엔시스의 정보보호(보안) 따라잡기

개인정보보호법에서 수집시에 중요한 두 가지 개념이 나오는데 잘 기억하길 바란다. 두 가지는 바로 ‘고유식별정보’와 ‘민감정보’라는 개념이다. 고유식별정보는 위에 언급한 것과 같이 4 가지를 말하고 있다. 민감정보도 위에 언급한 내용과 같다. 이렇게 고유식별정보와 민감정보를 수집시에는 반드시 ‘별도동의

’를 받아야 한다. 여기서 말하는 별도동의란 개인정보 수집목적과 별개로 분리된 동의를 말한다. 또한 홍보, 마케팅을 위한 개인정보 수집시에도 별도동의를 받아야 한다.

정보주체가 아닌 다른 곳에서 개인정보를 수집하였을 경우, 정보주체가 수집출처를 알고자 요구 할 때는 수집출처를 정보주체에게 알려야 한다. 보통 인터넷에 올린 개인정보를 이용하여 동의 없이 공개된 정보로 생각하고 이용하는 경우가 있는데 오용과 남용을 막기위한 장치이다. 그러니 스스로 개인정보를 공개하였더라도 언제든지 수집출처에 대한 요구를 할 수 있다. 

나. 이용,제공

개인정보 적법한 절차에 따라 수집하였다면 그 수집목적내에서 이용이 가능하다. 이용부분에서 중요한 개념 2가지가 나오는데 ‘위탁’ 과 ‘3자 제공’ 개념이다. 쉽게 설명하면 위탁은 개인정보 취급자 책임 경계내에 있는 개인정보 업무면 위탁이고, 3자제공은 개인정보취급자 책임 경계 밖의 개인정보 업무이면 3자 제공으로 보면 된다. 위탁은 업무효율화나 비용절감을 위해서 내부업무를 자체적으로 처리하지 않고 외부업체나 대리점,위탁점등에 아웃소싱하기 위해 개인정보 취급업무를 위탁하는 경우이고 3자 제공은 기업간의 제휴, 공동마케팅, 공동이벤트 등을 위해 개인정보를 이전하는 경우를 말한다.

정리하면 위탁은 내 업무처리를 위한 것이고, 3자 제공은 개인정보를 제공 받은자의 목적을 위한 것으로 이해하면 된다. 이제 이해가 되는가? 이 개념을 잘 숙지하지 못하면 실무에선 많은 혼란이 오게되니 꼭 숙지하도록 하자. 

수집목적에 따라 이용과 제공이 끝나면 보관 할 것인지 파기 할 것인지 고민해야 한다. 수집목적을 달성하면 즉시 파기 할 것을 법에서는 요구하고 있다. 무분별하게 보관하고 있다가 유출가능성으로부터 피해를 최소화 하기 위한 조치이다. 하지만 대부분 실무에서는 보관해야 할 경우가 많다. 이럴경우에는 보관을 해야 할 법적근거를 가지고 보관하면 된다. 이는 처음 개인정보 수집시에 보유기간에 명시한 근거로 보관한다.

라. 파기

개인정보 목적달성하여 즉시 파기하거나 혹은 개인정보 보유기간이 만료되어 파기시에는 두가지 방법으로 파기를 한다. 먼저 전자적인 파일일 경우에는 저장이 되어 있는 하드디스크나 이동저장장치를 복구 불가능하게 파기 하여야 한다. 구멍을 내거나 전자파를 이용하여 아예 사용하지 못하도록 해야 한다. 보통 로우포멧 등을 하여 삭제 한후 파기 하였다고 하는 경우가 있는데 바람직하지 않다. 가장 좋은 방법은 물리적으로 파기 하는 것이 좋다. 두 번째는 종이의 경우 소각이나 파쇄기를 통하여 파기 처리 한다. 소량의 경우에는 파쇄기를 이용하지만 대량일 경우에는 최근 문서를 전문적으로 파쇄하는 업체도 있어 이용하면 대량의 문서도 파쇄가 가능하다. 

3. I : Inspection Request (열람청구) : 정보주체 권리보장, 개인정보자기결정권

개인정보보호법은 처리자 입장에서 대응해야할 여러 가지 사항들이 많다. 하지만 정보주체가 자신의 정보를 스스로 결정할 수 있는 ‘개인정보 자기결정권’이 법으로 보장되어 있다는 사실을 아는 이는 그다지 많지 않다. 보통 개인정보보호 교육도 개인정보 처리자 입장에서만 교육을 하다보니 정작, 자신의 개인정보를 스스로 어떻게 처리해 달라고 요구하는 권리에 대해서는 잘 모르는 경우가 많다. 법에서는 이러한 정보주체 권리보장도 강화하고 있는데 대표적인 것이 개인정보 열람,정정,삭제,정지 요구권이다. 

자신의 개인정보에 대하여 개인정보 처리자에게 열람을 요구 할 수 있다. 법정서식를 통하여 가능하다. 또한 자신의 개인정보를 정정, 삭제를 요구할 수 있다. 두 경우 모두 요구사항이 있으면 10일 이내에 조치를 하도록 되어 있다. 이는 대부분 홈페이지 회원의 경우 자신의 아이디로 로그인하여 스스로 개인정보를 열람,수정 할 수 있도록 시스템으로 해결 하고 있다. 삭제의 경우는 회원 탈퇴를 하게 되면 개인정보처리자는 삭제조치가 되도록 한다. 일련의 조치가 대부분 홈페이지내에서 이루어지도록 하는 경우가 있지만 개인정보 관련 법정 서식을 이용하여 오프라인으로도 요구가 가능하다.

법에서는 정보주체권리보장 중에 이해관계로 인한 충돌이 발생하였을 경우 2가지로 처리하도록 되어 있다. 하나는 ‘집단분쟁조정’이고 다른 하나는 ‘단체소송’이다. 집단분쟁조정의 경우 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우로 분쟁조정위에 의뢰 또는 신청할 수 있다. 효력은 재판상 화해와 같고 조정이 성립되면 다시 소송을 제기 할 수 없다.

단체소송은 집단분재조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우에는 법원에 권리 침해행위의 금지.중지를 구하는 소송을 제기 할 수 있다. 손해배상 소송과 차이점을 숙지하길 바란다. 흔히 개인정보 유출시 손해배상 단체소송을 하는데 이는 민사소송이다. 법에서 말하는 단체소송은 권리침해행위의 금지.중지하는 소송이다. 혼동 하면 안된다.

4. V : Vulnerable Check -취약점 점검으로 기술적 조치 다해야 함

보통 개인정보처리 업무를 진행하다보면 관리적 부분에 많은 집중을 하게 마련이다. 법도 15조부터 수집동의서부터 파기까지 개인정보 라이프사이클에 따라 명시를 하고 있다. 하지만 관리적 절차에만 신경을 쓰다보면 자칫 기술적조치에 소홀히 할 수 있다. 정부에서는 이런기술적 조치 부분을 고시에 자세히 규정을 해 놓았다. 개인정보보호법에서는 ‘개인정보 기술적,관리적 안정성 확보조치 기준’ 고시로 명시가 되어 있다. 최근에는 고시도 개정이 된 바 있으니 관련자분들은 세심하게 살펴 보길 바란다. 그 세부내용을 살펴보면 다음과 같다.

기술적 취약성 점검으로 인한 안전성 확보조치 고시 기준 마련

기술적 조치사항은 세부적으로 또 들어가면 복잡해지기 때문에 본 포스팅에서는 간략한 리스트만 나열하기로 한다. 또 다른 기회가 주어진다면 기술적 조치에 대하여 세부적으로 자세히 알아 보기로 하자.

5. A: Action plan of privacy

개인정보보호를 위한 기본적으로 해야 할 대응처리 개인정보 라이프사이클(Life-cycle)외에 법에 규정한 기본적으로 대응해야 할 대표적인 사항이다. 간략하게 핵심만 설명하겠다.

개인정보처리자는 홈페이지 제일 하단에 볼드체로 눈에 띄기 쉽게 ‘개인정보처리방침’ 혹은 ‘취급방침’을 수립후 공개를 해야 한다. 정보주체가 자신의 개인정보가 어떻게 처리 되는지 쉽게 파악 할 수 있는 좋은 수단이다. 하지만 현장을 둘러보면 아직도 형식적인 부분이 많아 현행화 해야 하는 부분이 아쉽다. 예를들면 , 위탁이나 3자 제공시 공개 하도록 되어 있는데 무조건 위탁이나 3자 제공은 없다고 해 놓은 경우가 있다. 사실 이는 개인정보 업무중에 위탁업무가 있는지 없는지 제대로 파악이 되지 않음을 반증하고 있는 것이다.

법에서는 개인정보 책임자를 반드시 지정하게끔 되어 있고, 이는 개인정보취급방침에 공개하고록 되어 있다. 그런데 이부분도 형식적인 부분이 많고, 개인정보 유출시 가장 책임이 막중하다는 것을 인지해야 한다. 책임자가 소홀히 해서는 안되는 부분중에 하나다. 경영자나 의사결정자의 인식전환이 가장 필요한 대목이다.

공공기관의 경우 개인정보 파일을 현황 파악하여 안전행정부에 등록을 해야 한다. 민간의 경우에는 의무사항은 아니지만 조직 내 개인정보 파일이 몇 개가 있는지 현황 파악이 되어 있어야 관리가 된다. 현황파악이 되지 않는다는 것은 관리가 되지 않고 있다는 것과 동일하다. 교육시 필자가 가장 많이 질문하는 것중에 하나이다. “담당자님, 혹시 조직내 개인정보 파일은 몇 개인가요? 혹시 누락되거나 불필요한 개인정보가 등록된 것은 아닌가요?” 라고 질문하면 쿨하게 답변하는 분이 그리 많지 않다. 자신도 조직내 개인정보 파일이 정확이 ‘정의’ 되어 분류되지 않았기 때문이다.

개인정보 영향평가는 쉽게 설명하면 개인정보를 취급,처리함에 있어 어떤 영향을 끼치는가에 대한 사전 평가제도이다. 공공기관은 해당조건에 부합이 되면 의무적으로 영향평가기관에 의하여 받아야 한다. 민간기관은 권고사항이다. 물론 민간도 영향평가를 받아도 된다. 개인정보영향평가를 받게 되면 조직내 개인정보 흐름에 대한 모든 현황을 파악할 수 있게 된다.

개인정보 유출 되었을시에는 정보주체에게 통지를 해야 한다. 또한 1만 명 이상일 경우 안전행정부와 한국정보화 진흥원, 한국인터넷진흥원에 신고를 해야 한다. 유출후에는 피해를 최소화 하기 위한 대응책 마련도 진행되어야 한다. 하지만 현실은 조직내 개인정보가 유출되어도 담당자가 모르고 있는 경우가 많으며 전문기관에서 유출에 따른 조치사항을 공문을 받고 아는 경우도 있다. 평소에 신경을 써야 하고 유출시 대응 매뉴얼도 구비해야 신속한 조치를 취할 수 있다.

6. C : Closed-circuit television - CCTV도 개인정보보호에 보호 받을 수 있어.

개인정보보호법에 영상정보처리기기 포함이 되며, 네트워크카메라도 포함 개인정보보호법에는 영상정보처리기기도 포함이 된다. 폐쇄회로텔레비젼 일명 ‘CCTV'다. 개인의 사생활이 녹화되어 있는 영상이기 때문에 법에 근거한 것 외에는 설치,저장할 수 없도록 한 것이다. 

CCTV는 불특정 다수인이 이용하는 도로나 공원등에 상기 5가지 외에는 설치 할 수 없도록 규제

하고 있으며 일상생활에서 CCTV에 많이 노출이 되어 있기 때문에 이에 대한 법적 규정도 엄격하

게 적용이 되고 있다. 또한 CCTV 설치시에는 반드시 규정된 안내판을 설치하여 정보주체로 하여

금 어떠한 목적과 촬영주체가 누구이고 촬영시간은 얼마인지를 안내하는 안내판이다. 일반적으

로 ‘CCTV 촬영 중’ 이라는 문구만 부착하는 경우가 있다. 이는법 위반이다. 해당 규정을 지키지 

않을 경우 1000만 원 이하의 과태료부과가 규정되어 있다.

7. Y: Year-round : 연중계속되는 , 체계적인관리

개인정보보호법에 규정하는 개인정보처리 단계별 조치사항과 그 외 법적 의무사항들은 준수

해 만 한다. 이러한 법적준수사항을 지키려면 기존 관행처럼 주먹구구식으로 관리해서는 일회성 

관리 밖에 될수 없다. 이는 또 다른 개인정보 유출로 이어지게 된다. 이러한 부분을 제도적으로 

마련한 것이 바로 ‘개인정보보호 관리체계’ 인증하는 제도이다.

PIMS는 ‘정보통신망법’에 근간을 두고 적용하는 제도이고, PIPL은 ‘개인정보보호법’을 근간으

로 하여 관리체계를 수립하여 인증 받는 제도이다. 정보주체에 대한 개인정보를 체계적으로 관리

함으로써 유출에 대한 사전 예방을 강화 할 수 있는 효과를 가져 온다. 혹자는 이 관리체계만 인

증 받으면 모든 것이 완벽한 것으로 오해 할 수 있는데 이는 개인정보를 관리하기 위한 최소한의

관리체계라는 점을 잊지 말아야 한다. 물론 인증시에는 각종 인센티브도 부여를 하고 있다. 하지

만 아직도 컨설팅 비용과 인력부족등으로 중요성을 느끼지만 도입이 안되고 있는 현실이다.

지금까지 개인정보보호에 대하여 간략하게 'PRIVACY'라는 알파벳을 이용하여 살펴 보았다.

그동안 안전행정부지정 개인정보보호전문 강사로 위촉이 되어 200여 공공기관을 다니면서 교육

을 하다보니 '조금 더 쉽고 기억하기 쉽게 전달하는 방법을 없을까?'를 고민하다가 나름대로 만

들어 보았다.

부산시민들이 자주 보는 쿨부산 포스팅을 통하여 처음 소개하는 만큼 최소한 PRIVACY 방법론만

큼이라도 숙지한다면 개인정보처리자 입장에서나 정보주체의 입장에서 개인정보 자기결정권 권

리보장 측면에서 이해 할 수 있지 않을까 싶다. 나름 쉽게 설명하려고 노력하였는데 독자 여러분

들은 어떻게 느꼈을지 모르겠다. 지면 관계상 더 자세히 다루지 못함을 너그럽게 양해 해 주길 바

란다. 다음 호에는 ‘개인정보 피해시 구제할 수 있는 방법’에 대하여 알아 보도록 하겠다.

* 본 포스팅은 부산시에서 운영하는 블로그 "쿨부산"에 기고한 글임을 알려 드립니다.