법무 실사(법무 DD)란?목적이나 흐름, 체크 항목을 해설
2023년 8월 25일
EU 경쟁법 R&D 및 전문가 협정 일괄 적용 면제 규칙 및 수평형 협조 가이드라인의 개정에 대해서
2023년 8월 30일
「GDPR」은 EU가 정하고 있는 개인정보 보호에 관한 법률. EU 구역 밖의 기업에서도 EU 기업과 거래할 때에는 적용을 받을 수 있으며, 위반한 경우에는 제재가 부과될 가능성도 있습니다. GDPR 위반 시 발생하는 위험과 그 영향, 일본의 개인정보보호법과의 차이에 대해서도 설명합니다.
GDPR이란?
EU(유럽 연합) 지역 내 개인정보 보호를 규정하기 위해 2016년 4월에 제정된 법률이 GDPR(General Data Protection Regulation: 일반 데이터 보호 규칙).성명이나 주소에 한하지 않고, Web 사이트 열람에 관계되는 Cookie 정보나 IP 주소도 포함하는 개인 데이터나 프라이버시 보호에 관하여 규정되어, 전체적으로 일본의 개인 정보 보호법보다 적용 범위가 넓다 등 엄격한 규정이 되고 있습니다.
일본 기업에서도 EU 기업과 거래할 때에는 GDPR이 적용되는 경우가 있으므로, 특히 법무나 컴플라이언스 관계의 담당자는 회사의 중심이 되어 GDPR을 준수할 수 있도록 일본의 개인정보 보호법 와의 차이도 맞추어 상세를 이해해 둘 필요가 있습니다.
GDPR의 개인정보 범위
보호 대상이 되는 개인정보에 대해서, GDPR에서는 개인이 식별될 가능성이 있는 정보를 「개인 데이터」로서 구체적인 예를 들고 있습니다.
예를 들어 개인의 성명, 주소, 전화번호, 식별번호(여권, 운전면허증 등), 이메일 주소, 신용카드 정보, GPS 데이터, IP 주소 등이 있으며, "개인정보"라고 듣고 이미지할 수 있는 것이 디지털 데이터를 포함하여 널리 대상이 될 수 있습니다.
GDPR 적용 대상 기업의 범위
다음으로 GDPR이 적용되는 기업의 범위에 대해 설명합니다.
EU 지역 내에 자회사와 지점이 있는 기업
본사가 일본에 있어도 자회사나 지점이 EU역내에 있는 기업이 개인 데이터를 취급할 때는 항상 GDPR이 적용됩니다.취급이 EU 지역 내에서 이루어지는지 여부에 관계없이 GDPR의 규제 대상이됩니다.
EU 지역 내에 상품과 서비스를 제공하는 기업
EU역내에 자회사나 지점 등의 거점이 없는 경우에도 EU역내 사용자에게 상품이나 서비스를 제공하는 기업은 GDPR이 적용됩니다.유럽의 유저가 자사의 EC사이트를 통해 ID나 메일 주소등을 등록해, 상품을 구입한 경우등이 해당합니다.
EU 기업으로부터 개인 데이터 처리의 위탁을 받고 있는 기업
EU역내에 자회사나 지점이 있는 기업으로부터 위탁을 받아 개인 데이터를 취급하는 기업이나 조직은 GDPR이 적용됩니다.
EU 영역 내의 사용자 행동을 파악·분석하는 경우
EU역내에 자회사나 지점 등의 거점이 없고, EU역내 사용자에게 상품이나 서비스를 제공하지 않은 기업에서도 EU역내 사용자 행동을 파악·분석하는 경우에는 GDPR의 규제 대상이 된다. 합니다.자사의 웹 사이트에 EU로부터의 액세스가 많아, 성명이나 Cookie 정보 등 개인 데이터를 취득하는 경우에는 요주의.타겟팅 광고, 추천 등도 포함됩니다.
GDPR과 일본의 개인정보보호법의 차이
일본에서의 개인정보보호에 관한 법률은 「개인정보보호법」입니다.개인정보의 정의, 보호의 범위, 벌칙 등의 관점에서 GDPR과의 차이를 비교하면서 개요를 설명합니다.
일본의 개인정보보호법이란?
2003년에 제정, 2005년에 전면 시행된 일본의 개인정보보호법은 일본 기업이나 개인사업주 등 개인정보취급업자에 대하여 규정한 법률.수년마다 개정이 진행되고 있으며, 최근에는 쿠키 정보에 관한 규제가 강화되는 등 일본 내에서도 개인 정보의 취급은 엄격해지는 경향이 있습니다.
행정이나 비즈니스 등, 다양한 분야에서의 서비스의 향상이나 업무 효율화 등에의 유용성과 함께, 개인의 권리나 이익을 지키는 것을 목적으로 한 것으로, 나라의 행정 기관이나 독립 행정법인, 지방 공공 단체는 물론 개인정보를 취급하는 모든 사업자나 조직에 적용되는 법률입니다.
GDPR과 일본의 개인정보보호법의 차이란
- 개인정보의 정의(보호의 범위)
- GDPR
개인을 식별할 수 있는 성명이나 주소 등 모든 정보(IP 주소나 쿠키 등도 포함) - 개인 정보 보호법
성명, 생년월일, 주소, 얼굴 사진 등으로 특정 개인을 식별할 수 있는 정보
- GDPR
- 적용 범위
- GDPR
EU 지역 내에서 개인 데이터를 처리하는 모든 조직 - 개인 정보 보호법
일본 국내에서 개인정보를 취급하는 사업자
- GDPR
- 처벌
- GDPR
· "1000 만 유로 이하"또는 "전 사업 연도의 전 세계 연간 총 매출의 2 % 이하"
· "2000 만 유로 이하"또는 "전 사업 연도의 전 세계 연간 총 매출의 4 % 이하"
- 개인 정보 보호법
・법인의 경우:1억엔 이하의 벌금
・개인의 경우:1년 이하의 징역 또는 100만엔 이하의 벌금
- GDPR
개인정보의 정의나 적응 범위도 넓은 것이 GDPR의 특징.특히 벌칙을 보면 일본의 개인정보보호법은 최대 1억엔의 벌금인데 반해 GDPR에서는 수십억 단위의 고액의 벌금이 되는 것을 알 수 있습니다.
GDPR의 기업이 부담해야 할 책임
GDPR에서는 개인 데이터의 관리자에 해당하는 기업이 부담해야 할 책임을 상세히 정하고 개인 데이터의 보호와 사업자에 대한 의무에 대해 명확히 하고 있습니다.개인 데이터에 관한 기업의 책임 내용은 다음과 같습니다.
GDPR에 따른 개인 데이터의 취급 시스템 · 인적 체제를 정비하는 책임
GDPR에서는 관리자, 즉 기업이 기술 및 조직에서도 적절히 조치를 취하고 개선해 나갈 것을 정하고 있습니다.
개인 데이터 취급에서는 데이터를 가명화 및 암호화하는 것, 기밀성이 높은 시스템을 구축하는 것, 조직 내에서 GDPR 준수를 감시하는 책임자를 선임하는 등을 책임으로 합니다.
개인 데이터 취급에 관한 기록을 취할 책임
대상 기업은 개인 데이터를 취급할 때마다 기록을 취해야 합니다.기록해야 할 내용으로는 관리자의 이름이나 연락처, 개인 데이터 취급의 목적, 개인 데이터의 종류, 공개된 취득자의 정보 등을 들 수 있습니다.
개인 데이터 침해, 정보 유출 시 대응하는 책임
대상 기업에서 개인 데이터의 침해나 정보 유출이 발생한 경우는 72시간 이내에 소정의 기관에 통지하고, 지연하는 경우는 그 이유도 필요하게 되는 등 신속한 대응이 의무화되고 있습니다.또한, 개인 데이터가 침해된 본인에게 위험이 발생할 가능성이 있는 경우, 그 본인에게도 연락할 필요가 있습니다.
EU권 내에서 비즈니스를 전개하는 기업은 GDPR을 확실히 인식·대책해 둡시다.
일본 기업에서는 국내 개인정보보호법에 대응하고 있는 개인정보 취급 설명서도 GDPR에는 대응하지 않는 경우가 다수 있습니다.
일본의 EU 영역 내에서 이미 사업을 전개하고 있는 기업은 물론, 향후 예정이 있는 기업도 자사에 GDPR의 적용이 있을 수 있는지 가능성에 관한 인식이 필수입니다. GDPR 적용 가능성이 있는 기업은, 어느 때 갑자기 벌칙의 대상이 되어, 다액의 제재금을 부과되거나, EU 기업과의 거래 중지를 요구받거나……라고 하는 리스크를 안고 있습니다.이러한 위험을 피하기 위해 신속하게 GDPR 대책을 실시해야 합니다.
법무 담당자가 중심이 되어, EU역내의 자회사·지점, 총무·인사 부문이나 시큐리티 부문 등, 사내의 복수 부서를 횡단해의 대책이 급무. EU기업과의 거래가 있는 경우나, EU역내에서 자사 Web사이트에의 액세스가 많은 경우 등은 이미 적용 대상일 가능성이 높기 때문에 요주의입니다.
GDPR에 대해 변호사가 해설
FRONTEO가 운영하는 미디어 'FRONTEO Legal Link Portal(FLLP)'에서는 국내외의 기예 변호사들이 비즈니스 현장에서 도움이 되는 법무 관련 주제를 해설하고 있으며, 새로운 동영상도 잇달아 추가되고 있습니다. GDPR을 비롯한 해외 개인정보보호법에 대해서도 많은 변호사가 다루고 있습니다. GDPR에 대해 자세히 알고 싶은 분, 개인정보의 취급에 대해 고민하고 있는 분은 꼭 한번 FLLP의 동영상을 체크해 보세요.
일류 변호사·전문가가 감수하는, 법무 지재에 관한 600개 이상의 해설 동영상이 무료로 무제한!
