Q. 해외 클라우드 서비스 이용 시 개인정보보호관련 법상 해외이전 이슈가 발생하는 것으로 알고 있습니다. 이와 관련해서 염두에 두어야할 사항에는 무엇이 있을까요?

[보안뉴스 편집국] 미래부에서는 지난해 3월에 열린 제6차 정보통신기술(ICT) 정책해우소 토론회에서 클라우드 사업을 위한 개인정보의 국경간 이동문제는 관련 법 개정에 따라 개인정보가 클라우드 서비스 사업자에게 단순히 ‘위탁’된 것으로 보아 클라우드 사업자가 이용자에게 ‘사전고지’만 하면 가능하다고 설명했습니다.


또한, 2016년 3월 22일 개정된 정보통신망법 제63조(국외 이전 개인정보의 보호) 제2항에 따르면, ‘정보통신서비스 제공자 등은 이용자의 개인정보를 국외에 제공(조회되는 경우를 포함한다)·처리위탁·보관(이하 이 조에서 ’이전‘이라 한다)하려면 이용자의 동의를 받아야 한다. 다만, 정보통신 서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 제3항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 처리위탁·보관에 따른 동의절차를 거치지 아니할 수 있다’로 규정해 위탁된 것으로 보아 ‘사전고지ʼ를 통해 해외 이전 클라우드 사용이 가능하다고 볼 수 있습니다.

다만, 해외 클라우드 사용시 정보통신망법에서 규정하고 있는 개인정보의 기술적·관리적 보호조치를 모두 준수할 수 있도록 해야 하며, 계약 또는 SLA 항목에 관련사항을 포함하고 클라우드 서비스 제공자가 제공하지 못하는 기술적 사항에 대해서는 클라우드 기반 솔루션 등을 도입하는 등을 해야 합니다.
[김형구 현대백화점그룹 IT실 차장(tetisnmepis@naver.com)]

해외 클라우드 이용 시 국제표준화기구의 ‘ISO27018’ 획득 여부가 중요합니다. 해당 인증은 데이터 접근 수준설정, 광고 목적 활용금지, 정부의 데이터 접근 요청 시 공지 의무 등의 주요 내용을 담고 있습니다. 그 외에 클라우드발전법은 개인정보보호법 제 17조와 정보통신망법 제63조는 개인정보처리자 및 정보통신 서비스 제공자는 개인정보를 국외로 이전하거나 제3자에게 제공할 때 정보주체인 이용자로부터 동의를 받아야 한다고 명시되고 있습니다.
[한국산업기술보호협회 중소기업기술지킴센터]

[보안뉴스 편집국(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>