Q. 정보통신망법 시행령 개정안으로 개인정보 폐기 유효기간이 3년에서 1년으로 줄어들었다고 하던데요, 일반사용자가 1년 안에 개인정보 문서가 폐기되었는지 확인할 수 있는 방법은 없나요? 업무 목적이 달성되면 폐기토록 프로세스는 되어있으나, 이를 모니터링할 수 있는 방안이 있나요?

A-1. 시행령 개정 예정인 내용은 1년 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위해 개인정보를 파기 등 필요한 조치를 취해야 한다는 것입니다.

현재 3년으로 되어 있는 부분을 1년으로 단축하는 것으로 정보통신망법의 대상이 되는 서비스를 제공하는 제공자는 이용자의 계정이 1년 동안 이용되지 않게 되면, 대상을 검색해 이용자에게 안내하고 일정 기간 동안 사용을 하지 않을 경우엔 폐기하는 절차를 진행해야 합니다.

일반적으로 인터넷 서비스를 통해 이용자의 가입을 받아 운용할 경우, 이용자의 최종 접속시간을 로그에 기록해 이 값을 기준으로 미사용 기간을 판단하고 있습니다. 업무 목적이 달성된 정보에 대한 폐기는 정보주체인 개인을 기준으로 업무 목적달성 시점을 정의해야 하며, 폐기 대상인 정보에 대해서는 정보주체와 관련된 모든 정보가 함께 폐기될 수 있도록 관리되어야 합니다.

(이정하 한국CISSP협회 보안연구실/jasonlee2484@gmail.com)

A-2. 개인정보보호법에 의하면, 정보주체는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있습니다. 자신의 개인정보를 열람한 정보주체는 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우를 제외하고는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있습니다.

또한 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있습니다. 개인정보처리자가 개인정보 문서를 폐기했다면 정정·삭제조치결과 통지서를 송부해야 하지만, 그렇지 않을 경우에는 정정·삭제거부 등 결정통지서를 송부하게 됩니다. 개인정보 문서 폐기 거부시 행정심판 절차에 따라 불복청구가 가능합니다.

(왕재윤 한국산업기술보호협회 관제운영팀 연구원/jywang@kaits.or.kr)

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>