“한번 구축해놓으면 법적 규제에 따른 리스크 획기적 개선 될 것”

개인정보보호법은 2년 전인, 2008년 9월에 입법예고되었고 2010년 10월에 이르러서야, 행안부소위를 통과하였다. 오는 11월 중순, 최종으로 국회본회의를 통과한 후 정식공표되면 내년부터 효력을 발휘하게 된다. 드디어 우리나라에 공공기관, 기업, 단체를 아우르는 일관된 법적 규제가 탄생하게 되는 것이다.

개인정보보호법의 취지는 개인정보보호에 있어 아무런 법적 규제를 받지 않는 사각지대를 없애서 개인정보보호 수준을 전반적으로 향상하겠다는 것이다.

개인정보보호법은 공공·민간을 망라, 개인정보를 취급하는 모든 주체에 적용되는 원칙으로 입법예고 제2조를 보면 공공, 민간, 모든 개인정보처리자로 적용대상을 명시하고 있다.

[입법예고 제 2조]

(1) 국회·법원 등 헌법기관, 비영리단체 등을 포함, 업무상 개인정보파일을 운용하기 위하여 개인정보를 처리하는 자에 대하여 법률을 적용하고 전자적으로 처리되는 개인정보 외에 수기 문서까지 개인정보의 보호범위에 포함함

(2) 그간 개인정보 보호 관련 법률 적용을 받지 않았던 사각지대를 해소함에 따라 국가사회 전반의 개인정보보호 수준이 제고될 것으로 기대함

물론, 지금도 정보통신망법이나 신용정보보호법, 공공기관 개인정보보호법 등 개인정보보호 의무를 규정한 법들이 있다. 하지만 기존법들은 정보통신서비스제공자(정보통신망법), 금융기관(신용정보보호법), 공공기관(공공기관 개인정보보호법) 등 특정업종이나 분야에만 국한된 법으로 존재함에 따라, 법적 처벌의 근거가 없는 소위 사각지대가 존재해왔다.

2008년과 2009년 대형 정보유출사고가 연달아 발생하면서 개인정보보호는 사회적 이슈화는 충분히 되었으나 여전히 실제적으로 법적 처벌을 하기에는 법적 근거가 부족한 점이 많았다. 특정 업종이 아니라, 개인정보를 취급하는 조직 전체를 아우르는 통일된 법적 근거가 절실하다고 할 수 있었으며 그 결과 2년간 계류중이던 개인정보보호법이 드디어 여야간 합의를 통하여 행안부소위를 통과하게 된 것이다.

개인정보보호법이 11월, 국회본회의를 통과해 공표되게 되면 개인정보를 취급하는 모든 조직에는 커다란 변화가 생겨날 것이다. 개인정보보호법이 구체적으로 어떠한 내용으로 공표될지는 알 수 없지만, 현재 공개되어 있는 입법예고를 가지고 개인정보보호법의 전반적 내용을 살펴보면, 개인정보 취급조직마다 프라이버시 거버넌스 프레임워크(Privacy Governance Framework)를 구축할 것을 규정하였음을 알 수 있다.

프라이버시 거버넌스란 개인정보보호 관련 법적 규제를 준수하기 위한 조직경영 전략쯤으로 풀이할 수 있다. 다시 말하면, 개인정보보호법이 발효되고 나면 전자정보든 수기로 된 정보든 개인정보를 보유하고 있는 모든 조직은 개인정보 관련 법적 규정준수를 위한 조직경영의 새 틀을 짜야 한다.

조직 내 개인정보 파일 검출 및 등록제(입법예고 30조) 준수를 위하여 데이터베이스, 파일서버, PC 속에 방치되어 있었던 개인정보파일을 모두 검출, 파일목록을 작성하여야 하며, 그 개인정보가 어떻게 접근, 저장, 유출되는지 라이프사이클에 따라 추적 및 보안하고(입법예고 15조에서 20조까지) 무엇보다 그 전체적인 상황을 투명하게 파악할 수 있도록 조직 및 시스템을 재편 혹은 신규 구축해야만 한다.

개인정보 취급조직이 개인정보를 얼마나 보유하고 있고 어떤 라이프사이클로 흘러가는지를 다 파악할 수 있도록 하는 것이 프라이버시 거버넌스 프레임워크 구축이라고 할 수 있겠다. 프라이버시 거버넌스 프레임워크를 구축해야만, 만의 하나 개인정보 유출시 개인정보 주체에게 어떤 개인정보가 어떤 경위로 언제 유출되었으며 어떤 조치를 취할 것인지 지체없이 알려주는 것이 가능해진다. (입법예고 32조) 

제32조(개인정보 유출 통지) ① 개인정보처리자는 개인정보 유출이 발생하였음을 알게 된 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 통지하여야 한다.

1. 유출된 개인정보의 항목

2. 유출이 발생한 시점과 그 경위

3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 취할 수 있는 방법 등에 관한 정보

4. 개인정보처리자의 대응 조치 및 피해구제 절차

5. 정보주체에게 피해가 발행한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

② 개인정보처리자는 개인정보 유출이 발생한 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 취하여야 한다.

③ 제1항에 따른 통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.

우리는 개인정보보호법을 오래 기다려왔다. 개인정보보호법이 오늘 이 자리에까지 오기 위하여 애쓰신 모든 분에게 경의를 표한다. 프라이버시 거버넌스 프레임워크는 초기에는 비용과 시간이 많이 드는 일일 수 있으나 일단 한번 구축해놓으면 조직내 정보흐름 및 법적 규제에 따른 리스크를 획기적으로 개선하는 투자가 될 것이다. 개인정보보호법이 프라이버시 거버넌스 프레임워크가 성공적으로 구축되는 계기가 되기를 조심스럽게 바래본다.

[글 · 김대환 소만사 대표이사 kdh@somansa.com] 

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>