개인정보보호위원회, 개인정보 처리자의 ‘처리 실태’ 등 점검 활동 강화한다
점검 대상자는 개인정보 관리 취약 업종 중심으로 확대될 가능성 있어
점검 항목에 대한 ‘가시성(visibility)’ 확보에 따른 단계적 방법 준수
■ 방송 : 보안뉴스TV(bnTV) <김진환 변호사의 개인정보 지키다> 4화
■ 진행 : 이소미 보안뉴스 기자
■ 출연 : 김진환 변호사
□ 이소미 기자
bnTV 구독자 여러분, 안녕하세요. 보안뉴스와 김진환 변호사가 함께하는 ‘개인정보 지키다’ 진행에 이소미 기자입니다. 오늘도 개인정보보호에 대한 확실한 가이드라인을 제시해 주실 김진환 변호사님 모셨는데요. 현재 저희 코너에서 정말 살아있는 개인정보 보호법을 전수해 주시고 계시죠. 지난 방송에서는 개정으로 ‘신설’된 제도 중 꼭 알아야 할 ‘개인정보 처리방식 평가 제도’에 대해 알아봤습니다. 이번 시간에는 그 두 번째로 ‘개인정보 사전 실태점검 제도’에 대해 알아보겠습니다.
▲[김진환의 개인정보 지키다] 4화 시작 화면[이미지=보안뉴스]
[개인정보 사전 실태점검 제도]
□ 이소미 기자
변호사님, ‘사전 실태점검 제도’는 어떤 제도인가요?
■ 김진환 변호사
지금까지 개인정보보호위원회는 법 위반 사항이 발견되거나 신고·민원이 접수된 경우 또는 실제 개인정보 유출 등의 사건이 발생된 경우에만 ‘조사권’을 행사하는 것을 원칙으로 했습니다. 그런데 개정 법에서는 이와 같은 정식 조사권 대상인 개인정보 처리자가 아니더라도 ‘개인정보 침해사고 발생 위험성’이 높고 ‘취약점’을 미리 점검할 필요가 있다고 인정되는 개인정보 처리자에 대해서 사전에 실태를 점검할 수 있는 제도를 신설했습니다. 이것이 ‘개인정보 사전 실태점검 제도’입니다.
따라서 ‘개인정보 사전 실태점검 제도’가 도입되면서 개인정보보호위원회로서는 사전 예방 차원에서 더욱 적극적으로 개인정보 처리자의 ‘처리 실태’를 점검할 수 있게 됐고요. 관련 고시에서는 관계 중앙행정기관과의 합동 사전 실태점검도 가능하도록 규정하는 등 향후 점검 활동을 강화할 것으로 보입니다.
□ 이소미 기자
‘한 발 빠르게 움직인다!’ 이제 사후 대응에서 그치는 게 아니라 사전 예방 차원에서 개인정보보호위원회도 적극적으로 나선다는 건데요. 기업의 개인정보보호 측면에서 좋은 변화라는 생각이 듭니다.
[개인정보 사전 실태점검 대상]
□ 이소미 기자
그렇다면 ‘점검 대상’이 핵심일 것 같은데요. 개인정보 침해 발생 가능성이 높아 사전에 취약점 점검이 필요한 대상자가 구체적으로 어떤 대상인지, 또 점검 절차는 어떤 과정으로 이루어지는지 설명 부탁드릴게요.
■ 김진환 변호사
사전 실태점검 항목이 개인정보보호위원회의 조사·처분에 관한 규정 고시에 반영돼 있는 등 제도적인 정비는 거의 완료되긴 했습니다만, 어떤 개인정보 처리자들을 대상으로 어떤 점에 중점을 두고 사전 실태점검을 하겠다든지에 대한 구체적인 청사진까지는 아직 마련 중인 것으로 알고 있습니다.
다만, 종전 개인정보 관련 감독기구로서 이러한 유형의 점검 활동을 많이 했던 ‘방송통신위원회’가 있는데요. 방송통신위원회의 전례를 보면 첫째, 침해사고 위험성이 큰 산업군이나 업종 등을 선정해 그중 상위 업체 대상으로 점검한다든지 둘째, 종전에 실제 침해사고가 일어난 산업이나 업종에 속한 업체들을 대상으로 조사 역량을 집중한 경우가 많았거든요? 아마 개인정보보호위원회도 이와 유사한 방법론을 취할 가능성이 상당히 높아 보입니다.
우선적으로 온·오프라인을 불문하고 개인정보를 대규모로 처리하는 공공기관·대기업·병원 등 취약점으로 인한 해킹 등의 우려가 있는 온라인 서비스 업체들과 중요한 사건·사고가 발생했던 관련 산업계·업종 등에 속한 개인정보 처리자 등이 대상이 될 가능성이 높습니다. 그밖에도 통상 ‘개인정보보호에 취약하다’고 평가받는 중소기업·소상공인 중에서 대표적인 업체들도 관심의 대상이 될 것으로 보입니다.
□ 이소미 기자
아직 사전실태 점검 대상자가 확정되진 않았지만, 만약 마련된다면 공공기관, 대기업, 그리고 온라인 서비스 제공업체, 병원업종 등 개인정보 관리가 취약할 수 있는 업종들 중심으로 대상이 확대될 수 있다는 점을 말씀해 주셨습니다. 또 중소기업·소상공인 업체까지도 모두 점검 대상이 될 수 있다는 점도 미리 인지하셔서 발 빠르게 준비하셔야 될 것 같습니다.
[개인정보 사전 실태점검 진행 예상]
□ 이소미 기자
변호사님, 본격적으로 ‘개인정보 사전 실태점검’이 이뤄지게 된다면 정기적으로 진행될 것 같은데 예상되는 내용이 있으실까요?
■ 김진환 변호사
실제 운용에 들어가봐야 알겠지만 아마 ‘사전 실태점검’은 연중 계획으로 지속적으로 이뤄질 가능성이 높습니다. 현재 개인정보보호위원회의 인력이 사전 실태점검에 얼마나 투입될 수 있느냐가 관건일 텐데 처음으로 제도가 도입된 만큼 시행 초기에는 제도의 안착과 효과를 거두기 위해 개인정보보호위원회도 상당한 노력을 기울여 실태점검 조사 활동을 강하게 진행할 가능성이 있다고 말씀드릴 수 있겠습니다.
□ 이소미 기자
초기에는 여러 시행착오를 겪기 마련이잖아요? 특히 이번에 개인정보보호위원회가 선제적인 예방 차원에서 적극적으로 움직이는 만큼 점검에 투입될 인력 보강도 충분히 이뤄졌으면 좋겠습니다.
[개인정보 사전 실태점검 대비책]
□ 이소미 기자
기업 입장에서 사전 실태점검 제도에 대한 대비책을 마련해야 할 것 같은데, 특별히 더 신경 써야 될 요주의 업종이 있을까요?
■ 김진환 변호사
사전 실태점검 과정에서 어떤 사항들에 대한 점검이 이뤄질지가 우선적인 문제 같습니다. 이 부분도 사실 개인정보보호위원회의 재량에 속한 사항인데요. 종전 유사 점검 활동 사례에 비춰보면 ‘주민등록번호 처리현황’이나 ‘암호화’ 등과 같은 특별한 점검 주제로 살펴보는 경우와 특별한 점검 주제 없이 특정 산업군·업종을 대상으로 전반적인 법 준수 현황을 살펴보는 경우로 나눠볼 수 있겠습니다.
점검 나가기 전에는 점검 취지 및 일시 등에 대해 미리 고지하도록 되어 있기 때문에 기업 입장에서도 그에 맞춰 적절히 준비할 여지는 있을 것 같습니다. ‘사전실태 점검’에 제대로 대응하기 위해서는 평소에 개인정보 처리현황을 면밀하게 검토하고, 법 위반 요소는 없는지 주기적으로 점검·보완하는 과정들을 일상화할 필요가 있다고 생각합니다.
개인정보 처리자의 규모 또는 처리하는 개인정보 다과(多寡)에 따라 차이는 있겠습니다만, 이러한 일상화를 위해서는 상당히 많은 시간과 인력이 요구됩니다. 특히 제가 강조하고 싶은 것은 CPO(Chief Privacy Officer : 개인정보보호최고책임자)분들이나 개인정보 업무 담당자로서 자신의 기업 내에 어떤 개인정보가, 어디에서, 어떤 방식으로 처리되고 있는지 우선 파악하는 것이 정말 급선무거든요. 이를 가시성 즉 ‘visibility’라고 부르는데 눈에 보여야 그제야 관리도 생각해 볼 수 있기 때문입니다.
간혹 이러한 점을 간과해 우리가 점검 활동을 막무가내로 맥락 없이 진행하는 경우도 적지 않게 보이는데 그런 경우에는 점검 노력에 비해 성과를 얻지 못하는 결과가 발생할 수 있습니다. 따라서 △첫째, 개인정보의 ‘가시성’ 확보 △둘째, 가시성이 확보된 개인정보의 유형을 분류하는 것 △셋째, 분류된 유형별 개인정보 처리현황을 파악하는 것 △넷째, 해당 처리현황이 법률에 부합하는지 판단하는 순서로 진행하는 것이 가장 일반적인 방법론입니다. 그리고 필요하다면 적절한 외부 솔루션이나 전문가 등의 도움을 받는 것도 고려해 보실 만합니다.
□ 이소미 기자
사전고지 이후 점검이 진행되기 때문에 미리 준비할 기회가 있겠지만 변호사님이 말씀해 주셨던 ‘일상화’가 중요한 포인트 같습니다. 말 그대로 반짝 준비해서 넘어갈 것이 아니라 ‘미리 습관처럼 준비돼 있어야 한다’고 볼 수 있겠네요.
[개인정보 사전 실태점검으로 법 위반이 확인된 경우]
□ 이소미 기자
그럼 변호사님 실태 점검 이후에 실제로 법 위반 여부가 확인이 되잖아요? 확인되는 즉시 과징금 같은 법적제재가 이뤄지는지 아니면 어느 정도 시정할 수 있는 별도의 기간이 주어지는지 궁금하거든요?
■ 김진환 변호사
개인정보 보호법과 관련 고시에 따르면 개인정보 사전 실태점검으로 법 위반이 확인된 경우 개인정보보호위원회는 우선 시정 권고 조치를 취할 수 있는 것으로 돼 있습니다. 따라서 사전 실태점검의 도입 취지를 고려해보면 개인정보보호위원회가 즉시 개인정보 처리자에 대해서 강력한 제재를 내리는 대신 ‘시정 권고’ 등을 통한 ‘자진 이행’이나 ‘보완’을 요구할 것으로 보이고요.
다만, 이런 권고를 수락하지 않거나 이의를 제기하거나 이행 등이 미흡한 경우에는 정식 조사절차로 넘어가서 과징금이나 과태료가 부과되거나 경우에 따라 형사고발 등의 조치를 취하게 될 상황도 벌어질 수 있습니다.
□ 이소미 기자
역시 사전 점검인 만큼 한 번 더 시정할 수 있는 기회가 주어지는데 점검 이후에 즉시 법적 제재가 내려지는 것은 아니기 때문에 이 기회를 잘 활용하셔야겠습니다.
또 ‘개인정보 지키다’ 코너에서는 개인정보보호와 관련된 시청자분들의 궁금증들을 해결해 드리려고 합니다. 방송 보시면서 추가적으로 궁금한 사항이나 꼭 다뤄주었으면 하는 내용이 있으시다면 언제든 ‘bntv 소통창구’로 의견 남겨주세요.
이메일 또는 유튜브 댓글로 자유롭게 의견 남겨주시면 방송을 통해 여러분의 궁금증을 시원하게 해결해 드리겠습니다. 김진환 변호사와 함께하는 개인정보보호의 모든 것 ‘개인정보 지키다!’ 저희가 오늘 준비한 내용은 여기까지고요.
저희는 다음 시간에 더욱 알찬 내용으로 준비해서 찾아 뵙도록 하겠습니다. 시청해주신 여러분 고맙습니다.
[이소미 기자(boan4@boannews.com)]
점검 대상자는 개인정보 관리 취약 업종 중심으로 확대될 가능성 있어
점검 항목에 대한 ‘가시성(visibility)’ 확보에 따른 단계적 방법 준수
■ 방송 : 보안뉴스TV(bnTV) <김진환 변호사의 개인정보 지키다> 4화
■ 진행 : 이소미 보안뉴스 기자
■ 출연 : 김진환 변호사
□ 이소미 기자
bnTV 구독자 여러분, 안녕하세요. 보안뉴스와 김진환 변호사가 함께하는 ‘개인정보 지키다’ 진행에 이소미 기자입니다. 오늘도 개인정보보호에 대한 확실한 가이드라인을 제시해 주실 김진환 변호사님 모셨는데요. 현재 저희 코너에서 정말 살아있는 개인정보 보호법을 전수해 주시고 계시죠. 지난 방송에서는 개정으로 ‘신설’된 제도 중 꼭 알아야 할 ‘개인정보 처리방식 평가 제도’에 대해 알아봤습니다. 이번 시간에는 그 두 번째로 ‘개인정보 사전 실태점검 제도’에 대해 알아보겠습니다.
▲[김진환의 개인정보 지키다] 4화 시작 화면[이미지=보안뉴스]
[개인정보 사전 실태점검 제도]
□ 이소미 기자
변호사님, ‘사전 실태점검 제도’는 어떤 제도인가요?
■ 김진환 변호사
지금까지 개인정보보호위원회는 법 위반 사항이 발견되거나 신고·민원이 접수된 경우 또는 실제 개인정보 유출 등의 사건이 발생된 경우에만 ‘조사권’을 행사하는 것을 원칙으로 했습니다. 그런데 개정 법에서는 이와 같은 정식 조사권 대상인 개인정보 처리자가 아니더라도 ‘개인정보 침해사고 발생 위험성’이 높고 ‘취약점’을 미리 점검할 필요가 있다고 인정되는 개인정보 처리자에 대해서 사전에 실태를 점검할 수 있는 제도를 신설했습니다. 이것이 ‘개인정보 사전 실태점검 제도’입니다.
따라서 ‘개인정보 사전 실태점검 제도’가 도입되면서 개인정보보호위원회로서는 사전 예방 차원에서 더욱 적극적으로 개인정보 처리자의 ‘처리 실태’를 점검할 수 있게 됐고요. 관련 고시에서는 관계 중앙행정기관과의 합동 사전 실태점검도 가능하도록 규정하는 등 향후 점검 활동을 강화할 것으로 보입니다.
□ 이소미 기자
‘한 발 빠르게 움직인다!’ 이제 사후 대응에서 그치는 게 아니라 사전 예방 차원에서 개인정보보호위원회도 적극적으로 나선다는 건데요. 기업의 개인정보보호 측면에서 좋은 변화라는 생각이 듭니다.
[개인정보 사전 실태점검 대상]
□ 이소미 기자
그렇다면 ‘점검 대상’이 핵심일 것 같은데요. 개인정보 침해 발생 가능성이 높아 사전에 취약점 점검이 필요한 대상자가 구체적으로 어떤 대상인지, 또 점검 절차는 어떤 과정으로 이루어지는지 설명 부탁드릴게요.
■ 김진환 변호사
사전 실태점검 항목이 개인정보보호위원회의 조사·처분에 관한 규정 고시에 반영돼 있는 등 제도적인 정비는 거의 완료되긴 했습니다만, 어떤 개인정보 처리자들을 대상으로 어떤 점에 중점을 두고 사전 실태점검을 하겠다든지에 대한 구체적인 청사진까지는 아직 마련 중인 것으로 알고 있습니다.
다만, 종전 개인정보 관련 감독기구로서 이러한 유형의 점검 활동을 많이 했던 ‘방송통신위원회’가 있는데요. 방송통신위원회의 전례를 보면 첫째, 침해사고 위험성이 큰 산업군이나 업종 등을 선정해 그중 상위 업체 대상으로 점검한다든지 둘째, 종전에 실제 침해사고가 일어난 산업이나 업종에 속한 업체들을 대상으로 조사 역량을 집중한 경우가 많았거든요? 아마 개인정보보호위원회도 이와 유사한 방법론을 취할 가능성이 상당히 높아 보입니다.
우선적으로 온·오프라인을 불문하고 개인정보를 대규모로 처리하는 공공기관·대기업·병원 등 취약점으로 인한 해킹 등의 우려가 있는 온라인 서비스 업체들과 중요한 사건·사고가 발생했던 관련 산업계·업종 등에 속한 개인정보 처리자 등이 대상이 될 가능성이 높습니다. 그밖에도 통상 ‘개인정보보호에 취약하다’고 평가받는 중소기업·소상공인 중에서 대표적인 업체들도 관심의 대상이 될 것으로 보입니다.
□ 이소미 기자
아직 사전실태 점검 대상자가 확정되진 않았지만, 만약 마련된다면 공공기관, 대기업, 그리고 온라인 서비스 제공업체, 병원업종 등 개인정보 관리가 취약할 수 있는 업종들 중심으로 대상이 확대될 수 있다는 점을 말씀해 주셨습니다. 또 중소기업·소상공인 업체까지도 모두 점검 대상이 될 수 있다는 점도 미리 인지하셔서 발 빠르게 준비하셔야 될 것 같습니다.
[개인정보 사전 실태점검 진행 예상]
□ 이소미 기자
변호사님, 본격적으로 ‘개인정보 사전 실태점검’이 이뤄지게 된다면 정기적으로 진행될 것 같은데 예상되는 내용이 있으실까요?
■ 김진환 변호사
실제 운용에 들어가봐야 알겠지만 아마 ‘사전 실태점검’은 연중 계획으로 지속적으로 이뤄질 가능성이 높습니다. 현재 개인정보보호위원회의 인력이 사전 실태점검에 얼마나 투입될 수 있느냐가 관건일 텐데 처음으로 제도가 도입된 만큼 시행 초기에는 제도의 안착과 효과를 거두기 위해 개인정보보호위원회도 상당한 노력을 기울여 실태점검 조사 활동을 강하게 진행할 가능성이 있다고 말씀드릴 수 있겠습니다.
□ 이소미 기자
초기에는 여러 시행착오를 겪기 마련이잖아요? 특히 이번에 개인정보보호위원회가 선제적인 예방 차원에서 적극적으로 움직이는 만큼 점검에 투입될 인력 보강도 충분히 이뤄졌으면 좋겠습니다.
[개인정보 사전 실태점검 대비책]
□ 이소미 기자
기업 입장에서 사전 실태점검 제도에 대한 대비책을 마련해야 할 것 같은데, 특별히 더 신경 써야 될 요주의 업종이 있을까요?
■ 김진환 변호사
사전 실태점검 과정에서 어떤 사항들에 대한 점검이 이뤄질지가 우선적인 문제 같습니다. 이 부분도 사실 개인정보보호위원회의 재량에 속한 사항인데요. 종전 유사 점검 활동 사례에 비춰보면 ‘주민등록번호 처리현황’이나 ‘암호화’ 등과 같은 특별한 점검 주제로 살펴보는 경우와 특별한 점검 주제 없이 특정 산업군·업종을 대상으로 전반적인 법 준수 현황을 살펴보는 경우로 나눠볼 수 있겠습니다.
점검 나가기 전에는 점검 취지 및 일시 등에 대해 미리 고지하도록 되어 있기 때문에 기업 입장에서도 그에 맞춰 적절히 준비할 여지는 있을 것 같습니다. ‘사전실태 점검’에 제대로 대응하기 위해서는 평소에 개인정보 처리현황을 면밀하게 검토하고, 법 위반 요소는 없는지 주기적으로 점검·보완하는 과정들을 일상화할 필요가 있다고 생각합니다.
개인정보 처리자의 규모 또는 처리하는 개인정보 다과(多寡)에 따라 차이는 있겠습니다만, 이러한 일상화를 위해서는 상당히 많은 시간과 인력이 요구됩니다. 특히 제가 강조하고 싶은 것은 CPO(Chief Privacy Officer : 개인정보보호최고책임자)분들이나 개인정보 업무 담당자로서 자신의 기업 내에 어떤 개인정보가, 어디에서, 어떤 방식으로 처리되고 있는지 우선 파악하는 것이 정말 급선무거든요. 이를 가시성 즉 ‘visibility’라고 부르는데 눈에 보여야 그제야 관리도 생각해 볼 수 있기 때문입니다.
간혹 이러한 점을 간과해 우리가 점검 활동을 막무가내로 맥락 없이 진행하는 경우도 적지 않게 보이는데 그런 경우에는 점검 노력에 비해 성과를 얻지 못하는 결과가 발생할 수 있습니다. 따라서 △첫째, 개인정보의 ‘가시성’ 확보 △둘째, 가시성이 확보된 개인정보의 유형을 분류하는 것 △셋째, 분류된 유형별 개인정보 처리현황을 파악하는 것 △넷째, 해당 처리현황이 법률에 부합하는지 판단하는 순서로 진행하는 것이 가장 일반적인 방법론입니다. 그리고 필요하다면 적절한 외부 솔루션이나 전문가 등의 도움을 받는 것도 고려해 보실 만합니다.
□ 이소미 기자
사전고지 이후 점검이 진행되기 때문에 미리 준비할 기회가 있겠지만 변호사님이 말씀해 주셨던 ‘일상화’가 중요한 포인트 같습니다. 말 그대로 반짝 준비해서 넘어갈 것이 아니라 ‘미리 습관처럼 준비돼 있어야 한다’고 볼 수 있겠네요.
[개인정보 사전 실태점검으로 법 위반이 확인된 경우]
□ 이소미 기자
그럼 변호사님 실태 점검 이후에 실제로 법 위반 여부가 확인이 되잖아요? 확인되는 즉시 과징금 같은 법적제재가 이뤄지는지 아니면 어느 정도 시정할 수 있는 별도의 기간이 주어지는지 궁금하거든요?
■ 김진환 변호사
개인정보 보호법과 관련 고시에 따르면 개인정보 사전 실태점검으로 법 위반이 확인된 경우 개인정보보호위원회는 우선 시정 권고 조치를 취할 수 있는 것으로 돼 있습니다. 따라서 사전 실태점검의 도입 취지를 고려해보면 개인정보보호위원회가 즉시 개인정보 처리자에 대해서 강력한 제재를 내리는 대신 ‘시정 권고’ 등을 통한 ‘자진 이행’이나 ‘보완’을 요구할 것으로 보이고요.
다만, 이런 권고를 수락하지 않거나 이의를 제기하거나 이행 등이 미흡한 경우에는 정식 조사절차로 넘어가서 과징금이나 과태료가 부과되거나 경우에 따라 형사고발 등의 조치를 취하게 될 상황도 벌어질 수 있습니다.
□ 이소미 기자
역시 사전 점검인 만큼 한 번 더 시정할 수 있는 기회가 주어지는데 점검 이후에 즉시 법적 제재가 내려지는 것은 아니기 때문에 이 기회를 잘 활용하셔야겠습니다.
또 ‘개인정보 지키다’ 코너에서는 개인정보보호와 관련된 시청자분들의 궁금증들을 해결해 드리려고 합니다. 방송 보시면서 추가적으로 궁금한 사항이나 꼭 다뤄주었으면 하는 내용이 있으시다면 언제든 ‘bntv 소통창구’로 의견 남겨주세요.
이메일 또는 유튜브 댓글로 자유롭게 의견 남겨주시면 방송을 통해 여러분의 궁금증을 시원하게 해결해 드리겠습니다. 김진환 변호사와 함께하는 개인정보보호의 모든 것 ‘개인정보 지키다!’ 저희가 오늘 준비한 내용은 여기까지고요.
저희는 다음 시간에 더욱 알찬 내용으로 준비해서 찾아 뵙도록 하겠습니다. 시청해주신 여러분 고맙습니다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
