• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[시큐리티 Q&A] 개인정보보호 업무 우선순위 2014.04.27

Q. 소규모 개인사업자들이 개인정보보호 관련 법규나 규제 등을 모두 준수하기란 현실적으로 어려운 점이 많다. 중소기업이나 개인 사업자들의 개인정보보호 모범 구축사례를 바탕으로 개인정보보호 업무에 있어 우선순위를 정한다면?


A-1. 개인정보를 처리하는 모든 공공기관 및 민간사업자는 개인정보를 수집, 이용, 제공, 파기 등 각 처리단계별로 개인정보보호법상의 규정을 준수해야 하며, 개인정보를 안전하게 보호하도록 관리적·기술적·물리적 보호조치를 취해야 한다.

 

그런데 소규모 개인사업자들은 대규모 공공기관 및 민간사업자들에 비해 인적·물적 역량의 제한으로 법령에서 요구하는 개인정보보호 기준을 준수하기가 상대적으로 쉽지 않은 상황이다. 특히, 개인정보보호를 위한 암호화, 접근권한관리, 접근통제, 접속기록관리 등 기술적 안전성 확보조치는 관련 지식과 역량이 요구됨에 따라 소규모 개인사업자들이 준수하기에 어려움을 겪고 있다.

 

이에 안전행정부는 개인정보보호 종합지원 포털(www.privacy.go.kr)을 운영하며, 법령·지침·가이드라인 등 각종 자료 안내와 상담, 개인정보보호에 대한 온라인 교육도 실시하고 있다. 이와 함께 사업자의 개인정보보호 수준을 자가 진단할 수 있도록 했으며, 개인정보 처리방침을 손쉽게 만들 수 있는 서비스도 제공하고 있다. 지역적 특성 등으로 온라인 접근이 어려운 경우, 전국 74개(2013년 현재) 지역에 설치·운영 중인 개인정보보호 지역거점지원센터에 문의할 수 있다.

 

또한 창업자, 소상공인, 중소사업자 등의 기술적 보호조치 준수 어려움을 고려하여 개인정보 보호조치 컨설팅, 홈페이지 웹 취약점 점검 서비스, 주민등록번호 삭제 및 대체수단 도입 등을 지원하는 기술지원센터(www.privacy.go.kr→개인정보도우미→개인정보보호 기술지원센터)를 운영하고 있다. 소규모 개인사업자들은 이러한 다양한 정부의 지원방안을 적극 활용하는 한편, 사업자가 처리하고 있는 개인정보의 특성을 고려해서 처리단계별 조치사항들을 준비하고 이행한다면 개인정보보호 법령의 준수가 어렵지 않을 것으로 본다.

(김두현 한국정보화진흥원 개인정보보호사업부 부장/duhyun@nia.or.kr)


A-2. 특정 법률이나 법률 내 특정 조항을 우선하여 준수하는 것이 반드시 모범적인 개인정보보호 사례는 아니다. 반드시 ‘정보주체(이용자)’의 입장에서 제공받는 서비스에서 어떤 면이 가장 큰 프라이버시/개인정보 침해적 요소인지를 자문해보고, 해당 영역부터 해소해 나가는것이 필요하다.

 

예를 들어 이용자에게 동의를 받았음에도 불구하고 해당 이용자의 실명을 공개하는 방식으로 서비스를 제공하기 보다는, 별명을 수집하여 서비스에 노출하는 것이 프라이버시/개인정보 침해를 줄일수 있는 방식일 것이다. 이와 같이, 반드시 법률적으로 문제가 있는 부분이 아니더라도 이용자 관점에서 해소할 수 있는 영역이 많이 있다. 그 이후에는, 개인정보 전송구간 및 개인정보 암호화 등 가장 기본적인 개인정보보호 조치를 수행할 수 있다.

(이진규 네이버 개인정보보호팀장/davidlee@nhn.com)


A-3. 개인정보보호 업무의 우선순위는 △개인정보보호 전담 인력 및 CPO(개인정보보호책임자) 지정 △개인정보보호 내부관리계획수립 △전체 임직원 대상의 정기적인 교육 실시로 지속적인 개인정보보호 인식제고 △개인정보는 최소 수집하고 불필요한 주민번호는 파기 등이다. 소상공인 개인정보보호조치 주요 사항으로는 우선 기술적 보호조치로 △접근권한 관리 △비밀번호관리 △접근통제 시스템 설치 및 운영 △암호화 △접속기록 보관 및 관리 등이며, 관리적 보호조치로 △보안프로그램 설치 및 운영 △개인정보 수집·이용 동의 획득 △개인정보처리방침 작성 및 공개 △기간이 만료된 개인정보의 삭제 및 파기 △프로그램 유지보수 등이다.

(박용만 한국개인정보보호협의회 전문위원/mfacepark@hanmail.net)


A-4. 개인정보보호에 관하여 많은 선행 연구들이 존재한다. 선행 연구들에서 제기한 방안들을 종합해 보면, 먼저, 개인정보보호업무를 수행하기 위해 관련된 조직의 구성·운영, 예산의 확보, 교육과정의 실시 등을 통한 기반 확충이 필요하다. 둘째, 방화벽, IDS, 침입차단 프로그램 등과 같이 개인정보보호를 위한 다양한 보안프로그램과 시스템을 구축해 운영해야 한다. 또한, 정보보호 및 정보통제 시스템을 통한 온·오프라인 상의 개인정보관리 시스템을 정보보호환경에 맞게 구현해야 한다.

 

셋째, 개인정보의 수집·보유, 이용·제공, 파기 등의 생애주기별 관리체계가 구축되어야 하며, 넷째, 웹사이트 모니터링, 개인정보침해신고센터 운영 등이 필요하다. 이와 같은 조건들이 갖추어져 있을 때 개인정보보호 업무를 수행할 수 있겠지만, 우리나라 중소기업의 여건상 모든 조건을 충족시키기 힘들 것이다. 따라서 4단계를 여건에 맞게 언급한 순서대로 구현해 나간다면 개인정보보호 업무를 수행하는데 문제가 없을 것이다.

(허진성 한국산업기술보호협회 관제운영팀 연구원 /iqsecurity@kaits.or.kr)


[김지언 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>