위탁사 개인정보보호 관리 위해 수탁사 실태점검 및 처벌 강화 행자부 조성환 과장 “개인정보보호 자율점검 통한 선제조치 중요”




[보안뉴스 김경애] 올해부터 개인정보를 처리하는 수탁사, 개인정보와 금융정보를 많이 보관하고 있는 기업·기관, 개인정보보호가 취약한 기업·기관에 대한 개인정보보호 실태점검이 대폭 강화될 전망이다.


앞서 행정자치부는 개인정보보호법 제정 이후(2012년 9월) 법령위반으로 적발된 494건 중 64%가 수탁자들의 시스템 개발 및 운영 미숙에서 비롯됐다며 유출사고 56건중 76.8%가 수탁자 책임형으로 분류되는 등 개인정보보호에 있어 수탁자들의 역할이 매우 큰 것으로 분석됐다고 밝힌 바 있다.

이와 관련 행정자치부 개인정보보호과 조성환 과장은 본지와의 인터뷰에서 “대부분의 기업이 수탁사를 통해 개인정보 관리를 위탁하고 있음에도 불구하고, 수탁사에 대한 관리·감독이 제대로 이뤄지지 않고 있다”며 “특히 수탁사의 개발업무 담당자의 경우 보안성을 고려하지 않은 채 개발이 이루어져 문제가 되고 있다”고 지적했다. 따라서 올해는 수탁사의 개인정보보호 실태 점검을 통해 위탁사의 관리·감독을 강화할 계획이라고 밝혔다.

이어 조 과장은 “만약 실태점검에서 개선사항이 적발되면 수탁사는 위탁사에게 통보해야 하고, 위탁사는 수탁사가 개선될 수 있도록 관리·감독을 철저히 해야 한다”며 “수탁사는 적발사항에 대해 언제까지 개선하겠다는 계획서를 제출한 후, 계획서에 맞게 사후조치를 취해야 한다. 만약 사후조치가 되지 않을 경우 처벌이 내려진다”고 설명했다. 또한, 올해 1사분기에는 개인정보와 금융정보를 많이 보유하거나 취약한 기업·기관을 대상으로 실태점검을 강화할 계획이라고 덧붙였다.

이로써 이용자의 개인정보와 금융정보를 보관하는 기업 및 기관은 올해 개인정보보호체계를 크게 강화해야 할 것으로 보인다. 특히, 올해부터는 사전 예보 후 처벌이 강화되는 프로세스로 감에 따라 자율점검에 대한 중요성이 더욱 커지고 있다.

그렇다면 기업에서는 어떻게 해야 할까. 우선 개인정보보호 자율점검을 통해 선제적 대응조치를 취하는 것이 바람직하다. 이와 관련 개인정보보호법을 근거로 개인정보보호과에서 제시한 ‘개인정보보호 자율 점검 항목표’를 살펴보면 ①제15조 개인정보의 수집·이용 동의 ②제16조 최소 수집 및 서비스 제공 거부 ③제17조 개인정보의 제공 ④제18조 개인정보의 이용·제공 제한 ⑤제21조 개인정보 파기 ⑥제22조 동의를 받는 방법 ⑦제23조 민감정보의 처리 제한 ⑧제 24조 고유식별정보의 처리 제한 ⑨제26조 업무위탁에 따른 처리 제한 ⑩ 제28조 개인정보취급자에 대한 감독 ⑪제29조 안전조치의무 ⑫제30조 개인정보 처리 방침의 수립·공개 ⑬제31조 개인정보보호 책임자 지정이다.

첫째, 제15조 개인정보의 수집·이용 동의는 △온·오프라인 회원가입 시 동의 여부 △각종 게시판, 기타 개인정보 수집시 동의 여부 △정보주체 동의시 필수 고지항목인 개인정보 수집·이용 목적, 항목, 보유 및 이용기간, 거부권 및 불이익 등 총 4개 고지 여부 △필수 고지항목 내용의 적정성 여부 등으로 기업과 기관은 이를 꼼꼼히 살펴봐야 한다.

둘째, 제16조 최소 수집 및 서비스 제공 거부는 △목적에 필요한 최소한의 개인정보 수집 여부 △최소한의 정보 외 개인정보 수집에 대한 미동의를 이유로 재화 또는 서비스 제공 거부 여부이다.

셋째, 제17조 개인정보의 제공은 △제3자에게 개인정보 제공시 정보주체 동의 여부 △정보주체 동의시 필수 고지항목인 제공받는 자, 목적, 항목, 보유 및 이용기간, 거부권 및 불이익 등 총 5개 고지 여부 △필수 고지항목 5개 내용의 적정성 여부 등이다.

넷째, 제18조 개인정보의 이용·제공·제한은 △개인정보 수집 당시 정보주체의 이용·제공 동의 범위를 초과해 이용·제공하는지 여부 △개인정보 제공 시 제공 목적범위 내 이용, 안전조치 실시, 목적 달성 후 파기 등 요청 여부 △동의에 의한 목적외 이용, 목적 외 제3자 제공시 필수 고지항목 5개 고지 여부 △필수 고지항목 5개 내용의 적정성 여부를 포함하고 있다.

다섯째, 제21조 개인정보 파기는 △보유기관 경과, 처리 목적 달성 후 지체 없이 개인정보를 파기하는지 여부 △개인정보 파기시 복구 또는 재생되지 않도록 조치하는지 여부 △임시파일 및 출력자료 등에 대한 즉시 파기 여부 △법령에 따라 보존할 경우 별도 분리 보관 등의 조치를 취해야 한다.

여섯째, 제22조 동의를 받는 방법에 대해서는 △동의사항의 구분 동의 여부 △동의가 필요한 정보와 동의 없이 처리할 수 있는 정보의 구분 동의 여부 △홍보 권유에 활용하기 위한 정보와 그렇지 않은 정보의 구분 동의 여부 △선택항목 및 홍보 권유 정보의 미동의를 이유로 재화 또는 서비스 제공 거부 여부가 면밀히 검토해야 한다.

일곱째, 제23조 민감정보의 처리제한은 △사상, 정치, 건강 등 민감정보의 동의에 의한 수집 및 제공 시 구분 동의 여부 △정보주체 동의 시 필수 고지항목 고지 여부 △필수 고지항목 내용의 적정 여부 등이다.
여덟째, 제24조 고유식별정보의 처리제한은 △고유식별정보의 동의에 의한 수집 및 제공 시 구분 동의 여부 △주민번호 외 회원가입 방법 제공 여부 등을 포함한다.
아홉째, 제26조 업무위탁에 따른 처리제한은 △문서(계약서)에 필수 반영사항(6개) 포함 여부 △수탁자 공개 여부 △수탁자에 대한 교육 실시 여부 △처리현황 점검 등의 수탁자 관리·감독 여부를 체크해야 한다.


▲ 행정자치부 개인정보보호과 조성환 과장
열 번째, 제28조 개인정보취급자에 대한 감독으로 △개인정보취급자에 대한 관리·감독(접근권한 관리, 통제 등 포함) 여부 △개인정보취급자에 대한 보안서약서 징구 여부 △개인정보취급자에 대한 정기적인 교육 실시 여부 등이 해당된다.

 
열한 번째, 제29조 안전조치의무의 경우 △접근권한 관리 및 접근 통제와 개인정보 암호화 △접속기록의 보관 △보안프로그램 설치·운, △물리적 접근방지 솔루션 등이 제대로 구축됐는지 점검해야 한다.

열두 번째, 제30조 개인정보 처리방침의 수립·공개는 △개인정보 처리방침의 수립 여부 △개인정보 처리방침에 필수 항목(8개) 포함 여부 △개인정보 처리방침의 홈페이지 등 공개 여부 등이다.

마지막으로 제31조 개인정보보호 책임자지정은 △개인정보 보호책임자 지정 여부 △개인정보 보호책임자의 업무 범위, 자격요건 등의 기술 여부가 검토되어야 한다. 
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>