플랫폼 규제 가속화 ~개인정보보호의 현재는? ~

2022-05-19
조회수 841



국내에서도 규제법이 엄격해질 예정       

최근 1~2년간 인터넷상의 개인정보규제에 대한 뉴스가 증가하고 있습니다.

계기가 된 것은 SNS와 검색엔진 등의 분야에서 대규모 서비스를 전개하는 사업자, 플랫폼, IT 대기업 - 일본에서는 Google과 Apple, Facebook(meta), Amazon의 첫 글자를 따서 GAFA라고 하는 조어로 말하는 경우도 많습니다만 – 4개사로 대표되는 IT 대기업을 둘러싼 움직임으로 보입니다.


IT 대기업들은 디지털문화를 육성해 온 한편, 개인정보의 과도한 집중과 그 사용법이 문제시되고 있습니다. 특히 2021년 하반기부터는 전(前) 직원들의 내부고발이 잇따르면서 각국에서의 규제강화와 IT 기업들의 대책이 진행되는 등 움직임이 분주해지고 있습니다.


일본국내에서도 2022년 2월 법규제가 구체화되면서 관계부처와 해당업계에서도 대응을 진행하고 있습니다. 자세한 내용을 살펴보면서 일반기업이 개인정보보호에서 주의해야 할 점을 생각해 보겠습니다.

 

 

IT 대기업의 정보관리체제에 대한 의문


우선 대표적인 IT 대기업의 비즈니스 모델과 개인정보의 관계를 살펴보겠습니다. Google 검색창에서 키워드를 지정하면 그 순간에 결과가 표시됩니다. 스마트폰에서 Facebook 앱을 열면 정리된 레이아웃에서 친구 및 지인의 근황을 한눈에 볼 수 있습니다. 이러한 간단한 한번의 클릭을 위해서 후단부에서는 여러대의 고성능 서버가 가동하고 있습니다.


Google이나 메타(Facebook)에서 이러한 비용이 드는 서비스를 무상으로 제공할 수 있는 이유는 바로 광고노출의 모델이 확립되어 있기 때문이며, 광고내용을 결정하는 중요한 단서는 이용자가 사이트에 등록한 개인정보와 사이트를 열람이력 등의 행동 데이터입니다. 즉, 이용자의 모든정보는 IT 대기업들의 입장에서는 수익원이지만, 지금까지는 잘 알려지지 않았던 관리의 실태도 보이기 시작했습니다.


2020년에는, 이력을 남기지 않고 열람할 수 있다고 여겨져 온 Web 브라우저의 "시크릿모드"의 상태의 데이터를 수집하고 있었던 것이 밝혀져, Google에게 집단소송을 제기한 일이 있었습니다. 2021년 가을에는 메타를 퇴사한 직원의 고백으로 청소년에게 악영향을 미칠 수 있는 조사내용을 서비스에 반영하지 않고 자사이익을 우선시했다고 주장한 건도 크게 보도되었습니다.


또다른 플랫폼의 전직 관계자에게서도 이용자의 의도와 상관없이 정보기기의 녹음 기능이 작동한 문제로 센터에서 내용을 분석하고 있었다는 증언도 나오고 있습니다.





새롭게 알게 되는 데이터수집의 힘


이처럼 전(前) 직원의 증언이나 그후 보도내용 등에서 느끼게 되는 것은, 플랫폼이 가진 압도적인 정보수집력입니다. 즉, 이용자가 몇억명, 몇십억명에 달해도 개개인의 상세한 프로파일이나 행동이력을 파악하고 있다는 사실입니다.


이전에는 개인정보를 저장하기 위한 목적이나 수집하는 데이터의 내용은 이용자에게 공지하지 않는 경우가 많았습니다만, 플랫폼측도 조금씩 인식의 변화가 일어나면서 현재는 수집목적이나 수집데이터의 종류는 거의 공개되고 있으며, 일부는 일반 이용자도 입수할 수 있는 형태로 되어 있습니다.


예를 들면 Google도 계정을 가진 사람이라면 누구나 저장된 행동데이터에 접근할 수 있게 되어 있습니다. 아직 확인되지 않은 분이 계시다면 PC나 스마트폰에서 "takeout.google.com"으로 접속해 보세요 (본래기능의 데이터를 다른 서비스에 내보내는 것).


브라우저 이용과 안드로이드 디바이스 설정, Google Play 관련 기록 등 40개가 넘는 항목 중 필요한 부분을 체크하면 시스템 측에서 준비가 되는 대로 다운로드가 가능함을 알려주는 메일이 도착합니다. "며칠 소요되는 경우도 있음" 이라고 기재되어 있기는 하지만, 대체로 몇 시간 후에 도착합니다.


"takeout.google.com" 메뉴의 일부

 


플랫폼은 "모든 것을 수집하고 있다"


"takeout.google.com"에서 입수한 파일에서는, 자신의 의지로 클라우드에 저장한 문서나 주소록, 스케줄 등은 별개로 브라우저의 설정과 이용이력, Google 지도에서의 검색, 우연히 접한 동영상 채널 등, "기록"을 의식하지 않고 사용하고 있던 앱에서도 모든 데이터가 수집되어 있는 것을 알 수 있습니다.


이 파일에서 얻을 수 있는 행동이력을 보안기술자나 데이터 분석 전문가가 보면 주소, 이름뿐만 아니라 성별, 연령대, 근무처, 소지하고 있는 차량, 최근 여행지, 좋아하는 영화와 아이돌 등 이용자의 프로파일은 거의 정확하게 파악할 수 있게 되어있습니다.


물론 이용자의 발자국을 기록하고 있는 것은 Google뿐만이 아닙니다. Apple의 제품에도 같은 기능은 갖추어져 있어 iPhone(iOS 15 이후)에서는 "설정" 앱에서 "프라이버시"의 메뉴를 열어, "App 액티비티를 기록"을 켜고 "App 액티비티를 보존" 탭으로, 이용자 측에서도 최대 7일분의 데이터를 보존해 출력할 수 있습니다.


Facebook을 운영하는 메타, Amazon 등의 플랫폼도, 상세한 액티비티(활동상황)를 보존·분석하는 것으로, "이용이 이용을 부른다"라는 모델을 형성해, 커뮤니티 확대나 쇼핑기회의 증대, 효과적인 광고전달로 연결되고 있는 것은 비즈니스로서 당연할 것입니다.



플랫폼에 대한 규제


IT대기업의 개인정보 관리에 대해서는 선진국을 중심으로 규제가 이루어져 왔습니다. "takeout google.com"의 예에서 본 것과 같은 상세한 이용이력을 이용자가 모르는 곳에서 자사의 비즈니스에 활용해 광고회사 등의 제3자와 공유하고 있었던 것, 그리고 대기업의 서비스 설정이 "개인정보"의 정의나 대응도 좌우해 버리는 사실이 퍼지면서 소비자의 반감이 높아진 것입니다.


개인정보 보호에 가장 엄격하다고 여겨지는 유럽에서는 EU가 2018년에 "GDPR(일반 데이터 보호규칙)"을 시행하며, 개인정보의 정의를 비롯해 개인의 특정으로 이어지는 데이터를 기업 간에 이전할 때의 규칙 등을 정한 것으로, 이용자의 정보를 자사 서비스의 개량이나 광고노출로 연결해 온 기업에 있어서는 활동에 제한이 걸리게 되어 있습니다.


"GDPR"의 기본원칙을 "개인정보는 본인의 것"이며, 시행 후에는 각국에 영향을 주었습니다. 개인정보의 정의와 데이터를 이전할 때의 규칙 등은 각각의 지역에서 다르지만, 미국, 브라질, 인도 등에서 "GDPR"에 준한 규제법이 설정되어 있습니다. 개인정보 취급에는 비교적 대범하게 여겨져 온 중국에서도, "GDPR"를 참조했다고 여겨지는 "개인 정보 보호법" "데이터 안전법" 등의 관련법이, 2021년 이후에 성립하고 있습니다.



일본국내의 규제법은 EU와는 전혀 다르다


일본국내에서는 디지털 플랫폼 거래 환경정비 검토회와 전기통신사업 거버넌스 검토회 등에서 관련주제의 논의가 이뤄졌습니다만, 하나의 단락으로서 2022년 2월에 "협치 검토회"가 규제안을 승낙해 구체적으로 거의 굳어지고 있습니다("전기통신사업법 개정안"에 포함되어 2022년 1월 개최 국회(회기 150일)에 제출예정).


일본국내법은, 규제대상은 모든 전기통신사업자가 아닌 대규모 검색서비스나 SNS 사업자 등에 한정, 정보보호의 대상자를 사업자가 계약하는 이용자만으로 한정하는 등 "GDPR"에 비하면 상당히 유연한 내용입니다. 열람이력을 제3자에게 제공할 때 동의를 얻어야 하는 것도 미뤄졌습니다. 초기에는 소비자보호를 중시한 "GDPR"의 내용과 비슷하게 될 것이라는 예측이 많았지만, 산업계의 반발도 만만치 않아 이 내용으로 결정된 것으로 알려졌습니다.


원래 일본에서는 법률로 보호하는 "개인정보"의 범위가 좁기 때문에 사이트의 열람 이력을 문자정보로 보존하여 이용자식별에 사용하는 "쿠키"도 개인정보로 간주하지 않습니다("GDPR"에서는 개인정보). 그러나 개인명과 직접 연결되지는 않더라도 자기의 행동이력이 매매되거나 여러 사이트에서 같은 광고가 표시되는 현실에는 위화감을 느끼는 사람도 많다는 점은 유의해야 할 것입니다.



일본기업도 세계의 움직임을 감수하다


일본의 규제법이 선진국들 과의 갭이 생긴 것은 부정할 수 없으며, 개인정보 보호를 강화하는 세계의 움직임은 앞으로도 가속될 것입니다. 플랫폼에서도 대응을 진행하고 있으며, 예를 들면 Apple은 2021년부터 이용자 승인이 없으면 단말기를 특정할 수 있는 ID를 바탕으로 광고 등 사업자가 앱 이용명세 등을 파악 못하게 하는 구조로 바꾸고 있습니다.


Google에서도, 웹 사이트 소유자가 아닌 제3자인 광고 회사들이 이용자의 행동을 추적할 수 있는"서드파티 쿠키"를, 2022년까지 단계적으로 제한한다고 발표했습니다(그 후 1년 연장을 발표). 이러한 대책에 의해서, 이용자의 관심이 높을 것 같은 내용의 메세지를 전달하는 "키워드 마케팅"와 같은 방법의 실천은 어려워집니다.


또한 일본 국내에서도 이 같은 움직임에 따라 일부 사업자는 대책을 추진하고 있습니다. 예를 들면, "서드파티 쿠키"를 사용하지 않고, 열람하고 있는 기사의 내용에서 그 사람의 관심을 추측해 제시하는 "맥락(컨텍스트) 광고"라고 불리는 방법을 채택하는 사이트도 많아졌습니다.


한편, 이용자의 의식도 조금씩 바뀌고 있습니다. 개인이 스스로 개인정보를 머니타이즈(사업의 수익화), 예를 들면, 일상생활 사이클에서 발생하는 정보를 기업에 맡기고 대가를 얻는 서비스도 등장하고 있으며 이용자가 사이트를 열람한 기록 등의 정보를 제공하고 대가로 포인트 등의 성과급을 받는 '정보은행'과 비슷한 흐름이라고 볼 수 있습니다.



인터넷 사회에서의 개인정보 대응에 관한 과제


최근 몇 년간의 법규제의 관한 유럽이나 미국의 대응은, 특정 플랫폼을 "저격"했다 라는 인상도 느꼈지만, "GAFA 규제"와 같은 말로 묶어 버리면, 문제의 본질이 잘 보이지 않게 됩니다. 지금 생각해야 할 것은 인터넷 서비스가 침투한 사회에서 개인정보를 어떻게 정의하고 개인정보의 보호와 이용을 어떻게 대응할 것인지를 생각해 나가야 한다는 것입니다.


또한 플랫폼 사업체제의 변화와 각국의 법규제에 직접적인 영향을 받는 것은 온라인 광고의 제작·관리, 출고에 종사하는 사업자, 많은 개인정보를 관리하는 EC 사이트의 운영 모체, 해외 고객도 많은 기업 등이지만 인터넷을 통해 개인 이용자와 어떤 접점을 가진 조직에게는 결코 무관한 이야기가 아니며, 이처럼 개인정보에 관한 동향에 대해 항상 관심을 기울여야 합니다.


by Yozawa Shinichi, 번역 전윤경

3 0

오치영
Oh Dream Officer
ocy@jiran.com

오디오방 구독하기

당신의 관심사에 정보력을 강화하세요. 

B2B SaaS, 일본 비지니스 뉴스, IT 분야에서 끊임없이 도전하는 사람들의 이야기가 

당신에게 전해집니다. 

이메일을 쓰고 구독 버튼 누르기, 아주 간단한 동작이 

당신 삶에 다른 모멘텀을 제공할 것입니다.

지란을 끌고 가는 힘과 문화는 Dream, Challenge, Keep Going!
이것이 ODO 방을 통해서 여러분들과 공유하고 싶은 내용이 아닐까 싶습니다.