인터넷 사이트와 모바일 어플리케이션이 일반화된 지금, 국경을 넘은 서비스의 제공은 더 이상 어렵거나 복잡한 일은 아닙니다.  하지만 그와 같은 서비스는 개인정보의 국제적 이동을 수반하게 되고 여기에서 복잡한 법률문제가 발생할 수 있습니다.  한국의 인터넷 사업자가 뜻하지 않게 외국의 개인정보의 보호에 관한 법률 위반하는 상황이 발생할 수 있다는 것입니다.

이를 배경으로 최근에는 일본 시장을 대상으로 온라인 서비스를 제공하거나 진출을 준비 중인 한국 기업들로부터 “일본 홈페이지에 게시한 개인정보보호방침(Privacy Policy)이 일본의 개인정보보호법에 부합하는지”에 대한 문의가 꾸준히 증가하고 있습니다. 단순히 국내에서 사용하던 개인정보처리방침을 일본어로 번역하거나, 인터넷에서 확인되는 일본 기업의 그것을 그대로 사용하는 방식은 법률상 요구사항을 충족하지 못할 위험이 상당하며, 이는 향후 제재나 분쟁으로 이어질 수 있는 중요한 리스크 요인입니다.

저희는 이러한 문제의식 속에서, 일본 개인정보보호법에 부합하는 Privacy Policy의 검토와 작성에 관한 자문을 여러 차례 수행한 경험을 가지고 있습니다.

이에 본 글에서는 일본 진출을 고려 중이거나 이미 서비스를 제공하고 있는 한국 기업과 스타트업을 위해, 일본 개인정보보호법의 적용 범위와 주요 개정 내용, 그리고 주의해야 할 실무상 포인트를 정리하여 소개하고자 합니다.

일본 개인정보보호법의 역외적용 

결론적으로, 일본의 개인정보보호법은 한국의 사업자에게도 적용될 수 있습니다.  그 근거는 일본의 「개인정보의 보호에 관한 법률」 제166조입니다.

제166조는 ‘이 법률은 개인정보취급사업자, 가명가공정보취급사업자, 익명가공정보취급사업자 또는 개인관련정보취급사업자가 국내에 있는 자에 대한 물품 또는 서비스의 제공과 관련하여 국내에 있는 자를 본인으로 하는 개인정보, 당해 개인정보로서 취득되는 개인관련정보 또는 당해 가인정보를 이용하여 작성된 가명가공정보 혹은 익명가공정보를 외국에서 취급하는 경우에도 적용된다’고 규정하고 있습니다.

한국 기업에게 일본의 개인정보보호법이 적용되게 되는 대표적인 경우는 아래와 같습니다:

• 한국의 인터넷통신판매업자가 일본의 소비자로부터 상품과 서비스를 판매, 전송하는 과정에서 개인정보를 취득한 경우
• 한국의 메일서비스 제공사업자가 계정 설정 등을 위해 일본의 소비자로부터 개인정보를 취득하고 메일서비스를 제공하는 경우
• 한국의 여행업 관련 회사가 일본의 소비자에 대하여 한국 현지에서의 호텔 예약, 이벤트 참여 등의 서비스를 제공하면서 일본 소비자의 개인정보를 취득하는 경우
• 한국의 광고 관련 사업자가 일본의 인터넷통신판매 사업자에게 일본 소비자에 대한 캠페인 정보의 배신을 의뢰하면서 일본 인터넷통신판매 사업자가 보유하는 일본 소비자의 개인정보와 조합하는 것이 예상되는 개인관련정보를 제공하는 경우 (개인관련정보의 의미는 후술합니다)
• 한국의 어플리케이션 제작 사업자가 일본 소비자를 대상으로 새로운 서비스를 개발하면서 일본 소비자의 개인정보를 이용하여 작성된 가명가공정보를 취급하는 경우 (가명가공정보의 의미는 후술합니다)

주의하여야 할 부분은, 제166조에 의하여 개인정보보호법의 규제를 받는 것은 외국 사업자가 개인정보를 직접 취득하는 경우를 말하고, 외국 사업자가 일본의 사업자로부터 개인정보를 취득・이전받는 경우는 해당하지 않습니다.  후자의 경우는 ‘개인정보의 국외 이전’에 해당하여 일본의 사업자만이 적용대상이 됩니다.

예를 들어, 일본 현지 법인이 일본에서 취득한 개인정보를 한국의 본사 앞으로 제공하는 경우에는 본사가 아니라 일본 현지 법인이 일본 개인정보보호법의 적용대상이 됩니다.  따라서 일본 현지 법인이 본인 동의를 얻는 등 외국에 있는 제3자로의 정보 제공을 위한 필요한 조치를 취하여야 합니다. (개인정보의 국외 이전은 일본에 진출하는 우리 기업과 스타트업에게 적용될 수 있는 중요한 부분이므로 아래에서 그 내용을 따로 살펴보기로 합니다)

2022년 4월부터 시행되는 개인정보의 보호에 관한 법률의 개정 내용

일본은 개인정보에 대한 의식을 고취하고 기술혁신에 따른 개인정보의 활용과 보호 사이의 조화, 국경을 넘은 개인정보의 이전에 수반되는 리스크에의 대응을 위해 2020. 6. 12. 개인정보보호법을 개정하였고, 2022. 4. 1.부터 시행에 들어갔습니다. 이하에서는 일본의 개인정보보호위원회가 제공한 자료를 통해 개정법의 주요 내용을 살펴 봅니다.

(아울러 일본 개인정보보호법의 개요는 개인정보보호위원회가 발간한 ‘개인정보보호법의 기본‘을 참조하시기 바랍니다)

1. 정보 주체의 권리 확충

(1) 이용정지・소거 등 청구권의 확대

개정 전 법률은 정보주체인 본인의 개인정보취급사업자에 대한 개인정보 이용 정지 및 소거 청구 사유를 정보의 부정 취득과 목적외 이용으로 제한하고 있었습니다.

개정법은 이에 추가하여 ‘개인정보취급사업자가 본인의 개인정보를 이용하지 않게 된 경우’, ‘중대한 정보 유출 등이 발생한 경우’, ‘본인의 권리 또는 정당한 이익이 침해될 염려가 있는 경우’에도 정보주체는 개인정보취급사업자를 상대로 이용정지 및 소가를 청구할 수 있는 것으로 개정하였습니다(98조).

아울러 개정 전 법률에서는 ‘보유개인데이터’에 포함되지 않았던 ‘6개월 이내에 삭제될 단기 보존 데이터’ 역시 보유개인데이터에 포함시켜 정보 공개・이용정지 등의 청구가 가능하도록 하였습니다(2조 7항).

(2) 개인정보 공개 방식의 추가

개정법은 정보주체의 요청에 따른 본인 정보의 공개 시 서면에 의하도록 했던 것을 본인이 원하는 경우 디지털 데이터에 의한 공개도 가능한 것으로 변경하였습니다(33조).

아울러 개정 전 법률에 따르면 개인정보의 제3자제공기록은 본인에 의한 공개청구 대상이 아니었으나, 개정법은 이를 시정하여 정보주체는 개인정보취급사업자에게 해당 기록의 공개를 청구할 수 있는 것으로 하였습니다.

(3) 옵트 아웃 규정의 엄격화

옵트 아웃이란 제3자 제공 대상 개인 데이터 항목을 사전에 공표하면 본인의 동의 없이도 제3자 제공이 가능하고 본인의 요청이 있는 경우에만 사후적으로 제3자 제공을 정지하는 제도를 말합니다.

개정 전 법률은 ‘요배려개인정보'(*)만을 옵트 아웃 대상에서 제외했는데, 개정법은 이에 추가하여 부정취득된 개인 데이터와 옵트 아웃에 의해 제공된 개인 데이터를 옵트 아웃의 적용 대상에서 제외하였습니다(27조). 

(*) 요배려개인정보: 우리나라 개인정보보호법상의 민감정보와 유사한 개념으로서 ‘본인의 인종, 신조, 사회적 신분, 병력, 범죄의 경력, 범죄 피해를 입은 사실 기타 본인에 대한 부당한 차별, 편결 기타 불이익이 생기지 않도록 취급에 특별히 배려를 요하는 것으로서 시행령이 정하는 기술 등이 포함된 개인 정보’를 말함 

2. 사업자 준수 의무의 강화

(1) 개인데이터 유출 시의 보고 의무

개정 전 법률에 따르면 개인데이터가 유출된 경우, 데이터를 유출한 개인정보취급사업자에게는 개인정보보호위원회에 대한 보고와 본인에 대한 통지를 할 법적 의무가 없었습니다.

개정법은 이와 같은 문제점을 시정하여 일정 규모 이상의 개인 데이터의 유출 또는 훼손의 경우 개인정보취급사업자의 보고의무를 의무화하였습니다(26조).

(2) 부적정한 개인정보 이용의 금지

개정 전 법률은 개인정보의 부적정한 이용을 금지하는 규정이 없었으나, 개정법은 이를 명문화하였습니다. 부적정한 이용이란 ‘위법 또는 부당한 행위를 조장하거나 유발할 염려가 있는 방법으로 이용하는 것’을 말합니다(19조). 

3. 민간 개인정보보호단체 인증 범위의 확대

개정 전 법률에도 민간단체를 ‘인증개인정보보호단체’로 인정하는 제도가 있었으나 개인정보취급사업자의 취급 업무 전부를 대상으로 할 필요가 있었습니다. 개정법은 특정 분야만을 대상으로 하는 민간 개인정보보호단체의 인증도 가능한 것으로 하였습니다(47조).

4. 데이터 이용 및 활용의 촉진

(1) 가명가공정보의 창설 및 의무 완화

개정 전 법률은 개인이 특정될 수 없도록 개인정보를 가공하더라도 가공 전의 정보와 동일한 규제를 받고 있었습니다. 이에 대하여 금번 개정 법률은 이노베이션 촉진을 위해 ‘가명가공정보’라는 개념을 창설하고, 이에 해당하는 경우 개인정보취급사업자의 의무를 완화하였습니다.

가명가공정보란 ‘다른 정보와 조합하지 않는 한 특정한 개인을 식별하는 것이 불가능하도록 개인정보를 가공하여 얻은 개인에 관한 정보’로 정의되어 있습니다. 

가명가공정보에 해당하면 개인정보취급사업자는 이용목적 변경 제한 규정의 적용을 받지 않게 됩니다. 따라서 이를 개인정보 취득 시의 이용목적 이외의 목적(내부 분석 목적 등)으로 사용할 수 있고, 나아가 공개・이용정지 청구에의 대응, 정보 유출 시의 보고 의무도 완화됩니다(2조 5항, 41조, 42조).

주의하여야 할 점은 자사가 보유하는 개인정보를 가공하여 가명가공정보를 작성한 경우에도 이를 곧바로 이용목적 이외의 목적으로 이용할 수는 없고 반드시 현재의 이용목적에 가명가공정보의 이용을 추가・공표하는 조치가 선행되어야 합니다.

(2) 개인관련정보 개념의 창설 및 동의 확인 의무의 부과

개정법은 새로이 ‘개인관련정보’라는 개념을 도입하였습니다. 개인관련정보란 ‘생존하는 개인에 관한 정보로서 개인정보, 가명가공정보 및 익명가공정보에 해당하는 않는 것’으로 정의되어 있습니다. 대표적인 예로 단순한 인터넷 열람 이력, 위치정보, 쿠키 등 이른바 행태정보를 말합니다.

개정법에 따르면 개인관련정보를 제3자에게 제공하려는 자는 해당 정보를 제공받은 자가 다른 정보와의 조합을 통하여 개인데이터로 취득하는 것이 예상된다면 제3자로부터 그가 개인관련정보를 그와 같이 본인 식별이 가능한 개인데이터로서 취득하는 것에 대하여 정보 주체로부터 동의를 얻었는지에 대하여 확인하여야 할 의무를 부담합니다(31조). 

또한 개인관련정보를 외국에 있는 제3자에게 제공하는 경우에는 제3자가 해당 국가의 개인정보의 보호에 관한 제도, 제3자가 취하고 있는 개인정보 보호 조치 등을 정보 주체에게 제공하고 있는지도 확인하여야 합니다.

이와 같은 행태정보에 관한 동의 획득 의무는 우리나라의 개인정보보호법에는 없는 내용으로서 주의가 필요합니다. 일본 기업에 행태정보 등 개인관련정보를 제공하는 한국 기업이나 스타트업 입장에서는 일본 기업이 이를 개인정보로서 이용할 것으로 예상되는 경우에는 정보 제공 관련 계약서에 일본 기업의 동의 획득을 준수사항으로 규정하는 등의 조치가 필요할 것입니다. 

반대로 일본기업으로부터 행태정보 등 개인관련정보를 제공받는 한국 기업과 스타트업이 있다면 개인정보수집이용동의서 등에 해당 정보의 취득에 관한 동의 조항을 추가하는 것이 바람직할 것입니다.

5. 벌칙 강화

개정법은 개인정보보호위원회의 명령 위반, 허위보고 등의 법정형을 상향하였습니다. 특히 법인의 경우 데이터베이스 등 부정제공죄, 개인정보보호위원회의 명령 위반에 대한 벌금을 종전의 30만 엔 이하에서 1억 엔 이하로 대폭 상향하였습니다.

6. 외국사업자에 대한 규제 및 국외 이전 관련

개정법 하에서 개인정보취급사업자가 EU 및 영국 이외의 외국에 있는 제3자에게 개인데이터를 제공하기 위해서는 법률상 취득이 당연히 허용되는 경우를 제외하고는 ① 사전에 본인의 동의를 얻었거나 ② 외국에 있는 제3자가 개인정보보호위원회의 개인데이터 취급 기준에 적합한 체제를 계속적으로 갖추었을 것이 요구됩니다(28조).

본인 동의(①의 경우)에 기하여 개인데이터를 국외로 이전하는 경우에는, (i) 당해 국가의 명칭, (ii) 당해 국가의 개인정보 보호 제도에 관한 정보, (iii) 당해 제3자가 강구한 개인정보보호 조치에 관한 정보를 본인에게 제공하여야 합니다.

제3자의 기준 적합 체제(②의 경우)에 기하여 개인데이터를 국외로 이전하는 경우에는 (i) 당해 제3자의 기준 적합 체제의 계속적인 실시를 확보하기 위해 필요한 조치를 강구하여야 하고, (ii) 본인의 요구하는 경우 당해 필요 조치에 관한 정보를 제공하여야 할 의무를 부담합니다.

일본 현지 법인이나 일본의 사업 파트너가 일본에서 취득한 개인정보를 한국의 본사 등에게 제공하는 경우에는 개인데이터의 국외이전에 해당하게 되므로 상기와 같은 내용을 반드시 준수할 필요가 있습니다. 

맺음말

지금까지 일본의 개정 개인정보 보호에 관한 법률의 내용을 살펴보았습니다.

일본의 개인정보보호법은 우리나라의 개인정보보호법과 전체적으로 비슷한 틀을 갖추고 있지만 세부 부분에 있어서는 적지 않은 차이가 있습니다. 특히 이번 개정 법률은 개인관련정보와 개인정보의 국외 이전 등 관련 새로운 내용이 다수 추가되었습니다. 따라서 일본에 진출한 한국 기업과 스타트업으로서는 개정된 법률 내용에 맞추어 기존의 개인정보처리방침을 재정비하고 개인정보 제공 관련 문서의 내용도 재검토할 필요가 있을 것입니다. 

아울러 일본 진출을 계획 중인 한국 기업과 스타트업 또한 일본의 개인정보보호법의 적용 가능성을 염두에 두고 일본의 법률과 실무의 동향을 정확히 파악하고 그에 대응할 필요가 있다고 하겠습니다.

일본의 개인정보보호법 기타 일본 법무에 관한 질문 사항은 정원일 변호사(이메일 주소는 여기를 클릭)에게 연락주시기 바랍니다.  정원일 변호사는 대형 로펌의 기업자문 변호사로서의 경험을 바탕으로 일본법과 관련된 다양한 국제 업무를 일본 변호사와 함께 처리하고 있습니다. 일본 도쿄 법률사무소를 통한 현지에서의 신속하고도 적극적인 대응 또한 가능합니다.

© 2022 All rights reserved.