개인정보의 보호에 관한 법률

개인정보의 보호에 관한 법률 (個人情報の保護に関する法律, こじんじょうほうのほごにかんするほうりつ)은 개인정보의 취급에 관련한 일본의 법률이다. 약칭은 개인정보호법이다. 2003년 5월 23일에 성립하여, 일반기업에 적접 관련되는 벌칙을 보함하는 제4~6장 이외의 규정은 즉시 시행되었다. 2년 후인 2005년 4월 1일에 전면 시행되었다.

개인정보보호법 및 동 시행령에 의해, 5,000건 이상의 개인정보를 개인정보 데이터 등으로서 소지하고 사업에 이용하는 사업자를 개인정보취급사업자로 하고, 개인정보취급사업자가 주무장관에 보고와 그에 수반하는 개선 조치에 좇지 않는 등 적절한 조치를 행하지 아니하는 경우에는 사업자에 대하여 형사벌이 부과된다.

구성

편집
  • 제1장 총칙 (제1조~제3조)
  • 제2장 국가 및 지방공공단체의 책무 등 (제4조~제6조)
  • 제3장 개인정보의 보호에 관한 시책 등
  • 제1절 개인정보의 보호에 관한 기본방침(제7조)
  • 제2절 국가의 시책 (제8조~제10조)
  • 제3절 지방공공단체의 시책 (제11조~제13조)
  • 제4절 국가 및 지방공공단체의 협력(제14조)
  • 제4장 개인정보취급사업자의 의무 등
  • 제1절 개인정보취급사업자의 의무(제15조~제36조)
  • 제2절 민간단체에 의한 개인정보의 보호의 추진 (제37조~제49조)
  • 제5장 개인정보보호위원회 (제50조~제65조)
  • 제6장 잡칙 (제66조~제72조)
  • 제7장 벌칙 (제73조~제78조)

주요 내용

편집

기본 이념

편집

고도 정보통신사회의 전진에 수반하여 개인정보의 이용이 현저하게 확대되고 있음에 거울 삼아 볼 때, 개인정보의 적정한 취급에 관하여, 기본이념 및 정부에 의한 기본방침의 작성 그 밖의 개인정보의 보호에 관한 시책의 기본이 되는 사항을 정하여, 국가 및 지방공공단체의 책무 등을 명확히 함과 함께, 개인정보를 취급하는 사업자가 준수하여야 할 의무 등을 정하는 것에 의해, 개인정보의 유용성에 배려하면서, 개인의 권리이익을 보호하는 것을 목적으로 한다.(제1조). 개인정보는 개인의 인격존중의 이념 하에 신중하게 취급하여야 함에 비추어, 그 적정한 취급이 도모되어야 한다. (제3조)

프라이버시의 권리에 대해서는 본법에는 명문으로 규정되어 있지 않다. 본법은 개인정보를 널리 망라하여 규제를 가하는 것을 취지로 하는 법률이 아니다.

용어의 정의

편집

개인정보

편집

개인정보라 함은 생존하는 개인의 정보로서, 특정의 개인을 식멸할 수 있는 정보 (성명, 생년월일 등)을 포함하는 것을 지칭한다. 이것에는 다른 정보와 용이하게 조합하는 것이 가능한 것에 의해 특정의 개인을 식별하는 것이 가능한 정보 (학생명부 등 대조함으로써 개인을 특정할 수 있도록 하는 학적번호 등)을 포함한다. (제2조 제1항) .

생존하는 개인이어야 하므로, 외국인의 정보도 개인정보에 포함되나, 고인의 정보는 포함하지 아니한다. 법인 등의 단체 그 자체의 정보는 개인정보에 포함하지 아니하나, 법인 등의 직원의 정보로 특정의 개인을 특정할 수 있는 것은 포함된다.

개인정보 데이터 베이스 등

편집

개인정보 데이터베이스 등은 개인정보를 포함하고, 컴퓨터 등으로 용이하게 검색할 수 있는 데이터베이스와 목차나 색인 등에 의해 체계적으로 정리된 종이의 데이타베이스 등을 지칭한다.(제2조 2항). 컴퓨터에 입력되어 검색가능한지, 목차, 색인 등을 가진 검색이 용이한 것이 요건이고, 미정리된 정의 데이터 등은 해당하지 아니한다.

개인데이터

편집

개인정보데이터베이스 등을 구성하는 개인정보는 개인데이터라 불린다. (제2조 4항)

보유개인데이터 (제2조 5항)

편집

개인정보취급사업자가 개시, 내용의 정정, 추가 또는 삭제, 이용의 정지, 삭제 및 제3자에의 제공의 정지를 행할 수 있는 권한을 가진 개인데이터로서, 이상의 것을 제외한 것을 말한다.

그 존부가 명확하게 된 것에 의해 공익 그 밖의 이익이 해하는 것 (시행령 제3조)

1. 당해 개인 데이터의 존부가 명확하게 됨으로써, 본인 또는 제3자의 생명, 신체 또는 재산에 위해가 미칠 우려가 있는 것

2. 당해 개인 데이터의 존부가 명확하게 됨으로써, 위법 또는 부당한 행위를 조장하거나, 유발할 우려가 있는 것

3. 당해 개인 데이터의 존부가 명확하게 됨으로써, 국가의 안전이 침해될 우려가 있고, 타국 또는 국제기관과의 신뢰관계가 손상될 우려가 있거나, 타국 또는 국제기관과의 교섭 상 불이익을 입을 우려가 있는 것

4. 당해 개인 데이터의 존부가 명확하게 됨으로써, 범죄의 예방, 진압 또는 수사 그 밖의 공공의 안전과 질서의 유지에 지장을 미칠 우려가 있는 것.

6개월 이내에 삭제하는 것이 되는 것 (시행령 제4조)

본 법은 주로 개인 데이터의 취급에 관하여 개인정보취급사업자에 의무를 부과하고 있다. 즉, 개인정보 데이터 베이스 등에 포함되는 개인정보만이 개인데이터로서 법의 직접의 규제 대상이 된다. 개인정보데이터 베이스 등을 구성하는 모든 정보가 개인데이터가 되는 것은 아니다.

후술의 규제대상이 되는 개인정보취급사업자가 취급하는 개인정보데이터베이스 등에 포함되지 아니하는 개인정보로서, 가게 앞에서 부르는 아나운서 등의 음성, 메모, 사람의 기억 등의 것에는 이 법률의 규제가 미치지 아니한다.

국가 및 지방공공단체의 책무 · 시책

편집

국가는 이 법률의 취지를 본받아, 개인정보의 적정한 취급을 확보하기 위해 필요한 시책을 종합적으로 책정하고, 또한 이를 실시할 책무를 가진다. 지방공공단체는 이 법률의 취지를 본받아, 그 지방공공단체의 구역의 특성에 부응하여, 개인정보의 적정한 취급을 확보하기 위해 필요한 시책을 책정하고 또한 이를 실시할 책무를 가진다.(제4조, 제5조)

정부는 개인정보의 보호에 관한 시책의 종합적이고 일체적인 추진을 도모하기 위해, 개인정보의 보호에 관한 기본방침을 정하여야 한다. 내각총리대신은 소비자위원회의 의견을 청취하여 기본방침의 안을 작성하고, 내각회의의 결정을 구하여야 한다. 각의 결정이 있는 때에는, 지체없이, 기본방침을 공표하여야 한다.(제7조)

국가는 지방공공단체가 책정하거나 실시하는 개인정보의 보호에 관한 시책 및 국민 또는 사업자 등이 개인정보의 적정한 취급의 확보에 관하여 행하는 활동을 지원하기 위해,, 정보의 제공, 사업자 등이 강구하여야 할 조치의 적정하고 유요한 실시를 도모하고자 하는 지침의 책정 그 밖의 필요한 조치를 강구하는 것으로 한다. (제8조) . 지방공공단체는 그 보유하는 개인정보의 성질, 당해 개인정보를 보유하는 목적 등을 감안하여, 그 보유하는 개인정보의 적정한 취급이 확보되도록 필요한 조치를 강구함에 노력하여야 한다. (제11조)

국가와 지방공공단체, 독립행정법인이 취급하는 개인정보에 있어서는, 이 법률의 직접 규제는 없다. 그러나, 독립행정법인 등이 보유하는 개인정보의 보호에 관한 법률, 행정기관이 보유하는 개인정보의 보호에 고나한 법률 등의 적용을 받는다.

개인정보취급사업자의 대상

편집

개인정보 등 데이터베이스를 사업에 사용하는 자로서, 다음의 자를 제외한 자를 대상으로 한다. (제2조 3항, 시행령 제2조)

  • 국가, 지방공공단체, 독립행정법인 등 및 지방독립행정법인
  • 취급하는 개인정보 (시판의 전화부나 자동차 네비게이션의 주소 정보 등을 제외한다)가 과거 6개월 이내의 어느 시점에 있어서도 5,000명 이하인 사업자

따라서, 사업자에는 영리법인뿐만 아니라, 비영리법인도 해당하나, 일반의 개인은 거의 대상이 되지 아니한다. (그러나, 개인사업자 등으로, 이 정의에 해당하는 자는 당연히 본법의 대상이 된다.)

개인정보취급사업자의 주요 의무

편집

개인정보보호법 제4장 제1절에 개인정보취급사업자의 의무가 기재되어 있다.

개인정보에 대하여
편집
  • 이용목적의 특정(제15조)
  • 이용목적의 제한 (제16조)
  • 적정한 취득 (제17조)
  • 취득 시의 이용목적의 통지 (제18조)
  • 고충의 처리 (제31조)

개인데이터에 있어서는, 데이터 내용의 정확성의 확보 (제19조), 안전관리조치나 종업자 · 수탁자의 감독(제20조~제22조), 제3자 제공의 제한 (제23조)가 정해져 있다.

보유개인데이터에 있어서는, 사항의 공표 등(제24조), 개시(제25조), 정정 등(제26조), 이용정지 등(제27조)이 규정되어 있다.

사항의 공표, 개시, 정정, 이용정지의 규정에 의해, 본인으로부터 요구된 조치의 전부 또는 일부에 대하여, 그 조치를 취하지 아니할 취지를 통지하는 경우 또는 그 조치와 다른 조치를 하는 취지를 통지하는 경우에는, 본인에 대하여 그 이유를 설명하도록 노력하여야 한다. (제28조)

제3자 제공의 제한

편집

개인정보취급사업자는 이하의 경우를 제외하면, 미리 본인의 동의를 얻지 않으면, 개인데이터를 제3자에 제공할 수 없다. (제23조)

1. 법령에 기한 경우 (예: 국세조사 등의 통계 조사 등)
2. 사람의 생명, 신체 또는 재산의 보호를 위해 필요가 있는 경우로서, 본인의 동의를 얻는 것이 곤란한 때 (예: 사고 시의 안부 정보 등)
3. 공중위생의 향상 또는 아동의 건전한 육성의 추진을 위해서 특히 필요가 있는 경우로서, 본인의 동의를 얻는 것이 곤란한 때, (예: 아동학대 정보 등)
4. 국가의 기관 또는 지방공공단체 또는그 위탁을 받은 자가 법령이 정한 사무를 수행하는 것에 대하여 협력하는 필요가 있고, 본인의 동을 얻는 것에 의해 당해사무의 수행에 지장을 미칠 우려가 있는 때 (예: 범죄수사의 협력 등)

그러나, 반드시 본인의 동의를 얻지 않아도, 이하의 경우에는 제3자에게 제공할 수 있다고 규정하고 있다.

제3자에게 제공되는 개인데이터에 있어서, 본인의 요구에 부응하여 당해 본인이 식별되는 개인데이터의 제3자에의 제공을 정지하는 것이 되는 것에 있어서, 다음의 4가지에 관하여 미리 본인에 통지하거나 본인이 용이하게 지득할 상태에 놓여 있는 때에는 전항의 규정에 불구하고, 당해 개인데이터를 제3자에 제공할 수 있다. (제23조 제2항)

1. 제3자에의 제공을 이용목적으로 하는 것
2. 제3자에 제공되는 개인데이터의 항목
3. 제3자에의제공하는 수단 또는 방법
4. 본인의 요구에 부응하여 당해 본인이 식별되는 개인데이터의 제3자에의 제공을 정지하는 것

또한, 개인정보취급사업자와 실질적으로 동일하다고 간주되는 사업자가 공동으로 이용하는 경우, 또는 공동이용 또는 업무위탁으로서 일정의 요건을 만족하는 경우에는 제3자로 간주하지 아니하는 규정이 있다. 즉, 이들의 경우에는 본인의 동의를 얻을 필요가 없다.