최근 네이트 해킹 사태로 개인정보 보호에 대해 관심이 쏠리고 있다. 비록 암호화 되었다고 하지만 이번 네이트 해킹으로 주민등록번호, 성명, 생년월일, 전화번호, 주소 등이 유출됐기 때문이다.
이에 정부는 개인정보보호법 시행을 서두르며 단속에 나섰다. 하지만 개인정보보호법과 시행령에 있는 개념에 모호해 혼란을 겪고 있는 업체들이 많다.
이니텍은 9월30일 개인정보보호법 시행을 앞두고 소규모 사업장에서 꼭 알아야 하는 체크리스트와 궁금증을 정리해 소개했다.
이니텍 측은 보도자료를 통해 “이번에 시행되는 개인정보보호법은 당초 기존 공공사업자 50만 업체에서 모든 공공사업자?비영리단체 350만으로 그 대상이 대폭 확대됐다”라며 “다음과 같은 점을 유심히 살펴 이해할 필요성이 있다”라고 말했다.
1. 이미 수집된 개인정보파일을 이용한 후에는 알아볼 수 없도록 파기
개인정보파일의 경우 많이 보유하고 있으면 있을수록 홍보나 마케팅에 활용할 수 있는 활용도가 높아 쉽게 파기하지 못하고 가지고 있는 중소기업들이 많다. 특히 이벤트 업체나 홍보/마케팅 업체의 경우 한번 수집한 개인정보를 쉽게 파기하지 않는다. 하지만 정보주체의 동의를 받았다고 하더라도 개인정보보호법이 발효되면 이러한 개인정보 역시 보유·이용기간이 끝난 경우, 이용목적을 달성한 경우에는 문서를 분쇄하거나 소각해 파기해야 한다. 만약 컴퓨터에 저장된 문서로 가지고 있는 경우라면 로우 레벨 포맷이나 삭제 소프트웨어를 사용해 처리해야 한다.
2. 개인정보파일은 DB보안 프로그램이나 안전한 방법을 사용하여 보관
개인정보파일은 유출되었을 때 명의도용·불법마케팅·피싱 등에 악용될 수 있으므로 안전한 방법으로 보관하여야 한다. 안전하게 보관하기 위해서는 데이터베이스보안 프로그램을 사용해 암호화하여 보관하는 것이 가장 좋은 방법이다.
3. 계약 철회서?청약철회서?분쟁처리문서처럼 꼭 보관해야 하는 경우에는 예외사항을 준수
기업이 고객의 개인정보가 담긴 계약서, 청약철회서처럼 보관하고 있지 않다면 불이익을 당할 수도 있는 문서를 보관해야 하는 경우에는 법률에서 지정한 예외사항을 숙지하고 이를 준수하는 것이 좋다. 계약·청약철회 등에 관한 기록 5년, 대금 결제 및 재화 등의 공급 기록 5년, 소비자 불안·분쟁처리관등의 기록의 경우 3년을 보관할 수 있다.
4. 개인정보보호에 관한 지침문서를 명확하게 구비
개인정보보호관련 문서를 명확하게 구비 하지 않았다면 개인정보가 유출되는 만약의 사태에 막중한 손해배상책임을 질 수 있다. 그렇기 때문에 기업에 개인정보 열람 청구서, 개인정보정정, 삭제 요구서를 비치하고 인터넷 웹사이트의 경우 회원정보 열람 정정메뉴, 회원탈퇴메뉴, 주문내역확인메뉴를 쉽게 찾을 수 있도록 하는 것이 좋다.
5. 개인정보가 필요하지 않은 민간업체의 경우 무분별한 개인정보 수집 자제
예를 들어 인터넷쇼핑의 경우 물품을 구매하는데 있어 주민등록번호나 생년월일은 필요치 않다. 이러한 정보는 다른 정보와 결합되었을 때 개인을 알아 볼 수 있는 정보에 해당하기 때문에 수집 시 암호화가 필요하다. 암호화를 해야 할 경우 업체에서 비용 부담이나 서버에 부담이 많이 가기 때문에 꼭 필요치 않을 경우에는 주민등록번호 등의 개인정보를 수집하지 않도록 하는 것이 현명하다.
6. 개인정보의 위탁 시 고객에게 동의를 구해야 하며 유출 사고 시 책임 배상
개인정보보호법이 시행되면 개인정보를 위탁할 때 고객들에게 동의를 구해야 한다. 예를들어 만약쇼핑몰 측에서 택배회사에 고객의 개인정보를 위탁하고 배송을 의뢰한 경우라면 고객에게 택배회사로 개인정보가 위탁된다는 사실을 알리고 동의를 구해야 한다. 또한 택배회사의 잘못으로 인해 고객의 개인정보가 유출되어 피해가 발생한 경우, 과거에는 택배회사의 잘못이었지만 개인정보보호법이 실행되면 개인정보를 맡긴 업체 즉 수탁자가 손해배상을 해야 하므로 더 각별한 주의가 필요하다.
위의 주의해야 할 사항이 선뜻 이해되지 않을 수 있다. 이에 대해 이니텍측은 다음과 같은 모의 질문을 만들어 중소규모 사업장들의 이해를 도왔다.
- 소규모의 홍보대행사에 운영하는 최대표는 자신의 회사가 보유하고 있는 기자리스트를 어떻게 처리해야 법에 저촉되지 않고 합법적으로 사용할 수 있는지 물었다.
= 보유하고 있는 기자리스트의 경우 기자의 동의 하에 수집된 개인정보라면 큰 문제는 없다. 그러나 기자의 동의 없이 무단으로 수집·이용되었다면 문제의 원인이 될 수 있다. 또한 기자의 동의 하에 수집된 개인정보라 하더라도 본래의 목적에 맞지 않는 사용은 금해야 하며 개인정보가 포함되어 있다면 암호화하여 보관해야 한다.
- 설문조사를 대행해주는 회사를 운영하고 있는 이모씨는 그 동안 서면으로 진행한 설문조사의 문서자료를 어떻게 처리해야 하는지에 대해 물었다.
= 설문조사의 경우 정보주체에게 개인정보 활용에 대한 명확한 동의를 받았다면 큰 문제가 생기지 않는다. 하지만 동의를 받은 개인정보의 수집 이용목적을 달성하였을 경우나 동의를 받은 개인정보의 보유 이용기간이 끝난 경우에는 문서를 분쇄하거나 소각해 파기해야 한다. 만약 컴퓨터에 저장된 문서로 가지고 있는 경우라면 로우 레벨 포맷이나 삭제 소프트웨어를 사용해 처리해야 한다.
- 보험회사에 다니고 있는 유모씨는 지금까지 보유하고 있는 보험계약철회서를 가지고 있어도 되는지 궁금하다. 혹여 무슨 일이 생길 경우 철회서라 할지라도 보관하고 있어야 하지 않나 하는 생각이 들기 때문이다.
= 계약·청약 철회서의 경우 개인정보보호법에서 정하고 있는 파기원칙에서 예외가 될 수 있다. 바로 전자상거래 등에서의 소비자 보호에 관한 법률이 적용되기 때문인데 이럴 경우에는 기록을 5년간 보관할 수 있도록 법에서 정하고 있다.
- 인터넷 쇼핑몰을 운영하고 있는 양모씨는 택배회사에 의해 종종 발생하는 운송장사고가 자신의 일이 될까 두려워 여러사례를 찾아봤는데 택배회사측에 책임이 있는 경우가 많았지만 개인정보보호법이 시행되면 쇼핑몰쪽에도 문제가 생기지 않을지 의문이 들어 질문을 해왔다.
= 택배회사의 경우 택배를 의뢰하는 회사로부터 고객의 개인정보파일을 넘겨받아 배송업무를 처리하게 된다. 예전에는 배송업무를 처리하는 과정에서 발생하는 개인정보유출관련 사고는 택배회사나 택배기사의 잘못으로 마무리 되는 경우가 많았다. 하지만 개인정보보호법이 시행되면 고객의 개인정보파일을 택배회사에 위탁할 때 고객의 동의를 구해야 함은 물론 배송과정에서 발생하는 개인정보유출사고에 관한 고객의 손해배상까지 책임을 질 수 있기 때문에 꼼꼼한 관리가 필요하다.
- 개인정보보호 책임자를 지정해야 한다고 하는데 모든 기업에 적용이 되는 것인가.
= 모든 기업에 적용되는 부분은 아니다. 공공기관 및 상주하는 종업원 수가 50명 이상이며 개인의 정보를 처리하는 경우에 한해 개인정보보호책임자를 지정하면 된다. 하지만 전문적인 지식과 기술을 가지고 있지 않은 책임자를 지정할 경우 오히려 개인정보보호에 대한 문제가 생길 수 있어 정말 실효성이 있을지는 의문이다.
이니텍은 이번 개인정보보호법 시행과 관련해 소규모 사업장을 위한 제품 개발을 준비중에 있다고 말했다.
[출처:블로터닷넷]