[뉴스레터_지식재산권_제5호_개정고시 검토]

개정 개인정보의 안전성 확보조치 기준 리뷰

이지선 변호사

개인정보의 안전성 확보조치 기준(이하 ‘안전성 확보조치 기준’이라고 한다)은 개인정보보호법 상 개인정보처리자가 개인정보를 처리할 때 안전성을 확보를 위해 취하여야 하는 세부적 기준을 정한 것이다.

법적 성격상 안전성 확보조치 기준은 행정규칙인 ‘고시’이다. 우리 법원은 안전성 확보조치 의무 불이행으로 인하여 개인정보에 접근할 수 있는 상태가 되었음을 이유로 손해 배상 책임이 문제된 사건에서, 개인정보누출이 없는 경우 안전성 확보조치 의무 불이행만으로 사생활의 비밀과 자유가 침해된 것은 아니라고 판단한 바 있다. 즉 다른 사정이 없이 안전성 확보조치 불이행만으로 손해배상의 책임이 생기는 것은 아니라는 판단이다. 반대로, 개인정보 누출 전부터 안전성 확보조치를 이행하였다면, 실제 개인정보누출이 발생한 경우라고 하여도 선량한 관리자로서의 의무를 다한 것으로 보아 손해배상책임에서 면책될 가능성도 있을 것이다.

또한, 개인정보에 대하여 대통령령이 정하는 바에 따른 안전성확보조치를 하지 않을 경우 3천만원 이하의 과태료에 처해질 수 있고, 대통령령에 따르면 안전성 확보 조치에 관한 세부기준은 행정자치부장관이 정하여 고시한다고 되어 있다. 따라서 시행령에 규정되어 안전성 확보조치 기준에서 세분화된 안전성 확보조치를 하지 않을 경우 과태료에 처해 질 수 있다.

이제 2014. 12. 30. 개정된 안전성 확보조치의 주요 내용을 살펴보자.

우선 스마트폰과 같은 모마일 기기에 대한 규정, 공개된 와이파이(wi-fi)망과 같은 공개된 무선망에 대한 규정이 추가되었다. 공개된 무선망과 모바일 기기에 대하여도 개인정보 보호조치를 하도록 한 것이다. 공개된 무선망이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 의미한다.

이처럼 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 개인정보가 공개되거나 유출되지 않도록 개인정보처리자는 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기에 필요한 조치를 하여야 한다. 업무용 모바일 기기 분실∙도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다는 규정도 추가되었다. 고유식별정보를 업무용 컴퓨터에 저장하여 관리하는 경우뿐 아니라, 모바일 기기에 저장하여 관리하는 경우에도 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하도록 하였다.

한편 개인정보가 포함된 보조저장매체의 반출∙입 통제를 위한 보안대책을 마련하도록 하였다. 개인정보 파기에 대한 규정도 강화되었다. 완전파기의 방법을 세분화 하였고, 개인정보 일부만을 파기하는 경우 전자적 파일이면 개인정보를 복구 및 재생되지 않도록 관리 및 감독하는 조치, 전자적 파일이 아닌 기록매체인 경우 해당 부분을 마스킹, 천공 등으로 삭제하도록 하는 등 파기 방법을 구체적으로 명시하였다.

기타, 내부관리계획을 수립∙시행할 때 ‘개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항’을 포함하도록 개정되었다. 또한 개인정보 접속기록 등을 반기별로 1회 이상 점검하여야 한다는 규정, 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출∙변조∙훼손되지 않도록 연 1회 이상 취약점을 점검해야 한다는 규정이 추가되었다.