행정안전부는 9월 30일부터 공공기관, 정보통신사업자 등 일부 사업자에게만 적용되어 왔던 개인정보보호의무가 모든 공공기관, 사업자는 물론
서비스업, 1인 사업자 등 개인정보를 취급하는 350만개 개인정보처리 사업자에게 확대 적용되는 것을 주 내용으로 한 개인정보보호법이 9월 30일
전면 시행됨에 따라 중소업체들은 이에 대해 어떻게 대처해야 할지 어려움을 겪고 있다.
지란지교소프트와 케이사인은 개인정보보호법에
저촉되지 않고, 안정적으로 개인정보를 취급하기 위해 다음과 같은 6대 필수 점검사항을 제시했다.
1. 개인정보 수집은 반드시
사전동의, 사용 후 복구되지 않도록 파기하라
고객 및 회원의 개인정보 수집 시는 반드시 정보주체의 동의를 받아야 한다. 개인정보는 성명,
주민등록번호, 주소, 연락처는 물론 소득, 재산상황, 신용, 부채 등 경제정보, 사회정보(학력, 병력, 직업, 자격), 통신정보(전자우편,
통화내용, 인터넷접속IP), 민감정보(사상, 신념, 노동조합, 건강, 성생활정보 등) 등이 있다. 개인정보 사용 후에는 완벽하게 파기하는 것이
바람직하다
2. 정보주체 권리를 보장하라
정보주체는 자신의 개인정보에 대한 열람, 정정 및 삭제, 처리정지를 요구할 수
있으며, 요구 시 사업자는 별다른 이유가 없는 한 이에 응해야 한다.
3. 개인정보 보관 시 보호장치를 완벽하게 구축하라
개인정보 보관 시 해킹이나 직원에 의한 외부유출 등을 철저히 막아야 한다. 이를 위해서는 웹 상에서 개인정보 유출을 차단하는 웹필터나
PC내에 저장돼 있는 개인정보를 실시간 감시하고 관리할 수 있는 PC필터, DBMS에 저장돼 있는 중요 데이터에 대한 암호화와 접근통제를 통해
자료유출, 위변조를 방지하는 DB 솔루션 등을 설치하는 것이 좋다. 또한, 보안프로그램 같은 기술적 조치와 함께 보관장소 출입통제 등 물리적
조치도 취해야 한다.
4. 개인정보 사고에 대비한 법적 조치를 사전 강구하라
앞으로 개인정보가 유출되지 않더라도. 관리
시에 법적 조치를 마련하지 않는 것으로도 처벌을 받게 된다. 이를 방지하기 위해 내부관리계획을 세워놓아야 하는데, 개인정보 열람청구서나,
개인정보정정, 삭제요구서 등 정보주체들이 쉽게 자신의 정보를 열람, 정정하고 탈퇴할 수 있도록 적법한 절차와 문서를 비치해둬야 한다.
5. 개인정보 수집은 최대한 자제하라
영업이나 마케팅을 위해 수많은 사업자들이 고객DB를 수집, 활용 후 파기하지 않는다.
앞으로는 주민등록번호나 생년월일, 주소, 연락처 등의 개인정보는 가급적 수집하지 않는 것이 바람직하다. 만약 불가피하게 수집할 경우에는
암호화솔루션을 구축해 해킹이나 외부유출로부터 철저하게 차단해야 한다.
6. 실시간 개인정보유출을 감시하라
법에 따라 처리자체가 금지되는 고객이나 회원의 민감한 개인정보(주민등록번호나 사상, 신념, 건강
등)를 실시간 모니터링, 사전에 차단하거나 유출을 막고, 또 유출되더라도 고도의 암호화로 풀 수 없도록 사전조치 하는 것이 중요하다. PC 내
존재하는 개인정보를 실시간 감시하는 ‘PC필터’, 웹에서 감시하는 ‘웹필터’, PC 내 중요 파일들을 암호화해 보관하는 ‘세이프박스’, DB를
암호화해 정보유출을 막는 ‘시큐어DB’, DB접근을 제어하는 ‘패트라’ 등을 구축함으로써 시스템적으로 개인정보를 자동 파악, 파기하거나 별도
보관해 해킹이나 외부유출을 사전 차단해야만 법 위반을 막을 수 있다.
출처 : ITDaily
댓글