개인정보보호법 시행으로 인하여 정보통신서비스제공자뿐만 아니라 개인정보를 다루는 기업이라면 중소기업도 개인정보보호법이 정한 지침을 만들어야 한다.
하지만 개인정보보호에 관한 지침을 만드는 것이 쉽지만은 않은데, 일단 종류를 설명하고 구체적인 내용을 다루어 보기로 한다.
개인정보보호에 관한 지침으로는 1) 개인정보처리방침(개인정보취급방침), 2) 개인정보 안전처리를 위한 내부관리계획, 3) 개인정보안전성확보지침이 있다.
1) 개인정보처리방침(개인정보취급방침)
개인정보처리방침이란 기업이 개인정보 처리에 관한 자신의 내부 방침을 정하여 공개한 자율적 기준이다. 개인정보처리방침은 개인정보보호법 제30조, 시행령 제31조에 그 자세한 내용이 설명되어 있다. 다만, 정보통신서비스 제공자는 개인정보처리방침이라 하지 않고 개인정보취급방침이라고 칭한다(정보통신망법 제27조의2).
개인정보처리방침에는 다음과 같은 10가지 내용이 반드시 포함되어 있어야 한다(필수적 기재사항).
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항
6. 처리하는 개인정보의 항목
7. 개인정보의 파기에 관한 사항
8. 개인정보보호책임자에 관한 사항
9. 개인정보처리방침의 변경에 관한 사항
10. 개인정보의 안전성 확보조치에 관한 사항
위 10가지 사항 이외에 아래 사항은 임의로 포함할 수 있다(임의적 기재사항).
11. 정보주체의 권익침해에 관한 구제방법
12. 개인정보의 열람청구를 접수·처리하는 부서
개인정보처리방침은 제정한 다음 이를 정보주체에게 공개해야 하고, 만일 변경하는 경우에도 정보주체에게 공개해야 한다. 이러한 개인정보처리방침은 ‘이용약관’은 아니므로 기업은 이용약관을 만들어 게재했다고 하여 개인정보처리방침을 생략해서는 아니 된다.
개인정보처리방침을 만들 때는 행정안전부가 제정한 ‘표준 개인정보 보호지침’를 참조하거나 또는 개인정보보호 종합지원포털(http://www.privacy.go.kr)에 방문하여 지원을 받을 수 있다.
2) 개인정보안전처리를 위한 내부관리계획
개인정보안전처리를 위한 내부관리계획(이하 ‘내부관리계획’이라 함)은 개인정보보호법 제29조, 시행령 제30조에 근거를 두고 있다. 내부관리계획이란 기업이 개인정보를 안전하게 처리하기 위하여 내부 의사결정절차를 통하여 수립·시행하는 내부 기준을 의미하는데, 개인정보의 안전성확보조치 중 관리적 보호조치로 분류된다.
내부관리계획은 개인정보 주체에 알리는 것이 아니라 개인정보를 다루는 내부 임직원 및 관련자에게 공지하고 강제하는 점에서 개인정보 주체에게 공개하는 개인정보처리방침과는 구분된다.
내부관리계획은 개인정보 보호조직의 구성 및 운영에 관한 사항이 포함되어 있어야 하는데, 구체적으로는 아래와 같다.
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보의 안전성 확보에 필요한 조치에 관한 사항
4. 개인정보취급자에 대한 교육에 관한 사항
5. 기타 개인정보 보호를 위하여 필요한 사항
내부관리계획은 경영진에 대한 보고, 경영진의 승인 및 결재를 거쳐 내부적으로 시행되어야 하며, 관련 법령이 변경되는 때에는 계획을 변경하여 즉시 반영해야 하고, 기업의 전 직원뿐만 아니라 개인정보의 수탁업체도 준수할 수 있게 공개·교육해야 한다.
3) 개인정보안전성확보지침
개인정보안전성확보지침은 개인정보의 안전성 확보를 위한 기술적인 기준을 의미하는데, 내부관리계획이 안전성확보조치 중 관리적 보호조치라면, 개인정보안전성확보지침은 기술적·물리적 보호조치라 할 수 있다.
개인정보안전성확보지침은 내부관리계획과 별도로 제정해도 되지만 내부관리계획에 포함해도 무방하다. 반대로 개인정보안전성확보지침에 내부관리계획을 포함해도 된다.
개인정보안전성확보지침에는 다음과 같은 사항이 포함되어 있어야 한다.
1. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 및 비밀번호 관리에 대한 사항
2. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치에 대한 사항
3. 개인정보 침해사고의 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치에 대한 사항
4. 개인정보에 대한 보안프로그램의 설치 및 갱신에 대한 사항
5. 물리적 접근방지에 관한 조치에 대한 사항
개인정보안전성확보지침을 만들 때에는 행정안전부가 제정한 ‘개인정보의 안전성 확보조치 기준 고시’나 방송통신위원회가 제정한 ‘개인정보의 기술적·관리적 보호조치 기준’을 참조하면 시간을 절약할 수 있다.
* 법무법인 민후 김경환 변호사 작성, 보안뉴스(2013. 1. 21.) 기고.