개인정보 수집·이용·저장관리·제공위탁·파기·권리보장 등 조치 중요


[보안뉴스 김경애] 끊임없이 터지는 개인정보 유출사고로 인해 기업내 개인정보처리자들의 고민이 이만저만이 아니다. 게다가 한층 강화된 개인정보보호법으로 인해 포털, 금융, 병원, 학원, 제조업, 서비스업 등 모든 분야의 개인정보처리자는 한층 더 강화된 개인정보보호 의무를 준수해야 하기 때문이다.

먼저 용어 정의에 대해 살펴보면 개인정보는 성명, 주민번호 등을 통해 살아있는 개인을 알아볼 수 있는 정보를 말한다. 또한, 다른 정보와 용이하게 결합해 개인을 알아볼 수 있는 정보도 포함된다. 이외에도 컴퓨터 IP주소, 이메일 등도 개인정보에 포함된다.

 
처리는 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 등 기타 이와 유사한 행위가 해당된다.

정보주체는 처리되는 정보에 의해 알아볼 수 있는 그 정보의 주체가 되는 사람으로 정통망법 상의 이용자는 영리목적으로 서비스를 이용하는 사람이 해당되며, 개인정보보호법에 따른 정보주체와는 구분(신용정보법상 신용정보주체)된다.

개인정보처리자는 업무를 목적으로 개인정보파일을 운용하기 위해 개인정보를 처리하는 공공기관, 법인, 단체, 개인 등을 뜻한다. 정통망법 상의 정보통신서비스제공자는 ‘영리를 목적으로 서비스를 제공하는 자’를 의미하며, 개인정보보호법의 개인정보처리자와 구분(신용정보법 상 신용정보업, 신용정보회사)된다.

개인정보파일은 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보 집합물을 뜻한다. 이를테면 엑셀파일에 100명의 이름, 전화번호, 이메일주소, 휴대폰번호 등이 들어있는 파일이라고 생각하면 된다.

영상정보처리기기는 일정한 공간에 지속적으로 설치돼 사람 또는 사물의 영상 등을 촬영하거나 이를 전송하는 장치로 법적용은 공개된 장소에 설치된 CCTV 등이 해당된다.

개인정보처리자는 먼저 이러한 용어를 정확히 이해하고, 개인정보를 처리할 때 △수집·이용 △저장관리 △제공위탁 △파기 △권리보장 등 각 단계별로 의무사항에 대한 조치를 취해야 한다.

먼저 개인정보 수집·이용 단계의 경우 개인정보 최소수집 원칙에 따라 수집해야 한다. 이와 관련 한국정보보호인식 대표이자 서울디지털대학교 문승주 초빙교수는 27일 한국정보화진흥원에서 진행된 ‘2015년 사업자 대상 개인정보보호 교육’에서 “개인정보 수집·이용 부분의 경우 고객과의 접점이기 때문에 이 단계에서 가장 많은 문제가 발생한다”며 “민원 발생비율이 매우 높은 단계로, 118 등을 통해 민원이 접수될 경우 행정자치부에서 조사가 나올 수 있다”며 수집하는 항목을 2개 정도로 줄일 것을 권장했다.

특히, 개인정보 제공, 목적외 이용·제공 기준의 경우 요건을 엄격히 규정해 차등화 하고 있기 때문에 별도 동의를 받아야 한다는 것. 그러나 이 단계에 있어 대부분의 개인정보처리자가 잘 모르거나 실수를 한다는 게 문 교수의 설명이다. 이에 개인정보처리자는 수집목적에 필요한 최소한의 개인정보를 수집해야 한다. 이는 최소한의 개인정보 수집이라는 입증 책임을 개인정보처리자가 부담해야 하기 때문이다.

또한, 정보주체가 필요 최소한의 정보 외에 개인정보 수집에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공 거부를 법에서 금지하고 있으며, 이를 위반할 때에는 3천만원 이하의 과태료가 부과된다.
 
둘째, 저장관리 단계에서는 △인터넷상 주민번호 이외의 회원가입 방법 제공 △영상정보처리기기 설치·운영 △개인정보처리방침 공개 △개인정보보호책임자 지정 △개인정보 안전성 확보조치를 취해야 한다. 

이 가운데서도 안전성 확보조치를 강조한 문 교수는 “1년마다 웹취약점 점검을 받아야 하고, 주민번호의 경우 개인정보의 안전성 확보조치 기준 고시 제7조 제7항 이 변경돼 2016년 1월 1일부터 암호화 의무조치가 시행된다”며 주의를 당부했다.

셋째, 제공·위탁 단계의 경우 개인정보의 제3자 제공, 목적외 이용제공 금지, 개인정보 처리위탁, 영업양도 등 개인정보 이전에 있어 계약단계부터 철저히 관리해야 한다.

넷째, 파기 단계의 경우 기한이 지났는데 개인정보를 파기하기 않거나 다시 복구되지 않도록 분쇄하는 등 완전한 파기가 이루어져야 한다. 하지만  이 부분을 개별담당자가 책임지고 신경쓰지 않으면 쉽게 놓칠 수 있다며 안전한 파기 조치를 강조했다.

마지막으로 권리보장 단계에 대해 문 교수는 “최근 부각되고 있는 부분으로 고객 항의에 대해 업무절차에서 매우 중요하게 생각하고, 신속하게 처리를 해야 한다”며 “개인정보 정정·삭제, 처리정지 요구 등의 대응조치를 10일 이내 완료할 것”을 당부했다.

이날 교육에 참석한 행정자치부 이달주 서기관은 “개인정보처리자들의 교육 열의가 매우 높다. 개인정보보호에 대한 책임감이 그만큼 커져서 고민이 많은 것 같다”며 “특히 실수로 인해 피해가 발생하지 않도록 노력해줄 것”을 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>