본문 바로가기
개인정보 (Privacy)

개인정보 취급자의 역할과 자세

by 날으는물고기 2013. 7. 30.

개인정보 취급자의 역할과 자세

“개인정보보호 위한 개인정보 취급자의 자발적인 참여가 중요”


[보안뉴스=이규정 NIA 개인정보보호정책단장] 개인정보 취급자는 개인정보를 활용하여 기관의 부가가치를 향상시키고자 하는 노력과 더불어 처리 부주의로 인한 개인정보 유출·침해 등에 대한 사회적 책임도 동시에 가지고 있음을 인지하고 주의 깊은 개인정보 처리가 요구된다.


최근 언론에 자주 등장하는 이슈 중 하나는 외부로부터의 해킹이나 취급자 관리 부주의로 인한 개인정보 유출사고이다. 사이버 공격이나 관리 소홀로 인한 공공·민간기관의 개인정보 유출사고, 피싱, 스미싱 혹은 본인 모르게 공인인증서 재발급로 인한 침해사고 등이 언론에 빈번하게 보도되고 있다.


2011년 ‘개인정보보호법’이 제정·시행되고 있으나 개인정보보호에 대한 사회적 인식 제고나 홍보 노력이 더욱 필요함을 보여주는 사례이다. 개인정보를 처리하는 기관에서는 개인정보 유출·침해사고가 발생하지 않도록 더욱 주의를 기울여야 하고 개인정보보호에 대한 사회적 책임이 무엇보다도 더욱 강조되고 있다. 특히 개인정보를 수집·이용·조회·관리 등 처리하는 내·외부 직원 및 위탁업체 직원 등의 역할이 매우 중요한 상황이다.


개인정보의 가치

일상의 생활에서 처음 대하는 사람과 혹은 어떤 목적을 가진 모임을 하기 위해서 또는 우리는 만나는 사람이 어떤 사람인가를 미리 알아보기 위해 그 사람의 개인정보를 수집하여 확인하게 된다.


만나는 상대방의 개인정보를 기반으로 그 사람의 특징, 지위 및 최근 동향 등을 확인하여 대응함으로서 상대방에게 좋은 인상을 주거나 만족할 만한 결과를 얻으려고 노력한다. 상대방의 개인정보를 수집하여 좋은 결과가 나올 수 있도록 미리 준비를 하는 것이다. 이때 개인정보는 아주 중요한 가치를 가지게 된다.


이와 마찬가지로 개인정보 취급자는 기관의 목적 달성을 위해 다양한 서비스를 고객에게 제공하고자 서비스를 이용하는 정보주체의 개인정보를 가능한 한 많이 확보하여 편하고 손쉽게 서비스를 제공하려고 노력한다. 그러나 정보주체들은 최소한의 개인정보를 공공 혹은 민간기관에게 제공하고자 하는 경향이 있다.


수집한 정보주체의 개인정보를 활용하여 개인정보 취급자는 다양한 목적으로 이를 이용한다. 그런데 대부분의 개인정보 취급자는 서비스 제공과 직접적으로 관련이 없는 필요 이상의 개인정보를 보유하고 있다. 이러한 특성은 ‘개인정보보호법’ 시행과 함께 개인정보 유출사고가 발생하는 경우 처벌의 대상이 될 수 있다는 사실을 인지한다면, 분명히 개선되어야 할 부분이 되었다.


각 기관에서 정보주체의 개인정보는 해당 기관의 목적 달성에 반드시 필요한 자원임과 동시에 기관의 가치 자체를 결정짓는 중요한 요소라고 할 수 있다. 그러나 원하지 않는 개인정보 유출·침해사고가 발생할 경우 기관의 손실을 발생시킬 수 있는 매우 위험한 요소로 작용할 수도 있다.


개인정보 취급자의 개인정보 활용 및 관리

기관에서의 정보주체 개인정보의 활용은 다양한 서비스 제공을 위한 불가피한 수단으로, 개인정보 취급자는 고객의 개인정보를 수집·이용할 때는 항상 오·남용 및 유출·침해에 대한 주의와 개인의 사생활 비밀보호 및 존엄성을 존중하는 자세로 업무에 활용해야 한다.


개인정보 취급자는 개인정보를 수집·이용·제공할 때 법률에 특별한 규정이 있는 경우를 제외하고는 반드시 정보주체의 동의를 받아야 하며 이에 동의하지 않을 경우 서비스 제공의 불이익을 알려주고 개인정보가 필요하지 않은 최소한의 기본 서비스를 제공해야 한다.


개인정보 수집·이용·제공 동의를 받을 때는 최대한 넓게 포괄적인 동의를 받아서는 아니 되며, 동의를 하지 않는 경우라도 서비스 제공 등을 거부해서는 아니 된다. 고객 이외로부터 수집·이용하는 개인정보에 대해서는 고객의 요구가 있는 경우 그 수집 출처, 수집시 이용목적을 알려야 한다.


또한 개인정보를 저장·보관하는 PC 등에 대해서는 안전성 확보조치가 이루어져야 한다. 주민등록번호 등의 고유식별정보나 개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 민간정보는 법령에서 요구하는 사항을 만족하고 있는지 확인하고 PC 등에 보관·저장할 때 암호화 등의 필요한 안전한 보호조치를 하고 있는지 등 관리를 게을리 하지 않도록 주의를 기울여야 한다.


개인정보 취급자들이 사적 목적에 개인정보를 이용하지 않도록 권한을 차등 부여하고, 개인정보의 오·남용을 방지하기 위한 로그기록(이력관리)은 위·변조 및 분실되지 않도록 최소 6개월 이상 안전하게 관리해야 한다.


개인정보 취급자는 영문·숫자·특수문자 등을 조합하여 8자리 이상 안전한 비밀번호를 설정해야 하며, 사용하고 있는 PC 등에 보안프로그램을 설치해 자동 또는 일 1회 이상 업데이트가 되도록 설정해 악성코드가 설치되지 않도록 해야 한다. 또한 기관에 보관하고 있는 개인정보가 이용목적을 달성하여 불필요한 경우 복구 또는 재생이 불가능하도록 개인정보를 파기해야 한다.


한편, 개인정보를 기관 내부에서 처리하기에는 어려워 외부 위탁을 하는 경우 문서에 의해서 이루어져야 하며 위탁업무 목적 및 범위, 재위탁의 제한, 안전성 확보 조치, 손해배상 등의 책임사항을 분명히 하여 위탁에 대한 관리·감독을 해야 한다.


또한 외부 위탁업체에 대해서 개인정보 유출·침해가 발생하지 않도록 특별히 주의해야 한다. 법률상 양벌규정에 의해 위탁업체에 대한 관리책임이 업무 용역을 위탁한 개인정보 취급자에게도 있기 때문이다.


개인정보 유출·침해 방지를 위한 자세

지금 사회는 개인정보보호가 기관의 생존에 관한 중요한 문제로 부각되기 시작했다. 기관의 개인정보 취급자의 보호조치를 위해 단순히 기술적 보호 제품을 설치함으로써 개인정보보호 문제가 해결될 수는 없으며 기관의 모든 구성원의 개인정보보호 환경 및 안전한 관리 문화가 어우러진 종합적인 대응 조치가 필요하다.


최근 개인정보 유출·침해사고에 대한 법원의 판결사례에서 보듯이 개인정보 유출·침해는 기관의 사활을 좌우할 정도로 피해 보상, 과징금 부담 등 경제적 손실이 발생되고 있으며 또한 유출·침해사고로 인한 기관의 이미지 실추는 고객의 신뢰 상실은 물론 회복하기 힘든 상황으로 진행될 수 있다.


각 기관의 개인정보 보호책임자는 개인정보보호법령을 위반하지 않도록 관리·감독을 철저히 해야 하며, 내부 취급자에 의한 유출·침해가 발생하지 않도록 정기적으로 보호 점검하는 등 각종 보호조치를 취해야 한다.


개인정보가 목적 외의 이용이나 부주의로 인한 유출이 발생되지 않도록 모니터링 및 접속기록 관리 등을 지속적으로 수행함으로서 사고를 미연에 방지하는 효과도 기대할 수 있으며 위반사항이 발견되는 경우 즉시 시정조치 할 수가 있다.


또한 사고발생에 대한 대응조치를 마련하여 기관 내부직원 및 관련 위탁업체 직원에게 사고발생에 대한 신속한 대응이 이루어질 수 있도록 정기적으로 숙지시켜 고객에 대한 불편함을 최소화 하도록 노력해야 한다.


개인정보를 활용하여 기관의 부가가치를 높이기 위해서는 개인정보에 대한 안전한 보호조치가 우선 이루어져야 하는 시대이다. 기관이 보유하고 있는 개인정보가 유출·침해사고가 발생하지 않도록 지속적인 투자와 관심을 가져야 한다. 비록 예기치 않은 해킹사고 등의 외부 공격으로 개인정보 유출·침해사고가 발생하더라도 개인정보 취급자는 이 사실을 숨기려 하지 말고 신속하고 공개적으로 피해를 최소화 할 수 있도록 보호조치를 강구해야 한다.


개인정보의 유출·침해사고는 해커에 의한 외부 공격인 경우보다 기관 내부의 관리 소홀·부주의로 인해 발생하는 경우가 더욱 많음으로 개인정보보호 책임자 및 취급자는 업무와 관련한 개인정보를 처리함에 있어서 유출·침해사고가 발생하지 않도록 주의해야 하며, 기관의 개인정보 처리방침 및 보호규정 등을 준수하도록 해야 한다. 특히 보호조치 활동은 개인정보를 취급하는 담당자가 상사의 지시나


강요에 의한 것이 아닌 스스로의 자발적인 활동으로 이루어질 수 있도록 하는 것이 바람직하다. 개인정보의 유출·침해사고로 인해 발생하는 범죄행위 등은 기관의 경제적 손실뿐만 아니라 국가 차원의 엄청난 사회적 손실 비용과 개인의 정신적·경제적 피해를 발생시키는 주요 위험요인이므로 개인정보를 취급하는 모두가 사전에 이를 방지하려는 노력과 관심이 절실히 필요한 시점이다.


기관에 있어서 개인정보의 안전한 관리는 단순히 고객관리 보호차원을 넘어 기관의 지속 가능한 성장을 위한 핵심요소라 할 수 있다. 이러한 보호활동은 모든 개인정보 취급자가 자발적으로 참여하는 보호환경 속에서 이루어질 것이다.

[글_이 규 정 한국정보화진흥원 개인정보보호정책단장(lkj@nia.or.kr)]



출처 : 보안뉴스

728x90

댓글