개인정보 취급자가 놓치기 쉬운 항목들

관리가 필요한 개인정보 활동들

개인정보 보호 위반 사례

개인정보를 불법 보관하는 등 위법행위를 한 통신영업점 16곳이 적발됐습니다. 적발된 16개 영업점은 가입서류 등 민감한 개인정보 파일을 파기하지 않고 보관했을 뿐만 아니라 해당 파일에 대한 정보보호 조치도 제대로 취하지 않았습니다. 주민등록번호는 보관 시 암호화 해야 하지만 해당 영업점들은 암호화 하지도 않았고 물리적 접근방지에 관한 개인정보 보호조치도 하지 않았습니다. 정보보호 전문가는 "개인정보는 한번 유출되면 2차, 3차 피해가 지속되는데, 처벌 수위가 약하다 보니 영업점들이 자율적으로 개인정보를 보호하려는 노력이 미약하다"면서 "사후 처벌을 엄중하게 해야 자율 규제의 힘도 커질 것"이라고 강조했습니다. 

 

개인정보보호 책임자 지정

개인정보 관리를 위한 시작으로 임원 또는 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장을 개인정보 보호책임자로 지정하여야 합니다. 개인정보 보호책임자의 역할과 책임으로는 개인정보 보호조직 구성 및 운영의 총괄, 내부관리계획의 수립 및 승인, 개인정보 기술적·관리적 보호조치 기준 이행 총괄, 소속 직원 또는 제3자에 의한 위법과 부당한 개인정보 침해행위에 대한 점검, 정보주체로부터 제기되는 개인정보에 관한 고충이나 의견의 처리 및 감독, 임직원, 개인정보취급자 및 수탁자, 대리점 등에 대한 교육 등 인식제고가 있습니다.

그러나 개인정보 보호책임자의 지정 면제 사유가 있는 경우가 있습니다. 바로, 상시 종업원 수가 5명 미만인 경우와 인터넷으로 정보통신서비스를 제공하는 것을 주된 업으로 하는 사업자 경우에는 상시 종업원 수가 5명 미만으로서 전년도 말 기준으로 직전 3개월간의 일일 평균 이용자가 1천명 이하인 자의 경우입니다. 이 경우 사업주 또는 대표자가 개인정보 보호책임자이며, 법률에 따라 위반한 기업 대표자 등 책임 있는 자에게 징계 권고할 수 있습니다.

 

개인정보 처리 방침 공개

다음으로 관리할 사항은 개인정보 처리방침입니다. 개인정보 처리방침을 정해 이용자가 언제든지 쉽게 확인할 수 있도록 공개하여야 하며, 변동 사항이 발생할 경우도 지속적인 관리를 통해 업데이트 해야 합니다. 인터넷 홈페이지의 첫 화면 또는 첫 화면과의 연결화면에 공개해야 하며, 이 경우 글자 크기, 색상 등을 활용하여 이용자가 쉽게 확인할 수 있도록 표시해야 합니다. 그리고 점포·사무소 안의 보기 쉬운 장소에 써 붙이거나 비치하여 열람할 수 있어야 하고, 동일 제호로 연 2회 이상 발행·배포하는 간행물·소식지·청구서 등에 지속적으로 게재해야 합니다.

개인정보 처리방침에 포함해야 할 사항으로는 첫 번째, 수집·이용목적, 수집 항목,

두 번째, 제3자 제공 시 제공 받는 자, 제공목적, 제공항목,

세 번째, 개인정보 보유·이용기간, 파기절차 및 방법,

네 번째, 처리위탁 업무의 내용 및 수탁자,

다섯 번째, 이용자 및 법정대리인의 권리와 그 행사방법,

여섯 번째, 개인정보 자동수집장치의 설치·운영·거부에 관한 사항,

일곱 번째, 개인정보 보호책임자 또는 개인정보보호 업무를 처리하는 부서명칭 및 연락처입니다.

 

관리적 · 기술적 보호조치

법에서 정한 보호조치를 통해 이용자의 개인정보를 안전하게 저장·관리하여야 합니다.

기술적·관리적 보호조치 중에서 조직 내부의 개인정보보호 기준이 되는 내부관리계획 문서를 만들어서 배포∙공유해야 합니다.

 

내부관리계획서의 예시를 살펴볼까요?

개인정보 내부관리계획 수립 시 필수적으로 포함되어야 할 내용은 개인정보보호 책임자 및 취급자의 지정, 개인정보 보호책임자와 개인정보 취급자의 역할 및 책임에 관한 사항, 내부관리계획 수립 및 승인에 관한 사항, 기술적∙관리적 보호조치 이행여부의 내부 점검 사항, 수탁사 관리 및 교육, 개인정보의 분실·도난·유출·변조·훼손 등이 발생한 경우의 대응절차, 기타 개인정보보호를 위해 필요한 사항 등 다양한 내용을 포함하고 있습니다.

 

내부관리계획의 수립 및 승인절차를 살펴볼까요?

먼저, 사전조사를 위해 개인정보 흐름 파악, 개인정보 처리방침 현황, 정보자산 현황, 개인정보 취급자 업무 현황, 관련 법률 및 의무 조항을 검토하고, 기획 단계에서는 내부관리계획 구성안 수립 및 보호조치 기준을 마련하며, 조직 내부 구성원을 위한 내부관리계획을 작성하여 수립합니다. CPO 또는 경영진을 통한 내부관리계획을 승인 및 선포하고, 사내 적용을 위해 규정 준수를 위한 가이드를 제시합니다. 그리고 사내 적용된 내부관리계획의 선언 후 이에 대한 정기적인 감사와 개인정보보호 강화를 위한 내부관리계획의 정기적인 개정 및 경영진의 승인 절차를 거칩니다.

 

개인정보 유효 기간제

정보통신서비스를 1년 동안 이용하지 아니한 이용자의 개인정보는 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 합니다. 유효기간 만료 30일 전까지 개인정보가 파기·분리되어 저장·관리되는 사실, 기간 만료일, 해당 개인정보의 항목을 전자우편·서면·전화 등의 방법으로 이용자에게 통지하여야 합니다. 다른 법령에서 별도의 기간을 정하고 있는 경우나, 이용자의 요청에 따라 기간을 달리 정한 경우에는 예외입니다.

 

개인정보 이용내역 통지제

이용자 수 일평균 100만 명 이상이거나 매출액 100억 원 이상인 사업자 등 일정 기준에 해당하는 자는 개인정보 이용내역을 주기적으로 이용자에게 통지하여야 합니다. 개인정보의 수집·이용 목적 및 수집한 개인정보의 항목, 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목, 개인정보 처리위탁을 받은 자 및 그 처리위탁을 하는 업무의 내용을 통지하며, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우는 예외가 됩니다.

 

개인정보 유출 통지·신고

개인정보 유출 사실을 인지했을 때에는 지체 없이 이용자에게 알리고 관계부처 또는 한국인터넷진흥원에 신고하여야 합니다.
통지∙신고 항목으로는 유출 등이 된 개인정보 항목, 유출 등이 발생한 시점, 이용자가 취할 수 있는 조치, 정보통신서비스 제공자 등의 대응 조치, 이용자가 상담 등을 접수할 수 있는 부서 및 연락처가 있습니다. 유출 사실을 안 때 지체 없이 통지하고 신고하며, 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지·신고를 금지합니다. 유출 개인정보 항목 및 발생 시점 미확인 시에는 확인된 사항 먼저 통지·신고하고 추가 사항 확인 즉시 통지 및 신고합니다.

통지방법은 전자우편·서면·모사전송·전화 또는 이와 유사한 방법으로 통지 및 신고하며, 정보통신서비스 제공자 등은 통지·신고 항목 및 단서에 따른 정당한 사유를 서면으로 지체 없이 관계부처에 소명해야 합니다.

 

개인정보 종류에 따른 파기 시기 및 방법

개인정보 파기

이번에는 개인정보 취급자가 놓치기 쉬운 항목 중 개인정보의 파기에 대해 알아보겠습니다. 수집·이용 목적 달성, 보유기간 경과 시 지체 없이 해당 정보를 복구 및 재생할 수 없도록 파기해야 합니다. 구체적으로 살펴보면, 개인정보의 수집 목적 달성 및 이용기간 종료 또는 폐업하는 경우 보유하고 있는 개인정보를 파기해야 하고, 회원가입을 통해 정보주체의 개인정보를 수집할 때에는 회원가입 시 회원탈퇴 방법을 정보주체가 알기 쉽도록 알려야 합니다. 예를 들어, 회원탈퇴를 신청할 수 있는 메뉴를 눈에 띄게 설정하거나, 개인정보처리 담당자의 연락처를 이용자가 찾기 쉬운 곳에 공지합니다.

 

개인정보의 파기절차 및 방법

정보통신서비스 제공자는 이용자의 회원탈퇴 요청 시 해당 개인정보를 복구·재생할 수 없도록 파기하여야 하고, 1년간 해당서비스 접속이력이 없는 이용자의 개인정보를 파기하여야 합니다. 1년간 접속이력이 없는 이용자의 개인정보 파기 시 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일, 파기되는 개인정보의 항목을 전자우편, 전화, 서면발송 등의 방법으로 이용자에게 고지하여야 합니다.

 

그렇다면 질문 하나! 상담이력만 존재하는 고객에게 상품안내 문자를 보내도 될까요?

당연히 안됩니다. 가입 조건 확인 등의 상담을 받은 경우는 개인정보를 지체 없이 파기하고 향후 지속적인 관리 및 마케팅 활용을 위해서는 최초 개인정보 수집 시 마케팅 활용에 대한 동의를 받아야 합니다.

 

개인정보 파기관련 사례

이동통신사 영업점의 개인정보 처리실태를 조사한 결과, 이동통신사 대리점이 개인정보에 대하여 암호화 조치를 하지 않거나, 법령에서 허용한 용도 외로 주민등록번호를 수집·이용하였으며 파기 기한이 도래한 개인정보를 파기하지 않은 사례로 관계부처로부터 과태료를 부과 받았습니다. 다음 사례는 요가강좌 운영사업자가 개인정보 파기를 요청한 이용자의 개인정보를 파기하지 않고 광고성 이메일 발송한 사례로 피해자 인당 10만 원의 손해배상 지급이 결정되었습니다. 1년 이상 서비스에 접속하지 않은 이용자 정보를 파기하지 않은 7개 사업자에게 과징금을 부과한 사례도 있습니다.

수집·이용 목적 달성, 보유기간 경과 시 등 생명주기에 따른 요구사항 발생 시, 지체 없이 해당 정보를 복구·재생할 수 없도록 파기하는 방법도 중요한 고려사항입니다.

 

각 단계의 파기 고려사항

수집단계에서는 목적과 보유기간을 구체적으로 명시하고, 파기 사유 발생 시에는 원칙적으로 필요한 정보 외에는 복구·재생할 수 없도록 지체없이 파기하고, 확인만으로 목적을 달성할 수 있는 경우에는 저장할 수 없도록 합니다. 보유단계에서는 다른 법률상 의무이행을 위해 보관해야 하는 경우, 별도DB에 보관하고 일정기간 서비스 미 이용 시 별도 보관 또는 파기하며, 보관이 필요한 개인정보에 대하여 암호화와 접근통제 등 보호조치 의무를 강화합니다.

제3자 제공단계에서는 서비스 제공과 무관한 제3자에게는 개인정보 제공이 불가하고, 개인정보 제3자 제공이 이뤄진 경우, 이용자가 ‘해당 기업’과 ‘제3자’에게 선택적으로 파기 요청이 가능하도록 합니다. 그리고 개인정보를 제공한 기업은 제3자에 대하여 개인정보가 안전하게 관리되고 있는지 관리·감독합니다. 마지막으로 파기단계에서는 복구·재생할 수 없는 방법으로 파기하도록 하고, 선택항목 각각에 대하여 선별적으로 파기를 요청할 수 있는 절차를 마련합니다.

Q & A

Q : 모든 사업자는 개인정보 책임자를 지정해야 할까요?
A : 아래의 경우를 제외하고는 모두 개인정보 책임자를 지정해야 합니다.

1) 상시종업원 수가 5명 미만이거나
2) 인터넷으로 정보통신 서비스를 제공하는 것을 주된 업으로 하는 사업자 경우에는 상시 종업원 수가 5명 미만으로 전년도 말 기준으로 직전 3개월간의 일일 평균 이용장가 1천명 이하인 자의 경우