일본 개인정보보호법 개요 정리

이 글에서는 일본의 개인정보보호법 내용의 개요를 정리하고자 합니다.

 

개인정보처리방침의 통합 관리가 필요하신 분들은 아래 연락처로 연락 주시기 바랍니다. 

장건 변호사(한국/미국)  

BNL Law

BNL Law

연락처: david@bnl.legal , 010-6836-7578

 

일본 개인정보보호법의 적용 대상자

 

일본 개인정보보호법은 사업목적으로 개인정보를 취급하는 자에게 적용됩니다.

 

해외사업자의경우, 재화 및 서비스 제공 과정에서 일본에 있는 정보주체의 개인정보를 수집하여 처리한다면 일본의 개인정보보호법이 적용됩니다. 이때 다른 사람으로부터 제3자 제공을 통해 개인정보를 제공받은 경우에도 적용됩니다.

 

일본 개인정보보호법의 적용 대상정보

일본 개인정보보호법은 "개인정보"와 "개인정보데이터베이스"를 구별하여 규정하고 있습니다.

 

먼저 "개인정보"에는 성명, 생년월일 등 살아있는 개인에 대한 정보는 물론 상품의 구입 시 할당되는 번호 등 개인식별부호를 포함한 정보도 포함하고 있습니다. 

 

"개인정보데이터베이스"는 컴퓨터로 특정 개인정보를 검색할 수 있도록 체계적으로 배열한 정보의 집합체를 의미하며, 컴퓨터를 사용하지 않더라도, 검색을 용이하게 하는 목차·색인·부호 등 기타 수단을 보유하여 특정 규칙에 따르는 정보의 집합체 또한 포함됩니다. 

 

한편, 일본 개인정보보호법에는 우리나라의 "민감정보"에 해당하는 "要配慮個人情報(요배려개인정보, Sensitive personal information)"가 별도로 규정되어 있습니다. 요배려개인정보의 경우 정보주체로부터 동의를 얻거나 법령상 취득이 가능한 예외 사례에 해당하지 않으면 취득할 수 없습니다. 

 

적법한 절차에 의한 취득

거짓, 기타 부정한 수단에 의하여 개인정보를 취득하는 것이 금지됩니다.

 

이용목적의 특정 및 변경

개인정보 취득 시 그 이용목적을 가능한 한 특정하여야 하는데, 개인정보가 최종적으로 어떠한 사업 용도로 제공되며, 어떠한 목적으로 이용되는 지에 대해 정보주체가 일반적이고 합리적으로 예상할 수 있을 정도로 구체적으로 특정하여야 합니다. 

 

그리고 이용목적의 변경 시 "변경 전의 이용목적과 연관성이 있다고 합리적으로 인정되는 범위"를 초과하여 이용목적을 변경할 수 없습니다. 이러한 범위를 초과하는 경우 본인 동의를 취득한 후 이용목적을 통지 또는 공표해야 합니다. 

 

한편 개인정보을 이용할 필요가 없어졌을 때에는 해당 개인데이터를 지체없이 삭제하여야 합니다. 

 

이용목적의 통지 또는 공표

개인정보를 취득한 경우, 사전에 그 이용목적을 공표한 경우를 제외하고는, 신속하게 그 이용목적을 본인에게 통지하거나 또는 공표하여야 합니다.  

 

다만, 개인정보주체와의 사이에서 계약을 체결함에 따라 계약서, 기타 서면에 기재된 해당 개인정보를 취득하는 경우나 기타 본인으로부터 직접 서면에 기재된 해당 본인의 개인정보를 취득하는 경우에는 사전에 본인에게 그 이용목적을 명시해야 합니다. 

 

그리고 법이 정하는 정당한 이유가 인정되는 경우에는 이용목적 통지 및 공표 의무가 면제됩니다. 

 

개인데이터 안전관리조치 

개인정보 취급사업자는 취급하는 개인데이터의 유출, 멸실 또는 훼손의 방지, 기타 개인 데이터의 안전 관리를 위해 필요 적절한 조치를 강구해야 합니다.

 

이에 관하여 일본의 개인정보보호위원회 가이드라인은 구체적으로 1) 기본방침의 책정 2) 개인데이터 취급에 관한 규율 정비 3) 조직적 안전관리 조치 4) 인적 안전관리 조치 5) 물리적 안전관리 조치 6) 기술적 안전관리 조치 등으로 구체화하고 있습니다. 

 

일본 개인정보 제3자 제공 (제27조-제31조)  

 

원칙: 사전 동의

 

일본 개인정보보호법에 따라 개인데이터 제공 시, 제3자 제공에 대한 동의를 사전에 받아야 합니다. 

 

이러한 동의는 포괄적으로 받는 것이 가능하며, 매번 동의를 받아야 하는 것은 아닙니다. 

 

또한, 가이드라인에서는 제공처를 개별로 명시하는 것까지 필요하지는 않고, 예상되는 제공처의 범위나 속성을 제시하는 것이 바람직하다고만 안내하고 있습니다. 

 

예외

 

제3자 제공에 대해서도 1) 법령에 근거한 제공, 2) 사람의 생명, 신체 또는 재산의 보호를 위하여 필요가 있음에도 본인의 동의를 얻는 것이 곤란한 경우 3) 아이들의 안전을 위한 경우 4) 정부 관계 업무 5) 학술적인 이용 등에는 사전 동의 취득 의무가 면제 됩니다. 

 

또한, 다음 정보를 미리 통지하거나 쉽게 알 수 있도록 해둔다면, 명시적인 반대가 없을 때까지 제3자 제공이 가능합니다(다만, 요배려정보(민감정보)와 위법한 방법으로 수집한 개인정보에 대해서는 그러하지 않습니다). 

 

①제3자제공을이용목적으로한다는점

②제공되는개인데이터항목

③제공방법

④본인의요구에따라제공을정지한다는점

⑤본인의요구를접수하는방법

 

한편, 개인정보 취급사업자가 자신의 이용목적의 달성에 필요한 범위 내에서 개인데이터 취급의 전부 또는 일부를 위탁한 경우, 합병 기타의 사유에 의한 사업의 승계에 의해 개인데이터가 제공되는 경우는 제3자 제공이라고 보지 않습니다. 

 

특히, 개인정보를 공동이용(Joint Use)하는 특정한 자(Specific Person)에 대하여, 이미 어떠한 Joint User에게 제공되는지, 그 목적은 무엇인지, 책임자의 이름 및 주소 등 법이 정하는 정보들을 미리 통지하거나 접근이 쉽게(readily accessible) 하는 경우도 제3자 제공이라고 보지 않습니다(예: 모자회사, 그룹회사간의 이용 등)

 

기록 보존 의무

개인데이터를 제3자에게 제공한 경우, 본인 동의를 얻은 사실, 제3자의 성명 또는 명칭, 정보주체의 성명, 제공되는 개인데이터의 항목 등을 기록하여 작성 및 보존해야 합니다. 

 

제3자 제공 받은 자의 확인 의무

개인정보를 제공받은 제3자는 개인정보를 제공한 자에 대해 개인정보제공자의 이름 및 주소, 취득 경위 등을 확인할 의무가 있습니다. 

 

처리 위탁 시 감독의무

한편, 자신의 업무를 위해 개인데이터 취급의 전부 또는 일부를 위탁할 경우 위탁 받은 자에 대해 필요한 적절한 감독을 해야 합니다. 

 

국외 이전 시 준수사항

일본 개인정보보호법은 개인정보 취급사업자가 일본 역외에 있는 외국에 소재한 제3자에게 개인데이터를 제공할 경우에는 사전에 그러한 제공에 대한 동의를 정보주체로부터 받아야 한다고 규정합니다. 

 

다만, 개인의 권리 이익을 보호하는 가운데 일본과 동등한 수준에 있다고 인정되는 개인정보의 보호에 관한 제도를 가지고 있는 외국으로서 개인정보보호위원회 규칙으로 정하는 외국이나, 일본 개인정보보호법이 요구하는 정도에 상당하는 조치를 계속적으로 취하고 있는 사업자로서 개인정보보호위원회 규칙으로 정하는 기준에 적합한 체제를 정비한 사업자에 대해서는 사전 동의를 받지 아니하여도 됩니다. 

 

'제3자'의 해당 여부는 다른 법인격을 소유하는지 여부로 판단되기 때문에, 일본 법인이 개인정보취급사업자이고 그 모회사가 외국에 있는 경우, 해당 모회사는 '외국에 있는 제3자'에 해당합니다. 다만, 외국법령에 준거하여 설립된 법인이라고 하더라도 일본의 개인정보취급사업자에 해당하는 경우는 '외국에 있는 제3자'에 해당하지 않습니다.

 

예를 들어 일본 내에 사무소를 설치하고 있는 경우 또는 사업 활동을 행하고 있는 경우 등 일본 내에서 개인정보 데이터베이스 등을 사업에 이용하고 있는 것으로 인정되는 때에는, '외국에 있는 제3자'에 해당하지 아니합니다. 또한, 일본의 개인정보취급사업자가 스스로 외국에 설치하여 관리·운영하는 서버에 개인정보 데이터베이스를 보전하는 경우에도 '외국에 있는 제3자'에 해당하지 아니합니다.

이용자 통지 및 공개 의무 

개인정보 취급사업자는 아래와 같은 정보를 공개하여야 합니다. (제32조)

 

(i) 개인정보 취급사업자의 성명 또는 명칭 

(ii) 모든 보유 개인데이터의 이용목적

(iii) 보유 개인데이터 이용목적의 통지를 요구하거나 공개 등의 청구(보유개인데이터의공개,내용정정,추가 또는 삭제, 이용정지 또는 소거, 제3자에 대한 제공의 정지 청구)에 응하는 절차 및 권리행사 시 부과될 수 있는 수수료 금액

(iv) 보유 개인데이터의 취급에 관한 고충신청처 (예:민원접수를 받는 담당 창구명・담당자명, 우편주소, 접수전화번호, 기타민원신청처)

 

또한, 위에서 언급하였듯 개인정보의 이용목적을 통지 또는 공표해야 할 의무가 별도로 규정되어 있고, 제3자 제공시 사전 동의 의무가 면제되기 위해서 특정 정보를 공개하여야 할 의무, 개인데이터 공동이용(Joint Use)시 특정 내용을 공개해야할 의무, 안전관리를 위하여 강구한 조치에 대한 내용 등을 공개할 의무가 세부 규정으로 되어 있습니다. 

 

정보주체의 권리

정보주체는 다음과 같은 권리를 보유합니다. 

• 개시청구권 (제3자 제공 기록 청구권 포함)
• 정보 정정 요구권
• 정보이용 정지 요구권 (개인정보 제3자 제공 정지 청구권 포함)

개인정보 취급사업자는 정보주체가 권리를 행사할 수 있는 구체적인 방법으로 1) 정보주체가 요청을 제기할 수 있는 위치 2) 요청 문서 양식 및 절차 3) 요청자의 신원확인 방법 4) 수수료 징수 시 수수료를 받는 방법 등을 정할 수 있습니다. 

 

가명가공정보와 익명가공정보

일본 개인정보보호법에서 "가명가공정보"란 다른 정보와 대조하지 않는 한 특정 개인을 식별할 수 없도록 가공된 개인에 관한 정보를 의미하며, 이용목적의 변경 의무, 누설 시 개인정보보호위원회 보고 의무, 개인정보 개시/정정/이용정지 등 권리 보장의무 등이 면제됩니다. 

 

"익명가공정보"란 특정 개인을 식별할 수 없고 개인정보를 복원할 수 없도록 가공된 개인에 관한 정보를 의미하며, 본인인지 전혀 알 수 없도록 가공된 것이기 때문에 개인정보가 아니므로 개인정보로 취급되지 않습니다. 다만, 안전관리조치 노력의무 및 식별행위 금지의무를 준수하여야 합니다. 

 

읽어주셔서 감사드립니다.

궁금한 점은 아래 연락처로 연락바랍니다.

 

장건 변호사 올림

 

david@bnl.legal , 010-6836-7578

 

관련글: https://kunchang.tistory.com/6

Privacy Policy 작성시 꼭 알아야 할 점