개인정보의 보호에 관한 법률
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
1. 개요
개인정보의 보호에 관한 법률은 개인의 권리와 이익을 보호하고 존엄성을 보장하기 위해 개인정보 취급에 관한 기본적인 사항을 규정하는 법률이다. 총 8장과 부칙으로 구성되어 있으며, 개인정보 보호의 기본 이념, 국가 및 지방공공단체의 책무, 개인정보취급사업자의 의무, 개인정보보호위원회의 역할 등을 담고 있다. 이 법은 개인정보의 적절한 취급을 확보하기 위한 시책을 규정하고 있으며, 개인정보취급사업자에게 이용 목적의 특정, 적정한 취득, 안전 관리 조치 등의 의무를 부과한다. 또한, 개인정보 유출 시 개인정보보호위원회에 보고하고 본인에게 통지하도록 규정하고 있다.
더 읽어볼만한 페이지
- 일본의 법 - 일본 형법
일본 형법은 범죄와 형벌을 규정하는 실체법으로, 총칙과 각칙으로 구성되어 다양한 범죄 유형과 그에 따른 형벌을 규정하며, 속지주의를 기본으로 속인주의, 보호주의, 세계주의를 보충하고, 규범적 기능, 보호적 기능, 보장적 기능을 수행한다. - 일본의 법 - 서대문형무소
서대문형무소는 1908년 일제에 의해 경성감옥으로 설립되어 1987년까지 사용된 한국 최초의 근대식 감옥으로, 독립운동가들이 투옥되어 고초를 겪었으며, 광복 후에는 서울구치소로 이름이 바뀌어 사용되다가 서대문독립공원으로 조성되어 서대문형무소역사관으로 개관하여 현재는 역사 교육의 장이자 과거사 반성의 공간이다.
| 개인정보의 보호에 관한 법률 | |
|---|---|
| 법률 정보 | |
| 제목 | 개인정보 보호법 |
| 원제목 | 개인정보의 보호에 관한 법률 |
| 영문 제목 | Act on the Protection of Personal Information |
| 종류 | 소비자법 |
| 소관 부처 | 개인정보보호위원회 총무성 행정관리국/통계국 |
| 법률 내용 | |
| 내용 | 총칙 국가 및 지방 공공 단체의 책무 등 개인 정보 보호에 관한 시책 등 개인 정보 취급 사업자의 의무 등 잡칙 벌칙 |
| 관련 법률 | |
| 관련 법률 | 부정경쟁방지법 개인정보 보호법 시행령 |
| 기타 정보 | |
| 제출 구분 | 각법 |
| 효력 | 현행법 |
| 위키소스 | 개인정보의 보호에 관한 법률 |
| 일본어 법령 | Egov law |
2. 구성
| 장 | 제목 | 조문 범위 |
|---|---|---|
| 제1장 | 총칙 | 제1조 ~ 제3조 |
| 제2장 | 국가 및 지방공공단체의 책무 등 | 제4조 ~ 제6조 |
| 제3장 | 개인정보의 보호에 관한 시책 등 | 제7조 ~ 제15조 |
| rowspan="4"| | 제1절 개인정보의 보호에 관한 기본 방침 | 제7조 |
| 제2절 국가의 시책 | 제8조 ~ 제11조 | |
| 제3절 지방공공단체의 시책 | 제12조 ~ 제14조 | |
| 제4절 국가 및 지방공공단체의 협력 | 제15조 | |
| 제4장 | 개인정보취급사업자의 의무 등 | 제16조 ~ 제59조 |
| rowspan="6"| | 제1절 총칙 | 제16조 |
| 제2절 개인정보취급사업자 및 개인관련정보취급사업자의 의무 | 제17조 ~ 제40조 | |
| 제3절 가명(假名)가공정보취급사업자 등의 의무 | 제41조·제42조 | |
| 제4절 익명가공정보취급사업자 등의 의무 | 제43조 ~ 제46조 | |
| 제5절 민간단체에 의한 개인정보의 보호의 추진 | 제47조 ~ 제56조 | |
| 제6절 잡칙 | 제57조 ~ 제59조 | |
| 제5장 | 행정기관 등의 의무 등 | 제60조 ~ 제129조 |
| rowspan="6"| | 제1절 총칙 | 제60조 |
| 제2절 행정기관 등에 있어서의 개인정보 등의 취급 | 제61조 ~ 제73조 | |
| 제3절 개인정보파일 | 제74조·제75조 | |
| 제4절 공개, 정정 및 이용정지 | 제76조 ~ 제108조 | |
| 제5절 행정기관 등 익명가공정보의 제공 등 | 제109조 ~ 제123조 | |
| 제6절 잡칙 | 제124조 ~ 제129조 | |
| 제6장 | 개인정보보호위원회 | 제130조 ~ 제170조 |
| rowspan="4"| | 제1절 설치 등 | 제130조 ~ 제145조 |
| 제2절 감독 및 감시 | 제146조 ~ 제160조 | |
| 제3절 송달 | 제161조 ~ 제164조 | |
| 제4절 잡칙 | 제165조 ~ 제170조 | |
| 제7장 | 잡칙 | 제171조 ~ 제175조 |
| 제8장 | 벌칙 | 제176조 ~ 제185조 |
| 부칙 |
2. 1. 한국 개인정보 보호법과의 비교
일본의 개인정보의 보호에 관한 법률은 다음과 같은 구조로 구성되어 있다.| 장 | 제목 | 조문 범위 |
|---|---|---|
| 제1장 | 총칙 | 제1조 ~ 제3조 |
| 제2장 | 국가 및 지방공공단체의 책무 등 | 제4조 ~ 제6조 |
| 제3장 | 개인정보의 보호에 관한 시책 등 | 제7조 ~ 제14조 |
| rowspan="4"| | 제1절 개인정보의 보호에 관한 기본방침 | 제7조 |
| 제2절 국가의 시책 | 제8조 ~ 제10조 | |
| 제3절 지방공공단체의 시책 | 제11조 ~ 제13조 | |
| 제4절 국가 및 지방공공단체의 협력 | 제14조 | |
| 제4장 | 개인정보취급사업자의 의무 등 | 제15조 ~ 제49조 |
| rowspan="2"| | 제1절 개인정보취급사업자의 의무 | 제15조 ~ 제36조 |
| 제2절 민간단체에 의한 개인정보의 보호의 추진 | 제37조 ~ 제49조 | |
| 제5장 | 개인정보보호위원회 | 제50조 ~ 제65조 |
| 제6장 | 잡칙 | 제66조 ~ 제72조 |
| 제7장 | 벌칙 | 제73조 ~ 제78조 |
일본에서 개인정보 보호법이 제정된 배경은 다음과 같다.[5]
- 정보화 사회의 진전과 프라이버시 문제에 대한 인식 고조
- 개인정보 보호법 제정에 대한 국제적인 흐름
- OECD 이사회의 프라이버시 보호 권고 수용
- 지방자치단체의 개인정보 보호 관련 조례 제정 증가
- 유럽 연합 일반 데이터 보호 규칙 (EU 데이터 보호 지침)의 영향[6]
- 전자상거래 활성화에 따른 프라이버시 보호 요구 증대
- 주민기본대장법 개정과 연계된 개인정보 보호 법제화 필요성 대두
2. 2. 제1장 총칙
고도 정보통신사회가 발전하면서 개인정보의 이용이 크게 늘어나고 있다. 이러한 배경에서 이 법은 개인정보의 적정한 취급에 관한 기본 이념과 정부의 기본 방침 마련 등 개인정보 보호 정책의 기본 사항을 정하고 있다. 또한 국가 및 지방공공단체의 책무와 개인정보를 취급하는 사업자가 준수해야 할 의무 등을 명확히 하여, 개인정보의 유용성을 고려하면서도 개인의 권리와 이익을 보호하는 것을 목적으로 한다.(제1조)개인정보는 개인의 인격 존중이라는 이념 아래 신중하게 다루어져야 하며, 그에 맞는 적절한 취급이 이루어져야 한다.(제3조)
이 법에서 프라이버시의 권리를 명문으로 규정하고 있지는 않다. 하지만 프라이버시 보호를 중요한 목적으로 삼고 있다.[5] 다만, 이 법의 조항을 위반하는 것이 '즉시' 프라이버시 침해로서 불법행위가 되는지에 대해서는, 이를 부정하는 신중한 입장이 일반적이다. 예를 들어, 형식적으로는 법에 어긋나게 개인정보를 목적 외로 이용한 경우라도, 그것이 프라이버시 침해로서 위법하다고 판단되지 않을 수도 있다. 반대로, 다른 정보와 결합해도 개인을 특정할 수 없는 휴대 전화 번호를 공개하는 행위가 프라이버시 침해로서 불법 행위로 인정되는 경우도 있다.
이 법은 세상에 존재하는 모든 개인정보를 널리 망라하여 규제를 가하는 취지의 법률은 아니다.
이 법에서 사용하는 '개인정보'의 정의는 제2조 제1항에서, '개인 식별 부호'의 정의는 제2조 제2항에서 찾아볼 수 있다.
2. 3. 제2장 국가 및 지방공공단체의 책무 등
국가는 개인정보 보호에 관한 법률의 취지에 따라 개인정보의 적정한 취급을 확보하기 위해 필요한 시책을 종합적으로 수립하고 실시할 책무를 진다. 지방공공단체 역시 해당 법률의 취지를 따라, 각 지역의 특성에 맞는 개인정보 보호 시책을 수립하고 실시할 책무를 가진다 (제4조, 제5조).정부는 개인정보 보호 시책의 종합적이고 일관된 추진을 위해 개인정보 보호에 관한 기본방침을 정해야 한다. 내각총리대신은 소비자위원회의 의견을 들어 기본방침 안을 작성하고, 내각회의의 결정을 구해야 한다. 내각회의 결정이 이루어지면 지체 없이 기본방침을 공표해야 한다 (제7조).
국가는 지방공공단체가 수립하거나 실시하는 개인정보 보호 시책 및 국민 또는 사업자 등이 개인정보의 적정한 취급 확보를 위해 행하는 활동을 지원해야 한다. 이를 위해 정보 제공, 사업자가 준수해야 할 조치의 적절하고 효과적인 실시를 위한 지침 마련 등 필요한 조치를 강구한다 (제8조). 지방공공단체는 보유하고 있는 개인정보의 성질, 보유 목적 등을 고려하여 개인정보의 적정한 취급이 확보되도록 필요한 조치를 강구하기 위해 노력해야 한다 (제11조).
개인정보 보호법 제정 배경에는 다음과 같은 요인들이 있다.[5]
- 정보화 사회의 진전과 프라이버시 문제에 대한 인식 증대
- 개인정보 보호법 제정의 세계적 흐름
- OECD 이사회의 프라이버시 보호 권고
- 지방자치단체의 개인정보 보호 조례 증가
- EU의 개인정보 보호 지침 (유럽 연합 지침)[6]
- 전자상거래에서의 프라이버시 보호 요구 증대
- 주민기본대장법 개정에 따른 개인정보 보호 법제 정비 필요성
2022년 법 개정 이전까지, 개인정보 보호법에는 개인정보 보호의 기본 이념, 국가 및 지방 공공 단체의 책무 등이 규정되어 있었지만, 구체적인 의무가 명시된 것은 사업자뿐이었고, 국가의 행정 기관, 독립 행정 법인, 지방 공공 단체 등의 의무에 대한 내용은 없었다.[24] 대신 "행정기관 개인정보 보호법", "독립 행정 법인 개인정보 보호법", 그리고 각 지방공공단체의 "개인정보 보호 조례" 등이 각각의 개인정보 보호를 규율했다.[25] 또한 사업자에 대한 구체적인 의무 이행 지침 역시 개인정보 보호법이 아닌 "개인정보 보호 위원회 가이드라인", "사업 분야 가이드라인", "개인정보 보호 지침" 등에서 별도로 규정하고 있었다.[24]
이러한 사정으로 인해 "민간 사업자" + "국가의 행정 기관" + "독립 행정 법인" + "자치체(도도부현 47, 시구정촌 1750, 광역 연합 등 115)"[24]에 걸쳐 일본 국내에 약 2000개의 관련 조례 등이 존재하여 상당히 복잡한 상황이 발생했는데, 이를 '2000개 문제'라고 불렀다.[24] '2000개 문제'로 인해 다음과 같은 문제점들이 발생했다.
- 애초에 조례가 제정되지 않은 지방 공공 단체의 존재[24]
- 개인정보의 활용 격차[25]와 자치체별 개인정보에 대한 지식 격차[25]
- 조례별 해석 및 절차의 차이에 따른 자치체 간 연계 방해[24][25]
- 공공 부문과 민간 부문에서 다른 규율로 인해 감독 관청이 불분명한 사안의 존재[25]
의료 정보와 같은 민감한 정보에서도 이러한 문제점이 지적되었으며[24][25], 실제 동일본 대지진 당시, "민간 지원 단체에 제공하여 지원 및 안부 확인을 실시한 자치체는 2개 자치체에 불과하다"[25]는 문제가 발생했다. 이후 재해 대책 기본법의 개정으로 "'피난 행동 요원 지원 명부' 작성 의무와 자치체와 지원 단체 간의 사전 정보 공유를 촉진하는 조항이 마련"되었지만, 평상시부터 개인정보를 공공 부문과 민간 부문에서 공유하기에는 장벽이 높다는 상황이 2022년까지 존재했다.[25]
2022년 개정으로, 개인정보 보호법에 국가, 독립 행정 법인, 지방 공공 단체에 대해서도 일원적으로 규정했기 때문에, 이 문제는 대체로 해소되었다.
2. 4. 제3장 개인정보의 보호에 관한 시책 등
국가는 이 법률의 취지에 따라 개인정보의 적정한 취급을 확보하기 위해 필요한 시책을 종합적으로 마련하고 이를 실시할 책임이 있다. 지방공공단체 역시 법률의 취지에 따라 해당 지역의 특성에 맞는 시책을 마련하고 실시할 의무가 있다.(제4조, 제5조)정부는 개인정보 보호 시책의 종합적이고 일체적인 추진을 위해 개인정보 보호에 관한 기본방침을 정해야 한다. 내각총리대신은 소비자위원회의 의견을 들어 기본방침 안을 작성하고, 내각회의의 결정을 구해야 한다. 내각회의 결정이 있으면 지체 없이 기본방침을 공표해야 한다.(제7조)
국가는 지방공공단체가 마련하거나 실시하는 개인정보 보호 시책 및 국민 또는 사업자 등이 개인정보의 적정한 취급 확보를 위해 행하는 활동을 지원해야 한다. 이를 위해 정보 제공, 사업자 등이 강구해야 할 조치의 적정하고 유효한 실시를 위한 지침 마련 등 필요한 조치를 강구한다.(제8조) 지방공공단체는 보유한 개인정보의 성질, 보유 목적 등을 고려하여 개인정보의 적정한 취급이 확보되도록 필요한 조치를 강구하도록 노력해야 한다.(제11조)
국가와 지방공공단체, 독립행정법인이 취급하는 개인정보에 대해서는 이 법률의 직접적인 규제가 없다. 대신, 독립 행정 법인 개인정보 보호법, 행정기관 개인정보 보호법 등의 적용을 받는다.
개인정보 보호법이 제정된 배경은 다음과 같다.[5]
- 정보화 사회의 진전과 프라이버시 문제에 대한 인식 고조
- 개인정보 보호법 제정의 세계적 흐름
- OECD 이사회의 프라이버시 보호 권고
- 지방자치단체의 개인정보 보호 조례 제정 증가
- 유럽 연합 일반 데이터 보호 규칙(EU 데이터 보호 지침)[6]
- 전자상거래에서의 프라이버시 보호 요구 증대
- 주민기본대장법 개정에 따른 개인정보 보호 법제 정비 필요성
개인정보 보호법은 3년마다 재검토하도록 2015년에 명문화되었다. 최초 근거 규정은 다음과 같다.
:'''개인정보의 보호에 관한 법률 및 행정 절차에 있어서 특정 개인을 식별하기 위한 번호의 이용 등에 관한 법률 일부를 개정하는 법률(2015년 법률 제65호) 부칙 제12조 제3항'''
:3 정부는, 전항에 정하는 사항 외에, 이 법률의 시행 후 3년마다 개인정보 보호에 관한 국제적 동향, 정보 통신 기술의 진전, 이에 따른 개인정보를 활용한 새로운 산업의 창출 및 발전의 상황 등을 감안하여, 신 개인정보 보호법의 시행 상황에 대해 검토를 실시하고, 필요하다고 인정될 때에는 그 결과에 기초하여 필요한 조치를 강구하는 것으로 한다.
이후 2020년 개정 시, 근거 규정이 다음으로 변경되었다. (부칙 제12조 제3항의 "이 법률의 시행 후 3년마다"가 "이 법률의 시행 후 3년을 목표로"로 개정됨)
:'''개인정보의 보호에 관한 법률 등 일부를 개정하는 법률(2020년 법률 제44호) 부칙 제10조'''
:제10조 정부는, 이 법률의 시행 후 3년마다 개인정보 보호에 관한 국제적 동향, 정보 통신 기술의 진전, 이에 따른 개인정보를 활용한 새로운 산업의 창출 및 발전의 상황 등을 감안하여, 신 개인정보 보호법의 시행 상황에 대해 검토를 실시하고, 필요하다고 인정될 때에는 그 결과에 기초하여 필요한 조치를 강구하는 것으로 한다.
2022년 개정 전까지 개인정보 보호법에는 기본 이념, 국가 및 지방 공공 단체의 책무 등이 규정되었으나, 구체적인 의무는 사업자에게만 명시되어 있었다. 국가의 행정 기관, 독립 행정 법인, 지방 공공 단체 등의 의무는 각각 "행정기관 개인정보 보호법", "독립 행정 법인 개인정보 보호법", "개인정보 보호 조례"에서 규율했다.[24][25] 사업자 의무 준수를 위한 지침 역시 개인정보 보호법이 아닌 "개인정보 보호 위원회 가이드라인", "사업 분야 가이드라인", "개인정보 보호 지침" 등으로 나뉘어 있었다.[24]
이러한 상황으로 인해 민간 사업자, 국가 행정 기관, 독립 행정 법인, 약 1900여 개의 지방자치단체[24](도도부현 47, 시구정촌 1750, 광역 연합 등 115)에 걸쳐 약 2000개의 관련 조례 등이 존재하며 규율이 복잡하게 분산되는 문제가 발생했는데, 이를 '''2000개 문제'''라고 불렀다.[24] 2000개 문제로 인해 다음과 같은 폐해가 지적되었다.
- 조례가 제정되지 않은 지방 공공 단체의 존재[24]
- 개인정보 활용 및 관련 지식의 지역 간 격차 발생[25]
- 조례별 해석 및 절차 차이로 인한 자치체 간 연계 방해[24][25]
- 공공 부문과 민간 부문의 규율 차이로 인한 감독 관청 불분명 문제[25]
의료 정보와 같이 민감한 정보 처리에서도 이러한 문제가 나타났으며[24][25], 실제 동일본 대지진 당시 피난민 정보를 민간 지원 단체에 제공하여 지원 및 안부 확인을 실시한 자치체는 단 2곳에 불과했다는 사례가 보고되었다.[25] 이후 재해 대책 기본법 개정으로 '피난 행동 요원 지원 명부' 작성 의무화 및 정보 공유 촉진 조항이 마련되었으나, 평상시 공공과 민간의 정보 공유 장벽은 2022년까지 여전히 높은 상태였다.[25]
2022년 개인정보 보호법 개정을 통해 국가, 독립 행정 법인, 지방 공공 단체에 대한 규정을 일원화함으로써 이러한 2000개 문제는 대체로 해소되었다.
2. 5. 제4장 개인정보취급사업자의 의무 등
개인정보 보호법 제4장 제1절에는 개인정보취급사업자의 의무가 규정되어 있다. 개인정보 등 데이터베이스를 사업에 이용하는 자를 대상으로 하며, 국가, 지방 공공 단체, 독립 행정 법인 등 및 지방 독립 행정 법인은 제외된다(제16조 제2항)[7]. 따라서 사업자에는 영리 법인뿐만 아니라 비영리 법인, 개인도 사업에 이용하고 있다면 해당된다.개인정보보호법의 조항과 OECD 프라이버시 8원칙은 다음과 같이 대응된다[8]:
| OECD 프라이버시 8원칙 | 개인정보 보호법 (조항 요약) |
|---|---|
| 수집 제한의 원칙 | 제20조 거짓 그 밖의 부정한 수단으로 개인정보를 취득해서는 안 된다. |
| 데이터 내용의 원칙 | 제22조 개인 데이터를 정확하고 최신의 내용으로 유지해야 한다. |
| 목적 명확화의 원칙 이용 제한의 원칙 | 제17조 이용 목적을 가능한 한 특정해야 한다. 제18조 이용 목적의 달성에 필요한 범위를 초과하여 개인정보를 취급해서는 안 된다. 제27조 미리 본인의 동의를 얻지 않고 개인 데이터를 제3자에게 제공해서는 안 된다. |
| 안전 보호 조치의 원칙 | 제23조 개인 데이터의 안전 관리를 위해 필요하고 적절한 조치를 강구해야 한다. 제24조・제25조 개인 데이터의 안전 관리가 이루어지도록 종업원·위탁처에 대한 필요하고 적절한 감독을 해야 한다. |
| 공개의 원칙 개인 참여의 원칙 | 제21조 개인정보를 취득한 경우에는 신속하게, 그 이용 목적을 본인에게 통지하거나 공표해야 한다. 제32조 이용 목적 등을 본인이 알 수 있는 상태에 두어야 한다. 제33조 본인이 식별되는 보유 개인 데이터의 열람을 청구할 수 있다. 제34조 본인은 보유 개인 데이터의 내용의 정정, 추가 또는 삭제를 청구할 수 있다. 제35조 본인은 해당 보유 개인 데이터의 이용의 정지 또는 삭제를 청구할 수 있다. |
| 책임의 원칙 | 제40조 개인정보의 취급에 관한 불만을 적절하고 신속하게 처리하도록 노력해야 한다. |
개인정보 보호법 제4장 제2절에는 개인정보 취급 사업자의 구체적인 의무가 기재되어 있다. 주요 내용은 다음과 같다.
- 이용 목적의 특정(제17조)
- 이용 목적의 제한(제18조)
- 적정한 취득(제20조)
- 취득 시 이용 목적의 통지(제21조)
- 불만 처리(제40조)
개인 데이터에 관해서는 데이터 내용의 정확성 확보(제22조), 안전 관리 조치 및 종업원·위탁처의 감독(제24조·제25조), 제3자 제공의 제한(제27조)이 규정되어 있다.
보유 개인 데이터에 관해서는 사항의 공표 등(제32조), 공개(제33조), 정정 등(제34조), 이용 정지 등(제35조)이 규정되어 있다.
개인정보취급사업자는 본인으로부터 요구받은 조치의 전부 또는 일부에 대해 조치를 취하지 않거나 다른 조치를 취하는 경우, 본인에게 그 이유를 설명하도록 노력해야 한다(제36조).
=== 제3자 제공의 제한 ===
개인정보처리자는 원칙적으로 미리 본인의 동의 없이 개인 데이터를 제3자에게 제공해서는 안 된다(제27조). 다만, 다음 경우에는 예외적으로 동의 없이 제공할 수 있다.
# 법령에 근거하는 경우 (예: 국세조사 등 통계 조사)
# 사람의 생명, 신체 또는 재산 보호를 위해 필요하며 본인 동의를 얻기 곤란할 때 (예: 사고 시 안부 정보)
# 공중 위생 향상 또는 아동의 건전한 육성 추진을 위해 특히 필요하며 본인 동의를 얻기 곤란할 때 (예: 아동 학대 정보)
# 국가 기관 또는 지방 공공 단체 등이 법령 사무 수행에 협력할 필요가 있고, 본인 동의를 얻으면 사무 수행에 지장을 줄 우려가 있을 때 (예: 범죄 수사 협력)
또한, 본인의 요구에 따라 제3자 제공을 정지하는 조건(옵트아웃)으로, 특정 사항(제3자 제공 이용 목적, 제공 데이터 항목, 제공 수단/방법, 본인 요구 시 제공 정지)을 미리 본인에게 통지하거나 본인이 쉽게 알 수 있는 상태에 둔 경우에는 동의 없이 제3자에게 제공할 수 있다(제27조 제2항).
개인정보처리자와 실질적으로 동일하다고 볼 수 있는 사업자가 공동으로 이용하거나, 일정한 요건을 충족하는 업무 위탁의 경우에는 제3자로 간주되지 않아 본인의 동의가 필요 없다.
=== 보유 개인 데이터의 공개 ===
개인정보취급자는 본인으로부터 보유 개인 데이터의 공개를 요구받았을 때, 다음 예외 경우를 제외하고 지체 없이 공개해야 한다. 정보의 존재 여부를 밝히는 것만으로 공익 등을 해칠 우려가 있는 정보는 제외된다(제33조). 공개 시 수수료를 징수할 수 있다(제38조).
# 본인 또는 제3자의 생명, 신체, 재산, 그 밖의 권리 이익을 해칠 우려가 있는 경우
# 해당 개인정보취급자의 업무의 적정한 실시에 현저한 지장을 초래할 우려가 있는 경우
# 다른 법령에 위반되는 경우
의료기관의 진료기록이나 신용정보 공개 청구 등이 이에 해당될 수 있다.
=== 보유 개인 데이터의 정정·추가·삭제 ===
개인정보 취급자는 본인으로부터 보유 개인 데이터의 내용이 사실이 아니라는 이유로 정정, 추가 또는 삭제를 요구받은 경우, 이용 목적 달성에 필요한 범위 내에서 지체 없이 조사하고 그 결과에 따라 정정 등을 해야 한다(제34조).
=== 보유 개인 데이터의 이용 정지·삭제 ===
개인정보 취급 사업자는 본인으로부터 개인정보의 목적 외 이용이나 부정한 취득을 이유로 이용 정지 또는 삭제를 요구받고 그 요구에 이유가 있다고 인정될 때에는 위반 시정에 필요한 한도 내에서 이용 정지 등을 해야 한다. 다만, 이용 정지에 많은 비용이 들거나 곤란한 경우로서 본인의 권리·이익 보호를 위해 필요한 대체 조치를 할 때에는 예외로 한다(제35조 1항).
=== 유출 시의 보고 등 ===
개인 데이터의 유출 등이 발생하여 개인의 권리·이익을 해칠 우려가 클 때는 개인정보 보호위원회에 보고하고 본인에게 통지해야 한다(제26조 1항, 시행 규칙 제7조)[10]. 보고 및 통지가 필요한 경우는 다음과 같다.
- 요주의 개인 정보가 포함된 사태
- 재산적 피해가 발생할 우려가 있는 사태
- 부정한 목적으로 행해진 유출 등이 발생한 사태
- 1,000명을 초과하는 유출 등이 발생한 사태
=== 적용 제외 ===
개인정보취급사업자가 언론·저술업 관계, 대학 등, 종교 단체나 정치 단체이며, 각각 보도·저술, 학술 연구, 종교 활동, 정치 활동 목적으로 개인정보를 이용하는 경우에는 개인정보취급사업자의 의무 적용을 받지 않는다(제57조 1항). 이는 개인정보 보호를 이유로 표현의 자유 등을 제약할 수 있다는 우려에 따라 마련된 규정이다. 이러한 사업자에게는 개인정보 보호를 위해 필요한 조치를 스스로 강구하고 그 내용을 공표할 노력 의무가 부과된다(제57조 3항).
개인정보보호위원회는 일반 개인정보취급사업자가 위 단체들에 해당 목적을 위해 개인정보를 제공하는 경우, 보고 징수나 명령 등의 권한을 행사하지 않는다.
단, 이러한 직무에 있는 자가 정당한 이유 없이 업무상 알게 된 비밀을 누설하면 형법상 비밀침해죄가 성립할 수 있으므로, 의무 적용 제외가 형사 책임 면제를 의미하는 것은 아니다.
=== 인정 개인정보보호단체 ===
개인정보에 관한 불만 처리나 사업자에 대한 정보 제공 등의 업무를 수행하려는 법인(권리능력 없는 사단 포함)은 개인정보보호위원회의 인정을 받아 인정 개인정보보호단체가 될 수 있다(법 제47조).
인정 개인정보보호단체가 아닌 자는 해당 명칭이나 유사 명칭을 사용해서는 안 되며(법 제56조), 위반 시 10만엔 이하의 과료에 처해진다(법 제185조).
인정 개인정보보호단체는 인정 업무를 폐지하려면 미리 개인정보보호위원회에 신고해야 하며(법 제51조), 미신고 또는 허위 신고 시 10만엔 이하의 과료에 처해진다(법 제185조).
개인정보보호위원회는 인정 개인정보보호단체에 대해 인정 업무에 관한 보고를 요구할 수 있으며(법 제153조), 미보고 또는 허위 보고 시 50만엔 이하의 벌금에 처해진다(법 제182조).
2. 6. 제5장 개인정보보호위원회
개인정보 보호에 관한 법률에 따른 개인정보 관련 사무는 개인정보보호위원회가 전담하여 수행한다. 이는 2015년에 개정된 「개인정보의 보호에 관한 법률 및 행정 절차에 있어서 특정 개인을 식별하기 위한 번호의 이용 등에 관한 법률 일부를 개정하는 법률」(2015년 법률 제65호)이 2016년 1월 1일부터 일부 시행됨에 따른 것이다.개인정보보호위원회는 개인정보취급자의 의무 규정 시행에 필요한 범위 내에서 개인정보 취급에 대해 보고를 요구(제146조)하고, 필요한 조언(제147조)을 할 수 있다.
또한, 개인정보취급자가 법 규정(단, 공개 청구 등 일부는 제외)을 위반하여 개인의 권리와 이익을 보호하기 위해 조치가 필요하다고 판단될 경우, 해당 개인정보취급자에게 시정을 권고(제148조)할 수 있다.
만약 개인정보취급자가 정당한 이유 없이 위원회의 권고를 따르지 않으면, 위원회는 해당 권고에 따른 조치를 취하도록 명령할 수 있으며(제148조 2항), 이 명령에도 따르지 않을 경우 위반 행위의 중지 및 시정에 필요한 조치를 명령할 수 있다(제148조 3항).
위원회의 명령을 위반한 자는 1년 이하의 징역 또는 100만엔 이하의 벌금에 처해질 수 있다(제178조).
2. 7. 제6장 행정기관 등의 의무 등
2022년 법 개정 이전까지, 개인정보 보호법은 개인정보 보호의 기본 이념이나 국가 및 지방 공공 단체의 책무 등을 규정했지만, 구체적인 의무는 주로 사업자에게만 명시되어 있었다. 국가의 행정기관, 독립행정법인, 지방공공단체 등의 의무에 대한 내용은 이 법에 포함되지 않았다.[24] 이들 기관의 개인정보 보호는 각각 "행정기관 개인정보 보호법", "독립 행정 법인 개인정보 보호법", 그리고 각 지방자치단체의 "개인정보 보호 조례"에 의해 별도로 규율되었다.[25]이처럼 규율 체계가 분산되어 일본 내에는 약 2000개에 달하는 관련 조례 등이 존재하게 되었고, 이는 매우 복잡한 상황을 야기했다. 이러한 문제를 소위 2000개 문제라고 불렀다.[24] '2000개 문제'는 다음과 같은 여러 폐해를 낳았다.
| 폐해 유형 | 내용 |
|---|---|
| 일부 지방 공공 단체에는 개인정보 보호 조례 자체가 제정되지 않았다.[24] | |
| 개인정보의 활용 수준이나 관련 지식 수준에서 자치체별 격차가 발생했다.[25] | |
| 조례마다 해석이나 절차가 달라 자치체 간의 원활한 정보 연계가 어려웠다.[24][25] | |
| 공공 부문(관)과 민간 부문의 규율이 달라 감독 관청이 불분명한 경우가 발생했다.[25] |
이 법은 개인정보의 중요성이 커짐에 따라 그 적절한 취급을 위한 기본 원칙을 정하고 있다. 핵심 이념은 개인의 존엄성 존중이며, 이를 바탕으로 개인정보를 신중하게 다루고 보호하는 것을 목적으로 한다(제1조, 제3조).
이러한 문제점은 의료 정보와 같이 민감한 정보의 처리에서도 지적되었다.[24][25] 실제로 동일본 대지진 발생 당시, 피해자 지원 및 안부 확인을 위해 민간 지원 단체에 개인정보를 제공한 자치체는 단 두 곳에 불과했다는 사실은[25] 이러한 규제 분산의 폐해를 단적으로 보여준다. 이후 재해 대책 기본법이 개정되어 재난 상황에서의 정보 공유를 촉진하는 조항이 마련되었지만, 평상시 공공 부문과 민간 부문 간의 개인정보 공유 장벽은 2022년까지 여전히 높은 상태로 남아있었다.[25]
그러나 2022년 개인정보 보호법 개정을 통해 국가 기관, 독립 행정 법인, 지방 공공 단체에 대한 규율이 일원화되면서, 이러한 '2000개 문제'는 대체로 해소되었다.
3. 주요 내용
이 법은 '개인정보', '개인정보 데이터베이스 등', '개인 데이터', '보유 개인 데이터'와 같은 주요 용어를 정의하고 있으며(제2조, 제16조), 주로 '개인 데이터'의 취급에 관한 규정을 다룬다.
국가와 지방자치단체는 개인정보 보호를 위한 시책을 마련하고 실행할 책무를 지며(제4조, 제5조), 과거 분산되었던 관련 규정은 법 개정을 통해 일원화되었다.
개인정보 데이터베이스 등을 사업에 이용하는 '개인정보취급사업자'는 이 법의 주요 규제 대상이지만(제16조 제2항), 국가기관 등은 제외되며, 언론, 학술 연구, 종교, 정치 활동 등 특정 목적의 정보 이용은 일부 의무 적용에서 예외를 둔다(제57조).
개인정보취급사업자는 이용 목적의 특정 및 제한, 적정한 정보 취득, 안전 관리 조치, 종업원 및 위탁처 감독, 원칙적인 제3자 제공 제한 등 다양한 의무를 준수해야 한다(제4장 제1절, 제2절). 또한 정보 주체인 본인은 자신의 정보에 대한 열람, 정정, 이용정지 등을 요구할 권리를 가지며, 개인 데이터 유출 시 사업자는 개인정보보호위원회 보고 및 본인 통지 의무를 진다(제26조, 제32조~제35조).
이 법의 내용은 1980년 경제협력개발기구(OECD)에서 제시한 OECD 프라이버시 8원칙과 밀접하게 연관되어 있다.
3. 1. 기본 이념
고도 정보통신사회가 발전하면서 개인정보의 이용이 크게 늘어남에 따라, 개인정보의 적절한 취급에 관한 기본 원칙을 세울 필요성이 커졌다. 이 법은 개인정보 보호에 관한 기본 이념과 정부의 기본 방침 등 시책의 기본 사항을 정하고, 국가 및 지방자치단체의 책무를 명확히 하며, 개인정보를 취급하는 사업자가 지켜야 할 의무 등을 규정함으로써, 개인정보의 유용성을 고려하면서도 개인의 권리와 이익을 보호하는 것을 목적으로 한다(제1조).
이 법의 기본 이념은 개인의 인격 존중에 있다. 개인정보는 이러한 이념 아래 신중하게 다루어져야 하며, 그 적정한 취급이 보장되어야 한다(제3조).
법률에 프라이버시권이 명시적으로 규정되어 있지는 않지만, 프라이버시 보호는 이 법의 중요한 목적 중 하나이다. 다만, 이 법이 세상의 모든 개인 정보를 포괄적으로 규제 대상으로 삼는 것은 아니다.
법 위반 사실이 곧바로 프라이버시 침해에 해당하여 불법 행위가 되는지에 대해서는 신중한 판단이 필요하다는 것이 일반적인 견해이다. 예를 들어, 형식적으로는 법에서 정한 목적 외로 개인정보를 이용했더라도, 그것이 반드시 프라이버시 침해로서 위법하다고 판단되지 않을 수도 있다. 반대로, 다른 정보와 결합해도 개인을 특정하기 어려운 휴대전화 번호 등을 공개하는 행위가 프라이버시 침해로 인정되어 불법 행위가 성립될 수도 있다.
3. 2. 용어의 정의
이 법률에서 사용되는 주요 용어는 다음과 같이 정의된다. 상세한 내용은 각 하위 항목에서 설명한다.
이 법은 주로 '개인 데이터'의 취급에 관하여 개인정보 취급 사업자에게 의무를 부과하며, 개인정보 데이터베이스 등에 포함되지 않는 개인정보(예: 매장 내 안내 방송 음성, 임시 메모 등)는 직접적인 규제 대상에서 제외된다.
3. 2. 1. 개인정보
개인정보란 살아있는 개인에 관한 정보로서, 이름, 생년월일과 같이 해당 정보만으로 특정 개인을 알아볼 수 있는 정보를 의미한다. 또한, 다른 정보와 쉽게 결합하여 특정 개인을 식별할 수 있는 정보(예: 학생 명부와 대조하여 개인을 특정할 수 있는 학번)도 개인정보에 포함된다(제2조 제1항).
개인정보는 생존하는 개인의 정보여야 하므로, 외국인의 정보도 개인정보에 포함되지만, 사망한 사람(고인)의 정보는 원칙적으로 포함되지 않는다. 다만, 사망자의 정보라 할지라도 유가족 등 생존하는 다른 개인에 관한 정보이기도 하다면, 해당 생존하는 개인의 정보로서 개인정보가 될 수 있다. 법인이나 단체 자체에 관한 정보는 개인정보에 해당하지 않지만, 해당 법인이나 단체의 임원, 직원 등에 관한 정보처럼 특정 개인을 알아볼 수 있는 정보는 개인정보에 포함된다.
제2조 제1항에서 언급하는 "개인에 관한 정보"의 구체적인 정의나 예시는 법률에 명시되어 있지 않다. 그러나 개인정보보호위원회의 『개인정보보호법 가이드라인(통칙편)』에서는 이를 다음과 같이 설명하고 있다.성명, 성별, 생년월일 등 개인을 식별하는 정보에 한정되지 않고, 개인의 신체, 재산, 직업, 직함 등의 속성에 관하여 사실, 판단, 평가를 나타내는 모든 정보이며, 평가 정보, 공표물 등에 의해 공적으로 공개된 정보나, 영상, 음성에 의한 정보도 포함되며, 암호화 등에 의해 은닉화되어 있는지 여부를 묻지 않는다.
금융청의 『금융 분야에서의 개인정보 보호에 관한 가이드라인』에서도 거의 유사한 설명이 있지만, 암호화 관련 기술은 언급되지 않았다. 이 가이드라인은 "개인에 관한 정보"와 개인정보의 관계를 다음과 같이 설명한다.「개인에 관한 정보」가, 성명 등과 결합하여 「특정 개인을 식별할 수 있게」 되면, 그것이 「개인정보」가 된다.
개인 식별 부호의 정의에 대해서는 제2조 제2항을 참조할 수 있다.
3. 2. 2. 개인정보 데이터베이스 등
개인정보 데이터베이스 등은 개인정보를 포함하며, 컴퓨터 등을 이용하여 쉽게 검색할 수 있도록 체계적으로 구성된 정보의 집합체 또는 목차나 색인 등을 활용하여 체계적으로 정리된 종이 문서 등의 정보 집합체를 의미한다(개인정보 보호법 제16조 제1항).[1] 즉, 컴퓨터로 검색이 가능하거나, 목차나 색인 등이 있어 검색하기 쉬운 상태여야 하며, 단순히 정리되지 않은 상태의 정보는 개인정보 데이터베이스 등에 해당하지 않는다.[1]
개인정보 데이터베이스 등을 구성하는 개인정보는 개인 데이터라고 불린다(개인정보 보호법 제16조 제3항).[1]
또한, 개인정보취급사업자가 공개, 내용의 정정·추가·삭제, 이용 정지, 삭제 및 제3자 제공 정지를 할 수 있는 권한을 가지는 개인 데이터를 보유 개인 데이터라고 한다(개인정보 보호법 제16조 제4항).[1] 다만, 다음의 경우는 보유 개인 데이터에서 제외된다.[1]
개인정보 보호법은 주로 개인 데이터의 취급에 관하여 개인정보취급사업자에게 의무를 부과한다. 즉, 개인정보 데이터베이스 등에 포함된 개인정보인 '개인 데이터'만이 법의 직접적인 규제 대상이 된다.[1] 따라서 개인정보취급사업자가 다루는 개인정보라 할지라도 개인정보 데이터베이스 등에 포함되지 않는 정보, 예를 들어 매장에서 손님을 부르는 안내 방송, 임시 메모, 사람의 기억 등은 이 법률의 규제를 받지 않는다.[1]
3. 2. 3. 개인 데이터
개인정보 데이터베이스 등을 구성하는 개인정보를 개인 데이터라고 부른다(법 제16조 제3항). 이는 개인정보 보호법 제2조 제4항에서도 정의한다.
개인 데이터의 기반이 되는 "개인정보"는 법 제2조 제1항에서 정의하며, 살아있는 개인에 관한 정보로서 특정 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함) 또는 법 제2조 제2항에 따른 개인식별부호를 포함하는 정보를 말한다. 개인정보보호위원회의 『개인정보보호법 가이드라인(통칙편)』에 따르면, "개인에 관한 정보"는 단순히 "성명, 성별, 생년월일 등 개인을 식별하는 정보에 한정되지 않고, 개인의 신체, 재산, 직업, 직함 등의 속성에 관하여 사실, 판단, 평가를 나타내는 모든 정보이며, 평가 정보, 공표물 등에 의해 공적으로 공개된 정보나, 영상, 음성에 의한 정보도 포함되며, 암호화 등에 의해 은닉화되어 있는지 여부를 묻지 않는다"고 설명한다([https://www.ppc.go.jp/files/pdf/230401_guidelines01.pdf 개인정보보호법 가이드라인(통칙편) p5]). 금융청의 『[https://www.fsa.go.jp/common/law/kj-hogo/01.pdf 금융 분야에서의 개인정보 보호에 관한 가이드라인]』에서는 "'개인에 관한 정보'가, 성명 등과 결합하여 '특정 개인을 식별할 수 있게' 되면, 그것이 '개인정보'가 된다"고 설명한다.
개인 데이터를 이해하기 위해서는 먼저 개인정보 데이터베이스 등의 개념을 알아야 한다. 이는 개인정보를 포함하는 정보의 집합체로서, 특정 개인정보를 컴퓨터를 이용하여 검색할 수 있도록 체계적으로 구성하거나, 특정 개인정보를 일정한 규칙에 따라 체계적으로 배열 또는 구성하고 목차·색인 등을 부여하여 쉽게 검색할 수 있도록 한 것을 의미한다(법 제16조 제1항). 따라서 컴퓨터로 검색 가능하거나 목차, 색인 등으로 쉽게 찾을 수 없는 미정리된 종이 정보 등은 여기에 해당하지 않는다.
개인 데이터 중에서도 보유 개인 데이터는 개인정보 취급 사업자가 공개, 내용의 정정, 추가 또는 삭제, 이용의 정지, 소거 및 제3자에게의 제공 정지를 할 수 있는 권한을 가지는 개인 데이터를 말한다(법 제16조 제4항). 다만, 다음의 어느 하나에 해당하는 경우는 보유 개인 데이터에서 제외된다(시행령 제5조).
본 법은 주로 이 개인 데이터의 취급에 관하여 개인정보 취급 사업자에게 의무를 부과하고 있다. 즉, 개인정보 데이터베이스 등에 포함된 개인정보만이 개인 데이터로서 법의 직접적인 규제 대상이 된다. 개인정보 데이터베이스 등을 구성하는 모든 정보가 개인 데이터가 되는 것은 아니다.
따라서 개인정보 취급 사업자가 다루는 개인정보 데이터베이스 등에 포함되지 않는 개인정보, 예를 들어 점포에서의 호출 안내와 같은 음성 정보, 임시 메모, 사람의 기억 등은 이 법률의 규제가 직접적으로 미치지 않는다.
3. 2. 4. 보유 개인 데이터
'''보유 개인 데이터'''란 개인정보 취급 사업자가 공개, 내용의 정정·추가·삭제, 이용 정지, 소거 및 제3자 제공 정지를 할 수 있는 권한을 가지는 개인 데이터를 의미한다(법 제16조 제4항).
개인정보 보호법은 주로 개인 데이터의 취급과 관련하여 개인정보 취급 사업자에게 의무를 부과한다. 이때 법의 직접적인 규제 대상이 되는 개인 데이터는 개인정보 데이터베이스 등을 구성하는 개인정보를 말한다(법 제16조 제3항). 여기서 `'''개인정보 데이터베이스 등'''`이란 개인정보를 포함하며, 컴퓨터 등으로 쉽게 검색할 수 있도록 체계적으로 구성된 정보의 집합체나, 목차 또는 색인 등에 의해 체계적으로 정리된 문서 집합 등을 가리킨다(법 제16조 제1항). 따라서 컴퓨터로 검색 가능하거나 목차, 색인 등으로 쉽게 찾을 수 없는 미정리된 종이 정보 등은 해당하지 않는다.
그러나 모든 개인 데이터가 보유 개인 데이터가 되는 것은 아니다. 그 존재 여부가 밝혀짐으로써 공익이나 그 밖의 이익을 해칠 우려가 있는 다음의 경우는 보유 개인 데이터에서 제외된다(시행령 제5조).
개인정보 취급 사업자가 다루는 정보라 할지라도, 개인정보 데이터베이스 등에 포함되지 않는 개인정보, 예를 들어 가게 앞에서 손님을 부르는 안내 방송의 음성, 개인적인 메모, 사람의 기억 등은 이 법률의 규제를 직접 받지 않는다.
3. 3. 국가 및 지방공공단체의 책무 · 시책
국가는 이 법률의 취지에 따라 개인정보의 적정한 취급을 확보하기 위해 필요한 시책을 종합적으로 마련하고 실시할 책무를 진다. 지방공공단체 역시 해당 지역의 특성에 맞춰 개인정보의 적정한 취급을 확보하기 위한 시책을 마련하고 실시할 책무가 있다. (제4조, 제5조)
정부는 개인정보 보호 시책의 종합적이고 일체적인 추진을 위해 개인정보 보호에 관한 기본방침을 정해야 한다. 내각총리대신은 소비자위원회의 의견을 들어 기본방침 안을 작성하고, 내각회의의 결정을 구해야 하며, 결정된 기본방침은 지체 없이 공표해야 한다. (제7조)
국가는 지방공공단체가 시행하는 개인정보 보호 시책 및 국민 또는 사업자 등의 개인정보 보호 활동을 지원해야 한다. 이를 위해 정보 제공, 사업자 대상 지침 마련 등 필요한 조치를 강구한다. (제8조) 지방공공단체는 보유한 개인정보의 성질과 목적 등을 고려하여, 개인정보의 적정한 취급이 확보되도록 필요한 조치를 강구하도록 노력해야 한다. (제11조)
2022년 법 개정 이전까지는 국가, 지방공공단체, 독립행정법인이 취급하는 개인정보에 대해 이 법률의 직접적인 규제는 없었다.[24] 대신, 각각 행정기관 개인정보 보호법, 독립 행정 법인 등 개인정보 보호법, 그리고 각 지방공공단체의 개인정보 보호 조례 등의 적용을 받았다.[25] 사업자에 대한 구체적인 의무 지침 역시 개인정보 보호법이 아닌, 개인정보 보호 위원회 가이드라인, 사업 분야별 가이드라인 등 별도로 규정되어 있었다.[24]
이러한 분산된 규제 체계는 일본 내에 약 2000개에 달하는 관련 조례 등이 난립하는 결과를 낳았고, 이는 소위 2000개 문제로 불리며 여러 폐해를 발생시켰다.[24] 주요 문제점은 다음과 같다.
특히 의료 정보와 같이 민감한 정보 처리에서도 이러한 문제가 지적되었으며[24][25], 동일본 대지진 당시에는 피해자 지원 및 안부 확인을 위해 민간 지원 단체에 정보를 제공한 지자체가 단 2곳에 불과했다는[25] 심각한 사례도 발생했다. 이후 재해 대책 기본법 개정으로 재난 상황에서의 정보 공유가 일부 개선되었지만, 평상시 공공과 민간의 정보 공유 장벽은 여전히 높게 남아 있었다.[25]
2022년 개인정보 보호법 개정을 통해 국가, 독립 행정 법인, 지방 공공 단체에 대한 규정이 일원화되면서, 이러한 2000개 문제는 상당 부분 해소되었다.
3. 4. 개인정보취급사업자의 대상
개인정보 등 데이터베이스를 사업에 이용하는 자를 개인정보취급사업자라고 하며, 영리법인뿐만 아니라 비영리법인, 개인도 사업에 이용하는 경우에는 해당한다(법 제16조 제2항)[7]. 다만, 다음의 경우는 개인정보취급사업자 대상에서 제외된다.
한편, 개인정보취급사업자가 특정 목적으로 개인정보를 이용하는 경우에는 개인정보취급사업자로서의 의무 적용을 받지 않는 예외가 있다(제57조 1항). 이는 언론, 저술, 대학 등에서의 학술 연구, 종교 활동, 정치 활동의 목적을 위한 경우이다. 이러한 예외는 개인정보보호위원회의 보고 징수 등을 통해 표현의 자유와 같은 기본권을 제약할 수 있다는 우려에 따라 마련되었다.
의무 적용이 제외되는 경우에도, 해당 사업자는 개인정보 보호를 위해 필요한 조치를 스스로 마련하고 그 내용을 공표하도록 노력해야 한다(제57조 3항). 또한, 개인정보보호위원회는 일반 개인정보취급사업자가 언론·저술업 관계자, 대학 등, 종교 단체, 정치 단체에 해당 목적을 위해 개인정보를 제공하는 경우, 보고 징수나 명령 등의 권한을 행사하지 않는다. 그러나 이것이 개인정보 보호법 자체의 적용에서 완전히 제외된다는 의미는 아니다.
주의할 점은, 이러한 직무에 있는 사람이 정당한 이유 없이 업무상 알게 된 비밀을 누설하면 형법 제134조 2항의 비밀 누설죄가 성립할 수 있다는 것이다. 즉, 개인정보취급사업자 의무 면제와 형법상 책임 면제는 별개의 문제이다.
3. 5. 개인정보취급사업자의 주요 의무
개인정보 보호법 제4장 제1절 및 제2절은 개인정보취급사업자가 준수해야 할 여러 의무를 규정하고 있다. 개인정보취급사업자는 국가, 지방 공공 단체, 독립 행정 법인 등을 제외한, 개인정보 데이터베이스 등을 사업에 이용하는 자를 의미하며, 영리 법인뿐 아니라 비영리 법인, 개인도 해당될 수 있다(제16조 제2항).[7]
주요 의무는 다음과 같다.
의무 적용의 예외언론·저술, 학술 연구, 종교 활동, 정치 활동을 목적으로 개인정보를 이용하는 언론기관, 대학, 종교 단체, 정치 단체 등은 위에서 언급한 개인정보취급사업자의 의무 규정을 적용받지 않는다(제57조 1항). 이는 표현의 자유, 학문의 자유 등을 보장하기 위한 조치이다. 다만, 이들 역시 개인정보 보호를 위해 필요한 조치를 스스로 강구하고 그 내용을 공표하도록 노력할 의무가 있다(제57조 3항).
3. 5. 1. 제3자 제공의 제한
개인정보처리자는 다음의 경우를 제외하고는 미리 본인의 동의를 얻지 않으면 개인 데이터를 제3자에게 제공해서는 안 된다(제20조).
#법령에 근거하는 경우.(예: 국세조사 등의 통계 조사 등)
#사람의 생명, 신체 또는 재산의 보호를 위해 필요한 경우로서 본인의 동의를 얻는 것이 곤란할 때.(예: 사고 시의 안부 정보 등)
#공중 위생의 향상 또는 아동의 건전한 육성을 추진하기 위해 특히 필요한 경우로서 본인의 동의를 얻는 것이 곤란할 때.(예: 아동 학대 정보 등)
#국가의 기관 또는 지방 공공 단체 또는 그 위탁을 받은 자가 법령이 정하는 사무를 수행하는 것에 협력할 필요가 있고, 본인의 동의를 얻음으로써 해당 사무의 수행에 지장을 줄 우려가 있을 때.(예: 범죄 수사에의 협력 등)
다만, 반드시 본인의 동의를 얻지 않아도, 다음의 경우는 제3자에게 제공할 수 있다고 규정되어 있다.
제3자에게 제공되는 개인 데이터에 관하여, 본인의 요구에 따라 해당 본인이 식별되는 개인 데이터의 제3자 제공을 정지하는 것(옵트아웃)으로 하고 있는 경우로서, 다음 4가지에 관해 미리 본인에게 통지하고, 또는 본인이 쉽게 알 수 있는 상태에 놓여 있는 때는, 전항의 규정에도 불구하고, 해당 개인 데이터를 제3자에게 제공할 수 있다(제23조 제2항).
#제3자에게의 제공을 이용 목적으로 할 것
#제3자에게 제공되는 개인 데이터의 항목
#제3자에게 제공하는 수단 또는 방법
#본인의 요구에 따라 해당 본인이 식별되는 개인 데이터의 제3자 제공을 정지할 것
또한, 개인정보처리자와 실질적으로 동일하다고 볼 수 있는 사업자가 공동으로 이용하는 경우, 또는 공동 이용 혹은 업무 위탁으로서 일정한 요건을 충족한 경우에는, 제3자로 간주되지 않는 규정이 있다. 즉, 이러한 경우에는 본인의 동의를 얻을 필요가 없다.
3. 5. 2. OECD 프라이버시 8원칙과의 관계
1980년 경제협력개발기구(OECD) 이사회에서 채택된 '개인 정보 보호와 개인 데이터의 국제적 유통에 관한 가이드라인에 관한 권고'에는 수집 제한의 원칙, 이용 제한의 원칙 등의 "OECD 프라이버시 8원칙"이 포함되어 있다. 개인정보 보호법의 조항과 OECD 프라이버시 8원칙은 다음과 같이 대응된다.[8]
| OECD 프라이버시 8원칙 | 개인정보 보호법 (조항 요약) |
|---|---|
| 수집 제한의 원칙 | 제20조 거짓 그 밖의 부정한 수단으로 개인정보를 취득해서는 안 된다. |
| 데이터 내용의 원칙 | 제22조 개인 데이터를 정확하고 최신의 내용으로 유지해야 한다. |
| 목적 명확화의 원칙 이용 제한의 원칙 | 제17조 이용 목적을 가능한 한 특정해야 한다. 제18조 이용 목적의 달성에 필요한 범위를 초과하여 개인정보를 취급해서는 안 된다. 제27조 미리 본인의 동의를 얻지 않고 개인 데이터를 제3자에게 제공해서는 안 된다. |
| 안전 보호 조치의 원칙 | 제23조 개인 데이터의 안전 관리를 위해 필요하고 적절한 조치를 강구해야 한다. 제24조・제25조 개인 데이터의 안전 관리가 이루어지도록 종업원·위탁처에 대한 필요하고 적절한 감독을 해야 한다. |
| 공개의 원칙 개인 참여의 원칙 | 제21조 개인정보를 취득한 경우에는 신속하게, 그 이용 목적을 본인에게 통지하거나 공표해야 한다. 제32조 이용 목적 등을 본인이 알 수 있는 상태에 두어야 한다. 제33조 본인이 식별되는 보유 개인 데이터의 열람을 청구할 수 있다. 제34조 본인은 보유 개인 데이터의 내용의 정정, 추가 또는 삭제를 청구할 수 있다. 제35조 본인은 해당 보유 개인 데이터의 이용의 정지 또는 삭제를 청구할 수 있다. |
| 책임의 원칙 | 제40조 개인정보의 취급에 관한 불만을 적절하고 신속하게 처리하도록 노력해야 한다. |
4. 개인정보 보호 관련 사건 및 판례
일본의 개인정보의 보호에 관한 법률 시행 이후, 법률에 대한 오해나 과잉 반응으로 사회 곳곳에서 문제가 발생하기도 하였다. 이는 "개인의 권익을 보호하면서도 필요에 따라 개인정보를 유효하게 활용한다"는 법의 기본 이념에서 벗어난 확대 해석에 따른 것으로 보인다. 예를 들어, 일부 사람들은 답변 거부 시 벌칙 규정이 있는 국세조사와 같은 통계 조사에 대해 개인정보 보호법을 이유로 답변을 거부할 수 있다고 오해하여 조사 답변율이 낮아지는 현상이 나타났다. 또한 학교의 긴급 연락망을 만들지 못하거나, 재난 발생 시 도움이 필요한 사람들의 명단 작성이 지연되는 등의 문제도 발생했다.[14]
실제 법률은 개인정보를 취급하는 사업자 등에 대한 감독을 중심으로 하며, 일반 국민을 직접 규제하는 내용은 없다. 사업자가 개인정보를 유출[15]했을 경우에도 그 자체에 대한 직접적인 벌칙 조항은 없으며, 주무 관청의 시정 권고를 따르지 않거나 보고 의무를 이행하지 않을 때 벌칙이 부과될 수 있다. 개인정보 유출로 인해 손해[16]가 발생하면 민사상 책임을 물을 수 있다.
특히 재난이나 대규모 사고 발생 시 안부 정보 확인과 관련하여 현장에서 혼란이 발생한 사례들이 있다. 일본 개인정보 보호법 제23조 제1항 제2호는 "사람의 생명, 신체 또는 재산의 보호를 위해 필요한 경우로서 본인의 동의를 얻는 것이 곤란할 때"에는 개인정보를 본인 동의 없이도 활용할 수 있도록 규정하고 있어, 재난 시 안부 정보 확인 등은 법의 규제 대상이 아니라고 해석됨에도 불구하고 다음과 같은 문제가 발생했다.
- JR 다카라즈카선(후쿠치야마선) 탈선 사고: 사고 당시 병원 등 의료 현장에서 부상자 가족의 안부 확인 요청에 대해 개인정보 보호를 이유로 답변을 망설이는 등 혼란이 발생하여 논란이 되었다.
- 니가타현 주에쓰 해역 지진: 니가타현 가시와자키시가 개인정보 보호법 시행을 이유로 재난 시 도움이 필요한 '요원호자' 명단을 지역 자치회나 소방 당국에 미리 제공하지 않았던 사실이 드러났다. 이로 인해 지진 발생 시 일부 요원호자에 대한 구조 및 지원이 늦어졌을 가능성이 제기되었으며, 명단이 사전에 공유되었다면 사망자를 줄일 수 있었을 것이라는 비판이 나왔다.[17][18]
이 외에도 "학급 연락망이나 졸업 앨범을 만들 수 없다", "환자가 의료기관에 자신의 정보 제공을 거부한다", "기업이 사원 주소록을 작성하지 못한다"는 등의 과잉 반응 사례들이 보고되었다.[19] 이러한 오해와 혼란이 확산되자 일본 내각부는 개인정보 보호법의 취지를 설명하고 법에 저촉되지 않는 구체적인 사례들을 제시하며 과잉 반응을 해소하려는 노력을 기울였다.[20]
한편, 개인 데이터 유출 등이 발생하여 개인의 권리나 이익을 해칠 우려가 있을 경우, 해당 개인정보취급자는 개인정보 보호위원회에 보고하고 정보 주체인 본인에게 통지해야 할 의무가 있다(일본 법률 제26조 1항, 시행 규칙 제7조).[10] 특히 다음과 같은 경우에는 보고 및 통지 대상이 된다.
- 요주의 개인 정보(민감 정보)가 포함된 유출 등 사태
- 부정한 목적으로 개인정보 유출 등이 발생한 사태
- 개인정보 유출 등으로 재산상 피해가 발생할 우려가 있는 사태
- 1,000명을 초과하는 개인정보 유출 등이 발생한 사태
또한, 본인이 자신의 개인 데이터 공개를 요구할 경우, 개인정보취급자는 법에서 정한 예외(본인 또는 제3자의 권리 이익 침해 우려, 업무의 적정 실시 지장 우려, 다른 법령 위반 등)에 해당하지 않는 한 지체 없이 공개해야 하며, 이 경우 수수료를 징수할 수 있다(일본 법률 제19조, 제30조). 의료 진료기록 공개 청구나 신용정보 공개 청구가 대표적인 예이다.
5. 개인정보 보호 관련 법률 개정 논의
정보화 사회가 발전하고 프라이버시 문제에 대한 인식이 높아지면서 개인정보 보호의 중요성이 커졌고, 이에 따라 관련 법률의 제정 및 개정 논의가 활발하게 이루어졌다.[5] 개인정보 보호법 제정 및 개정 논의가 본격화된 배경은 다음과 같이 요약할 수 있다.[5]
- 정보화 사회의 진전과 프라이버시 문제에 대한 사회적 인식 확산
- 개인정보 보호 입법의 세계적인 추세
- OECD 이사회의 프라이버시 보호 권고 등 국제적인 기준 제시
- 지방자치단체 차원에서의 개인정보 보호 조례 제정 증가
- 유럽 연합 일반 데이터 보호 규칙(유럽 연합 지침)과 같은 강력한 개인정보 보호 규범의 등장[6]
- 전자상거래 확산에 따른 이용자 프라이버시 보호 강화 요구 증대
- 주민등록 제도 등 행정 시스템 변화에 따른 개인정보 보호 법제 정비 필요성 제기
이러한 배경 속에서 개인정보 보호 관련 법률 개정 논의는 축적된 방대한 개인정보를 빅 데이터로 활용하여 새로운 산업 발전을 도모하는 동시에, 정보 유출로 인한 사생활 침해 위험을 방지하고 개인의 정보 자기결정권을 보장하는 방향으로 진행되었다. 특히, 개인정보의 정의를 명확히 하고, 수집·이용·제공 등 각 단계별 처리 기준을 구체화하며, 정보 주체의 권리를 강화하고, 위반 시 제재 수위를 높이는 방안 등이 주요 쟁점으로 다루어졌다. 또한, 국가 간 데이터 이전이 활발해짐에 따라 국제적인 개인정보 보호 기준과의 정합성을 확보하는 것 역시 중요한 과제로 부각되었다.
5. 1. 한국의 개인정보 보호법 개정 논의
개인정보 보호법은 일정 주기마다 재검토하도록 법률에 명시되어 있다. 2015년 관련 법률 부칙에서는 개인정보 보호법의 시행 상황을 3년마다 검토하고 필요한 조치를 강구하도록 규정했다. 이는 개인정보 보호에 관한 국제적 동향, 정보 통신 기술의 발전, 그리고 이를 활용한 새로운 산업의 등장 등을 고려하기 위함이었다. 당시 부칙 조항은 다음과 같다.'''개인정보의 보호에 관한 법률 및 행정 절차에 있어서 특정 개인을 식별하기 위한 번호의 이용 등에 관한 법률 일부를 개정하는 법률(2015년 법률 제65호) 부칙 제12조 제3항'''
3 정부는, 전항에 정하는 사항 외에, 이 법률의 시행 후 3년마다 개인정보 보호에 관한 국제적 동향, 정보 통신 기술의 진전, 이에 따른 개인정보를 활용한 새로운 산업의 창출 및 발전의 상황 등을 감안하여, 신 개인정보 보호법의 시행 상황에 대해 검토를 실시하고, 필요하다고 인정될 때에는 그 결과에 기초하여 필요한 조치를 강구하는 것으로 한다.
이후 2020년 개정 시, 관련 부칙 조항이 변경되었다. 검토 주기에 대한 표현이 "3년마다"에서 "3년을 목표로"로 수정되었다. 변경된 부칙 조항은 다음과 같다.
'''개인정보의 보호에 관한 법률 등 일부를 개정하는 법률(2015년 법률 제65호) 부칙 제10조'''
제10조 정부는, 이 법률의 시행 후 3년마다 개인정보 보호에 관한 국제적 동향, 정보 통신 기술의 진전, 이에 따른 개인정보를 활용한 새로운 산업의 창출 및 발전의 상황 등을 감안하여, 신 개인정보 보호법의 시행 상황에 대해 검토를 실시하고, 필요하다고 인정될 때에는 그 결과에 기초하여 필요한 조치를 강구하는 것으로 한다.
5. 2. 일본의 개인정보 보호법 개정 논의
개인정보 보호법은 2015년에 3년마다 재검토하도록 명문화되었다. 최초 근거 규정은 다음과 같았다.[5]:'''개인정보의 보호에 관한 법률 및 행정 절차에 있어서 특정 개인을 식별하기 위한 번호의 이용 등에 관한 법률 일부를 개정하는 법률(2015년 법률 제65호) 부칙 제12조 제3항'''
:3 정부는, 전항에 정하는 사항 외에, 이 법률의 시행 후 3년마다 개인정보 보호에 관한 국제적 동향, 정보 통신 기술의 진전, 이에 따른 개인정보를 활용한 새로운 산업의 창출 및 발전의 상황 등을 감안하여, 신 개인정보 보호법의 시행 상황에 대해 검토를 실시하고, 필요하다고 인정될 때에는 그 결과에 기초하여 필요한 조치를 강구하는 것으로 한다.
이후 2020년 개정 시, 근거 규정은 다음과 같이 변경되었고, "3년마다"라는 문구가 "3년을 목표로"로 수정되었다.
:'''개인정보의 보호에 관한 법률 등 일부를 개정하는 법률(2020년 법률 제44호) 부칙 제10조'''
:제10조 정부는, 이 법률의 시행 후 3년마다 개인정보 보호에 관한 국제적 동향, 정보 통신 기술의 진전, 이에 따른 개인정보를 활용한 새로운 산업의 창출 및 발전의 상황 등을 감안하여, 신 개인정보 보호법의 시행 상황에 대해 검토를 실시하고, 필요하다고 인정될 때에는 그 결과에 기초하여 필요한 조치를 강구하는 것으로 한다.
'''2015년 개정'''
2015년 9월 3일, 제189회 국회 중의원 본회의에서 "개정 개인정보 보호법"이 통과되었다.[11][12] 이 개정은 축적된 방대한 개인정보를 빅 데이터로 기업이 활용하기 쉽게 하는 한편, 정보 유출에 대한 벌칙을 신설하는 내용을 담았다. 주요 개정 내용은 다음과 같다.
- 취급하는 개인정보 수가 5000건 이하인 "소규모 취급 사업자"에게도 법률을 적용하여, 기존의 "건수 요건"을 철폐했다.[13]
- "이용 목적의 명시", "제3자 제공 시 본인 동의"와 같이 개인정보를 활용할 때의 사업자 의무를 상세하게 규정했다.
- 개인정보를 복원할 수 없도록 처리한 "익명 가공 정보" 개념을 도입하고, 일정한 조건을 충족하면 본인 동의 없이도 제3자에게 제공할 수 있도록 했다.
- 기존 행정기관이 보유하는 개인정보의 보호에 관한 법률 및 독립행정법인이 보유하는 개인정보의 보호에 관한 법률에서 규정하던 사항을 개인정보 보호법으로 통합했다. 지방자치단체도 법 적용 대상에 포함시키고, 각 지자체가 개별적으로 제정했던 개인정보 보호 조례는 원칙적으로 폐지하여, "개인정보"의 정의 및 기본적인 운용 등을 이 법률로 일원화했다.
- 개인정보 보호 관련 주무대신의 권한을 개인정보 보호위원회로 이관했다.
'''국제 동향의 영향'''
일본의 개인정보 보호법 제정 및 개정 논의에는 국제적인 흐름이 큰 영향을 미쳤다. 1980년 OECD 이사회는 "프라이버시 보호와 개인 데이터의 국제 유통에 관한 가이드라인에 관한 권고"[21]를 채택하여 수집 제한, 이용 제한 등 8가지 원칙을 제시했다.
1995년에는 EU가 "개인 데이터 처리에 관한 개인 정보 보호 및 해당 데이터의 자유로운 이동에 관한 유럽 의회 및 이사회의 지침"(통칭 EU 데이터 보호 지침)을 채택했다. 이 지침은 EU 회원국 외 국가로 개인정보를 이전할 때, 해당 국가가 충분한 수준의 보호 조치를 갖추고 있을 것을 요구했다. 이에 일본은 1998년 프라이버시 마크 제도를 도입했으며, 2019년 1월 23일에는 유럽 위원회로부터 개인정보 보호법의 대상 범위에 한해 개인 데이터에 대해 충분한 보호 수준을 충족하고 있음을 인정하는 '충분성 인정'을 받았다.
그 외 국제 표준으로는, 개인 정보를 취급하는 주체를 분류하고 그 사이의 관계성을 정리하며 각각이 어떻게 개인 정보를 취급해야 하는가에 대한 11개의 프라이버시 원칙을 제시한 ISO/IEC 29100 Privacy Framework|프라이버시 프레임워크영어 및, 구현 시의 아키텍처 틀을 제시한 ISO/IEC 29101 Privacy Architecture Framework|프라이버시 아키텍처 프레임워크영어가 있다. 또한, 프라이버시 영향 평가(PIA)의 방법론을 정리한 ISO/IEC 29134 Privacy Impact Assessment Methodology|프라이버시 영향 평가 방법론영어도 있다.
또한, 개인 정보의 안전 관리 조치로서는, 정보 보안 관리 시스템(ISMS)이 충족해야 할 요건을 정한 국제 규격 ISO/IEC 27001도 있다. 이 국제 규격의 인증은 기업이 개인 정보 유출 방지 및 사후 대책에 대한 자료와 절차서를 작성하고 주지시키며, 직원들이 이를 인지하고 실행하는지를 심사하여 인정된다.
EU에서는 2018년 5월 25일부터 GDPR이 시행되었으며, 여기에는 '삭제 권한'(초기 논의에서는 '잊혀질 권리'로 불림) 개념이 포함되었다.
'''2022년 개정 이전의 과제: 2000개 문제'''
2022년 개정 이전까지 일본의 개인정보 보호 체계는 매우 복잡했다. 개인정보 보호법 본법은 주로 민간 사업자의 의무를 규정했고, 국가 행정기관, 독립 행정 법인, 지방 공공 단체 등 공공 부문은 각각 "행정기관 개인정보 보호법", "독립 행정 법인 개인정보 보호법", 그리고 약 1,900여 개의 "개인정보 보호 조례"에 의해 별도로 규율되었다.[24][25] 사업자 대상 지침 역시 법률이 아닌 개인정보 보호 위원회나 각 사업 분야별 가이드라인 등으로 나뉘어 있었다.[24]
이처럼 일본 내 민간 사업자, 국가 행정 기관, 독립 행정 법인, 그리고 약 1,900여 개의 지방자치단체(도도부현 47, 시구정촌 1750, 광역 연합 등 115)[24]에 걸쳐 약 2000개의 서로 다른 규칙이 존재하는 상황을 '''2000개 문제'''라고 불렀다.[24] 이로 인해 다음과 같은 문제점들이 발생했다.
- 일부 지방 공공 단체에는 개인정보 보호 조례 자체가 없는 경우가 있었다.[24]
- 개인정보의 활용 수준이나 관련 지식에 있어 기관별, 지역별 격차가 발생했다.[25]
- 조례마다 해석과 절차가 달라 지자체 간 원활한 정보 연계가 어려웠다.[24][25]
- 공공 부문과 민간 부문의 규율이 달라 감독 관청이 불분명한 영역이 존재했다.[25]
특히 의료 정보와 같이 민감한 정보의 취급[24][25]이나 재난 상황에서의 정보 공유에 어려움이 있었다. 실제로 동일본 대지진 당시, 피해자 정보를 민간 지원 단체에 제공하여 지원 및 안부 확인을 실시한 지자체는 단 두 곳에 불과했다는 지적이 있다.[25] 이후 재해 대책 기본법 개정으로 재난 시 정보 공유 조항이 마련되었지만, 평상시 공공-민간 정보 공유의 장벽은 여전히 높았다.[25]
2022년 개인정보 보호법 개정을 통해 공공 부문의 개인정보 보호 규정을 법률로 일원화함으로써 이러한 '2000개 문제'는 상당 부분 해소되었다.
참조
[1]
웹사이트
個人情報の保護に関する法律
https://www.japanese[...]
法務省
2023-01-19
[2]
웹사이트
統計調査と個人情報保護
https://www.stat.go.[...]
総務省
[3]
문서
2017年(平成29年)5月30日以前は、5,000件以下の個人情報を扱う企業や者は対象外であった
[4]
URL
https://www.ppc.go.j[...]
[5]
웹사이트
衆憲資第28号 知る権利・アクセス権とプライバシー権に関する基礎的資料―情報公開法制・個人情報保護法制を含む―(平成15年5月15日の参考資料)
https://www.shugiin.[...]
衆議院
2016-08-31
[6]
웹사이트
個人データ処理に係る個人の保護及び当該データの自由な移動に関する指令
https://www.soumu.go[...]
2016-09-26
[7]
웹사이트
個人情報の保護に関する法律第16条2項
https://laws.e-gov.g[...]
デジタル庁
2023-10-15
[8]
문서
中間整理
[9]
웹사이트
第4回個人情報保護検討部会議事要旨
https://www.kantei.g[...]
1999-09-07
[10]
웹사이트
漏えい等報告・本人への通知の義務化について
https://www.ppc.go.j[...]
[11]
뉴스
改正マイナンバー法成立=18年から預金口座に適用-年金との連結は延期
http://www.jiji.com/[...]
時事通信社
2015-09-03
[12]
뉴스
改正マイナンバー法成立=2018年から預金口座に適用-年金との連結は延期
https://www.sankei.c[...]
産経新聞
2015-09-03
[13]
웹사이트
ビッグデータの利活用、日本企業は「匿名化」問題を超えられるか
https://forbesjapan.[...]
Forbes Japan
2017-10-19
[14]
웹사이트
統計調査と個人情報保護
https://www.stat.go.[...]
総務省統計局
2022-07-23
[15]
문서
ここでは、個人情報取扱事業者が、個人データの漏洩防止等のための安全管理措置義務(第20条)を怠って個人データを漏洩した場合をいう。
[16]
문서
通常は、個人情報取扱事業者が安全管理措置義務(第20条)を怠って個人データを漏洩し、もって当該データの個人情報が第三者に知られる可能性が生じた時点で、本人の精神的損害(慰謝料)は少なくとも認められうる。
[17]
웹사이트
新潟県中越沖地震 「要援護者情報」伝わらず
http://blog.livedoor[...]
[18]
웹사이트
中越沖地震が教える過剰反応対策の必要性
https://xtech.nikkei[...]
[19]
문서
この法律の規制が及ばないというわけではない。場合によっては、組織外への第三者への無断提供や、漏洩防止等のための安全管理措置義務は、規制の対象になりうる。本人の同意が必要になる場合があり、全員が同意しなかった場合に、「本人が同意しなかったという個人情報」自体が組織内で共有されてしまうとして、最初から作成しないということも起こり得る。
[20]
웹사이트
個人情報保護法に関するよくある疑問と回答
http://www.caa.go.jp[...]
[21]
웹사이트
OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
http://www.oecd.org/[...]
[22]
웹사이트
GDPR(EU一般データ保護規則)とは?日本企業が対応すべきポイントを考える
https://www.hitachi-[...]
[23]
웹사이트
EUデータ保護規則(GDPR)
http://informationla[...]
[24]
웹사이트
個人情報保護法制2000個問題について
https://www8.cao.go.[...]
内閣府
2016-11
[25]
웹사이트
個人情報保護法制「2000個問題」って何?「自治体個人情報保護法」による解決を目指す
https://news.yahoo.c[...]
Yahoo Japan
2015-05-13
본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.
문의하기 : help@durumis.com