서버·업무용PC·개인정보 처리 위탁·제3자 제공 시 개인정보 파일 파기

[보안뉴스 정환석 대구도시공사 개인정보보호담당] 개인정보 파일은 보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을 때는 지체 없이(5일 이내) 파기해야 한다. 다만, 다른 법령에 따라 보존해야하는 경우에는 적법하게 처리 할 수 있다.

파기 : 개인정보 파일의 파기 시에는 복구 또는 재생되지 않도록 하야 된다. 일반적인 개인정보파일의 파기방법은 다음과 같다.

개인정보 파일은 이용 및 보관형태에 따라 다음과 같이 네 가지로 나눌 수 있으며  각각의 파기 방법은 다음과 같다

가. 서버(DB) 내 개인정보 파일 파기
-기본적으로 고유식별정보(주민번호,운전면허번호,외국인등록번호), 비밀번호,        바이오정보 등에 대하여는 암호화를 적용한다.
-목적 달성 시 해당 데이터베이스의 테이블 내 레코드(필드)에서 삭제한다.
-다른 법령이나 업무(소송, 내용증명등) 수행 등을 위하여 보관 필요 시 해당 시스템과 동일하지 않은 별도의 하드디스크나 보조기억장치에 분리하여 보관 가능하다. 이때에도 보관에 따른 근거마련(내규 등)이 필요하며, 암호화 등 안전성확보조치 또한 필요하게 된다. (영구보관 할 수 있는 것은 아니며, 보관기간 만료 후에는 즉시 파기해야 한다. 비식별화 필요)


나. 업무용 PC 내 개인정보 파일 파기
-개인정보 처리를 위해 다운 받거나, 엑셀 등 문서화를 통한 처리 시 해당 목적 달성 후 개인정보파일은 즉시 삭제해야 한다.
-처리 중인 파일들에 대하여 PC에 보관이 필요한 경우에는 암호화 또는 비밀번호 잠금설정을 통해 안전성 확보를 해야 한다.
-HDD 폐기의 경우는 천공기, 디가우저 사용 등 복구 불가능한 방법으로 파기해야 된다.

 ▲ 표 3. 개인정보파일 보유기간 책정 기준표
다. 개인정보 처리 위탁에 따른 개인정보 파일 파기
-위탁 계약에 따라 개인정보를 수탁자에게 제공해 처리 시 해당 목적이 달성되면 반드시 제공된 개인정보파일을 파기 하여야 되며, 파기에 대한 결과를 공문으로 받아 놓아야 한다. 그렇지 않을 경우에 대한 책임은 위탁자 본인에게 있음을 강조하고 싶다.
 




 ▲대구도시공사 정환석 개인정보보호 담당 라. 제3자 제공 시의 개인정보 파일 파기
-개인정보 제3자 제공 절차에 따라 개인정보를 요청기관에 제공 시 반드시 공문서 내에 안전성확보 조치에 대해 명기해야 한다. 또한, 목적 달성 후 개인정보를 파기하고, 그 결과를 회신 받을 수 있도록 해, 전체 공공기관이 개인정보를 안전히 관리하고 있다는 상호 신뢰성을 주었으면 한다.  


파기계획 : 개인정보 파기를 위해서는 적법한 절차가 필요한데, 일반적으로 공공기관의 내부관리계획에 개인정보 파기계획을 포함하여 시행할 것을 권고한다. 공공기관의   개인정보 파기절차와 관련 서류는 다음과 같다. [글_ 정환석 대구도시공사 개인정보보호 담당(ISO27001/PIMS 심사원(보)(xpertstone@hanmail.net)]

 
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>