9월 30일 개인정보보호법 시행을 맞는 기업들을 위하여


최근 몇 년간 이어진 개인정보 유출에 이어, 올해 SK컴즈의 네이트-싸이월드 해킹 사건으로 거의 전 국민의 개인정보가 유출되었다는 반응들이 많습니다.

소 잃고 외양간 고친다는 식으로 비난들도 있지만, 지난 3월 말 공포된 개인정보보호법이 이번 주 금요일(30일)부터 시행됩니다. 이에 기업들도 긴장하고 대비를 많이 하고 있을텐데요, 그럼에도 불구하고 앞으로 개인정보보호법과 관련하여 개인 vs. 기업, 혹은 소비자 단체 vs. 기업간 다양한 갈등과 소송, 커뮤니케이션이 일어날 것으로 예상됩니다.

먼저, 개인정보보호법에 담긴 주요 내용부터 살펴보겠습니다. <출처: 디지털데일리>

1. 개인정보 수집 자체 최소화: 주민등록번호, 여권번호 등 고유식별정보의 처리를 원칙적으로 금지.

2. 개인정보 수집시 필요정보 외 선택정보 수집금지: 서비스 제공과 관련이 없는 개인정보 수집 금지.

3. 고유식별정보, 민감정보 처리 원칙적 금지, 수집시 별도동의: 주민번호 등 고유식별정보와 종교, 건강정보 등 민감정보는 원칙적으로 처리 금지. 개인정보 주체가 동의했더라도 별도 동의 받아야 함.

4. 개인정보 위탁자의 수탁자 관리책임 강화: 개인정보 위탁시 고객에게 고지 후 관리책임

5. 암호화, 접근통제 등 개인정보 기술적 보호 조치 적용: 안전성 확보에 필요한 기술적, 물리적 조치 이행하지 않을 시 3000만원 이하 과태료, 이를 지키지 않아 정보 유출 시 2년 이하 징역이나 1000만원 이하 벌금 부과

6. 파기할 개인정보, 예외 보관할 개인정보 사항 숙지: 이미 수집된 개인정보파일 이용 후에는 5일 이내에 개인정보를 복원 불가능한 방법으로 분쇄, 소각해 파기(소프트웨어 사용해 파기 처리). 위반시 3000만원 과태료 부과

7. CCTV등 영상정보처리기기 안내판 설치 등 의무사항 점검

8. 정보주체 개인정보 열람청구: 정보주체는 자신의 개인정보 열람, 정정.삭제, 처리정지를 요구할 수 있도록 정보주체의 권리 강화. 접수 후 10일 이내 조치, 위반 시 3000만원 이하 과태료 부과

9. 개인정보 유출시 통지.집단분쟁조정 대비: 정보주체에게 개인정보 유출사실을 5일 이내 통지, 1만명 이상 유출시 행정안전부나 한국정보화진흥원, 한국인터넷진흥원에 신고하는 것이 의무화


<자세한 내용은 기사 읽기:
개인정보보호법 시대...기업들이 숙지해야할 핵심 체크 리스트는?>

대부분의 항목들을 읽으면서 그런 생각들 드실 겁니다. "아니, 여태 이런 것들도 지켜지지 않았어?"
사실입니다. 지금까지 일어난 다양한 개인정보유출 사건들이 사회적으로 이슈를 일으키긴 했지만, 실제적으로 피해자인 개인(소비자)들은 제대로 보호 받거나 보상을 받지 못했습니다. 그래서 저 개인적으로도 대부분의 항목들은 진작부터 법으로 보호받았어야 하는 부분이란 생각이 듭니다.

그러나 8번 항목에 있어서 만큼은, 개인(소비자)의 권리를 진일보적으로 강화시켜준 부분이란 의견에 공감이 갑니다. 아마 지금까지 대부분의 개인(소비자)들은 자신이 '정보주체'라는 점도 인식하지 못하는 경우가 많았을 것입니다. 저도 마찬가지고요. 어떤 기업의 서비스를 이용하기 위해 기업에서 당연히 요구하는 정보라는 잠재적 동의가 깔려있었다는 생각이 듭니다. 최근 몇 년간의 개인정보유출 사건들이 제대로 피해 보상을 받지 못한 것도 '정보주체'로서 개인(소비자)들이 자신의 권리에 대한 인식이 부족했다는 점도 한 가지 이유가 될 수 있겠습니다. 이제 개인정보보호법이 시행되면 개인(소비자)들은 기업들이 자신의 정보를 어떻게 수집,보관하고 있는지 알 수 있으며, 이에 대해 정정하고 삭제하는 것을 당당하게 요청할 수 있게 됩니다. '정보주체'로서 권리를 찾을 줄 아는 인식이 조금 더 높아질 것으로 기대됩니다.

9번 항목은 어떤가요. 최근 몇 년간 굵직한 개인정보유출 사건들이 많았지만, 그에 비해 대중이 인식하지 못하는 개인정보유출 사건들은 훨씬 더 많습니다. 미디어에서도 개인들에게도 관심도에서 떨어져 운 좋게(?) 넘어간 케이스 입니다. 그런데 크고 작은 개인정보유출 사건들을 살펴보면 공통점이 발견됩니다. 바로 "자발적(?)으로 사건을 공표"한다는 점입니다. 기업들이 가진 수 많은 위기요인 중, 개인정보유출 사건 케이스는 기업들이 발표 시점을 스스로 선택할 수 있는 몇 안되는 경우 중 하나 입니다. 그래서 기업들의 사과문이나 고객 안내문에 자주 등장하는 표현이 바로 "내부 모니터링을 통해 해킹을 당한 사실을 OO일 알았다"는 것이죠. 외부에서는 이런 사건이 발생했는지 알기가 매우 어렵죠. 따라서 법적으로 사건 발생 후 정보주체에게 5일 이내 유출 사실을 공표한다고 Deadline을 지정한 것은 나름 의미가 있다고 생각됩니다. 물론 5일이 충분히 빠른 시간이냐, 아니냐에 대해 기술적인 논란이 있을 수 있으나...어쨌든 지금까지는 기업에서 악의적으로 한다면, 언제까지고 밝히지 않을 수도, 혹은 (가능한) 원하는 시기에 밝힐 수도 있었던 사안에 대해 날짜가 지정이 되었다는 점은 상당히 압박스러울 것으로 예상됩니다.

이에 따라, 기업들의 입장에서는 개인정보보호에 지금보다 훨씬 더 많은 비용을 투입하고 신경써야 할 것 입니다. 가장 먼저 시작해야 할 일은 개인정보보호법에 의거 하되, 해당 기업이 속한 분야와 사업의 특수성에 맞춰
'맞춤형 고객정보 관리 가이드라인'을 구축하는 일이라 판단됩니다. 해당 기업(조직)의 사업 분야, 사업 규모, 고객 수집 정보, 정보주체에 대한 정의, 개인정보 위탁자 유무 및 정의, 현재 고객정보 보호를 위한 보유 기술 등 모든 상황이 다르기 때문입니다. 외부 해킹 뿐만 아니라 내부 직원에 의한 개인정보 유출도 종종 일어난다는 점을 감안하면, 내부 감사 시스템이나 정기적인 외부 감사 서비스를 받는 것도 좋은 방법이 되겠습니다.

또한 현실적인 방법으로 개인정보유출 사건에 대비하여 배상책임보험에 가입하는 것도 좋은 대비책이라 판단됩니다. 개인정보보호법에 따르면 앞으로 피해를 입은 개인(소비자)들은 단체 소송을 제기하는 것이 훨씬 더 용이해 집니다. 배상 책임에 대한 의무를 져야 할 경우에 큰 도움이 되실 것으로 판단됩니다.

이와 함께, 각 기업의 개인정보유출 사건에 대비한 내부 위기요소 진단과 위기 매뉴얼 구축, 커뮤니케이션 가이드라인 및 R&R 구축 등이 구축된다면 시스템적으로는 위기에 대한 준비가 완성이 될 수 있겠습니다. 더욱 완벽한 준비를 위해서는 매뉴얼에 의거해 전사적인 위기관리 시뮬레이션이나 트레이닝 등 훈련을 통해 연습을 하는 것이겠죠.

모든 기업들에게 적용되는 법규인 만큼, 출발점은 동일하다고 생각합니다. 다만, 누가 먼저 학습하고 준비하고 훈련하여 대비하는가에 따라 결과는 천차만별 달라질 것입니다. 지금부터, 준비하세요!

###
  • Favicon of https://explorerjin.tistory.com BlogIcon 김미진 (Jin Kim) 2011.09.27 11:20 신고 ADDR 수정/삭제 답글

    오옷. 코치님 너무나도 인사이트풀한 포스팅 잘 읽었습니다. 앞으로 케이스 스터디를 위해서라도 코치님께서 공유해주신 내용 주지해야겠네요. 감사합니닷! :D

    • Favicon of https://allycho.tistory.com BlogIcon 2011.09.28 13:37 신고 수정/삭제

      함께 스터디해 보아요 :)

  • Favicon of http://www.artistsong.net/tc/ARTISTSONG BlogIcon 송동현 2011.09.27 15:37 ADDR 수정/삭제 답글

    아주 도움이 되었어요~ :)

    • Favicon of https://allycho.tistory.com BlogIcon 2011.09.28 13:38 신고 수정/삭제

      감사합니다, 이사님:)