• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사업자가 꼭 알아야 되는 개인정보보호법 이슈는? 2016.04.27

적용법령 파악·개인정보 처리방침·제3자 제공정보 고지 등이 중요...
현황 파악후, 적절한 조치 취해야 과태료 및 행정처분 피할 수 있어

[시큐리티월드 김태형] 최근 개인정보 유출 사고는 점점 지능화·다양화되고 있다. 개인정보보호법이 시행 된지가 벌서 6년차를 지나고 있지만, 공공기관 및 기업의 개인정보보호 조치는 여전히 미흡한 부분이 많다는 지적이다. 이에 관련 부처는 주기적인 보안 점검을 통해 미흡한 부분에 대해서는 과태료 처분이나 시정조치를 하고 있다.

\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n \n
width=500

그동안 크고 작은 개인정보 유출사고를 겪으면서 개인정보보호법은 몇 차례 개정됐고 개인정보보호 관련 법과 규제는 점점 더 강력해져 기업들의 부담도 커지고 있다. 최근 개정된 개인정보보호법에 따르면, 주민번호 의무화 뿐만 아니라, 앞으로는 정보 당사자가 아닌 제3자로부터 개인정보를 제공받은 경우 당사자에게 개인정보 수집 출처와 처리 목적 등을 반드시 고지해야 한다.

또한 개인정보보호와 관련된 정통망법 개정안에 따르면, 개인정보 유출 피해자가 피해규모를 직접 입증하지 않아도 배상판결을 받을 수 있도록 했다. 기존 카드사나 유통·포털 업체 이용자들은 해킹으로 인한 정보유출에 따른 손해 규모를 직접 입증해야 했다. 하지만 앞으로는 해킹 피해를 입은 일반 이용자가 적절한 수준의 배상을 받을 수 있게 된 것이다.

아울러 사업자들은 고의로 개인정보를 유출했을 경우, 실제 손해액의 최대 3배까지 배상하도록 하는 징벌적 손해배상제를 도입함으로써 개인정보보호를 위한 노력이 더 많이 요구되고 있다. 그리고 보안 인증제도와 관련해서는 유사한 인증제도는 통합됐고 ISMS 인증 의무화는 금융·의료분야 등으로 확대되었다. 이와 같은 상황에서 사업자들은 관련 법 준수와 개인정보보호 강화를 위해서 어디서부터 어떻게 해야 할지가 고민이다.

이와 관련해서 법무법인 율촌 손도일 변호사는 “우선 가장 중요한 것 자사에 적용되는 법령이 어떤 것인지를 파악해야 한다. 이는 현재 국내 개인정보와 관련한 법령이 5가지, 즉 개인정보보호법, 정통망법, 위치정보법, 신용정보법, 전자금융거래법 등이 있는데, 이 중 자사가 적용받는 법이 무엇인지를 정확이 알아야 한다”면서 “또 한 가지는 자사의 보안 현황을 정확하게 파악해야 한다. 즉 관리적·기술적·물리적 통제가 잘 되는지를 파악해야 한다. 아울러 이러한 것들을 외부 수탁사나 협력업체에게도 잘 적용되는지를 파악해야 한다. 최근 개인정보 유출 사건은 외부 협력업체 직원이나 수탁사에서 발생한 경우가 많기 때문이다”라고 설명했다.

이어서 법무법인 세종 백대용 변호사는 “사업자들이 사실적으로 법령 준수가 쉽지는 않은 상황에서 가장 중요한 것은 개인정보의 처리방침이다. 올해 3월 개정되어 9월 30일 시행되는 개인정보보호법의 내용은 개인정보의 출처 고치, 개인정보 처리방침에 관한 내용 등이다”면서 “사업자들이 개인정보 처리방침을 꼼꼼하게 잘 만들어 놓아야 한다. 여기에는 개인정보의 수집·이용·제공·저장·국외이전 등의 내용이 포함되어야 한다”고 말했다.

이어서 그는 “대부분은 개인정보 처리방침을 형식적으로 만드는 경우가 많은데, 꼼꼼하고 충실하게 잘 만들 필요가 있다. 왜냐 하면 개인정보 처리방침을 꼼꼼하게 만들다 보면 자사의 개인정보 처리에서 어떤 문제가 있는지를 파악할 수 있기 때문이다. 그리고 문제점이 파악되면 이를 수정·보완하면 자연스럽게 개인정보보호가 강화된다”고 강조했다.

또한 법률사무소 연암 김상천 변호사는 “이번 개인정보보호법 개정 내용 중 사업자 측에서 가장 중요하게 볼 것은 정보 당사자 이외에, 즉 제3자로부터 개인정보를 제공 받았을 경우 당사자에게 개인정보 수집 출처와 처리 목적 등을 반드시 고지해야 한다”면서 “이 부분은 이용자들로부터 직접 받은 정보가 아니더라도, 앞으로는 신경을 써서 관련 법령을 준수해서 처리를 해야만 한다. 만약 그렇지 않으면 과태료 등 행정적인 조치를 받는다”고 설명했다.

이어서 그는 “사업자들이 제3자로부터 제공 받은 개인정보를 받았을 경우, 이용자들에게 고지를 해야 하기 때문에 이용자들에게 반발을 살 수 도 있다. 그렇게 되면 사업 관계상 여러 가지 문제가 발생할 수 있다. 예를 들면, 개인정보에 대해서 정보주체가 통제할 수 있기 때문에 이용자들이 이에 대한 사용중지를 요청하면 사용할 수 없기 때문이다”라고 덧붙였다.

이처럼 개인정보보호법의 개정으로 정보주체의 권리가 제고되고 개인정보보호가 한층 더 강화됐다. 또한 정부에서는 개인정보 수집·이용 실태조사를 통해 불필요한 개인정보 수집 행태를 지속적으로 점검하고 단속을 진행할 전망이기 때문에 사업자들은 이러한 부분을 정확히 파악하고 현재 자사의 상황을 고려한 적절한 관련 조치를 취해야 과태료 및 행정처분을 피할 수 있다.
[글 시큐리티월드 김태형 기자(sw@infothe.com)]

<저작권자 : 시큐리티월드(http://www.securityworldmag.co.kr) 무단전재-재배포금지>