일본 PPC와 APPI: AI 학습 데이터 컴플라이언스
일본 개인정보 보호위원회(PPC)는 APPI(개인정보 보호법)를 집행합니다. 2022년 개정은 역대 가장 큰 폭의 법 개정이었습니다. 가명 처리 정보, 국경 간 이전, AI 학습 데이터셋에 관한 규정이 추가되었습니다. PPC는 2024년에 45건의 결정을 내렸으며, 같은 해 일본 최초의 AI 개인정보 보호 가이드도 발표했습니다.
일본어 텍스트로 모델을 학습시키거나 일본 사용자 기록을 보유한 기업이라면 이 규정이 지금 바로 적용됩니다.
2022년 개정의 주요 변경 사항
240만 개 일본 기업이 개인정보 처리 규정을 업데이트하고 처리 절차를 재정비해야 했습니다.
가명 처리 정보(仮名加工情報): 새로운 중간 범주입니다. 직접 식별자가 제거된 개인 기록을 포함합니다. 키가 있으면 재식별이 가능합니다. 이 정보는 완전한 동의 없이 조직 내부에서 이동할 수 있지만, 제3자에게 제공할 수 없습니다. GDPR에는 이러한 범주가 없습니다.
익명 가공 정보(匿名加工情報): 재식별이 기술적으로 불가능해야 합니다. 자격 있는 제3자의 확인이 필요합니다. GDPR보다 높은 기준입니다. GDPR은 이 검토를 선택 사항으로 두지만, APPI는 필수로 규정합니다.
국경 간 이전: 다른 국가로의 이전은 일본의 보호 수준을 충족해야 합니다. PPC는 승인 국가 목록을 관리하며, EU는 이 목록에 포함되어 있습니다.
AI 학습 데이터셋: 2024년 PPC 가이드에서 직접 다뤘습니다.
- 학습 데이터셋은 완전히 익명화되거나 유효한 법적 근거(주로 동의)에 기반해야 합니다.
- 처리 예외는 모델이 출력물에서 개인을 식별할 수 없는 경우에만 적용됩니다.
- 웹사이트에서 수집한 일본어 기록으로 학습하는 LLM 개발자는 유효한 수집 근거를 제시해야 합니다.
국경 간 정렬 의무에 대한 전체 내용은 /legal/compliance를 참조하세요.
마이넘버: 일본의 국가 ID
마이넘버(マイナンバー)는 12자리 국가 ID입니다. 일본은 모든 거주자에게 발급하며, 외국인도 포함됩니다. 2016년부터 운영되며, 세금, 사회보장, 재난 대응을 포괄합니다.
검사 자릿수 작동 방식: 마이넘버는 Verhoeff 방식을 사용합니다. 수학 기반 오류 검사 체계로, 스웨덴 personnummer나 캐나다 SIN에 사용되는 Luhn 방식보다 구현이 어렵습니다. 대부분의 유럽 ID는 더 단순한 모듈러 수학을 사용합니다.
감지가 어려운 이유: 12자리 문자열을 스캔하는 방식으로는 정확하지 않습니다. 날짜, 우편번호, 청구서 코드 모두 같은 형태로 보입니다. 이를 구별하려면 전체 Verhoeff 로직이 필요합니다. 단순 정규식으로는 충분하지 않습니다.
PPC의 2024년 검토 결과는 명확합니다. 일반 NLP 도구의 63%가 일본 기록에서 마이넘버를 감지하는 데 실패합니다.
anonym.legal이 마이넘버를 처리하는 방법은 /entities에서 확인하세요.
세 가지 문자 체계의 공존
일본어는 히라가나, 가타카나, 한자를 동시에 사용합니다. 일부 문맥에서는 로마자도 등장합니다. 같은 이름이 기록에 따라 다르게 표기될 수 있습니다. 라틴 문자 텍스트를 위해 설계된 도구는 추가 지원 없이 일본어에서 작동하지 않습니다.
이름 감지에 미치는 영향:
- 일본어 개체명 인식(NER)에는 일본어 텍스트로 학습된 모델이 필요합니다. spaCy ja_core_news 사용을 권장합니다.
- 일본어는 단어 사이에 공백이 없습니다. 단어 분리가 별도 과정으로 필요하며, 일본어 전용 도구가 필요합니다.
- 인명은 한자로 표기되고 히라가나 또는 가타카나로 읽기 가이드가 제공됩니다. 도구는 두 형태를 모두 감지해야 합니다.
- 회사명(会社名, 株式会社)에는 일본 고유 규칙이 필요합니다.
APAC 언어 전반의 NER에 대해서는 /docs/faq를 참조하세요.
기타 일본 ID 형식
운전면허증: 발급 지역 코드가 붙은 12자리. 코드는 고정값으로 도쿄는 10, 오사카는 62입니다. 지역 코드 검증이 가능합니다.
여권: ICAO 표준 형식에 일본 고유의 발급 규칙이 적용됩니다.
건강보험증(健康保険証): 기호(記号) + 번호. 보험자마다 형식이 다릅니다.
재류카드(在留カード): 외국인 거주자 대상. 형식: 알파벳 2자 + 숫자 8자 + 알파벳 2자. 법무성이 발급합니다.
일본-EU 데이터 이전 현황
일본과 EU는 2019년부터 상호 적정성 결정을 보유하고 있습니다. 개인 기록은 추가 절차 없이 EU와 일본 사이를 오갑니다. 일본은 완전한 EU 적정성 결정을 보유한 몇 안 되는 비유럽 국가 중 하나입니다.
이 협정은 일반 개인 기록에 적용됩니다. 민감한 건강 및 형사 기록은 적정성 결정 하에서도 추가 안전조치가 필요합니다. 해당 기록을 이전하는 기업은 적용한 추가 조치를 기록해야 합니다.
이전 의무 검토는 /security-compliance에서 확인하세요.
일본 컴플라이언스 체크리스트
일본 개인 기록을 처리하는 경우 다음 사항부터 시작하세요:
- Verhoeff 검사 자릿수 로직을 갖춘 마이넘버 감지.
- 라틴 문자 모델이 아닌, 일본어 스크립트로 학습된 모델을 활용한 일본어 NER.
- 한자, 히라가나, 가타카나 이름 형태 및 읽기 가이드 변형 지원.
- 지역 코드 검사를 포함한 운전면허증 감지.
- 법무성 형식 로직을 갖춘 재류카드 감지.
- 보험자별 변형에 걸친 건강보험증 감지.
- 개인 기록이 포함된 각 AI 학습 데이터셋에 대한 유효한 법적 근거.
- APPI상 익명 가공 정보로 분류된 기록에 대한 제3자 검토.
- EU-일본 적정성 협정 하에 이전되는 민감 기록에 대한 추가 안전조치.
APPI 용어 정의는 /docs/glossary를 참조하세요.