일본산업뉴스요약

개인정보보호법, 미국에서도 신법
유럽에 이어 미국 캘리포니아 주 시행

-- 기업의 준비 기간 짧아--
전세계적으로 개인정보보호에 대한 규제가 강화되기 시작하고 있다. 작년에 시행된 유럽의 일반데이터보호규칙(GDPR)에 이어 2020년 1월에는 미국 캘리포니아 주가 ‘소비자프라이버시법(CCPA)’을 시행한다. 규정 자체는 유럽보다 엄격하지 않지만 개정 작업이 올 가을까지 이어질 것으로 전망되고 있어 상황은 유동적이다. 기업의 준비 기간이 짧아 세부 내용에 따라서는 GDPR보다 영향력이 클 것이라는 목소리도 나오고 있다.

-- 소송 리스크 증가 --
2020년 모 월 모 일, 일용잡화를 생산하는 X사에 한 통의 메일이 도착했다. 소비자로부터 X사가 보유하고 있는 자신의 개인 데이터를 공개하라는 청구다. X사는 45일 이내에 과거 12개월 동안 수집해온 그 사람의 데이터와 용도, 운용을 공개하지 않으면 안 된다. 공개를 거부할 경우 사업 정지를 명령 받을 수 있다.

미국 캘리포니아 주에 살고 있는 고객을 보유하고 있는 기업은 내년에 이러한 상황이 현실이 될 가능성이 있다.

시행까지 7개월 정도로 임박한 CCPA는 기업의 과도한 데이터 이용에 대해 개인정보 수집 및 매매를 규제하는 캘리포니아 주 법이다. 만들어진 계기가 된 것은 작년 3월에 발각된 페이스북의 개인정보 유출 문제와 GDPR의 성립이다.

CCPA는 기업이 고객의 개인정보를 수집할 때에 프라이버시 폴리시에 그 내역과 이용 목적을 표시하고, 어떤 업종의 제3자와 데이터를 공유하는지를 고객에게 통지할 필요가 있다고 규정한다. 그 내용은 12개월마다 한 번씩 갱신되어야 하고 고객이 요구할 경우 수집한 데이터를 원칙적으로 삭제해야 한다. 또한 기업이 제3자에게 데이터를 판매할 때에는 고객이 쉽게 거부할 수 있도록 특설 사이트를 마련해야 한다.

그 대상이 되는 것은 캘리포니아 주 거주자의 개인정보를 취급하는 기업 중 연간 매출이 2,500만달러(27억엔 이상) 이상이거나, 5만명 분 이상의 개인정보를 취급하고 있는 경우이다. 캘리포니아 주에 거점을 두지 않아도 대상이 될 수 있다.

일본 기업들도 이에 대한 대비를 시작하고 있다. 후지쓰는 GDPR의 성립을 계기로 관리 체제를 강화해 세계 5개국에 개인정보 보호를 위한 책임자를 두고 본사의 법무팀과 연대해 대응하고 있다. 최근 만들어지고 있는 대부분의 개인정보 보호규칙은 지역 외 적용 규정이 포함되어있어 “본사가 각 지역의 법 규제에 대한 대응을 파악해 컨트롤해야 할 필요가 있다”(후지쓰 글로벌본사법무팀의 사카타(坂田) 시니어매니저).

후지쓰는 CCPA에 대한 준비도 추진. 현재 CCPA와 관련이 있는 개인 데이터 유무 확인을 포함해 파급될 영향을 조사하고 있다.

CCPA의 틀은 작년에 시행된 GDPR에 가깝고, GDPR보다 느슨할 것으로 예상되는 규정도 있다. 예를 들어 기업이 데이터를 수집할 때 GDPR은 개인의 동의 등 적법성을 엄격하게 요구하는데 반해 CCPA는 사전에 통지하면 수집이 가능하다.

-- 연방법도 시야에 넣어야 --
그렇다고 해서 만만하게 보는 것은 위험하다. 미국의 프라이버시법 제도에 대해 잘 알고 있는 인터넷이니시아티브의 가마타(鎌田) 씨는 “기업은 상상 이상으로 손해를 입을 가능성이 있다”라고 지적한다.

가장 먼저 미국 사업을 전개하는 많은 일본 기업들에게 대응이 요구될 것으로 보인다. 개인정보보호의 움직임은 미국 전역에서 높아지고 있어 “다른 주에서도 동일한 법률이 만들어지게 될 것이다”(가타마 씨).

미국에서는 주마다 법이 난립하는 것보다는 연방법으로 단일화되는 것이 바람직하다는 주장도 있다. 야마나카(田中) 변호사는 앞으로 CCPA가 전미를 대상으로 한 새로운 개인정보 규제의 모델이 될 가능성이 있다고 말하며 “CCPA 대책은 이후에 마련될 연방법 제정을 시야에 넣고 임하는 것이 좋다”라고 말한다.

위반 시의 손해 배상 청구도 증가할 가능성이 있다. CCPA는 부적절한 관리로 인해 데이터가 유출되었을 경우, 소비자는 1명 당 100~750달러의 손해 배상을 기업에게 청구할 수 있다고 규정한다. 집단 소송의 경우, 사업 규모에 따라 청구될 배상액이 커질 가능성이 있다.

-- 아직 대책 추진은 어려워 --
하지만 일본뿐만 아니라 미국 기업들도 아직 대책을 추진하지 못하고 있다. 지금도 수정안 심의와 조문별 개정이 이어지고 있어 상세한 내용이 정해지는 것은 올 가을이 될 것으로 예상되고 있다.

예를 들어 CCPA가 대상으로 하는 기업은 ‘연간 총 매출 2,500만달러 이상의 사업자’로 규정되어 있다. 하지만 그것이 캘리포니아 주 내의 매출을 가리키는 것인지, 전세계 시장을 베이스로 한 것인지는 분명하지 않다. 개인정보를 보호하는 대상도 고객뿐인지, 직원도 포함한 것인지도 현시점에서는 유동적이다.

전문가가 우려하는 것은 준비기간이 짧다는 것이다. 시행 규칙의 원안 공표를 기다린 후에 대응을 추진한다면 “시행까지 충분한 준비가 불가능하다”(다나카 씨). 일본 기업들은 규범의 상세한 내용이 정해지면 대응하는 경향이 있지만 이번 CCPA의 경우 신중함이 역효과를 낼 가능성이 있다는 지적도 있다. 미국에 살고 있는 기모토(木本) 변호사는 “지금부터라도 개인정보 관리 상황 등을 파악하는 것이 중요하다”라고 지적한다.

-- 데이터 맵핑으로 대비 --
최근 각국에서 잇따라 성립하고 있는 대부분의 개인정보보호 규제는 GDPR을 참고로 하고 있다. 전문가에 따르면 상세한 내용에서는 차이가 있지만 기업이 취해야 할 기본 대책은 공통적이라고 보는 견해가 많다.

기업에게 가장 중요한 작업은 자사가 보유하고 있는 개인정보에 대해 조사하고 데이터 취급 상황을 파악하는 ‘데이터 매핑(Mapping)’이다. 해외 관련 거점과 부서를 대상으로 어느 국가 및 지역의 개인정보를 어느 정도, 어떤 목적으로 수집하고 있는지를 미리 조사해두어야 한다. 시간이 걸리는 작업인 만큼 사전에 미리 해놓는다면 규제 내용에 맞게 손쉽게 대응할 수 있다. 또한 기록 및 정보 보안을 강화해야 한다.

경제의 디지털화로 인해 개인정보보호는 세계적 조류가 되었다. 지금은 명확한 규제가 없어도 언젠간 도입될 가능성이 높다. 스기모토(杉本) 변호사는 “자사에게 중요한 시장을 중심으로 사전에 데이터 맵핑을 해야 할 필요가 있다”라고 말한다.

▶ CCPA의 상정되는 스케줄
- 2018년 6월: 성립
- 2019년 가을(미확정): 규범의 상세 내역이 결정될 가능성
- 2020년 1월: 시행. 소비자에 의한 민사소송이 가능
- 2020년 7월: 주 당국에 의한 처분도 있을 가능성

▶ 향후 초점
; 세부적인 규칙이 정해지지 않아 애매한 점도 많다.
- 대상이 되는 기업의 조건 ‘연간 총 매상고 2,500만달러’는 캘리포니아 주인지, 전세계를 베이스로 하는지 불명확
- 개인정보 보호의 대상은 고객뿐만 아니라 종업원도 포함되는지 불명확
- CCPA를 모델로 한 연방법 제정의 움직임
 
 -- 끝 --