IT 수탁사 개인정보보호 자율점검 키포인트

, ,


** 본문은 <참조> 의 내용을 재정리 및 배치하여 정리한 내용입니다. 문제가 된다면 즉시 삭제하도록 하겠습니다.
글 작성일 : 2016.01.20

최근 IT수탁사에 대한 '개인정보보호 자율점검' 이슈가 계속 발생함에 따라 명확한 이해를 위해 내용을 정리하였습니다.

IT수탁사 개인정보보호 자율점검 키포인트

행정자치부는 시스템 개발 및 운영 단계에서 개인정보보호법 적용 및 준수를 지원하기 위해 ‘시스템 개발 운영자를 위한 개인정보보호 가이드라인’을 제작하고 개인정보보호 포털(http://www.privacy.go.kr) 자료마당의 지침자료를 통해 배포합니다.

  • http://goo.gl/KFnikG

 IT 수탁사 개인정보보호 자율점검 주요 내용 

1) 위·수탁 계약 체결 및 개인정보취급자 관리

 IT수탁사가 개인정보 처리 업무를 위탁한 위탁자와 개인정보 처리업무 관련 계약을 체결하는 경우에는 개인정보보호법 제26조에서 규정하고 있는 바와 같이 개인정보보호 관련 7대 준수 사항이 반영된 문서로된 계약서로 계약해야 한다.


개인정보 처리 위·수탁 계약을 체결하지 않고 위탁자로부터 개인정보를 제공받아 업무를 수행하는 경우 최초 개인정보를 제공한 정보주체의 동의 없는 제3자 제공 또는 개인정보 불법 취득으로 간주될 수 있는 중요한 사항이다. 정보주체의 개인정보를 보호하고 IT 수탁자의 개인정보 처리에 대한 정당성을 마련하기 위해서라도 반드시 위탁자와의 계약사항을 확인하고 문서로서 계약해야 하며, 인력 파견에 따른 시스템통합(SI)성 업무를 수행하는 경우에도 계약을 체결해야 한다.

특히, 고객관리 시스템을 ASP 형태로 제공하는 경우 IT수탁사에서 이용약관 또는 서비스 사용 신청 계약만 체결하는 경우가 있는데 이는 개인정보보호법 위반에 해당한다. 개인정보를 직접 수집하는 고객사 입장에서는 개인정보 처리 업무를 ASP 서비스 제공 회사에 위탁하는 것으로 해석되기 때문에 이용 약관과 별도로 개인정보보호 관련 7대 준수사항을 포함한 개인정보처리 위·수탁 계약을 반드시 체결해야 한다.

개인정보처리 위·수탁 계약서 양식은 개인정보보호포털(http://www.privacy.go.kr) 자료마당의 참고자료에서 ‘표준 개인정보처리위탁 계약서’를 다운받아 사용할 수 있으며 기존의 계약서와 별건으로 체결할 수 있다. (http://goo.gl/E3JHrk)

또한, IT수탁사는 개인정보보호법 제28조에서 규정하고 있는 바와 같이 IT수탁사에서 개인정보를 취급하는 임직원, 파견·시간제 근로자 등 개인정보취급자를 대상으로 개인정보보호를 위한 보안서약서 징구, 정기적인 개인정보보호 교육을 실시해야 한다.

또한, 개인정보취급자에게 개인정보처리 시스템에 대한 접근권한을 부여하는 경우 업무의 성격에 따라 최소한의 범위로 차등 부여하는 등 접근권한에 대해서도 관리·감독해야 한다. 개인정보취급자를 대상으로 개인정보보호 교육을 실시하는 경우에는 별도의 비용부담 없이 개인정보 보호포털의 배움터에서 제공하고 있는 교육 자료 및 온라인 교육과정을 이용해서 자체 교육도 가능하며 교육을 실시한 결과를 보관·관리해야 한다.


 2) 개인정보 수집 기능을 개발하는 경우 

홈페이지를 구축하면서 온라인 회원모집 기능 등 개인정보를 수집하는 기능을 개발하거나 ASP 형태로 제공하는 IT수탁사는 개인정보보호법 제15조(개인정보의 수집·이용), 제16조(개인정보의 수집 제한), 제17조(개인정보의 제공), 제22조(동의를 받는 방법), 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한), 제24조의2(주민등록번호 처리의 제한) 및 제30조(개인정보 처리방침의 수립 및 공개) 등을 고려해서 위탁자가 개인정보보호법에서 정한 개인정보 수집에 따른 동의 및 고지 절차를 준수할 수 있도록 관련 개인정보처리 시스템을 개발해야 한다. 


법 제15조에 따라 개인정보 수집에 따른 동의를 받는 경우 홈페이지 회원가입은 대부분 동의를 받고 있으나, 게시판, 민원 접수 등에서는 동의 받지 않고 개인정보를 수집할 수 있도록 개발하는 사례가 다수 있어 주의할 필요가 있다. 즉 게시판 등에서 개인정보를 수집하는 경우에도 동의 및 고지 절차를 반드시 거치도록 관련 시스템을 개발해야 한다.

또한 개인정보 수집에 따른 고지사항을 기술하는 경우에도 개인정보처리방침의 내용을 그대로 복사하여 게시하는 경우가 많은데, 이러한 경우 법에서 정한 4가지 필수 고지사항 중 동의를 거부할 권리 및 불이익의 내용이 빠져서 개인정보보호법을 위반하게 된다.

따라서 홈페이지에서 개인정보를 수집하는 경우에는 법에서 정한 4가지 필수 고지 사항(①개인정보의 수집·이용 목적 ②수집하려는 개인정보의 항목 ③개인정보의 보유 및 이용 기간 ④동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이 익이 있는 경우 그 불이익의 내용)이 모두 기술될 수 있도록 관련 고지 문구를 잘 검토해야 한다. 특히, 수집하려는 개인정보의 항목에는 필수 수집 항목과 선택적으로 수집하는 항목을 구분하여 기술하고, 홈페이지 이용자가 개인정보 수집 선택항목을 입력하지 않거나 선택 개인정보 수집에 동의하지 않더라도 필수 서비스를 제공할 수 있도록 홈페이지 기능을 구현해야 한다.

위탁자가 개인정보를 제3자에게 제공하는 경우에도 법 제17조에 따라 개인정보 제공에 대한 별도의 구분 동의와 법에서 정한 5가지 필수 고지 사항(①개인정보를 제공받는 자 ②개인정보를 제공받는 자의 개인정보 이용 목적 ③제공하는 개인정보의 항목 ④개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 ⑤동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용)이 모두 기술되어 있는지 확인이 필요하다. 그리고 IT수탁사가 홈페이지를 개발하면서 혼란스러워 하는 부분 중 하나가 필수동의와 별도로 구분해서 동의 받는 경우이다.

개인정보 수집 기본 동의와 구분해서 별도의 동의를 받아야 하는 경우로는 ①제3자 제공 동의(제17조 제1항 제1호) ②국외 제3자 제공 동의(제17조 제3항) ③목적 외 이용·제공 동의(제18조 제2항 제1호) ④마케팅 목적 처리 동의(제22조 제3항) ⑤법정대리인의 동의(제22조 제5 항) ⑥민감정보의 처리 동의(제23조 제1항 제1호) ⑦고유식별정보 처리 동의(제24조 제1항 제1호) 등 7 가지 경우가 있으며, 이들 각각을 동의 받을 필요가 있을 때에는 다른 동의와 구분해서 별도의 동의를 받도록 홈페이지 기능을 개발해야 한다.

그리고 위탁자의 개인정보처리방침을 홈페이지에 공개하는 경우에도 법제30조에 따라 10가지 필수항목이 모두 기술되어 공개될 수 있도록 해야 한다. 특히 개인정보 처리 위탁에 관한 사항에 IT수탁사의 명칭이 구체적으로 기술되도록 해야 하며, 개인정보책임자의 성명 및 연락처를 정확하게 작성했는지 확인해야 한다. 



3) 개인정보처리시스템 개발 및 운영시 안전성 확보 조치

IT수탁사가 개인정보를 처리하는 솔루션, 패키지 소프트웨어 등 개인정보처리시스템 또는 개인정보를 관리하는 기능이 있는 ASP 서비스를 개발하거나 운영하는 경우에는 다음과 같이 개인정보보호법 제 29조에 따른 안전성 조치를 준수해야 한다.



3-1. 개인정보처리 시스템을 개발하는 경우 

가. 접근권한 및 접근통제
  • IT수탁자는 위탁자가 시스템에 대한 접근권한 부여시 필요 최소한의 범위로 업무 담당자에 따라 1인 1계정을 차등 부여할 수 있도록 기능을 개발해야 하며, 접근권한 부여·변경·말소 내역을 기록하고 최소 3년간 보관 및 관리가 이루어질 수 있도록 개발해야 한다.
  • 개인정보 취급자별로 비밀번호를 적용하는 경우에는 비밀번호 작성 규칙에 의거 최소 8자리 이상(영어 대문자, 소문자, 숫자, 특수문자 중 3종류 조합) 또는 최소 10자리 이상(영어 대문자, 소문자, 숫자, 특수문자 중 2종류 조합)의 비밀번호를 사용할 수 있도록 개발해야 한다.
  • 또한, 개인정보 취급자가 외부에서 홈페이지 관리자페이지 접속 시 단순 ID/패스워드로만 접속 가능하도록 하지 말고, 가상사설망(VPN), 전용선, IP 또는 Mac 주소 확인 등 안전한 접속수단을 이용하여 접속할 수 있도록 관련 기능을 개발해야 한다. 그리고 본인 확인을 위해 성명, 주민등록번호를 사용할 수 있는 경우에는 I-PIN, 공인인증서, 휴대전화, 주민등록증 발급일자 등 추가적인 정보를 확인하도록 관련 기능을 개발해야 한다.

나. 개인정보의 암호화
  • IT수탁사는 수탁사 자체의 암호화 계획을 수립하고, 비밀번호, 지문, 홍채 등의 바이오정보, 주민등록번호, 여권번호, 자동차운전면허번호, 외국인등록번호 등의 고유식별정보를 외부에 송·수신하거나, 내부에 저장하는 경우 SSL 등 암호화 조치를 적용하여 개발해야 한다.
  • 특히, 비밀번호를 내부 서버 등에 저장 시에는 해쉬함수 등 일방향 암호화 알고리즘을 적용하여 암호화해야 하며, 고유식별정보를 인터넷과 내부망의 중간지점(DMZ)에 저장하는 경우 반드시 암호화 조치를 적용해야 한다. 암호화 조치와 관련해서는 개인정보보호포털에서 ‘개인정보 암호화 조치 안내서’를 다운받아 활용할 수 있다.

다. 개인정보 접속기록 보관
  • IT수탁사는 개인정보취급자가 개인정보에 접속한 기록을 6개월 이상 보관 및 관리될 수 있도록 관련 기능을 개발해야 한다. 특히 접속 기록은 ①접속 ID ②접속 날짜 및 시간 ③접속자 IP주소 ④수행 업무(열람, 수정, 삭제, 인쇄, 입력 등) 등 4가지 필수항목이 모두 기록될 수 있도록 관련 개인정보처리시스템을 개발해야 한다.

라. 개인정보 파기
  • IT수탁사는 회원탈회 등에 따라 개인정보를 파기하는 경우 단순히 데이터베이스 테이블에 삭제여부만을 표시하는 형태로 파기되도록 해서는 안되며, 데이터가 복원되지 않도록 데이터베이스에서 삭제 또는 덮어쓰기 방법으로 파기되도록 기능을 구현해야 한다.
  • 전자상거래 기록 등 다른 법령에 따라 보존해야 하는 경우 해당 개인정보 또는 개인정보 파일을 다른 개인정보와 분리하여 보관하지 않고 단순히 테이블 필드에 플래그 형태로 남기는 경우는 파기하지 않은 것으로 인정하므로, 반드시 다른 개인정보와 분리하여 보관되도록 프로그램해야 한다.


3-2. 개인정보처리시스템을 운영 및 유지보수 하는 경우 

 가. 접근권한 및 접속기록 관리
  • 고객관리 ASP 등을 제공하는 IT수탁사는 접근권한의 부여·변경·말소 내역의 기록을 최소 3년간 보관해야 한다. 그리고 외부에서의 불법적 접근(방화벽) 및 침해사고 방지(침입탐지)를 위한 시스템을 설치 및 운영해야 하며, P2P, 웹하드 등 비인가 프로그램 및 공유 설정 등을 통해 열람권한이 없는 자에게 개인정보가 공개 및 유출되지 않도록 접속 차단을 실시해야 한다.
  • 또한 개인정보취급자가 개인정보에 접속한 기록을 최소 6개월 이상 보관 및 관리해야 하며, 특히 접속기록이 위·변조 및 도난, 분실되지 않도록 접속기록을 안전하게 보관해야 한다. 접속기록에 대한 위·변조를 방지하기 위해 CD-ROM, DVD 등과 같은 덮어쓰기가 불가능한 매체를 사용하는 것이 바람직하며, 접속기록을 수정 가능한 매체(HDD 또는 자기테이프 등)에 백업하는 경우에는 무결성 보장을 위해 위·변조 여부를 확인할 수 있는 정보를 별도의 장비에 보관·관리할 수 있다.

나. 개인정보의 파기
  • IT수탁사는 개인정보 처리 위탁자의 개인정보 파기 정책에 따라 온라인 회원가입 등을 통해 수집하여 보유하고 있는 개인정보(파일)의 당초 수집목적이 달성되었거나(회원탈회, 계약종료 등), 보유기간 이 경과된 경우(계약 종료후 5년 경과 등)에는 지체없이(보유기간 종료일로부터 5일 이내) 파기해야 한다.
  • 특히, ASP 서비스를 제공하는 IT수탁사의 경우에는 계약이 종료된 고객사의 개인정보 파기 등에 관한 명확한 규정을 고지하고 시행해야 한다. 개인정보를 파기하는 경우에도 파기한 개인정보가 영구히 복구되지 못하도록 기록물, 인쇄물, 서면 등의 경우 파쇄 또는 소각하고, 디스크, USB 등의 전자적 파일 형태인 경우 전용 소거 장비를 이용하여 삭제하거나 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행하는 방법으로 파기해야 한다.
  • 전자상거래 기록 등 다른 법령에 따라 보존해야 하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 보관하지 않고 단순히 테이블 필드에 플래그 형태로 남기는 경우는 파기하지 않은 것으로 인정하므로 반드시 다른 개인정보와 분리하여 보관해야 한다.

다. 보안 프로그램 운영
  • IT수탁사는 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치 및 운영해야 한다. 보안 프로그램 및 최신 운영체계 패치는 자동 업데이트 또는 일일 1회 이상 업데이트 실시로 최신의 버전 상태로 유지하고 있는지 확인해야 한다.

라. 물리적 보관 장소 운영
  • 마지막으로 개인정보의 절도, 파괴 등의 물리적 위협으로부터 정보자산을 보호하기 위해 전산실, 자료 보관실 등 물리적 보관 장소에 대한 출입통제 절차를 수립하고 운영해야 하며, 개인정보가 포함된 서류, 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관 및 관리해야 한다.

참조

  • http://www.boannews.com/media/view.asp?idx=47963&kind=26
No comments

0 개의 댓글:

댓글 쓰기

피드 구독하기: 댓글 (Atom)

Popular Posts

  • [세계사] 기독교의 동서 분열 - 로마 가톨릭교회와 동방 정교회
    종교에 관심이 많은 것은 아니지만 기독교의 동서 분열은 한번 정리할 가치있다고 생각했다.  기독교의 동서 분열 은 기독교 역사상 11세기에 로마 가톨릭 교회와 동방 정교회가 상호 파문으로 분리된 사실을 말한다. 교회가 동서로 분열된 이유는 교리, ...
  • [세계사] 마그나 카르타 / 권리청원 / 권리장전
    영국에서 발생한  마그나 카르타 / 권리 청원 / 권리 장전 은 헌정사상 가장 중요한 의미를 가지는 의회 제정법이다. 이와 같은 역사가 기반이 되었기 때문에 오늘날 영국이 선진국으로서 세계를 호령하게 되었는지 모르겠다. 훗날 전세계에 영향을 미칠 그들...
Powered by Blogger.