안전한 데이터 활용 촉진을 위해 실무적 이슈를 논의하는 ‘데이터융합포럼’은 정기적으로 회원들의 ‘데이터 보호와 활용’ 관련 기고문들을 데일리시큐 독자들과 공유해 나갈 계획이다. 이번 기고는 유다미 변호사의 '일본 진출 기업이 고려해야 할 일본 개인정보 법제 주요 내용과 최근 개정법상 가명가공정보' 관련 글이다. 일본에 진출하는 한국 기업들에게 도움될 수 있는 내용이다. <편집자 주>
1. 머리말
데이터의 적절한 활용이 갈수록 중요해지고 있다. 한국 IT기업이 일본 시장에 진출하는 경우 고려하여야 할 사항들을 개인정보 법제 측면에서 살펴보고자 한다. 2020년 6월 개정되어 2022년 상반기에 시행 예정인 일본 ‘개인정보보호에 관한 법률’(이하 ‘개정법’)에서 도입된 해외사업자에 대한 역외적용, 가명가공정보의 도입 등에 대해서도 유의해서 볼 필요가 있다.
2. 준거법과 역외적용 : 일본고객과의 법률관계에 적용할 준거법을 어떻게 정할 것인가?
한국 IT기업이 일본시장 진출에서 가장 먼저 고려하게 되는 것은 일본고객에게 정보통신서비스를 제공하는 주체를 한국법인으로 할 것인지, 일본고객과의 법률관계에 적용할 준거법을 어떻게 정할 것인지의 문제일 것이다.
일본법인을 설립해 일본고객에 대한 서비스 제공 주체가 되도록 한다면 준거법은 일본법으로 정하는 것이 자연스럽다. 문제는 한국법인이 일본고객에 대한 서비스 제공 주체가 되는 경우이다.
데이터 활용 측면에서는 일본법을 준거법으로 하는 것이 기업에 유리할 것이다. 다수의 데이터 법규를 고려해야 하는 한국과 달리, 기업 입장에서는 일본의 ‘개인정보보호에 관한 법률’(이하 ‘일본개인정보법’)만 고려하면 된다.
의료분야 익명가공정보를 취급하는 경우 ‘차세대의료기반법’이 적용되며, 행정기관이나 공공법인에는 ‘행정기관이 보유하는 개인정보보호법’, ‘독립행정법인 등이 보유하는 개인정보보호법’(이하 양자를 총칭하여 ‘행정기관개인정보법’)이 적용된다.
개인정보 수집 시 이용목적의 공표/명시로 족하고 정보주체의 동의를 요하지 않으며, 옵트아웃에 의한 개인정보 제공이 허용되는 등 일본에서는 개인정보 취급자에 대해서 한국보다 완화된 규제가 적용되어 왔다.
개정법에서는 역외적용을 명시적으로 규정하고 있으므로, 한국법인이 서비스 제공주체가 되는 경우 일본법을 준거법으로 하지 않더라도 일본개인정보법이 적용됨을 염두에 두어야 한다. 개정법에 따라 일본에 서비스를 제공하는 외국기업에게도 벌칙조항을 포함하여 일본개인정보법의 모든 조항이 적용되며, 역외적용의 실효성 확보를 위한 공시송달 등의 규정도 마련되었다.
3. 개인정보의 국가간 이전 : 한국과 일본 간 개인정보를 이전할 때 필요한 절차들
일본에서 개인정보를 제3자에게 제공하려면 원칙적으로 정보주체의 동의를 받아야 하지만, 한국과 달리 동의를 받는 방법을 구체적으로 규율하지는 않는다. 영업양도, 합병, 위탁, 공동이용(제휴)에 따른 제공의 경우에는 동의를 요하지 않는다.
한편 개인정보를 국외로 이전하는 경우에는 EU국가 등으로의 이전이 아닌 한 정보주체의 동의를 받아야 하며, 영업양도, 합병, 위탁, 공동이용인 경우라도 동의를 요한다. 따라서 한국법인이 일본기업이나 사업을 인수하여 일본시장에 진출하면서 이에 수반하여 일본고객정보를 인수한다면 정보주체의 동의가 필요하다.
실무에서는 이용목적 등 공표사항 및 동의사항을 모두 기재한 개인정보처리방침을 홈페이지에 게시하고 회원가입시 동의를 받는 것으로 갈음하는 경우가 많다. 그러므로 새로운 동의 사항이 있는 경우 홈페이지 공지사항, 로그인시 팝업창 등을 통해 고객이 업데이트 사실을 알 수 있게끔 보여주는 것이 보다 중요하다.
한국법인이 일본고객에 대한 서비스 제공주체가 되는 경우 일본고객정보를 직접 수집하되, CS, 마케팅 등 현지 수행이 필요한 업무를 일본법인에 위탁하면서 이에 수반하여 일본고객정보의 처리를 위탁하는 형태를 취할 가능성이 높을 것이다. 이러한 과정은 정보주체의 동의 없이 가능하다.
일본현지법인이 서비스 제공주체가 되는 경우에는 일본현지법인이 일본고객정보를 직접 수집하되, 서비스에 필요한 시스템을 한국법인으로부터 제공받으면서 이에 수반해 고객정보의 처리, 분석 등 업무를 위탁하는 형태가 될 것이다. 수집한 고객정보를 한국법인으로 이전하는 것은 국외이전으로 정보주체의 동의가 필요하다.
개정법은 개인정보의 국외 제공시 정보주체의 동의를 받음에 있어 해당 국가의 개인정보보호제도, 제공받을 자가 강구하고 있는 개인정보 보호조치 등의 정보를 제공하도록 하였으므로, 개정법 시행시기에 맞추어 개정법에 따른 동의 절차를 준비해야 한다.
4. 익명가공정보와 가명가공정보 : 한국의 익명정보, 가공정보와는 다른 틀의 개념들
일본에 진출한 한국 IT기업이 일본고객의 동의 없는 고객데이터 결합•분석을 고려하고 있다면 일본의 익명가공정보와 가명가공정보 개념을 이해할 필요가 있다. 일본의 익명가공정보•가명가공정보 개념을 처음 접할 때 한국의 익명정보•가명정보와 일대일로 비교해서 이해하는 방식으로 접근한다면 혼란을 겪기 쉬운데, 개념의 범주 및 구조에 상당한 차이가 있기 때문이다.
2015년 도입된 익명가공정보는 특정 개인을 식별할 수 없도록 개인정보를 가공하여 얻어지는 개인에 관한 정보로서 해당 개인정보를 복원할 수 없도록 한 것을 의미하며, 동의 없이 데이터의 외부 제공이 가능하다. 외국에서 익명가공정보를 취급하는 경우에도 일본개인정보법이 적용된다.
노무라종합연구소(野村総合研究所)의 2020년 3월 익명가공정보 활용실태조사보고서에 따르면, 1) 생명보험회사가 보험상품 계약자로부터 앱을 통해 제공받은 건강진단 데이터, 운동결과 등 정보를 익명가공하여 연구기관에 제공하고 건강진단결과 수치 예측을 목표로 공동연구를 수행한 사례, 2) 의료DB사업자가 의료기관으로부터 처방전 데이터 및 DPC(Diagnosis Procedure Combination: 일본의 포괄수가 제도) 데이터의 익명가공정보를 제공받아 DB를 구축한 사례, 3) 의료DB사업자가 처방전정보의 익명가공정보를 제약기업에 제공하여 약제효용성평가에 활용한 사례, 4) 연구기관이 부동산개발업자로부터 지역 포인트카드 이용정보의 익명가공정보를 제공받아, SNS에 게시된 포인트카드 이용정보와 조합하여 SNS마케팅 효과를 분석한 사례, 5)주택사업자가 자사 주택에서 취득한 HEMS(Home Energy Management System) 데이터를 익명가공하여 데이터분석회사에 제공, 소비전력 데이터 분석에 활용하게 한 사례가 조사되었다.
익명가공정보의 활용도는 아직까지 높지 않다고 하는데, 의료DB사업이 익명가공정보제도 도입 전부터 추진된 것임을 고려하면 더욱 그렇다. 주된 원인은 활용상 불편으로 보인다. 더 간편한 방법으로 상세한 분석을 하고자 하는 요청이 있었고, 사업자 중 사내 취급 안전조치의 일환으로 개인정보 가명처리를 실시한 사례가 나타남에 따라 후술하는 바와 같이 가명가공정보 개념이 도입되었다.
일본의 다른 데이터활용제도와의 정합성 문제도 걸림돌이 되고 있다. 전술한 노무라종합연구소의 실태조사보고서에 따르면 사업자들로부터 차세대의료기반법, 부정경쟁방지법 등 타법에 의한 제도와의 정합성 문제 제기 및 공통 가이드라인의 제정 요청이 있었다고 한다. 국립대학 및 국립연구기관이 행정기관개인정보법의 적용을 받음에 따라 익명정보취급사업자에서 배제된 점도 익명가공정보 활성화를 저해하는 요인으로 보인다.
이렇듯 익명가공정보가 충분히 활용되지 못하고 있는 상황에서 개정법은 EU의 GDPR을 참고하여 가명가공정보 개념을 도입하였다.
가명가공정보는 특정 개인을 식별할 수 있는 정보를 삭제하거나 다른 정보로 대체함으로써 다른 정보와 대조하지 않고는 특정 개인을 식별할 수 없도록 개인정보를 가공해서 얻은 개인에 관한 정보를 의미한다. 다른 정보와 대조하지 않는 한 특정 개인을 식별할 수 없다는 점에서 특정 개인을 식별할 수 없고 해당 개인정보를 복원할 수 없도록 한 익명가공정보와 차이가 있다.
익명가공정보가 정보주체의 동의 없이 외부 제공 및 내부 이용이 가능한 것과는 달리, 가명가공정보는 기업 내부이용에 한해서 이용할 수 있다. 단, 위탁, 사업승계, 공동이용에 의한 외부 제공은 가능하다. 일반개인정보가 이용목적 변경시 합리적 관련성이 있는 범위에서 사용할 수 있는 것과는 달리, 가명가공정보는 이용목적이 변경되더라도 자유롭게 사용할 수 있으며, 개인을 식별할 수 없는 상태의 정보이므로 정보주체의 청구에 따른 공개의무가 없다.
가명가공정보를 식별 목적으로 다른 정보와 대조하는 것, 가명가공정보에 포함된 연락처 정보를 연락 목적으로 이용하는 것은 명시적으로 금지되고, 가명가공 과정에서 삭제된 정보에 대해 안전조치를 하여야 한다.
가명가공정보는 개인정보인 가명가공정보와 개인정보가 아닌 가명가공정보로 구분된다. 개인정보인 가명가공정보에는 대체로 일반 개인정보에 적용되는 조항이 일부 수정되어 적용된다. 개인정보가 아닌 가명가공정보에 대해서는 안전관리조치의무, 수탁사감독의무, 종업원감독의무 등의 조항이 적용된다.
5. 개인 관련 정보 등 그 외 유의하여야 할 일본법상 규제들
2019년 리쿠나비 사건이 사회적 물의를 일으킴에 따라, 식별정보와 연계되지 않은 쿠키, 위치정보, 기기정보 등 제공하는 자에게는 개인정보가 아니지만 제공받는 자에게는 개인정보가 될 수 있는 정보 제공에 대하여 규율할 필요성이 대두되었다.
(리쿠나비 사건: 일본의 취업정보사이트 ‘리쿠나비’가 쿠키를 이용하여 특정 개인을 식별하지 않는 방식으로 구직자의 ‘리쿠나비’ 이용이력을 분석하여 최종합격시 지원의사 철회 확률을 산출하고, 구직자의 동의 없이 이를 취업대상기업에 제공한 사건.)
이에 개정법은 생존하는 개인에 관한 정보로서 개인정보, 가명가공정보, 익명가공정보 중 어디에도 해당하지 않는 정보를 ‘개인관련정보’로 정의하고, 개인관련정보DB를 사업용도로 취급하는 자(‘개인관련정보취급사업자’)가 제3자에게 개인관련정보DB를 구성하는 개인관련정보를 제공하는 경우에 대하여 다음과 같이 규정하였다.
제공받는 제3자는 자신이 개인관련취급사업자로부터 개인정보로 취득할 것으로 예상되는 경우 사전에 정보주체의 동의를 받아야 한다. 개인관련정보취급사업자는 제3자가 그 개인정보로 취득할 것으로 예상되는 경우, 1) 그 제3자가 정보주체로부터 동의를 받았는지 여부, 2) 제3자가 외국기업이라면 그 나라의 개인정보보호제도, 제3자가 강구하는 개인정보보호조치 등이 정보주체에게 제공되었는지 여부를 확인하고 제공하여야 한다. 일본고객 대상 온라인 타깃광고를 기획하는 등 온라인 행태정보를 이용하려면 이러한 개인관련정보 관련 규정을 살펴볼 필요가 있다.
개정법은 개인정보 제3자제공에 대해서도 새로운 규제를 도입하였다. 개인정보 제공자와 제공받은 자는 정보주체의 청구가 있으면 개인정보 수수기록을 공개해야 한다. 단, 위탁•공동이용의 경우에는 수수기록 공개 의무가 적용되지 않는다. 개정법이 옵트아웃방식에 의해 제3자 제공받은 정보를 다시 옵트아웃방식으로 제3자제공하는 것을 금지하였다는 점도 유의해야 한다.
개인정보 공개 청구에 관해서도 주의할 필요가 있다. 한국에서는 기업이 정보주체의 정보 공개 요구를 받은 경우 개인정보를 열람하게 하는 것으로 족하고, 정보주체가 지정하는 형식으로 제공해야 하는 것은 아니다. 일본에서는 정보주체가 개인정보 공개를 요구하는 경우 서면 제공이 원칙이며, 정보주체의 개인정보 공개방법 지시권을 새롭게 도입한 개정법이 시행되면 원칙적으로 정보주체가 지정하는 방식으로 공개하여야 한다.
6. 맺음말
일본에 진출한 국내 기업이 일본고객 데이터를 최선의 방법으로 활용하기 위해서는 데이터의 수집, 저장, 가공, 제공, 결합, 분석에 걸친 일련의 프로세스 중 어떤 작업을 어느 국가의 법에 따라 어느 국가에서 수행하는 것이 적절할지를 판단하는 것이 필요하다. 이를 위해서는 한국과 일본의 개인정보 법제 차이를 이해하고, 2022년 일본 개정법 시행시기에 맞추어 새롭게 도입된 의무를 준수할 준비를 시작해야 할 것이다.
[글. 유다미 변호사(주식회사 힐링페이퍼) / chayida@gmail.com]
# ’데이터융합포럼’은 2016년 6월 개인정보 비식별조치 가이드라인 발간에 맞춰 금융회사, 핀테크회사, 금융분야 유관기관 등의 실무자와 해당분야 전문가 중심 ‘비식별 연구반’이라는 이름으로 시작. 가이드라인 해석 및 실무적 해결방안에 대해 주제를 선정해 발제자가 발제하고 토론하는 학습 모임으로 발전. 인공지능(AI)기술로 대표되는 4차산업혁명시대를 맞아 핵심 자원인 안전한 데이터 활용을 촉진하기 위해 실무적 이슈에 대해 논의하는 포럼이다.
★정보보안 대표 미디어 데일리시큐!★