개인정보보호법에 따른 개인정보 관리사항

요즘 개인정보 관련 업무를 하다보니, 직원들에게 어떻게 관리를 해야 하는지 설명 하는 일이 자주 있는데, 매번 물어보는 내용이 비슷해서 일부를 정리해서 블로그에 올린다.

아래 적은 내용들은 실제로 업무를 하면서 내가 여러가지 공개되어져 있는 개인정보보호법, 정보통신망이용촉진및정보보호등에 대한 법률(시행령 등)등을 읽고 개인적으로 판단한 내용들로, 실제 내용과(법률적으로 법조인이 판단하는 내용들과) 다를 수 있음은 이해하고 글을 읽어주길 바란다.

1. 개인정보란?
개인정보는 개인에 관한 정보 중 개인을 식별할 수 있는 정보,
또는 다른 정보들과 결합하여 개인을 알아 볼수 있는 정보이다.

예를들어 개인을 식별할 수 있는 주민등록번호 같은것은 당연히 개인정보에 포함되고,
하나만으로는 개인을 식별할 수 없지만 여러개가 결합되면 개인을 식별 할 수 있는 것,
예를들어 이름과 함께 전화번호, 주소 등이 묶여있다면 이 역시 개인정보가 된다.

개인정보라고 보기 어려운 부분들에 대해서도 개인정보라고 판단하는 판례들이 있는데,
예를들어 휴대폰의 IMEI값(단말기 고유 식별번호, 예를들자면 노트북 시리얼 번호 같은 것)도 휴대폰 번호 등과 함께 개인정보로 판단된 경우가 있었다.
따라서 아직 판례는 없으나 각 회사에서 고객에게 부여한 고객번호와 같은 값도 고객정보라고 판단될 수도 있다.

2. 개인정보 중 민감정보, 고유식별정보는 무엇?

개인정보에도 민감도에 따라 등급이 있는 셈인데,
노출되었을 때 현저한 사생활 침해의 우려가 있는 개인정보는 민감정보,
그리고 그 하나 노출만으로도 개인을 식별할 수 있는 개인정보를 고유 식별정보라 한다.

민감정보에는 사상/신념, 노동조합/정당 가입여부, 건강 정보, 성생활 정보 등이 있고
고유식별정보에는 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가 포함된다.

민감정보와 고유식별정보는 저장하거나 전송시 암호화 등의 안전성 확보가 필요하다!


3. 관리해야 하는 개인정보는 무엇일까? 어디까지일까?

개인정보에 대해 언급하는 패턴들은 각 법률 상 조금씩 다르다.

(2010년 3월 22일, 정보통신망법) 주민번호, 카드번호, 계좌번호

 - 망법에 나온 내용으로 주로 개인을 구별할 수 있는 정보 및 해당 개인의 결제 등에 사용되는 금융정보를 주로 다룬다.

 (실제로 개인정보 유출은 이와 같은 개인 식별정보와 금융정보들이 주로 나간다)

개인정보 유출 사고가 뻥뻥 터진 이후 발효된....

(2010년 11월 22일, 개인정보 보호법) 주민번호, 여권번호, 운전면허 번호, 외국인 등록번호

 - 개인정보보호법이 새로 나오면서, 전체적으로 개인정보를 통칭할 수 있는 정보들에 대해서 언급되었다.

   또한 개인정보를 무언가 만으로 한정지을 수 없기에 커다란 '개인정보'라는 개념 역시 나왔다.

그러나 개인정보와 관련된 여러가지 사건사고가 나고 있다면, 이후에 보수적으로는 1번에서 통칭한 개인을 식별하는 모든 정보는 다 개인정보라고 보여지게 될 가능성이 높다. (관리하는 사람은 점점 광범위한 개인정보의 범위 때문에 힘들어질 것이다;;)

4. 개인정보 사고에 대처하는 자세

1) 개인정보 취급자

 - 사고 나면 5일 이내 유출 사항을 통보/통지하고 신고 해야 함 (1만명 이상인 경우)

   안하면 3천만원 이하 과태료

2) 유출 사고 희생자

 - 피해자가 50명 이상인 경우 개인정보 침해 신고센터 등에 집단 분쟁 조정 신청

5. 기타

1) 개인정보 수집 시 별도의 동의를 받아야 하며, 고유 식별정보는 암호화 해야만 함.

2) 개인정보 처리자는 그 원래 목적 의외의 이용 또는 제3자에게 제공 금지.

  --> 즉 내가 언젠가 무언가 이벤트에 동의 하게 될 때는, 내 정보를 다른곳에 팔아 넘기는지 아닌지 확인할것. 안그러면 스팸 전화나 문자가 와도 할 말이 없어짐. 만약 나는 동의한 적이 없는데 스팸등이 온다면, 신고! (어디서 내 개인정보를 동의 없이 팔아먹었는지 조사 의뢰가 가능함)

3) 수집한 개인정보를 처리할 때에는 수집 출처를 요청 시 알려야함

 --> 즉, 만약 스팸 관련 전화를 받는다면 내 정보를 어디에서 알게 되었는지 물어볼 수 있고 그때 출처를 말해주지 않으면 3천만원 이하 과태료 부과 가능함. (요구 거부시에는 그 근거와 사유를 3일 내에 통보해야만 함)

4) 개인정보가 불필요하게 되었을 때에는 지체없이 파기 해야만 함

--> 즉, 회원 탈퇴 등 이제 더이상 내 개인정보가 불필요하게 되었을 때 5일 이내에 파기해야만 함. (꼭 필요한 사유가 있다면 다른 개인정보와 분리하여 저장하고 관련 근거를 명시해야함) 위반시 3천만원 이하 과태료.

5) 사고 신고 및 기타 문의사항 응대처

 개인정보보호 종합 지원 포탈 : http://www.privacy.go.kr