개인정보보호 담당자가 알아야 할 필수 업무

개인정보보호 관리적/기술적 보호조치 위반 사례 사례

가상화폐 거래소를 운영하는 8개 업체에 개인정보 보호조치 미흡으로 과태료를 부과했습니다. 이들은 개인정보에 대한 불법접근을 차단하기 위해 침입차단시스템 등 접근 통제장치의 설치·운영, 접속기록의 위·변조를 방지하기 위한 조치, 개인정보의 안전한 저장과 전송을 위한 암호화 조치 등 기술적·관리적 보호조치 기준을 위반한 것으로 나타났습니다. 관계부처에서는 “가상화폐 거래 규모와 이용자 수가 급증하는 반면, 정보통신서비스 제공자로서 기본이 되는 보호조치 조차 준수하지 않는 등 이용자 보호 조치가 매우 미흡했다”고 설명했습니다. 방송통신위원회는 이들 사업자에게 위반행위의 즉시 중지, 개인정보 보호책임자 및 취급자 대상 정기적 교육 실시, 재발방지대책 수립 등 시정명령을 하기로 의결했으며, 위반 사업자들은 30일 이내 시정명령을 이행하고 그 결과를 관계부처에 제출토록 했습니다.

 

내부관리계획의 수립과 운영

'내부관리계획'이란?

내부관리계획은 정보통신서비스 제공자의 ‘개인정보를 어떻게 관리할 것인지에 관한’ 내부 문서로 개인정보 조직구성이나 접근통제, 교육 수행 등 개인정보 처리 및 보호를 위한 업무 기준을 명시한 문서입니다. 이용자의 개인정보를 보호하기 위한 조치를 시행하기 위해서는 회사전체에 기준이 되는 내부규정이 필요하며, 이를 기초로 세부 지침이나 안내서를 마련하여 임직원이 동일한 행동을 취할 수 있도록 할 필요가 있습니다. 내부관리계획은 개인정보 보호담당자로 지정되었는데, 무엇을 해야 하는지, 우리 회사는 법을 잘 지키고 있는 것인지, 개인정보보호를 위해 고민하는 담당자가 처리하는 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록, 조직내부의 개인정보 관리계획을 수립하고, 임직원 및 관련자에게 알림으로써 이를 준수할 수 있도록 하는 업무기준이기도 합니다. 내부관리계획은 내부 업무 기준이 되는 중요한 문서이므로 개인정보보호 관련 법률과 지침, 가이드, 해설서 등의 외적 요인과 기업 내 업무 환경, 개인정보보호 정책, 현업 업무환경과 파트너 등 이해관계자 의견을 수렴하여 작성되어야 합니다. 내부관리계획은 제정 후 1년에 1회 이상 검토를 하여 개정하여야 합니다. 법률의 변동사항이나 개인정보보호 관련 위협 등의 내용 등을 검토하여 개인정보 처리가 안전할 수 있도록 업무기준으로 제시되어야 합니다. 먼저, 개인정보 흐름 파악, 개인정보 처리방침 현황, 정보자산 현황, 개인정보 취급자 업무 현황, 관련 법률 및 의무 조항을 검토하고, 내부관리계획 구성안 수립 및 보호조치 기준을 마련하며, 조직 내부 구성원을 위한 내부관리계획을 수립합니다. CPO 또는 경영진을 통한 내부관리계획을 승인 및 선포하고, 사내 개인정보보호 규정 준수를 위한 가이드를 제시합니다. 그리고 사내 적용된 내부관리계획의 선언 후 이에 대한 정기적인 감사와 개인정보보호 강화를 위한 내부관리계획의 정기적인 개정 및 경영진의 재승인이 필요합니다.

 

내부관리계획서

개인정보 내부관리계획 수립 시 필수적으로 포함되어야 할 내용은 개인정보 보호책임자 및 취급자의 지정과 개인정보 보호책임자와 개인정보 취급자의 역할과 기술적·관리적 보호조치 이행, 수탁사 관리 및 교육, 개인정보의 분실 도난 유출 변조 훼손 등이 발생한 경우의 대응절차 등 다양한 내용을 포함하고 있습니다. 

 

개인정보 보호책임자, 개인정보 보호담당자, 개인정보 취급자의 역할과 책임

개인정보 보호책임자의 역할 및 책임으로는 개인정보 보호조직 구성 및 운영의 총괄, 내부관리계획의 수립 및 승인, 개인정보 기술적·관리적 보호조치 기준 이행 총괄, 소속 직원 또는 제3자에 의한 위법·부당한 개인정보 침해행위에 대한 점검, 정보주체로부터 제기되는 개인정보에 관한 고충이나 의견의 처리 및 감독 등이 있습니다.

개인정보 보호담당자의 역할 및 책임으로는 개인정보에 대한 안전성을 확보하고, 개인정보 취급자에 대한 교육과 관리감독 책임, 개인정보 보호 실태조사 협조에 관한 사항, 개인정보 취급자 지정·변경 관리 및 교육, 개인정보 수집에서 파기 등 전 단계에 대한 개인정보 관리실태 분기별 점검 및 개선이 있습니다.

개인정보 취급자의 역할 및 책임으로는 개인정보보호 활동 참여, 내부관리계획의 준수 및 이행, 개인정보의 기술적·관리적 보호조치 기준 이행, 소속 직원 또는 제3자에 의한 위법·부당한 개인정보 침해행위에 대한 점검 등이 있습니다.

그리고 정보통신서비스 제공자는 개인정보 보호책임자 및 개인정보 취급자, 수탁사 및 대리점을 대상으로 매년 1회 이상의 개인정보보호 교육을 실시하여야 합니다. 개인정보보호 교육을 이행하기 위한 교육계획의 수립과, 교육대상, 교육방법을 살펴보겠습니다. 정보통신서비스 제공자는 개인정보보호 교육을 이행하기 위하여, 교육 대상, 교육 내용, 교육 주기 등이 포함된 개인정보보호 교육 계획을 수립하여야 합니다.

개인정보보호 교육 대상은 사업장 내 개인정보 취급자, 개인정보 보호담당자가 있으며, 외부로는 대리점 및 수탁사가 존재합니다. 교육 방법은 조직의 환경을 고려하여 온라인 교육, 집합 교육, 강사 초빙 등 다양한 방법을 활용하여 실시할 수 있으며, 교육자는 외부 전문기관이나 전문요원에 위탁하여 교육을 실시할 수 있습니다. 온라인 개인정보보호 포털에서는 온라인 개인정보보호 교육 전문 강사단을 선발하여 안내하고 있으니 교육 시 참고할 수 있습니다. 

내부관리계획은 기업 내에서 정기적으로 점검시기, 대상 내용 등을 포함하여 이행의 적절성을 검토하여야 합니다. 개인정보 관련 부서나 외부자 등으로 구성된 점검반을 구성하여, 범위, 대상, 기간, 점검수행자 등의 내용과 점검 결과를 어떻게 처리할 것인지의 내용을 포함하여 점검절차를 거쳐 점검 결과에 따른 개선 조치를 이행하여야 합니다. 개인정보 업무처리 주요 점검 사항으로는 자리 이석 시 PC화면 잠금 조치 미흡, 업무용 PC 비밀번호 미설정, 송·수신 시 암호화 조치 미흡, 승인 없는 외부 반출, 서류 방치, 부주의한 메일발송 등이 있습니다.

 

내부관리계획 시 추가 고려사항

기업의 규모에 따라 다르나 내부관리계획에는 개인정보보호 조직을 구성하여 명시함으로써 임직원으로 하여금 업무기준의 명확성을 높이고, 신속한 대응이 가능하게 됩니다. 따라서 개인정보보호 관련 조직을 표현하는 것이 좋습니다. 개인정보 보호 책임자 지정 및 의무, 권한에 대한 규정을 내부관리계획에 포함하는 것 이외에 원활한 업무 진행을 위해 직무와 관련한 내용을 정의해 놓는 것이 추가적으로 필요하며, 내부관리계획에 정보시스템 자산 현황파악을 위해, 서비스 되고 있는 해당 자산에 대해 개인정보가 저장된 파일서버, 웹 서버, 데이터베이스 서버 등 개인정보처리 시스템의 현황을 파악하고 정보자산 관리 부서 및 관리자 현황을 보유하고 관리하여야 합니다. 또한 내부관리계획에 정보시스템 자산 현황파악을 위해, 서비스 되고 있는 개인정보 처리시스템의 개인정보 수집 또는 획득 경로를 파악하고 개인정보 수집 방법에 대한 관리와 소유 부서는 누구인지, 담당자 지정은 누구로 되어 있는지 파악되어 있어야 하며, 서비스 되고 있는 개인정보 처리시스템의 개인정보 취급자 분류 및 관련 업무 현황을 분석하고 개인정보 접근권한 범위와 작업내역 등 접근 데이터 현황 분석을 위해 별도의 테이블로 취급자를 분류하여 관리하면 편리합니다. 마지막으로 서비스 되고 있는 개인정보 처리시스템의 개인정보 취급자 분류 및 관련 업무 현황을 분석하고 개인정보 접근권한 범위와 작업내역 등 접근 데이터 현황 분석을 위해 별도의 테이블로 취급자를 분류하여 관리하면 편리합니다.

 

개인정보 처리방침의 작성·관리

개인정보 처리방침 주요내용

정보통신서비스 제공자는 개인정보를 수집하는 단계에서 동의를 얻은 내용이라 할지라도 이용자가 언제든지 이를 다시 확인할 수 있도록 해야 하며, 이용자의 권리를 보장하여야 합니다. 이를 위해 이용자가 언제나 쉽게 확인할 수 있도록 ‘개인정보 처리방침’을 통해 공개하여야 합니다. 개인정보 처리방침 주요내용으로는 첫째, 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법, 둘째, 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명, 제공받는 자의 이용 목적과 제공하는 개인정보의 항목, 셋째, 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법, 넷째, 개인정보 처리위탁을 하는 업무의 내용 및 수탁자, 다섯째, 이용자 및 법정대리인의 권리와 그 행사방법, 여섯째, 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항, 일곱째, 개인정보 보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처가 있습니다.

개인정보보호 종합지원 포털-사업자–개인정보도우미-개인정보처리방침 만들기'를 통해 간편하게 개인정보 처리방침을 작성할 수 있습니다.
‘개인정보처리방침’을 홈페이지에 공개할 때에는 글자크기, 색상 등을 적절히 활용하여 이용자가 쉽게 찾을 수 있도록 표시해야 합니다. 개인정보 처리방침을 게재하면서, 글자크기∙색상 등을 활용하여 이용자 쉽게 확인할 수 있도록 조치하지 않은 경우 개인정보 처리방침을 위반한 게 됩니다. 

 

이용자의 권리보장

동의 철회 보장

이용자는 사업자에게 제공한 개인정보의 수집·이용, 제3자 제공 등에 대한 동의를 언제든지 철회할 수 있습니다. 따라서 사업자는 이용자가 언제든지 회원탈퇴, 서비스 철회 등의 동의 철회 의사를 표시할 수 있도록 보장하여야 하며, 동의 철회 후 개인정보를 삭제하는 등의 알맞은 조치를 취해야 합니다. 동의 철회 보장은 이용자는 기존에 개인정보 수집·이용·제공 등에 대한 동의하였던 내용에 대하여 언제든지 철회가 가능함을 의미하며, 통상적으로 ‘회원탈퇴’ 메뉴를 제공하거나 전화상담을 통한 동의 철회 등 편리한 방법을 제공하고 있습니다. 이용자가 회원탈퇴나 서비스 이용 계약 해지 등 동의 철회를 하는 방법은 회원가입 등의 개인정보를 수집하는 방법보다 어려워서는 안됩니다. 예를 들어, 가입할 시에 주민등록증 사본을 요구하거나, 사업장 방문을 요구하는 경우, 별도의 서류를 요청하는 것보다 탈퇴 시에 간편한 회원탈퇴 메뉴를 제공하거나, 개인정보 처리방침 내 공개하는 등 고객센터를 통해 의사표현을 할 수 있도록 쉽게 절차를 마련해야 합니다.

 

열람·정정 요구권

이용자는 정보통신서비스 제공자 등이 보유한 이용자의 개인정보나, 이용자 개인정보 이용 및 제3자 제공 현황, 개인정보 수집·이용·제공 등에 동의를 한 현황 등의 사항에 대한 열람·제공 및 오류 정정 요구가 가능한 열람·정정 요구권을 보유하고 있습니다. 예를 들어 이용자가 회원정보 수정을 요청할 경우 정보통신서비스 제공사는 수정을 해주어야 합니다. 만 14세 미만 아동 이용자의 경우에는 수집 동의와 동일하게 법정대리인이 대신하여 권리를 행사할 수 있습니다. 따라서 정보통신서비스 제공자는 법정대리인에게 권리행사 방법과 절차를 알려주어야 하며, 다른 이용자와 동일하게 처리하여야 합니다. 이용자로부터 개인정보와 관련하여 요구를 받은 경우 지체 없이 필요한 조치를 하여야 합니다. 예를 들어 이용자가 개인정보 삭제나 수정을 요청하거나, 개인정보 보유 이용 등 동의 내역 통지를 요청하면 지체 없이 조치를 취해야 합니다.