| 개인정보 관련 법령, 컴플라이언스 실천방안 3가지 | 2015.10.05 | |
개인정보 관련 법령 요건들을 준수하기 위한 3가지 실천방안 제안 [보안뉴스=정윤정 김·장 법률사무소 전문위원] 최근 정보기술은 클라우드, 빅데이터, IoT, 모바일 및 컨버전스 등과 같이 다변화되어 가는 가운데 기업들이 이러한 기술들을 이용하여 고객에게 더 나은 서비스 제공을 위해 대량의 정보를 수집·보관 및 가공·처리하는 것은 필연적이라고 볼 수 있다. 이러한 환경 속에서 기업들은 대량의 정보를 처리해 서비스를 제공함에 있어서 ‘개인정보보호’라는 큰 숙제를 안고 있다. 만약 개인정보 관련 법령을 제대로 준수하지 못하거나 불행히도 개인정보 유출사고까지 발생하는 경우에는 기업에게도 고스란히 그 책임을 묻고 있기 때문이다. 개인정보를 유출한 당사자는 당연히 법적 책임을 지게 되고, 이와 더불어 해당 개인정보를 처리한 기업들도 개인정보 관련 법령에서 요구하는 사항들을 준수하지 못하는 경우에 주의의무 위반 등으로 인한 민형사 책임 및 행정처벌을 받게 된다. IT 기술 및 보안전문가들은 IT 시스템을 이용한 서비스를 운영하는 경우, 보안 리스크가 절대 0(Zero)이 될 수 없다는 것을 누구나 인정한다. 즉, 보안위협은 항상 존재하고 또한 개인정보가 유출될 가능성도 존재할 수 밖에 없는 것이다. 이에 기업은 개인정보를 유출될 확률을 경감시키기 위해서 다양한 정보보호 제품들을 도입하는 등의 보안통제를 적용하고, 일부 기업은 보안 관련 보험가입 등을 통해 위험을 전가시키는 활동을 하고 있다. 이러한 활동과 더불어 기업의 입장에서는 ‘법률적 리스크를 최소화’하는 것이 무엇보다 중요하다. 그 이유는 행정·규제기관에서 개인정보보호 관련 조치를 했는지 판단하는 기준은 개인정보 관련 법령이고, 만약 개인정보 유출사고가 발생하면 민·형사적으로도 기업이 개인정보보호 관련 법령을 준수했는지를 일차적으로 판단하기 때문이다. 또한 정보보호 위험분석을 수행할 때도 통상적으로 법률적 리스크를 가장 상위 리스크로 분류하여 무조건 통제를 적용하도록 한다. 따라서 기업은 개인정보 관련 법령을 제대로 준수하기 위해 노력을 경주해야 하는데, 다만 기업에서 법령을 준수하고자 해도 그 내용이 복잡하기도 하고, 최근에는 자주 개정되고 있어서 제대로 법령상 정해진 각종 의무를 이행하는 것이 현실적으로 쉽지가 않다. 또한 국내에는 정보통신망법, 신용정보법 개인정보보호법 등의 개인정보 관련 법령이 있는데, 우리 회사는 어느 법령의 적용을 받는지, 법령마다 일부 상이한 조항은 어떤 법령을 따라야 하는지, 보호조치를 취했지만 법령에서 요구한 수준을 만족하는지 등에 대한 여러 가지 고민들도 생긴다. 현재도 법령간 정합성 등을 위해 개인정보보호법, 신용정보법의 개정이 추진 중이 있으니 기업의 이런 고민들은 계속될 수밖에 없을 것으로 보인다. 그렇다면 기업에서 개인정보 관련 법령 요건들을 제대로 준수하기 위해서 어떤 활동들을 수행하면 좋을지 아래와 같이 3가지 실천방안을 제안한다. 1. 법령 및 각종 가이드라인, 안내서, 해설서를 꼼꼼히 챙겨보자 개인정보 관련 법률, 시행령, 시행규칙, 관련 고시는 개인정보보호 컴플라이언스를 위한 교과서이므로 기본적으로 챙겨서 봐야 한다. 법령 관련 자료들은 www.law.go.kr, 가이드라인과 안내서 등은 www.mogaha.go.kr, www.kcc.go.kr, www.privacy.go.kr, www.kisa.or.kr에서 검색할 수 있다. 특히 www.privacy.go.kr, www.kisa.or.kr 사이트에는 법령에서 요구하는 문건의 샘플 및 교육 자료 등을 게시하고 있으므로 참고하면 많은 도움이 된다. 1) 개인정보보호법 - 법률, 시행령, 시행규칙, 개인정보의 안전성 확보조치의 기준, 표준 개인정보보호지침, 개인정보 위험도 분석 기준, 개인정보보호 인증제 운영에 관한 규정 - 개인정보 암호화 조치 안내서, 각 분야 개인정보보호 가이드라인(금융분야, 인사·노무, 의료분야, 소상공인 등), 내부관리계획/개인정보처리방침 샘플 등 2) 정보통신망법 - 법률, 시행령, 시행규칙, 개인정보의 기술적·관리적 보호조치 기준, 정보보호 관리등급 부여에 관한 고시 - 온라인 개인정보 취급 가이드라인, 불법 스팸 방지를 위한 정보통신망법 안내서, 암호기술 구현안내서, 상용 소프트웨어에서의 암호기능 이용 안내서 등 3) 신용정보법 - 법률, 시행령, 시행규칙, 신용정보업감독규정 등 2. 다른 회사는 주로 어떤 문제점이 있는지 살펴보자 수년간 다양한 기업들을 대상으로 개인정보 컴플라이언스 점검을 수행한 경험을 비추어 보면, 많은 기업들이 유사한 사항에 대하여 미비점을 보이는 경우가 많고, 특히 동종 또는 유사 업권인 경우는 더욱 그러한 경향을 보인다. 그러므로 자신만의 숙제로 속앓이 하지 말고 다른 회사는 주로 어떤 위반사항들이 지적되고 있는지를 참고하면, 우리 회사가 무엇을 중점적으로 살펴봐야 하는지 계획을 세우는데 도움이 된다. 그렇다면 이런 정보들은 어디서 찾아볼 수 있을까? 관계 행정·규제기관은 개인정보 실태를 검사·조사하고, 그 결과를 매년 발표하고 있다. 이 결과를 보면, 어떤 업권을 대상으로 조사를 수행했는지, 어떤 위반사항이 있는지, 위반률이 얼마나 되는지 등에 대한 구체적인 정보를 얻을 수 있다. 또 다른 방법으로 매년 발간되는 개인정보보호 상담 사례집, 개인정보 분쟁조정 사례집을 활용하는 것도 좋은 방법이다. 이 자료들은 실제 사례들에 대한 전문가들의 상세한 해석 및 의견들이 포함되어 있으므로, 회사에서 개인정보를 처리할 때 의문점이 있는 경우 유사한 사례를 찾아서 도움을 받는 경우도 종종 있다. 이 자료들은 개인정보보호 종합 포털 홈페이지(www.privacy.go.kr)에 교육자료, 참고자료에 게시되어 있다. 3. 회사에 적합한 체크리스트를 만들고 정기적으로 내부 점검을 수행하자 개인정보보호 컴플라이언스를 강화하기 위해서는 현재 상태를 제대로 아는 것이 무엇보다 중요하다. 현재 어떤 점이 미비한지 정확히 파악해야만이 이에 대한 개선방법을 강구할 수 있기 때문이다. 회사의 개인정보 처리실태를 파악하기 위해서 우리 회사에 맞는 개인정보보호 체크리스트를 만들어 보자. 독자적으로 체크리스트를 작성하는 것은 매우 어려운 작업이기 때문에 관계 행정부처 등에서 제공한 체크리스트를 기본 자료로 활용하여 우리 회사의 맞춤형 체크리스트로 업데이트 하는 것이 좋다. 관련체크리스트는 www.privacy.go.kr, www.kisa.or.kr에 게시되어 있으므로 다운로드 받을 수 있다. - 2014년도 개인정보보호 자가진단체크리스트(한국인터넷진흥원) - IT 수탁자 개인정보보호 실태 자율점검 실시 관련 자율점검표(행정자치부) 등 그렇다면 행정부처 등에서 제공하는 체크리스트를 그대로 활용하면 되지 않을까? 해당 체크리스트 자체로도 기본자료로서 충분히 좋은 내용으로 작성되어 있다. 다만, 통상 개인정보 처리현황은 회사의 각 서비스마다 다르므로 이를 반영한 서비스별 개인정보보호 체크리스트를 추가적으로 작성하여 활용하는 것이 좋다. 이는 회사에서 개인정보처리 현황을 파악하고 지속적으로 업데이트하는 데도 도움이 된다. 또한 체크리스트를 작성할 때는 이를 활용하는 사람이 일정한 수준으로 점검하거나 판단할 수 있도록 매뉴얼식으로 작성하는 것도 좋은 방법이다. 아울러 이렇게 작성한 체크리스트를 정기적으로 내부 점검을 수행하는데 활용하자. 개인정보보호법에는 개인정보보호책임자(CPO)가 개인정보처리실태를 조사·개선하도록 하고, 정보통신망법의 하위고시에도 기술적·관리적 보호조치 이행여부를 점검할 것을 기술하고 있다. 통상적으로 내부 점검시 문제점들을 발견하게 되면, 이에 대한 개선대책을 수립해야 하는데, 모든 개선사항을 한꺼번에 적용할 수 있으면 가장 이상적이겠으나, 한정된 인력 및 비용 등으로 인하여 우선순위를 정하여 단계별로 적용하는 경우가 많다. 이 경우 회사가 우선순위를 결정할 때 한 가지 고려요소는, 법적 위반소지가 있을 경우 미치는 영향(implication)을 분석하는 것이다. 예컨대 형사처벌이 있는지, 또는 과징금/과태료 사안인 것인지 등을 고려해 가능한 영향이 높은 사항에 개선대책을 우선 적용하는 것도 법적 리스크를 낮추는데 좋은 방법이 될 것으로 본다. [글_정 윤 정 김·장 법률사무소 전문위원] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
