개인정보보호법이 2011년 9월 30일부터 시행된다. 두 달 정도 시간이 남았다. 개인정보보호법은 법 적용을 받지 않는 개인정보의 사각지대를 없애기 위하여 제정되었다. 따라서, 공공/민간을 망라하여 적용되며 전자적 정보에서 수기정보까지 모든 개인정보에 적용된다.

남은 두 달, 개인정보처리자인 기관이나 기업은 무엇을 해야 할까? 먼저 개인정보보호법이 제정된 취지와 목적을 이해하고, 각 조직의 개별적 상황에 개인정보보호법을 적용해야 한다. 그러기 위해서 필요한 사항들을 정리해보았다.

첫째, “왜 이 규정이 생겨났는가?” 하는 법규정의 목적성을 파악해야 한다. 법규정은 일반적이고 포괄적일 수밖에 없으므로, 각각 다른 고유환경에 적용하려면 애매할 수 있다. 개인정보보호법이 명확하게 제시해주는 것은 “목적성”과 “취지”이다. 한국인터넷진흥원 ‘개인정보보호법 조문별 설명자료’를 보면 “개인정보의 무분별한 수집, 유출, 오용, 남용 등으로부터 국민의 권리와 이익을 보호하고 피해를 구제하는 것이 이 법의 궁극적인 목적임”이라는 대목이 있다. 다시 말해서, 개인정보보호법의 목적을 지키기 위해서는 개인정보 수집, 활용을 분별있게 해야 하며, 분별있냐 없냐를 가르는 기준은 국민, 즉 개인정보소유자인 개인정보주체가 동의한 범위 내에서 쓰느냐, 범위를 벗어나느냐가 될 것이다.

둘째, 조직규모가 크면 사회적 기대수준도 올라간다. 대기업과 SOHO사무실에 기대하는 수준은 다를 수밖에 없다. 또한 조직규모가 클수록 고급정보를 많이 보유할 가능성이 높으며 이 개인정보들은 금전을 노린 해커나 내부직원에 의한 유출행위의 타깃이 되게 된다. 특히, 만약 개인정보유출사고가 발생하여 조직이 재판을 받게 되는 상황이 오면, “규모에 맞는 최선의 노력을 다하였느냐?” 가 중요한 판결기준이 된다. 따라서 큰 조직일수록 법규정을 목적성 측면에서 광의로 해석하고 최선의 노력을 다하는 것이 필요하다.

셋째, 현황파악(Discovery)을 해야 한다. 다른 말로는 개인정보에 있어 가시성을 확보한다고도 한다. 개인정보처리자가 어떤 개인정보를 가지고 있는지 파악하지 못하고는 어떤 보안정책도 강제할 수 없다. 조직내 개인정보는 데이터베이스, 파일서버, 직원PC, 이동식저장장치 및 스마트폰까지 다양한 곳에 저장되어 있다. 개인정보가 어디에 얼마나 어떻게 있는지 현황을 파악하고. 어떻게 조회되고 취득되는지, 어떻게 보관되고 어디로 전송 및 유출되는지 라이프사이클에 걸쳐서 현황파악(Discovery)을 해야 한다. 특히, 컴퓨팅파워의 발전으로 데이터베이스와 맞먹는 저장량을 가지고 있으면서도 보안의 사각지대에 놓여있는 PC에 얼마나 많은 고객의 개인정보가 보관되어 있는지 추적해야 하고 지속적으로 삭제권고하거나 암호화 저장여부를 확인해야 한다. DB내 개인정보 현황파악을 위해서는 어떤 테이블에 어떤 개인정보가 있는지 자동적으로 식별할 수 있는 시스템이 필요하다. 또한 현황파악에 있어서 가장 중요한 것은 사각지대를 없애는 것이다. 조직 내 현황파악의 사각지대로는 NT계열 파일서버와 리눅스/유닉스 계열의 파일서버에 보관된 개인정보, 스마트 및 모바일 디바이스에 숨어있는 개인정보 등이 있다.

넷째, 현황파악 후 개인정보를 최소화해야 한다. 헌법 제17조에 의하여 보장되는 개인정보자기결정권을 준수하는 범위가 최소화의 범위이다. “최소화”는 개인정보보호규정의 주요목적성이기도 한다. 개인정보자기결정권은 정보주체만이 개인정보의 공개, 전송, 이용범위를 결정할 수 있다는 권리이며 개인정보 보유조직은 정보주체가 동의한 범위에서만 개인정보를 사용해야 한다. 따라서, 조직은 현황파악 후 개인정보자기결정권의 범위를 벗어난 개인정보는 파기하고 최소화상태가 유지되도록 프로세스를 개선해야 한다.

[1단계: 기존 개인정보의 최소화]
조직내 DB, 파일서버, PC(메일 포함), 스마트폰을 포함한 이동식 저장장치에 저장된 개인정보를 모두 검출하여 불필요한 개인정보를 파기한다.
 
[2단계: 개인정보접근의 최소화]
시스템 및 업무프로세스를 개선하여 개인정보접근권한이 있는 개인정보취급자를 최소화한다.
 
[3단계: 복제의 최소화 - DB접속 후 개인정보의 PC보관방지 기능]
DB에서 개인정보를 조회한 후, PC에 저장하면 순식간에 조직내 개인정보 양은 2배로 증가한다. 만일, 다수의 개인정보취급자들이 지속적으로 DB상 개인정보를 PC및 이동식 저장장치에 저장하게 방치해둔다면 개인정보는 기하급수적으로 양이 늘어나고 분산될 것이다. 따라서, DB접속 후 PC에 저장하는 것을 원천적으로 차단하여 조직내 개인정보 복제를 최소화한다.
 
[4단계: 개인정보 사용의 최소화]
DB의 개인정보는 암호화 및 접근권한 통제로 사용을 최소화하고,
 PC내 개인정보는 권한자의 경우는 암호화하여 저장하고 비권한자의 경우는 파기한다.
 
[5단계: 개인정보 전송의 최소화]
조직 내부와 외부의 접점이 되는 최종유출경로 보안은 중요하다. 개인정보의 최종유출경로는 네트워크, 이동식저장장치, 출력물의 3종류이다. 외부와 연결되는 통로는 특정채널만 사용하여야 하며, 승인된 채널로 전송할 때에도 결재, 기록관리를 실시해야 한다.
       
개인정보 유출을 100% 막을 수는 없다. 하지만 개인정보보호를 위해 최선의 노력을 다하고 있다는 것을 입증한다면 설사 유출사고가 발생했더라도 소송에서 유리한 판정을 받을 수 있다. 개인정보보호법은 39조(손해배상책임) 74조(양벌규정)에서 개인정보처리자가 보호업무에 상당한 주의와 감독을 기울여서 고의와 과실이 없음을 입증할 경우 책임을 묻지 않는다고 명시하고 있다. 개인정보보호법 시행까지 남은 두 달, 규정의 이해를 바탕으로 ‘개인정보 현황파악과 최소화’를 통하여 많은 조직이 ‘보호업무에 상당한 주의와 감독을 기울여서 고의와 과실이 없는 조직’으로 거듭났으면 하는 바람이다.
[소만사 김대환 대표 kdh@somansa.com]