▲ 개인정보보호법 주요 개정 사항

개정 개인정보보호법에 따르면 주민번호 등의 개인정보를 다루는 기관, 기업 등은 내년 8월 7일까지 정보통신망법상 온라인 회원에 대해 주민번호를 이용하지 않도록 업무체계를 변경해야 한다. 또 2016년 8월 6일까지는 법적 근거가 있는 예외조항을 빼고 모든 주민번호를 파기해야만 한다.

이번 개정된 개인정보보호법의 핵심 내용을 보면, △주민번호 처리가 전면 금지되고 법 시행 2년 내에 파기해야 하며 △주민번호 관련 처벌이 과징금 최대 5억원으로 강화되며 △법규 위반시 징계권고 대상에 대표자와 임원이 포함된다는 점이다.

특히, 과징금이 부과되는 경우는 개인정보처리자가 처리하는 주민번호가 분실, 도난, 유출, 변조, 훼손되는 경우로, 단 안전성 확보에 필요한 조치를 다한 경우에는 제외된다.

또한 대표자 및 임원에게 징계 권고의 경우는 개인정보보호 관련 법규의 위반 행위가 있다고 인정될 만한 상당한 이유가 있을 때 안행부 장관은 ‘책임 있는 자’를 징계할 것을 소속기관/단체의 장에게 권고할 수 있다는 기존 법 조항에서 ‘책임 있는 자’란 ‘대표자 및 책임 있는 임원을 포함’한다고 구체화했다. 

단, 여기에도 예외는 있다. 우선 첫 번째 예외 조항은 법령에서 구체적으로 주민번호 처리를 요구하거나 허용하는 경우로 개인정보보호법 24조1항에 따라 정보주체의 별도 동의 없이 처리가 가능하다.

이러한 경우는 △근로기준법 시행령 제27조에 따른 임금대장의 주민번호 기재 △법인세법 제118조에 따른 주주명부의 주민번호 기재 △부가가치세법 제32조에 따른 경품지급시 대상사 주민번호 수집 △전자금융거래법 시행령 제31조에 따른 전자결제시 주민번호 수집 등이다.

그리고 두 번째 예외는 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 명백히 필요하다고 인정되는 경우, 세 번째는 제1호 및 제2호에 준하여 주민번호가 처리가 불가피한 경우로서 안전행정부령으로 정하는 경우 등이다. 이 두 가지의 예외 조항은 정통망법과 달리 개인정보보호법에만 있는 조항이다.

그렇다면 이처럼 강화된 개인정보보호법에 대응하기 위해서는 기업에서 우선적으로 해야 할 과제는 무엇일까? 우선 2014년 8월 7일 이후로 주민번호를 처리하지 않도록 업무체계를 변경해야 하고, 2016년 8월 6일까지 주민번호 파기를 이행해야 한다. 그리고 예외적으로 보유한 주민번호에 대해 안전성 확보 조치를 마련해야 한다.

특히 기업에서는 그동안 해왔던 주민번호 처리 업무 체계를 개선해야 하는 것이 중요한데, 이와 관련해 이장우 안랩 관리컨설팅팀 이사는 “주민번호 처리 개선을 위해서는 크게 4가지 단계, 즉 ‘처리현황 파악-처리목적 식별-대체방안 수립-변경작업 진행’ 등의 순서로 개선 작업을 수행해야 한다”라고 말했다.

우선 처리현황 파악 단계에서는 수집·이용·보유·제공하고 있는 주민번호에 대해 정확히 파악할 필요가 있다. 그리고 무엇보다 중요한 것은 부서 직원들에게 최대한 협조를 구하고, 업무 양식을 취합해야 한다는 점이다.

그리고 두 번째 단계에서는 처리 목적별로 법적 근거에 따른 처리인지 제3자의 이익관련 처리인지 기타 관행적 시스템 설계상의 처리를 구별해야 한다.

세 번째 단계에서는 주민번호의 일부 내용을 활용하거나 주민번호를 사이트에서 본인 확인을 위한 ‘키’로만 활용할 경우 별도의 고유키 값 등 이를 대체할 방안을 마련해야 한다.

이와 관련 이장우 이사는 “주민번호 대체 수단을 마련하기 위해서는 기관, 기업 내에서 운영하고 있는 전산시스템을 100% 이해하고 있어야 한다. 어떤 프로그램이 어떻게 돌고 있는지 모르는 경우가 많은 기업의 전산 시스템 환경에서는 많은 어려움이 발생할 수 있다”라고 지적했다.

이어서 그는 “주민번호 처리 개선을 한번에 해결할 수 있는 방법은 없다. 해당 업무로 시스템이 마비되지 않도록 개인정보 현황 파악과 현업에서 일하는 담당자들의 동의를 구하는 작업이 선결돼야 한다”라고 강조했다.

그리고 마지막 네 번째 단계에서는 온라인 양식·오프라인 양식·처리 시스템 등의 변경 작업을 진행해야 한다.