- 일본정부는 의료 데이터 등의 개인정보가 유출됐을 때 본인 통보나 원인 규명 대책이 충분한 기업을 대상으로 개인정보보호위원회에 3~5일 이내의 보고의무를 원칙 30일 이내로 연장할 방침. 개인정보를 보호하면서 정부의 감독 정도를 줄여, 기업이 데이터를 활용하기 쉬운 비즈니스 환경을 조성하겠다는 생각.
- 2025년에 개인정보보호법을 개정할 방침으로, 조만간 법 개정을 위한 중간 정리안을 발표할 예정.
- EU의 일반 데이터 보호 규정(GDPR)은 원칙적으로 72시간 이내 유출 보고를 요구. 현재 일본도 정보 보호에 중점을 두고 해킹 등으로 1건의 유출이 발생해도 즉시 보고하도록 하고 있음.
- 데이터 활용은 기업 경쟁력을 좌우하기 때문에, 즉각적인 보고 의무는 기업 활동에 제약이 되는 경우도 존재. 법 개정으로 정보 유출 시 위원회 보고 절차가 간소화됨.
- 현재는 해킹(부정접속)에 의한 개인정보 유출이나 병력·범죄이력 등의 민감정보, 신용카드 번호 등 재산과 관련된 개인정보가 유출됐을 때 기업은 본인에게 즉시 통보하는 것 외에 위원회에 3~5일 이내에 보고할 의무가 존재.
- 일본정보경제사회추진협회(JIPDEC)와 같은 제3자 기관으로부터 ‘유출 시 본인 통보 및 원인 규명을 적절히 할 수 있는 체제를 갖추고 있다’고 인정받은 기업은 위원회에 속보 보고를 하지 않아도 되며, 원칙적으로 30일 이내의 확정 보고만 가능케 하고, 해킹시도(부정접근)의 경우 60일 이내로 규정. 기업은 보고 업무 부담이 줄어드는 대신 정보 관리 책임이 늘어나게 됨.
- 보호법은 3년마다 재검토하는 규정이 있어 위원회가 검토를 진행 중이었으며, 기업에서도 기업 현실에 맞게 규칙을 변경해달라는 요청이 있었음.
- 기업의 유출 신고는 증가하고 있어, ‘23년도의 신고 건수는 1만2120건으로 역대 최다를 기록. 경단련을 비롯한 8개 경제단체는 지난 4월 “과도한 부담이 발생하고 있다”는 의견서를 발표한 바 있음.
- 특히 데이터를 다루는 인력이 부족한 중소기업은 유출 후 실태 파악에 시간이 걸렸으며, 신속성이 요구되는 보고 서류 작성도 부담으로 작용. 그럼에도 데이터 활용의 중요성은 중소기업도 마찬가지이며, 즉각적인 보고 부담을 줄이기 위해서는 관리 체계의 정비가 필수적.
- 중간 정리안에서는 ‘과징금’이나 ‘단체소송권’ 도입 여부에 대한 판단은 유보. 개인정보 악용으로 얻은 매출액에 대한 과징금이나 개인이 집단으로 기업의 악의적 이용을 고소하는 제도이나, 경제계는 기업 활동 위축으로 이어질 수 있다며 반대하고 있었음. 위원회는 7월경 공개 토론의 장을 마련해 보류한 쟁점에 대해 법 개정의 필요성을 파악할 방침.