위·수탁 문서에 법적의무 미포함, 개인정보 처리 업무 공개 미흡, 업무 위탁 위반
[보안뉴스 김경애 기자] IT 업무의 아웃소싱 확대로 개인정보 처리 위·수탁 관련 이슈가 지속적으로 발생하고 있다. 개인정보 최소 수집과 안전한 처리 요구는 증가하고 있는 반면, 위·수탁 과정에서 안정성 확보 미조치 등 다양한 위법 행위들이 적발되고 있는 상황이다.
[이미지=iclickart]
①위·수탁 문서에 법적 의무 사항 미포함한 경우
행정안전부가 발표한 ‘개인정보 처리 위·수탁 안내서’에 따르면 연매출 100여 억원의 A병원은 상시 종업원 160여 명 규모의 종합병원으로, 환자들의 차질 없는 진료를 위해 홈페이지와 EMR(Electronic Medical Record, 전자의무기록) 시스템을 운용하고 있다. 그리고 환자들의 개인정보가 포함된 전산정보 처리 시스템의 유지 보수를 위해 B업체와 개인정보처리 위·수탁 계약을 맺고 있다.
그러나 현장점검 결과, A병원과 B업체 간의 위·수탁 문서(위·수탁 계약서를 사용)에서의 법정 필수 기재사항 중 개인정보의 처리 제한 항목을 누락한 상태로 위·수탁 계약서를 작성했다. 이는 개인정보보호법 제26조 위반으로 위·수탁 문서의 경우 필수 법적 의무 사항(목적 외 처리 금지, 기술적·관리적 보호 조치 및 접근 제한 등 안전 조치, 목적·범위, 재위탁 제한, 관리·감독 사항, 손해배상 등 책임에 관한 사항)을 빠짐없이 모두 반영해 작성해야 한다. 이에 따라 A병원은 위·수탁 계약서 내 법적 의무 사항을 포함하도록 시정조치 및 1천만원 이하 과태료의 행정처분을 받았다.
②개인정보 처리 업무 수탁사 및 위탁 업무 공개 미흡
국내 임대 및 건설 관련 업무를 하고 있는 B업체는 대표 홈페이지, 시설 관리 시스템, 분양 임대 관리 시스템의 유지 보수를 위해 C, D, E 업체와 각각 개인정보처리업무 위·수탁 계약을 맺고 있다. B업체는 이와 관련해 대표 홈페이지에 ‘개인정보의 위탁 처리’라는 항목으로 고객의 개인정보를 외부에 위탁 처리하고 있음을 공개했다.
그러나 현장점검 결과, 개인정보처리 위탁 업무 내용과 업무를 위탁받아 처리하는 수탁자를 공개하지 않았고, 개인정보의 처리 업무를 위탁하는 내용만 공개했다. 이는 법 제26조제2항 위반에 해당한다. 이 경우 구체적인 개인정보처리 업무의 위탁 내용과 함께 해당 업무의 수탁사인 C, D, E 업체를 홈페이지에 분명하게 공개해 고객, 즉 정보주체가 이를 언제든지 쉽게 확인할 수 있도록 해야 한다. 이에 따라 B업체는 위탁 업무 공개에 관한 시정조치와 1천만원 이하 과태료의 행정처분을 받았다.
③개인정보처리 업무 위탁에 따른 법적 의무사항을 이행하지 않은 경우
C리조트는 휴가철과 같은 성수기에는 리조트 정회원들의 예약이 많고, 비수기에는 비회원들의 예약이 많은 편이라 통합정보관리 시스템과 홈페이지를 통해 비회원들도 회원가입을 할 수 있는 홈페이지 시스템을 별도로 구축해 운용하고 있다. 그러나 C리조트가 통합정보관리 시스템과 홈페이지 시스템을 제대로 운영할 수 있는 여력이 없어 이를 각각 D, E업체에 위탁하는 형태로 유지·보수 계약을 맺었다.
그러나 현장점검 결과, C리조트는 개인정보처리 업무의 위·수탁 계약 체결 이후, 수탁사인 D, E업체에 대해 개인정보의 안전한 처리를 위한 교육을 정기적으로 실시하지 않았을 뿐 아니라, 개인정보처리 현황에 대한 점검 등의 관리·감독 의무도 소홀히 하고 있던 것으로 나타났다. 이는 법 제26조 제4항 위반으로, 개인정보처리 업무의 수탁자 관리 감독 관련 시정조치의 행정처분을 받았다.
이처럼 개인정보처리에 있어 위·수탁 문제가 끊임없이 적발되고 있다. 위·수탁시 단계별 조치사항은 개인정보 처리 위·수탁 전 단계, 개인정보 처리 위·수탁 업무 수행 중, 개인정보 처리 위·수탁 업무 종료 후 세 단계로 나뉜다.
▲개인정보 처리 위・수탁 안내서[표=행정안전부]
△개인정보 처리 위·수탁 전 단계에서는 개인정보 처리 위탁 업무와 수탁자 선정, 개인정보 위·수탁 문서를 작성해야 한다. 이어 △개인정보 처리 위·수탁 업무 수행 중에는 위탁자의 수탁자 관리·감독 및 수탁자의 개인정보 처리가 이뤄져야 한다. △개인정보 처리 위·수탁 업무 종료 후에는 수탁자의 개인정보의 파기·반환 및 위탁자의 파기 등을 확인해야 한다.
개인정보 처리 위·수탁 전 조치사항으로 위탁자는 자신의 업무 중 위탁해 수행할 업무를 선정하기 전, 개인정보 처리 위탁 시 발생할 수 있는 위험을 평가해 업무 위탁 여부 및 범위를 결정해야 한다. 이어 수탁자 선정에 있어서는 수탁자의 개인정보보호 역량을 종합적으로 검토해 개인정보 위험을 최소화 할 수 있는 자를 선정해야 한다. 또한, 처리 범위 명확화를 위해 위탁자는 수탁자가 위·수탁 업무 수행에 필요한 최소한의 개인정보를 처리하도록 해야 한다.
위·수탁 문서에는 ①위탁업무의 목적 및 범위 ②위탁업무 수행 목적 외 개인정보 처리 금지에 관한 사항 ③위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 ④개인정보의 기술적·관리적 보호조치에 관한 사항 ⑤재위탁 제한에 관한 사항 ⑥수탁자가 준수해야할 의무를 위반한 경우 손해배상 등 책임에 관한 사항이 반드시 포함돼야 한다.
위탁자는 위탁에 관한 사항을 정보주체에게 알릴 의무와 수탁자에 대한 교육 및 감독 의무가 있다. 또한, 위탁자의 인터넷 홈페이지에 지속적으로 게재하고, 수탁자에 대해 개인정보보호 교육을 실시해야 한다. 뿐만 아니라 위탁자는 행정 책임으로 수탁자가 법령을 위반한 경우에도 법 제61조, 제63조, 제64조에 의해 개선 권고 등 행정기관의 감독을 받으며, 법 제75조에 의해 과태료 처분을 받을 수 있다. 민사 책임으로는 법 제26조 제6항에 의해 수탁자의 위법한 행위로 인해 정보 주체에게 손해가 발생할 경우 배상 책임을 질 수 있다.
▲개인정보 처리 위・수탁 안내서[표=행정안전부]
수탁자 역시 △개인정보 수집 및 제공 △정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지 △개인정보의 파기 △개인정보의 처리 제한 △정보주체의 권리 행사 보장 등을 의무적으로 수행해야 한다. 뿐만 아니라 법 제29조의 안전조치 의무가 적용돼 개인정보 보호를 위한 물리적·기술적 조치를 취하지 않은 경우 처벌을 받을 수 있다.
개인정보의 안전성 확보조치로는 ①개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행 ②개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 ③개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 ④개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위·변조 방지를 위한 조치 ⑤개인정보에 대한 보안프로그램의 설치 및 갱신 ⑥개인정보의 안전한 보관을 위한 보관시설 마련 또는 잠금장치 설치 등 물리적 조치가 포함된다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애 기자] IT 업무의 아웃소싱 확대로 개인정보 처리 위·수탁 관련 이슈가 지속적으로 발생하고 있다. 개인정보 최소 수집과 안전한 처리 요구는 증가하고 있는 반면, 위·수탁 과정에서 안정성 확보 미조치 등 다양한 위법 행위들이 적발되고 있는 상황이다.
[이미지=iclickart]
①위·수탁 문서에 법적 의무 사항 미포함한 경우
행정안전부가 발표한 ‘개인정보 처리 위·수탁 안내서’에 따르면 연매출 100여 억원의 A병원은 상시 종업원 160여 명 규모의 종합병원으로, 환자들의 차질 없는 진료를 위해 홈페이지와 EMR(Electronic Medical Record, 전자의무기록) 시스템을 운용하고 있다. 그리고 환자들의 개인정보가 포함된 전산정보 처리 시스템의 유지 보수를 위해 B업체와 개인정보처리 위·수탁 계약을 맺고 있다.
그러나 현장점검 결과, A병원과 B업체 간의 위·수탁 문서(위·수탁 계약서를 사용)에서의 법정 필수 기재사항 중 개인정보의 처리 제한 항목을 누락한 상태로 위·수탁 계약서를 작성했다. 이는 개인정보보호법 제26조 위반으로 위·수탁 문서의 경우 필수 법적 의무 사항(목적 외 처리 금지, 기술적·관리적 보호 조치 및 접근 제한 등 안전 조치, 목적·범위, 재위탁 제한, 관리·감독 사항, 손해배상 등 책임에 관한 사항)을 빠짐없이 모두 반영해 작성해야 한다. 이에 따라 A병원은 위·수탁 계약서 내 법적 의무 사항을 포함하도록 시정조치 및 1천만원 이하 과태료의 행정처분을 받았다.
②개인정보 처리 업무 수탁사 및 위탁 업무 공개 미흡
국내 임대 및 건설 관련 업무를 하고 있는 B업체는 대표 홈페이지, 시설 관리 시스템, 분양 임대 관리 시스템의 유지 보수를 위해 C, D, E 업체와 각각 개인정보처리업무 위·수탁 계약을 맺고 있다. B업체는 이와 관련해 대표 홈페이지에 ‘개인정보의 위탁 처리’라는 항목으로 고객의 개인정보를 외부에 위탁 처리하고 있음을 공개했다.
그러나 현장점검 결과, 개인정보처리 위탁 업무 내용과 업무를 위탁받아 처리하는 수탁자를 공개하지 않았고, 개인정보의 처리 업무를 위탁하는 내용만 공개했다. 이는 법 제26조제2항 위반에 해당한다. 이 경우 구체적인 개인정보처리 업무의 위탁 내용과 함께 해당 업무의 수탁사인 C, D, E 업체를 홈페이지에 분명하게 공개해 고객, 즉 정보주체가 이를 언제든지 쉽게 확인할 수 있도록 해야 한다. 이에 따라 B업체는 위탁 업무 공개에 관한 시정조치와 1천만원 이하 과태료의 행정처분을 받았다.
③개인정보처리 업무 위탁에 따른 법적 의무사항을 이행하지 않은 경우
C리조트는 휴가철과 같은 성수기에는 리조트 정회원들의 예약이 많고, 비수기에는 비회원들의 예약이 많은 편이라 통합정보관리 시스템과 홈페이지를 통해 비회원들도 회원가입을 할 수 있는 홈페이지 시스템을 별도로 구축해 운용하고 있다. 그러나 C리조트가 통합정보관리 시스템과 홈페이지 시스템을 제대로 운영할 수 있는 여력이 없어 이를 각각 D, E업체에 위탁하는 형태로 유지·보수 계약을 맺었다.
그러나 현장점검 결과, C리조트는 개인정보처리 업무의 위·수탁 계약 체결 이후, 수탁사인 D, E업체에 대해 개인정보의 안전한 처리를 위한 교육을 정기적으로 실시하지 않았을 뿐 아니라, 개인정보처리 현황에 대한 점검 등의 관리·감독 의무도 소홀히 하고 있던 것으로 나타났다. 이는 법 제26조 제4항 위반으로, 개인정보처리 업무의 수탁자 관리 감독 관련 시정조치의 행정처분을 받았다.
이처럼 개인정보처리에 있어 위·수탁 문제가 끊임없이 적발되고 있다. 위·수탁시 단계별 조치사항은 개인정보 처리 위·수탁 전 단계, 개인정보 처리 위·수탁 업무 수행 중, 개인정보 처리 위·수탁 업무 종료 후 세 단계로 나뉜다.
▲개인정보 처리 위・수탁 안내서[표=행정안전부]
△개인정보 처리 위·수탁 전 단계에서는 개인정보 처리 위탁 업무와 수탁자 선정, 개인정보 위·수탁 문서를 작성해야 한다. 이어 △개인정보 처리 위·수탁 업무 수행 중에는 위탁자의 수탁자 관리·감독 및 수탁자의 개인정보 처리가 이뤄져야 한다. △개인정보 처리 위·수탁 업무 종료 후에는 수탁자의 개인정보의 파기·반환 및 위탁자의 파기 등을 확인해야 한다.
개인정보 처리 위·수탁 전 조치사항으로 위탁자는 자신의 업무 중 위탁해 수행할 업무를 선정하기 전, 개인정보 처리 위탁 시 발생할 수 있는 위험을 평가해 업무 위탁 여부 및 범위를 결정해야 한다. 이어 수탁자 선정에 있어서는 수탁자의 개인정보보호 역량을 종합적으로 검토해 개인정보 위험을 최소화 할 수 있는 자를 선정해야 한다. 또한, 처리 범위 명확화를 위해 위탁자는 수탁자가 위·수탁 업무 수행에 필요한 최소한의 개인정보를 처리하도록 해야 한다.
위·수탁 문서에는 ①위탁업무의 목적 및 범위 ②위탁업무 수행 목적 외 개인정보 처리 금지에 관한 사항 ③위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 ④개인정보의 기술적·관리적 보호조치에 관한 사항 ⑤재위탁 제한에 관한 사항 ⑥수탁자가 준수해야할 의무를 위반한 경우 손해배상 등 책임에 관한 사항이 반드시 포함돼야 한다.
위탁자는 위탁에 관한 사항을 정보주체에게 알릴 의무와 수탁자에 대한 교육 및 감독 의무가 있다. 또한, 위탁자의 인터넷 홈페이지에 지속적으로 게재하고, 수탁자에 대해 개인정보보호 교육을 실시해야 한다. 뿐만 아니라 위탁자는 행정 책임으로 수탁자가 법령을 위반한 경우에도 법 제61조, 제63조, 제64조에 의해 개선 권고 등 행정기관의 감독을 받으며, 법 제75조에 의해 과태료 처분을 받을 수 있다. 민사 책임으로는 법 제26조 제6항에 의해 수탁자의 위법한 행위로 인해 정보 주체에게 손해가 발생할 경우 배상 책임을 질 수 있다.
▲개인정보 처리 위・수탁 안내서[표=행정안전부]
수탁자 역시 △개인정보 수집 및 제공 △정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지 △개인정보의 파기 △개인정보의 처리 제한 △정보주체의 권리 행사 보장 등을 의무적으로 수행해야 한다. 뿐만 아니라 법 제29조의 안전조치 의무가 적용돼 개인정보 보호를 위한 물리적·기술적 조치를 취하지 않은 경우 처벌을 받을 수 있다.
개인정보의 안전성 확보조치로는 ①개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행 ②개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 ③개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 ④개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위·변조 방지를 위한 조치 ⑤개인정보에 대한 보안프로그램의 설치 및 갱신 ⑥개인정보의 안전한 보관을 위한 보관시설 마련 또는 잠금장치 설치 등 물리적 조치가 포함된다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
