사물인터넷 시대의 개인정보 보호의 과제
= The Challenges of Protecting Personal Information in the Age of Internet of Things(IoT) - Focusing on the revised Personal Information Protection Act of 2015 in Japan -
- 저자[authors] 손영화(Young-Hoa Son)
- 학술지명[periodical name] 企業法硏究
- 권호사항[Volume/Issue] Vol.31No.2[2017]
- 발행처[publisher] 한국기업법학회
- 자료유형[Document Type] 학술저널
- 수록면[Pagination] 293-324
- 언어[language] Korean
- 발행년[Publication Year] 2017
- 주제어[descriptor] 사물인터넷,빅데이터,개인정보,개인정보보호,비식별조치,개인식별부호,요배려 정보,민감정보,익명화,동의 없는 제3자 제공,국경을 넘는 정보의 이전,Internet of Things(Iot),Big Data,Personal Information,Personal Information Protection,Personal Identification Code,Required Consideration Information,Sensitive Information,Anonymization,Provision of information to third parties without consent,Transfer of Border Crossing Information
초록[abstracts]
[사물인터넷(Internet of Things : IoT)이란 일반적으로 사람, 사물, 공간, 데이터 등 모든 것이 인터넷으로 서로 연결되어 정보가 생성, 수집, 공유, 활용되는 것을 말한다. 우리의 일상은 사물인터넷으로 인해 가상 세계와 현실 세계가 상호 연결됨으로써, 기존의 오프라인상의 체제 등은 더 이상 의미가 점차 없어지고 있다. 사물인터넷은 인터넷과 연결된 각종 사물들에 의하여 관련 정보가 생성, 수집, 공유, 활용되게 된다. 그에 따라 사물인터넷을 활용하여 수집한 정보를 기업입장에서는 마켓팅에 활용함으로써 새로운 비즈니스를 창출하고, 종래의 비즈니스를 보다 확대발전시키고자 한다. 이와 같은 현상의 근저에는 이른바 빅데이터의 기술이 존재한다. 사물인터넷 시대에 빅데이터의 활용은 기업에게는 무척 새로운 사업기회를 제공하는 등의 장점이 있다. 그 반면에 빅데이터는 대량의 개인정보의 유출로 인하여 개인의 프라이버시 등을 침해할 여지가 커진다. 개인정보는 그 성질상 일단 잘못 취급되면, 사생활 침해 등 개인에게 돌이킬 수 없는 피해를 미칠 우려가 있다. 그러므로 빅데이터의 이용 및 활용을 조장하면서도 개인정보가 침해되지 않는 합리적인 규제의 방안을 도출해 내는 것이 21세기 사물인터넷 시대에 있어서의 개인정보 보호법제의 주된 관심사라고 하지 않을 수 없다. 일본은 2015년 9월에 개인정보보호법 개정을 하였다. 동 개정에서는 개인정보정의의 명확화 및 동의없는 제3자제공을 위한 새로운 데이터유형, 개인정보에 관한 제3자 기관의 설립 등이 도입되고 있다. 이에 따라 일본에서는 앞으로 오퍼레이션스 리서치(operations research)를 포함한 데이터활용에 큰 영향을 줄 것으로 예상된다. 일본의 개정 개인정보보호법의 우리나라에 대한 시사점을 살펴보았다. 첫째, 개인정보의 보호범위의 문제이다. 이른바 식별개인정보와 비식별개인정보를 어떻게 구체적으로 구분할 것인가의 문제이다. 일본에서는 이를 매우 구체적으로 규정으로 정하여 개인정보의 보호범위를 명확히 밝히고 있다. 우리에게도 상당한 시사점을 준다고 생각된다. 둘째, 개인정보에 대한 정보주체의 동의문제이다. 일본의 2015년 일본 개정 개인정보보호법에서는 이른바 민감개인정보의 경우에는 사전에 동의를 받는 옵트인방식을 그리고 그 밖의 정보에 대해서는 옵트아웃방식을 채택하고 있다. 상당히 의미 있는 입법이라고 생각된다. 더나아가 다양한 정보의 프로파일링에 의하여 생성된 이른바 2차 개인정보에 대한 동의의 경우에도 2차 개인정보가 프라이버시와 관련되는 경우에는 옵트인 방식으로 사전동의를 요하도록하고, 그렇지 않은 경우에는 옵트아웃 방식으로 사후에 이의제기를 하는 방법이 합리적일 것으로 생각된다. 셋째, 개인정보보호법상의 최소수집의 원칙과 빅데이터의 특성인 대량정보수집의 조화를 위한 방안으로 일본에서는 익명가공정보라는 개념을 새로이 도입하고 있다. 개인정보의 유출에 따른 프라이버시의 위험을 경감하기 위해 필요한 경우에는 데이터의 익명화(Data Anonymization)를 취하도록 할 필요가 있다(이른바 개인정보 비식별 조치). 이와 같은 비식별조치에 따른 법적 효과를 개인정보 비식별조치 가이드라인이 아닌 개인정보보호법으로 격상하는 것이 바람직하다. 마지막으로 EU 및 일본 등의 입법을 생각할 때 국경을 넘는 개인정보의 이전에 대응하기 위한 입법적 조치와 행정적 노력 그리고 기업실무관행의 발전이 요구된다고 할 것이다.
Internet of things (IoT) generally means that people, objects, space, data, etc. are all connected to each other on the Internet and information is generated, collected, shared, and utilized. Iot related information is generated, collected, shared and utilized by various things connected to the Internet. By doing so, we will utilize the information gathered by utilizing the Iot to marketing from the standpoint of the enterprise, and create new business to expand and develop traditional business. Under such a phenomenon, so-called big data technology exists. Utilizing Big Data in the age of Iot has merits such as providing a very new business opportunity for companies. On the other hand, big data has a lot of room for infringing personal privacy etc. by the leakage of a lot of personal information. Because of its nature, personal information, once treated incorrectly, may cause irreparable damage such as privacy infringement to individuals. Therefore, it is important to derive a rational regulation that does not infringe personal information while promoting the utilization of big data. Japan revised the Personal Information Protection Act in September 2015. In the amendment, clarification of definition of personal information, new data type for providing third party without agreement, establishment of third party organization on personal information, etc. are introduced. As a result, it is expected that Japan will have a big influence on the utilization of data including operations research in the future. I reviewed the revision of Japan and the suggestion to the Korean Personal Information Protection Act. Firstly, the problem is the protecting range of personal information. It is a question of how to distinguish so-called discriminated personal information and non-discriminated information separately. In Japan, this is set very precisely, and the extent of protection of personal information is clearly clarified. It is thought to give considerable suggestion to us. Secondly, it is a matter of consent of the owner of information to personal information. In Japan"s 2015 revision of the Personal Information Act adopts the opt - in method to receive prior consent in the case of so - called sensitive personal information and the opt - out method for other information. It is thought that it is considerably meaningful legislation. Furthermore, even in the case of consent to so-called secondary personal information generated by profiling various information, in case the secondary personal information is concerned with privacy, it is necessary to require prior consent as an opt-in method, otherwise In the case of an opt-out method, it is considered reasonable to raise an objection later. Thirdly, as a proposal for harmonizing the principle of minimum collection under the Personal Information Protection Act and mass information gathering, in Japan, the concept of anonymous processing information is newly introduced. In order to reduce the risk of privacy due to leakage of personal information, it is necessary to take data anonymization. It is desirable to upgrade the legal effect of such non-identifiable measures to the Personal Information Protection Act from the non-identifiable measures guidelines for personal information. Finally, when considering legislation such as the EU and Japan, it is necessary to develop legislative measures, administrative efforts and corporate practice practices to cope with the transfer of personal information beyond the border.]
목차[Table of content]
[국문초록] Ⅰ. 서론 Ⅱ. 빅데이터와 개인데이터 Ⅲ. 일본 2015년 개정 개인정보보호법(2017년 5월 시행) Ⅳ. 개정 일본법의 우리나라에의 시사점 Ⅴ. 결론 參考文獻 〈Abstract〉