개인정보, 어떻게 보호해야 하나 : 일본

본 기사를 통해 관리자 및 처리자를 포함하는 외국 사업체(이하 ‘외국 사업체’ 또는 ‘외국 사업자’)가 일본에 소재하는 개인의 개인정보를 취급할 때 특히 주의해야 하는 일본의 개인정보보호법(APPI) 규정에 대해 살펴보고자 한다.

APPI의 역외(域外) 적용

APPI가 역외에서 적용되지 않는 경우에는 해당 규정을 고려할 필요가 없다. APPI는 일본 이외의 지역에 소재하는 사업체가 (1) 일본에 소재하는 개인(이하 “정보 주체”)의 개인정보를 취급하고, (2) 일본에 소재하는 법인 및/또는 개인에게 상품이나 서비스를 제공하는 것과 관련하여 이러한 개인정보를 취급하는 경우에는 역외 적용을 명시하고 있다(APPI 제171조).

‘사업체’가 국내기업인지 또는 외국기업인지 여부는 중요하지 않다. ‘일본에 소재하는 개인’에는 국적 및 일시적 체류 여부와 무관하게 정보 주체가 포함된다. 중요한 부분은 상품이나 서비스 제공과 관련한 경우로 제한된다는 점이다.

예를 들어, 외국 사업체가 글로벌 직원 정보 관리의 일환으로 일본 내 지사 직원의 개인정보를 처리하는 경우에 해당 활동은 상품이나 서비스 제공과 관련이 없으므로 APPI의 역외 적용 대상에 해당하지 않는다.

국경 간 정보 이전

앞서 설명한 바와 같이, 일본을 대상으로 하는 서비스를 위해 개인정보를 수집하는 경우에는 APPI의 적용을 받는다. 개인정보는 정보 주체로부터 직접 수집하거나 또는 국내 사업체로부터 수집할 수 있으며, 후자의 경우에는 복잡한 규정이 적용된다. 이러한 규정의 대상은 외국기업에게 개인정보를 제공하려는 국내 사업체이지만, 외국 사업자 또한 해당 규정을 반드시 이해하고 있어야 한다.

APPI는 국내 사업체가 정보 주체의 개인정보를 다른 국가의 제3자에게 이전하는 경우(이하 “국경 간 정보 이전”), 국내 사업체는 다른 국가들에 대한 구체적인 참조 정보(이하 “참조 정보”, APPI 제28조 1항 및 2항)를 제공한 후 사전에 정보 주체의 동의를 받아야 한다고 규정하고 있다.

(1) 제공해야 하는 정보에는 다음의 사항이 포함된다.

(i) 해당 국가의 이름: 동의를 받을 때 대상 국가를 구체적으로 명시할 수 없는 경우에는 그 이유와 함께 국가명을 대체할 수 있는 정보를 제공해야 한다(예: ‘외국’에 해당하는 범위가 정해져 있는 경우에는 그 범위를 제공해야 한다).

(ii) 외국의 개인정보 보호 시스템에 대한 정보: 이러한 요건은 정보 주체가 국내와 외국의 법률 체계의 차이점을 인지하도록 하기 위한 것이다. 일본의 개인정보보호위원회(PPC)는 자체 웹사이(https://www.ppc.go.jp/enforcement/infoprovision/laws/)에 주요 국가의 법률 체계에 대해 요약한 내용을 게시하고 있으며, 국내 업체는 이러한 정보를 제공함으로써 해당 요건을 준수할 수 있다. 정보가 이전되는 국가가 기재되어 있지 않은 경우, 국내 업체는 먼저 외국 사업자에게 해당 법률 체계에 대해 문의해야 할 것이다.

(iii) 개인정보를 보호를 위해 제3자가 실행한 보호 조치: 외국 사업자가 OECD 개인정보 보호 가이드라인의 8가지 원칙에 해당하는 모든 조치를 취한 경우에는 이 정보를 제공하는 것만으로 충분하다. 외국 사업자가 취한 조치가 불분명한 경우에는 해당 사실과 그 이유를 제공하는 것으로 충분하지만, 추후 해당 조치가 명확해지면 설명을 추가하는 것이 바람직하다.

(2) “외국”의 범위. EU와 영국은 APPI 제28조의 ‘외국’ 정의에서 제외되고, APPI에 의거하여 일본 내 이전과 동등하게 취급한다. APPI는 개인정보를 국내 제3자에게 이전하는 경우에도 정보 주체의 동의를 요구하지만(제27조 1항), 이와 관련한 규정은 복잡하지 않다.

(3) “제3자”의 범위. 적절한 조치를 취한 외국 사업자는 APPI 제28조의 “제3자” 정의에서 제외된다. 구체적으로 설명하면, 외국의 제3자가 취한 조치가 APPI에 의거하여 국내 사업체에게 요구되는 기준을 충족하는 것으로 확인되거나 또는 외국의 제3자가 APEC(아시아태평양경제협력체)의 국경 간 개인정보보호 규칙 시스템에 의거하여 인증을 획득한 경우에는 적절한 조치를 취한 것으로 인정된다.

외국의 제3자가 적절한 조치를 취한 것으로 인정되는 경우라도 정보 주체의 동의를 받을 필요가 없을 시 국내 제공자는 외국의 제3자 가 적절한 조치를 유지하도록 보장해야 한다(APPI 제28조 3항). 여기에는 적절한 조치의 지속적인 이행을 보장하기 위해 매년 인증과 같은 조치를 취하는 것이 포함되는데, 이는 국내 제공자에게 상당한 부담을 줄 수 있다. 따라서 ‘적절한 조치’의 요건은 결코 사용자 친화적이지 않다.

(4) 위반 시 처벌. 이러한 규정을 위반한 국내 사업체에 대해 PPC는 시정 조치를 권고하지만, 이를 따르지 아니한 경우에는 시정 명령을 내릴 수 있다(APPI 제148조). 국내 업체가 이러한 명령을 준수하지 아니한 경우, 해당 업체의 대표는 1년 이하의 징역 또는 100만 엔(6,700달러) 이하의 벌금에 처해질 수 있고, 이러한 개인을 고용한 업체에게는 최대 1억 엔(약 670만 달러)의 벌금이 부과될 수 있다(APPI 제178조 및 제184조 1항 1호).

정보 침해 관련 규정

랜섬웨어 공격 또는 기타 사고로 인해 개인정보가 유출, 분실 또는 손상된 경우(이하 “정보침해”), 사업자는 데이터 침해 사실을 PPC와 정보 주체에게 보고해야 한다(APPI 제26조).

(1) 다음과 같은 경우, PPC는 ‘영향을 받은’ 정보 주체에게 보고하고 통지해야 한다.

(i) 정보 주체에 대한 민감한 내용이 포함된 개인정보(여기에는 인종, 신념, 사회적 지위, 병력 및 범죄 기록(APPI 제2조 3항 참조)이 포함되나 이에 국한되지 아니한다)로 인하여 정보 침해가 발생했거나 또는 침해의 위험이 있는 경우.

(ii) 개인정보의 침해 또는 잠재적 침해로 인하여 신용카드 번호 유출과 같은 금전적 피해가 발생할 수 있는 경우.

(iii) 제3자 공격 등 악의적 의도로 인하여 개인정보가 침해되었거나 침해될 위험이 있는 경우.

(iv) 정보 침해 또는 잠재적 침해가 1,000명 이상의 개인정보와 관련이 있는 경우.

(2) ‘영향을 받은’ 정보 주체에 대한 PPC 보고 및 통지의 책임은 정보 침해가 발생하고 있는 사업 주체에게 있다. 관리자(사업 주체)에게 정보 피해가 발생하고 있는 경우에 이 과정은 간단하다. 그러나 처리자(수탁업체)에게 정보 피해가 발생하고 있는 경우에는 관리자와 처리자 모두 보고하고 통지할 책임이 있다. 중복 보고를 방지하기 위해 처리자가 관리자에게 정보 피해 사실을 알리면 처리자(수탁업체)의 보고 및 통지 의무가 이행된 것으로 간주한다.

(3) PPC에 보고하는 내용에는 다음 사항이 포함된다.

(i) 사건 확인 후 3~5일 이내에 작성된 예비 보고서(알려진 내용을 자세히 설명한다).

(ii) 사건 확인 후 30일 이내에 (악의적 의도가 있는 경우 60일 이내에) 제출하는 상세 보고서(여기에는 사건의 개요, 관련된 개인정보의 유형, ‘영향을 받은’ 정보 주체의 수, 사건의 원인, 2차 피해의 존재와 성격 또는 그러한 위험성, 정보 주체에 대한 대응 현황, 공적(公的) 공개 현황, 재발 방지를 위한 보호 조치 및 기타 관련 정보가 포함된다).

(iii) 보고서는 일반적으로 일본어 구사 능력이 필요한 PPC의 온라인 보고 양식(https://roueihoukoku.ppc.go.jp/incident/?top=r2.kojindata)을 사용한다. 특히 예비 보고서의 경우에는 번역에 소요되는 시간을 고려해야 한다.

(4) ‘영향을 받은’ 정보 주체에게 통지하는 경우:

(i) 상황에 따라 신속한 통지를 기대할 수 있다. 그러나, 그 시기는 사안별로 결정해야 한다.

(ii) 통지에는 사건의 개요, 관련된 개인정보 유형, 사건의 원인, 2차 피해의 존재와 성격 또는 그러한 위험성 및 기타 관련 정보가 포함되어야 한다.

(iii) 문서 또는 이메일을 통해 정보 주체에게 직접 통지하는 것이 일반적이지만, 직접 연락이 불가능한 경우에는 공적 공개 또는 기타 방법을 이용할 수 있다.

(5) PPC에 보고하지 않거나 또는 (필요한 경우) ‘영향을 받은’ 정보 주체에게 통지하지 않으면 앞서 언급한 “국경 간 정보 이전” 항목 (4)항에서 국경 간 정보 이전 위반에 대해 설명한 것과 동일한 처벌을 받을 수 있다.

마무리하면, 이번 기사를 통해 일본에 소재하는 개인의 개인정보를 취급하는 외국 사업자에 대한 APPI의 일반적인 규제 기준에 대해 개괄적으로 설명하였고, 일본 내 정보 주체의 개인정보를 보호하기 위해서는 APPI 조항 준수가 무엇보다 중요하다는 점을 강조하였다.