[교육][사업자] 개인정보 처리자 실무 - 개인정보 보호 담당자의 업무 첫 번째

A사 개인정보 유출 사고 개요

A사는 약 60만 건의 개인정보 유출 사고로 인해 과징금 68억원과 과태료 2,700만원을 부과받았다. 이 사고의 주요 원인은 다음과 같다.

• 고객인증 시스템 테스트에 사용한 고객 데이터를 삭제하지 않음
• 개인정보 접근 권한 및 접근 통제, 침입 차단, 접속 기록 보존 관리의 부실
• 단종되거나 기술 지원이 종료된 위험 탐지 시스템 사용
• 사고 발생 시 24시간 내 유출 통지를 하지 않음

개인정보보호위원회는 A사가 개인정보 보호를 위한 투자가 부족하고, 고객인증(CAS) 시스템 관리가 부실하여 유출 사고가 발생했다고 판단했다. 이에 따라 개인정보보호위원회는 A사에 다음과 같은 시정 명령을 내렸다.

• 개인정보 보호책임자의 역할과 위상 강화
• 개인정보 보호 조직의 전문성 제고
• 내부관리계획 재정립 및 시스템 점검
• 2차 피해 방지 대책 이행 및 관계부처 보고

이 사례는 기업이 개인정보 보호를 위해 철저한 관리와 보안 조치를 시행해야 한다는 점을 시사한다.

< 내부관리계획의 수립과 운영 >

내부관리계획은 개인정보 처리자가 개인정보를 안전하게 관리하기 위한 내부 문서로, 개인정보 보호 조직 구성, 접근 통제, 교육 수행 등의 기준을 명시한다. 기업은 내부관리계획을 통해 개인정보 유출을 방지하고, 법적 의무를 준수해야 한다.

내부관리계획 수립 절차

1. 개인정보 흐름 및 처리방침, 정보자산, 개인정보 취급 업무 현황 파악
2. 관련 법률 및 의무 조항 검토
3. 내부관리계획 구성안 및 보호 조치 기준 마련
4. 내부관리계획 수립 후 CPO 또는 경영진 승인
5. 사내 개인정보 보호 규정 준수 가이드 제공
6. 정기적인 감사 및 내부관리계획 개정 후 경영진 승인

내부관리계획 주요 내용

• 개인정보 보호책임자 및 취급자 지정과 역할
• 개인정보 안전성 확보 조치 기준
• 수탁사 관리 및 교육
• 개인정보 유출 시 대응 절차
• 개인정보 처리 시스템의 접근 권한 관리 및 접속 기록 점검

기업의 규모에 따라 내부관리계획 수립 의무가 다를 수 있으나, 1만명 미만의 개인정보를 처리하는 소상공인, 개인, 단체는 내부관리계획 수립을 생략할 수 있다.

< 개인정보 보호책임자의 역할과 책임 >

개인정보 보호책임자(CPO)는 개인정보 보호 조직을 총괄하며, 내부관리계획의 수립 및 승인, 개인정보 안전성 확보 조치 기준 이행 등을 책임진다.

개인정보 담당자의 역할

• 개인정보 보호법 개정 사항 반영 및 내부관리계획 개정
• 개인정보 취급자 교육 및 관리 감독
• 개인정보 수집부터 파기까지의 관리 실태 점검

개인정보 취급자의 역할

• 내부관리계획 준수 및 개인정보 보호 활동 참여
• 개인정보 안전성 확보 조치 기준 이행
• 개인정보 유출 방지 및 위법 행위 점검

개인정보처리자는 내부 직원뿐만 아니라 대리점 및 수탁사를 대상으로도 정기적인 개인정보 보호 교육을 실시해야 하며, 교육 계획을 수립하고 교육 자료를 보관해야 한다.

< 개인정보 처리방침의 작성 및 관리 >

개인정보처리자는 정보주체가 언제든지 개인정보 처리 방침을 확인할 수 있도록 이를 홈페이지 등에 공개해야 한다.

개인정보 처리방침 주요 내용

• 개인정보 수집·이용 목적, 항목 및 수집 방법
• 개인정보 제3자 제공 시 제공 대상과 제공 항목
• 개인정보 보유·이용 기간 및 파기 방법
• 개인정보 처리 위탁 시 위탁 내용 및 수탁자 정보
• 개인정보 안전성 확보 조치 사항
• 정보주체의 권리 및 행사 방법
• 개인정보 보호책임자의 연락처

개인정보 처리방침은 정보주체가 쉽게 확인할 수 있도록 글자 크기, 색상 등을 활용하여 명확하게 표시해야 한다.

< 정보주체의 권리 보장 >

정보주체는 자신이 제공한 개인정보의 수집·이용 및 제3자 제공에 대한 동의를 언제든지 철회할 수 있다. 또한, 개인정보 열람·정정 요구권을 행사하여 기업이 보유한 개인정보를 확인하고 오류를 수정할 수 있다.

정보주체의 권리 행사 절차

• 회원 탈퇴 및 서비스 철회를 쉽게 요청할 수 있도록 보장
• 개인정보 삭제 및 수정 요청 시 10일 이내 조치 및 결과 통지
• 만 14세 미만 아동의 개인정보 보호를 위해 법정대리인이 권리 행사 가능

< 개인정보 보호를 위한 추가 고려사항 >

기업은 개인정보 보호를 위해 정기적으로 내부 관리 계획을 점검하고 개선해야 한다. 특히 다음 사항을 고려하여 보안 수준을 강화할 필요가 있다.

1. 정보 시스템 보안 점검: 개인정보가 저장된 파일 서버, 웹 서버, 데이터베이스 서버 등의 보안 상태를 주기적으로 점검
2. 접근 권한 관리: 개인정보 취급자의 접근 권한을 최소화하고, 작업 내역을 기록하여 감시
3. 접속 기록 점검: 개인정보 취급자의 계정, 접속 일시, 접속 IP, 처리한 정보 등을 기록하고 월 1회 이상 점검
4. 암호화 조치: 개인정보 전송 및 저장 시 강력한 암호화 기술을 적용하여 보호
5. 보안 교육 실시: 내부 직원뿐만 아니라 대리점 및 수탁사 직원에게도 개인정보 보호 교육을 정기적으로 실시
6. 비밀번호 정책 강화: 업무용 PC 및 내부 시스템에 대한 강력한 비밀번호 정책 적용

결론

A사의 사례는 개인정보 보호가 부실할 경우 심각한 법적 제재를 받을 수 있음을 보여준다. 기업은 내부관리계획을 수립하고 개인정보 보호책임자의 역할을 강화하는 한편, 정보주체의 권리를 보장해야 한다. 이를 통해 개인정보 보호 수준을 높이고 법적 의무를 충실히 이행할 수 있다.