| 日 개인정보보호법 개정사례 통해 본 국내법 발전방향 | 2015.05.15 | ||||
일본 법 개정 내용·효과 분석 통해 이용과 보호 균형 맞춘 개선 필요 [보안뉴스 김태형] 고려대학교 법학연구원 사이버법센터(소장 박노형교수)와 한국정보화진흥원(원장 서병조, NIA)가 15일 서울 프레스센터에서 ‘한·일 개인정보보호 전문가 토론회’를 공동 개최했다.
▲ 고려대학교 법학연구원 사이버법센터와 한국정보화진흥원은 ‘한·일 개인정보보호 전문가 이번 토론회는 일본이 10년 만에 개인정보보호법 개정을 앞두고 있는 시점에서 일본법의 주요 개정 내용을 파악하고 향후 국내법의 개정 방향에 대한 시사점을 논의하기 위해 마련됐다. 현재 일본의 개인정보보호법은 지난 3월 정부안이 확정되어 의회 심의 중이며, 오는 6월 의회절차가 완료될 전망이다. 학계·기업·정부의 개인정보보호 전문가 50여명이 참여하고, 고려대 법학전문대학원 박노형 교수의 사회로 진행된 이날 토론회는 일본 게이오대학교의 후미오 심포(Fumio Shimpo) 교수가 일본 개인정보보호법의 개정배경과 주요 내용을 소개하고, 고려대학교 이경호 교수, 법무법인 광장 박광배 변호사, 네이버 이진규 개인정보보호실 부장, 강종관 NIA 개인정보보호단장이 토론자로 나서서 국내 현안에 대한 의견 및 개선사항에 대해 논의했다. 심포 교수는 일본 개인정보보호법의 주요 내용에 대해서 일본의 개인정보보호 관련 법률은 민간부문 대상 법률, 행정기관 대상 법률, 독립행정법인 대상 법률, 이의 신청 시 심의위원회 관련 법률, 공적 부문과 관련된 것을 조정하는 정비법 등 5가지라고 설명했다. 이에 대해 심포 교수는 “일본의 개인정보보호법은 이처럼 5가지로 분류되어 있어 대단히 복잡하다. 그리고 법률뿐만 아니라, 법을 위한 기본 방침과 법률규칙, 가이드라인 등으로 구성되어 있고 세부적으로 각각의 룰이 규정되어 있기 때문에 복잡하고 이해하기 어려운 법률체계로 적용되어 있다”고 설명했다. 또한, 일본은 1800개 지자체로 구성되어 있는데 이 지자체들도 각각의 개인정보보호법 관련 조례가 있어 더욱 복잡하다는 것. 이러한 일본의 개인정보보호법은1990년부터 검토해 지난 2003년 5월에 현재의 법률로 제정됐다. 그리고 2005년 5월 법률이 본격 시행되어 올해 10년째가 되었다. 이에 일본은 오랜 시간이 흐른 만큼 변화된 IT 환경에 따라 새로운 법률로 대응해야 한다는 생각으로 현재의 법 개정을 검토 중이다. 일본은 이번 개인정보보호법 개정으로 개인정보보호위원회를 설치한다. 일본의 개인정보보호법은 1만개 이상의 분야에 각각의 시행체제로 구분되며 각 부서의 장관이 소관하는 영역이 40개여서 법 집행체제가 복잡하다. 또한 그는 “법에는 감사와 보고 의무가 규정되어 있는데 대학 같은 곳에서는 전혀 보고되지 않고 있다. 그만큼 관리가 잘 안되고 있다는 것이다. 그리고 일본에는 프라이버시 마크가 있다. 이는 기업에서 정보보호를 위한 가이드라인으로 다양한 대책을 강구해야 하는데 적절한 가이드라인을 준수하고 있는지 스스로 판단하기가 어렵기 때문에 3자에게 그 판단을 맡겨서 그 결과에 따라 프라이버시 마크를 부여하는 것”이라며 “일본의 1만 4천개 기업이 이 프라이버시 마크를 취득하고 있는 상황이다. 이 마크를 취득하지 않으면 일본에서 비즈니스가 어렵기 때문에 일본 기업에서는 어쩔 수 없이 이 마크를 취득하고 있다”고 덧붙였다. 또 한국은 세계에서 가장 앞선 전자정부를 가지고 있지만, 일본은 각 행정기관이 서로 다른 정책을 추진하고 있어 이들이 서로 상충하는 경우가 많아 전자정부 추진이 생각처럼 되지 않는다고 심포 교수는 말했다. 일본의 개인정보보호법 개정 주요 내용을 보면, 개인정보에 대해 적절한 취득 및 취급절차를 지키도록 했고 민원에 대응해야 한다. 그리고 개인정보는 검색 가능한 정보가 포함되고, 외부 위탁관리 종업원 감독 등의 안전관리를 의무화했다. 보유 개인정보에 대해서는 6개월 이상 보유하는 개인정보를 말하는 것으로 본인으로부터 공개·정정·이용정지 신청 시에는 이에 상응하는 조치를 취해야 한다. 두 번째는 ‘익명의 데이터 취급 규정’이다. 철도국의 개인의 전철 승강이력을 히타치에 판매했던 사례가 있었는데, 이에 대한 정보유출 여부가 논란이 됐다. 즉, 비식별 정보를 다른 정보와 조합해 보면 누구의 정보인지 특정이 가능한, 누가 어느 역에서 몇시에 전철을 탔는가를 조합해보면 누구의 승강 이력인지 알 수 있다는 점에서 이러한 익명가공정보를 개인정보보호법으로 규정했다. 심포 교수는 “불완전한 익명의 정보를 누군가 조합하면 그 누군가를 특정할 수 있게 되기 때문에 이를 법으로 규정했으며 전화번호부를 판매하는 경우에는 이에 대한 정보보호는 필요 없다는 내용까지 포함되어 있다”면서 “또한 사회적 차별을 위한 인종·병력·범죄경력 등의 정보를 취득하는 것을 금지하고 데이터 처리 위탁 시 데이터를 처리 이력을 관리해야 한다는 내용도 포함되어 있다”고 말했다. 또한, 일본에서는 그동안 개인 및 소규모 사업자는 개인정보보호법의 규정을 받지 않았지만 개정안에서는 모든 사업자에 적용하도록 했으며 정보의 삭제의무도 명확하게 해서 법률로 정했다. 이제 개인이 법에 의해서 정보를 삭제할 권리를 갖는다.
▲ 일본 게이오대학교 후미오 심포 교수 이외에도 청구권의 명확화를 위해 개인정보보호위원회를 독립행정기관으로 내년 1월 1일에 설치하며 위원은 의회가 지명하는 8명으로 구성된다. 이와 함께 국제화 관계를 위해서 해외 데이터 이전에 대한 제한규정을 두었으며, 해외로 정보를 이전할 경우에는 이전 국가에 대한 검증을 통해 이전하도록 규정했다.
이에 대해 지정토론자로 나선 이경호 고려대 정보보호대학원 교수는 “일본도 빅데이터 환경에서 IT산업의 활성화를 도모하고 있으며 개인정보보호법이 어떻게 다시 자리를 잡고 IT산업 발전에 기여할 것인지를 고민한 것으로 보인다”면서 “익명의 가공정보를 어떻게 정의하느냐에 따라 빅데이터 처리로 갈림길에 들어설 것”이라고 말했다. 또한, 그는 “우리도 클라우드 발전법을 제정했다. 여기에는 클라우드 환경에서의 정보보호를 포함한 법이다. 우리 정부도 민간의 클라우드 서비스를 이용하기 위해 정보보호 관점에서의 데이터 분류가 필요하다. 대부분이 개인정보이기 때문에 정부의 데이터 중에서 어느 선까지 클라우드로 가져가야 할지를 명확히 할 필요가 있다”면서 “특히 쉽게 다른 정보와 결합되어서 개인정보로 해석될 가능성이 있는 정보를 개인정보로 정의하는 것은 우리와 일본이 유사하다고 본다. 하지만 쉽게 결합된다는 것이 명확하지 않으면 기업 등에서 규제를 준수하기 어렵다. 일본의 개인정보 정의와 기술적·관리적 보호조치 등에 대한 기준도 어떻게 개정되는지 지켜볼 필요가 있다”고 말했다. 이어서 네이버 개인정보보호실 이진규 부장은 “일본에서 어떤 방향으로 법을 개정할 것인지에 대해 방향성을 잡고 개정 논의를 하고 있다는 것은 매우 바람직하다고 본다. 또 국가기관에 대한 개인정보보호를 위한 별도의 법 체계는 매우 의미가 있다”면서 “개인정보의 제3자 제공 동의를 강제하기 보다는 최근 API(Application Programming Interface) 연동에 의한 개인정보 제공이 많은 상황에서 우리도 일본과 같이 개인정보의 제3자 제공에 대해서는 옵트 아웃(Opt-out, 당사자가 자신의 데이터 수집을 허용하지 않는다고 명시할 때 정보수집이 금지되는 제도) 개념을 적용해야 할 것으로 보인다”고 말했다. 그리고 법무법인 광장 박광배 변호사는 “모든 서비스가 개인화되고 있는 상황에서 모든 것이 개인이 식별되고 관련된 정보는 모두 개인정보라고 할 수 있을 것이다. 우리의 법 역사는 짧지만 우리나라와 일본이 크게 다르지 않다. 일본의 개정 법 내용과 효과에 대한 심도 깊은 고민과 검토를 통해 우리도 현행법 체계에 대한 개선이 필요하다고 생각한다”고 말했다. 마지막으로 한국정보화진흥원 강종관 개인정보보호단 단장은 “일본의 법 개정은 개인정보보호에 중점을 두었다기 보다는 이용과 보호의 균형을 꾀하고 있는 것으로 보인다. 우리도 변화하는 IT 환경에 적절한 법 개정을 통해 이용과 보호의 균형을 맞춘 개인정보보호법으로 발전시킬 필요가 있다”고 말했다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
