업무위탁에 따른 처리제한 부분 위반 15.7% 가장 높아
‘수탁업체 관리·감독’ 등 침해사고 예방 및 대응노력 분야 개선해야
[보안뉴스= 정환석 개인정보보호 전문가] 2015년 봄, IT 수탁자들에 대한 대대적인 개인정보보호 실태 점검이 실시됐다. 자율점검을 우선 권장하고, 자율점검을 실시하지 않은 IT 수탁자들에 대해서는 우선 점검대상으로 선정 후 현장점검을 하는 방식으로 진행됐다. 이는 수탁자에 대한 개인정보보호 관리체계 강화를 통해 개인정보처리자가 위탁한 개인정보를 보호하기 위해서였다.
2014년 초에는 범정부TF팀에 의해 공공기관 및 민간기업체를 대상으로 13개 분야 64개 항목에 대해 개인정보처리시스템에 대한 개인정보보호 실태점검이 있었다. 그 결과 업무위탁에 따른 처리제한 부분의 위반비율이 15.7%로 제일 높은 것으로 드러났고, 2014년으로 3회째 실시한 공공기관 개인정보보호 관리수준 진단 결과에서도 ‘수탁업체 관리·감독’ 등 침해사고 예방 및 대응노력 분야가 개선해야 될 항목으로 분석됐다.
위탁자와 수탁자의 연관관계를 살펴보면, 위탁자는 개인정보처리 업무들에 대해 각각 하나의 수탁자에게 업무를 위탁하고 있는 반면, 하나의 수탁자는 다수의 위탁자를 대상으로 개인정보처리 업무를 위탁받아 처리하고 있다. 따라서 한 수탁자를 대상으로 관리체계를 구축 및 강화한다면, 그 수탁자에게 업무를 위탁한 여러 다른 위탁자들의 개인정보들은 강화된 관리체계에 의하여 자연스럽게 관리 및 처리될 것으로 판단된다.
위탁자는 개인정보처리 위탁 시 관리·감독을 어떻게 해야 되는 것일까? 공공기관의 개인정보처리 업무 위탁시 수탁자 관리사례에 대해 살펴보았다.
▲개인정보 처리 업무 위탁 시 위·수탁자 개인정보보호 관리체계 연관도
모든 개인정보처리 위탁에 대한 관리책임은 기관의 개인정보보호책임자(CPO)에게 있다. 또한, 개인 정보처리자가 개인정보의 처리 업무를 위탁 시에는 ‘관리감독 계획’에 의해야 한다. 이를 토대로 계약 부서에서는 개인정보처리 위탁에 대한 계약서를 체결하여 위·수탁자간의 법적인 책임문제에 대해 문서화해야 하고, 해당 부서에서는 개인정보처리 위탁에 대한 수탁자 정기 점검을 실시해야 한다. 이때 법에서 명시하고 있는 모든 부분들에 대하여 체크리스트 기반으로 작성하여 관리감독 할 수도 있다.
또한 수탁자들에 대한 직접적인 교육 또는 자체 교육에 대한 결과를 확인해야 한다. 개인정보처리 위탁 시 가장 중요한 사항으로 수탁자의 개인정보취급자를 위탁자의 직원으로 보기 때문에 법적 책임은 모두 위탁자에 있다는 것이다. 이런 법적 책임 때문에 어떤 기관들은 위탁업무를 제3자 제공 업무로 임의 구분하여 처리하다 더 큰 책임을 지는 경우도 간간히 발생하고 있다. 이러한 이유로 위탁과 제공에 대한 구분 또한 CPO가 명확히 구분하여 처리해야 할 사항 중 하나다.
공공기관의 개인정보처리 위탁 시 관리 방법에 대하여 자세히 살펴보도록 하자. 개인정보처리 업무 위탁 시 진행단계는 크게 ‘계약단계’, ‘수행단계’, ‘완료단계’ 3가지로 구분할 수 있다.
첫 번째 계약단계는 ‘계약 전 단계’와 ‘계약단계’, ‘계약 후 단계’로 세분화할 수 있다. ‘계약 전 단계’에서 기관들은 개인정보 처리 위탁과 관련하여 제안요청서와 과업지시서를 작성하여 공고하게 된다. 이때 해당 과업지시서 내에 개인정보처리 위탁과 관련한 절차와 방법, 법적 책임 등을 포함하는 등 업무위탁의 책임과 범위를 명확하게 해주어야 하고, 수탁자의 개인정보보호 관리체계를 확인할 수 있도록 하여 수탁자 스스로 개인정보보호 관리체계 수립 및 잘 운영되고 있다는 것을 입증하도록 하여 위탁자의 개인정보를 잘 처리할 수 있다는 것을 보여주어야 한다.
더불어 해당 위탁업무에 대한 취급자교육, 정기점검방법 등에 대한 관리계획을 세워 CPO에게 승인받은 후 전체 개인정보보호 관리범위에 포함시켜야 한다.
‘계약단계’에서는 계약 시 일반적인 계약내용과 함께 법에서 요구하는 ‘개인정보처리 업무 위탁에 따른 의무조항’들에 대하여 문서화해야 한다. 문서화의 방법은 여러 가지가 있으나, 반드시 위·수탁업체의 인감·서명날인 등이 포함된 계약문서의 형태여야 한다.
아래 7가지 항목들은 기본 계약 내용과 더불어 반드시 포함되어야 할 의무조항들이다. 이 7가지 항목 중 어느 하나라도 미포함 시 개선사항으로 지적될 수 있으니 유념하여 기입해야 한다. 이는 앞서 설명했듯이, 수탁자(개인정보취급자)의 실수로 인하여 개인정보의 유·노출 등이 발생해 정보주체에게 손해를 끼칠 경우 이들을 위탁자의 소속직원으로 간주해 손해배상 책임을 져야 되기 때문이다(필요 시 개인정보보호 종합포털 자료마당-참고자료-에서 ‘표준 개인정보처리위탁 계약서’를 다운받아 사용하기 바란다).
또한, 수탁자 중 직접 개인정보를 처리하는 자에 대하여는 ‘개인정보보호를 위한 보안 서약서’를 작성토록 하여 처리의 중요성과 책임에 대하여 인지시켜야 한다. 마지막 ‘계약 후 단계’에서 개인정보처리자는 개인정보의 처리 업무위탁 사실을 정보주체가 언제든지 쉽게 확인 할 수 있도록 공개해야 한다(정보통신망법에서는 정보주체 동의사항임).
일반적으로 홈페이지 개인정보처리방침 상에 위탁사실을 공지할 수 있으며, 그 외 위탁자의 사업장등 보기 쉬운 장소에 게시하거나 관보 혹은 소속지역의 일반 일간·주간신문, 인터넷 신문, 간행물이나 소식지, 홍보지, 청구서 등에 위탁내용과 수탁자정보를 지속적으로 싣는 방법을 이용해도 된다.
이런 제반 사항들을 포함하여 계약 등이 완료되면 위탁자는 개인정보가 분실·도난·유출·변조·훼손 또는 위탁범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하는지에 대하여 수탁자를 교육 하고, 관리·감독해야 한다. 이러한 사항들이 ‘수행단계’에서는 이루어져야 한다. 즉, 수탁자 개인정보 취급자들에 대해 정기적인 교육을 직접 시행하거나 수탁자 자체 교육 실시 혹은 온·오프라인 강좌에 대한 교육수료를 증빙할 수 있는 자료를 받아 확인해야 한다.
개인정보처리 위탁 시 가장 중요한 사항은 수탁자들의 개인정보처리 사항들에 대한 관리·감독 부분 이라 생각한다. 계약서나 교육사항 등은 절차상 일회성으로 진행될 수도 있지만, 위탁기관 담당자가 관리를 소홀히 한다면 고객의 중요 정보들은 어느새 유·노출되어 많은 이들에게 공유될 수 있기 때문이다. 따라서, 위탁자의 관리·감독은 정기적으로 수행되어야 하고 CPO에게 보고되어 전체 수탁자 관리에 미비사항이 없도록 관리해야 한다. 개인정보 처리 위탁 시 점검 사항은 다음 페이지 표를 참고 하여 기관별 위탁 상황에 맞게 작성하여 관리하길 바란다.
위 점검표에 의하여 위탁자는 수탁자를 정기적으로 점검 및 현장실사하는 등 관리감독을 실시하고 미흡사항 발생 시 CPO에 보고 후 즉시 개선토록 조치해야 한다. 개인정보처리 위탁의 경우, 개인정보는 위탁자가 수탁자에게 직접 제공하거나 수탁자가 직접 수집부터 파기까지 전담하는 경우가 있을 수 있고, 개인정보처리시스템이나 보안시스템들에 대한 위탁관리 부분이 있을 수 있다.
개인정보처리를 위해 위탁자가 수탁자에게 개인정보 자체를 제공하는 경우에는 제3자 제공절차와 같이 공문으로 해야 되고, 공문서 내 안전성 확보조치를 위한 내용을 포함하여 제공해야 한다(개인정 보가 포함된 붙임문서의 경우 비밀번호 잠금 설정하고, 비밀번호는 유선통보해야 한다).
수탁자가 직접 수집부터 파기까지 전담하는 위탁일 경우에 위탁자는 개인정보 수집양식과 동의사항 등에 대하여 법령위반사항이 없는지 면밀히 검토·관리해야 한다. 개인정보처리시스템과 제반 보안시스템들에 대한 위탁일 경우에는 보안서약서 확인 및 전산실 출입통제 등 물리적 보안사항이나 접근권한에 대한 사항등 ‘위탁자 내부 보안관리절차’에 의하여 처리되도록 보다 철저히 관리·감독해야 한다.
▲ 정환석 개인정보보호전문가 마지막으로 개인정보처리 위탁의 목적을 달성하게 되는 시점인 ‘완료단계’에서는 과업지시서상의 완료 산출물을 위탁자에 제출하게 된다. 만약 개인정보를 제공받았거나, 직접 수집하여 이용했다면 해당 개인정보를 모두 위탁자에게 반납 또는 제출해야 한다. 이때, 수탁자는 계약기간 동안 처리한 개인정보 들을 저장 또는 기입하였던 종이문서나 업무용PC, 서버 및 외부저장매체상의 데이터를 모두 복구 불가능하도록 삭제해야 하며, 함께 제출하는 공문에는 안전성 확보조치와 함께 파기 완료 사항에 대하여 명기해야 한다(특별한 법령이나 위수탁자간의 합의 등의 사유에 의하여 특정기간 보관해야되는 경우 에는 제외). 또한, 개인정보처리 시스템이나 보안 시스템 취급자들에 대하여는 접근권한 ID등의 회수 및 접근허용 IP나 MAC등의 삭제조치 등의 관리절차가 필요하다.
지금까지 살펴봤듯이, 개인정보의 처리 위탁 시에는 직접 관리하는 것 이상으로 많은 절차와 담당자의 노력이 필요하다. 개인정보처리를 위탁하는 경우 가장 중요하게 검토해야 할 부분은 개인정보보호 관리체계가 잘 갖추어진 수탁자를 찾는 것이라 생각한다. 하지만 아직까지 모든 수탁자들의 개인정보 보호 관리체계가 완벽하게 갖추어져 있다고 보기에는 무리가 있다고 보며, 위·수탁자 모두가 이 부분 에 대해 더 많이 노력해야 한다고 생각한다.
[글_정 환 석 개인정보보호 전문가(xpertstone@hanmail.net)
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>