▶ 이 연구는 일본이 최종적으로 EU GDPR 적정성 인정을 받기까지 일본정부가 추진한 대응방안을 살펴보고 한국에 대한 시사점을 도출하고자 함.

▶ 2019년 1월 23일 일본 개인정보보호위원회와 유럽집행위원회는 일본의 개인정보보호 체계와 EU의 일반개인정보보호법(GDPR)이 서로 동등한 수준이라고 인정하는 상호 적정성 평가(adequacy decision)를 최종적으로 승인
 - 기존 개인정보보호지침(Directive)보다 강화된 GDPR은 그 대상을 EU 역내 사업자뿐 아니라 EU 내 거주자의 개인정보를 처리하는 전 세계기업으로 확대 적용했으며, 위반 시 기업의 연간 매출의 4% 또는 최대 2,000만 유로의 과징금을 부과하도록 규정하여 EU 주민의 개인정보를 제3국으로 이전하는 것을 원칙적으로 금지했음.
 - GDPR 적정성 평가는 EU 역외로 개인정보 이전을 허용하는 제도 중 하나로, 일·EU 상호 적정성 인정을 통해‘세계 최대의 데이터 유통 안전지대’가 형성되었으며, 양국 사업자는 개인데이터 이전에 대한 적법성을 확보하게 되어 부담이 큰 폭으로 경감되었음.
 

▶ 일본정부는 GDPR에 대응하여 「개인정보보호법」 개정을 포함한 법·제도정비와 EU 집행위와의 협상을 추진 
 - 민간 분야의 개인데이터 보호·활용을 규율하는 일반법 「개인정보보호법」을 개정(2015년 9월 개정, 2017년 5월 시행)함으로써 일·EU 양국의 데이터보호 수준 격차가 상당 부분 줄어들었으며, 이후에도 개정법에 근거한 구체적인 정령(政令), 시행 규칙, 가이드라인 등을 발표하며 데이터 보호 관련 제도정비를 추진
 - 2014년부터 정부차원에서 EU GDPR 적정성 평가 승인 협상을 전개했으며, 일본 개인정보보호위원회는 수차례 유럽위원회의 실무·관리자 및 전문가를 방문하여 GDPR 적정성 인정 및 일본의 대응방안에 대한 의견 교환을 실시
 - 개정개인정보보호법 개정 및 추가 정령·규칙 제정 이후에도 남아 있는 양국 보호체제의 간극을 좁히기 위해 일본정부는 보조규정(Supplementary Rules) 등 추가적인 보호장치를 도입하기로 EU와 합의

▶ 일·EU 간 상호 적정성 인정은 2019년 2월 1일부로 발효된 일·EU EPA(2018년 7월 17일 체결)의 TPP 3원칙을 보완·강화하는 역할을 수행할 것으로 예상
 - 일·EU EPA와 개인정보보호 협상은 별개의 two-track으로 진행되었으나 일·EU EPA의 전자상거래, 서비스 무역 등과 같은 분야는 실질적으로 개인정보의 역외이전을 동반할 수밖에 없기 때문에 두 개의 협상은 서로 긴밀하게 연결되어 있다고 평가됨.
       
 
▶ 우리나라는 데이터경제 활성화 및 국제적인 개인정보 보호 패러다임에의 동참이라는 측면에서 보다 속도감 있게 법·제도 개선을 추진할 필요가 있으며, 그 과정에서 일본의 GDPR 대응 과정을 참고할 수 있을 것임. 
 - 한국은 2015년부터 GDPR 적정성 평가에 대응하기 시작했으며 2017년 초부터 방송통신위원회가 주도하여 EU와의 협상을 추진하였으나 아직까지 인정을 받지 못함.