개인정보보호법이 6개월의 계도기간을 거쳐 지난 3월 30일부터 본격 시행되어 약 350만개의 모든 공공기관, 사업자, 비영리단체에까지 적용되었으며, 방송통신위원회는 정보통신서비스 제공자에 대한 개인정보보호 체계 강화를 위해 정보통신망법을 개정 2월에 공포하여 8월 18일 본격 시행을 앞두고 있다.
 
최근 몇 년간 개인정보와 관련된 유출 및 침해사고의 증가로 인해 정보주체의 경우 자기정보결정권를 확보하려는 경향이 커지고 있으며, 사업자에게는 대외 신뢰도/이미지 하락 등에 따른 매출 감소 현상 등이 나타나고 있다. 이에 따라 대기업의 경우 개인정보보호에 대해 관심과 투자가 꾸준히 증가하고 있는 추세이나 중소기업의 경우 경영자, 책임자/담당자는 어떻게 대응을 해야 하는지 제대로 인지하지 못하고 있거나 인력 및 예산 부족으로 제대로 된 대응을 하지 못하는 경우가 대다수이다.
 
개인정보보호법 시행과 개정, 정보통신망법 시행 예정에 따라 개인정보보호를 하기 위해서 사업자에게 필요한 준비와 대응방안은 무엇인지 알아보자.
 
첫 번째, 개인정보보호 조직 구성과 책임자 및 관리자(담당자)의 역할 정의
 
개인정보보호 이슈에 따른 핵심 현안을 해결할 수 있는 상호 논의 및 조정 체계가 필요함에도 불구하고 대다수 기업들은 개인정보보호와 관련된 업무에 대한 책임소재를 두고 IT부서와 정보보호 또는 관리부서간의 이해 상충 등 개인정보보호 조직 및 체계를 구성하는데 상당한 어려움을 겪고 있다.
 
따라서, 개인정보보호 조직을 구성하는데 있어 조직간 상호 논의 및 협조 체계를 구성하고 명확한 책임과 역할을 분명하게 정의하는 것이 우선되어야 하며, 경영자의 관심과 지원이 절대적으로 필요한 부분이다.
 
개인정보보호 조직 및 책임과 역할을 정의하기 위한 기본 구성은 다음과 같다.
 
ㆍ개인정보보호위원회를 구성하여 최종적인 총괄 조정 및 책임 역할 부여
ㆍ개인정보보호실무위원회 구성을 통한 개인정보보호 활동 활성화 및 통제 필요에 따른 부서 협력 체계 강화
ㆍ정보보호/개인정보보호의 주무부서 지정 및 각 관련 부서 역할 정의 및 책임 부여
ㆍ각 부서별 관리자 및 담당자 등 실무자 공식 지정
ㆍ전사적으로 전 부서 개인정보보호 책임자, 관리자, 실무 담당자 지정
ㆍ각 부서 단위 업무 중심의 세부적인 개인정보보호 업무 역할 및 책임 정의
 
두 번째, 계획-이행-점검-개선의 프로세스 정의 및 이행
 
개인정보보호 책임자 및 담당자 지정, 개인정보보호 위원회 등 조직이 구성되면 법률을 반영한 정책/지침/절차를 수립하여 내부 구성원이 모두 알 수 있도록 공개하여 이행-점검-개선의 토대를 마련하여야 한다.
 
개인정보보호법 제29조의 안전조치의무 조항에 따라 내부관리계획을 수립하여 시행하여야 하는데 내부관리계획에는 개인정보보호 취급자 지정 및 개인정보보호 책임자 및 개인정보 취급자의 책임과 역할, 개인정보 안전성 확보에 필요한 조치 사항이 포함되어야 한다.
 
개인정보보호 내부관리계획 수립에 따라 계획-이행-점검-개선의 프로세스를 적용하여 교육 및 홍보 활동, 개인정보 흐름 및 위험분석, 개선방안 도출 및 적용, 주기적인 이행과 점검을 통해 문제점을 찾아내고 개선하는 활동을 지속적으로 행하여야 한다.
 
개인정보보호 정책/지침 및 내부관리계획 등 문서만 마련하고 실제 이행 및 점검을 하지 않는다면 무용지물이므로 책임자 및 담당자는 컴플라이언스를 준수하되 조직에 맞게 전 구성원이 실천할 수 있도록 적용성, 유연성 등 Trade-off관계를 감안하여 계획을 수립하여 이행을 하는 것이 중요하고, 이행 및 점검 후에는 이력관리를 하여 개선 할 수 있어야 한다.
 
세 번째, 개인정보 라이프사이클 관리 철저
 
개인정보보호를 위해 사업자들은 ①개인정보의 최소 수집 ②주민등록번호와 건강정보 등 민감정보 수집 금지 및 이용제한 ③수집목적과 다르게 사용하거나 위탁 및 제3자 제공 금지 ④개인정보 처리방침 공개(정보통신망법 적용 사업자는 개인정보 취급방침) ⑤개인정보가 침해사고 등으로 유출되지 않도록 방화벽, 백신, 접근통제 등 기술적 보호조치 이행 ⑥개인정보의 이용목적이 끝난 후에는 반드시 파기 ⑦개인정보 유출 시 즉시 정보주체에게 통보 ⑧CCTV 운영 시 안내판 설치 ⑨개인정보보호 지침 및 문서 구비 ⑩집단분쟁조정, 단체소송에 대비 등 앞서 언급된 의무 사항들을 반드시 준수하는 한편 개인정보를 누가, 언제, 어떻게, 어디에 수집, 저장, 이용, 제공, 파기하고 있는지 개인정보 취급 Process 점검 관리를 철저히 하여 개인정보 유출사고에 대응하여야 한다.
 
네번째, 개인정보보호 인식제고
 
기업의 책임자, 담당자들 중 솔루션만 도입하면 완벽하게 유출사고를 예방할 수 있다고 생각하는 경우가 의외로 많다. 그러나, 최근 개인정보 유출사고 사례를 보면 알 수 있듯 개인정보유출 방지시스템을 구축하여 기술적 보호조치를 했다고 해서 모든 유출사고에 100% 대응할 수 있는 것은 아니다. 개인정보 유출사고의 대부분이 사람에 의해 발생되었다는 점에서 개인정보 라이프사이클의 각 단계별 준수사항에 대한 구성원의 정기적인 교육, 훈련 등을 통해 개인정보보호 인식제고 노력을 함으로써 개인정보 유출사고 예방을 하는 것이 가장 중요한 것이다.
 
이제 개인정보보호는 더 이상 선택이 아닌 조직의 생존을 위한 필수사항이 되었다. 공공기관 및 기업들은 개인정보보호를 위해 개인정보보호 조직 구성 및 정책/지침을 수립하고, 컴플라이언스 측면에서 반드시 준수해야 할 기술적·관리적 보호대책을 인력, 투자비용 등을 고려하여 조직에 맞게 정의하여 내부관리계획을 수립해야 한다. 또한 개인정보보호 인식제고를 기반으로 계획-이행-점검-개선의 프로세스에 따라 사람, 프로세스, 시스템이 유기적으로 결합하여 개인정보를 지속적으로 보호할 수 있도록 체계적으로 노력할 때 비로소 신뢰성 있는 개인정보보호가 이루어질 것이다.
[글. 인포섹 컨설팅사업본부 신현민 수석컨설턴트]