1. 들어가며
최근 신용평가업체 KCB의 직원이 KB국민카드, 롯데카드, NH농협카드의 고객정보를 1억 580만 건이나 무단으로 유출한 사건이 발생하여 연초부터 나라 전체가 소 띾스럽습니다. 2014. 1. 19.자 모 신문의 기사에 따르면, 기업, 가맹점, 사망자를 제외하고 위 3개 카드사에서 약 8천만 건, 약 2천만 명의 개인정보가 유출되었다고 합니다. 유출된 개인정보에는 성명, 휴대전화번호, 직장전화번호, 자택 전화번호, 주민등록번호, 직장주소, 자택 주소, 직장정보, 주거상황,이용실적금액, 결제계좌, 결제일, 연소득, 신용한도금액, 결혼여부, 자가용 보유 유무, 신용등급, 타사 카드 보유 현황 등 최대 19개에 이른다고 하며, 개인정보 유출 피해자에는 전•현직 대통령, 장차관, 국회의원, 금융당국 최고책임자 등이 포함된 것으로 보아, 아마도 거의 대부분의 국민이 이번 개인정보 유출 사건의 피해자에 포함되는 것 같습니다. 이에 따라 개인정보가 유출된 피해자들이 모여서 위 3개 카드사를 상대로 집단적 소송을 제기하려고 준비 중이며, 2014. 1. 20.경에 는 130여 명이 이번 사건 발생 후 처음으로 위 3개 카드사를 상대로 총 1.1억 원의 위자료를 청구하였다고 합니다.
그러나 2008년 중국인 해커에 의해 약 2천만 명의 개인정보가 유출되었던 옥션을 상대로 약 2만 명이 제기한 손해배상청구 소송에서는 옥션 측의 과실을 인정 하기 어렵다는 이유로 청구가 기각되었고, 수천 명의 보너스 카드 가입자의 개인 정보가 유출된 GS칼텍스를 상대로 한 손해배상청구 소송에서는 구체적 피해가 입증되지 않았다고 하여 기각되었으며, 약 3500만 명의 개인정보가 유출되었던 SK커뮤니케이션즈를 상대로 한 손해배상청구 소송에서는 피해자에게 위자료 20 만 원을 지급하라는 일부 승소 판결이 있었던 사건을 제외하고는 대부분 청구가 기각 또는 각하되는 등, 과거 개인정보 유출로 인한 손해배상청구 소송에서는 기업들의 손해배상책임이 인정되지 않거나 피해자들의 손해가 인정되지 않는 경우 가 맋았습니다. 또한 ⌜개인정보보호법⌟ 제39조에서도 개인정보를 처리하는 기업 이 개인정보 유출에 대한 기업의 고의 또는 과실이 없음을 입증하면 책임을 면할 수 있도록 하고 있고, 기업이 개인정보보호법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리 하지 않았다고 인정되면 손해배상책임을 감경받을 수 있도록 규정하고 있습니다.
따라서 개인정보를 수집하여 영업에 활용할 수밖에 없는 대부분의 기업들로서는 개인정보보호법에서 요구하는 그 '의무'가 무엇인지, 그 의무를 얼마나 이행해야 '상당한 주의와 감독'을 게을리 하지 않는 것인지를 알 필요가 있습니다. 특히 이 번 개인정보 유출 사건으로 인하여 정부는 규제, 감독, 처벌을 더욱 강화하겠다고 이미 공표하였고, 그동안 개인정보보호에 둔감하던 대부분의 국민들도 이번 사건을 계기로 개인정보보호의 중요성을 인식하게 되었으며, 그에 따라 앞으로 소비자들이 기업들에게 요구하는 개인정보보호의 수준은 한층 높아질 것입니다.
이에 따라 아래에서는 개인정보를 수집•활용하는 기업들에게 도움이 될 수 있도록, 기업들이 알아야 할 개인정보보호법의 준수사항에는 어떠한 것이 있고, 어떻게 대응을 하는 것이 바람직한지에 관하여 간단히 살펴보도록 하겠습니다.
2. 개인정보보호법 적용 대상 기업
개인정보보호법은 개인정보 처리에 있어 개인의 사생활의 비밀 등을 보호하기 위 하여 2011. 3. 29. 제정되어 같은 해 9. 30.자로 시행된 법으로서 이제 시행된 지 2년이 조금 넘었습니다. 개인정보보호법은 그동안 공공기관에게만 적용되던 ⌜공 공기관의 개인정보보호에 관한 법률⌟을 대신하여 적용 대상을 민간 기업, 단체, 개인들에게까지 확대시킨 것으로서, '정보주체'인 개인들의 '개인정보'를 보호하기 위하여 그러한 '개인정보'를 '처리'하는 공공기관, 법인, 단체, 개인 등에게 각종 의 무를 부과하고 그에 따른 책임을 묻는 규제법입니다. 따라서 개인정보보호법의 적용 대상 기업들은 대부분 '개인정보'를 '처리'하는 법인이나 단체들이라고 볼 수 있습니다.
그럼 개인정보보호법에서 말하는 '개인정보'는 어떤 것을 말하고 이를 '처리'하는 것은 어떻게 하는 것을 말하는 것일까요?
개인정보보호법 제2조 제1호에서는 '개인정보'띾 “살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다”고 규정하고 있습니다. 즉, 해당 정보를 통해 그 정보가 현재 살아 있는 누구의 것인지를 알 수 있다면 이는 개인정보보호법상 의 '개인정보'에 해당하며, 하나의 정보로는 개인을 알아볼 수 없지만 둘 이상의 정보를 쉽게 결합하면 알아볼 수 있는 것을 포함합니다. 이번 카드 개인정보 유출 사건에서는 각종 정보들이 정보주체의 성명 및 주민등록번호와 함께 유출되었기 때문에, 주소나 전화번호, 직장정보, 결혼여부 등은 개별적으로는 개인을 식별할 수 없다 하더라도 성명, 주민등록번호, 그 밖에 정보들과 쉽게 결합하여 개인을 알아볼 가능성이 높다는 점에서 '개인정보'에 해당될 수 있을 것입니다. 또한 최근 판례에서는 요즘 마트나 세탁소 등에서 고객을 구분하기 위하여 흔히 쓰이는 휴대전화번호 뒷 4자리가 다른 정보와 쉽게 결합하여 개인을 식별할 수 있는 '개인정보'에 해당한다고 판시하여 '개인정보'의 범위를 매우 넓게 해석하기도 하였습니다. 만일 개인정보보호에 대한 규제와 감독이 강화된다면, '개인정보'의 범위는 더욱 확대 해석될 가능성이 없지 않습니다.
개인정보 | 살아있는 개인에 관한 정보 |
단독으로 개인을 알아볼 수 있는 정보 |
다른 정보와 결합하여 개인을 알아볼 수 있는 정보 |
<표 1> ‘개인정보’의 정의
한편, 개인정보보호법 제2조 제2호에 따르면, 이와 같은 개인정보를 '처리'한다는 것은 “개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위”를 말합니다. 따라서 회사 홈페이지나 쇼핑몰 등을 운영하면서 회원 가입을 위해 개인정보를 수집 하는 기업, 구매고객을 사후관리하기 위하여 고객에게 개인정보를 작성하게 하고 이를 보유•관리하는 기업, 잠재 고객 확보나 마케팅 활용 목적으로 경품을 제공하고 개인정보를 작성하도록 하는 기업, 환자 진료, 약 처방, 부동산 중개, 택배 등 고객에게 서비스를 제공하기 위해서 부득이하게 고객의 개인정보를 수집하게 되 는 기업, 휴대전화 또는 집전화 가입이나 통장 개설 등을 통해 전화번호나 통장 번호와 같은 개인정보를 새로 생성하게 되는 기업, 직원들의 인사기록 등을 관리 하는 기업, 그 밖에 어떠한 형태로듞 고객이나 직원의 개인정보를 수집•사용•관리 하는 기업은 원칙적으로 개인정보를 '처리'하는 기업이라고 볼 수 있습니다. 따라서 개인정보보호법을 엄격히 해석하면 적용 대상 기업의 범위는 일반적으로 생각 하는 것보다 훨씬 넓을 수 있습니다.
개인정보 ‘처리’의 예
· 회사 홈페이지나 쇼핑몰 등을 운영하면서 회원 가입을 위해 개인정보를 수집
· 구매고객 사후관리를 위해 고객에게 개인정보를 작성하게 하고 이를 보유•관리
· 잠재 고객 확보나 마케팅 활용 목적으로 경품을 제공하고 개인정보를 수집
· 환자 진료, 약 처방, 부동산 중개, 택배 등 고객에게 서비스를 제공하기 위해서 고객의 개인정보를 수집
· 휴대전화나 집전화 가입, 통장 개설 등을 통해 전화번호나 통장번호와 같은 개인정보를 새로 생성
· 직원들의 인사기록 등을 관리
· 그 밖에 어떠한 형태로듞 고객이나 직원의 개인정보를 수집•사용•관리
3. 개인정보보호법에 따라 기업이 유의하여야 할 주요 사항
개인정보보호법에서는 개인정보를 처리하는 기업들이 준수해야 할 다양한 사항들을 규정하고 있습니다. 아래에서는 맋은 기업들이 주로 궁금해 하는 사항들을 중심으로 개인정보보호법상의 내용들을 살펴보도록 하겠습니다.
가. 개인정보 수집, 이용에 대한 동의
개인정보를 수집하는 기업은 고객으로부터 개인정보 수집 동의를 받거나, 법령상 의무를 준수하기 위하여 불가피한 경우(예를 들면 의료법상 진료기록부 작성 및 보존, 공인중개사법상 거래계약서 작성 및 사본 보존 등), 고객과 계약을 체결하거나 계약을 이행하기 위하여 불가피한 경우(예를 들면 택배 서비스 제공을 위한 개인정보 수집, 자동차 판매 계약을 위한 개인정보 수집 등)에는 고객의 개인정보를 수집할 수 있습니다. 그중에서도 고객들로부터 개인정보 수집, 이용 등에 대 한 동의를 받는 것은 홈페이지 회원 가입 등 기업들이 고객의 개인정보를 수집하는 과정에서 가장 보편적으로 쓰고 있는 수집 방법 중의 하나입니다. 무엇보다도 법령상의무준수나 계약 이행에 필요한지 여부는 그 기준이 명확하지 않은 경우 가 맋고, 법률전문가(변호사, 법원 등)의 판단을 알아보기 위해서는 적지 않는 시간과 비용이 소요되기 때문에, 기업 입장에서는 신속하고 법적으로도 안전하며 별도의 비용도 전혀 들지 않는 '고객의 동의'를 가장 선호하게 됩니다.
그러나 고객의 동의를 받을 때에는 개인정보의 수집•이용 목적, 수집하려는 개인 정보의 항목, 개인정보의 보유 및 이용기간, 동의 거부 권리가 있다는 사실, 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용을 알려주어야 합니다(개인정보보호법 제15조 제2항). 또한 동의를 받는 때에도 일괄적으로 한 번의 동의를 받는 것이 아니라, 1 개인정보를 수집할 때(제15조 제1항), 2 수집한 개인정보를 제3자에게 제공하거나 제3자와 공유할 때(제17조 제1항), 3 수집목적 외의 용도로 개인정보를 이용하거나 제3자에게 제공 또는 제3자와 공유할 때(제18조 제2 항), 4 개인정보를 제공받은 제3자가 제공받은 목적 외의 용도로 이용하거나 이를 다른 제3자에게 다시 제공할 때(제19조), 5 개인정보를 홍보나 판매 권유 등 마케팅에 사용할 때(제22조 제3항), 6 사상이나 신념, 정당 가입 여부, 건강, 성 생활 관련 정보 등 사생활을 침해할 우려가 있는 민감정보를 수집할 때(제23조), 7 주민등록번호, 여권번호, 운전면허번호와 같은 고유식별정보를 수집할 때(제24 조), 각각 따로 동의를 받아야 합니다(제22조 제1항).
고객의 동의를 각각 받아야 하는 경우
1 개인정보를 수집할 때
2 수집한 개인정보를 제3자에게 제공하거나 제3자와 공유할 때
3 수집목적 외의 용도로 개인정보를 이용하거나 제3자에게 제공 또는 제3자와 공유할 때
4 개인정보를 제공받은 제3자가 제공받은 목적 외의 용도로 이용하거나 이를 다른 제3자에게 다시 제공할 때
5 개인정보를 홍보나 판매 권유 등 마케팅에 사용할 때
6 사상이나 신념, 정당 가입 여부, 건강, 성생활 관련 정보 등 사생활을 침해할 우려가 있는 민감정보를 수집할 때
7 주민등록번호, 여권번호, 운전면허번호와 같은 고유식별정보를 수집할 때
특히, 재화나 서비스를 제공하기 위하여 개인정보 처리에 관한 동의가 꼭 필요한 경우와 고객이 선택적으로 동의할 수 있는 경우를 반드시 구분하여야 하고(제22조 제2항), 고객 이 선택적으로 동의할 수 있는 마케팅이나 제3자 제공과 같은 사항에 동의하지 않았다 고 하여 고객의 회원 가입을 거부하거나 재화나 서비스 제공을 아예 거부하여서는 안 됩니다(제22조 제4항). 또한 만 14세 미만 아동의 개인정보를 처리하려면 그 아동의 부모와 같은 법정대리인에게 동의를 받아야 하는데, 부모의 동의를 받기 위하여 필요한 최소한 의 정보(예를 들면 부모의 전화번호나 주소)는 부모의 동의 없이도 해당 아동에게 직접 물어볼 수 있습니다(제22조 제5항).
만일 고객의 동의 없이, 제3자에게 개인정보를 제공하거나, 수집목적 외의 용도로 사용하거나, 개인정보를 제공받은 제3자가 다른 제3자에게 제공하거나, 사생활 침해 우려가 있는 민감정보를 수집하거나, 주민등록번호 등 고유식별정보를 수집하면, 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해질 수 있습니다(제71조). 또한 동의 등을 받지 않고 개인정보를 수집하거나, 만 14세 미만의 아동의 부모 등 법정대리인의 동의를 받지 않거나, 동의를 받을 때 목적, 개인정보 항목, 보유 기간 등을 알려주지 않거나, 마케팅 또는 제3자 제공 등 선택적 동의가 가능한 사항에 동의하지 않았다고 하여 재화나 서비스 제공을 아예 거부하는 경우에는 3 천만 원 또는 5천만 원 이하의 과태료가 부과될 수 있습니다(제75조).
5 년 이하 징역 또는 5천만원 이하 벌금 | 고객의 동의 없이 제3자에게 개인정보를 제공 고객의 동의 없이 수집목적 외의 용도로 사용 고객의 동의 없이 개인정보를 제공받은 제 3 자가 다른 제3자에게 제공 고객의 동의 없이 사생활 침해 우려가 있는 민감정보를 수집 고객의 동의 없이 주민등록번호 등 고유식별정보를 수집 |
5천만원 이하 과태료 | 동의 등을 받지 않고 개인정보를 수집 만 14 세 미만의 아동의 부모 등 법정대리인의 동의를 받지 않은 경우 |
3천만원 이하 과태료 | 동의를 받을 때 목적, 개인정보 항목, 보유기간 등을 알려주지 않은 경우 마케팅 또는 제 3 자 제공 등 선택적 동의가 가능한 사항에 동의하지 않았다고 하여 재화나 서비스 제공을 아예 거부하는 경우 |
<표 4> 고객 동의에 관한 처벌 규정의 예
나. 주민등록번호 수집
1) 2014. 8. 7. 전까지(현행법 기준)
개정 개인정보보호법이 2014. 8. 7.자로 시행될 예정인 가운데, 그 전까지 적용되는 현행 개인정보보호법에서는 개인정보의 수집•이용 목적, 수집하려는 개인정보 의 항목, 개인정보의 보유 및 이용기간, 동의 거부 권리가 있다는 사실, 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용을 알리고 고객으로부터 동의를 받은 경우 또는 법령에서 허용하는 경우에는 주민등록번호를 수집, 이용할 수 있습니다(제24조 제1항). 그러나 주민등록번호를 수집•이용•보관하는 기업은 1 개인 정보의 안전한 처리를 위한 내부 관리계획의 수립•시행, 2 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치, 3 개인정보를 안전하게 저장•전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치, 4 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조•변조 방지를 위한 조치, 5 개인정보에 대한 보안프로그램의 설치 및 갱신, 6 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치를 취하여 안전성을 확보하여야 합니다 (제24조 제3항). 또한 인터넷 홈페이지의 하루 평균 이용자가 1만 명 이상인 기업은 주민등록번호 외의 방법(예를 들면 아이핀, 생년월일 및 전화번호의 조합 등)으로도 회원 가입이 가능하도록 하여야 합니다(제24조 제2항).
주민등록번호 수집•이용시 준수사항
1 개인정보의 안전한 처리를 위한 내부 관리계획의 수립•시행
2 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3 개인정보를 안전하게 저장•전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조•변조 방지를 위한 조치
5 개인정보에 대한 보안프로그램의 설치 및 갱신
6 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
7 인터넷 홈페이지의 하루 평균 이용자가 1 만 명 이상인 기업은 회원 가입 시 주민등록번호 외의 방법(예를 들면 아이핀, 생년월일 및 전화번호의 조합 등)도 제공
만일, 고객의 동의를 받지 않았거나 수집•이용 목적 등을 알려주지 않고 주민등록 번호를 수집•이용하는 경우에는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해지고(제71조), 안전성 확보 조치를 취하지 않아서 주민등록번호가 유출되는 경우에는 2년 이하의 징역 또는 1천만 원 이하의 벌금에 처해지게 됩니다(제73 조). 또한 인터넷 홈페이지의 하루 평균 이용자가 1만 명 이상임에도 불구하고 주민등록번호 외의 방법으로 회원 가입을 하지 못하도록 한 경우에는 3천만 원 이하의 과태료가 부과됩니다(제75조).
5 년 이하 징역 또는 5천만원 이하 벌금 | 고객의 동의를 받지 않았거나 수집·이용 목적 등을 알려주지 않고 주민등록번호를 수집·이용하는 경우 |
2 년 이하 징역 또는 1천만원 이하 벌금 | 안전성 확보 조치를 취하지 않아서 주민등록번호가 유출되는 경우 |
3천만원 이하 과태료 | 인터넷 홈페이지의 하루 평균 이용자가 1 만 명 이상임에도 불구하고 주민등록번호 외의 방법으로 회원 가입을 하지 못하도록 한 경우 |
<표 6> 주민등록번호 수집•이용 관련 처벌 규정의 예
2) 2014. 8. 7. 이후(개정법 기준)
2014. 8. 7. 시행되는 개정 개인정보보호법에서는 기업이 고객의 동의를 받는다 하여도 법령에서 허용하는 경우나 급박한 상황에서 명백히 필요하다고 인정되는 경우 등이 아닌 한 원칙적으로 주민등록번호를 수집•이용할 수 없게 됩니다(제24 조의2). 또한 이미 고객의 주민등록번호를 수집•이용•관리하던 기업은 개정 개인정보보호법에서 허용하는 경우가 아닌 한, 개정법 시행일로부터 2년 후인 2016. 8. 6.까지 보유하고 있는 주민등록번호를 모두 폐기하여야 합니다(부칙 제2조).
또한 기존에는 인터넷 홈페이지의 하루 평균 이용자가 1만 명 이상인 경우에만 주민등록번호 외의 방법으로도 회원 가입을 할 수 있도록 의무화하였으나 개정법에서는 이러한 의무 조항을 폐지하는 대신(제24조 제2항), 개정법에 따라 주민등록번호를 수집•이용할 수 있는 기업의 경우 고객이 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서 주민등록번호 외의 방법으로도 회원 가입이 가능하도록 의무화하였습니다(제24조의2 제2항).
만일 법령에서 허용하는 경우 등이 아님에도 불구하고 주민등록번호를 수집•이용하는 경우에는 고객의 동의 여부와 관계 없이 3천만 원 이하의 과태료를 부과 받게 되며(제75조), 주민등록번호 수집•이용이 가능한 경우에도 주민등록번호 외의 방법으로 인터넷 홈페이지를 통한 회원 가입이 가능하도록 하지 않으면 마찬가지로 3천만 원 이하의 과태료가 부과되도록 개정되었습니다. 또한 안전성 확보 조치를 취하지 않아서 주민등록번호가 분실•도난•유출•변조 또는 훼손된 경우에는 안전행정부 장관이 5억 원 이하의 과징금을 부과할 수 있도록 하는 조항이 신설되었습니다(제34조의2).
안전행정부가 최근 배포한 ⌜주민등록번호 수집 금지 제도 가이드라인⌟에 따르면, 주민등록번호를 수집•이용할 수 있도록 법령에서 허용하고 있는 경우는 총 866개에 이르는데, 대표적인 경우로는 은행 등 금융회사에서 거래고객의 실명을 확인 할 경우(금융실명거래 및 비밀보장에 관한 법률 제3조, 시행령 제3조), 인터넷 쇼핑몰 운영자 등 전자상거래업자가 거래 기록을 보존하면서 거래고객의 식별정보를 함께 보존해야 할 경우(전자상거래 등에서의 소비자 보호에 관한 법률 제6조), 재화나 서비스를 사업자가 아닌 일반 고객에게 제공할 때 세금계산서를 교부하면 서 고객의 성명, 주소, 주민등록번호를 기재할 경우(부가가치세법 제16조, 시행령 제53조), 병원에서 진단서, 처방전, 진료기록부에 환자의 주민등록번호를 기재할 경우(의료법 제17, 18, 22조, 시행령 제9, 12, 14조), 보험회사에서 보험 관련 특정업무를 수행하기 위해 불가피한 경우(보험업법 제102조), 벤처기업이 주식을 교환 할 때 주주의 주민등록번호를 기재할 경우(벤처기업육성에 관한 특별조치법 제15, 15조의4) 등이 있습니다.
주민등록번호 수집·이용 가능한 경우
근거 법령
은행 등 금융회사에서 거래고객의 실명을 확인할 경우
금융실명거래 및 비밀보장에 관한 법률 제3조, 시행령 제3조
인터넷 쇼핑몰 운영자 등 전자상거래업자가 거래 기록을 보존하면서 거래고객의 식별정보를 함께 보존해야 할 경우
전자상거래 등에서의 소비자 보호에 관한 법률 제6조
재화나 서비스를 사업자가 아닌 일반 고객에게 제공할 때 세금계산서를 교부하면서 고객의 성명, 주소, 주민등록번호를 기재할 경우
부가가치세법 제16조, 시행령 제53조
병원에서 진단서, 처방전, 진료기록부에 환자의 주민등록번호를 기재할 경우
의료법 제17, 18, 22조, 시행령 제9, 12, 14 조
보험회사에서 보험 관련 특정 업무를 수행하기 위해 불가피한 경우
보험업법 제 102 조
벤처기업이 주식을 교환할 때 주주의 주민등록 번호를 기재할 경우
벤처기업육성에 관한 특별조치법 제15, 15조의4
<표 7> 주민등록번호 수집•이용이 허용되는 근거 법령이 있는 경우의 예
만일, 주민등록번호의 수집•이용을 허용하는 법령이 없으나 주민등록번호 수집•이 용이 기업의 업무 수행상 불가피한 경우에는 관계부처에 적극적으로 의견을 제시 하여 법령에 근거를 만들 수 있도록 하는 것이 바람직합니다. 이때 '업무 수행상 불가피성'은 업무를 수행함에 있어 주민등록번호가 아니라 다른 정보(예를 들면 성명, 전화번호, 이메일주소 등)로 대체가 가능한지 여부가 주요 기준이 됩니다. 따라서 업무를 수행함에 있어 주민등록번호를 주민등록번호 외의 정보로 대체하는 것이 가능하다면, 2014. 8. 7. 개정 개인정보보호법이 시행된 후에는 주민등록 번호를 수집•이용하지 않아야 하고, 2016. 8. 6. 까지는 기존에 보유하던 모듞 주민 등록번호를 폐기하여야 할 것입니다.
다. 개인정보보호를 위한 안전조치의무사항
개인정보를 처리하는 기업은 개인정보 또는 주민등록번호가 분실, 도난, 유출, 변조, 훼손되지 않도록 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 취하여야 합니다(개인정보보호법 제24조 제2항, 제29조). 이를 위하여 개인정보보호법에서는 1 개인정보의 안전한 처리를 위한 내부 관리계획의 수립•시행, 2 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치, 3 개인정보를 안전하게 저장•전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치, 4 개인정보침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조•변조 방지를 위한 조치, 5 개 인정보에 대한 보안프로그램의 설치 및 갱신, 6 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치를 취하도록 의무화하고 있습니다(시행령 제30조).
만일 이와 같은 안전조치를 취하지 않아서 개인정보를 분실, 도난, 유출, 변조, 훼손당한 경우에는 2년 이하의 징역 또는 1천만 원 이하의 벌금에 처하도록 되어 있고(법 제73조 제1호), 개인정보를 분실, 도난, 유출, 변조, 훼손당하지 않았다 하더라도 안전조치를 취하지 않은 것 자체만으로도 3천만 원 이하의 과태료가 부과됩니다(제75조 제2항).
개인정보보호법에서 규정하고 있는 안전조치의무사항을 보다 구체적으로 살펴보면 다음과 같습니다.
1) 내부관리계획의 수립•시행
개인정보보호를 위한 내부관리계획에는 개인정보 보호책임자 지정, 개인정보 보호책임자 및 개인정보 취급자의 역할과 책임, 개인정보취급자에 대한 교육 등이 포함되어야 합니다. 그러나 소상공인(광업, 제조업, 건설업, 운수업의 경 우 상시 근로자수 10인 미만, 그 외의 업종은 5인 미만의 사업자)은 이러한 내부관리계획 수립 의무가 면제됩니다(개인정보의 안전성 확보조치 기준 제3조 제2항).
2) 접근권한의 관리
개인정보를 체계적으로 정리 구성한 데이터베이스에 대한 접근권한을 업무 담당자에 따라 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 합니다. 또한 전보, 퇴직 등에 의하여 개인정보 취급자가 변경되었을 경우에는 접근권한을 변경하거나 말소하여야 하며, 접근권한 부여, 변경, 말소에 대한 내역을 기록하여 최소 3 년간 보관하여야 합니다. 또한 개인정보 데이터베이스에 사용 자 아이디(id)를 발급하는 경우 개인정보 취급자 별로 각각 다른 사용자 아이디를발급하여 하나의 사용자 아이디를 공유하지 않도록 해야 합니다(개인정보의 안전성 확보조치 기준 제4조). 그러나 상시 근로자수가 50인 미만인 기 업이나 사업자가 내부 직원의 개인정보만을 보유하고 있는 데이터베이스의 경우에는 이러한 의무가 부과되지 않습니다(개인정보의 안전성 확보조치 기준 제2조 제9호).
3) 비밀번호 관리
개인정보를 취급하는 업무 담당자나 개인정보를 제공하는 고객이 안전한 비밀번호를 설정할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 합니다(개인정보의 안전성 확보조치 기준 제5조). 예를 들면 '영문과 숫자를 혼합하여 10자 이상', '반복적인 숫자나 문자 제외' 등과 같이 비밀번호의 안전성을 확보하기 위한 안내를 할 수 있을 것입니다.
4) 접근통제 시스템 설치 및 운영
인터넷과 같은 정보통신망을 통한 해킹 등을 방지하기 위하여 IP 주소 필터링, 해킹 감지 등의 기능을 포함하는 통제 시스템을 설치하여 운영하고, 외부에서의 접속을 위해 VPN(Virtual Private Network, 가상사설망)이나 전용선 등 안전한 접속수단을 적용하여야 합니다(개인정보의 안전성 확보조치 기준 제6조).
5) 개인정보의 암호화
개인정보 중에서 고유식별정보(주민등록번호, 여권번호, 운전면허번호 등), 비밀번호, 바이오정보(지문, 음성, 필적 등)는 인터넷 등을 통하여 전송하거나 USB 메모리와 같은 이동식 저장매체에 저장하는 경우에는 반드시 암호화하여야 하고, 비밀번호와 바이오정보는 평상시에도 암호화하여 저장해야 합니다 (개인정보의 안전성 확보조치 기준 제7조).
6) 접속기록의 보관 및 위 변조 방지
개인정보 데이터베이스에 접속한 기록은 최소 6개월 이상 안전하게 보관하여야 하며, 접속기록이 위 변조되거나 도난, 분실되지 않도록 해야 합니다(개인정보의 안전성 확보조치 기준 제8조).
7) 보안프로그램 설치 및 운영
컴퓨터 사용자가 방문한 인터넷 사이트나 출처가 불분명한 이메일 등을 통하여 컴퓨터에 설치되어 컴퓨터를 원격조정하거나, 내부 정보를 외부로 자동전송하거나, 중요 문서 파일 사용이 불가능하도록 잠가버리는 등의 기능을 하는 악성 프로그램을 방지하거나 치료할 수 있는 백신 프로그램 등 보안 프로그램을 설치하여 운영하여야 하고, 최신의 버전으로 자동 업데이트되거나 일 1 회 이상 업데이트 되도록 하여야 합니다. 또한 각종 프로그램 제조사가 공지 하는 보안 업데이트가 있는 경우에는 즉시 이를 적용하여야 합니다(개인정보의 안전성 확보조치 기준 제9조).
8) 물리적 접근 방지
전산실, 자료보관실 등 개인정보를 보관하고 있는 장소를 별도로 두고 있는 경우에는 자물쇠, 카드키, 지문이나 음성인식장치 등 출입통제장치를 설치하고 출입자와 출입물품의 목록을 기록하도록 의무화하는 등 출입통제 젃차를 수립하고 운영하여야 합니다. 개인정보를 보관하고 있는 별도의 장소가 없다면 개인정보가 포함된 서류나 저장매체(예를 들면, 노트북 컴퓨터, USB 메모리, 외장 하드디스크 등)만이라도 잠금장치가 있는 금고, 캐비넷, 서랍 등 안전한 장소에 보관하여야 합니다(개인정보의 안전성 확보조치 기준 제10조).
9) 전산 센터, 클라우드 컴퓨팅 센터 등에서의 안전조치
전산 센터(IDC: Internet Data Center), 클라우드 컴퓨팅 센터(Cloud Computing Center)와 같이 계약을 통해 하드웨어와 소프트웨어를 임차하여 개인정보를 처리하는 경우에는 임차계약서나 서비스수준협약서(SLA: Level Agreement)에 개인정보보호법에서 요구하는 수준의 안전조치 내용이 포함되어 있어야 합니다(개인정보의 안전성 확보조치 기준 부칙 제3조).
이와 같이 개인정보보호법에서는 기업들이 개인정보보호를 위해 의무적으로 취해야 할 안전조치들을 다양하게 규정하고 있습니다. 그러나, 이러한 조치를 모두 취 하려면 적지 않은 비용이 투입되어야 한다는 점에서 실제로 이와 같은 안전조치를 모두 취할 수 있는 기업의 범위가 제한적일 수밖에 없습니다. 또한, 개인정보 보호법에서도 이와 같은 안전조치들 중 일부는 시행했으나 일부는 시행되지 않은 경우에는 어떻게 처벌하여야 하는지에 대한 명확한 규정도 없으며, 영세한 기업들이 개인정보보호법상의 안전조치들 중 일부를 시행할 능력이 현실적으로 되지 않는 경우까지 일률적으로 처벌하는 것은 불합리한 것도 사실입니다. 따라서 각 기업들이 그 규모나 능력에 따라 어느 정도 수준의 안전조치를 취해야 하는지에 대한 관계부처나 법원의 가이드라인이 요구된다 하겠습니다.
라. 개인정보 처리방침의 수립 및 공개
개인정보를 처리하는 기업은 1 개인정보의 처리 목적, 2 개인정보의 처리 및 보유 기간, 3 개인정보의 제3자 제공에 관한 사항(해당되는 경우), 4 개인정보처리의 위탁에 관한 사항(해당되는 경우), 5 정보주체의 권리•의무 및 그 행사방법에 관한 사항, 6 처리하는 개인정보의 항목, 7 개인정보의 파기에 관한 사항, 8 안전성 확보 조치에 관한 사항이 포함된 '개인정보 처리방침'을 수립하여 인터 넷 홈페이지에 게재하여야 합니다(개인정보보호법 제30조). 인터넷 홈페이지에 게재할 수 없는 경우에는 사업장의 보기 쉬운 장소에 게시하거나 신문, 간행물, 소식지,홍보물, 청구서 등에 지속적으로 게재하여야 합니다.
인터넷에 게재해야 할 ‘개인정보 처리방침’ 포함 사항
1 개인정보의 처리 목적
2 개인정보의 처리 및 보유 기간
3 개인정보의 제3자 제공에 관한 사항(해당되는 경우)
4 개인정보처리의 위탁에 관한 사항(해당되는 경우)
5 정보주체의 권리•의무 및 그 행사방법에 관한 사항
6 처리하는 개인정보의 항목
7 개인정보의 파기에 관한 사항
8 안전성 확보 조치에 관한 사항
이와 같이 개인정보 처리방침을 수립하지 않거나 인터넷 홈페이지 등에 게재하지 않으면 1천만 원 이하의 과태료가 부과됩니다(제75조 제3항 제7호). 이에 따라 최근에는 기업들이 운영하는 대부분의 인터넷 홈페이지에서 '개인정보 처리방침'에 관한 링크를 발견할 수 있으며, 이를 클릭하면 해당 기업의 '개인정보 처리방침' 을 쉽게 확인할 수 있습니다.
마. 개인정보 보호책임자의 지정
개인정보보호법에서는 개인정보를 처리하는 기업에 개인정보 처리 업무를 총괄해서 책임질 '개인정보 보호책임자'를 지정하여 운영하도록 하고 있습니다(개인정보 보호법 제31조 제1항). 법에서는 개인정보 보호책임자가 될 수 있는 사람을 정해 놓고 있으나, 기업의 대표자, 개인정보처리 관련 업무 담당부서장뿐만 아니라 객관적인 기준으로는 해당 여부를 판단하기 어려운 '개인정보보호에 관한 소양이 있는 사람'까지 개인정보 보호책임자가 될 수 있도록 함으로써 개인정보 보호책임자가 될 수 있는 사람에는 사실상 제한이 없다고 볼 수 있습니다. 그럼에도 불구하고 개인정보 보호책임자를 아예 지정하지 않은 기업에게는 1천만 원 이하의 과태료가 부과될 수 있습니다(제75조 제3항 제8호).
개인정보 보호책임자는 1 개인정보 보호 계획의 수립 및 시행, 2 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선, 3 개인정보 처리와 관련한 불만의 처리 및 피해 구제, 4 개인정보 유출 및 오용•남용 방지를 위한 내부통제시스템의 구축, 5 개인정보 보호 교육 계획의 수립 및 시행, 6 개인정보파일의 보호 및 관리•감독, 7 법 제30조에 따른 개인정보 처리방침의 수립•변경 및 시행, 8 개인정보 보호 관련 자료의 관리, 9 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기를 수행하도록 법으로 규정하고 있습니다. 그러나, 개인정보 보호 책임자가 지정되어 있다면, 위와 같은 업무를 수행하지 않았다 하더라도 별도의 처벌을 하는 규정이 존재하지는 않습니다.
개인정보 보호책임자가 수행해야 하는 업무
1 개인정보 보호 계획의 수립 및 시행
2 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4 개인정보 유출 및 오용•남용 방지를 위한 내부통제시스템의 구축
5 개인정보 보호 교육 계획의 수립 및 시행
6 개인정보파일의 보호 및 관리•감독
7 개인정보 처리방침의 수립•변경 및 시행
8 개인정보 보호 관련 자료의 관리
9 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
바. 개인정보 유출시 통지의무
이번에 발생한 카드 개인정보 유출 사건과 같이 고객의 개인정보가 유출되었음을 기업이 알게 되면, 해당 기업은 지체 없이 1 유출된 개인정보의 항목, 2 유출된 시점과 그 경위, 3 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 고객이 할 수 있는 방법, 4 기업의 대응조치 및 피해 구제젃차, 5 고객에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처를 개인정보가 유출된 고객들에게 통지하여야 합니다(개인정보보호법 제34조 제1항). 유출된 개인 정보의 확산이나 추가 유출을 방지하기 위한 긴급 조치가 필요한 경우에는 그러한 조치를 먼저 취한 후에 고객들에게 위의 내용을 통지할 수도 있습니다. 또한 개인정보가 유출된 사실은 알게 되었으나 어떤 항목이 유출되었고 유출 시점과 그 경위를 아직 파악하지 못한 경우에는 개인정보 유출 사실과 현재까지 확인된 사항만을 고객에게 통지하고 나머지 사항들은 추후 확인되면 고객에게 추가로 알려도 됩니다.
개인정보 유출시 고객에게 통지해야 하는 사항
1 유출된 개인정보의 항목
2 유출된 시점과 그 경위
3 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 고객이 할 수 있는 방법
4 기업의 대응조치 및 피해 구제절차
5 고객에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
1만 명 이상 고객의 개인정보가 유출된 경우에는 위와 같은 내용을 고객에게 통지한 결과와 피해를 최소화하기 위한 조치를 취한 결과를 안전행정부 장관 또는 한국정보화진흥원(www.nia.or.kr)이나 한국인터넷진흥원(www.kisa.or.kr)에 신고하여야 하며(제3항), 인터넷 홈페이지에 위 내용들을 7일 이상 게재하여야 합니다. 인터넷 홈페이지를 운영하지 않는 기업은 사업장의 보기 쉬운 장소에 7일 이상 게시하여야 합니다. 만일 개인정보 유출에 따른 위와 같은 내용의 통지를 고객에게 하지 않았다거나 통지 결과 및 피해 최소화 조치 결과를 안전행정부 장관 또는 한국정보화진흥원이 나 한국인터넷진흥원에 신고하지 않는 경우에는 3천만 원 이하의 과태료가 부과될 수 있습니다(제75조 제2항 제8, 9호). 그러나 법에서는 개인정보 유출을 알게 된 후 '지체 없이' 통지하고 신고하도록만 규정되어 있을 뿐, 정확히 며칠 이내에 통지하고 신고해야 하는지는 규정되어 있지 않습니다. 따라서 개인정보가 유출되었음을 알게 된 후 너무 늦지 않게만 통지 및 신고를 한다면 이로 인한 과태료 부과 문제가 발생하지는 않을 것으로 보입니다(참고로 이번 카드 개인정보 유출 사건에서는 개인정보 유출을 알게 된 후 약 10일 후에 인터넷 홈페이지를 통하여 개인정보 유출 여부를 조회할 수 있도록 하였습니다).
사. 직원의 개인정보 유출에 대한 기업의 법적 책임
개인정보를 처리하는 기업의 직원이 업무상 알게 된 고객의 개인정보를 누설하거 나 권한 없이 제3자가 이용하도록 제공한 경우, 정당한 권한 없이 또는 허용된 권한을 초과하여 고객의 개인정보를 훼손, 멸실, 변경, 위조 또는 유출한 경우에 그 직원은 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해질 수 있으며(개인 정보보호법 제71조 제5, 6호), 개인정보 유출 등으로 인하여 해당 고객에게 피해 가 발생한다면 그에 대한 손해배상까지 하여야 할 책임이 있습니다.
그러나 해당 기업도 개인정보 유출을 방지하기 위해 필요한 안전조치를 취하지 않다거나(제73조 제1호), 평소 직원들에 대한 관리•감독을 충실히 하지 않아서(제74조 제1, 2항 각 단서) 개인정보가 유출된 것이라면, 그 기업도 민•형사상 책임을 져야 합니다. 만일 기업이 개인정보보호법상의 의무를 준수하였고 해당 업무에 관하여 직원들에 대한 관리•감독을 게을리 하지 않았다면 민•형사상 책임을 감면 받을 수는 있습니다(제39조 제2항). 이때 기업이 관리•감독을 충실히 한 정도는 기업의 규모, 처리하는 개인정보의 양이나 민감도 등에 따라서 그 기준이 달라질 수 있습니다. 예를 들면 기업 규모가 크다거나, 처리하는 개인정보의 양이 맋다거나, 민감한 개인정보를 처리하는 등의 경우에는 기업이 개인정보 보호를 위하여 취해야 할 안전조치 수준이나 직원들에 대한 관리•감독 기준이 높아질 수밖에 없고, 그만큼 해당 기업의 민•형사상 책임도 커질 수밖에 없습니다.
4. 나오며
개인정보가 유출되면 해당 고객들에게만 피해가 발생하는 것이 아니라 개인정보 가 유출된 기업들에게도 적지 않은 손해가 발생합니다. 기업의 신뢰도 하락, 이미지 훼손, 기존 고객 이탈 및 신규 고객 감소로 인한 매출 하락, 영업정지 등 행정 당국으로부터의 제재, 그리고 고객들에 대한 막대한 손해배상책임까지 감수해야 합니다. 특히 개인정보가 유출되면 대부분의 경우 피해 고객들은 대규모의 집단 을 이루어 해당 기업을 상대로 개인정보 유출로 발생한 정신적 손해에 대한 위자료를 청구하는 소송을 제기합니다. 이번 카드 개인정보 유출 사건의 경우에도 이 미 맋은 피해 고객들이 카드사들을 상대로 위자료 청구 소송을 제기하였거나 준비 중에 있습니다. 그러나 개인정보가 유출되었다고 하여 피해 고객들의 정신적 손해에 대한 기업의 책임이 모두 인정되는 것은 아닙니다. 법원이 기업의 손해배상책임을 인정하지 않은 주요 이유들을 살펴보면, 개인정보가 유출된 고객들에게 정신적 손해가 발생하였다고 보기 어렵다거나(대법원 2012. 12. 26. 선고 2011다 59834,59858,59841 판결), 기업이 개인정보 보호를 위한 안전조치 및 상당한 주 의•감독을 하였으므로 개인정보 유출에 대한 기업의 과실이 없다는 등의 이유를 들고 있습니다.
그러나 이를 달리 해석하면, 해당 기업에게 요구되는 안전조치나 관리•감독의 수준이 높음에도 불구하고 이를 게을리 하여 고객의 개인정보가 유출되었을 경우에, 이로 인한 고객들의 정신적 손해가 발생하지 않았다고 볼 만한 특별한 사정이 없는 한, 해당 기업이 개인정보 유출로 인하여 고객들에게 발생한 정신적 손해에 대한 위자료를 배상해야 할 책임이 인정될 가능성이 있습니다. 따라서 현재 업무 상 개인정보를 처리하고 있는 기업들은 기업의 규모, 개인정보 처리 건수, 개인정보의 민감도 등 여러 요소들을 고려하여 각 기업에게 요구되는 개인정보 보호조치나관리•감독의 수준이 어느 정도나 되는지, 현재 그러한 수준을 충족시키고 있 는지, 만약 개인정보보호법에서 요구하는 수준에 미치지 못하는 경우 당장 무엇을 어떻게 해야 하는지 파악해 보아야 할 것입니다.