변호사 (Atsumi&Sakai)

기사 메일 보내기

보내는 기사

보내는 사람

이름 손님

이메일

받는사람

이름

이메일

제목

4월 시행 예정의 일본 개인정보보호법 개정 내용과 시사점

내용

1. 들어가며

인공지능, 사물인터넷 등 ICT 산업이 주도하는 4차 혁명 시대에서 빅데이터의 중요성은 날로 커지고 있다. 특히, 인터넷을 기반으로 한 검색 엔진, 소셜 네트워크, 인터넷 쇼핑, 중개 플랫폼 회사들은, 개별 고객의 취향이 분석된 맞춤형 광고를 제작하거나 서비스의 품질 향상을 통한 더 많은 고객 유인을 위해 빅데이터를 수집, 활용하고 있다.

다만, 빅데이터에는 일반적으로 많은 개인정보가 포함되기 마련으로, 빅데이터를 처리 및 활용하는 과정에서 개인정보와 직접 관련이 없는 자료라 하더라도 개인정보로 식별될 가능성이 있으며, 개인정보 주체의 의도나 동의와 상관없이 개인의 민감한 정보를 추론할 수 있게 되어 개인정보가 노출되거나 침해될 위험성이 증가하는 것이 사실이다. 또한, 개인정보 수집 목적과는 다른 목적에의 유용, 개인정보 유출에 따른 문제도 항상 남아 있다.

개인정보는 개인의 존엄 또는 정부의 개입으로부터 개인의 자유권을 보장하기 위한 보호의 대상으로써 정보 주체의 자기결정권이라는 기본권으로 해석되고 있음에도 불구하고, 개인정보의 보호와 활용 사이에는 항상 딜레마가 존재한다. 이들 사이에서 균형을 찾는 것은 매우 어려운 과제로 한국 및 일본을 비롯한 주요 국가들은 이러한 배경하에서 개인정보보호 법제를 정비해 나가고 있다.

2. 일본 개인정보 보호법의 개정의 배경
일본에서는 2003년 5월에 민간영역을 규제대상으로 하는 개인정보보호법을 제정하였고, 국가의 행정기관을 규제대상으로 하는 행정기관 개인정보보호법, 독립행정법인 등을 규제하는 독립행정법인개인정보보호법 및 지방공공단체 등을 대상으로 하는 개인정보보호조례 등 관련 법령도 정비하였다.

개인정보보호법 제정 이후, 정보통신기술이 발달하면서 개인정보의 적극적인 활용이 필요해지고 기업 활동의 글로벌화로 인하여 개인정보가 국경을 넘어 유통되는 사례가 늘어나는 등 개인정보 취급환경에 많은 변화가 생겼다. 여기에 여러 개인정보 유출사건이 발생하여 개인정보 문제가 사회적 문제로 대두되는 복잡한 상황을 맞게 되었고, 개인정보보호 법제의 정비에 대한 요구가 높아졌다. 이러한 배경하에서 2015년, i) 민감한 개인정보를 '요배려(要配慮)개인정보'로 분류하여 보호를 강화하고, ii) 개인정보의 제3자 제공을 엄격화 하고, iii) 개인정보의 국외이전 및 Iv) 개인정보보호위원회 설치 등의 개정 내용을 담은 개정 개인정보보호법을 마련하고, 2017년 5월 30일 전면 시행하였다.

상기 개정 당시 정보통신기술의 현저한 발전 등 여러 환경의 변화에 능동적으로 대응하기 위하여 '3년 주기 평가'에 관한 규정을 개정법 부칙에 두게 되었는데, 일본의 개인정보보호위원회에서는 이러한 규정에 근거하여 3년 주기 평가를 실시하고 이에 기초하여 경제계, 소비자 의견, 국내외 상황을 고려하여 개정법안을 작성한 것이 2020년 6월 12일에 공포된 '개인정보의 보호에 관한 법률 등의 일부를 개정하는 법률'(이하 '2020년 개정법')이며 2022년 4월 1일 전면 시행될 예정이다.

2020년 개정법은 개인정보의 이용·활용과 보호 간의 균형 재조정하는 의미를 가지고 있으며, i) 개인정보의 해외 이전과 관련한 규정의 개정, ii) 개인관련정보 개념의 도입 iii) 개인정보취급사업자의 유출 등의 사고 발생 시 보고 및 통지의 의무화, iv) 가명가공정보 개념의 도입 등 다양한 규정의 추가/변경의 내용을 담고 있다.

2020년 개정법에 추가하여, 개인정보보호법제의 민관일원화, 학술연구에 관한 적용 제외 규정 등을 내용으로 한 '디지털 사회의 형성을 도모하기 위한 관계법률의 정비에 관한 법률'(이하 '2021년 개정법')도 2021년 5월 12월에 공표되어 2단계로 나누어 시행되는데, 1단계가 2020년 개정법과 같이 2022년 4월 1일 시행되며 2020년 개정법의 조문번호에 변화가 발생하였다. 아래에서는 2021년 개정법도 반영된 조문을 기준으로 표시하며, 2022년 4월 1일부터 시행되는 2020년 개정법 및 2021년 개정법(일부)에 따라 개정 후의 개인정보보호법을 '개정법'이라 한다.

일본에서 사업을 영위하고 있는 한국 기업의 경우, 개정법 중 개인정보의 해외 이전 및 개인관련정보에 대한 개정 내용에 특히 유의를 할 필요가 있어, 이에 대해 아래에서 자세히 살펴본다.

3. 개인정보의 외국에 있는 제3자에의 제공
1) 동의의 획득
한국 개인정보보호법상 개인정보처리자에 해당하는 일본의 개인정보보호법의 개인정보취급사업자가 개인 데이터(개인정보데이터베이스 등을 구성하는 개인정보를 의미)를 외국에 있는 제3자에게 제공하는 데 있어서는 일정한 예외에 해당하는 경우를 제외하고 사전에 개인정보 주체로부터 '외국에 있는 제3자에 대한 개인 데이터의 제공을 인정하는 취지의 본인의 동의'를 얻을 필요가 있다(개정법 제28조).

'제3자'의 해당 여부는 다른 법인격을 소유하는지 여부로 판단되기 때문에, 일본 법인이 개인정보취급사업자이고 그 모회사가 외국에 있는 경우, 해당 모회사는 '외국에 있는 제3자'에 해당한다. 다만, 외국법령에 준거하여 설립된 법인이라고 하더라도 일본의 개인정보취급사업자에 해당하는 경우는 '외국에 있는 제3자'에 해당하지 않는데, 일본 내에 사무소를 설치하고 있는 경우 또는 사업 활동을 행하고 있는 경우 등 일본 내에서 개인정보 데이터베이스 등을 사업에 이용하고 있는 것으로 인정되는 때에는, '외국에 있는 제3자'에 해당하지 아니한다. 또한, 일본의 개인정보취급사업자가 스스로 외국에 설치하여 관리·운영하는 서버에 개인정보 데이터베이스를 보전하는 경우에도 '외국에 있는 제3자'에 해당하지 아니한다.

또한, 개인정보 취급의 전부 또는 일부를 위탁하는 경우, 합병 등의 사유에 의한 사업의 승계로 인하여 개인정보가 이전되는 경우 및 개인정보의 공동이용의 경우로 일본 국내에서의 상기 행위는 '제3자 제공'에 해당하지 않아 본인의 동의를 받지 않아도 된다고 하더라도, 정보 수령자가 '외국에 있는 제3자'인 경우는 원칙적으로 본인의 동의를 받아야 한다.

개정법은 '외국에 있는 제3자에게 개인 데이터 제공을 인정하는 취지의 본인 동의'를 취득함에 있어 i) 개인 데이터를 이전하는 곳의 외국 명칭, ii) 해당 외국의 개인정보보호제도, 및 iii) 해당 제3자가 강구하는 개인정보보호를 위한 조치 등에 관한 정보를 본인에게 제공하도록 하고 있다. 이에 따라, 각 기업은 개인정보의 일본 국외 이전 여부를 확인하여야 하며, 개인정보를 일본 국외에 이전하고 있는 경우라면 개인정보 처리방침 등에 상기 정보를 기재할 필요가 있는지 검토하여야 한다.

또한 개정법은 개인정보취급사업자가 개인 데이터를 포함한 정보를 클라우드 상에서 취급하기 위해 외국의 클라우드 사업자를 활용하는 경우에는, 해당 개인정보취급사업자는 클라우드 사업자가 소재한 국가의 제도를 파악한 후 안전관리조치를 강구해야 하며 이 점에 관하여 정보주체 본인에게 해당 정보를 제공할 것이 요구된다는 점을 명확히 하였다. 이에 따라, 실무적으로는 클라우드 이용규약 내용을 면밀히 조사한 후 적절한 클라우드 사업자를 선정하고 해당 클라우드 사업자에 대해 실효적인 안전관리조치를 강구하도록 하는 것이 바람직하다.

2) 동의 획득의 예외
'외국에 있는 제3자에 대한 개인 데이터의 제공을 인정하는 취지의 본인의 동의'를 얻을 필요가 없는 '일정한 예외'로 다음의 경우가 인정되고 있다.

첫째, 해당 제3자가 일본과 동등한 수준에 있다고 인정되는 개인정보 보호제도를 가지고 있는 국가로서 개인정보보호위원회가 정하는 국가에 소재하는 경우이다. EU 및 영국 등이 이에 해당하며, 한국은 현 시점에서는 이러한 국가에는 포함되지 않고 있다.

둘째, 해당 제3자가 개인정보취급사업자가 강구해야 할 조치에 해당하는 조치를 지속적으로 강구하기 위한 체제로서 개인정보 보호법 시행규칙으로 정하는 기준에 부합하는 체제를 정비하고 있는 경우이다. 이러한 체제를 정비하고 있음을 인정받기 위해서는 다음의 (1) 또는 (2) 중 하나에 해당할 필요가 있다.

(1) 개인정보취급사업자와 개인 데이터의 제공을 받는 자 사이에, 해당 제공을 받는 자의 해당 개인 데이터 취급에 대하여 적절하고 합리적인 방법으로 개정법 제4장 제2절(개인정보취급사업자의 의무)규정 취지에 따른 조치의 실시를 확보하고 있을 것으로, 구체적으로는 정보 제공원 및 제공처 간의 계약, 정보 제공원 및 제공처 간에 공통적으로 적용되는 내규, 프라이버시 정책 등에서 개인정보보호법에서 개인정보취급사업자가 강구해야 할 것으로 되어 있는 조치의 실시를 확보하는 것이 이에 해당한다.

(2) 개인 데이터의 제공을 받는 자가, 개인정보 취급에 관한 국제적인 시스템에 기초한 인정을 받고 있을 것으로, 구체적으로는 아시아 태평양 경제 협력체(APEC)의 Cross-Border Privacy Rules (CBPR) 시스템의 인증을 취득한 경우가 이에 해당한다.

셋째, 개정법 제27조제1항 각호에 해당하는 경우로, i) 법령에 의거하는 경우, ii) 사람의 생명, 신체 또는 재산의 보호를 위해 필요한 경우로, 본인의 동의를 얻기 어려운 경우, iii) 공중 위생의 향상 또는 아동의 건전한 육성을 위해서 특히 필요한 경우로, 본인의 동의를 얻기 곤란한 경우, iv) 국가기관이나 지방공공단체 또는 그 위탁을 받은 자가 법령에서 정하는 사무를 수행하는 데 협력할 필요가 있는 경우로, 본인의 동의를 얻음으로써 해당 사무의 수행에 지장을 줄 우려가 있는 경우가 이에 해당한다.

3) 한국의 경우
한국의 경우, 개인정보를 국외의 제3자에게 제공하기 위해서는 개인정보를 제공받는 자, 개인정보를 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목, 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알리고 동의를 받아야 한다(개인정보보호법 제17조 제2항 및 제3항). 정보통신서비스제공자의 경우, 이전되는 개인정보 항목, 개인정보가 이전되는 국가, 이전 일시 및 이전 방법, 개인정보를 이전 받는 자의 성명, 개인정보를 이전 받는 자의 개인정보 이용 목적 및 보유·이용 기간을 공개하고 이용자의 동의를 받아야 하며, 처리위탁과 보관의 경우에는 상기 내용을 포함한 개인정보 보호방침을 홈페이지에 지속적으로 게시하여 동의를 생략할 수 있다(개인정보보호법 제39조의12 제2항 및 제3항).

또한, 개인정보를 국외로 이전하는 정보통신서비스 제공자는 개인정보 보호를 위한 안전성 확보 조치, 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치, 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치를 취하여야 한다(개인정보보호법 시행령 제48조의10). 그러나, 일본과 같이 동의를 취득함에 있어 해당 외국의 개인정보보호제도에 대한 정보를 제공할 의무까지는 부담하지 않는다.

4. '개인관련정보' 개념의 신설
최근 세계적으로 개인정보에는 해당하지 아니하나 이용자의 인터넷 열람 이력 등을 수집하여 해당 정보를 제3자에게 제공하고, 이를 제공받은 제3자는 다른 정보와 결합하여 개인을 식별할 수 있는 정보(개인정보)로서 그 제3자의 비지니스에 이용되어지는 경우가 증가하고 있다. 이용자의 관점에서는 본인이 모르는 사이에 자신의 인터넷 열람 이력 등을 기업이 파악하여 개인정보로서 이용하는 것이다.

일본의 개정법에서는 개인관련정보라는 개념을 새롭게 도입하였다(개정법 제2조제7항). 개인관련정보는 생존하는 개인에 관한 정보로서, 개인정보, 가명가공정보 및 익명가공정보의 어느 것에도 해당하지 않는 것으로 정의되고 있으며, 구체적으로는 개인정보와 결합되지 않은 인터넷 열람 이력 등의 행태정보, 위치정보, 쿠키 등이 이에 해당한다.

개정법에 따르면, 어느 회사가 개인을 식별할 수 없는 정보를 다른 회사에 제공하고 그 다른 회사가 개인을 식별할 수 있는 형태로 해당 정보를 이용하는 것이 상정될 때에는(즉, 제3자가 개인관련정보를 개인 데이터로 취득하는 것이 상정될 때), 이를 제공하는 '개인관련정보취급사업자'는 정보 주체인 본인이 이에 동의하였는지를 확인할 필요가 있다(개정법 제31조).

즉, 개인관련정보를 개인관련정보취급사업자로부터 제공받아 개인정보로 식별하여 사용하고자 하는 자는 미리 정보 주체로부터 '개인관련정보를 식별 목적으로 이용한다는 취지의 동의'를 받아야 한다. 개인관련정보를 이러한 목적을 가진 제3자에게 제공하려는 개인관련정보취급사업자는 제공받는 제3자가 개인정보 주체로부터 적정한 동의를 받았는지 여부를 확인 후 제공하고, 확인에 관한 사항, 개인관련정보를 제공한 시점 등도 기록하여 일정 기간 보존하여야 한다. 위탁, 사업승계, 공동이용에 따른 정보 제공의 경우에도 동의 획득 및 동의 확인의 대상이 된다.

그러나, 동의 확인 의무가 모든 경우에 부과되는 것은 아니고, 제공받을 제3자가 개인 식별을 위해 다른 정보와 대조할 것으로 '예상'되는 경우에 한한다. 이에 대해 입법자는 제3자가 개인관련정보를 개인 데이터로서 취득한다고 볼 수 있는 경우로서, 정보 취득 경위 등 객관적 사정에 비추어 보았을 때 일반인의 인식을 기준으로 당해 제3자에 의해 개인 데이터로서 취득되는 것을 통상 상정할 수 있는 경우가 이에 해당한다고 한다. 구체적으로 개인관련정보를 제공할 때, 당해 개인관련정보를 성명 등과 결부하기 위해 고유 ID 등도 같이 제공하는 경우를 들 수 있다.

위와 같은 개정법에 따르면, 개인관련정보취급사업자로부터 수집된 온라인 이용자의 인터넷 열람 이력, 취미, 기호 등을 제공받아 자체적으로 가지고 있는 데이터와 대조하여 식별성을 지닌 개인정보로 이용하려는 기업은 사전에 정보 주체의 동의를 취득하여야 하므로, 지금과 같은 일본 내 이용자에 대한 행태정보의 자유로운 수집과 이용은 어려워질 수 있다.

한편, 한국의 경우에는 아직 행태정보 등의 개인관련정보의 수집 및 활용에 관한 규제 법제 및 이에 대한 정의 규정은 현재 존재하지 않는 상태로, 2017년 2월에 방송통신위원회가 마련했던 '온라인 맞춤형 광고 개인정보 가이드라인'에서 행태정보를 '웹 사이트 방문 이력, 앱 사용 이력, 구매 및 검색 이력 등 이용자의 관심, 흥미, 기호 및 성향 등을 파악하고 분석할 수 있는 온라인 상의 이용자 활동정보'라고 정의한 바 있다.

5. 끝으로
일본에 진출하여 활동하고 있는 한국 기업들에게는, 개인정보 수집 및 활용 동의서 상의 중요한 내용을 표시함에 있어 사용할 글씨의 크기까지 상세히 규정하는 한국의 개인정보보호법 및 관련 규정에 비하여, 상대적으로 일본의 개인정보보호법은 한국보다는 이용자 보호 규정이 약하다는 인식이 있었던 것이 사실이다.

그러나 일본에서의 이번 개정법 시행에 따라, 한국의 개인정보보호법에는 도입되지 않은 조치가 필요하게 되었으므로, 이에 대한 주의가 요구된다. 이에 따라, 일본에서 사업을 영위하는 한국 기업 또는 사업자는 이러한 개인정보보호법의 개정 내용을 정확히 이해하고 이를 준수할 수 있도록 개인정보 처리방침의 개정을 검토할 필요가 있다.

또한 이번 개정으로 개인정보보호법 위반에 따른 벌칙 규정이 강화된 점, 외국의 사업자에 대하여도 일본 내 사업자와 동일하게 개인정보보호법을 적용하여 보고, 징수 또는 명령의 대상이 되도록 하는 역외적용 범위가 확대된 점도 참고할 필요가 있다. 한국의 개인정보보호법에서는 역외적용에 관한 규정이 없는데, 일본의 역외적용 규정에 따르면, 외국의 사업자가 개인정보보호위원회의 명령에 위반한 경우, 개인정보보호위원회가 그 취지를 공표할 수 있으며, 외국의 관계 당국과 집행 협력을 위하여 영사송달 및 공시송달이 가능하도록 하여 명령의 실효성 확보가 가능하도록 하고 있는 바, 유의할 필요가 있다.

류정화 변호사 (Atsumi&Sakai)
마츠우라 마사유키 일본변호사 (Atsumi&Sakai)

송영섭 변호사 (Atsumi&Sakai)

기사 스크랩하기
기사제목

스크랩 보기
번호	제목	스크랩 날짜
스크랩 기사가 없습니다.

1. 들어가며

송영섭 변호사 (Atsumi&Sakai)