개인정보, 위·수탁 관리 체크리스트 및 잘못된 사례

개인정보 위탁 위반 사례

기업에서 개인정보보호 위반으로 가장 많이 적발되는 사례 중 하나가 바로 개인정보처리 업무 위탁입니다. 특히, 법적 의무사항을 계약서상에 표기하지 않아 법을 위반하는 사례들이 종종 발견되고 있습니다. 그렇다면 개인정보보호 위반 사례 중 개인정보처리 업무 위탁 시 적발된 경우에는 무엇이 있을까요? 먼저, 개인정보처리 업무 수탁사 및 위탁 업무 공개를 하지 않아 적발된 사례입니다. 국내 임대 및 건설 관련 업무를 하고 있는 B업체는 대표 홈페이지, 시설 관리 시스템, 분양 임대 관리 시스템의 유지보수를 위해 C, D, E 업체와 각각 개인정보처리 업무 위·수탁 계약을 맺고 있으며, B업체는 이와 관련하여 대표 홈페이지에 ‘개인정보의 위탁 처리’라는 항목으로 고객의 개인정보를 외부에 위탁 처리하고 있음을 공개한 상태입니다. 하지만!! B업체는 개인정보처리 업무위탁에 있어 위탁 업무 내용과 수탁자를 공개하지 않았고, 개인정보의 처리 업무를 위탁하고 있다는 내용만 공개했습니다. 개인정보 처리자는 위탁 업무 내용과 개인정보처리 업무를 위탁받아 처리하는 자를 이용자가 언제든지 쉽게 확인할 수 있도록 인터넷 홈페이지에 위탁 업무 내용과 수탁자를 지속적으로 공개해야 합니다. 이에 따라 B업체는 위탁 업무 공개에 관한 시정조치와 함께 1,000만 원 이하 과태료의 행정처분을 받았습니다. 다음은 개인정보처리 업무 수탁자의 관리, 감독의 미흡으로 적발된 사례입니다. C리조트는 회원들의 개인정보를 관리하는 통합 정보관리 시스템과 함께 홈페이지를 통해 비회원들도 회원가입을 할 수 있는 홈페이지 시스템을 별도로 구축해 운용하고 있습니다. 그러나 C리조트가 통합 정보관리 시스템과 홈페이지 시스템을 제대로 운영할 수 있는 여력이 없어 이 둘을 각각 D, E업체에 위탁하는 형태로 유지·보수 계약을 맺었습니다. 그러나 C리조트는 개인정보처리 업무의 위·수탁 계약 체결 이후, 수탁사인 D, E업체에 대해 개인정보의 안전한 처리를 위한 정기적 교육을 실시하지 않는 등 관리·감독 및 교육의 책임을 위반했습니다. 개인정보처리 업무를 위탁한 위탁자는 이용자의 개인정보가 수탁자에 의해 분실·도난·유출·위조·변조 또는 훼손되지 않도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 위탁받은 업무상 개인정보를 안전하게 처리하는지 감독해야 합니다. 이에 따라 C리조트는 개인정보처리 업무의 수탁자 관리 감독 관련 시정조치를 받았습니다.

 

개인정보 위·수탁 관련 보호조치

개인정보의 이전

다음의 A사와 B사로 예를 들어 살펴볼까요? A사에서 B사로 개인정보가 별도의 법인으로 이전되는 경우, 처리위탁은 A사의 업무처리 범위 내에서 개인정보 처리가 행해지고 B사의 관리·감독을 받는 것을 의미하며, 제3자 제공은 이전받는 자, 즉 B사의 이익을 위해서 개인정보가 처리되고 제3자가 자신의 책임 하에 개인정보를 처리하는 것을 의미합니다. 제3자 제공과 처리위탁은 개인정보를 제3자에게 제공한다는 점은 동일하지만 제공받은 개인정보를 활용하는 형태에 따라 구분할 수 있습니다. 예를 들어, 제3자 제공은 쇼핑센터가 제3자인 보험사와 업무제휴를 맺고 보험사는 제공받은 정보를 자사의 영업에 활용하고, 처리위탁은 쇼핑센터가 제3자인 택배회사와 업무위탁 계약을 맺고 쇼핑센터로부터 제공받은 주소 등의 정보를 배송에 활용하는 것입니다.

 

제3자 제공과 처리위탁 사례

제3자 제공은 쇼핑센터가 보험사 상품의 텔레마케팅을 위해 고객정보를 보험사에 제공하거나, 항공기 회사가 면세점에 세일행사 안내 DM 발송에 이용하도록 고객정보를 제공하거나, 영화관이 제휴 카드사의 포인트 적립 및 사용을 위해 고객정보를 카드사에 제공하거나, 리조트가 렌트카 업체에게 할인이벤트 홍보 SMS 발송에 이용하도록 고객정보를 제공하는 경우입니다. 처리위탁은 쇼핑센터가 자사 상품의 텔레마케팅을 위해 고객정보를 외부 콜센터에 제공하거나, 항공기 회사가 IT업체에게 시스템 운영 및 유지보수를 위해 고객정보를 제공하거나, 영화관이 포인트 적립 등 멤버십 서비스 운영을 위해 고객정보를 마케팅업체에 제공하거나, 리조트가 객실 전화예약 서비스 제공을 위해 고객정보를 외부업체에 제공하는 경우입니다.

 

제3자 제공 방법

개인정보 제공은 제3자와 공유하는 것으로 이용자의 개인정보 제공 동의가 필요합니다. 제3자는 이용자로부터 동의를 얻어 개인정보를 수집한 개인·법인·조직을 말합니다. 제3자 제공의 방법으로는 저장매체를 이용하는 등의 물리적 이전, 네트워크를 통한 전송, 제3자의 접근 권한 부여를 통한 전달 등 다양한 방법 등이 있습니다. 개인정보의 제3자 제공은 개인정보 처리자가 개인정보를 전달받는 자의 사업목적 달성을 위해 개인정보를 제공하는 경우로 제휴마케팅, 공통 상품 판매, 기업간 업무 협약 등이 있습니다. 제3자 제공 시 의무사항으로는 제3자에 대한 제공 시 이용자에게 고지하고, 동의 거부 시 불이익 사실을 고지해야 하며, 목적 외 이용 및 제공을 금지하는 의무가 있으며, 제3자 제공에 대한 이용자의 동의 획득 의무가 있습니다. 단, 요금정산을 위해 필요한 경우나 법률에 특별한 규정이 있는 경우 제3자 제공에 관한 이용자의 동의를 받지 않아도 됩니다. 제3자 제공 동의 시에는 개인정보의 수집·이용에 대한 동의와 구분하여 받아야 하고, 이에 동의하지 아니한다는 이유로 서비스 제공을 거부하여서는 안됩니다.

 

개인정보 제3자 제공에 대한 위반 사례

온라인 상품 구입을 위해 제공한 개인정보를 이용자의 동의 없이 보험사에 제공한 경우 입니다. 정보통신서비스 제공자가 제3자의 목적달성을 위하여 개인정보를 제공하게 되면 이용자의 제3자 제공 동의는 필수적입니다. 예시와 같이 수집 동의 목적을 벗어나, 동의 없이 제3자 제공을 한 경우에는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처할 수 있습니다. 다음은 위반 사례는 이용자의 동의 없이 개인정보를 제3자에게 제공한 A 대형마트에게 과징금이 부과된 사례입니다. 경품행사를 진행하면서 응모자에게 생년월일과 휴대전화번호가 제3자(보험사)에 제공된다는 사실을 알리지 않거나, 알아보기 힘들 정도로 작게 표시하여 침해가 발생하였으며 그 결과 공정거래위원회로부터 과징금 4억 3,500만 원을 부과받았습니다.

 

처리위탁

개인정보 처리자의 업무 목적으로 제3자에게 개인정보 수집, 보관, 처리, 이용, 제공, 파기 등을 위탁하는 경우, 개인정보 처리위탁을 받는 자와 개인정보 처리위탁을 하는 업무내용을 이용자에게 알리고 동의를 얻어야 하며, 수탁자가 이용자의 개인정보를 처리할 수 있는 목적을 미리 정해야 합니다. 수탁자는 이 목적을 벗어나서 이용자의 개인정보를 처리해서는 안됩니다. 개인정보 처리위탁 시에는 수탁사에 대한 관리·감독의 책임은 위탁사에 있고, 개인정보 처리위탁 시 문서에 의하여야 하며, 수탁자에 대한 교육을 실시해야 합니다. 그리고 수탁자가 재위탁 시 위탁자의 동의 의무가 있습니다. 위탁 예시를 살펴볼까요? 경품 이벤트 업무 대행 등 일회성 위탁업무의 경우도 개인정보 처리위탁 사실을 공개해야 합니다. 단, 이 경우 홈페이지 팝업으로 위탁기간 동안 공개할 수 있으며 또는 전자우편, 서면, 전화 등의 방법으로 안내할 수 있습니다.

 

처리위탁 동의 방법

수탁업체와 범위 정보 등을 표기하고 동의를 받아야 합니다. 단, 계약의 이행과 이용자 편의 증진 등을 위해 필요한 경우로서 수탁자, 처리위탁 업무의 내용을 개인정보 처리방침에 공개하거나 전자우편, 서면, 전화 등으로 이용자에게 통지하는 경우는 동의를 받지 않아도 되는 위탁의 범위입니다.
강실무 : 또한, 개인정보 처리방침에는 수탁자와 위탁업무 내용과 항목을 공개하여야 하며, 위탁계약서 체결 시에는 개인정보보호에 관한 요구사항, 관리감독, 법규정 위반의 배상책임 등에 관한 사항을 문서화해야 합니다. 외주업체를 통해 발생한 위반 사항은 명백한 수탁사의 실수, 고의 등에 의해 법 위반 또는 사고가 발생한 경우라도 수탁사 관리·감독 소홀로 위탁사에 법적 책임이 있습니다.

 

수탁사 관리감독 위반사례

위탁사는 외주업체의 업무 수행을 위하여 책임자 승인 하에 내부직원과 함께 화면조회를 하도록 되어있으나, 감사결과 외주직원과 내부직원이 계정을 공동으로 사용하고 있었으며, 외주직원은 내부직원 ID를 통하여 총 1,066회 개인정보에 접근하고 있었습니다. 외주용역 직원의 무분별한 개인정보 접근에 대한 관리적·기술적 통제대책 수립 및 감사기능의 미흡으로 확인되었습니다. 다음은 위탁사의 IT 시스템 운영을 담당하는 외주업체 직원이 지인의 부탁으로 특정인의 개인정보를 무단 열람 및 유출, 수사기관에서 개인정보 취득과정 확인 중 적발된 사례입니다. 외주용역 직원의 개인정보 DB접속 권한에 대한 통제 미흡과 업무 수행 감사 부재가 주 원인이었습니다.

 

 

개인정보 업무 시 위·수탁 체크리스트

위·수탁 체크리스트 및 잘못된 사례

개인정보 업무 위·수탁 시에는 고려해야 할 사항이 많으므로 관리체계 인증 시 확인하는 인증기준과 확인사항 등을 통해 사전 점검하는 것도 바람직한 방법입니다.

 

첫 번째, 외부 위탁 계약으로 개인정보 처리업무를 외부에 위탁하는 경우 개인정보보호에 관한 요구사항, 관리감독, 법규정 위반의 배상책임 등에 관한 사항을 계약서 등에 문서화해야 합니다. 개인정보 처리위탁 계약 시 해당 계약서에 포함되어야 하는 내용을 체크하고 위탁자는 개인정보 처리위탁을 위한 수탁자를 선정할 때 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등 개인정보 처리 및 보호 역량을 종합적으로 고려하는지 확인합니다. 대표적인 문제로는 첫 번째, 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우, 두 번째, 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서 상에 법령에서 요구하는 관리·감독에 관한 사항 등의 일부 항목이 포함되어 있지 않은 경우, 세 번째, 정보통신서비스 제공자인 신청기관으로부터 개인정보 처리업무를 위탁 받은 수탁자 중 일부가 신청기관의 동의 없이 해당 업무를 재 위탁한 경우 등을 주의해야 합니다.

 

다음은 정보주체 고지입니다. 개인정보 처리업무 위탁 시 수탁자, 수탁목적 등 관련사항을 이용자에게 고지하고 필요한 경우 동의를 받아야 합니다. 제3자에게 이용자의 개인정보 처리업무를 위탁하는 경우 관련 사항을 이용자에게 알리는지, 개인정보 처리위탁에 대한 동의가 필요한 경우, 법령에 따라 필요한 사항을 알리고 동의를 받고 있는지, 개인정보 처리위탁 시 수탁자 변동 또는 위탁업무 범위 및 계약상의 변동사항이 발생할 경우 이용자로부터 별도의 동의 또는 고지 절차를 거치고 있는지 등을 확인합니다. 대표적인 잘못된 사례로는 홈페이지 개인정보 처리방침에 개인정보 처리업무 위탁 사항을 공개하고 있으나 일부 수탁사와 위탁하는 업무의 내용이 누락된 경우, 정보통신서비스 제공자이면서 정보통신서비스 제공에 관한 계약 이행과 무관한 개인정보 처리 업무를 위탁하면서 수탁자를 개인정보 처리방침에 공개하는 것으로 갈음하여 이용자의 동의를 받지 않은 경우 등을 유의해야 합니다. 

 

마지막으로 위탁자 관리·감독입니다. 위탁 업체가 계약서 및 서비스 수준 협약, 관련 법·규정 등에 명시된 사항을 충분히 이행하는지 주기적으로 관리·감독해야 합니다. 수탁자로부터 개인정보보호의 관리상황을 주기적으로 보고 받고 정기 또는 수시점검을 통해 관리·감독하고 있는지, 개인정보 처리위탁 시 수탁자 직원에 대한 개인정보보호 교육을 직접 수행하거나 요청하여 관리하고 있는지, 수탁자 및 외부로부터의 개인정보처리시스템 접근내역을 기록하여 남기고 있는지 등을 확인합니다. 대표적인 잘못된 사례로는 개인정보 수탁사에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나 교육 수행여부를 직접 확인하거나 교육수행결과를 받고 있지 않은 경우, 최근 개인정보 처리위탁 종료된 업체에 대하여 개인정보를 회수 파기하는 절차를 수행한 증적이 확인되지 않은 경우, 정보통신서비스 제공자인 신청기관으로부터 개인정보 처리업무를 위탁받은 수탁자 중 일부가 신청기관의 동의 없이 해당 업무를 재위탁한 경우 등의 문제가 발생하지 않아야 합니다.

 

온라인 개인정보보호 자율규제

개인정보 침해사례 증가

O2O 등 온라인 기반 융합 서비스가 확산되고, 바이오정보 등 정보통신서비스 이용 시 수집·이용되는 개인정보의 유형과 규모가 확대됨에 따라 개인정보 침해 사례가 증가하고 있습니다. 정보통신서비스의 특성상 유통점, 개인 판매자 등 예산과 인력이 부족한 중소 사업자가 대부분이며, 위·수탁 관계가 복잡하게 얽히는 경우 역시 다반사입니다. 이에 업종·서비스별 특성에 맞는 개인정보보호를 실천함으로써 기업의 개인정보보호 수준을 제고하고 법률 사각지대를 최소화하고자 방송·통신·온라인 분야 개인정보보호 자율규제를 추진하게 되었습니다. 정부는 자율규제 시행근거를 마련하고 참여 사업자 및 단체 대상으로 인센티브 마련, 법제 정비, 체계 마련 등을 통해 자율규제 도입 기반을 마련하고 있습니다. 민간은 자율규약을 제정하고 연간 시행계획을 수립하고 이행하여 업종·서비스별 특화된 자율규제를 시행하고 있습니다. 이렇게 정부와 민간이 서로 소통하고 협력하여 기업의 개인정보보호 수준 제고 및 사각지대를 최소화하고 있습니다.

 

자율규제 참여·시행 절차

자율규제 참여·시행 절차는 다음과 같습니다.

1단계, 업종 및 서비스별 자율규약을 제정합니다. 자율규약의 목적 및 범위, 협회와 회원사의 역할 및 준수사항 등을 명시합니다.

2단계, 연간 자율규제 시행계획을 수립합니다. 실행조직, 재원, 체크리스트 기반 점검 및 교육, 컨설팅 등의 시행방식을 포함합니다.

3단계, 시행계획에 따른 자율규제를 이행하고, 회원사의 자율규제 이행여부를 점검하고 관리합니다.

마지막으로 4단계, 활동 성과 검토 및 평가, 개선권고 등 연간 자율규제 시행결과를 보고합니다.

자율규제 수행방식은 먼저 자율점검 체크리스트를 배포하고, 체크리스트를 기반으로 자율점검을 실시합니다. 그리고 자율점검 결과를 검증하고 분석하며, 개선계획을 수립하고 이행합니다. 중소·스타트업 사업자 대상 개인정보보호 현장 컨설팅 등은 정부가 지원합니다. 개인정보보호 자율점검 체크리스트 구성은 수집, 이용 및 제공, 보호조치, 파기, 권리보호 등 5개 분야이며, 위탁사 및 수탁사 점검항목으로 구분하고, 사업자 스스로 설문지 형식의 체크리스트를 항목별로 점검하면서 법령·고시 등의 의무사항을 이해하고 개선하기 쉽게 구성합니다.

 

개인정보보호 자율규제에 대한 Q&A

Q : 자율규제 참여 시 해당 협회의 회원사가 반드시 모두 참여해야 할까요?
A : 자율규제 참여 여부는 전적으로 협회, 그리고 개별 회원사가 자율적으로 결정하시면 됩니다. 예를 들어 A협회가 자율규제 참여를 희망하고, 소속 회원사 중 30%가 자율규제 참여를 결정했다면, 해당 30%의 회원사와 협의하에 자율규약을 제정하고, 연간 시행계획을 마련하여 이행하시면 됩니다.

Q : 협회에서 제출한 계획안 중 예산 등의 문제로 시행할 수 없는 방식이 있습니다. 계획안에 기재된 방식을 모두 시행해야만 자율규제에 참여한 것으로 인정되나요?
A : 자율규제 참여 방식 역시 회원사별로 자율적으로 결정하시면 됩니다. 협회에서 연간 자율규제 시행계획 수립 시 회원사별로 참여 의사 및 참여 예정방식을 협의하시는 것을 원칙으로 합니다. 이때 협의하신 사항에 따라 협회에서 회원사별 이행 여부를 확인하게 되므로, 연간 시행계획 수립 시 협의하신 사항은 반드시 이행해주시기 바랍니다.

 

Q :  자율규제 참여 시 어떤 혜택이 주어지나요?
A : 과태료 감경 등 자율규제 촉진·지원 및 원활한 제도 운영을 위해 관련 법령 정비 방안을 논의 중 입니다.