개인정보보호법에 따른 기업의 개인정보관리
개인정보보호법에 따른 기업의 개인정보관리
최근 기업에서 개인정보 유출 및 관리미비로 인해 보안사고가 발생하는 것이 연일 뉴스를 장식하고 있습니다. 여러 기업들이 이로 인해 수백억 단위의 투자를 놓치기도 하고, 수십억의 과태료를 내야 하는 상황에 처하기도 하였죠. 국내뿐만 아니라 세계적으로도 개인정보보호법이 강화되면서 기업 내 개인정보의 관리가 중대한 화두로 떠오르고 있는데요! 오늘은 변화하고 있는 개인정보보호법의 내용부터 기업이 대응하는 방법까지 알아보도록 하겠습니다.
개인정보보호법이란?
법인이 아닌 살아있는 개인의 정보를 보호하는 법령으로써 성명, 주민등록번호 및 영상 등을 통해서 개인을 특정할 수 있는 정보를 보호하는 것을 말합니다. 개인정보의 주체는 자연인이어야하며, 법인 또는 단체의 정보는 해당되지 않습니다.
개인정보 - 고유식별정보
여권번호, 주민등록번호, 운전면허번호, 외국인등록번호 등 개인의 식별을 위해 개인마다 하나씩 부여되는 정보로 정보의 중요도가 높기 때문에 고유식별정보를 처리하기 위해서는 개인정보처리 이외 추가적인 동의가 필요하며 주민등록번호의 경우 동의여부와 무관하게 법에 의거한 구체적인 처리 근거가 있어야 합니다.
개인정보 - 민감정보
사상, 신념, 인종 및 종교관, 건강정보, 범죄경력, 유전정보, 신체적 정보(지문, 홍채 등) 등 우리 사생활을 침해할 우려가 있는 것을 법으로 정한 개인정보를 개인정보보호법 민감정보라고 합니다.민감정보처리를 위해서도 개인정보처리 동의 이외에도 별도의 정보동의가 필요하며 별도의 법에 의거한 관리 절차(정보보안 솔루션 사용 등)를 따라야 합니다.
개인정보보호법은 사회가 점차 디지털화 되면서 점차 강화되는 추세로 흘러가고 있습니다.
미국에서는 연방개인정보보호법안 ADPPA (American Data Privacy and Protection Act)을 연방법으로 발의하였고 유럽연합에서는 일반 데이터 보호 규칙 GDPR (General Data Protection Regulation) 이미 시행하고 있습니다. 이런 글로벌 추세에 따라 한국의 개인정보에 대한 규정 및 법안도 강화되는 방향으로 흘러가고 있습니다.
개인정보보호법 개정안 - 데이터 3법
국내에서도 지속적으로 개인정보보호에 대한 법률은 강화되고 있습니다. 대표적인 예가 바로 데이터 3법입니다. 데이터3법은 데이터 이용을 관한 개인정보보호법, 정보통신망법, 신용정보법 3가지 법률의 공동 개정안을 통칭하는 단어로 4차 산업혁명 시대를 맞아 IT통신산업의 발전을 유도하면서 기업으로부터 개인의 정보를 보호하기 위해 만들어진 개정안입니다.
데이터 3법 핵심 Point 3가지
데이터 3법을 통한 여러 변화 중에서 우리 기업이 반드시 알아야 할 포인트는 3가지입니다.
기업 및 기관에서 개인정보를 활용하기 용이하게 만들기 위한 개념으로 개인정보를 보안 처리를 통해 개인을 식별할 수 없도록 처리하면 개인의 동의 없이도 연구·개발, 통계 등에 사용이 가능합니다.
개인정보를 통해 개인을 특정하는 행위, 가명정보와 특정정보를 결합해 개인을 특정하는 '재식별' 행위, 마지막으로 보안사고로 인해 보유개인정보 유출로 인한 피해 등이 발생했을 때 기업 전체 매출액의 3%에 해당하는 과징금을 내야 합니다.
본인정보 통합 조회를 제공하고 정보 분석이 가능한 통합 데이터 서비스인 '마이데이터'를 제공하여서 필요에 따라 개인의 정보를 안전한 기관 및 방법을 통해 분석할 수 있도록 제공합니다.
개인정보보호법 위반 리스크
법을 통한 직접적인 손해는 크게 2가지 방향으로 개인정보보호법에 의해 처벌을 받게 됩니다.
개인(담당자) : 5년 이하의 징역 및 5천만 원 이하의 벌금 발생
법인(보유기업) : 최대 기업 전체 매출액의 3%에 해당하는 과징금 발생
또한, 브랜드 신뢰도 하락으로 인한 매출감소, 투자유치 실패 등 다양한 간접적인 손해가 발생합니다. 개인정보보호법 위반사례로 작년 소셜 앱을 서비스하는 T사는 해킹으로 약 15만 명의 유저의 개인정보가 유출되었고 이에 따라 1억5천만원 가량의 과징금이 부과되기도 하였습니다.
기업 내 개인정보 관리방법
이제는 반드시 챙겨야 할 개인정보보호, 어떻게 하면 잘할 수 있을까요?
- 정보수집동의서 따로 받기 - 개인정보, 고유식별정보, 민감정보는 수집 시 따로 동의를 받아야 합니다.
- 정보수집이 필요성 표시 - 개인정보를 수집 시, 수집의 필요성을 가장 명시적으로 나타내어야 합니다.
- 수집 개인정보 관리 - 반드시 기술·관리적 보호조치 기준에 따라 수집된 정보를 관리해야 합니다.
- 개인정보 암호화 : 고유식별번호 및 금융개인정보는 반드시 암호화해서 보관
- 악성코드 방지 : 기업용 악성코드 방지 솔루션을 업무에 참여하는 모든 PC에 설치
- 출력 시 보호조치 : 개인정보 출력 시, 출력 기록 및 워터마크 삽입 등의 보호 조치
- 접근통제 : 비정상적인 유입, 비인가 접속을 방지하는 통제 솔루션 필요
개인정보유출에 대한 피해는 날로 늘어가고 법의 규제는 더 심해지고 있습니다. 복잡한 개인정보유출을 한 번에 처리해줄 올인원 PC보안 서비스엑소스피어와 함께 안전한 성장하시기를 기원드립니다. 감사합니다.
개인정보보호법은 사회가 점차 디지털화 되면서 점차 강화되는 추세로 흘러가고 있습니다.
미국에서는 연방개인정보보호법안 ADPPA (American Data Privacy and Protection Act)을 연방법으로 발의하였고 유럽연합에서는 일반 데이터 보호 규칙 GDPR (General Data Protection Regulation) 이미 시행하고 있습니다. 이런 글로벌 추세에 따라 한국의 개인정보에 대한 규정 및 법안도 강화되는 방향으로 흘러가고 있습니다.
법인(보유기업) : 최대 기업 전체 매출액의 3%에 해당하는 과징금 발생
- 정보수집동의서 따로 받기 - 개인정보, 고유식별정보, 민감정보는 수집 시 따로 동의를 받아야 합니다.
- 정보수집이 필요성 표시 - 개인정보를 수집 시, 수집의 필요성을 가장 명시적으로 나타내어야 합니다.
- 수집 개인정보 관리 - 반드시 기술·관리적 보호조치 기준에 따라 수집된 정보를 관리해야 합니다.
- 개인정보 암호화 : 고유식별번호 및 금융개인정보는 반드시 암호화해서 보관
- 악성코드 방지 : 기업용 악성코드 방지 솔루션을 업무에 참여하는 모든 PC에 설치
- 출력 시 보호조치 : 개인정보 출력 시, 출력 기록 및 워터마크 삽입 등의 보호 조치
- 접근통제 : 비정상적인 유입, 비인가 접속을 방지하는 통제 솔루션 필요