개인정보보호 교육 안내


공공기관과 민간기업은 개인정보 보호법 28조에 따라 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보 취급자에게 정기적으로 필요한 교육을 실시하여야 합니다.

 

교육은 사내(자체)교육, 사이버교육, 위탁교육, 외부강사 초빙 교육 등 해당 기관(기업) 상황을 고려하여 선택하시기 바랍니다.

 

그런데, 최근 개인정보보호 교육과 관련하여 일부에서 교육을 무료로 실시하여 준다 하며 기관(기업)을 방문하여 금융상품을 홍보하는 등 교육과 관련한 피해사례가 있으니 이에 대한 주의가 요구됩니다.

 

안전행정부는 각 기관(기업)에서 개인정보취급자의 개인정보보호 교육을 위해 사이버교육 운영하고 있으며, 각 기관(기업)에서 자체적으로 개인정보보호 교육을 수행할 수 있도록 개인정보보호 교육 및 홍보 자료를 공개제공하고 있습니다. 또한, 외부 강사를 초빙하여 교육을 진행 할 수 있도록 개인정보보호 전문강사단을 운영하고 있으니 이를 활용하여 개인정보보호 교육 실시하여 주시기 바랍니다.



                             ▲  출처:  개인정보보호포털 : privacy.go.kr 





원본 출처: http://www.privacy.go.kr/nns/ntc/selectBoardArticle.do?nttId=5751

관련 포스팅: 개인정보 교육 의무인가? 아닌가?  



신고
Posted by 엔시스




인터넷과 컴퓨터 기술의 발달로 점점 디지털화 되어가고 있다. 스마트폰 사용자 3000만 시대를 맞이하여 보안에 대한 이슈는 기업과 기관 중심에서 개인 사용자 중심으로 변화하고 있다. 그만큼 개인도 보안에 대한 인식의 변화가 필요한 시점이다. 20141월에 카드 3사 개인정보 유출로 인하여 온 나라를 분노케 하였다. 하지만 처벌은 벌금 600만 원이 고작이었다. 이에 개인정보보호법 개정이 이루어지고 점점 강화가 되고 있는 추세이다. 지난 8월 7일에는 주민번호수집법정주의에 따라 법적 근거가 없으면 이제 주민등록번호는 원칙적 수집 금지를 법으로 선언하였다.



이번 호에서는 개인정보를 보호하기 위한 법적 의무 조치 사항이 어떤 것이 있는지 알아 보고자 한다. 여기서 의무조치사항이란 법적으로 반드시 처리해야 하는 사항이기 때문에 위반시에는 처벌과 과태료가 있다는 것도 상기하자. 독자들의 쉽고 빠른 이해를 돕기 위하여 고민하다가 알파벳 PRIVACY 단어를 통하여 개인정보 법적 의무 조치 사항을 설명하고자 한다. 개인정보보호에 다소 궁금증이 해소 되길 기대해 본다.

 

1. P : Personal Information - 개인정보 용어정의 및 범위

 

현장을 다니면서 가장 많이 받은 질문 중에 개인정보의 개념에 대하여 질문하는 분들이 많았다. 개인정보 하면 마치 개인정보=주민등록번호 정도로만 알고 있는 분들이 많은데 그보다 확장된 개념으로 사용된다는 사실을 인지할 필요가 있다. 법에서 알아야 할 개인정보 관련 개념 몇 가지만 짚고 넘어가도록 하자.

 

"개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.” 고 명시하고 있다. 이는 간략하게 두 가지 정도로 나누어 알아보자.

 

첫째, 개인정보는 개인에 대한 정보이며, 법인에 대한 정보는 개인정보가 아니다. 또한 사망자에 대한 정보는 개인정보가 아니다. 살아 있는 자연인에 대한 정보다.

 

둘째, 누구인지를 특정하지 않아도 다른 정보와 결합하여 특정할 수 있으면 개인정보라고 본다. 무슨 말인지 이해가 가지 않을 것이다. 최근 판례 하나를 간단하게 예로 들어 본다.


판례

친목도모를 위한 일명 고스톱4명이서 치고 있었다. 그런데 이중 한 명이 경찰에 신고를 하게 되었다. 경찰은 즉시 출동하였지만 도박 수준은 아니라 훈방 조치하였다. 신고를 당한 나머지 3명은 누가 신고한지 궁금하여 경찰관에게 지속적으로 문의하였다. 경찰관은 처음엔 알려주지 않았지만 마침 신고자가 휴대폰 번호를 2개를 가지고 있어 그중 휴대폰번호 뒤 자리만 알려주었다. 하지만 휴대폰 번호 뒤 4자리만으로도 누가 신고한지 1명을 특정 할 수 있어 나머지 사람들이 항의를 하였다. 이에 특정 1명은 다시 경찰관을 개인정보보호법으로 고소한 사건이다. 판결은 휴대폰번호 뒤 자리도 누구인지를 특정 할 수 있으면 개인정보에 해당된다고 판결되어 경찰관에게 개인정보보호법 위반으로 징역6월에 집행유예1, 사회봉사명령 80시간 (대전지법 논산지원, 2013고단17)

 

개인정보를 이해하기 위해서는 다음 아래 몇 가지 용어에 대한 이해가 필요하다. 아주 간략하게 설명을 하겠다

 

. 개인정보

개인정보는 살아있는 개인에 관한 정보로 다른 정보와 결합하여 누구인지 특정할 수 있어도 개인정보로 볼 수 있다. 예를들어 휴대폰번호 + 주소 + 이름으로 결합하면 개인정보가 가능하다.


. 개인정보처리

개인정보 "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.


. 개인정보처리자

업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. 보통 처리자라고 하면 개인을 지칭 하는 경우가 많은데 기관이나 법인을 보통 지칭한다


. 정보주체

처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.


. 개인정보파일

개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. 여기에는 종이 문서도 개인정보 파일에 포함된다는 사실을 기억하길 바란다. 예를 들어 이력서 20장이 쌓여져 있다면 이것도 개인정보 파일로 본다.

 

. 영상정보처리기기

일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다. 흔히 우리가 말하는 폐쇄회로 (CCTV)라 보면 된다.


간단하게 개인정보보호법에서 자주 사용하는 용어 몇 가지를 알아 보았다. 각 용어마다 세부적인 내용이 더욱 많지만 초보자 눈높이에 맞추어 작성하다 보니 쉽고 짧게 설명하는 것을 이해 바란다


2. R: Relation Of Privacy - 개인정보 라이프 사이클

현장을 둘러보거나 교육을 위해 담당자를 만나보면 다음과 같이 이야기 하는 경우가 있다. “우리는 개인정보가 별로 없는데요.” “저희는 개인정보 취급하지 않아요과연 그럴까? 사람을 상대로 하는 모든 기업과 기관은 어쩔 수 없이 정보주체의 정보인 개인정보를 한 건이라도 취급 처리하게 된다. 결국 누군가와는 상대적인 관계성을 가질 수 밖에 없다는 것이다. 이에 개인정보보호법 제 15조부터 수집, 보관,이용,제공,파기순으로 살펴 보도록 하자.

 

개인정보보호 처리단계별 의무조치 사항중 가장 핵심적인 부분이다. 가능한 쉽게 설명할테니 개념만이라도 이해하길 바란다.

 

개인정보는 정보주체인 개인에 대한 정보를 동의 또는 법률에 근거하여 수집, 이용,보관, 파기를 하는 일련의 정보주체와 처리자간의 관계가 기반이 된다. 법의 취지는 가능한 최소한의 정보만 수집할 것을 권고하고 수집하더라도 법적인 사항을 준수해야 한다. 그 첫 번째 단계가 수집단계이다.

 

. 수집 


A. 개인정보 수집 가능한 경우

i. 정보주체의 동의

ii. 법률에 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

iii.공공기관이 법령등에서 정하는 소관업무의 수행을 위하여 불가피한 경우

iv정보주체와 계약 체결 및 이행을 위하여 불가피하게 필요한 경우

 

대표적인 개인정보 수집 가능한 경우이다. 이때 대부분은 정보주체에 대한 동의를 얻어 수집하는 경우가 가장 많이 이루어지는 형태이다


B. 정보주체동의시 고지사항

i. 수집목적, 수집항목, 보관기간, 거부시 불이익 

 

개인정보를 수집할 근거를 알고 동의를 받을때에는 반드시 정보주체에게 알려야 할 사항이다. 4가지를 법에서 명시하고 있는데 수집목적, 수집항목, 보유기간, 동의하지 않아도 되지만 그럴 때 어떤 불이익이(거부권에 대한 불이익) 있는지를 정보주체에게 알려야 한다.

 

   C. 법률에 근거,-주민번호 법정주의 (2014.08.07)


2013년 8월 6일 법률 개정이 공포가 되고 1년이 지난 2014년 8월 7일 시행이 되었다원칙적 주민등록번호 수집을 금지한다는 내용이다. 만약 수집시에는 법적 근거에 따라 수집할 수 있다는 내용을 골자로 한다. , 과거에는 정보주체 동의가 있으면 수집 가능했던 부분이 이제는 법에서 삭제가 되고 한층 강화가 되었다고 보면 된다정보주체 동의가 있어서 주민등록번호수집에 대해서는 법적 근거가 없다면 수집 할 수 없다는 것이 핵심이다.

   D. 별도동의 

   i. 고유식별정보주민번호여권번호운전자면허번호외국인등록번호

   ii.민감정보 사상,정치적 신념,노동조합,정당가입건강성생활

   iii.홍보,마케팅시

개인정보보호법에서 수집시에 중요한 두 가지 개념이 나오는데 잘 기억하길 바란다두 가지는 바로 고유식별정보민감정보라는 개념이다. 고유식별정보는 위에 언급한 것과 같이 가지를 말하고 있다. 민감정보도 위에 언급한 내용과 같다. 이렇게 고유식별정보와 민감정보를 수집시에는 반드시 별도동의

를 받아야 한다. 여기서 말하는 별도동의란 개인정보 수집목적과 별개로 분리된 동의를 말한다. 또한 홍보, 마케팅을 위한 개인정보 수집시에도 별도동의를 받아야 한다.


 E. 정보주체외로부터 수집한 개인정보 수집출처 고지 (20)


정보주체가 아닌 다른 곳에서 개인정보를 수집하였을 경우, 정보주체가 수집출처를 알고자 요구 할 때는 수집출처를 정보주체에게 알려야 한다. 보통 인터넷에 올린 개인정보를 이용하여 동의 없이 공개된 정보로 생각하고 이용하는 경우가 있는데 오용과 남용을 막기위한 장치이다. 그러니 스스로 개인정보를 공개하였더라도 언제든지 수집출처에 대한 요구를 할 수 있다


. 이용,제공


   A. 위탁 

    i. 위탁 사실을 개인정보처리방침에 공개

   B. 3자제공

    i. 별도동의

    ii.제공받는자, 수집목적, 수집항목, 보관기간, 동의불가 시 불이익


개인정보 적법한 절차에 따라 수집하였다면 그 수집목적내에서 이용이 가능하다이용부분에서 중요한 개념 2가지가 나오는데 위탁‘3자 제공개념이다. 쉽게 설명하면 위탁은 개인정보 취급자 책임 경계내에 있는 개인정보 업무면 위탁이고, 3제공은 개인정보취급자 책임 경계 밖의 개인정보 업무이면 3자 제공으로 보면 된다위탁은 업무효율화나 비용절감을 위해서 내부업무를 자체적으로 처리하지 않고 외부업체나 대리점,위탁점등에 아웃소싱하기 위해 개인정보 취급업무를 위탁하는 경우이고 3자 제공은 기업간의 제휴, 공동마케팅, 공동이벤트 등을 위해 개인정보를 이전하는 경우를 말한다.


정리하면 위탁은 내 업무처리를 위한 것이고, 3자 제공은 개인정보를 제공 받은자의 목적을 위한 것으로 이해하면 된다. 이제 이해가 되는가? 이 개념을 잘 숙지하지 못하면 실무에선 많은 혼란이 오게되니 꼭 숙지하도록 하자


   A. 목적 달성시 즉시파기

   B. 법률규정시 : 법률에 따라 보관 

    i. 전자상거래, 계약체결, 경력증명서: 3, 진료기록부: 10


수집목적에 따라 이용과 제공이 끝나면 보관 할 것인지 파기 할 것인지 고민해야 한다. 수집목적을 달성하면 즉시 파기 할 것을 법에서는 요구하고 있다. 무분별하게 보관하고 있다가 유출가능성으로부터 피해를 최소화 하기 위한 조치이다. 하지만 대부분 실무에서는 보관해야 할 경우가 많다. 이럴경우에는 보관을 해야 할 법적근거를 가지고 보관하면 된다. 이는 처음 개인정보 수집시에 보유기간에 명시한 근거로 보관한다.


. 파기


   A. 전자적파일 복구 불가능천공

   B. 종이 : 소각, 파쇄기




개인정보 목적달성하여 즉시 파기하거나 혹은 개인정보 보유기간이 만료되어 파기시에는 두가지 방법으로 파기를 한다. 먼저 전자적인 파일일 경우에는 저장이 되어 있는 하드디스크나 이동저장장치를 복구 불가능하게 파기 하여야 한다. 구멍을 내거나 전자파를 이용하여 아예 사용하지 못하도록 해야 한다. 보통 로우포멧 등을 하여 삭제 한후 파기 하였다고 하는 경우가 있는데 바람직하지 않다. 가장 좋은 방법은 물리적으로 파기 하는 것이 좋다. 두 번째는 종이의 경우 소각이나 파쇄기를 통하여 파기 처리 한다. 소량의 경우에는 파쇄기를 이용하지만 대량일 경우에는 최근 문서를 전문적으로 파쇄하는 업체도 있어 이용하면 대량의 문서도 파쇄가 가능하다


3. I : Inspection Request (열람청구) : 정보주체 권리보장, 개인정보자기결정권


개인정보보호법은 처리자 입장에서 대응해야할 여러 가지 사항들이 많다. 하지만 정보주체가 자신의 정보를 스스로 결정할 수 있는 개인정보 자기결정권이 법으로 보장되어 있다는 사실을 아는 이는 그다지 많지 않다. 보통 개인정보보호 교육도 개인정보 처리자 입장에서만 교육을 하다보니 정작, 자신의 개인정보를 스스로 어떻게 처리해 달라고 요구하는 권리에 대해서는 잘 모르는 경우가 많다. 법에서는 이러한 정보주체 권리보장도 강화하고 있는데 대표적인 것이 개인정보 열람,정정,삭제,정지 요구권이다


   가. 정보주체의 열람 요구 : 10일 이내, 열람제한이나 거절의 경우 그 사실을 주체에게 알리고

        열람을 제한 하거나 거절

   나. 개인정보 정정, 삭제요구 : 요구 시 10일 이내 조치  

   다. 개인정보 처리 정지요구 : 10일 이내 조치 , 처리 정지된 개인정보는 파기등 조 치 필요  

   라. 집단분쟁조정

   마. 단체소송


자신의 개인정보에 대하여 개인정보 처리자에게 열람을 요구 할 수 있다. 법정서식를 통하여 가능하다. 또한 자신의 개인정보를 정정, 삭제를 요구할 수 있다. 두 경우 모두 요구사항이 있으면 10일 이내에 조치를 하도록 되어 있다. 이는 대부분 홈페이지 회원의 경우 자신의 아이디로 로그인하여 스스로 개인정보를 열람,수정 할 수 있도록 시스템으로 해결 하고 있다. 삭제의 경우는 회원 탈퇴를 하게 되면 개인정보처리자는 삭제조치가 되도록 한다. 일련의 조치가 대부분 홈페이지내에서 이루어지도록 하는 경우가 있지만 개인정보 관련 법정 서식을 이용하여 오프라인으로도 요구가 가능하.


법에서는 정보주체권리보장 중에 이해관계로 인한 충돌이 발생하였을 경우 2가지로 처리하도록 되어 있다. 하나는 집단분쟁조정이고 다른 하나는 단체소송이다. 집단분쟁조정의 경우 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우로 분쟁조정위에 의뢰 또는 신청할 수 있다. 효력은 재판상 화해와 같고 조정이 성립되면 다시 소송을 제기 할 수 없다.


단체소송은 집단분재조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우에는 법원에 권리 침해행위의 금지.중지를 구하는 소송을 제기 할 수 있다. 손해배상 소송과 차이점을 숙지하길 바란다. 흔히 개인정보 유출시 손해배상 단체소송을 하는데 이는 민사소송이다. 법에서 말하는 단체소송은 권리침해행위의 금지.중지하는 소송이다. 혼동 하면 안된다.


4. V : Vulnerable Check -취약점 점검으로 기술적 조치 다해야 함


보통 개인정보처리 업무를 진행하다보면 관리적 부분에 많은 집중을 하게 마련이다. 법도 15조부터 수집동의서부터 파기까지 개인정보 라이프사이클에 따라 명시를 하고 있다. 하지만 관리적 절차에만 신경을 쓰다보면 자칫 기술적조치에 소홀히 할 수 있다. 정부에서는 이런기술적 조치 부분을 고시에 자세히 규정을 해 놓았다. 개인정보보호법에서는 개인정보 기술적,관리적 안정성 확보조치 기준고시로 명시가 되어 있다. 최근에는 고시도 개정이 된 바 있으니 관련자분들은 세심하게 살펴 보길 바란다. 그 세부내용을 살펴보면 다음과 같다.


기술적 취약성 점검으로 인한 안전성 확보조치 고시 기준 마련


   가내부관리계획 (3) : 개인정보보호에 대한 내부관리계획 수립추진전략

   나접근권한관리(4): 업무수행에 대한 권한 차등부여기록3년간 보관

   다접근통제(5) : 접근통제에 대한 명시

   라개인정보 암호화 (6): 개인정보 암호와 의무화 규정에 따라 명시고유식별정보, 비밀번호, 바이오정보전송시저장시 (34의무화)

   마접속기록보관 및 점검(7) : 최소6개월

   바악성 프로그램등 방지 (8): 백신 보안프로그램윈도우 업데이트

   사물리적접근 방지 (9): 물리적 보관장소 출입통제

   아개인정보의 파기 (10): 개인정보 파기소각디가우징


기술적 조치사항은 세부적으로 또 들어가면 복잡해지기 때문에 본 포스팅에서는 간략한 리스트만 나열하기로 한다. 또 다른 기회가 주어진다면 기술적 조치에 대하여 세부적으로 자세히 알아 보기로 하자.


5. A: Action plan of privacy


개인정보보호를 위한 기본적으로 해야 할 대응처리 개인정보 라이프사이클(Life-cycle)외에 법에 규정한 기본적으로 대응해야 할 대표적인 사항이다. 간략하게 핵심만 설명하겠다.


   가개인정보처리방침 수립 공개 (6 -10개 )

   나. 개인정보책임자 지정

   다. 개인정보파일 등록

   라. 개인정보영향평가

   마. 개인정보 유출통지 유출된 항목, 시점, 경위, 피해최소화 및 대응절차, 피해 발생시 신고

        접수할 수 있는 부서 및 연락처


개인정보처리자는 홈페이지 제일 하단에 볼드체로 눈에 띄기 쉽게 개인정보처리방침혹은 취급방침을 수립후 공개를 해야 한다. 정보주체가 자신의 개인정보가 어떻게 처리 되는지 쉽게 파악 할 수 있는 좋은 수단이다. 하지만 현장을 둘러보면 아직도 형식적인 부분이 많아 현행화 해야 하는 부분이 아쉽다. 예를들면 , 위탁이나 3자 제공시 공개 하도록 되어 있는데 무조건 위탁이나 3자 제공은 없다고 해 놓은 경우가 있다. 사실 이는 개인정보 업무중에 위탁업무가 있는지 없는지 제대로 파악이 되지 않음을 반증하고 있는 것이다.


법에서는 개인정보 책임자를 반드시 지정하게끔 되어 있고, 이는 개인정보취급방침에 공개하고록 되어 있다. 그런데 이부분도 형식적인 부분이 많고, 개인정보 유출시 가장 책임이 막중하다는 것을 인지해야 한다. 책임자가 소홀히 해서는 안되는 부분중에 하나다. 경영자나 의사결정자의 인식전환이 가장 필요한 대목이다.


공공기관의 경우 개인정보 파일을 현황 파악하여 안전행정부에 등록을 해야 한다. 민간의 경우에는 의무사항은 아니지만 조직 내 개인정보 파일이 몇 개가 있는지 현황 파악이 되어 있어야 관리가 된다. 현황파악이 되지 않는다는 것은 관리가 되지 않고 있다는 것과 동일하다. 교육시 필자가 가장 많이 질문하는 것중에 하나이다. “담당자님, 혹시 조직내 개인정보 파일은 몇 개인가요? 혹시 누락되거나 불필요한 개인정보가 등록된 것은 아닌가요?” 라고 질문하면 쿨하게 답변하는 분이 그리 많지 않다. 자신도 조직내 개인정보 파일이 정확이 정의되어 분류되지 않았기 때문이다.


개인정보 영향평가는 쉽게 설명하면 개인정보를 취급,처리함에 있어 어떤 영향을 끼치는가에 대한 사전 평가제도이다. 공공기관은 해당조건에 부합이 되면 의무적으로 영향평가기관에 의하여 받아야 한다. 민간기관은 권고사항이다. 물론 민간도 영향평가를 받아도 된다. 개인정보영향평가를 받게 되면 조직내 개인정보 흐름에 대한 모든 현황을 파악할 수 있게 된다.


개인정보 유출 되었을시에는 정보주체에게 통지를 해야 한다. 또한 1만 명 이상일 경우 안전행정부와 한국정보화 진흥원, 한국인터넷진흥원에 신고를 해야 한다. 유출후에는 피해를 최소화 하기 위한 대응책 마련도 진행되어야 한다. 하지만 현실은 조직내 개인정보가 유출되어도 담당자가 모르고 있는 경우가 많으며 전문기관에서 유출에 따른 조치사항을 공문을 받고 아는 경우도 있다. 평소에 신경을 써야 하고 유출시 대응 매뉴얼도 구비해야 신속한 조치를 취할 수 있다.


6. C : Closed-circuit television - CCTV도 개인정보보호에 보호 받을 수 있어.



개인정보보호법에 영상정보처리기기 포함이 되며, 네트워크카메라도 포함 개인정보보호법에는 영상정보처리기기도 포함이 된다. 폐쇄회로텔레비젼 일명 ‘CCTV'. 개인의 사생활이 녹화되어 있는 영상이기 때문에 법에 근거한 것 외에는 설치,저장할 수 없도록 한 것이다


   . 공공기관 + 민간기관

   나법적 설치 기준 마련

 A. 법령에 구체적으로 허용한 경우

 B. 범죄예방 및 수사

 C. 교통단속

 D. 화재예방시설안전

 E. 교통정보 수집 및 분석

 다안내판설치 


CCTV는 불특정 다수인이 이용하는 도로나 공원등에 상기 5가지 외에는 설치 할 수 없도록 규제

하고 있 일상생활에서 CCTV에 많이 노출이 되어 있기 때문에 이에 대한 법적 규정도 엄격하

게 적용이 되고 있다. 또한 CCTV 설치시에는 반드시 규정된 안내판을 설치하여 정보주체로 하여

금 어떠한 목적과 촬영주체가 누구이고 촬영시간은 얼마인지를 안내하는 안내판이다. 일반적으

‘CCTV 촬영 중이라는 문구만 부착하는 경우가 있다. 이는법 위반이다. 해당 규정을 지키지 

않을 경우 1000만 원 이하의 과태료부과가 규정되어 있다.


7. Y: Year-round : 연중계속되는 , 체계적인관리


개인정보보호법에 규정하는 개인정보처리 단계별 조치사항과 그 외 법적 의무사항들은 준수

해 만 한. 이러한 법적준수사항을 지키려면 기존 관행처럼 주먹구구식으로 관리해서는 일회성 

관리 밖에 될수 없. 이는 또 다른 개인정보 유출로 이어지게 된다. 이러한 부분을 제도적으로 

마련한 것이 바로 개인정보보호 관리체계인증하는 제도이다.


 가. PIMS

 나. PIPL 


PIMS는 정보통신망법에 근간을 두고 적용하는 제도이고, PIPL개인정보보호법을 근간으

로 하여 리체계를 수립하여 인증 받는 제도이다. 정보주체에 대한 개인정보를 체계적으로 관리

함으로써 유출에 대한 사전 예방을 강화 할 수 있는 효과를 가져 온다. 혹자는 이 관리체계만 인

증 받으면 모든 것이 완벽한 것으로 오해 할 수 있는데 이는 개인정보를 관리하기 위한 최소한의

관리체계라는 점을 잊지 말아야 한다. 물론 인증시에는 각종 인센티브도 부여를 하고 있다. 하지

만 아직도 컨설팅 비용과 인력부족등으로 중요성을 느끼지만 도입이 안되고 있는 현실이다.


지금까지 개인정보보호에 대하여 간략하게 'PRIVACY'라는 알파벳을 이용하여 살펴 보았다.

그동안 안전행정부지정 개인정보보호전문 강사로 위촉이 되어 200여 공공기관을 다니면서 교육

을 하다보니 '조금 더 쉽고 기억하기 쉽게 전달하는 방법을 없을까?'를 고민하다가 나름대로 만

들어 보았.


부산시민들이 자주 보는 쿨부산 포스팅을 통하여 처음 소개하는 만큼 최소한 PRIVACY 방법론만

큼이라도 숙지한다면 개인정보처리자 입장에서나 정보주체의 입장에서 개인정보 자기결정권 권

리보장 측면서 이해 할 수 있지 않을까 싶다. 나름 쉽게 설명하려고 노력하였는데 독자 여러분

들은 어떻게 느꼈을지 모르겠다. 지면 관계상 더 자세히 다루지 못함을 너그럽게 양해 해 주길 바

란다. 다음 호에는 인정보 피해시 구제할 수 있는 방법에 대하여 알아 보도록 하겠다.


* 본 포스팅은 부산시에서 운영하는 블로그 "쿨부산"에 기고한 글임을 알려 드립니다.


신고
Posted by 엔시스




첨부 파일 : 다운로드 





신고
Posted by 엔시스

개인정보보호법 의무교육에 대하여 여러가지 궁금한 분들이 많은 듯 합니다.. 개인정보가 사회적 이슈가 되다보니 법적인 부분에 대하여 각기업이나 기관 담당자분들이 관심을 가질수 밖에 없는데 이를 강압적인 형태로 마케팅 하는 교육기관등이 있나 봅니다..지금까지 제 경험에 비추어 속시원히 알아 보도록 하겠습니다.  -편집자 주





개인정보 처리자 입장에서 개인정보보호 담당자는 취급자가 조금이라도 개인정보에 대한 개념 인식에서부터 , 업무시 개인정보 '처리'에 대한 업무를 잘 해 주었으면 하는 바램에서 교육에 관심을 가질 수 밖에 없지요. 그러나 대부분이 그렇듯이 법적 근거 기준이 있어서 의무 사항이 아니면 하지 않는 경우가 대부분입니다. 이는 현장을 다녀보면서 느낀바로는 두가지 요인이 있습니다.


1. 법적 근거가 없으면 집체 교육 힘들어


법적 의무 교육이 아니거나 근거 미비의 경우 대부분 집체 교육을 하기 어렵습니다. 그 이유는 집체교육은 직장인 교육의 일환으로 하거나 한꺼번에 임직원을 모집해야 하는 어려움 때문입니다. 기관이나 기업내에 중요한 이슈가 있었을땐 교육은 우선순위에서 밀리는 경우가 대부분입니다. 긴급 이슈사안에 대하여 처리하기위한 업무도 바쁜데 교육을 위한 시간을 따로 할당해야 하기 때문입니다. 하지만 법적인 근거가 제시되면 명분을 제시할 수 있어 담당자의 교육 업무 추진이 수훨합니다. 역으로 생각하면 법적 근거기준이 없으면 집체교육은 어렵다는 이야기 입니다. 이는 온라인 개별 교육은 더 힘들다는 것을 반증하기도 합니다.


2. 담당부서의 업무인데 왜 집체 교육을 통하여 전달 하려하는가?


개인정보 교육의 경우 대부분 취급자가 자신은 개인정보 담당자가 아니라는 생각을 하고 있습니다. 개인정보보호법 제2조에   2. "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다."   고 명시하고 있습니다. 아마도 기관이나 기업에서 개인정보 '취급' , '처리'를 하지 않은 취급자가 과연 몇명이나 있을까요? 대부분 자신이 개인정보 관련 업무처리를 하고 있지만 이는 '개인정보 담당자' 업무로 착각하고 있기 때문이죠. 그러니 바쁜 시간에 왜 자신의 업무를 전 임직원들 대상으로 전달 할려고 하는가에 대한 반감 때문에 애로 사항이 있습니다.  "메일공지나 회람을 통해서도 가능할텐데 ......, " 라는 불만 때문이지요. 그런데 어디 메일이나 회람으로 '개인정보보호법'을 모두 이해 할 수 있다면 법적 의무적인 교육을 할 필요가 없겠지요..개인정보 업무가 쉬워보이지만 공부해야 할 것과 해야할 업무가 굉장히 많다는 사실입니다. 


이 두가지 이유 때문에 개인정보 교육은 진행하기 애로사항이 있다고 담당자들은 토로 합니다. 그럼 과연 개인정보보호에 대한 교육을 법적으로 해야 될까요? 말아야 할까요? 알아보도록 하겠습니다.



개인정보보호 교육  과연 법적 의무교육인가? 아닌가?


지난 8/7일 주민등록번호 수집 법정주의가 시행이 되었습니다. 또한 개정된 개인정보보호법이 지난 3/24일 시행이 되고 있기 때문에 많은 분들이 관심을 가질 수 밖에 없습니다. 또한 법이라는 것은 자주 개정되는 특성이 있어 꾸준히 관심을 가지고 있지 않으면 , 놓칠수 있는 부분이 있어 만약 개인정보 유출시에는 상당한 타격을 입게 됩니다. 이것이 컴플라이언스( 법 준수성)에 관심을 가질 수 밖에 없는 이유가 되죠.


개인정보보호 전문 카페를 통한 8월 한달간 N포털 키워드 유입을 통해 알아 보겠습니다.

안전행정부 개인정보보호 전문강사로 위촉이 되어 있다보니 집체 교육후에 질문이 많습니다. 메일로 , 전화로 일일이 답변 드리지 못해 운영하고 있는 커뮤니티입니다. 개인정보 관련 내용만 다루고 있습니다. 

 

그러던중 아래 그림과 같이 키워드에서 <개인정보보호법 의무교육>  키워드로 많이 검색하는 것 같아 블로그에 포스팅 하게 된 것입니다..



                   ▲  8월 한달간 N포털 개인정보보호 관련 검색유입된 키워드 순위


눈에 띄는 것이 바로 '개인정보보호법 의무교육' 에 대한 부분입니다...그 궁금증을 해소하기 위하여 알아 보았습니다. 우선 대표적인 개인정보보호법과 정보통신망법에 각각 알아보면 다음과 같습니다. 


1. 개인정보보호법


 ① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자(이하 "개인정보취급자"라 한다)에 대하여 적절한 관리·감독을 행하여야 한다.

② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.




개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적(1회 이상)으로 필요한 교육을 실시하여야 한다. 교육은 사내교육, 외부교육, 위탁교육 등 여러 종류가 있을 수 있으나 연간 교육계획을 수립하여 모든 개인정보취급자가 일정 시간 이상 교육에 참여하도록 해야 한다. 또한 개인정보취급자의 지위,직책, 담당 업무의 내용, 업무 숙련도 등에 따라 교육 내용도 각기 달라져야 한다.(개인정보 보호법령 및 지침 고시 해설- 안전행정부)




2. 정보통신망법


"정보통신망 이용촉진 및 정보보호 등에 관한 법률" 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 "개인정보의 기술적, 관리적 보호조치 기준" 제3조(내부관리계획의 수립․시행)

② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보관리책임자 및 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 한다.

1. 교육목적 및 대상

2. 교육 내용

3. 교육 일정 및 방법


개인정보보호 교육의 목적은 정보통신서비스 제공자 등의 사업장 내의 개인정보취급자에게 개인정보보호에 대한 인식을 제고시키고 개인정보보호 대책의 필요성을 이해시키는 것이다. 구현된 기술적, 관리적 보호조치 기준에 대한 정확한 교육 및 훈련 프로그램을 수립하여 이행하여야 한다.

개인정보관리책임자 및 개인정보취급자를 대상으로 매년 정기적으로 2회 이상의 개인정보보호 교육을 실시하여야 한다. 특히, 개인정보취급자가 고객의 개인정보를 훼손, 침해, 누설할 경우에는 중벌에 처해지므로, 교육 시 이러한 점을 개인정보취급자에게 인식시키기 위해 노력해야 한다.




다음은 개인정보보호 교육에 관련된 Q & A 입니다. 잘 살펴 보시고 대응하시면 되겠습니다.



 개인정보 교육의 경우 5인 미만인 소상공인 경우 실시 하지 않아도 되나요? 

 ☞ 아닙니다. 개인정보보호 교육은 직원수와 관계없이 개인정보 수집 , 활용, 처리등 일련의 행위를 하는 모든 곳에서는 필히 실시 하여야 합니다.



 개인정보 교육은 전직원을 대상으로 교육을 진행 하여야 하나요?

 ☞ 개인정보 교육은 개인정보 이용 및 활용등을 실질적으로 취급하는 취급자 대상으로 진행 하시면 됩니다. 그러나 대부분 집체교육등으로 임직원 전체 하는 경우가 많으며, 취급자, 책임자를 구별하여 맞춤형 교육으로도 많이 진행이 됩니다. 조직에서 개인정보 처리업무를 하지 않는 분은 없기 때문입니다. 이유는 포스팅 본문에 '처리' 용어정의를 참고 바랍니다.



개인정보 교육은 1년에 몇회 정도 진행해야 하나요? 

 ☞ '개인정보보호법'이 적용되는 사업장이나 기관의 경우 1년에 1회 이상, '정보통신이용촉진 및 정보보호등에 관한법률' 이 적용되는 사업장에서는 1년에 2회 이상 실시 하여야 합니다.


▲ 개인정보보호법 준수 사업장 : 개인정보를 취급하는 모든 사업장

  정보통신망법 준수 사업장 : 정보통신망을 통해 개인정보 송수신이 이루어지는 사업장 (포털,쇼핑몰등)



개인정보 교육 이수 방법에는 어떤 것들이 있나요? 

 ☞ 안전행정부 개인정보보호 전문 강사 초빙 의뢰 

     사업장내 개인정보 지식이 있는 자를 통한 교육 (자료는 privacy.go.kr 이나 i-privacy.kr 등에서 자료 활용

     온라인 교육 : privacy.go.kr 사이트나 i-privacy.kr 사이트에서 온라인 교육



개인정보 교육 미실시로 인한 과태료는 없나요? 

  ☞ 현재 시행중인 법상으로는 개인정보 교육 미실시로 인한 과태로나 벌칙은 없습니다. 하지만 개인정보 유출사고의 대부분이 교육이 제대로 이루어지지 않아 개인정보 소홀로 사고가 발생하고 있어 사전 예방이 필요합니다. 또한, 개인정보 유출시 안전조치 소홀로 인한 문제가 제기 될 수 있습니다.

 

 

 

개인정보보호 미 교육시 처벌 규정이 없다고 소홀히 하였을 경우, 만약 유출시에는 그에 따르는 책임을 묻는 것은 당연하겠지요. 여러가지 개인정보 실태점검이나 수준진단 점검, 그리고 인증심사시에 반드시 이러한 사항들이 포함된 것을 보더라도 형식적인 교육으로 전락해서는 안될 것입니다.  법적인 근거가 있으니 반드시 교육을 실시하는 것이 유출에 대비하여 좋겠지요..

 

대신 개인정보 교육은 자체교육, 온라인 교육, 외부 전문가초빙등의 다양한 방법이 있으니 잘 참고하시고 , 개인정보 유출에 만전을 기할 수 있도록 해야 겠습니다. 너무 강요에 의한 마케팅과 결합한 교육은 바람직 하지 않다고 생각합니다.  정말 중요한 것은 조직내 개인정보가 유출시 어떻게 대처하고 어떠한 처벌이 있으며, 각 구성원이 인지하고 행동으로 실천하기 위한 방법을 직접 교육을 통하여 전달 하는 것이 목적이기 때문입니다.

 

포털 검색하다가 일부 교육기관에서 교육을 하지 않으면 처벌된다는 식의 강압적인 권유의 글이 많이 보여 참고 차원에서 한번 포스팅 해 보았습니다.  보다 자세한 내용은 개인정보보호 전문 카페 (개인정보 업무와 피해구제,교육등의 정보를 공유하는 카페) 를 참고 하시면 되겠습니다. 감사합니다.  @엔시스.

 

포스팅 참조한 보안뉴스기사 : http://www.boannews.com/media/view.asp?idx=43032&kind=2&search=title&find=%C0%C7%B9%AB%B1%B3%C0%B0

 

11,12,13,14 안정행정부 지정  개인정보보호전문강사

ISMS,PIMS.PIPL 인증심사원

경성대학교 컴퓨터 공학과 외래교수

 

 

 



신고
Posted by 엔시스