The Legal System in Personal Data and the Civil Liability in Japan

Han, Seung-Soo

doi:10.17248/knulaw..67.201910.225

Law J. 2019; 67:225-257

pISSN: 1738-5903

DOI: https://doi.org/10.17248/knulaw..67.201910.225

민사법

일본의 개인정보 법제 및 개인정보 침해사건에서의 민사책임^*:

한승수 ^**

The Legal System in Personal Data and the Civil Liability in Japan

Seung-Soo Han ^**

Author Information & Copyright ▼

^**중앙대학교 법학전문대학원 부교수, 변호사(대한민국, 미국뉴욕주)

^**Associate Prof, Chung-Ang Univ

© Copyright 2019, The Law Research Institute, Kyungpook National University. This is an Open-Access article distributed under the terms of the Creative Commons Attribution Non-Commercial License (http://creativecommons.org/licenses/by-nc/3.0/) which permits unrestricted non-commercial use, distribution, and reproduction in any medium, provided the original work is properly cited.

Received: Oct 02, 2019; Revised: Oct 22, 2019; Accepted: Oct 23, 2019

Published Online: Oct 31, 2019

국문초록

최근 우리나라에서는 개인정보보호법을 중심으로 여러 정보 관련 법률이 정비되었고, 많은 판례가 쌓여왔다. 이웃나라인 일본에서도 2015년 개인정보보호법을 대폭 개정하였고, 관련 사건에 대한 판례가 쌓이고 있다. 특히 최근에는 민사책임에 관한 최고재판소 판결이 나와 관심을 끌고 있다. 우리와 달리 일본의 경우에는 민간과 공공 분야를 관장하는 법률이 별도로 있으며 민간 분야를 총할하는 개인정보보호법은 행정규제를 중심으로 규율하고 있다. 2015년 그 개정으로 개인정보의 보호와 활용이라는 두 가지 지향을 모두 만족시키기 위하여 노력하였다. 그런데 일본의 개인정보보호법은 민사책임에 관한 규정을 두고 있지 않고 일반적으로 민사책임의 근거로 인정되지 아니한다. 따라서 개인정보의 유출이나 무단공개 등의 사건에 있어서는 프라이버시권 침해로 구성하여 민사상 불법행위 책임을 묻고 있다. 이 점에서는 우리의 법제와 근본적인 차이가 있다. 실제 사안의 해결에서는 개인정보의 유출이나 무단공개에 있어서 프라이버시의 침해가 인정되어 불법행위책임의 인정이 어렵지 아니하고 경우에 따라 이익형량을 통하여 위법성이 조각되는데 이는 우리 판례의 태도와 크게 다르지 않다. 다만 최근 우리 판례가 손해의 인정에 관하여 다소 엄격한 판단 기준을 제시하는 반면, 일본 최고재판소의 판결에서는 구체적인 정신적 고통의 주장이 없더라도 정신적 손해의 발생을 인정할 가능성을 시사하고 있는바, 이 점에 있어서 향후 일본 판례의 태도를 주목할 필요가 있다.

Abstract

In our society, there have been a great deal of data-related disputes. As a result, various data-related laws have been readjusted with the Personal Data Protection Act as a center and many cases have been piled up. A neighbor country Japan also drastically revised the Personal Data Protection Act in 2015 and cases related to the data have been piling up. Especially recently, a Supreme Court ruling on civil liability has appeared. Unlike Korea, in Japan, separate acts govern the private and public sectors, and the Personal Data Protection Act, which covers the private sector, is focusing on administrative regulations. The revision in 2015 sought to satisfy both directions of personal data protection and utilization. However, Japan's Personal Data Protection Act does not have a provision for civil liability and is generally not recognized as the basis for civil liability. Therefore, in cases such as leakage of personal data or unauthorized disclosure, it constitutes violation of privacy rights and is held responsible for tort. In the resolution of the actual case, it is not difficult to acknowledge responsibility for tort due to the violation of privacy in the leakage of personal information or unauthorized disclosure, though in some cases illegality is carved out through the weighing of interest. However, it is necessary to pay attention to the attitude of future Japanese decisions, as the recent ruling by Japan's Supreme Court suggests the possibility of recognizing the occurrence of mental damage even if there is no specific claim of mental distress.

Keywords: 일본; 개인정보; 개인정보보호법; 손해배상책임; 프라이버시; 위자료

Keywords: Japan; Personal Data; Person Data Protection Act; Civil Liability; Privacy; Compensation for personal injury

Ⅰ. 序言

1) 기존에 ｢정보통신망이용촉진 및 정보보호에 관한 법률｣(이하 ‘정보통신망법’) 및 ｢공공기관의 개인정보에 관한 법률｣이 규율하고 있던 개인정보에 관하여｢개인정보보호법｣이 일반법으로 제정되면서 우리 법제가 새로운 시대를 맞이하게 된 이후에도 벌써 상당한 시간이 경과하였다. 개인정보보호법의 제정 이후에 그 외 개인정보와 관련된 법률들, 즉 정보통신망법, ｢신용정보의 이용 및 보호에 관한 법률｣(이하 ‘신용정보법’)이 정비되었고, 최근에는 개인정보보호법이나 정보통신망법, 신용정보법에서 개인정보나 개인신용정보의 침해 등에 관하여 소위 3배액 배상제도, 법정손해배상제도 등을 도입하는 등 손해배상액 산정과 관련하여서 여러 입법적인 조치도 있었다. 신기술의 발전에 따라 ｢위치정보의 이용 및 보호에 관한 법률｣(이하 ‘위치정보법’) 등 보다 개별적인 내용을 규율하는 법률도 나타났고, ｢의료법｣ 등 기존의 입법에서도 개인정보에 관한 관심이 높아졌다.

2) 그런데 개인정보의 중요성을 인식하는 점은 공통되면서도 개인정보를 바라보는 관점은 두 가지로 나뉘는 것으로 보인다. 첫 번째는 어떻게 하면 더 사업적으로 활용할 수 있겠는가의 측면에서 바라보는 입장이다. 이는 빅데이터의 활용을 통한 산업 발전의 측면에서 자주 논의된다. 두 번째로는 개인정보에 관한 보다 충실한 보호가 필요하다는 입장이다. 현재의 법제 역시 충분하지 못하다고 보는 견해도 있다.¹⁾ 개인정보의 충분한 활용과 보호, 이 두 가지는 서로 공존할 수 있는가? 아니면 둘 중 하나는 포기하여야 하는 갈등 관계에 있는가? 어떻게 그 원만한 동행을 이끌어낼 것인지는 매우 어려운 문제이다. 그 중 하나가 비식별화의 문제인데, 그와 관련하여서도 여러 차원에서 논의가 이루어지고 있다.²⁾

개인정보침해에 있어서의 손해배상과 관련하여 우리 판례는 상당한 태도의 변화를 보였다. 변화와 더불어 점차 태도를 명확히 하고 있다고 볼 수도 있는데,³⁾ 이 역시 개인정보를 바라보는 시선과 관련되어 있어 보인다. 이러한 판례의 태도는 종국적으로는 개인정보에 관한 사회의 인식도 변화시킬 수 있다고 생각한다.

3) 그렇다면 일본의 상황은 어떠한가? 2015년 ｢개인정보의 보호에 관한 법률｣을 개정하여 세계의 조류에 발맞추려고 하는 일본의 제도 및 판례의 태도가 우리 법을 이해하고 방향성을 제시하는 데에 참고가 될 수 있을 것으로 생각된다. 개정 일본법과 관련해서는 기존에 상당한 정도의 선행연구가 있는데,⁴⁾ 공법적인 논의가 다수인 것으로 보인다. 여기서는 일본의 법제에 관한 개괄적인 이해를 바탕으로(II) 개인정보 침해 사건의 처리와 관련하여 일본에서 민사상 손해배상책임이 어떻게 인정되고 있는지를 중심으로 살펴보고(III), 우리 법제도 및 손해배상책임 구성에 있어서의 시사점을 모색해 보고자 한다(IV).

Ⅱ. 주요국의 입법례 및 일본의 개인정보보호법제

1. 개인정보 관련 입법례

본격적으로 일본의 법제를 살펴보기 전에 서구 몇 나라의 입법례를 정리하여 두고자 한다. 이들의 입법례는 세계의 흐름에 상당한 영향력이 있는바, 그에 대한 언급이 의미 있다고 생각되기 때문이다. 다만, 본고에서는 개인정보유출 사건에 있어서의 손해배상 책임에 관하여 주로 논의하고자 하므로 개별 법제의 구체적 내용에 관하여 자세히 다루지는 아니하고, 우리에게 영향력을 가지는 대표적인 것들만 간단히 정리해두고자 한다.

(1) 세계 최초의 개인정보보호입법- 독일 헤센州의 데이터보호법

세계 최초의 개인정보보호입법은 연방국가 독일의 헤센주에서 이루어진 것으로 설명된다.⁵⁾⁶⁾ 정식명칭은 Hessisches Datenschutzgesetz(약어는 HDSG)이고, 1970년 10월 7일에 마련되어 계속적으로 개정되어 왔는데,⁷⁾ 최근(2018. 5. 25.) 유럽의 ｢일반개인정보보호규칙｣(독일어로는 der Europäischen Datenschutz- Grundverordnung, ‘EU-DSGVO’, 영어로는 General Data Protection Regulation, ‘GDPR’, 이하 GDPR로 칭한다)에 따라 전면적인 개정이 이루어졌다.⁸⁾⁹⁾

(2) 독일과 GDPR

1) 독일 연방국가 차원에서는 1977년에 ｢연방데이터보호법｣(Bundesdatenschutzgesetz, 이하 ‘BDSG’)이 제정되었다.¹⁰⁾ BDSG는 2000년대에 들어 몇 차례 개정이 있었다. 특히 2009년과 2010년에는 상당한 내용의 추가가 있었고, 2018. 5. 25. 유럽연합 차원에서의 GDPR의 영향으로 기존의 BDSG를 전면대체하는 개정이 있었는데, 이는 헤센 주의 변화와 같은 맥락이다. 즉, EU의 규율에 발맞춘 개정이다.¹¹⁾ 따라서 이와 관련하여서는 EU의 GDPR을 간단히 언급할 필요가 있다.

2) EU가 확대되고 정보통신 관련 기술이 급진적으로 발전하여 인터넷의 활용이 고도로 네크워크화되어 종래 ‘EU 정보보호 지침’ (Directive 95/46/EC)¹²⁾이 규범적 한계를 드러내면서 개인정보보호제도의 종합적 개선이 요구되었다.¹³⁾ 그에 따라 유럽연합 집행위원회(European Commission)는 ‘EU에서의 개인정보보호에 대한 종합적 접근’에 착수하였고, 2012년 1월에는 ‘EU 정보 보호 개혁(EU Data Protection Reform)’을 위하여 유럽GDPR 초안을 마련하였다. 이후 GDPR은 유럽 의회(European Parliament) 및 유럽 이사회(Council of Europe)의 승인 절차를 거쳐 2016년 5월 24일 발효하였고, 2018년 5월 25일부터 본격적으로 적용되었다.¹⁴⁾ GDPR은 유럽이라는 디지털 단일시장에서의 개인정보보호와 관련된 일반적 법원칙을 선언하는 것으로 원칙적으로는 EU 회원국의 추가 입법 없이도 구속력 있고 직접적으로 적용되며,¹⁵⁾ 독일을 비롯한 상당수의 회원국들이 이미 GDPR 내용을 자국 내에서 이행하기 위한 국내법을 마련하여 시행하고 있다.¹⁶⁾¹⁷⁾

(3) 영국과 미국

1) 보통법 국가인 영국은 주거 침입, 저작권 침해, 명예훼손 등을 대상으로 하는 개별적인 법률에 의하여 프라이버시 영역에 속하는 권리를 보호하고 있었다. 1976년 데이터보호위원회가 설치되면서 컴퓨터에 의한 개인정보 처리와 인터넷을 통한 개인정보 유통이 일반화됨에 따라, 개인정보보호를 목적으로 1984년 ｢데이터보호법｣(Data Protection Act)이 제정되었다. 데이터보호법이 컴퓨터 처리정보만을 규제대상으로 함으로써 중요한 개인정보가 컴퓨터가 아닌 수작업에 의해 처리되는 현상이 나타나자 1987년 ｢개인기록접근법｣(Access to Personal Files Act)을 제정하여 컴퓨터 처리와 수작업에 관계없이 정보 주체의 자기정보에 대한 접근권을 인정하고 있다. 그 후 1998년에 제정된 ｢데이터보호법｣(Data Protection Act, ‘DPA’)은 1995년 유럽공동체(EC)의 개인정보보호지침을 국내법적으로 구체화하기 위한 입법으로 성립되었다. 최근 2017년 영국이 유럽 연합을 탈퇴하기로 결정하여(소위 ‘브렉시트’) 영국에게 유럽연합 개인정보보호지침이 강제되지 않게 되었으나, 영국 의회는 유럽의 GDPR을 국내법으로 수용하여 DPA 1998를 개정한 ｢2018 데이터보호법｣(Data Protection Act 2018 (c 12)) United Kingdom Parliament)을 마련하였고 이는 2018년 5월부터 시행되었다.¹⁸⁾

2) 미국의 경우 정보를 통할하는 일반법은 없는 것으로 보인다. 여러 단행법을 통해서 분야별로 규율하여 온 것인데, 공공부문과 관련해서는 1974년 제정한 ｢프라이버시법｣(The Privacy Act), 1988년 연방데이터베이스의 비교‧합성에 관한 ｢컴퓨터연결 및 프라이버시보호법｣(The Computer Matching and Privacy Protection Act)이 있고, 전기통신상의 개인정보보호입법으로 1986년 ｢전기통신프라이버시법｣(The Electronic Communication Privacy Act)과 1994년 ｢법집행통신지원법｣(The Communication Assistance for Law Enforcement Act), 1996년 ｢정보통신법｣(Telecommunication Act)이 있고, 민간부문과 관련해서는 1978년 ｢금융프라이버시법｣(The Financial Privacy Act), 1984년 ｢케이블통신프라이버시법｣(The Cable Communication Privacy Act) 등이 있다고 한다.¹⁹⁾ 아직까지 미국 연방차원에서 데이터 프라이버시와 관련하여 통과된 법률은 없으나,²⁰⁾ 2018년 6월 미국 캘리포니아주에서 최초로 ｢캘리포니아 소비자 프라이버시법｣(California Consumer Privacy Act)을 제정되어 그 영향에 관한 관심이 높다.²¹⁾

2. 일본의 개인정보보호법제

(1) 일본 개인정보보호법의 제정

일본에서는 2003년(平成 15年) 5월 23일 ｢개인정보의 보호에 관한 법률｣(個人情報の保護に関する法律, 약칭 ｢개인정보보호법｣, 본고에서는 ‘개인정보보호법’으로 부른다)이 제정되었다. 동법은 사기업에 대한 벌칙 조항 등 4장 내지 6장의 규정을 제외하고 곧바로 시행되었고, 2005년 4월 1일에 전면적으로 시행되었다.²²⁾ 동법은 인터넷 등 국제적 테이터 유통의 본격화와 더불어 각 국가의 개인정보 보호제도가 상이하여 개인정보의 국제유통을 저해하고 있다는 점에 관한 인식으로부터 출발하였고, 개인정보침해에 대한 불안을 해결하고자 하였다. 따라서 법명과는 달리 개인정보의 보호에 그 입법 목적이 제한된 것은 아니었다.²³⁾

개인정보보호법(2003年法第57号)을 개인정보 관련법 체계의 기본법으로 하여 개인정보보호와 관련하여 같은 해 성립된 법률은 ① ｢행정기관이 보유하는 개인정보의 보호에 관한 법률｣(行政機関の保有する個人情報の保護に関する法律, 2003年法律第58号), ② ｢독립행정법인등이 보유하는 개인정보의 보호에 관한 법률｣(独立行政法人等の保有する個人情報の保護に関する法律, 2003年法律第59号), ③ ｢정보공개·개인정보보호심사위원회설치법｣(情報公開・個人情報保護審査会設置法, 2003年法律第60号), ④ ｢행정기관이 보유하는 개인정보의 보유에 관한 법률의 시행에 붙인 관계법률의 정비등에 관한 법률｣(行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律, 2003年法律第61号)이 있다.²⁴⁾ 이에 따라 일본의 경우 공공부문을 담당하는 4법과 민간부문은 담당하는 1법 등 총 ‘5법 체계’를 갖추고 있다.

(2) 일본 개인정보보호법의 개정 경위 및 배경

일본 개인정보보호법은 2009년 6월 5일 일부 내용의 개정이 있었고,²⁵⁾ 이어서 최근 2015년(平成 27年)에 대폭적인 개정이 있었다. 2015년 개정은 소위 빅데이터에 관한 기업의 이용을 가능하게 하고, 개인정보 누설에 대한 형사벌을 추가하는 내용을 포함하는 전면적인 개정이었다.²⁶⁾ 개인정보보호법 체계의 마련 이후 10년이 경과되어 개정된 이 법률에는 몇 가지 중요한 내용이 추가되었다. 개인정보의 신중한 활용이 강조되는 상황에서 사업자들이 어떠한 정보에 대하여 어떠한 조치를 하면 활용할 수 있는지에 관한 회색지대가 확대되었고, 개인정보취급사업자의 감독이 주무대신제 하에서 가이드라인에 근거하여 사업분야별로 이루어져서 여러 사업에 걸친 사업자들에게는 중첩적인 집행이 이루어지는 문제가 있었으며, 글로벌화된 기업 등의 활동에 따라 국제적인 정합성을 도모할 필요가 있었다는 점이 개정의 배경으로 설명된다.²⁷⁾

(3) 2015년 개정법의 주요 내용²⁸⁾

1) 먼저 개인식별부호, 요배려개인정보²⁹⁾에 관한 내용이 추가되는 등 개인정보의 개념이 세분화, 명확화 되었다(일본 개인정보호법 제2조 제1내지3호). 다만 개인식별부호의 구체적인 내용은 하위규범인 정령(政令)에서 정할 수 있도록 위임하여, 유연한 대응이 가능하도록 하고 있다(현재 정령에서는 지문인식데이터, 안면인식데이터, 여권이나 운전면허증 번호 등을 규정하고 있다). 이와 같은 개정은 사업자에게는 그 전에 회색지대로 비판되던 개인정보의 개념을 명확히 하여 그 활용과 이용 가능성을 높이고, 소비자에게는 보호대상을 정확히 인식하게 하는 효과를 의도한 것으로 보인다.³⁰⁾

수집에 관하여는 우리와 달리 소위 옵트아웃(opt-out)이 원칙적인 모습으로 규정하고 있다. 요배려정보가 아닌 일반 개인정보의 경우 속임수 기타 부정한 수단에 의한 방법에 의하지 아니하는 한 수집하고 통지하여 정보주체가 처리정지를 요구하지 아니하는 한 처리할 수 있도록 하고 있다(제17조 제1항, 제18조). 다만 요배려정보의 경우에는 사전동의를 요구한다. 일본 개인정보보호법에서는 개정전후를 막론하고 개인정보의 수집, 이용 등에 우리와 같은 사전동의제도가 없는데, 요배려정보에 있어서는 사전동의를 요하는 규정을 신설한 것이다(제17조 제2항). 또한 개인정보 취급의 글로벌화도 규정되어 해외의 법제도와의 균형을 고려하고 있다는 점도 명시되어 있다.

한편 데이터의 활용 가능성을 제고하는 내용도 포함되어 있다. 개정 전에는 개인정보의 목적외 이용이나 제3자 제공에 있어서 미리 본인의 동의를 구하도록 규정하고 있었는데, 그로 인한 정보 활용의 한계가 지적되었다. 그에 따라 데이터의 활용을 위한 근거조항(“익명가공정보”- 특정 개인을 식별할 수 없도록 개인 정보를 가공하여 얻는 개인에 관한 정보로 해당 개인 정보를 복원할 수 없도록 한 것)에 관한 내용도 포함되었다(제2조 제9호). 이러한 정보의 사업적 활용을 통하여 새로운 서비스를 마련하는 것이 허용된 것이다. 익명가공정보의 작성과 활용에 관하여는 총 네 개의 조문을 두어 구체적으로 규율하고 있다(제36조 내지 제39조).

또한 개인정보의 활용범위를 넓히기 위해 목적구속원칙을 완화하여 개정전에 “이용목적과 상당한 연관성이 있다고 합리적으로 인정되는 범위”에서 사용할 수 있다고 명시된 규정에서 “상당한”을 삭제하였다.³¹⁾

2) 2015년 개정 중 가장 주목할 부분 중 하나는 개인정보보호위원회의 신설이다. 기존에는 소비자청이 개인정보보호법을 소관하는 한편 각 주무대신이 그 소관하는 사업분야의 사업자에 대하여 감독권한을 가지고 있었으나 독자적인 개인정보보호 전담기구는 존재하지 않았다.³²⁾ 따라서 개인정보보호법에 따른 개인정보보호는 주무부처에서 마련한 『개인정보보호에 관한 지침(가이드라인)』을 통해 이루어지고 있었다.³³⁾ 그런데 개정법에 의해서 개인정보보호위원회가 신설되어 새로 마련된 각종 제도 등에 대해서는 개인정보보호위원회가 규칙으로서 구체적 내용을 정하도록 되어 있는 것이 많다. 또 현지 조사권을 포함한 막강한 권한이 부여되도록 규정되어 있고, 기존에 각 산업 분야마다 주무장관(主務大臣)이 가지던 감독 업무를 일원적으로 집약하여 맡게 되어, 업무를 통할하는 권한을 가지게 되었다(일본 개인정보보호법 제52조).³⁴⁾³⁵⁾ 유럽에서는 EU정보보호지침에 의해서 각국의 데이터 보호 기관에 이러한 강한 권한이 주어지고 있으므로 국제적인 밸런스도 고려된 것으로 보인다.³⁶⁾ 이러한 개정에 따라 일본에서는 2016년 1월 개인정보보호위원회가 출범하였다.

3) 일본 개인정보보호법제의 특징은 법률에서 원칙적인 기준을 제시하고, 세부적인 내용은 분야별(예: 은행, 증권업, 생보, 손보, 투신, 신탁 등)로 가이드라인을 두고 있다는 점이다. 이는 일본의 다른 산업 규제 방식에서도 자주 등장하는데, 실제 일본에서는 산업별 자율규제가 상당한 영향력을 행사한다.

일본 개인정보보호법 제4장 제1절에서는 개인정보취급사업자의 의무를 규정하여, 일부를 제외한 모든 분야에서의 개인정보취급사업자가 최소한 준수해야 하는 기준을 규정하였다. 제4장 제4절에서는 업계별로 주무대신에 의하여 인정된 개인정보보호단체를 통한 개인정보보호에 관하여 규정하고 있는데, 이는 개인정보보호가 민간단체를 통하여 구체화되어 오던 자율규제의 일부분을 법제화한 것이다. 이를 ‘인정개인정보보호단체제도’라고 부르는데(개인정보보호법 제47조 이하), 개인정보보호 업무에 관하여 일정한 기준을 갖춘 민간단체가 주무대신의 인정을 받아 법령이 정한 개인정보보호에 관한 업무를 수행하는 구조로 되어 있었는바,³⁷⁾ 개정법에서는 인정 개인정보보호단체의 역할이 확대되었다(제53조).

고충처리 역시 인정개인정보보호단체의 업무 중 하나인데, 개인정보보호법 제35조에서는 개인정보취급사업자가 개인정보의 취급에 대한 고충 처리를 하도록 규정하고 있으므로 개별 사업자도 그 업무를 수행한다. 그 처리에 문제가 있는 경우 개인정보보호위원회가 권고, 조언, 명령 등의 방법으로 규제적으로 접근한다.

4) 또 하나 특징적인 것은 일본의 개인정보보호법에는 개정 전후를 막론하고 民事責任에 관한 규정이 없다는 것이다. 결국 민사책임에 관하여 동법은 특별한 방향을 제시해주지는 못할 것으로 보인다. 이는 민사책임에 관한 규정을 두고 있는 우리나 GDPR³⁸⁾과 구별되는 점이다.

Ⅲ. 일본의 개인정보 침해사고와 손해배상

1. 개인정보 침해사고와 그 손해배상책임에 관한 일반 법리

1) 일반적으로 개인정보침해와 관련한 책임은 두 가지로 나눌 수 있다. 그 첫 번째가 개인정보보호법 위반에 따른 공적인 책임이다. 이는 다시 행정법적 책임과 형사책임으로 나눌 수 있다. 일본 개인정보보호법은 주로 행정법적인 규제를 중심으로 규정되어 있다. 개인정보보호법 위반의 경우 먼저 행정적 규제가 이루어지고 그를 위반한 경우에 형사처벌 대상으로 인정되었다. 그런데 2015년 개정에 의하여 누설과 도용 중 일정한 경우에는 즉, 자기 또는 제3자의 부당이득을 목적으로 개인정보를 제공, 도용한 경우에는 (선행적인 행정규제 없이도) 곧바로 형사처벌할 수 있는 규정이 신설되었다(제83조).³⁹⁾ 부당한 이익을 꾀할 목적이 없는 경우에는 영업비밀침해죄(부정경쟁방지법 제21조)가 문제될 수 있다고 한다.⁴⁰⁾ 그 외에도 몇몇 규정 위반에 있어서의 형사처벌 규정이 있지만 우리와 같이 광범위한 형사처벌 규정은 담겨져 있지 않다. 이와 같은 법령의 태도에 관하여 형사처벌 및 행정적인 규제가 약한 편이어서 집행력 강화의 관점에서 보완책을 모색하여야 한다는 견해도 있다.⁴¹⁾

다음으로 채무불이행 책임과 불법행위 책임 즉, 민사적인 책임을 생각할 수 있다. 전술한 바와 같이 일본 개인정보보호법에는 별도로 손해배상에 관한 규정을 두고 있지 않다. 결국 개인정보보호법 위반 사건에 있어서의 민사책임은 일반 민법의 이론에 의하게 된다.⁴²⁾ 개인정보 유출 등과 관련해서는 주로 불법행위책임이 문제되는데, 주의할 것은 일본에서 개인정보보호법 위반이 일반적으로는 행정법규 위반으로 인식되는 이상 개인정보보호법 위반이라는 이유로 곧바로 불법행위로 인정되는 것으로 구성할 수는 없다는 것이다. 실제로 불법행위의 근거로 개인정보보호법 위반이 언급된 예는 찾기가 어렵고,⁴³⁾ 일부 언급이나 주장이 있는 경우에도 대체로 법원에 의하여 수용되지 않은 것으로 보인다.⁴⁴⁾

2) 따라서 일본에서 개인정보의 침해로 불법행위 책임이 인정되기 위하여는 개인정보보호법 위반 그 자체로 충분한 것이 아니라 해당 행위가 불법행위법상 ‘타인의 권리 또는 법률상 보호되는 이익’을 침해하는 것으로 인정되어야 한다.⁴⁵⁾ 이와 관련해서 일반에서는 주로 프라이버시권이 언급되는데,⁴⁶⁾ 프라이버시권은 영국에서 출발하여 미국에서 발달한 이론으로⁴⁷⁾ 우리와 마찬가지로 일본의 경우에도 명문으로 인정되지는 않지만 인격권의 일종으로 헌법 제13조에서 도출되는 것으로 구성된다.⁴⁸⁾ 일본에서는 실무에서 우리보다 광범위하게 활용되어 하급심뿐만 아니라 최고재판소에서도 오래전부터 인정되어 왔다.⁴⁹⁾⁵⁰⁾

구체적으로 살펴보면 일본에서는 개인정보의 누설과 도용, 개인정보의 무단 공개와 관련한 사건들에 있어 프라이버시권 침해로 구성되어 민법상 불법행위 요건이 검토되었다. 법원에서는 민법상 불법행위 책임을 물어 위자료를 인정해 왔다(이는 아래에서 살펴볼 여러 판례의 태도에서도 잘 드러난다).⁵¹⁾ 그래서 일본에서는 개인정보보호 관련 사건이 일반적으로 프라이버시에 관한 논의의 연장선에서 설명되는데,⁵²⁾ 개인식별정보가 프라이버시로서 불법행위법상 보호할만한 것 혹은 보호대상이라는 점에 있어서는 실무적으로 다툼이 없어 보인다.⁵³⁾⁵⁴⁾

2. 개인정보침해 사건에 있어서의 일본 판례의 태도

(1) 관련 사건의 분류

이하에서는 일본의 개인정보침해 사건에 있어서 대표적인 사례를 살펴보고자 한다. 앞에서 논의한 바와 같이 일본의 경우에는 개인정보보호법 위반을 기초로 불법행위를 구성하지 않으므로 개인정보 관련 사건인지 여부가 명확히 드러나지 않는다. 따라서 구체적으로 문제된 내용을 중심으로 개인정보 관련 사건인지를 살펴봐야 하고 분류하는 사람에 따라 달리 판단되기도 한다.

개인정보 관련 사건을 어떻게 분류할 것인지 그 기준으로 몇 가지가 상정 가능하다. 대표적으로 ① 관련 법령의 규정에 따른 분류, ② 형사처벌 규정을 바탕으로 행위의 위법성을 고려한 분류, ③ 개인정보의 생애주기에 따른 분류, ④ 귀납적 유형화 등을 생각할 수 있는데,⁵⁵⁾ 일본 개인정보보호법에 있어서는 형사처벌 규정이 여러 행태를 포섭하지 않으므로 나머지 세 가지가 주로 상정 가능하다. ①과 ③의 기준도 일정한 흐름을 바탕으로 논의를 진행한다는 점에서 합리성을 가지고 있고 우리나라에서도 자주 활용되는데,⁵⁶⁾ 민사책임을 주로 논의하는 본고의 목적에는 잘 부합하지 않는 것으로 보인다.

실제로 다양한 종류의 사건이 있을 것이지만, 본고에서는 기존 사건에 대한 귀납적 유형화의 일종으로 손해배상책임이 주로 문제되는 사건들을 편의상 개인정보처리자가 소극적으로 의무를 위반한 것인지, 적극적으로 행위를 한 것인지를 기준으로 나누어 정보 유출 사안과 정보 공개 사안으로 대별하고, 그 대표적인 사례를 살펴보고자 한다.⁵⁷⁾

(2) 개인정보의 유출 사건

일본의 경우에도 정보 유출과 관련하여서는 소송상 문제된 사례가 상당수 존재한다. 이러한 사건들은 대체로 유출된 개인정보가 상당하여 우리나라와 마찬가지로 사회적으로 파장을 일으켰고 그 진행과 관련하여 언론의 주목도 받았다. 그 대표적인 사례는 아래와 같다.

① <宇治市 데이터 유출 사건>⁵⁸⁾

1999년경 유소아 검진 프로젝트를 진행하던 시 당국이 관련 시스템의 개발업무를 민간업체에 위탁하였는데, 재위탁을 받은 사업자의 종업원이 해당 정보를 부정히 복제하여 해당 명부를 판매업자에게 판매하여 약 21만7,617건의 주민기본대장 정보가 유출에 이르게 된 사안이다.

이에 프라이버시 침해를 이유로 소송이 제기되었는데, 일본 최고재판소는 2002년 7월 11일 상고를 기각하여 하급심 판결을 확정하였다. 원심 판결 내용대로 피고는 원고에게 위자료를 지급할 의무가 발생하였는데, 원고 1인당 인용액은 위자료 1만엔과 변호사 비용 5,000엔이었다. 이 사건에서는 기본적인 개인정보 네 가지(성명, 주소, 성별, 생년월일)가 유출되었는데 일본에서 위자료 배상책임을 인정한 최초의 판결로 꼽힌다. 사건 당시에는 해당 시에 있어 개인정보호호조례가 시행되지 않았으나, 사건 이후 조례 개정에 착수하여 현재는 벌칙 등이 수탁업체에도 적용되도록 명문화되었다.

② <NTT 전화번호부 사건>⁵⁹⁾

일본의 대표적인 통신회사인 NTT가 자기의 성명, 주소 및 전화번호를 전화번호부에 게재하지 않을 것을 요구한 사람에 관한 정보를 과실로 전화부에 게재해 배포한 것에 대해 손해배상청구 등이 이루어진 사안이다. 재판소는 원고가 전화로 괴롭힘을 당한 경험이 있어 게재를 거부하였다는 점, 전화번호부의 실제 게재 건수가 대상 건수의 절반에도 못 미치는 것에 비추어 일반인의 감수성을 기준으로 원고의 입장에 섰을 경우 공개를 원하지 않는 사항인 점 등을 바탕으로 법적으로 보호된 이익으로서의 프라이버시의 침해를 인정하여 원고의 청구를 인용하였다.

③ <TBC 고객정보 유출 사건>⁶⁰⁾

2002년 5월 26일 인터넷상의 전자게시판을 통해서 TBCX의 웹사이트에서 실시한 앙케이트의 자료와 자료청구 목적으로 입력했던 데이터 등 약 5만명의 데이터가 외부에서 열람 가능한 상태였다는 것이 밝혀졌다. 그 해 3, 4월 경 외부 위탁했던 서버를 자체 서버로 변경하는 중에 일어난 일이었다. 2002년 5월 26일 중에 해당 데이터를 내렸으나 그 이후 해당 정보를 이용한 악성 이메일이 발송되어 2차 피해가 발생한 것이 확인되었다. 개인정보 유출로 인한 프라이버시 침해를 기초로 손해배상청구가 제기되었고, 2007년 8월 28일 도쿄 고등법원에서는 원고 1인당 위자료 3만엔과 변호사 비용 5,000엔의 손해배상액을 지급하도록 하는 판결을 선고하였다.

이러한 금액은 당시 개인정보 유출과 관련된 최고액이었는데, 그 배경에는 유출된 개인정보의 성격이 있었다. 이름, 주소, 전화번호, 메일주소 등 기본정보 외에도 관심을 가지고 있는 미용 코스명, 앙케이트 응답 내용 등 타인에게 알리고 싶지 않은 내용을 포함하고 있었기 때문이다. 재판부는 “본건 정보는 보건 의료 그 자체에 해당하지는 않지만 주소, 이름 등 기본적인 식별정보만 문제된 경우와 비교하여 일반인의 감수성을 기준으로 해서도, 감추어야 하는 필요성이 높다는 것을 부정할 수가 없다”라고 밝히고 있다. 기본정보 외에 사생활과 관련된 정보가 포함되는 경우에는 위자료가 증액된다는 것을 보여주는 사례이다.

④ <야후 BB 회원정보 유출 사건>⁶¹⁾

2004년 2월 27일 약 450만명의 야후 BB 등록자의 개인정보(이름, 주소, 전화번호)가 누출되었던 사건이다. 우익단체의 회장과 야후 BB 대리점 직원 2명이 야후를 운영하는 소프트뱅크를 상대로 개인정보의 대가로 30억원을 요구하였다가 체포되었다. 처음에는 외부에서 부정 접속을 한 것으로 밝혀졌으나, 내부의 직원이 관여한 것으로 최종확인되었다.

재판소는 “본인이 자신이 원하지 않는 다른 사람에게 함부로 이것을 개방하고 싶지 않다고 생각하는 것은 자연스러운 것이고, 그것에 대한 기대는 보호되어야 하므로, 이들 개인정보는 원고들의 프라이버시와 관련된 정보로서 법적 보호의 대상이 된다.”라고 판단하였다.⁶²⁾

⑤ <에스테틱 살롱 사건>⁶³⁾

에스테틱 살롱을 경영하는 자가 관리하는 사이트에서 독자로부터 송신한 이름, 주소, 직업, 전화번호, 전자 메일 주소 등의 개인정보를, 그 사업자로부터 위탁 받은 회사가 서버의 이설작업 중에 외부에서 접속할 수 있도록 공개해 둔 정보유출행위가 문제되어, 프라이버시 침해로서 손해배상 청구가 이루어진 사안이다.

재판소는 이름, 주소, 전화번호 및 메일 주소는 사회생활상 개인을 식별하는 동시에 그 사람에 대해 접촉하기 위해 필요한 정보이며, 일정한 범위의 자에게 알려져 정보 전달을 위한 수단으로서 이용되는 것이 예정되어 있지만, 다른 한편으로 그러한 정보라도 그것을 이용해 사생활의 영역에 액세스하는 것이 쉬워지는 것 등을 고려하여, 자신이 원하지 않는 다른 사람에게는 함부로 그것을 제공하지 않겠다고 생각하는 것은 자연스러운 것이며, 그러한 정보가 함부로 공개되지 않는 것에 대한 기대는 일정한 한도에서 보호되어야 할 것이며 또, 직업, 연령, 성별에 대해서도, 함부로 공개되지 않을 것이라는 기대는 마찬가지로 보호되어야 한다고 판단하였다. 이 사건에서의 정보는 그 비밀성이 큰 것으로 인정되었고, 실제 2차 피해가 발생한 원고에게는 보다 높은 금액의 위자료가 인정되었다(3만엔, 그 외의 원고에게는 1만7천엔).

⑥ <교육생 명단 유출 사건>⁶⁴⁾ (베넷세 사건)⁶⁵⁾

비교적 최근인 2017년에 나온 최고재판소의 판결이다. 피고는 통신교재, 모의시험의 실시 등을 목적으로 하는 주식회사이고, 원고는 그 자녀의 이름, 성별, 생년월일, 우편번호, 주소, 전화번호, 그 보호자의 이름을 제공하였다. 피고 회사는 고객정보 데이터 베이스의 운용을 A사에게 위탁하였는데, 그 직원 X는 총 2억1,639만건의 고객 정보 등을 무단 유출하여 외부의 다른 회사들에 팔아넘겼다. 이에 원고는 피고 회사에게 개인정보의 누설로 정신적 고통을 입었다고 하면서, 불법행위에 기하여 10만엔의 위자료를 청구하였다.⁶⁶⁾ (피고 회사는 이미 손해와 관련하여 500엔의 상품권을 교부하여 그에 추가되는 위자료 청구가 문제되었다.)

이에 1심과 2심은 각 원고의 청구를 기각하였다. 1심은 개인정보의 누설을 인정하면서도 피고 Y의 과실이 있었는지에 관한 구체적 사실의 주장, 증명이 부족하다고 보았고, 2심도 개인정보의 누설에 관하여는 인정하면서도 개인정보의 누설로 불쾌감이나 불안이 있더라도 그것을 피침해이익으로 하여 곧바로 손해배상을 구할 수는 없다는 취지로 (피고 회사의 과실에 대한 판단까지는 하지 않더라도) 원고의 청구를 기각하였다. 그러나 일본 최고재판소는 원심판결을 파기환송하였는데 문제되는 정보의 개인정보성을 인정하는 전제에서, “본건 개인정보는 상고인의 프라이버시에 관한 정보로서 법적 보호의 대상이 되어야 하는데, 상기 사실관계에 따르면 본건 누설에 의하여 상고인은 그 프라이버시를 침해당했다고 할 수 있다”라고 하면서,⁶⁷⁾ “그런데 원심은 상기의 프라이버시의 침해에 의한 상고인의 정신적 손해의 유무 및 그 정도 등에 관하여 충분히 심리하지 않고 불쾌감 등을 넘는 손해의 발생에 있어서의 주장, 입증이 이루어지지 않았다는 점만으로 곧바로 상고인의 청구를 기각해야한다고 하였다. 따라서 원심의 판단에는 불법행위에 있어서의 손해의 관한 법령의 해석적용을 잘못한 결과 상기의 점에 있어서 심리를 다하지 않은 위법이 있다고 하지 않을 수 없다”라고 하였다.

이 판결은 기업 등이 관리하는 서버에 보관 중인 개인정보의 누설이 프라이버시의 침해라는 점을 인정한 최초의 최고재판소 판례라고 하는데,⁶⁸⁾ 그만큼 향후에 미칠 영향이 커보인다.

(3) 개인정보의 무단 공개

① <아파트 구입신청서 사건>⁶⁹⁾

맨션의 판매업자가 구입신청서에 기재된 구입자의 근무처 및 전화번호를 맨션의 관리회사가 될 예정인 회사에 개시한 것에 대해 손해배상 청구가 이루어진 사안이다.

재판소는 “원고에 있어서 처음부터 일관되게 은닉의 의도를 가지고 있었던 것으로 보이며, 일반인의 감수성을 기준으로 원고의 입장에 섰을 경우 공개를 원하지 않는 사항이며, 또한 일반인에게 아직 알려지지 않은 사항에 해당한다”라고 권리보호이익을 인정하는 전제에 서서, “관리회사 예정자는 관리조합총회의 통지 및 관리상의 관련사항의 전달을 위해 구입자의 연락처를 파악할 필요가 있으며 제공의 목적은 정당하고 제공의 필요가 있으며, 원고도 포함된 맨션의 구입들이 해당 회사가 관리회사로 되는 것에 동의하고 있었던 점으로부터 제공에 이의가 없다고 믿었던 것이 상당하다”라고 보아 위법성을 부정하였다.

② <와세다대학 장쩌민 사건>⁷⁰⁾

사립대학인 와세다대학이 중국 주석인 장쩌민의 강연에 참가한 사람들의 정보(학적번호, 이름, 주속, 전화번호 등)를 경시청의 요청에 따라 당사자의 동의 없이 넘긴 사건이다. 재판부는 해당 정보가, 대학이 개인식별 등에 사용하기 위한 단순한 정보라고 하면서도, 개인정보를 경찰에 제출한 것은 프라이버시 침해로서 불법행위가 성립하는 것으로 보았다.⁷¹⁾ 재판소는 “동 대학이 본건 개인정보를 경찰에 공개하는 것을 미리 명시한 후에 본건 강연회 참가 희망자에게 본건 명부에 기입시키는 등 공개에 대해 상고인들의 동의를 얻는 절차를 거치지 않고, 상고인들에게 무단으로 본건 개인정보를 경찰에 개시한 동 대학의 행위는 상고인들이 임의로 제공한 프라이버시와 관련한 정보의 적절한 관리에 대한 합리적인 기대를 저버린 것으로, 상고인들의 사생활을 침해하는 것으로 불법행위를 구성한다고 할 것”이라고 보았다. 이에 환송심은 프라이버시 침해로부터 정신적 손해를 인정하여 5,000엔의 위자료를 인정하였다.⁷²⁾

이 사건에서 “정보통제”라는 점을 기준으로 채택하지 않고 “합리적 기대”를 바탕으로 접근한 점, 비교형량을 하지 않은 점 등을 특징으로 보는 견해도 있다.⁷³⁾

③ <논픽션 사건>⁷⁴⁾

논픽션 작품에서 실명을 이용해 과거 형사사건으로 유죄판결을 받고 복역한 사실을 공표한 것이 프라이버시 침해로서 손해배상 청구가 이루어진 사안이다. 재판소는 “어떤 사람의 전과 등에 관계되는 사실을 실명을 사용해 저작물로 공표한 것이 불법행위를 구성할 것인지 여부는 그 사람의 그 후의 생활상황뿐 아니라 사건 그 자체의 역사적 또는 사회적 의의, 그 당사자의 중요성, 그 사람의 사회적 활동 및 그 영향력에 대해 그 저작물의 목적, 성격 등에 비추어 실명 사용의 의의 및 필요성을 아울러 판단해야 할 것”이라는 기준을 제시한 후 그 결과 전과 등과 관련된 사실을 공표하지 않는 법적 이익이 우월하다고 여겨지는 경우에는 그 공표로 인해 입은 정신적 고통의 배상을 요구할 수 있는 것이라고 보아, 원고의 청구를 인용하였다.

(4) 프라이버시 침해가 인정되기 위한 일본 판례상의 요건과 개인정보 사건

1) 일본에서 프라이버시에 관한 정보로서 법적 보호대상으로 인정받기 위하여는 ① 사생활상의 사실 또는 사생활상의 사실로 받아들여질 우려가 있는 사항일 것, ② 일반인의 감수성을 기준으로 당해사인의 입장에 설 경우 공개를 원하지 않을 것으로 인정되는 사항일 것, ③ 일반인들에게 아직 알려지지 않은 사항일 것이라는 세 가지 요건이 충족되어야 한다. 이는 사생활에 관한 내용이 소설에 포함되어 위자료 책임이 문제된 소위 “연회 후 사건”⁷⁵⁾에서 제시된 것인데, 이는 프라이버시권이 최초로 문제된 사건으로 이후에도 프라이버시 관련 사건에서 중요하게 기능하였다.

여기서의 프라이버시는 사적 영역의 비밀성과 관련된 것으로 명예훼손과는 구별된다.⁷⁶⁾ 이후 프라이버시권은 일본 판례에서 점차 여러 유형을 포함하는 개념으로 사용되도록 확장되었다.

2) 위에 열거된 일본의 개인정보 관련 판례 중 일부는 위 “연회후 사건”의 기준을 따랐으나 모든 판례가 그러한 것은 아니다. <TBC 고객정보유출사건>, <아파트 구입 신청서>, <에스테틱 살롱 사건> 사건과 같은 경우에는 3가지 요건을 모두 검토한 것으로 보이는데, 최근에 선고된 <교육생 명단 유출 사건>이나 <와세다대학 장쩌민 사건>에 있어서는 그러하지 아니하다. 이러한 차이는 구체적으로 문제된 정보의 내용 차이에 기인한 것으로 보인다. 최근의 하급심에도 사적 영역에 관한 정보가 포함되었는지를 살펴본 바 있다.⁷⁷⁾

이를 두고 (누설이나 무단공개 여부를 따지지 않고) 단순한 개인식별정보만이 문제된 경우에는 <와세다대학 장쩌민 사건> 에 있어서와 같은 기준에 따라 (“연회 후 사건”에서 제시된 세 가지 요건의 검토 없이) 곧바로 프라이버시 침해로 인정하고, 개인의 사적 영역에 관한 사항이 포함되는 경우에는 세 가지 요건을 검토하는 것으로 이해할 수 있다고 보는 견해도 있다.⁷⁸⁾ 이러한 태도는 판례들의 태도 및 검토 방법에 비추어 수긍할만하다. 실제 판례들에서 프라이버시 침해로 통칭하고 있으나 개인의 식별 가능성보다는 내밀한 사적 영역(경우에 따라서는 명예훼손이 인정될 사안)이 문제되는 경우가 자주 등장하고 있기 때문이다.

한편, 정보공개의 경우에는 사적 영역이 자주 문제되고, 이와 같이 의도된 사적 영역의 공개는 명예훼손과 마찬가지로 표현의 자유 등 다른 법익과의 갈등이 문제될 수 있다.⁷⁹⁾ 일본의 판례 중 <아파트 구입신청서 사건>서는 공개의 필요성이나 당사자의 추정적 의사가 고려되었고, <논픽션 사건>과 같이 명예훼손적인 문제가 포함된 경우에는 이익형량을 하고 있다.⁸⁰⁾ 3) 이와 같은 내용에 비추어, 프라이버시라는 커다란 범주에 포함시켜서 여러 사안을 하나의 기준을 통하여 해결하는 것보다는 보다 프라이버시를 세분화해서 파악하는 것이 향후 사건의 해결에 좋을 수 있다.⁸¹⁾ 실제 위 일부 사안에서는 일반적인 프라이버시권의 침해를 문제 삼았으되 개인정보에 있어서의 독자적인 기준을 바탕으로 판단하였다고 볼 수도 있다. 다만 프라이버시권을 어떻게 세분화할지가 문제되는데, 그것은 단순하지만은 않아 보인다. 특히 일본의 경우에 개인정보보호법을 기초로 논의를 진행하는 것이 아니므로, 개인정보보호법상의 개인정보 개념과 일반적으로 사용하는 개인정보 개념이 정확히 일치하지 않을 수 있고, 실제 사안에서 개인정보와 사적 영역의 정보가 함께 문제되는 경우가 많으며, 일본의 2015년 개정 개인정보보호법상 개인정보의 개념 범위가 매우 넓어서 사적 영역의 정보와의 구별도 어렵기 때문이다.⁸²⁾ 프라이버시에서 개인정보를 떼어내어 구별하는 방법도 생각할 수 있는데, 전술한 바와 같이 개인정보 개념의 활용 범위가 모호하고, 이미 불법행위 책임의 인정에 있어서 개인정보에 관하여 프라이버시권을 통한 접근을 하여 와서 그 엄격한 준별은 현재로서는 쉽지 않아 보인다.⁸³⁾ 개인정보보호를 프라이버시와 구별하여 개인정보보호를 프라이버시 보호를 위한 수단으로 보는 것이 낫다는 주장도 있다.⁸⁴⁾ 향후 일본의 재판례가 프라이버시권을 어떻게 정치하게 세분화할 것인지는 그 흐름을 지켜볼 일이다.

일본의 재판례에서 명문으로 일정한 분류 기준이 제시된 바는 없고 일률적으로 적용하기는 쉽지 않기는 하지만, 현재의 재판례를 바탕으로 하여 개인정보에 관련된 사건만을 대상으로 살펴본다면, 현재로서는 대략 ① 문제된 정보를 바탕으로 나누어 사적 영역이 포함된 경우에는 <연회후 사건>에서 제시된 세 가지 요건을 기준으로 검토하고, 그렇지 않은 경우에는 당사자의 동의나 허락이 없는 유출이나 공개만으로 프라이버시 침해를 인정하며, ② 행위 태양을 바탕으로 정보의 공개와 누설을 구별하여, 사생활의 공개의 경우 그 공개와 관련된 상황을 고려하고 명예훼손에 있어서의 사용되는 방법을 차용하여 표현의 자유 등과의 갈등을 이익형량을 통하여 살펴보아 그 위법성을 판단하고 있는 것으로 정리해볼 수는 있을 것 같다.

(5) 위자료 인정의 대략적인 범위

1) 위에서 살펴본 바와 같이 재판으로 이어지는 사건도 있었지만, 일본에서는 개인정보 관련 사건에 있어서 기업들이 자주적인 노력으로 대응하여 배상액을 지급하는 경우가 상당하다. 정신적 손해배상을 인정하여 위자료를 지급하는 것으로 귀결되는 경우, 정신적 피해의 인정에 있어서 특별히 실제적인 손해 발생의 위험성이나 2차 손해를 고려하지는 않는 것으로 보인다(물론 위자료 산정에서는 2차 손해를 고려한다). 최근 <교육생 명단 유출 사건>의 하급심에서는 손해의 발생에 관한 엄격한 검토를 시도했던 것으로 보이는데, 최고재판소에는 이를 받아들이지 않은 것으로 평가된다. 따라서 프라이버시의 침해와 위법성이 인정되는 경우에는 대체로 위자료 책임이 인정될 것으로 생각된다.

2) 위자료의 금액은 그 정보의 가치나 피해의 정도와 관련이 있어 보인다. 위 판례들에서도 드러나는 바와 같이 대략적인 금액은 500엔에서 30,000엔 수준으로 정해지고 있다. 고객 정보의 누설과 관련하여 비밀성을 바탕으로 위자료의 금액을 3단계로 정리할 수 있다.⁸⁵⁾⁸⁶⁾

① 비밀성이 낮은 경우→ 500-1,000엔 (주소, 성명 등, 다른 특수 사정이 없음).
② 비밀성이 중간인 경우→１만엔 (크레딧카드 정보 또는 수입, 직업에 관한 정보)
③ 비밀성이 높은 경우→３만엔 (스리 사이즈(Three-size), 미용시술 관련 정보)

Ⅳ. 비교법적 검토- 시사점을 포함하여

1. 일본의 개인정보보호법제의 방향 및 우리 법제와의 비교

1) 일본 개인정보보호법의 2015년 개정에서는 개인정보의 보호와 그 활용에 있어서의 균형이 주로 고려된 것으로 보인다. 일본의 경우에는 동의 요건이 우리보다 광범위하지 않았지만, 2015년 개정으로 요배려정보에 있어 동의 요건을 추가하는 등 일부 동의 요건을 강화하면서도 익명가공정보라는 개념을 통하여 그 활용 가능성도 모색하였다.

우리의 경우에도 개인정보 보호를 위한 규범력을 유지하면서도 비식별화 문제를 입법적으로 해결할 필요가 있다. 우리 정부는 2016. 6. 관련부처가 합동하여 『개인정보 비식별조치 가이드라인』을 마련하였는데, 이는 “빅데이터 활용에 필요한 비식별 조치 기준·절차·방법 등을 구체적으로 안내하여 안전한 빅데이터 활용기반 마련과 개인정보 보호 강화를 도모”하기 위한 것이다.⁸⁷⁾ 그러나 가이드라인은 규범력의 측면에서 충분하지 못하다는 지적이 많다. 그러므로 일본의 예를 참고하여 익명가공정보와 유사한 개념의 신설을 통하여 법률로 정리하는 것이 필요하다는 주장은 경청할 필요가 있다.⁸⁸⁾

2) 한편, 개인정보 관련 민사사건 처리와 관련하여 보면 개인정보보호법의 역할에 있어 차이가 있다. 일본의 개인정보보호법에는 직접 손해배상 규정을 두고 있지 않고 소위 준별론을 통해서 그 위반이 손해배상책임을 구성하는 것으로 이해되지도 않는다. 다분히 개인정보보호법의 행정법적인 성질이 강조되고 있는 상태라고 이해된다. 그에 반하여 우리는 개인정보 관련 법률에 각 손해배상에 관한 근거 조항 및 증명책임의 전환에 관한 규정을 두고 있으며,⁸⁹⁾ 나아가 3배액 손해배상, 법정손해배상에 관한 규정도 마련되어 있다.⁹⁰⁾ 이러한 조항은 개인정보 관련 법률 위반의 경우 ‘불법행위’로서 손해배상책임을 물을 수 있다는 점을 명시한 것으로 이해되므로 불법행위의 인정 요건에 관한 개별적인 검토는 필요하지만,⁹¹⁾ 법위반이 기본적으로 개인정보자기통제권의 침해를 구성한다고 보는 데에는 무리가 없고, 다음 단계로위법성 조각사유가 있는지, 손해가 발생하였는지에 집중하게 된다. 민사사건에서 개인정보보호법이 큰 역할을 하지 못하므로, 일본에서는 어떠한 것이 개인정보 사건인지도 명확하지 않은 것으로 생각된다.

2. 일본의 개인정보침해사건 처리와 우리 법제와의 비교

(1) 불법행위책임의 구성

일본에서도 개인정보의 유출이나 무단공개 등에 있어서 민사책임이 문제되는 것은 위에서 살펴본 판례에서 나타나는 바와 같다. 그와 관련하여서는 우리와 구별되는 특징이 있는데, 그것은 개인정보 침해를 프라이버시의 문제로 보고 불법행위 책임을 묻는다는 것이다.⁹²⁾ 이는 일관된 판례의 태도로서 위에서 살펴본 바와 같이 일본 개인정보보호법의 성격, 기능과 관련되어 있다. 따라서 일본에서 민법상의 불법행위책임을 묻기 위하여는 “권리 또는 법률상 보호되는 이익”이 침해되어야 하는데, 개인정보가 프라이버시로서 보호대상이 된다는 점을 바탕으로 프라이버시권의 일종인 “자기에 관한 정보를 컨트롤 할 수 있는 권리”가 침해되었다고 구성하는 것으로 이해된다.⁹³⁾ 사안의 결론에서는 불법행위책임을 인정하는 우리의 태도와 큰 차이는 없지만, 이와 같은 태도에 따라 프라이버시권이 문제되는 다른 사건들과의 명확한 구별은 어렵게 되었다. 실제 개인정보와 다른 정보가 혼재되어 있는 사건이 많으므로, 그 침해를 인정하는 기준도 명확하지 않아 보인다. 다만, 위에서 살펴본 바와 같이 귀납적으로 단순한 식별정보 외에 평가, 가치 등의 주관적 요소와 관련된 정보가 포함된 경우에는 다른 평가 기준 등이 함께 검토된 것으로 대별할 수는 있다.

결국 우리와는 개인정보보호법의 성격의 차이로 인하여 불법행위책임을 구성하는 방식에는 차이가 있으나,⁹⁴⁾ 구체적인 사안에서 보호법익을 자기정보통제권(자기정보결정권)으로 보고, 개인정보의 유출이나 무단 공개행위가 그 침해에 해당하여 불법행위책임이 문제된다고 구성하는 점에 있어서는 큰 차이가 없는 것으로 보인다. 참고로 우리나라에서도 프라이버시라는 개념이 인정되어 불법행위책임의 근거로 사용되기도 한 바 있지만,⁹⁵⁾ 우리와 달리 일본에서는 최고재판소에서 그 용어를 사용하고 이미 상당한 판례가 축적되어 있는 것으로 보인다.

(2) 위법성 조각

일본에서도 우리와 마찬가지로 경우에 따라 개인정보의 내용이 다른 이익과 관련된 사안에서 이익형량을 통해 위법성 조각 여부를 검토한다. 침해행위가 있다고 해서 곧바로 불법행위 책임을 인정하는 것이 아니라 해당 정보의 공개가 다른 법익의 보호와 관련된 문제인지 살펴보는 위법성 조각의 단계를 거치는 것이다. 이는 일반적인 불법행위 책임의 구성에 부합하는 것으로 특정한 의도를 가지고 개인정보를 공개하는 사안에서 주로 문제될 것이다.

일본의 경우 위에서 살펴본 소위 <논픽션 사건>에서 그 기준이 구체적으로 제시되고 있다. 우리 판례 중에도 실제 개인정보의 공개가 문제된 사안에서 이익형량을 통하여 그 위법성을 판단한 사례가 존재한다.⁹⁶⁾

(3) 손해의 인정

마지막으로 손해의 인정과 관련하여 살펴보도록 한다. 위에서 소개한 최근의 <교육생 명단 유출 사건>에 있어서도 드러나듯이 일반적으로 일본 재판소는 구체적인 손해의 발생을 요구하지 않는 것으로 보인다. 즉, 2차 피해가 있는 경우에 위자료를 증액하기는 하지만, 위 판결은 프라이버시 정보의 중요성 등에 비추어 구체적인 정신적 고통의 주장이 없더라도 추상적인 정신적 손해의 발생을 인정할 가능성을 시사하는 취지로 이해된다.⁹⁷⁾ 이는 우리 법원이 과거에 취하던 태도와 유사하고, 최근 우리 판례가 과거와 달리 보다 구체적으로 손해의 발생에 관하여 검토하며, 그를 통해서 일정한 경우 원고의 청구를 기각하는 방향으로 정리되고 있는 것과는 차이가 있다.⁹⁸⁾ 최근의 우리 판례는 단순한 불안과 불쾌감으로는 손해배상책임을 구성할 수 없다고 보았던 <교육생 명단 유출 사건>의 원심의 태도와 궤를 같이 하는 것으로 이해된다.

일본에서도 <교육생 명단 유출 사건>에서 최고재판소가 밝힌 기준과 관련하여 장래에 소송이 빈발할 것을 우려하는 목소리도 있다.⁹⁹⁾ 우리 판례와 일본 판례의 태도를 두고 어떠한 접근이 보다 적절하다고 단언하기는 어렵다. 개인정보의 보호와 활용에 관한 사회적 인식이나 분위기, 자율규제의 정도(전술한 바와 같이 일본의 경우 상당한 분쟁이 자율규제를 통하여 해결된다), 공식적인 분쟁조정 가능성(우리의 경우 개인정보분쟁조정위원회를 통한 간명한 해결이 가능하다) 등에 있어서 차이가 있기 때문이다. 특히 개인정보의 처리에 관한 지향이나 기본적인 태도의 측면에서도 고려할 점이 많다. 다만, 다른 요소들을 차치하고 도그마적인 측면에서 보면 불법행위 구성요건을 세부적으로 검토한다는 점이나 다른 불법행위책임 인정과 관련한 정합성을 유지한다는 점에서 우리 판례의 태도가 한걸음 앞서고 있다고 볼 수 있지 않을까 생각한다.

한편, <교육생 명단 유출 사건>과 같은 사실관계를 기초로 한 하급심 판결에서 원고의 청구를 기각한 것이 있고,¹⁰⁰⁾ 또 원고의 청구를 인용한 것도 있어 향후 귀추가 주목된다.¹⁰¹⁾ 손해발생 여부에 관한 판단과 관련하여 일본의 실무는 아직 진행형이 아닌가 싶다.

(4) 판례의 유형화

위에서 일본 판례의 분류와 관련해서, 일응 개인정보처리자의 개입 정도에 따라 구별하여 두었다. 그러나 실제 개인정보가 관련된 다른 종류의 사건도 존재할 수 있다. 일본의 경우에는 개인정보보호법의 각 규정이 곧바로 불법행위의 태양으로 기능하지 못하기 때문에, 아직까지 그 유형을 구별하는 기준이 명확하지는 않은 듯하다.¹⁰²⁾ 일본에서도 사례가 축적되면 대상 정보나 행위 태양, 보호법익 등을 고려한 여러 유형화 시도가 나타나지 않을까 생각한다.

Ⅴ. 결 어

1) 이제까지 일본의 개인정보보호법제의 전반을 살펴보고 실제 개인정보 관련 민사사건에서의 처리 기준과 사례들을 개괄하여 우리의 태도와 비교해보았다. 일본의 개인정보보호법은 그 구체적인 내용에서 우리와 상당한 차이가 있다. 개인정보의 개념과 그 활용이라는 면에 있어서 우리와 다른 접근 방향을 가지고 있다. 나아가 그 법률의 성질과 기능에 있어서도 상당한 차이점을 보여주는바, 민사책임의 관점에서는 해당 법률의 위반이 곧바로 침해행위로 구성되지 않는다는 점에서 그 역할이 우리 법제와 확연히 다르다. 그간의 판례들을 살펴볼 때, 판례의 축적과 그 이론적인 고민에 있어서는 우리가 앞서 가고 있지는 않은가 하는 생각도 든다. 일본에서도 사건이 축적될수록 새로운 고민을 할 수도 있을 것이다. 그 고민은 우리에게는 낯익은 것일 수도 있겠지만, 또 낯선 것일 수도 있다. 이웃나라의 판례의 추이를 지켜볼 필요가 있는 것은 그 때문일 것이다.

2) 개인정보 관련 법령의 개선을 논의할 때 주로 규제적인 측면에서 접근하는 것이 많은 것 같다. 그러나 각 기업들의 민사책임은 기업들의 의사결정이나 행태에 큰 영향을 주지 않을 수 없다. 따라서 민사책임의 향방을 염두에 두는 것은 매우 중요한 일이 아닐 수 없다. 행정적인 규제나 형사처벌과 같은 방안과 함께 종합적인 제도 설정을 위하여는 민사사건에서 우리가 어떻게 해왔는지 되돌아보는 것도 필요하다. 그 과정에서 일본의 논의도 눈여겨 볼 필요가 있다.

Notes

^* 이 논문은 개인정보보호위원회 2018년 연구보고서 개인정보 분쟁조정 손해배상에 관한 연구 의 필자 연구부분중 일부에서 착안하였으나, 그 내용을 전면적으로 수정, 보완, 업데 이트한 것이다.

1) 개인정보보호법 개정안과 관련된 다음 기사제목만 보아도 그 선명한 대비가 드러난다.

예컨대, 한겨레신문 2018. 11. 28.자. “개인정보보호법 정부안 보호수준 미흡…EU 수준으로 높여야” http://www.hani.co.kr/arti/politics/polibar/872117.html#csidx73a90b8991686f89f5c6862d0f83855

매일경제 2018. 11. 20.자 “시민단체에 또 막힌 `개인정보 활용`” http://news.mk.co.kr/newsRead.php?year=2018&no=727655

2) 비식별화와 손해배상과 관련하여 최근에 하급심판례가 선고되었다. 서울중앙지방법원 2017. 9. 11. 선고 2014가합508066, 538302 판결, 서울고등법원 2017나2074963로서 소위 약학정보원 사건으로 불린다. 약학정보원이 정보주체의 동의 없이 개인정보를 수집한 후 암호화를 거쳐 제3자에게 제공한 법원은 일정한 암호화를 거친 경우에도 식별가능성을 인정하였다. 현재 상고심 계속중. 이 1심 판결 및 비식별화에 관한 논의로, 이동진, “개인정보 보호법 제18조 제2항 제4호, 비식별화, 비재산적 손해 - 이른바 약학정보원 사건을 계기로 -, ｢정보법학｣제21권 제3호, 2017. 12.

3) 최근 우리 대법원은 소위 해킹 사건에 있어서 일정한 보호조치를 다 한 경우 책임을 부정하고(대법원 2018. 1. 25. 선고 2015다24904, 24911, 24928, 24935 판결 (소위 “SK컴즈” 사건), 대법원 2015. 2. 12 선고 2013다43994 판결 (소위 “이베이옥션” 사건)), 의무 위반으로 개인정보가 유출되었다고 하더라도 일정한 경우 손해배상책임을 부정하였다(대법원 2012. 12. 26 선고 2011다59834 판결 (소위 “GS칼텍스” 사건)).

4) 대표적으로, 김봉수, “일본의 개인정보보호법제와 현황”, ｢국제법무｣ 제8집 제2호, 제주대학교 법과정책연구원, 2016. 11., 55-77면; 김은수/정종구, “2015년 일본개인정보보호법의 개정-개정된 주요 내용과 시사점”, ｢연세글로벌비즈니스법학연구｣ 제8권 제1호, 연세대학교 법학연구원 글로벌비즈니스와 법센터, 2016, 113-142면; 한귀연, “일본 개정개인정보보호법의 주요내용과 그 시사점”, ｢공법학연구｣ 제18권 제4호, 한국비교공법학회, 2017. 11., 531-559면.

5) 平松毅, ｢個人情報保護-制度と役割｣, 株式會社ぎょうせい, 210，214頁; J. Lee, Riccardi, “The German Federal Data Protection Act of 1977: Protecting the Right to Privacy?”, Boston College International and Comparative Law Review Volume 6 (1983), p.247.

6) 특정한 국가의 입법으로는 스웨덴의 입법이 최초의 것으로 알려져 있다. 平松毅, 前揭書, 210，221頁.

7) 현재는 Hessisches Datenschutz- und Informationsfreiheitsgesetz(HDSIG)로 명칭이 변경되어 유지되고 있다. 全文은, https://www.rv.hessenrecht.hessen.de/bshe/document/jlr-DSIFGHErahmen (2019. 9. 25. 최종방문)

8) 주의회가 통과시킨 정식 명칭은 Hessisches Gesetz zur Anpassung des Hessischen Datenschutzrechts an die Verordnung (EU) Nr. 2016/679 und zur Umsetzung der Richtlinie (EU) Nr. 2016/680 und zur Informationsfreiheit 으로서, 유럽법 전체의 질서와의 관계가 잘 드러난다.

9) 이와 같은 1970년의 최초 입법은 완전히 새로운 것은 아니었다고 할 수 있는데, 그 이전에 이미 독일 기본법(Grundgesetz)에서 개인의 인격을 보장하는 내용이 들어 있었고(독일 기본법 제2조 제1항은 “모든 사람은, 타인의 권리, 헌법 질서, 공서를 해하지 않는 한, 그 자신의 인격의 자 유로운 발전에 관한 권리를 가진다.”라고 선언하고 있다), 독일 연방헌법재판소는 인격의 자유로운 발전에 관한 권리를 선언하였기 때문이다(Nov. 6, 1958, 7 BVerfG 377, 405).

10) 독일 정부는 1960년대에는 대체로 새로운 기술이 만들어내는 개인정보이나 사생활의 문제보다는 그 기술의 유효성에 관심이 있었으나, 차츰 그 개인정보 및 사생활 보호에 관한 관심이 생겼다. 독일의 연방정부는 1971년에 이르러도 당시의 법률들이 개인정보를 충분히 보호하고 있어 더 이상 데이터 처리에 관한 추가적인 규제가 필요 없다는 입장이었던 것으로 보인다. 그러나 독일 의회의 입장은 이와 달랐고, 정부는 1973년에야 법안을 제출하게 되었다. 이후 여러 논의를 거쳐서 1977. 2. 1. BDSG가 공포되었다. 이러한 법률의 제정 경위에 관하여는 J. Lee, Riccardi, op.cit., p.247-248 참조. 법률의 기본적인 내용에 관한 개괄적인 설명으로는 op.cit, p.248-252.

11) 개정법의 전문은 https://dsgvo-gesetz.de/bdsg/ (최종방문 2019. 9. 25.). 조수영, “개인정보보호법과 EU의 GDPR에서의 프라이버시 보호에 관한 연구”, ｢법학논고｣ 제61집, 경북대학교 법학연구원, 2018.4., 136면에 주요 개정 내용이 표로 정리되어 있다.

12) 정식 명칭은 “Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data”.

13) 조수영, 전게논문, 119면.

14) 박노형 외 8, ｢EU 개인정보보호법-GDPR을 중심으로｣, 박영사, 2017, vii-xi 면 참조.

15) GDPR ‘전문’(recital/Erwägungsgrund) 제41번, GDPR의 주요 내용 및 우리 법과의 비교는 임규철, “유럽연합과 독일의 개인정보보호법의 비판적 수용을 통한 우리나라의 개인정보보호법의 입법개선을 위한 소고”, ｢법학논고｣ 제61집, 경북대학교 법학연구원, 2018. 4., 81∼115면; 조수영, 전게논문, 123-124면에 잘 소개되어 있다.

16) 2018. 10. 31. 현재 오스트리아, 벨기에, 덴마크, 프랑스, 독일, 헝가리, 아일랜드, 이탈리아, 네덜란드, 폴란드, 슬로바키아, 스웨덴, 영국이 GDPR을 이행하기 위한 국내법을 제정하였다. GDPR의 국내법화에 관한 사항은, https://www.twobirds.com/en/in-focus/general-data-protection-regulation/gdpr-tracker (최종방문 2019. 9. 25.).

17) 프랑스의 개인정보보호법제에 관하여는 이한주, “개인정보보호위원회 제도의 문제점과 개선방안- 프랑스 CNIL의 비교를 통하여”, ｢법학논고｣ 제41집, 경북대학교 법학연구원, 2013. 2., 479-480면.

18) 그 개괄적 내용에 관하여는 국회도서관, “영국 데이터보호법과 브렉시트”, ｢최신외국입법정보｣, 2019. 5. 2. 제88호 참조.

19) 이인호, “개인정보 자기결정권의 한계와 제한에 관한 연구”, 한국정보보호진흥원, 2001, 77면. 미국의 개인정보보호법제에 관한 개관은, 이원우, “개인정보 보호를 위한 공법적 규제와 손해배상책임-개인정보누출을 중심으로”, ｢행정법연구｣ 30, 행정법이론실무학회, 2011. 8., 241-252면 참조.

20) 국회도서관, “미국 데이터프라이버시법”, ｢최신외국입법정보｣, 2019. 3. 20. 제83호, 3면.

21) 국회도서관, 상게문헌, 4-6면.

22) 일본의 개인정보보호법제의 특징과 입법과정에 관하여는 김봉수, 전게논문, 57-59면.

23) 平松毅, 前揭書，258-259頁.

24) 전술한 바와 같이 우리 법의 경우, 민간 및 공공을 통할하는 법률로 개인정보보호법이 만들어졌는데, 일본의 경우에는 차이가 있는 것을 알 수 있다.

25) 2009년 개정 내용에 관한 국문 번역은 임규철 편역, ｢개인정보법(2012)｣, 북포유, 2013, 262-308면.

26) 개정 개인정보보호법에 대한 해설로는, 厚生労働省・経済産業省, ｢個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン｣ (平成２８年１２月２８日告示第２号) 참조. 상당히 자세한 가이드라인이다.

http://www.meti.go.jp/policy/it_policy/privacy/downloadfiles/161228kojoguideline.pdf (최종방문 2019. 9. 26.)

27) 김은수/정종구, 전게논문, 119-121면; 한귀연, 전게논문, 532-533면. 김은수/정종구, 120면에서는 개인정보보호법이 개정된 배경과 관련하여 2013년 발생한 “승강기이력정보 판매사건”을 언급한다. 그 자체로 개인정보는 아니지만 그를 취득한 다른 사업자가 자신이 보유한 다른 정보와 결합하여 개인정보로 활용할 여지가 있는 정보를 유통시킨 것에 대하여 사회적 지탄을 받게 되었다고 한다.

28) 이하에서 정리한 주요 내용을 포함한 개정 내용에 관한 우리말 문헌으로는, 김은수/정종구, 전게논문, 2016, 113-142면; 한귀연, 전게논문, 531-559면. 개정법의 전반적인 내용, 핵심적인 쟁점에 관한 일본어 설명은, NECネクサソリューションズ株式会社가 제공하는 아래 인터넷 사이트를 참고.

https://www.nec-nexs.com/privacy/explanation/trouble-shooting.html (최종방문: 2019. 9. 27.)

29) 이는 “본인의 인종, 신조, 사회적 신분, 병력, 범죄의 경력, 범죄에 의해 해를 입은 사실, 그 밖에 본인에 대한 부당한 차별, 편견, 그 밖의 불이익이 발생하지 않도록 그 취급에 특히 배려를 요하는 것으로서 정령으로 정한 사항 등이 포함된 개인정보를 말한다”(일본 개인정보보호법 제2조 제3호). 이는 우리나라의 민감정보에 해당한다(우리 개인정보보호법 제23조 제1항 참조).

30) 김은수/정종구, 전게논문, 122-123면; 한귀연, 전게논문, 536면.

31) 김은수/정종구, 전게논문, 128면.

32) 한귀연, 전게논문, 543면.

33) 소관부처별 지침현황에 관하여는 김봉수, 전게논문, 68-72면 참조.

34) 구체적으로는 다음의 사무를 처리한다. ① 기본방침을 책정하고 추진하는 일에 관련된 것, ② 특정 개인정보 취급에 관하여 감시 또는 감독 그리고 고충의 신청에 관하여 필요한 알선 및 그 처리를 하는 사업체에의 협력에 관한 것, ③ 특정개인정보 보호 평가에 관한 것, ④ 개인정보의 보호 및 적정하고 효과적인 활용에 관한 홍보 및 계발에 관한 것, ⑤ 위 각 사항을 행하기 위하여 필요한 조사 및 연구에 관한 것, ⑥ 소관사무에 관한 국제협력에 관한 것, ⑦ 이상의 사무 외에 법률이나 명령에 따라 위원회의 사무에 속하게 된 것. 이 외에도 개정에 의해서 신설된 각종 제도 등에 대해서는 개인정보보호위원회가 규칙으로서 상세를 정하게 되어 있는 부분이 많다. 일본 개인정보보호법이 행정적 규제를 중심으로 마련된 법임을 고려할 때 이와 같은 규제기관의 일원화는 효율적인 행정이라는 점에서 의미가 있어 보인다.

35) 일본 개인정보위원회와 프랑스, 독일의 감독기관에 대한 비교는 김은수/정종구, 전게논문, 133, 134면.

36) 한귀연, 전게논문, 544면.

37) 방송통신위원회(연구기관: 고려대학교 산학협력단), ｢EU 및 일본의 개인정보보호 법제 및 감독체계 개편내용 분석｣, 2014. 12., 98-99면.

38) 우리 개인정보보호법 제39조, 제40조 등에 손해배상과 관련된 규정이 있다. GDPR은 제82조에 손해배상에 관한 명문의 규정을 두고 있다(제82조 손해배상을 받을 권리 및 법적 책임 ① 본 규칙의 위반으로 인해 물질적 또는 비물질적 손해를 입은 자는 누구든지 컨트롤러 또는 프로세서로부터 손해배상을 받을 권리가 있다.)

39) 부당이득을 도모하는 목적의 개인 정보 데이터베이스 제공 혐의가 신설된 것도 개정법의 큰 수정이다. 이는 개인 정보 취급 사업자, 혹은 그 종업원(과거 종업자인 자 포함)이 업무에 관해서 다룬 개인 정보 데이터베이스 등(그 전부 또는 일부를 복제하거나 가공한 것을 포함)을 자기 또는 제3자의 부당이득을 도모할 목적으로 제공하거나 도용했을 때는 1년 이하의 징역 또는 50만엔 이하의 벌금에 처한다는 것이다.

40) 한귀연, 전게논문, 543면.

41) 김은수/정종구, 전게논문, 138-139면. 이 논문에서는 강력한 과징금 제도의 도입이 주장되었다.

42) 일본에서는 개인정보보호법은 행정청과의 관계에서 의무를 부과하는 것으로 그 준수 여부가 일반적으로는 불법행위 책임과는 관계없다는 소위 “峻別論”이 통설적인 견해라고 한다. 이에 따르면, 개인정보보호법 위반은 행정법적인 규제와 관련된 것이고, 민사책임은 프라이버시 등 침해와 관련하여 별도 문제로서 검토되어야 한다. 板倉陽一郞, “個人情報保護法違反を理由に損害賠償請求に関する考察”, ｢情報ネットワーク·ロレビュー｣第11卷, 商事法務, 2012, 1頁. 재산법제의 연장이나 응용으로 구성할 수도 없고 인격권으로 구성할 수도 없다는 점이 개인정보보호법의 혼란의 원인이라는 견해는, 林紘一郎/ 鈴木正朝, “情報漏洩リスクと責任-個人情報を例として”, ｢法社会学｣ 2008巻 69号, 2008, 156頁.

43) 板倉陽一郞, 前揭論文, 2頁.

44) 福岡地判平成 23年3月16日判例集未登載·判例祕書: LLI/DB08850134; 東京地判平成 20年4月22日判例集未登載·判例祕書: LLI/DB06331198 등. 이 판례의 소개는 上揭論文, 2頁.

45) 일본 민법의 불법행위책임 관련 규정은 다음과 같다. 제709조 고의 또는 과실에 의하여 타인의 권리 또는 법률상 보호되는 이익을 침해한 자는 그로 인하여 발생한 손해를 배상할 책임을 진다. 제710조 타인의 신체, 자유 또는 명예를 침해한 경우 또는 타인의 재산권을 침해한 경우 어느 것인지와 관계없이 전조의 규정에 의하여 손해배상의 책임을 지는 자는 재산이외의 손해에 대하여도 그 배상을 하지 않으면 안된다.

46) 재미있는 것은 일본의 경우 개인정보보호법의 제정에 있어 프라이버시와 개인정보가 동의어로 사용되는 경우가 많다는 지적이 있다는 것이다. 豊田建, “日本における個人情報保護法財政の歴史的背景-国民の意識と社会的背景”, ｢醫療情報學｣ 24(5), 2004, 484頁.

47) 미국에서의 프라이버시권의 발전 과정에 관한 개략으로는 허성욱, “불법행위법리에 의한 인터넷상의 정보프라이버시 보호문제에 관한 일고-리니지 Ⅱ 게임 아이디·비밀번호 노출사건을 중심으로”, ｢민사판례연구｣ 30권, 한국민사판례연구회, 박영사, 2008, 769-774면; 박완규, “과학기술 발전과 프라이버시 보호 기준 변화에 대한 소고”, ｢법학논고｣ 제49집, 경북대학교 법학연구원, 2015. 2., 35-39면. 이들 문헌에서 소개된 Prosser의 분석에 의하면, ① 원고의 신체적·장소적 사영역에 대한 침입 또는 그 사적 사항에 대한 침투, ② 사생활의 공개, ③ 공중에게 원고에 대한 잘못된 인식을 심어 주는 행위, ④ 성명 또는 초상 둥에 대한 침해라는 네 가지 서로 다른 종류의 권리침해에 있어서 문제가 된다고 한다.

48) 伊藤博文, “プライバシーと不法行為法”, ｢Bulletin of Toyohashi Sozo Junior College｣ No. 20, 2003, 36頁.

49) 하급심의 경우 東京地判昭和39・9・28 判時385号12頁（소위 “연회 후 사건”｢宴のあと｣事件)에서 인정되었고(이에 관하여는 후에 다시 살펴본다), 일본 최고재판소에서는 소위 <교토시 전과조회사건>(最高栽昭和 56.5.14. 民集35卷620頁)에서 처음 인정된 것으로 알려져 있다. <교토시 전과조회사건> 에 관한 간단한 설명으로는 伊藤博文, 前揭論文, 29頁.

50) 일본에서의 프라이버시 개념과 관련된 학설상의 논의에 관하여는 窪田充見編輯, ｢新注釈民法｣(15), 有斐閣コンメンタル, 2017, 526-527頁(水野謙執筆部分).

51) ‘국토교통성 총합정책국 화물유통시설과’에서 평성 17년 3월에 발간한 “창고업에 있어서 개인정보보호에 관한 가이드북”에서도 누설과 관련하여서만 손해배상책임이 언급되어 있다.

52) 예컨대, 伊藤博文, 前揭論文, 36頁에서도 프라이버시를 논의하는 중에 개인정보에 관한 설명을 한다.

53) 中山布紗, “個人識別情報の漏えいによる不法行為の成否 : ベネッセコーポレーション個人情報漏えい損害賠償請求事件[最高裁平成29.10.23判決]”, ｢立命館法學｣, 2018, 267頁.

54) 프라이버시권의 발전과정에 비추어 우리 법상 개인정보유출과 관련된 프라이버시권을 “확대된 프라이버시권으로서 개인정보 자기결정권”으로 보는 것이 타당하다고 보는 견해로는, 허성욱, 전게논문, 774면. 다만 우리의 개인정보보호법제상 굳이 프라이버시권을 포함시킬 필요는 없지 않은가 싶기도 하다.

55) 拙稿, “개인정보 민사판례상 손해배상책임의 인정 기준- 2010년 이후의 판례의 동향과 그 분석을 중심으로”, ｢문화·미디어·엔터테인먼트법｣제13권 제1호(중앙대학교 법학연구원 문화·미디어·엔터테인먼트법 연구소), 2019. 6.. 14-18면.

56) 금융위원회, “신용정보법 위반사례로 보는 개인신용정보보호 교육자료”, 2018. 9.; 이창범/김본미, ｢개인정보피해구제 및 배상기준에 관한 연구｣, 개인정보분쟁조정위원회/한국정보보호진흥원, 2004, 165면.

57) 拙稿, 전게논문에서도 유사한 접근을 통하여 우리 판례들을 분류하였다. 위 논문의 해당부분을 재검토한 결과 일부 내용 중 “개인정보처리자”를 “개인정보주체”로 잘못 기재한 것이 발견되었다. 이 기회를 통하여 바로 잡고자 한다.

58) 京都地判平成13.2.23. 判自265号17頁, 大阪高判平成13・12・25 判自265号11頁. 이하 “<>”안의 사건명은 임의로 붙인 것으로 특별한 의미는 없다.

59) 東京地判平成10.1.21. 判時1646号102頁.

60) 東京高判平成19.8.28. 判時1264号299頁.

61) 大阪地判平成18.5.19. 判時1948号122頁. 原田良雄, “個人情報漏えいの事例分析と対策についての一検討”, ｢大阪産業大学経営論集｣第13 巻第2 ・3 合併号, 2012, 183頁에 관련 내용이 요약되어 있다. 이 글에는 2007-2011년의 개인정보 유출사례들이 요약되어 있다.

62) 형사재판과 더불어 민사재판이 진행되었는데, 오사카 고등법원은 유출에 기한 불안감이 크지 않고 관련 정보의 비밀성도 높지 않으며 이미 500엔의 상품권이 교부되었다는 점을 고려하여 2007년 6월 21일 위자료 5,000엔 및 변호사 비용 1,000엔의 손해배상책임을 인정하였다.

63) 東京地判平成19.2.8 判時1964号113頁, 控訴審東京高判平成19・8・28 判タ1264号299頁.

64) 最高裁平成29年10月23日判決判タ1442号46頁. 변우주, “개인정보누출에 의한 민사책임- 일본의 재판례와 학설을 중심으로”, ｢한국부패학회보｣ 제23권 제4호, 2018, 60-64면에서 이 판결의 내용을 우리말로 정리하고 있다. 정보 유출과 관련하여 해당 회사가 고객에게 직접 정리하여 알려준 내용은,

https://www.benesse.co.jp/customer/bcinfo/01.html (최종방문일 2019. 9. 18.)

65) 일본에서는 회사명을 따라 베넷세 사건(ベネッセ事件)으로 불리는 것 같다. 예컨대, 日本經濟新聞 2018. 6. 20.자 기사(https://www.nikkei.com/article/DGXMZO32001710Q8A620C1CR8000/ 최종방문일 2019. 9. 18.)

66) 이 사건과 별도로 집단소송이 진행되고 있는데, 그에 관하여 이 사건의 결과가 어떠한 미칠 것으로 보여 주목되고 있다. 松下外 17, “プライバシー侵害に基づく慰謝料請求に関するベネッセ個人情報流出事件最高裁判決について”, 2017. 10. 25. (이 자료는 https://innoventier.com/archives/2017/10/4444에서 확인 가능. 최종방문일 2019. 9. 17.).

67) 판례는 프라이버시 침해를 인정하면서 아래 <와세다 대학 장쩌민 사건>을 전거로 삼고 있다.

68) 中山布紗, 前揭論文, 261頁.

69) 東京地判平成2.8.29. 判時1382号92頁.

70) 最高裁第二小法廷平成15.9.12. 民集57巻号973頁.

71) 변우주, 전게논문, 61면 각주 45)에도 사건의 내용이 간단히 요약되어 있다. 사건명은 그 내용을 참고하였다.

72) 東京高判平成16.3.23.判時1855号104頁.

73) 窪田充見編輯, 前揭書, 539-540頁(水野謙執筆部分).

74) 最高裁第三小法廷平成6.2.8. 民集48巻号149頁.

75) 東京地判昭和39.9.28. 判時385号12頁（소위 “연회 후 사건”｢宴のあと｣事件). 그 구체적인 내용은 다음과 같다. 미시마유키오(三島由紀夫)의 소설 “연회 후”(1960년 간행)는 도쿄도지사 선거를 그린 것이지만, 모 씨와와 그의 아내를 모델로 주인공을 그린 것으로 이해되었는데, 해당 소설에는 이 두 사람의 사생활이 나타나 있었다. 이러한 사정에서 모씨는 작가와 출판사 新潮社를 상대로 1966년 3월 15일 사생활 침해를 이유로 위자료 100만엔과 사죄광고를 청구하는 소송을 제기하였다. 원고가 승소하였으나 항소심 중에 원고가 사망하여 유족과 피고가 합의하였다고 한다. 이러한 경위 및 소송의 경과에 관하여는 변우주, 전게논문, 51면 각주4) 또는 伊藤博文, 前揭論文, 28, 29頁 참조. 이 사건에 관하여는 인터넷상의 자료도 많다.

76) 프라이버시와 명예훼손은 일치하는 개념이 아니다. 명예훼손은 사회적 평가와 관련되고, 프라이버시는 내밀한 사적 영역의 비밀성과 관련된다(Warren & Brandeis의 구별론은 박완규, 전게논문, 36-37면). 그렇지만 둘 다 인격권에 속하는 것으로 그 내용상 서로 맞닿은 점이 있고, 위자료를 인정하는 측면에서 효과도 같다. 개인을 식별하는 정보가 가치중립적이라고 할 때 내밀한 사적 영역을 보호하는 것은 그 정보가 담고 있는 콘텐츠와 관련된 것으로 오히려 평판의 문제가 가깝게 느껴진다. 우리나 일본과 마찬가지로 사실적시 명예훼손도 인정되는 법제에서는 개인식별정보 외의 사적 영역에 관한 정보는 명예훼손과 더 밀접한 관련이 있어 보인다. 실무에서는 프라이버시와는 구별하여 명예훼손 사건을 처리하고 있는 것으로 보인다. 일본에서 인터넷상 표현행위와 관련하여 명예훼손으로 불법행위를 인정한 판결(最高裁第二小法廷平成24年３月23日判決)에 관한 평석으로 雄太橘井, “民事判例研究”, ｢北大法学論集｣, 64(6), 2014, 155-175. 프라이버시와 명예훼손의 관계에 관하여 伊藤博文, 前揭論文, 26頁에서는 벤다이어그램을 통하여 설명하고 있다.

77) <교육생 명단 유출 사건>과 같은 사실관계를 바탕으로 한 사건에서, 도쿄지방재판소는 2018. 6. 20. 180명의 원고의 청구를 기각하였다. 재판부는 피고 회사가 충분한 대책이나 감독을 게을리 했다고 해서 주의 의무 위반을 인정하면서도, 이름이나 주소 등의 정보가 사상 신조나 성적 지향 등의 정보에 비해, 다른 사람에게 함부로 공개되고 싶지 않은 사적 영역의 정보라고 하는 성격은 낮다고 판단하여, 원고 측에 실제의 손해가 생기지 않았고 사과의 문서와 500엔 상당의 상품권을 배포한 것 등을 고려하였다고 한다. 日本經濟新聞 2018. 6. 20.자 기사(https://www.nikkei.com/article/DGXMZO32001710Q8A620C1CR8000/ 최종방문일 2019. 9. 18.)

78) 中山布紗, 前揭論文, 266頁. 다만, 이 견해는 ‘개인정보’와 ‘개인식별정보’라는 개념을 대비하여 사용하는데, 이처럼 쓰는 경우 오해의 여지가 있어 보이므로 다른 방식으로 준별하는 것이 적절해 보인다.

79) 우리와 마찬가지로 일본의 경우에도 명예훼손에 있어서 표현의 자유와의 갈등관계를 해소하는 법리가 마련되어 있다. 窪田充見編輯, 前揭書, 508-526頁(水野謙執筆部分).

80) 窪田充見編輯, 上揭書, 534-535頁(水野謙執筆部分)에서는 <논픽션 사건>을 개인정보와 관련하여 다루지 않고, 프라이버시권의 적극적 요소를 고려한 사건으로 설명하고 있다.

81) 新保史生는 사적 영역의 보호, 개인정보의 보호, 개인의 자율의 보호 세 가지를 프라이버시의 영역으로 설명하고 있다. 新保史生, ｢プライバシーの権利の生成と展開｣, 成文堂, 1999, 107頁.

82) 위에서 설명한 바와 같이 요배려정보에 있어서는 “본인에 대한 부당한 차별, 편견, 그 밖의 불이익이 발생하지 않도록 그 취급에 특히 배려를 요하는 것으로서 정령으로 정한 사항 등이 포함된 개인정보”를 포함할 수 있는바, 이는 프라이버시와 명예훼손과 관련된 정보중 상당 부분을 포섭할 것이다.

83) 일본경제사회진흥추진협회 홈페이지에서는 그 개념 구별을 정리해두고 있다.

(https://privacymark.jp/wakaru/kouza/theme1_03.htm 최종방문일 2019. 9. 24.)

84) 林紘一郎, 前揭論文, 83頁.

85) 이 내용은 미즈호중앙법률사무소의 홈페이지의 내용(https://www.mc-law.jp/kigyohomu /9055/ (최종방문 2019. 10. 25.)을 기초로 한 것이다. 자율적으로 합의가 된 것과 법원 판결에 의한 것이 정리된 내용도 포함되어 있어 대략적인 위자료 인정 범위를 추단할 수 있다.

86) 林紘一郎, 前揭論文, 83頁에도 주요사건의 위자료 금액이 표로 제시되어 있다.

87) 국무조정실/행정자치부/방송통신위원회/금융위원회/미래창조과학부/보건복지부, ｢개인정보 비식별조치 가이드라인｣, 2016. 6., 1면.

88) 한귀연, 전게논문, 552-553면. 국회의안정보시스템을 확인해본 결과 현재 우리 국회에 의안번호 22398 개인정보 보호법 일부개정법률안(김석기의원 대표발의)등 여러 개정안이 계류되어 있는데, 이러한 필요성을 고려한 것들이 많다. 조속한 입법이 필요해 보인다.

89) 개인정보보호법 제39조 제1항(정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다), 정보통신망법 제32조(이용자는 정보통신서비스 제공자등이 이 장의 규정을 위반한 행위로 손해를 입으면 그 정보통신서비스 제공자등에게 손해배상을 청구할 수 있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다), 신용정보법 제43조 제1항(신용정보회사등과 그 밖의 신용정보 이용자가 이 법을 위반하여 신용정보주체에게 피해를 입힌 경우에는 해당 신용정보주체에 대하여 손해배상의 책임을 진다. 다만, 신용정보회사등과 그 밖의 신용정보 이용자가 고의 또는 과실이 없음을 증명한 경우에는 그러하지 아니하다).

90) 대표적으로 개인정보보호법 제39조, 제39조의 2.

91) 정상조/권영준, “개인정보보호와 민사적 구제수단”, ｢법조｣ 제630호, 2009. 3., 법조협회, 22면; 고홍석, “개인정보유출로 인하여 위자료로 배상할 만한 정신적 손해의 발생 여부”, ｢BFL｣제66호, 2014. 7., 73면.

92) 우리 대법원은 프라이버시권을 연결하지 않고 개인정보자기결정권을 도출해낸다. 대표적으로, 대법원 2014. 7. 24 선고 2012다49933 판결.

93) 中山布紗, 前揭論文, 267頁.

94) 어떠한 법제가 우월한가의 문제에 대하여는 단언하기 어렵다. 개인정보의 통일적인 이해와 관련해서는 우리 법제가 더 나은 것이 아닌가 싶기도 하다. 그러나 다른 침익적 처분이나 형사처벌의 기초가 되는 규정과 민사책임의 기초가 되는 규정은 해석방법이 서로 다른데, 그러한 규정들이 혼재하는 법률은 그 해석에 있어 여러 어려움을 낳는다는 점에서 우리 법제의 한계도 있어 보인다. 다만 이러한 문제는 우리나라의 개인정보 관련 법령에 한정된 것은 아니다.

95) 예컨대, 서울중앙지방법원 2007. 1. 24 선고 2006가합24129 판결(“우리 헌법 제10조는 “모든 국민은 인간으로서의 존엄과 가치를 가지며, 행복을 추구할 권리를 가진다.”, 같은 법 제17조는 “모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다.”, 같은 법 제21조 제4항은 “언론·출판은 타인의 명예나 권리 또는 공중도덕이나 사회윤리를 침해하여서는 아니 된다. 언론·출판이 타인의 명예나 권리를 침해한 때에는 피해자는 이에 대한 피해의 배상을 청구할 수 있다.”라고 각 규정하고 있는바, 이러한 여러 규정을 종합하여 보면, 사람은 자신의 사생활을 함부로 공개당하지 아니하고 사생활의 평온과 비밀을 요구할 수 있는 권리가 있다(그러한 권리를 이하에서는 ‘프라이버시권’이라 한다). 그러나 사생활 보도가 전부 프라이버시권의 침해로서 불법행위가 된다고는 할 수 없고, 그것이 "일반 사람들에게 아직 알려지지 아니한 사항이고, 일반인의 감수성을 기준으로 해서 당해 사인의 입장에 선 경우 공개를 바라지 않을 것이라고 인정되는 사항(즉, 일반인의 감각을 기준으로 하여 공개됨으로써 심리적인 부담, 불안을 느끼게 될 사항)"일 것을 전제로 하고 있다고 할 것이다”). 그 외에 서울지방법원 1995. 9. 27 선고 95카합3438 판결. 그러나 우리 대법원에서는 명시적으로 프라이버시권이라는 용어를 사용한 예는 찾기 어렵다.

96) 대법원 2014. 7. 24.선고 2012다49933판결(소위 “전교조 명단”사건). 국회의원을 포함한 피고들이 기관(학교)명, 교사명, 담당교과, 교원단체 및 노동조합 가입현황 등을 담은 자료를 인터넷에 공개한 사안에서, 대법원은 ”개인정보에 관한 인격권 보호에 의하여 얻을 수 있는 이익(비공개 이익)과 표현행위에 의하여 얻을 수 있는 이익(공개 이익)을 구체적으로 비교 형량하여, 어느 쪽 이익이 더 우월한 것으로 평가할 수 있는지에 따라 그 행위의 최종적인 위법성 여부를 판단하여야 한다”라고 판시하였다. 피고들의 손해배상책임은 긍정되었다.

97) 松下外 17, 前揭資料.

98) 대표적으로 대법원 2012. 12. 26 선고 2011다59834 판결 (소위 “GS칼텍스” 사건). 그 외에도 최근 우리 판례는 해킹 사안에 있어서 피고 회사들의 주의의무 위반을 부정하여 원고의 청구를 기각하는 경향이 있다. 예컨대, 대법원 2018. 1. 25. 선고 2015다24904, 24911, 24928, 24935 판결 (소위 “SK컴즈” 사건) 등.

99) 中山布紗, 前揭論文, 279頁.

100) 전술한 바와 같이 도쿄지방재판소에서 2018. 6. 20. 180명의 원고의 청구를 기각하였다. 日本經濟新聞 2018. 6. 20.자 기사(https://www.nikkei.com/article/DGXMZO32001710 Q8A620C1CR8000/ 최종방문일 2019. 9. 18.)

101) 도쿄고등재판소에서 2019. 6. 27. 5명의 원고에게 각 2천엔의 배상을 명하였다. 그 개략적인 내용에 관하여는 每日新聞 2019. 6. 20. 자 기사 (https://mainichi.jp/articles/20190628/k00/00m/040/317000c 최종방문일 2019. 9. 18.)

102) 中山布紗, 前揭論文, 270頁.

참고문헌

국무조정실/행정자치부/방송통신위원회/금융위원회/미래창조과학부/보건복지부, ｢개인정보 비식별조치 가이드라인｣, 2016. 6.

국회도서관, “미국 데이터프라이버시법”, ｢최신외국입법정보｣, 2019. 3. 20. 제83호

국회도서관, “영국 데이터보호법과 브렉시트”, ｢최신외국입법정보｣, 2019. 5. 2. 제88호.

고홍석, “개인정보유출로 인하여 위자료로 배상할 만한 정신적 손해의 발생 여부”, ｢BFL｣제66호, 2014. 7.

김봉수, “일본의 개인정보보호법제와 현황”, ｢국제법무｣ 제8집 제2호, 제주대학교 법과정책연구원, 2016. 11.

김은수/정종구, “2015년 일본개인정보보호법의 개정-개정된 주요 내용과 시사점”, ｢연세글로벌비즈니스법학연구｣ 제8권 제1호, 연세대학교 법학연구원 글로벌비즈니스와 법센터, 2016..

금융위원회, “신용정보법 위반사례로 보는 개인신용정보보호 교육자료”, 2018. 9.

박노형 외 8, ｢EU 개인정보보호법-GDPR을 중심으로｣, 박영사, 2017.

박완규, “과학기술 발전과 프라이버시 보호 기준 변화에 대한 소고”, ｢법학논고｣ 제49집, 경북대학교 법학연구원, 2015. 2.

10.

변우주, “개인정보누출에 의한 민사책임- 일본의 재판례와 학설을 중심으로”, ｢한국부패학회보｣ 제23권 제4호, 2018,

11.

방송통신위원회(연구기관: 고려대학교 산학협력단), ｢EU 및 일본의 개인정보보호 법제 및 감독체계 개편내용 분석｣, 2014. 12.

12.

이동진, “개인정보 보호법 제18조 제2항 제4호, 비식별화, 비재산적 손해 - 이른바 약학정보원 사건을 계기로 -, ｢정보법학｣제21권 제3호.

13.

이원우, “개인정보 보호를 위한 공법적 규제와 손해배상책임-개인정보누출을 중심으로”, ｢행정법연구｣ 30, 행정법이론실무학회, 2011. 8.

14.

이인호, “개인정보 자기결정권의 한계와 제한에 관한 연구”, 한국정보보호진흥원, 2001.

15.

이창범/김본미, ｢개인정보피해구제 및 배상기준에 관한 연구｣, 개인정보분쟁조정위원회/한국정보보호진흥원, 2004.

16.

이한주, “개인정보보호위원회 제도의 문제점과 개선방안- 프랑스 CNIL의 비교를 통하여”, ｢법학논고｣ 제41집, 경북대학교 법학연구원, 2013. 2.

17.

임규철, “유럽연합과 독일의 개인정보보호법의 비판적 수용을 통한 우리나라의 개인정보보호법의 입법개선을 위한 소고”, ｢법학논고｣ 제61집, 경북대학교 법학연구원, 2018. 4.

18.

임규철 편역, ｢개인정보법(2012)｣, 북포유, 2013.

19.

조수영, “개인정보보호법과 EU의 GDPR에서의 프라이버시 보호에 관한 연구”, ｢법학논고｣ 제61집, 경북대학교 법학연구원, 2018.4.

20.

정상조/권영준, “개인정보보호와 민사적 구제수단”, ｢법조｣ 제630호, 2009. 3., 법조협회.

21.

한귀연, “일본 개정개인정보보호법의 주요내용과 그 시사점”, ｢공법학연구｣ 제18권 제4호, 한국비교공법학회, 2017. 11.

22.

한승수, “개인정보 민사판례상 손해배상책임의 인정 기준- 2010년 이후의 판례의 동향과 그 분석을 중심으로”, ｢문화·미디어·엔터테인먼트법｣제13권 제1호(중앙대학교 법학연구원 문화·미디어·엔터테인먼트법 연구소), 2019. 6.

23.

허성욱, “불법행위법리에 의한 인터넷상의 정보프라이버시 보호문제에 관한 일고-리니지 Ⅱ 게임 아이디·비밀번호 노출사건을 중심으로”, ｢민사판례연구｣ 30권, 한국민사판례연구회, 박영사, 2008.

24.

伊藤博文, “プライバシーと不法行為法”, ｢Bulletin of Toyohashi Sozo Junior College｣ No. 20, 2003.

25.

雄太橘井, “民事判例研究”, ｢北大法学論集｣, 64(6), 2014.

26.

原田良雄, “個人情報漏えいの事例分析と対策についての一検討”, ｢大阪産業大学経営論集｣第13 巻第2 ・3 合併号, 2012.

27.

新保史生, ｢プライバシーの権利の生成と展開｣, 成文堂, 1999.

28.

林紘一郎/ 鈴木正朝, “情報漏洩リスクと責任-個人情報を例として”, ｢法社会学｣ 2008巻 69号, 2008.

29.

板倉陽一郞, “個人情報保護法違反を理由に損害賠償請求に関する考察”, ｢情報ネットワーク·ロレビュー｣第11卷, 商事法務, 2012.

30.

豊田建, “日本における個人情報保護法財政の歴史的背景-国民の意識と社会的背景”, ｢醫療情報學｣ 24(5), 2004.

31.

窪田充見編輯, ｢新注釈民法｣(15), 有斐閣コンメンタル, 2017.

32.

平松毅, ｢個人情報保護-制度と役割｣, 株式會社ぎょうせい.

33.

厚生労働省・経済産業省, ｢個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン｣ (平成２８年１２月２８日告示第２号).

34.

中山布紗, “個人識別情報の漏えいによる不法行為の成否 : ベネッセコーポレーション個人情報漏えい損害賠償請求事件[最高裁平成29.10.23判決]”, ｢立命館法學｣, 2018.

35.

J. Lee, Riccardi, “The German Federal Data Protection Act of 1977: Protecting the Right to Privacy?”, Boston College International and Comparative Law Review Volume 6 (1983).

일본의 개인정보 법제 및 개인정보 침해사건에서의 민사책임*: