본문 바로가기
privacy/국내

[가이드라인/CPPG] 개인정보보호 상담/해석 사례집

by ramo 2025. 4. 24.

개인정보관리사(CPPG) 시험을 봤을 때

단순히 두음을 암기해서 풀 수 있는 문제는 많지 않았고, 실제 사례 위주의 문제가 꽤 많이 출제됐었다.
샘플 문제를 많이 풀었던 것도 도움이 됐지만, 사례집을 자주 읽었던 것이 시험 합격에 큰 도움이 되었다.

사례집을 읽을 때 시험을 위해 암기해야 한다고 생각하기보다,
‘내가 업무 중에 이런 질문을 받는다면 어떻게 설명할 수 있을까?’라는 시각으로 접근하면 사례들이 훨씬 잘 읽히고, 기억에 잘 남는 것 같다.

아래의 내용은 CPPG를 공부하면서 '개인정보보호 상담 사례집(2020.07)'과 '개인정보 보호법 해석 사례집 1.0(2024.06)' 을 읽고 요약 정리했던 내용이다.

개인정보보호 상담 사례집.pdf
4.48MB
개인정보 보호법 해석 사례집_1.0.pdf
0.86MB

 

목차

     

    < 개인정보보호 상담 사례집 >

    1. 개인정보 상담 사례집

    개인정보보호법은 단순히 법령만 읽어서는 이해하기 어렵다. 실생활에서 발생한 침해 사례를 통해 개인정보보호의 본질을 파악하는 것이 중요하다.

    개인정보 보호 상담 사례집은 실제 상담 및 신고 사례를 정리한 자료로, 실무에 도움이 되는 정보와 함께 개인정보보호 원칙을 확인할 수 있다.

    2. 주요 상담 사례

    개인정보 수집 관련 사례

    • 상담이나 계약 과정에서 불필요하게 가족 정보나 상세 주소 등을 요구하는 경우가 있었다. 이는 수집 목적에 필요한 최소한의 정보만 수집해야 하는 원칙에 위배된다.
    • 계약서에 포함된 동의 항목을 모두 하나로 묶어 일괄 동의를 받는 사례가 있었으며, 이는 항목별로 동의를 명확히 구분해야 한다.
    • 건강검진 과정에서 광고 목적의 개인정보 수집에 동의하지 않으면 검진 자체를 거부한 사례도 있었다. 선택 동의 여부와 관계없이 필수 서비스는 제공되어야 한다.

    개인정보의 제3자 제공 및 공유 문제

    • 공공기관이 민원인의 개인정보를 피민원인에게 제공한 사례가 있었는데, 이는 정당한 법적 근거 없이 이루어진 제공으로 부적절하다.
    • 여행사가 단체 비자 서류 전체를 여행객에게 공유하면서 여권정보가 노출된 사례는, 공유 가능성에 대해 사전 고지가 없었기 때문에 문제가 되었다.
    • 건강검진 결과지를 잘못된 수신자에게 발송한 사례에서는, 개인정보 유출 사실을 즉시 통지하고 후속 조치를 취해야 한다는 점이 중요하다.

    정보보호 조치 미흡 사례

    • 관리자 페이지가 검색을 통해 노출되었던 사례는 접근 제한 조치가 필요하다는 점을 시사한다.
    • 단체 메일 발송 시 수신자 정보를 숨기지 않아 개인정보가 노출된 사례는, 수신자 정보를 반드시 비공개 처리해야 함을 보여준다.
    • 임시 사용자 계정 관리가 부실하여 개인정보 접근 위험이 높아졌던 경우는, 사용자 계정을 주기적으로 정비하고 관리하는 것이 필수적임을 강조한다.

    개인정보 파기 관련 문제

    • 문서를 파쇄하지 않고 그대로 버리거나, 고객 정보가 포함된 종이를 이면지로 사용하는 등 적절한 파기 절차를 지키지 않은 사례가 많았다. 개인정보는 보유 목적이 종료되면 즉시 복구 불가능한 방식으로 파기해야 하며, 문서뿐만 아니라 전산 자료도 포함된다.

    정보주체 권리 침해 사례

    • 회원 탈퇴 요청이나 개인정보 삭제 요청을 처리하지 않거나, 정보 열람·정정 요청에 비합리적으로 대응한 사례는 정보주체의 권리를 정해진 기간 내에 적절히 처리해야 한다는 점을 명확히 한다.

    고유식별정보 처리 제한 위반 사례

    • 주민등록번호를 수집하면서 동의를 받지 않거나, 보관 시 암호화를 하지 않은 사례가 있었다. 주민등록번호는 법령에 근거한 경우에만 수집할 수 있고, 저장할 경우 반드시 암호화를 해야 한다.

    영상정보처리기기 설치 관련 사례

    • CCTV 설치 시 안내판을 부착하지 않거나, 사생활 침해 우려가 있는 위치에 설치한 사례는 공개 장소에 설치하는 경우 반드시 안내판을 설치하고, 설치 목적과 범위, 책임자 정보를 명시해야 함을 보여준다.
    • 매장 홍보를 위한 촬영이나 병원 회복실에 설치된 CCTV는 과도한 촬영으로 문제가 되며, 설치 목적에 부합하지 않는 사용은 지양해야 한다.

    < 개인정보 보호법 해석 사례집 1.0 >

    1. 개인정보 보호법 해석 사례집

    개인정보 보호법은 단어 정의와 조항 이해도 중요하지만, 실제로 어떤 정보가 개인정보에 해당하는지에 대한 판단이 훨씬 중요하다.
    이 사례집은 일상에서 자주 등장하는 의문들, 특히 '이 정보도 개인정보인가요?'와 같은 질문에 대해 명확한 법적 해석을 제공한다.

    2. 개인정보 해당 여부의 판단

    일반 정보와 결합 가능성

    • ID, 결제상품정보, 치아 엑스레이, 지하철 이용정보, 회사 출입기록 등은 단독으로는 특정 개인을 식별하기 어렵지만, 다른 정보와 결합하여 개인을 알아볼 수 있는 경우 개인정보로 본다.
    • 가상자산 지갑주소 또한 실명 정보 등과 결합될 경우 개인정보에 해당한다.

    고유 식별정보 및 민감정보 판단

    • 주민등록번호를 변환한 연계정보(CI)는 고유성이 있어 개인정보에 해당한다.
    • 얼굴 사진은 일반 개인정보이나, 기술적으로 식별을 위한 정보로 활용될 경우 민감정보로 볼 수 있다.
    • 직급별 급여 총액, 통계 정보 등은 개인을 특정할 수 없는 경우 개인정보가 아니다. 단, 특정 직급에 한 명뿐이라면 예외로 판단될 수 있다.

    사망자 관련 정보

    • 사망자의 정보는 원칙적으로 개인정보에 해당하지 않는다. 단, 유족과의 관계 등 살아 있는 자를 식별할 수 있는 정보가 포함된 경우에는 개인정보로 본다.

    3. 영상정보(CCTV) 관련 해석

    열람, 설치, 운영 규정

    • CCTV 열람 요청 시 모자이크 처리 비용은 원칙적으로 정보주체가 부담한다.
    • 영상 보관기간은 최소한의 목적 달성을 위한 기간으로 설정하며, 일반적으로는 30일 이내를 권장한다.
    • 녹화하지 않더라도 운영 중인 경우라면 관리책임자를 반드시 지정해야 한다.

    설치 위치 및 안내판 의무

    • CCTV를 다수 설치한 경우, 출입구 등 주요 위치에 대표 안내판 설치로 대체 가능하다.
    • 민원 대응 목적의 녹음 기능은 법적으로 허용되지 않는다.
    • CCTV 영상 송출은 설치 목적 범위 내에서 가능하며, 모니터 송출도 허용된다.

    열람 및 제3자 활용

    • 보험사와 같이 위임장을 제출한 대리인은 영상 열람이 가능하다.
    • 영상정보를 언론사에 제공하거나 자체 감사에 사용하는 경우, 목적 외 이용 요건을 충족해야 하며, 최소한의 정보만 처리해야 한다.

    4. 가명정보 관련 해석

    가명정보 기준 및 처리

    • 가명정보는 특정 개인을 식별할 수 없도록 처리한 정보다. 단순히 이름이나 주민등록번호를 삭제하는 것만으로는 부족하며, 식별 가능성을 종합적으로 고려해야 한다.

    제공 및 책임 범위

    • 가명정보를 유상 제공하는 것은 가능하나, 상업적 목적 판매는 불가하다.
    • 제3자가 가명정보를 재식별하거나 보안조치를 소홀히 한 경우, 문제 발생 시 제공자는 책임지지 않는다.

    5. 공공서비스 영역의 개인정보 처리

    정보 공개 및 수집 기준

    • 감염병 관련 정보는 필요한 정보만 공개해야 하며, 성명·주소 등은 제외된다.
    • 주민등록번호 수집, 전화번호 전달, 만족도 조사 등은 법령 근거 또는 업무 수행 목적일 경우 동의 없이 가능하다.

    위탁, 감사, 삭제 관련 해석

    • 공공기관은 감사를 위한 목적이라면 직원의 출입기록이나 CCTV를 사용할 수 있으며, 필요한 최소한의 정보만 활용해야 한다.
    • 예방접종 내역은 법령에 따라 수집된 정보로, 정보주체의 요구에 따라 삭제할 수 없다.

    6. 민간사업자 및 기타 영역

    위수탁 계약 및 공개 의무

    • SNS 이벤트를 대행사에 위탁할 경우 문서화된 위수탁 계약 체결과 수탁자 공개 의무가 있다.
    • 개인정보 처리방침에 수탁자 정보를 기재하고, 변경 사항도 지속적으로 업데이트해야 한다.

    민감정보 활용, 홍보 동의, 수집 기간

    • 안면 인식, 지문 등 민감정보는 근로계약 등 정당한 사유 없이 수집할 수 없다.
    • 마케팅 목적의 홍보 자료 제공은 ARS 등 다양한 수단으로 동의 받을 수 있지만, 동의 입증 책임은 개인정보처리자에게 있다.
    • 민간기업은 수집 목적 달성에 필요한 최소한의 기간만 개인정보를 보유해야 한다.