법령 본문에서 사용하는 개념을 살펴보고, 우리 단체 맥락에서 각 개념이 어떤 것에 해당하는지 살펴봅시다. 친숙하지 않은 용어일 뿐, 어려운 내용은 아닙니다.
핵심 용어
가장 중요하면서도 서로 비슷해 헷갈리는 개념 세 가지를 먼저 살펴봅시다. 안전성 확보조치 기준은 ‘개인정보처리자’의 책임을 설명하고 있습니다. 동시에 ‘개인정보 보호책임자’와 ‘개인정보취급자’라는 표현도 등장합니다. 처리자, 취급자, 책임자… 도대체 뭐가 다른 걸까요?
개인정보처리자는 ‘업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등’으로 규정됩니다. 즉 업무상 개인정보를 다루는 법적 주체를 말합니다. 우리 가이드에서는 여러분의 비영리단체가 바로 개인정보처리자에 해당합니다.
개인정보 보호책임자(이하 보호책임자)는 ‘개인정보 보호 계획의 수립 및 시행, 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 등 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자’로 규정됩니다. 한 명을 책임자로 지정하면 됩니다.
보호책임자가 될 수 있는 사람은 대표자, 임원, 임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장입니다(개인정보 보호법 시행령 제32조제3항. 이하 “시행령”). 비영리단체의 경우 예를 들어 대표자, 후원/모금 총책임자, IT 총책임자 등이 보호책임자가 될 수 있습니다. 개인정보 보호에 관한 실질적인 권한과 책임을 갖고 있는 사람을 보호책임자로 지정하면 됩니다.
근로자 수 10명 미만의 소상공인의 경우 별도의 보호책임자를 반드시 지정하지는 않아도 됩니다. 따로 지정하지 않으면 사업주 또는 대표자가 개인정보 보호책임자가 됩니다(시행령 제32조제1항, 개인정보 보호법 제31조제2항. 이하 “법”). 비영리단체에 대한 별도의 조항은 없으므로 비영리단체 역시 같은 기준을 적용합니다. 즉 10명 이상 단체의 경우에는 보호책임자를 지정해야 하고, 그 미만인 경우 명시적으로 지정하지 않으면 대표자가 보호책임자입니다.
5만명 이상의 민감정보/고유식별정보나 100만명 이상의 개인정보를 처리하는 경우에는 개인정보 보호책임자에게 관련 경력이 요구됩니다(시행령 제32조제4항). 여기에 해당하는 비영리단체도 존재하지만 이 가이드에서 따로 다루지는 않습니다.
개인정보취급자는 ‘개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등’으로, 실제로 개인정보를 다루는 사람을 말합니다. 우리 가이드에서는 업무상 개인정보를 처리하는 실무자, 활동가를 가리킵니다.
| 법률상 개념 | 우리 가이드에서는… |
|---|---|
| 개인정보처리자 | 비영리단체 |
| 개인정보 보호책임자 | 대표자/임원 등 (1명) |
| 개인정보취급자 | 활동가 |
용어를 하나만 더 살펴보고 법령 본문으로 넘어갑시다. 안전조치 기준에서 가장 주요하게 다루는 개념 중 하나는 개인정보처리시스템입니다. 법령에서는 “데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템”이라고 다소 동어반복적으로 정의하고 있는데요.
단체에서 후원회원 관리를 위해 사용하는 CRM(Customer Relationship Management, 고객관계관리) 시스템을 떠올리면 이해가 쉬울 것 같습니다. 도너스, Webcm, MRM, 효성CMS+ 류의 서비스들이지요. 이런 도구는 제공업체 측에서 안전조치 기준을 지키는 데 도움이 되는 각종 기능을 제공하기도 합니다.
한편 단체에서 개인정보를 처리할 때 CRM만 사용하는 것은 아닙니다. 노트북/데스크탑 컴퓨터에 파일로 저장된 개인정보를 취급하기도 하고, 구글 독스/구글 시트처럼 여러 명이 협업 가능한 클라우드형 서비스를 이용하는 경우도 있습니다.
법령에서 ‘개인정보처리시스템’과 ‘컴퓨터’는 별개로 취급하여, 개인정보처리시스템을 이용할 때의 안전조치와 (시스템에 접속하지 않은 채로) 컴퓨터에 저장된 파일을 처리할 때의 안전조치를 구분하고 있습니다. 개인정보처리시스템은 외부 서비스의 형태를 할 수도 있고, 업무용 컴퓨터에 설치하여 운영할 수도 있습니다.
<개인정보 안전성 확보조치 기준 해설서>(개인정보보호위원회보 안전성 확보조치 기준 해설서>(개인정보보호위원회·한국인터넷진흥원, 이하<안전조치해설서>)에 따르면 “데이터베이스 응용프로그램이 설치·운영되지 않는 PC, 노트북과 같은 업무용 컴퓨터는 개인정보처리시스템에서 제외된다”고 하는데요. 다시 말해 업무용 컴퓨터 역시 사용 방식에 따라 개인정보처리시스템으로 간주할 수 있습니다. 예를 들어 노트북 한 대에 회원 전체 개인정보를 파일로 저장해놓고 그 기기에서 회원 관련 업무를 처리한다면, 해당 기기를 개인정보처리시스템으로 볼 수 있습니다. 따라서 해당 노트북에 안전 조치가 적용되어야 하겠지요.
요즘은 클라우드 기반 협업 서비스를 활용해 업무를 처리하는 경우가 많지요. 이런 경우에는 ‘개인정보처리시스템’의 범위가 다소 모호해집니다. 클라우드 서비스는 기본적으로 데이터베이스시스템에 자료를 저장하지만, 담당자 입장에서는 업무용 컴퓨터를 이용해 해당 데이터를 파일 형식으로 다루는 경우도 있습니다. 예를 들어 구글 드라이브에 업로드한 회원 정보 엑셀 파일을 웹브라우저로 접속해 구글 시트로 편집할 경우, 이것은 ‘체계적으로 구성한’ 개인정보처리시스템이라고 봐야 할까요?
| 사례 구글 드라이브를 개인정보처리시스템으로 해석한 사례는 방송통신위원회 심의·의결 제2018-47-429호 “개인정보보호 법규 위반사업자에 대한 시정조치에 관한 건”에서 찾아볼 수 있습니다. 당시 방통위는 구글 드라이브 계정을 이용해 가입신청서를 관리한 이동통신서비스 판매업자가 개인정보 안전성 확보조치를 어겼다고 지적하면서, 구글 드라이브를 개인정보처리시스템으로 보고 접근통제 및 접속 기록 관리의 의무를 위반했다고 의결했습니다. 해당 시정조치의 근거는 당시 정보통신망법으로 엄밀히 말해 현재의 개인정보보호법은 아니지만, 2020년 8월 개정 「개인정보 보호법」이 시행됨에 따라 정보통신망법의 개인정보 보호 관련 규정이 「개인정보 보호법」으로 통합된 것이기 때문에 안전성 확보조치의 골자는 유사합니다. 따라서 현행법에서도 구글 드라이브를 개인정보처리시스템으로 해석할 여지가 있다고 볼 수 있습니다. |
방통위 사례에서 보듯 단일한 ‘개인정보처리시스템’이 아니라 클라우드 서비스를 사용하더라도 이것이 단체가 보유한 개인정보를 체계적으로 다루는 주요한 방식이라면 개인정보처리시스템이라고 볼 여지가 있습니다. [보호조치 기준 해설서]에서는 “개인정보처리자의 개인정보 처리방법, 시스템 구성 및 운영환경 등에 따라” 개인정보처리시스템이 달라질 수 있다고 설명합니다.
이 가이드에서는 ‘개인정보처리시스템’을 가급적 보수적으로 해석합니다. 즉 노트북에 엑셀 파일로 저장된 회원명부를 한글, 엑셀 등 범용 프로그램으로 다루거나 클라우드형 서비스에 업로드한 개인정보를 (구글 시트 등) 온라인 도구로 다루는 작업도 개인정보처리시스템을 구성한 것이라고 가정하고 서술합니다.
그 이유는 두 가지입니다. 혹시라도 안전조치 기준을 잘 적용했는지 아닌지 법리를 따져야 하는 상황이 생길 경우, 조치를 덜 해두는 것보다는 많이 해두는 것이 낫겠죠. 또한 법적인 측면과 별개로 가급적 폭넓은 안전조치를 취하는 것이 실질적인 보안 측면에서 바람직하기 때문이기도 합니다.
그밖의 용어
🟢 개인정보
살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도(예: 연락처, 이메일 주소) 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함합니다.
🟢 개인정보 처리방침
개인정보처리자가 개인정보 처리에 관한 내부 방침을 정해 공개하는 자율규제 장치. 개인정보의 처리 목적, 항목, 보유 및 이용 기간, 3자 제공 또는 위탁에 관한 사항, 정보주체의 권리행사 방법 등을 포함하는 문서로, 개인정보 처리에 영향을 받는 정보주체가 자신의 개인정보가 어떻게 처리되는지 이해할 수 있도록 하는 것을 목적으로 합니다.
🟢 개인정보 유출
법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용하는 일.
🟢 공유설정
컴퓨터 소유자의 파일을 타인이 조회·변경·복사 등을 할 수 있도록 설정하는 것.
🟢 내부관리계획
개인정보처리자가 개인정보를 안전하게 처리하기 위하여 내부 의사결정절차를 통하여 수립·시행하는 내부 기준.
🟢 공개된 무선망
불특정 다수가 무선접속장치(AP, 흔히 ‘공유기’라고 부르는 장비)를 통하여 인터넷을 이용할 수 있는 망으로, 흔히 카페, 도서관, 교통시설, 공공기관 등에 설치된 와이파이 등을 지칭합니다.
🟢 비밀번호
정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자(아이디)와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말합니다.
🟢 처리
개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위.
🟢 정보주체
처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람. 예컨대 후원회원 명단을 우리 단체가 처리하는 상황에서 정보주체는 후원회원입니다.
🟢 인증정보
개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속을 요청하는 자의 신원을 검증하는데 사용되는 정보.
🟢 이용자
정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자. 법적으로는 “이용자”와 “이용자가 아닌 정보주체”를 구분하여 안전조치 기준도 별도로 적용되나, 이 가이드에서는 둘을 엄밀히 구분하지 않고 사용합니다.
🟢 접속 기록
개인정보처리시스템에 접속하는 자가 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것.
🟢 접근통제
개인정보처리시스템에서 담고 있는 개인정보를 보호하기 위하여 기록에 대한 접근을 제한하거나 허용하는 기록 관리 과정.
🟢 접근권한
읽기(read), 쓰기(write), 삭제(delete) 등 디렉토리나 파일에 대해 사용자가 접근 및 수행할 수 있는 작업 권한.