.gif)
개정 법령 파악, 개인정보 처리방침, 제3자 제공정보 고지 등 중요
자사 실태 정확히 점검하고 조치해야 과태료 및 행정처분 피할 수 있어
[보안뉴스 김태형] 최근 개인정보 유출사고는 점점 지능화·다양화되고 있다. 개인정보보호법이 시행된 지가 벌써 6년이 지나고 있지만, 공공기관 및 기업의 개인정보보호 조치는 여전히 미흡한 부분이 많다는 지적이다. 이에 관련 부처는 주기적인 개인정보보호 실태점검을 통해 위반이 발견된 부분에 대해서는 과태료 처분이나 시정조치를 하고 있다.
그동안 크고 작은 개인정보 유출사고를 겪으면서 개인정보보호법은 몇 차례 개정됐고 개인정보보호 관련 법과 규제는 점점 더 강력해져 기업들의 부담도 커지고 있다. 최근 개정된 개인정보보호법에 따르면, 주민번호 의무화 뿐만 아니라 앞으로는 정보 당사자가 아닌 제3자로부터 개인정보를 제공받은 경우 당사자에게 개인정보 수집출처와 처리목적 등을 반드시 고지해야 한다.
또한, 개인정보보호와 관련된 정통망법 개정안에 따르면, 개인정보 유출 피해자가 피해규모를 직접 입증하지 않아도 배상판결을 받을 수 있도록 했다. 기존 카드사나 유통·포털 업체 이용자들은 해킹으로 인한 정보유출에 따른 손해 규모를 직접 입증해야 했다. 하지만 앞으로는 해킹 피해를 입은 일반 이용자가 적절한 수준의 배상을 받을 수 있게 된 것이다.
아울러 사업자들은 보호조치 미흡으로 개인정보를 유출했을 경우, 실제 손해액의 최대 3배까지 배상하도록 하는 징벌적 손해배상제를 도입함으로써 기업 측의 노력이 더욱 많이 요구되고 있다. 또한, 보안인증 제도와 관련해서는 유사한 인증제도는 통합됐고 ISMS 인증 의무화는 금융·의료분야 등으로 확대되었다. 이와 같은 상황에서 사업자들은 관련 법 준수와 개인정보보호 강화를 위해 어떤 측면에 우선순위를 두어야 할지 고민이 깊어지고 있다.
이와 관련해서 법무법인 율촌 손도일 변호사는 “가장 중요한 것은 자사에 적용되는 법령이 어떤 것인지를 파악하는 일이다. 이는 현재 국내 개인정보와 관련한 법령이 5가지, 즉 개인정보보호법, 정통망법, 위치정보법, 신용정보법, 전자금융거래법 등이 있는데, 이 중 자사에 적용받는 법이 무엇인지 정확히 알아야 한다”면서 “또 한 가지는 자사의 보안현황을 정확히 분석하고 있어야 한다. 특히, 관리적·기술적·물리적 통제가 잘 되는지를 파악해야 한다. 아울러 이러한 조치들이 외부 수탁사나 협력업체에도 잘 적용되는지를 파악해야 한다. 최근 개인정보 유출 사건은 외부 협력업체 직원이나 수탁사에서 발생한 경우가 많기 때문”이라고 설명했다.
이어 법무법인 세종 백대용 변호사는 “사업자들의 법령 준수가 쉽지 않은 상황에서 가장 중요한 것은 개인정보의 처리방침이다. 올해 3월 개정되어 9월 30일 시행되는 개인정보보호법의 내용은 개인정보의 출처 고지, 개인정보 처리방침에 관한 내용 등”이라면서 “사업자들이 개인정보 처리방침을 꼼꼼하게 잘 만들어 놓아야 한다. 여기에는 개인정보의 수집·이용·제공·저장·국외이전 등의 내용이 포함되어야 한다”고 말했다.
덧붙여 그는 “대부분은 개인정보 처리방침을 형식적으로 만드는 경우가 많은데, 꼼꼼하고 충실하게 잘 만들 필요가 있다. 왜냐하면 개인정보 처리방침을 꼼꼼하게 만들다 보면 자사의 개인정보 처리에서 어떤 문제가 있는지를 파악할 수 있기 때문이다. 그리고 문제점이 파악되면 이를 수정·보완하면 자연스럽게 개인정보보호가 강화된다”고 강조했다.
또한 법률사무소 연암 김상천 변호사는 “이번 개인정보보호법 개정 내용 중 사업자 측에서 가장 중요하게 볼 것은 정보 당사자 이외에 제3자로부터 개인정보를 제공 받았을 경우 당사자에게 개인정보 수집 출처와 처리 목적 등을 반드시 고지해야 한다는 점”이라면서 “이 부분은 이용자들로부터 직접 받은 정보가 아니더라도, 앞으로는 신경을 써서 처리하는 등 관련 법령을 준수해야만 한다. 만약 그렇지 않으면 과태료 등 행정적인 처분을 받는다”고 설명했다.
이어서 그는 “사업자들이 제3자로부터 제공 받은 개인정보를 받았을 경우, 이용자들에게 고지해야 하기 때문에 이용자들에게 반발을 살 수도 있다. 그렇게 되면 사업 관계상 여러 가지 문제가 발생할 수 있다. 예를 들면, 개인정보에 대해서 정보주체가 통제할 수 있기 때문에 이용자들이 이에 대한 사용중지를 요청하면 사용할 수 없기 때문”이라고 덧붙였다.
법률사무소 비트 최성호 대표 변호사는 “이번 개인정보보호법 개정안에서는 특히 ‘고유식별정보 처리현황 정기조사’ 조항이 신설됐다. 이에 따라 행정자치부 장관은 처리하는 개인정보의 종류, 규모, 종업원수 및 매출액 규모 등을 고려해 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 안전성 확보에 필요한 조치를 했는지를 정기적으로 조사해야 한다”면서 “이에 사업자들은 주무부처 또는 전문기관의 정기적인 조사에 대비해 평소 법령상 의무사항을 준수했다는 점에 대한 증적 관리가 필요하다”고 말했다.
또한 그는 “주민번호 처리 근거 제한에 따라, 주민번호 처리현황과 법적 근거를 검토할 필요가 있으며, 개인정보 처리방침 기재에 관한 추가조항이 개정·신설됨에 따라 쿠키(Cookies)에 어떠한 정보가 저장되고 송수신되는지도 확인해야 한다”고 덧붙였다.
이처럼 개인정보보호법 개정으로 정보주체의 권리가 제고되고 개인정보보호가 한층 더 강화됐다. 또한, 정부에서는 정기적인 개인정보 수집·이용 실태조사를 통해 불필요한 개인정보 수집 행태를 점검하고 단속을 진행할 것으로 보인다. 이에 사업자들은 앞서 전문변호사들이 강조했던 사항들을 중심으로 적절한 보호조치를 마련해 놓아야 과태료 및 행정처분을 피할 수 있고, 한층 안정적인 개인정보보호 체계를 구축할 수 있다.
한편, 개인정보보호 관련 법·규제에 대한 보다 자세한 내용은 오는 6월 9일~10일까지 서울 삼성동 코엑스에서 개최되는 ‘개인정보보호페어 2016(PIS FAIR 2016)’에서 전문 변호사들의 강연을 통해 들을 수 있다.
공공기관과 민간기업의 CPO(Chief Privacy Officer: 개인정보보호최고책임자)와 개인정보처리자, 보안담당자들 4천여명 이상이 참가하는 ‘PIS FAIR 2016’는 올해로 6회째를 맞는 국내 최대 규모의 개인정보보호 컨퍼런스로, 공공분야와 민간분야를 아우르기 위해 양일에 걸쳐 ‘CPO워크숍’과 ‘온라인 개인정보보호 컨퍼런스’로 나누어 진행된다.
개인정보보호 관련 법제도와 기술 트렌드, 구축사례 등에 대한 풍성한 강연은 물론 개인정보보호 솔루션 전시, 그리고 참관객들에게 ‘개인정보보호 실천가이드 v.6’가 무료 배포되는 이번 행사의 경우 공공기관 및 기업의 CPO와 개인정보처리자, 보안담당자는 행사 홈페이지(www.pisfair.org/2016/)에서 사전등록시 무료 참관이 가능하다.
[김태형 기자(boan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
자사 실태 정확히 점검하고 조치해야 과태료 및 행정처분 피할 수 있어
[보안뉴스 김태형] 최근 개인정보 유출사고는 점점 지능화·다양화되고 있다. 개인정보보호법이 시행된 지가 벌써 6년이 지나고 있지만, 공공기관 및 기업의 개인정보보호 조치는 여전히 미흡한 부분이 많다는 지적이다. 이에 관련 부처는 주기적인 개인정보보호 실태점검을 통해 위반이 발견된 부분에 대해서는 과태료 처분이나 시정조치를 하고 있다.
그동안 크고 작은 개인정보 유출사고를 겪으면서 개인정보보호법은 몇 차례 개정됐고 개인정보보호 관련 법과 규제는 점점 더 강력해져 기업들의 부담도 커지고 있다. 최근 개정된 개인정보보호법에 따르면, 주민번호 의무화 뿐만 아니라 앞으로는 정보 당사자가 아닌 제3자로부터 개인정보를 제공받은 경우 당사자에게 개인정보 수집출처와 처리목적 등을 반드시 고지해야 한다.
또한, 개인정보보호와 관련된 정통망법 개정안에 따르면, 개인정보 유출 피해자가 피해규모를 직접 입증하지 않아도 배상판결을 받을 수 있도록 했다. 기존 카드사나 유통·포털 업체 이용자들은 해킹으로 인한 정보유출에 따른 손해 규모를 직접 입증해야 했다. 하지만 앞으로는 해킹 피해를 입은 일반 이용자가 적절한 수준의 배상을 받을 수 있게 된 것이다.
아울러 사업자들은 보호조치 미흡으로 개인정보를 유출했을 경우, 실제 손해액의 최대 3배까지 배상하도록 하는 징벌적 손해배상제를 도입함으로써 기업 측의 노력이 더욱 많이 요구되고 있다. 또한, 보안인증 제도와 관련해서는 유사한 인증제도는 통합됐고 ISMS 인증 의무화는 금융·의료분야 등으로 확대되었다. 이와 같은 상황에서 사업자들은 관련 법 준수와 개인정보보호 강화를 위해 어떤 측면에 우선순위를 두어야 할지 고민이 깊어지고 있다.
이와 관련해서 법무법인 율촌 손도일 변호사는 “가장 중요한 것은 자사에 적용되는 법령이 어떤 것인지를 파악하는 일이다. 이는 현재 국내 개인정보와 관련한 법령이 5가지, 즉 개인정보보호법, 정통망법, 위치정보법, 신용정보법, 전자금융거래법 등이 있는데, 이 중 자사에 적용받는 법이 무엇인지 정확히 알아야 한다”면서 “또 한 가지는 자사의 보안현황을 정확히 분석하고 있어야 한다. 특히, 관리적·기술적·물리적 통제가 잘 되는지를 파악해야 한다. 아울러 이러한 조치들이 외부 수탁사나 협력업체에도 잘 적용되는지를 파악해야 한다. 최근 개인정보 유출 사건은 외부 협력업체 직원이나 수탁사에서 발생한 경우가 많기 때문”이라고 설명했다.
이어 법무법인 세종 백대용 변호사는 “사업자들의 법령 준수가 쉽지 않은 상황에서 가장 중요한 것은 개인정보의 처리방침이다. 올해 3월 개정되어 9월 30일 시행되는 개인정보보호법의 내용은 개인정보의 출처 고지, 개인정보 처리방침에 관한 내용 등”이라면서 “사업자들이 개인정보 처리방침을 꼼꼼하게 잘 만들어 놓아야 한다. 여기에는 개인정보의 수집·이용·제공·저장·국외이전 등의 내용이 포함되어야 한다”고 말했다.
덧붙여 그는 “대부분은 개인정보 처리방침을 형식적으로 만드는 경우가 많은데, 꼼꼼하고 충실하게 잘 만들 필요가 있다. 왜냐하면 개인정보 처리방침을 꼼꼼하게 만들다 보면 자사의 개인정보 처리에서 어떤 문제가 있는지를 파악할 수 있기 때문이다. 그리고 문제점이 파악되면 이를 수정·보완하면 자연스럽게 개인정보보호가 강화된다”고 강조했다.
또한 법률사무소 연암 김상천 변호사는 “이번 개인정보보호법 개정 내용 중 사업자 측에서 가장 중요하게 볼 것은 정보 당사자 이외에 제3자로부터 개인정보를 제공 받았을 경우 당사자에게 개인정보 수집 출처와 처리 목적 등을 반드시 고지해야 한다는 점”이라면서 “이 부분은 이용자들로부터 직접 받은 정보가 아니더라도, 앞으로는 신경을 써서 처리하는 등 관련 법령을 준수해야만 한다. 만약 그렇지 않으면 과태료 등 행정적인 처분을 받는다”고 설명했다.
이어서 그는 “사업자들이 제3자로부터 제공 받은 개인정보를 받았을 경우, 이용자들에게 고지해야 하기 때문에 이용자들에게 반발을 살 수도 있다. 그렇게 되면 사업 관계상 여러 가지 문제가 발생할 수 있다. 예를 들면, 개인정보에 대해서 정보주체가 통제할 수 있기 때문에 이용자들이 이에 대한 사용중지를 요청하면 사용할 수 없기 때문”이라고 덧붙였다.
법률사무소 비트 최성호 대표 변호사는 “이번 개인정보보호법 개정안에서는 특히 ‘고유식별정보 처리현황 정기조사’ 조항이 신설됐다. 이에 따라 행정자치부 장관은 처리하는 개인정보의 종류, 규모, 종업원수 및 매출액 규모 등을 고려해 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 안전성 확보에 필요한 조치를 했는지를 정기적으로 조사해야 한다”면서 “이에 사업자들은 주무부처 또는 전문기관의 정기적인 조사에 대비해 평소 법령상 의무사항을 준수했다는 점에 대한 증적 관리가 필요하다”고 말했다.
또한 그는 “주민번호 처리 근거 제한에 따라, 주민번호 처리현황과 법적 근거를 검토할 필요가 있으며, 개인정보 처리방침 기재에 관한 추가조항이 개정·신설됨에 따라 쿠키(Cookies)에 어떠한 정보가 저장되고 송수신되는지도 확인해야 한다”고 덧붙였다.
이처럼 개인정보보호법 개정으로 정보주체의 권리가 제고되고 개인정보보호가 한층 더 강화됐다. 또한, 정부에서는 정기적인 개인정보 수집·이용 실태조사를 통해 불필요한 개인정보 수집 행태를 점검하고 단속을 진행할 것으로 보인다. 이에 사업자들은 앞서 전문변호사들이 강조했던 사항들을 중심으로 적절한 보호조치를 마련해 놓아야 과태료 및 행정처분을 피할 수 있고, 한층 안정적인 개인정보보호 체계를 구축할 수 있다.
한편, 개인정보보호 관련 법·규제에 대한 보다 자세한 내용은 오는 6월 9일~10일까지 서울 삼성동 코엑스에서 개최되는 ‘개인정보보호페어 2016(PIS FAIR 2016)’에서 전문 변호사들의 강연을 통해 들을 수 있다.
공공기관과 민간기업의 CPO(Chief Privacy Officer: 개인정보보호최고책임자)와 개인정보처리자, 보안담당자들 4천여명 이상이 참가하는 ‘PIS FAIR 2016’는 올해로 6회째를 맞는 국내 최대 규모의 개인정보보호 컨퍼런스로, 공공분야와 민간분야를 아우르기 위해 양일에 걸쳐 ‘CPO워크숍’과 ‘온라인 개인정보보호 컨퍼런스’로 나누어 진행된다.
개인정보보호 관련 법제도와 기술 트렌드, 구축사례 등에 대한 풍성한 강연은 물론 개인정보보호 솔루션 전시, 그리고 참관객들에게 ‘개인정보보호 실천가이드 v.6’가 무료 배포되는 이번 행사의 경우 공공기관 및 기업의 CPO와 개인정보처리자, 보안담당자는 행사 홈페이지(www.pisfair.org/2016/)에서 사전등록시 무료 참관이 가능하다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.png){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
