개인정보는 유무형 자산, 현금•물리적 자산처럼 보호 돼야

올 8월 방송통신위원회는 개인정보의 기술적, 관리적 보호조치 기준을 개정하여 발표하였다. 또한 지난 11월에는 인터넷 웹사이트에서 노출되는 개인정보를 신속하게 검색하여 대응하는 개인정보 노출 대응시스템을 구축하고 본격적인 운영을 시작했다. 그 동안 개인정보보호에 대하여 그 중요성은 강조되어 왔지만 정부에서 구체적인 기준을 제시하고 이에 대한 대응을 강화하기 시작한 것은 이번이 처음이다. 이러한 관점에서 2010년은 우리나라 인터넷 문화에서 개인정보보호가 핵심 이슈로 부각될 전망이다. 이에 개인정보보호의 필요성에 대하여 살펴보고 정부의 각종 법, 제도적인 대책 소개와 함께 서비스 제공자인 기업이 개인정보보호를 위하여 반드시 준비 하여야 할 사항에 대하여 살펴보고자 한다. 그리고 마지막으로 개인정보의 기술적, 관리적 보호조치 기준의 중요한 몇 가지를 알아본다.

개인정보보호의 필요성
인터넷을 이용하는 사람이면 누구나 한번쯤 자신의 개인정보를 어쩔 수 없이 서비스 제공자에게 내어줄 수밖에 없는 상황에 빠지는 경험을 하게 된다. 서비스 수혜라는 유혹이 개인정보를 제공하게 되는 결정적인 원인이 되는 경우가 많다. 특히 물건을 구매하고 포인트를 제공받기 위해서나 경품 등의 이벤트에 참여하기 위한 유혹은 대부분의 인터넷 이용자가 벗어나기가 쉬운 일은 아닌 것 같다. 더욱이 이렇게 제공한 개인정보가 일정시간 지나면 머릿속에서 잊혀져 어느 서비스 제공자에게 정보를 제공했는지 조차도 잊어버리는 경우도 많은 것이 현실이다.

정보통신기술의 발달이 가져온 다양한 편리성이 곧 개인정보의 무분별한 수집이나 유통에 있어서도 빛과 그림자라는 양면성에 전개되고 있다. 그 동안 많은 부분에서 빛을 강조해온 것이 사실이다. 최근에 들어서야 그림자를 바라보아야 하는 상황이 강하게 인식되고 있다. 정부에서는 개인정보보호를 위한 법이나 제도를 강화하고 있고 서비스 제공자도 수집한 개인정보를 보호해야 한다는 인식이 크게 개선되고 있다. 이러한 인식이 개선되고 있는 것은 최근 크고 작은 개인정보 유출에 대하여 각 개인들이 보다 적극적으로 그 권리를 찾고자 한데서 찾을 수 있다. 지난 2008년 입사지원자의 정보유출, 2007년 은행 고객 개인정보의 유출, 2009년 게임사의 아이디 및 비밀번호 노출 등 다양한 분야에서 개인정보 유출에 대한 법원의 배상 판결이 이러한 점을 증명하고 있다.

그러나 주변에서는 여전히 개인정보를 제공하는데 있어서 스스로 주의를 게을리 하고 있거나 개인정보를 수집하는 서비스 제공자 역시 그 관리를 소홀히 하는 사례가 많다는 점도 간과해서는 안 될 것으로 보인다. 대기업의 경우는 개인정보 보호에 대한 투자를 강화하고 있으나 내부자에 의한 유출이 증가하고 있고 인력이나 예산이 부족한 많은 중소기업은 개인정보보호의 필요성은 인식하면서도 대안 마련에 소홀히 할 수밖에 없어 귀중한 개인정보의 유출 위험에 노출되어 있다. 개인정보를 수집하고 저장하고 이를 활용하는 것이 용이하게 이뤄지고 많은 양의 개인정보를 축적하기가 편리해졌으나 이에 대한 충분한 보호조치를 하지 않아 인터넷을 통하여 주민등록번호가 노출되기도 하고 불순한 의도를 가진 자에 의하여 많은 양의 개인정보가 거래되기도 한다. 이렇게 노출되는 개인정보는 다른 범죄에 이용되거나 사생활 침해 문제로 이어진다. 정보화 사회는 비대면의 상태에서 개인의 정보를 매개로 서로를 확인한 후 주로 경제적인 활동이 이뤄지므로 개인정보의 도용이나 노출로 인한 피해는 항시 예상되는 것이라고 할 수 있겠다.

개인정보의 유출은 개인에게 정신적인 피해를 줄 뿐만 아니라 경제적인 피해를 주게 되어 정보화 사회의 신뢰가 붕괴를 야기할 수도 있다. 서비스를 제공하는 기업의 입장에서 보면 개인의 정보는 기업의 직접적인 유무형 자산이다. 개인정보는 기업의 마케팅 활동 등과 같은 경영활동에 반드시 필요한 정보이자 귀중한 자산이다. 이러한 자산에 대한 보호는 여타 현금이나 물리적인 자산처럼 보호되어야 한다. 유무형의 자산을 제대로 관리하지 못할 경우 기업에 큰 피해를 가져온다. 마찬가지로 개인정보 또한 소중하게 관리 되어야 할 것이다. 개인정보 유출로 인하여 피해배상 판결이 나고 있는 점을 감안한다면 개인정보보호는 기업의 수익과도 직결된다는 점을 알 수 있다.

특히 기업 간의 경쟁이 치열해짐에 따라 영업의 경쟁력 우위를 점하기 위하여 보유한 개인정보를 제 3자에게 제공하거나 개인정보처리를 위탁하는 사례도 급속하게 증가하고 있어 개인정보의 유출 및 오남용의 가능성이 계속 커지는 양상을 보이고 있다. 또한 최근 들어 기업의 개인정보 유출 피해자들의 대규모 소송이 이어지고 실제로 대부분의 소송에서 피해 배상 판결이 나고 있는 것이 현실이다. 아울러 개인의 입장에서 보면 개인정보의 보호 대상이 과거에는 주민등록번호, 주소, 전화번호 등으로 국한하여 판단하는 경향을 보이고 있었으나 최근에는 신체적 정보, 정신적 정보, 재산적 정보, 사회적 정보 등 그 범주를 다양하게 확대하는 추세를 나타내고 있다.

개인정보보호 법과 제도
개인정보보호의 법적인 근거는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법이라 함)'이다. 행정기관 등 공공기관의 경우 '공공기관의 개인정보보호 등에 관한 법률'에 따른다. 정보통신망법은 신규 서비스 보급 및 이용 확산, 개인 정보의 오남용 사례의 증가 등 정보통신 환경의 변화에 따라 새롭게 등장하는 문제를 보다 적극적으로 대처하기 위하여 여러 차례 개정되었다. 그 동안 법의 주요 규정은 개인정보의 분실, 도난, 누출, 변조, 훼손을 방지하기 위한 원칙과 기준 등을 제시했던 것에 주력하였으나 해킹 등 외부 공격에 의한 개인정보 유출과 유출된 개인정보를 활용한 2차 피해가 확산되는 문제점 등이 대두됨에 따라 최근 법 개정을 통하여 보다 확대된 개인 정보의 기술적, 관리적 보호 조치 기준이 새로이 마련되었다. 최근 개정된 기준에는 개인정보처리시스템에 접근하는 개인정보 취급자의 접근통제규칙을 상세히 하고, 침해대응을 위하여 개인정보취급자의 접속기록의 관리, 감독을 강화하고, 민감한 개인정보의 불법 사용을 방지하기 위한 개인정보의 암호화 등 반드시 준수하여야 하는 등의 의무사항 등을 구체화 하였다.

이에 따라 정보통신서비스 사업자뿐만 아니라 대통령령으로 정하는 정보통신 서비스 제공자 외의 자도 개인정보의 기술적, 관리적 보호 조치 기준을 따라 개인정보 보호 조치를 해야 한다. 특히 2010년 1월 29일부터는 주민등록번호, 신용카드번호, 계좌번호에 대하여는 반드시 암호화하여 저장하여야 하며 이를 PC에 저장할 때에도 암호화해야 한다. 사실상 2010년부터 개인정보보호에 대한 구체적인 조치가 시행된다고 볼 수 있겠다. 최근 한 통신회사에 대한 개인정보 피해 배상 판결에서 기술적 의무 조치를 취하지 않은 점을 들어 배상 판결이 나왔다는 점은 그 만큼 기업에게 개인정보보호 조치의 의무를 물은 경우라고 할 수 있다.

개인정보보호 관련 법 체계
정보통신서비스 제공자, 정보통신서비스 제공자로부터 개인정보를 제공받은 자, 개인정보 수집 및 취급 등을 위탁 받은 자 등은 당연히 조치 기준에 따라야 하고 대통령령으로 정하는 정보통신 서비스 제공자 외의 자의 경우에서도 이를 준용하여야 한다. 법에서 정하고 있는 개인정보는 어디까지 일까?. 법에서 정하고 있는 개인정보는 개인의 성명, 주민등록번호 등 인적 사항에서부터 사회, 경제적 지위와 상태, 교육, 건강, 의료, 재산, 문화 및 정치적 성향과 같은 내면의 비밀 정보까지 매우 다양하다. 또한 단순히 회원가입이나 서비스 등록을 위해 제공하는 정보뿐만 아니라 서비스 제공과정에서 생성되는 이용자에 대한 정보도 포함된다는 사실을 알아두어야 할 필요가 있다. 아무튼 개인정보의 보호는 21세기 정보화 사회에 있어서 가장근간이 되는 명제가 될 것으로 보인다. 세계적으로도 개인정보보호에 대한 강화 조치가 이뤄지고 있으며 또한 한 국가에 속한 국민의 개인정보가 국경을 넘어 범죄에 이용되는 사례가 속속 출현함에 따라 국제적인 공조의 필요성도 제기되고 있다.

개인정보보호를 위한 기업의 필요 조치
기업이 개인정보 보호를 위하여 취하여야 할 조치나 개인정보 취급을 담당하고 있는 책임자가 소홀히 다룰 수 있는 중요한 몇 가지 사항을 사례를 곁들여 살펴본다. 주요 조치로는 ① 개인정보 수집 및 이용 시 동의 획득, ② 아동의 개인정보 법정대리인의 동의 획득, ③ 과도한 개인정보 수집제한, ④ 개인정보의 목적 이외의 이용 금지, ⑤ 개인정보 제 3자 제공 시 동의 획득, ⑥ 개인정보 취급업무 위탁 시 보호 조치, ⑦개인정보 수집, 이용, 제공 등의 동의 획득 방법, ⑧ 영업의 양수도시 개인정보 이전, ⑨개인정보관리책임자 지정, ⑩ 개인정보취급방침 공개, ⑪ 개인정보 기술적, 관리적 보호 조치, ⑫ 개인정보 파기, ⑬ 이용자의 개인정보에 대한 권리 등이 있다.

① 개인정보 수집 및 이용 시 동의 획득
사업자가 개인 정보를 요구하여 이용하려면 반드시 수집 및 이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유 및 이용기간을 이용자가 개인정보를 사업자에게 제공하기 이전에 쉽게 알 수 있는 형태로 알리고 동의를 할 수 있는 절차를 마련하여야 한다. 이러한 사항을 고지하지 않고 동의를 받지 않은 경우 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해 진다. 특히 개인정보를 이용하려고 수집하는 경우 온라인이나 오프라인을 불문하고 이용자의 개인정보를 사업자가 요구하는 모든 경우를 말한다. 예를 들어 경품행사 등 이벤트 행사 시 성명, 휴대전화번호 등을 요구하는 경우도 이에 해당된다. 그리고 알려야 하는 사항은 구체적이고 상세하게 하여야 한다. 예를 들어 수집하는 목적에 있어서는 본인확인, 고지사항 전달, 물품배송 등과 같이 각각의 이용 목적에 대하여 개별적으로 명기하여야 한다.

② 아동의 개인정보 법정대리인의 동의 획득
14세 미만의 아동을 대상으로 영업을 하는 사업자가 아동의 개인정보를 수집, 이용, 제공 등의 동의를 받으려면 그 법정 대리인의 동의를 반드시 받아야 한다. 이 경우 아동의 정보 수집은 법정대리인의 동의를 받은 후 가능하므로 동의를 얻기 위해 필요한 법정대리인의 성명, 연락처 등의 최소한의 정보를 요구할 수 있다. 따라서 학교 앞에서 법정대리인의 동의 없이 아동에게 학업정보, 부모직업, 가족관계 등의 개인정보를 수집하여서는 아니 된다. 법정대리인의 동의를 얻지 않고 만 14세 미만의 아동의 개인 정보를 수집한 경우 5년 이하의 징역이나 5천만 원 이하의 벌금에 처한다. 원칙적으로 이용자의 개인정보를 수집하는 경우 정보주체인 해당 이용자의 동의를 받는 것이 원칙이다. 그러나 아동은 개인정보에 관한 인식이 충분치 않고 정보를 평가할 능력이 부족하여 뜻하지 않은 불이익을 당할 수 있기 때문이다. 대부분의 경우 아동의 법정 대리인은 부모라고 할 수 있다. 법정대리인의 동의는 전자서명 된 전자우편의 이용, 제공된 서식에 법정대리인이 직접 서명 날인한 것, 기타 법정 대리인이 진정으로 동의하였음을 확인할 수 있는 합리적인 방법 등을 이용 하여야 한다.

③ 과도한 개인정보 수집제한
사업자는 이용자의 동의 또는 다른 법률의 특별한 규정에 의하지 아니하고 사상, 신념, 과거의 병력 등 민감한 정보를 수집하여서는 아니 된다. 결국 필요한 최소한의 정보만을 수집하여야 한다는 의미이다. 필요한 최소한의 정보 외에 정보를 제공하지 않는다는 이유로 서비스의 제공을 거부하여서는 아니 된다. 예를 들어 정유사 멤버십 카드회원 가입 시 군복무 정보나 학교 정보 등을 요구하는 것은 필요 최소한의 범위를 초과하였다고 볼 수 있다. 이용자의 동의를 받지 아니하고 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 수집하는 경우 5년 이하의 징역이나 5천만 원 이하의 벌금에 처한다. 개인의 권리, 이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 통상적으로 민감 정보라고 하며, 그 예로는 인종 및 민족, 사상, 출신지 및 본적지, 정치적 성향 및 범죄 기록, 과거의 병력 및 성생활과 관련된 정보 등이 있고 이러한 정보는 이용자의 기본적인 인권이 침해될 수 있으므로 수집하여서는 아니 된다.

④ 개인정보의 목적 이외의 이용 금지
개인정보는 이용자로부터 동의 받은 수집, 이용 목적에 한하여 사용되어야 한다. 수집이나 이용 목적이 바뀌는 경우 반드시 이용자에게 별도의 동의를 얻어야 한다. 따라서 환자의 수술 전, 후 사진을 촬영하려는 경우 환자에게 촬영 목적(예를 들어 임상연구 목적 등) 등을 알려 동의를 얻어야 할 것이며, 만약 이렇게 촬영한 사진을 병원 홍보를 위해 이용하려는 경우에도 이용자에게 별도의 동의를 얻어야 한다. 상품 배송의 목적만으로 수집한 개인정보를 자사 상품의 통신판매 광고에 이용하는 경우도 별도의 동의를 얻어야 한다. 동의를 받은 수집이나 이용 목적을 벗어나 이용자의 개인정보를 이용한 경우 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다.

⑤ 개인정보 제3자 제공 시 동의 획득
아파트 관리사무소는 입주민의 관리, 주차업무 등을 위해 주민등록등본, 자동차등록증 등 이용자의 많은 개인정보를 보유하고 있어 각별한 주의가 요구된다. 다른 법률 규정이나 입주민의 동의 없이는 개인정보를 제 3자에게 제공하여서는 아니 된다. 입주민의 동의를 얻는 경우에도 제공받는 자, 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보 항목, 제공받는 자의 개인 정보 보유 및 이용 기간 등 4가지 항목을 알리고 동의를 받아야 하며 고지한 내용이 변경되는 경우 별도의 동의를 받도록 하여야 한다. 이용자의 동의를 받지 않고 개인정보를 제 3자에게 제공하는 경우 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다. 제 3자에는 계열사 등 별도의 법인도 해당된다. 또한 제공이라 함은 이용자의 개인정보를 USB, CD 등 이동저장매체로 제 3자에게 줄 수 있고 외부에서 열람하도록 권한을 주거나 제 3자의 정보시스템과 공유하는 등 개인정보에 대한 사용권한을 제 3자에게 부여하는 것을 의미한다. 대형 할인 마트에서 보험이나 은행의 전화영업을 위하여 고객정보를 보험사나 은행에 제공하는 것도 이용자의 동의를 얻어야 한다.

⑥ 개인정보 취급업무 위탁 시 보호 조치
사업자는 제 3자에게 개인정보의 취급(수집, 보관, 처리, 이용, 제공, 관리, 폐기 등) 업무를 위탁 시 개인정보 취급을 위탁 받는 자(수탁자), 개인정보 취급위탁을 하는 업무의 내용에 대하여 이용자에게 알리고 동의를 얻어야 한다. 할인안내, 신규 멤버십 카드 발급 권유 등의 업무를 외부 업체에 위탁하는 경우 수탁업체에 대해 안전한 개인정보 관리조치(예를 들어, 비밀 유지 조항, 수탁업체 직원의 의무적인 개인정보보호 교육, 정기 보안 감사 등)의 내용을 위탁계약서에 포함시킬 뿐만 아니라 개인정보 취급업무 위탁에 대하여 이용자에게 동의를 얻어야 할 것이다. 이용자의 동의 없이 개인정보의 취급위탁을 한 경우 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처한다. 예를 들어 위탁 받는 자의 경우 알려야 하는 사항은 위탁 받는 업체의 구체적인 명칭이 된다. 업무 내용의 경우 예를 들어 신상품 홍보를 위한 SMS발송 등 텔레마케팅, DM발송, 고객정보DB시스템 운영, 고객불만 접수 등과 같이 알려야 한다. 개인정보취급 업무 위탁에 대한 업무로는 '자동차 매매업자가 자동차 정비 전문 업체에 매매한 차량의 A/S 업무를 위탁', '고객이 작성한 가입신청서의 전산입력을 외부 업체에 아웃소싱', '고객의 불만처리 접수 등을 위해 고객센터를 외부 업체에 위탁' 등이 사례로 볼 수 있다.

⑦ 개인정보 수집, 이용, 제공 등의 동의 획득 방법
사업자가 개인정보를 이용하려고 수집(회원가입, 서비스 계약 체결, 경품 이벤트 행사 등)하거나 제 3자 제공(마케팅 제휴사, 서비스 이행을 위한 경우 등) 혹은 개인정보 취급업무를 위탁하는 경우(텔레마케팅 업무를 제 3자에게 위탁, 개인정보를 수집하는 경품 이벤트를 제 3자에게 위탁 등)에는 예외적인 경우를 제외하고는 반드시 이용자의 동의를 얻어야 한다. 정보통신망법은 인터넷 사이트, 서면, 전자우편, 전화 등을 이용하여 동의를 얻는 방법에 대하여 규정하고 있다. 예를 들어 사업자가 개인정보를 수집하는 경품이벤트를 대행사에 맡겼다면 사업자는 개인정보 수집, 이용과 개인정보취급업무 위탁에 대해 경품 이벤트 응모권 등을 이용하여 동의를 얻는 절차를 마련해야 한다.

⑧ 영업의 양수도 시 개인정보 이전
사업자 간의 영업 양수도 시 통상적으로 고객의 개인정보를 이전하므로 이는 제 3자 제공의 한 형태로 볼 수 있다. 영업양도 및 합병 시 개인정보 이전에 이용자의 동의를 얻도록 한다면 많은 시간과 비용이 들고, 경우에 따라 영업 양도 및 합병 등을 원천적으로 불가능하게 할 수도 있으므로 정보통신망법은 이용자에 대한 통지로 개인정보를 이전할 수 있다. 예를 들어 중고차 사업을 양도하려는 혹은 양도 받는 사업자는 개인정보를 이전하려는 사실, 영업양수자의 성명, 주소, 전화번호 및 그 밖의 연락처, 개인정보의 이전을 원치 아니하는 경우 동의를 철회할 수 있는 방법과 절차를 홈페이지 게시 등 법령에서 정하는 방법에 따라 이용자에게 알려야 한다. 영업양도자 또는 영업양수자가 개인정보 이전 사실을 이용자에게 통지하지 않는 경우 2천만 원 이하의 과태료에 처한다. 알려주는 방법은 인터넷 홈페이지 게시 또는 전자우편, 서면, 모사전송, 전화 등의 방법 중 하나를 이용한다.

⑨ 개인정보관리책임자 지정
정보통신망법을 적용 받는 사업자는 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 반드시 개인정보관리책임자를 지정하여야 한다. 새로이 정보통신망법의 적용 대상된 사업자는 기존의 개인정보 취급업무를 하던 홈페이지 운영담당자나 고객센터담당자가 있다 할지라도 새로이 고객의 개인정보 보호 및 불만처리를 위한 개인정보 관리책임자를 지정하여야 할 것이다. 개인정보 관리책임자를 지정하지 않은 경우 2천만 원 이하의 과태료를 부과한다. 개인정보관리책임자는 회사의 임원이나 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장이어야 한다. 개인정보관리책임자의 담당업무로는 다음과 같은 업무가 될 수 있다.

⑩ 개인정보취급방침 공개
사업자는 이용자의 개인정보를 취급하는 경우에는 개인정보 취급방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 공개하여야 한다. 개인정보취급방침은 사업자의 개인정보 취급 및 보호 현황을 일목요연하게 알 수 있게 하는 자료로서 이용자가 자기정보의 수집, 이용, 제공 여부를 판단하는데 중요한 역할을 한다. 개인정보취급방침에 앞서 본 내용에는 개인정보 수집, 이용, 제공 시 동의를 얻는 경우 알려야 하는 사항뿐만 아니라 파기절차 및 방법, 이용자의 권리 및 행사 방법 등과 같이 개인정보 취급 시 중요한 내용이 포함되어야 한다. 개인정보취급방침을 공개하지 아니하는 경우 2천만 원 이하의 과태료를 부과한다. 공개내용 중 반드시 포함하여야 할 사항으로는 개인정보의 수집, 이용목적, 수집하는 개인정보의 항목 및 수집 방법 등이 있으며 반드시 '개인정보취급방침'이라는 명칭을 사용해야 한다.

⑪ 개인정보 기술적, 관리적 보호 조치
사업자가 개인정보 취급과정에서 고의, 과실을 불문하고 안전하게 관리하지 아니함으로써 개인정보가 유출이나 노출되는 사고가 빈발하여 사회문제로 대두되고 있다. 또한 개인정보가 유출이나 노출될 경우 이로 인하여 명의 도용, 범죄 이용 등 2차적인 침해 발생 가능성이 높다. 사업자는 이용자의 개인정보 취급에 있어 개인정보가 분실, 도난, 누출, 변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적, 관리적 조치를 취해야 한다. 이처럼 입출력 오류 등으로 타인의 정보가 전송된 것은 개인정보의 기술적, 관리적 조치를 취하였다고 볼 수 없으므로 사업자는 재발 방지를 위해 오류의 원인을 파악하여 적절한 조치를 취하여야 한다. 개인정보의 분실, 도난, 누출, 변조 또는 훼손되지 아니 하도록 안전성 확보에 필요한 기술적, 관리적 조치를 취하지 않은 경우 3천만 원 이하의 과태료를 부과한다.

⑫ 개인정보 파기
개인정보의 수집 목적이 달성된 경우 사업자가 가지고 있는 개인정보는 지체 없이 파기하여야 한다. 개인정보는 개인정보 수집 및 목적이 달성된 경우, 이용자에게 고지하거나 동의 받은 보유 및 이용 기간이 종료된 경우, 사업을 폐지하는 경우에 파기하여야 한다. 개인정보 수집 및 이용 목적 달성, 보유 및 이용기간 종료, 사업폐지 후에도 개인정보를 파기하지 아니한 경우에 3천만 원 이하의 과태료를 부과한다. 예를 들어 결혼정보회사 회원이 혼인 또는 변심 등의 사유로 회원을 탈퇴한 경우 지체 없이 회원의 개인정보를 파기하여 더 이상 이용하지 않도록 하여야 한다. 개인정보를 파기하여야 하는 구체적인 사례로는 '이용자가 마트 마일리지 회원탈퇴를 요청하는 경우', '이용자가 초고속인터넷을 해지하는 경우', '이용자에게 개인정보를 수집할 때 동의를 받은 기간이 도래한 경우' 등이 해당될 수 있다.

⑬ 이용자의 개인정보에 대한 권리
정보 주체인 이용자는 자신이 제공한 개인정보가 정확하게 기록되어 사용되는 지 언제든지 확인하고 잘못된 사항이나 변경된 사항을 수정하여, 더 이상의 개인정보 이용을 원하지 않는 경우 개인정보 이용을 중단할 권리가 있다. 정보통신망법에서 사업자는 개인정보에 대한 이용자의 열람, 정정, 삭제 및 동의 철회에 대한 권리를 보장하고 있는 사실을 알리고, 이용자가 이러한 권리를 이행할 수 있도록 사업자가 어떠한 조치를 취하고 있는지에 대해서도 공개를 하여야 한다. 아울러 이용자의 이러한 요구에 대해 지체 없이 적절한 조치를 취해야 한다. 특히 동의의 철회 등을 요구하는 방법은 개인정보의 수집 방법 보다 쉽게 하여야 한다. 이러한 조치를 행하지 않을 경우 3천만 원 이하의 과태료가 부과된다.

개인정보의 기술적, 관리적 보호조치 기준
개인정보의 기술적, 관리적 보호조치 기준(이하 개인정보 보호 기준이라 함)은 정보통신망법 제28조1항 및 같은 법 시행령 제15조 제6항에 따라 정보통신서비스 제공자 등이 이용자의 개인정보를 취급함에 있어서 개인정보가 분실, 도난, 누출, 변조, 훼손 등이 되지 아니하도록 안전성을 확보하기 위하여 취하여야 하는 기술적, 관리적 보호조치의 구체적인 기준을 제시하고 있다. 개인정보 보호기준에는 내부관리계획의 수립 및 시행, 접근 통제, 접속기록의 위, 변조 방지, 개인정보의 암호화, 악성프로그램의 방지, 출력 및 복사 시 보호조치, 개인정보표시 제한 보호조치 등의 내용을 담고 있다. 각 조치 내용 중 사업자가 반드시 알아두어야 할 내용만을 소개하고자 한다.

① 내부관리계획의 수립 및 시행
개인정보보호 조직의 구성과 운영을 위한 관리계획을 수립하여야 한다. 개인정보관리책임자 및 개인정보 취급자의 역할 및 책임도 규정해야 한다. 아울러 이들을 대상으로 매년 2회 이상 관련 교육을 시행하여야 한다.

② 접근통제
개인정보에 대한 접근은 개인정보관리책임자 및 취급자에 한하여야 한다. 인사 이동이 발생하게 되면 즉시 개인정보 접근 권한을 변경하여야 하고 그 관련 기록을 최소 5년간 보관하여야 한다. 특히 개인정보취급자가 사용하는 암호는 10자리 이상으로 작성하여야 한다.

③ 개인정보의 암호화
개인정보는 복호화 되지 않도록 암호화하여 저장하여야 한다. 아울러 정보통신망을 이용하여 송수신할 때도 반드시 암호화 하여 처리하여야 한다. 특히 PC에 저장할 때도 암호화해야 됨을 기억해두어야 한다.

④ 출력 및 복사 시 보호조치
개인정보를 종이로 인쇄하거나 이동가능저장 매체에 복사할 경우 관련 사항을 기록하고 개인정보관리책임자의 사전승인을 받아야 한다. 아울러 개인정보를 조회 출력할 경우 일정 글자 이외의 글자는 개인정보를 알 수 없도록 다른 표시로 표기하여야 한다. 다가오는 2010년은 개인정보보호를 둘러싼 이슈가 보다 증폭될 전망이다. 사업자에 대한 개인정보보호에 대한 조치가 강화되고 개인들의 개인정보보호에 대한 요구가 크게 증가했기 때문이다. 현재 재판에 계류 중인 다양한 사건들도 이러한 사회적 분위기에 영향을 받을 수도 있을 것이다. 아무튼 기업은 개인정보를 수집함에 있어서 사회적 책임을 충분히 인식하고 이에 대한 보안 대책을 서두를 필요가 있을 것으로 판단된다.

<자료제공: 방송통신위원회, 행정안전부, 한국인터넷진흥원, 한국해킹보안협회>
저작권자 © 컴퓨터월드 무단전재 및 재배포 금지