개인정보보호법에 서술된 개인정보의 안전한 관리에 관한 사항을 알아보자

본 포스터는 CPO포럼의 39회 기준 CPPG 가이드북의 내용을 담고있습니다.

개인정보의 안전한 관리

안전조치의무

위 법률조항은 내부관리계획 수립, 접속기록 보관 등을 예시하고 구체적인 내용은 대통령에 위임하고 있다.

이에 기하여 동법 시행령 제30조제1항 6개 호의 안전성 확보조치를 정하고 있으며, 이를 구체화한 행정안전부 고시 ‘개인정보의 안전성 확보조치 기준’이 고시되었다.

고유식별번호에 대하여는 분실, 도난, 유출, 변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 취하여야 한다.

개인정보보호법은 고유식별번호에 대하여 암호화 등의 안전성 확보조치를 별도로 규정하고 있다. 그 구체적인 내용도 대통령령으로 유보되어 있다.

다만, 동법 시행령 제21조는 고유식별정보의 안전성 확보조치에 관하여 동 시행령 제30조의 안전성 확보조치를 준용하도록 하고 있는바, 행정안전부 고시 ‘개인정보의 안전성 확보조치 기준’은 이들을 통합적으로 규정하고 있다.

개인정보 처리방침의 수립 및 공개

개인정보처리자는 개인정보의 처리목적, 처리 및 보유기간, 제3자 제공, 위탁, 정보주체의 권리의무, 행사방법 등에 관한 사항에 관한 개인정보 처리방침을 정하여야 한다.

개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령이 정하는 방법에 따라 공개하여야 한다.

개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.

개인정보 보호책임자의 지정

개인정보처리자는 개인정보의 처리에 관한 업무를 총괄하여 책임질 개인정보 보호책임자를 지정하여야 하고, 개인정보 보호책임자가 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 안된다.

독일, 캐나다 등 다수의 국가에서 개인정보관리책임자 지정을 의무화하고 있으며, 이들에게 필요한 지원을 하게하고 업무와 관련하여 불이익을 받지 않도록 하고 있다.

개인정보보호책임자는 개인정보보호와 관련하여 법령 위반사실을 알게 된 경우에는 즉시 개선조치를 취하여야 하며, 필요한 경우 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.

개인정보 유출 통지 및 전문기관 신고

개인정보 유출

개인정보 유출사고가 발생한 경우 사업자가 이를 정보주체에게 알리지 않아 2차적 피해가 발생하는 경우가 많으므로, 유출사실을 지체없이 정보주체에게 통지하여 후속 손해를 최대한 방지하는 것이 필요하다.

개인정보의 유출이라 함은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것으로서 다음의 어느 하나에 해당하는 경우를 말한다.

행정자치부예규 제45호 표준개인정보보호 지침 제26조

  1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
  2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
  3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
  4. 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우

통지의 시기

통지의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령에 위임되어 있는바, 통지의 시기인 ‘유출사실을 알게 된 때로부터 지체 없이’는 유출된 개인정보의 현황, 경위, 원인 등을 파악하고 잠정적인 대응조치를 마련하기 위한 합리적인 기간 내로 해석할 수 있다.

이에 대하여 표준개인정보보호 지침(이하 ‘표준지침’이라 한다)은 정당한 사유가 없는 한 5일 이내에 통지하도록 규정하여, “지체 없이”에 대한 기준을 5일 이내로 한정하고 있다.

통지 방법

개인정보처리자는 대통령령이 정한 일정 규모 이상의 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 피해대응조치의 결과를 행정자치부장관 또는 대통령령이 정하는 전문기관에 신고하여야 한다.

유출사고 통지 방법 및 신고방법은 다음과 같다.

표준개인정보보호 지침 제27조(유출 통지방법)

  1. 개인정보처리자는 정보주체에게 제26조제1항 각 호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 지체 없이 정보주체에게 알려야 한다.
  2. 개인정보처리자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제26조제1항 각 호의 사항을 공개할 수 있다.

표준개인정보보호 지침 28조(개인정보 유출신고 등)

  1. 개인정보처리자는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 5일 이내에 행정자치부장관 또는 개인정보보호법 시행령 제39조제2항의 전문기관에게 신고하여야 한다.
  2. 제1항에 따른 신고는 별지 제1호서식에 따른 개인정보 유출신고서를 통하여 하여야 한다.
  3. 개인정보처리자는 전자우편, 팩스 또는 개인정보보호법 시행령 제39조제2항에 따른 전문기관의 인터넷 사이트를 통하여 유출신고를 할 시간적 여유가 없거나 그밖에 특별한 사정이 있을 때에는 먼저 전화를 통하여 제26조제1항의 사항을 신고한 후, 별지 제1호서식에 따른 개인정보 유출신고서를 제출할 수 있다.
  4. 개인정보처리자는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 제26조제1항에 따른 통지와 함께 인터넷 홈페이지 등에 정보주체가 알아보기 쉽도록 제26조제1항 각 호의 사항을 7일 이상 게재하여야 한다.

정보통신서비스 제공자의 경우

정보통신서비스 제공자는 개인정보보호법 제39조의4(개인정보 유출등의 통지 및 신고에 대한 특례)에 따라, 개인정보의 분실, 도난, 유출(이하 “유출등”이라 한다) 사실을 안 때에는 다음 각 호의 사항을 해당 이용자에게 알리고 개인정보보호위원회 또는 한국인터넷진흥원에 신고하도록 하고 있다.

  • 유출 등이 된 개인정보의 항목
  • 유출 등이 발생한 시점
  • 이용자가 취할 수 있는 조치
  • 정보통신서비스 제공자들의 대응 조치
  • 이용자가 상담 등을 접수할 수 있는 부서 및 연락처

단, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 정보통신서비스 제공자등의 인터넷 홈페이지에 30일 이상 게시하는 것으로 통지를 갈음할 수 있고, 천재지변이나 그 밖의 정당한 사유로 홈페이지 게시도 곤란 할 경우 전국 일간지 2곳 이상에 1회 이상 공고하는 것으로 홈페이지 게시를 갈음할 수 있다.