오늘날 기업들은 비용절감, 업무의 효율성, 서비스 품질 향상 등의 이유로 외부 기업 또는 개인사업자에게 개인정보 처리 업무를 위탁 운영하는 경우가 증가하고 있다. 하지만, 개인정보 처리 업무 위탁 즉, 수탁사가 증가할수록 제공되는 개인정보의 종류와 량이 증가하며, 이에 따른 관리 포인트와 보안 위협도 함께 증가하게 된다. 따라서, 본 연구에서는 개인정보 처리 업무 위탁 시 준수해야 할 법률사항을 분석하고, 현재 개인정보 처리 업무를 위탁 받아 사업을 진행하는 수탁사들의 개인정보보호 수준 분석 및 문제점을 도출하여 기업이 개인정보 처리 업무 위탁에 있어서 개인정보를 보호하고 수탁사들을 효과적으로 관리 감독할 수 있는 방안에 대하여 제안하고자 한다.
오늘날 기업들은 비용절감, 업무의 효율성, 서비스 품질 향상 등의 이유로 외부 기업 또는 개인사업자에게 개인정보 처리 업무를 위탁 운영하는 경우가 증가하고 있다. 하지만, 개인정보 처리 업무 위탁 즉, 수탁사가 증가할수록 제공되는 개인정보의 종류와 량이 증가하며, 이에 따른 관리 포인트와 보안 위협도 함께 증가하게 된다. 따라서, 본 연구에서는 개인정보 처리 업무 위탁 시 준수해야 할 법률사항을 분석하고, 현재 개인정보 처리 업무를 위탁 받아 사업을 진행하는 수탁사들의 개인정보보호 수준 분석 및 문제점을 도출하여 기업이 개인정보 처리 업무 위탁에 있어서 개인정보를 보호하고 수탁사들을 효과적으로 관리 감독할 수 있는 방안에 대하여 제안하고자 한다.
Nowadays, it is increasing that corporates consign tasks related to the personal information processing to the consignees for efficiency and quality improvements and cost reductions. As the consignments are increased, there are increases on types and amounts of personal information. Therefore, the n...
Nowadays, it is increasing that corporates consign tasks related to the personal information processing to the consignees for efficiency and quality improvements and cost reductions. As the consignments are increased, there are increases on types and amounts of personal information. Therefore, the needs on the information managements and the security threats are increased. This report will analyze the laws that consignors and consignees should follow. Moreover, it identifies issues and analyzes the current levels on consignees in terms of the personal information protection so that the consignors can come up with the best and efficient way to monitor the consignees when they consign the personal information processing tasks.
Nowadays, it is increasing that corporates consign tasks related to the personal information processing to the consignees for efficiency and quality improvements and cost reductions. As the consignments are increased, there are increases on types and amounts of personal information. Therefore, the needs on the information managements and the security threats are increased. This report will analyze the laws that consignors and consignees should follow. Moreover, it identifies issues and analyzes the current levels on consignees in terms of the personal information protection so that the consignors can come up with the best and efficient way to monitor the consignees when they consign the personal information processing tasks.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
또한, 법률에서는 개인정보 처리 업무 위탁에 대한 개인정보보호를 강화하기 위해 개인정보보호에 있어서 위탁사는 수탁사를 관리․감독해야 할 의무를 규정하고 있어 기업입장에서는 이를 위한 보안강화방법이 절실한 상황이다. 따라서, 본 연구에서는 개인정보 처리 업무 위탁에 대한 법률사항을 분석하고, 현재 개인정보 처리 업무를 위탁 받아 사업을 진행하는 수탁사들에 대한 개인정보보호 수준 분석 및 문제점을 도출하여 개인정보를 보호하고 수탁사들을 보다 효과적으로 관리․감독할 수 있는 방안에 대하여 제안하고자 한다.
본 연구에서는 그동안 개인정보 처리 위탁 부분에서 전혀 제기되고 있지 않았던 개인정보보호에 관한 법률적 검토와 수탁사들에 대한 개인정보보호 실태를 분석하고 문제점을 도출하였다. 이러한 분석을 토대로 기업이 개인정보보호를 위해 수탁사들을 보다 효율적으로 관리․감독할 수 있는 위한 방안으로 수탁사 내부관리계획 수립을 위한 표준양식 마련, 수탁사 개인정보 취급자를 대상으로 주기적인 개인정보보호 및 정보보호 교육, 수탁사에 대한 개인정보보호 실태점검 프로세스 수립, 수탁사 관리․감독 및 통제를 위한 기준 마련, 조직의 일원화라는 개선 방안과 법률 개선방안을 제시하였다.
제안 방법
개인정보보호를 위한 기업의 수탁사 관리 실태를 조사하기 위해 우선적으로 수탁사들의 개인정보보호 수준평가를 실시하였다. 수탁사들에 대한 수준평가 방법은 자기기입식 설문조사 방식을 채택하였다.
수탁사들에 대한 수준평가 방법은 자기기입식 설문조사 방식을 채택하였다. 또한, 이 방식의 단점을 보완하기 위해 각 점검항목에 대한 증빙자료 제출을 요구하고 이를 분석 후 실사를 통해 사실 유무를 확인하여 신뢰성을 높였다. 점검항목은 정보통신망법 및 개인정보보호법을 기준으로 법적 준거성 확보에 중점을 두어 제작하였으며 구성은 다음 [표 5]와 같다.
보안수준 평가방법은 각 점검항목에 대한 중요도를 [표 6]과 같이 법률에 명시되어 있으며 법률 미준수 시 과태료가 부과되는 항목은 H(3점), 단순 법률 명시항목은 M(2점), 법률에 명시되어 있지 않으며 과태료도 없는 항목은 L(1점)으로 구분하였으며, 점검결과는 [표 7]과 같이 완료는 Y(1점), 부분완료는 P(0.5점), 미완료 또는 해당사항이 없으면 N 또는 N/A(0점)으로 평가하여 각 점검항목별 평가결과, 도메인별 전체점수, 전체 보안수준으로 산출하였다. 보안수준 산출식은 [표 8]과 같다.
본 논문에서 제안한 수탁사 개인정보보호 관리체계에 대한 그 실효성 검증방법은 수탁사를 위한 내부관리계획 표준양식 배포 및 표준 계약서, 수탁사의 체계 적인 관리를 위한 조직구성, 수탁사의 개인정보 취급자 대상 집체교육, 수탁사 개인정보보호 실태점검 프로세스, 수탁사 점검 결과를 통한 벌점 부과 및 제재의 필요성 및 수탁사 점검항목에 대한 적합성 여부를 판단하고자 실제 1년 이상 수탁사 관리 및 보안 업무를 담당하는 인력 40명을 대상으로 E-mail 또는 직접 설문 방법을 사용하였으며, 1차 점검에 참여했던 4개 위탁사와 65개 수탁사를 대상으로 사례 검증을 실시하였다.
점검항목 설문 검증은 답변항목에 대하여 “매우필요”, “필요”, “보통”, “필요없음”, “전혀필요없음”의 5개 항목으로 “매우필요”, “필요”는 , “보통”은 , “필요없음”, “전혀필요없음”은 으로 정리 하였다.
또한, 이 방식의 단점을 보완하기 위해 각 점검항목에 대한 증빙자료 제출을 요구하고 이를 분석 후 실사를 통해 사실 유무를 확인하여 신뢰성을 높였다. 점검항목은 정보통신망법 및 개인정보보호법을 기준으로 법적 준거성 확보에 중점을 두어 제작하였으며 구성은 다음 [표 5]와 같다.
표준 위탁 계약서는 안행부에서 제공하는 “표준 개인정보처리위탁 계약서(안)”을 참고하였으며 개인정보취급방침 수립, 개인정보관리책임자 지정, 보안점검 리스트 항목, 개인정보보호 교육 의무화, 보안점검 결과에 따른 제재 및 계약 파기, 계약서의 효력 및 유효 기간을 추가하였다.
대상 데이터
설문조사는 2012년 1월부터 4월까지 4개 기업에서 개인정보 처리 업무 위탁을 받은 총 65개 수탁사를 대상으로 진행되었으며, 65개(100%) 수탁사의 설문 및 증빙자료가 회수되었다.
수탁사 개인정보보호 관리체계 프로세스의 실제 적용 결과를 확인하기 위해 1차 점검에 참여했던 4개 위탁사와 65개 수탁사를 대상으로 사례 검증을 실시하였다. 사례 검증 방법은 [표 29]와 같다.
총65개 수탁사를 위탁업무 특성에 따라 실명인증 및 추심업무 위탁업체(9개), DM 발송 위탁업체(10개), SMS/MMS 발송 위탁업체(4개), 카드/매거진 배송위탁업체(8개), 상품배송 위탁업체(8개), 개인영상정보(CCTV) 시스템 유지보수 위탁업체(3개), 상품API 개발 위탁업체(6개), 기타 업무 위탁업체(6개), 콜센터 위탁업체(6개) 등 총 9개의 위탁업무 군으로 분류하였다.
이론/모형
개인정보보호를 위한 기업의 수탁사 관리 실태를 조사하기 위해 우선적으로 수탁사들의 개인정보보호 수준평가를 실시하였다. 수탁사들에 대한 수준평가 방법은 자기기입식 설문조사 방식을 채택하였다. 또한, 이 방식의 단점을 보완하기 위해 각 점검항목에 대한 증빙자료 제출을 요구하고 이를 분석 후 실사를 통해 사실 유무를 확인하여 신뢰성을 높였다.
성능/효과
7%로 낮은 수준인 것으로 조사되었다. SMS/MMS 발송 위탁업체가 78.8%로 가장 높은 보안수준 및 법적 준거성을 만족하였으나, 그 외의 위탁군은 50%를 조금 상위하거나 그 이하로 조사되어 수탁사를 통한 개인정보 유출사고의 발생 가능성이 높은 것으로 확인되었다.
수탁사 개인정보보호 관리체계에 대한 필요성 설문 검증은 답변항목에 대하여 “필요”, “불필요”로 정리하였다. [표 27]과 같이 수탁사를 위한 내부관리계획 표준양식 배포 및 표준 계약서의 필요성(97.5%), 체계적인 관리를 위한 조직구성의 필요성(92.5%), 수탁사의 개인정보 취급자 대상 집체교육의 필요성(90.0%), 수탁사 개인정보보호 실태점검 프로세스의 필요성(95.0%), 점검 결과를 통한 벌점 부과 및 제재의 필요성(92.5%)에 대하여 90%이상이 필요하다는 결과가 도출되었다. 수탁사의 개인정보취급자에 대해서 위탁사가 정보보호 집체 교육을 진행해 줄 필요는 없다는 응답도 있었으나 기본적으로 수탁사 개인정보 보호 관리체계의 중요성에 대해서는 “동감한다“는 의견이었다.
점검항목 설문 검증은 답변항목에 대하여 “매우필요”, “필요”, “보통”, “필요없음”, “전혀필요없음”의 5개 항목으로 “매우필요”, “필요”는 <적합>, “보통”은 <보통>, “필요없음”, “전혀필요없음”은 <부적합>으로 정리 하였다. [표 28]과 같이 개인정보보호 내부관리계획및 개인정보(100.0%), 개인정보취급자 관리(92.5%), 개인정보 저장 및 관리(87.5%), 개인정보 처리(83.8%), 개인정보 제공(100.0%), 개인정보 파기(90.0%), 시스템 보호(86.3%), 열람/정정/삭제 대응(87.5%)의 8개 도메인에 대하여 적합하다는 결과가 도출되었다. 대부분의 항목이 90%이상 적합하다는 결과가 도출되었지만, 개인정보 처리, 시스템 보호의 필요성에 대해서는 부적합 의견이 다소 존재하는데이는 법률에서 요구하는 안정성 확보조치에 대한 이해가 부족하기 때문인 것으로 파악된다.
개인정보의 저장 및 전송 시 암호화를 적용하고 있는 수탁사는 52.3%(34개)로 조사되었으며, 저장 시에만 암호화를 적용한 수탁사가 16.9%(11개)사로 조사되어 개인정보 암호화에 대한 적용이 시급하다. 또한, 개인정보가 포함된 문서 보관 시 보안장치가 설치된 안전한 장소에 보관하는 수탁사는 12.
5%(27개)로 조사되어 수탁사의 절반 이상이 접속 기록 위/변조 방지에 대한 대책이 부재한 것으로 나타났다. 개인정보처리시스템 및 업무용PC에 접근통제 장치가 미설치된 수탁사가 46.2%(30개)이며 부분적으로 적용된 수탁사가 21.5%(14개)로 매우 낮은 수준으로 조사되어 비인가자의 의한 개인정보 유출 가능성이 높은 것으로 조사되었다. 또한, 개인정보취급자의 인사이동 및 퇴직 시 접근권한에 대한 변경, 말소 처리 여부는 부분적으로 시행하고 있는 수탁사가 53.
6%로 조사되었다. 개인정보처리시스템 즉, DBMS에 대한 개인정보취급자의 접근내역을 저장하고 있는 수탁사는 49.2%(32개)로 낮은 준수율을 보이고 있으며, 16.9%(11개)는 부분적으로 적용하고 있는 것으로 조사되었다. 또한, 개인정보가 기록되어 있는 문서에 대한 출력 및 복사 시 이에 대한 개인정보관리책임자의 승인을 받고 관리대장을 기록․관리하고 있는 수탁사는 41.
그 결과 [표 30]과 같이 평균 보안수준은 87.0%로 최초 실태조사 때의 45.5%보다 약 42% 상승되었음을 확인 할 수 있었다. 특히, 개인정보보호 내부관리 계획 및 개인정보취급방침 수립, 개인정보취급자 관리, 개인정보 열람/정정/삭제 요구 대응 부분의 보안 수준이 크게 증가하였는데, 이는 위탁사에서 제공한 표준 개인정보보호 내부관리계획이 반영되고 수탁사 개인정보 취급자에 대한 집체교육이 진행되었기 때문인 것으로 분석될 수 있다.
넷째, 수탁사 관리․감독 및 통제를 위한 기준이 마련되어야 한다. 위탁사는 수탁사 개인정보보호 실태점검 프로세스를 통해 법 준수율 및 보안수준을 파악했다면 그 결과에 따라 수탁사를 통제할 수 있는 기준을 마련해야 한다.
0%로 약 42% 상승되었음을 확인하였다. 따라서 위탁사의 관리․감독이 강화 될수록 수탁사의 개인정보보호 수준이 증가되고 그 결과 개인정보 유출 가능성도 낮아짐을 확인하였다.
5%(1개)로 조사되었다. 따라서, 정보주체가 위탁사 또는 수탁사에게 자신의 개인정보에 대한 열람/정정/삭제/처리정지 요구 시 체계 적인 대응이 어려워 정보주체 및 위탁사와의 분쟁이 발생할 가능성이 높은 것으로 나타났다.
0%(26개)는 목적이 달성된 개인정보에 대하여 지체 없이 파기를 하고 있으나 파기 결과를 위탁사에 통보하지 않고 있어 위탁사는 이에 대한 철저한 관리가 필요하다. 또한, 개인정보 파기 시 파일완전삭제 프로그램 및 장치 완전파괴 방법을 사용하고 있는 수탁사는 30.8%(20개)로 조사되었으며, 두 방법 중 하나만 사용하고 있는 수탁사가 10.8%(7개), 완전삭제 및 파괴 방법을 사용하지 않는 수탁사가 24.6%(16)개로 조사되어 하드 또는 외부 저장장치가 유출 되었을 시 파일을 복구를 통해 개인정보가 유출될 가능성이 존재하는 것으로 나타났다.
9%(11개)사로 조사되어 개인정보 암호화에 대한 적용이 시급하다. 또한, 개인정보가 포함된 문서 보관 시 보안장치가 설치된 안전한 장소에 보관하는 수탁사는 12.3%(8개)로 매우 낮게 조사되었으며, 수탁사의 87.7%(56개)가 계약서는 보안장치가 설치된 캐비넷이나 문서보관함에 보관하고 있었으나 개인정보가 포함된 일반 문서는 방치하고 있어 문서를 통한 개인정보 유출 가능성이 존재하였다.
이러한 분석을 토대로 기업이 개인정보보호를 위해 수탁사들을 보다 효율적으로 관리․감독할 수 있는 위한 방안으로 수탁사 내부관리계획 수립을 위한 표준양식 마련, 수탁사 개인정보 취급자를 대상으로 주기적인 개인정보보호 및 정보보호 교육, 수탁사에 대한 개인정보보호 실태점검 프로세스 수립, 수탁사 관리․감독 및 통제를 위한 기준 마련, 조직의 일원화라는 개선 방안과 법률 개선방안을 제시하였다. 또한, 개인정보보호를 위한 수탁사 관리체계에 대한 사례 검증 결과, 1차 점검 시 45.5%였던 보안수준이 87.0%로 약 42% 상승되었음을 확인하였다. 따라서 위탁사의 관리․감독이 강화 될수록 수탁사의 개인정보보호 수준이 증가되고 그 결과 개인정보 유출 가능성도 낮아짐을 확인하였다.
세부결과를 살펴보면 개인정보보호 내부관리계획 및 개인정보취급방침 수립, 개인정보취급자 관리, 개인정보 처리, 개인정보 제공, 개인정보 열람/정정/삭제 요구 대응 부분은 이행완료 비율이 높은 편이나 개인정보 파기, 개인정보처리시스템의 보호조치 부분과 같이 시스템적으로 보안을 적용해야하는 부분은 현실 적으로 즉시 이행이 불가능한 부분이 다수 존재하여 이행계획서제출 비율이 높은 것으로 확인되었다. 따라서, 반드시 위탁사는 수탁사가 이행계획서의 내용에 따라 보안적용을 완료 했는지 확인할 필요가 있다.
3.1 개인정보보호 내부관리계획 및 개인정보취급 방침 수립
수탁사들의 개인정보보호 내부관리계획 및 개인정보취급방침 수립에 대한 보안수준은 48.2%로 조사되었다
. 수탁사의 32.
2%로 조사되었다. 수탁사의 32.3%(21개)가 자체적인 개인정보보호 내부관리계획 수립하고 있으며, 40.0%(26개)가 개인정보취급방침을 보유하고 있는 것으로 조사되었다. 이는 개인정보를 수집하는 일반 사업체의 53%[8]에 비해 낮은 수치이다.
5%로 조사되었다. 이 중 개인정보취급자에 대한 현황을 관리하고 있는 곳은 41.5%(27개), 개인정보취급자에 대하여 년2회 이상 교육을 진행하고 있는 곳은 12.3%(8개), 개인정보취급자 채용 시 보안서약서를 징구하고 있는 곳은 66.2%(43개)로 확인되었다.
본 연구에서는 그동안 개인정보 처리 위탁 부분에서 전혀 제기되고 있지 않았던 개인정보보호에 관한 법률적 검토와 수탁사들에 대한 개인정보보호 실태를 분석하고 문제점을 도출하였다. 이러한 분석을 토대로 기업이 개인정보보호를 위해 수탁사들을 보다 효율적으로 관리․감독할 수 있는 위한 방안으로 수탁사 내부관리계획 수립을 위한 표준양식 마련, 수탁사 개인정보 취급자를 대상으로 주기적인 개인정보보호 및 정보보호 교육, 수탁사에 대한 개인정보보호 실태점검 프로세스 수립, 수탁사 관리․감독 및 통제를 위한 기준 마련, 조직의 일원화라는 개선 방안과 법률 개선방안을 제시하였다. 또한, 개인정보보호를 위한 수탁사 관리체계에 대한 사례 검증 결과, 1차 점검 시 45.
후속연구
둘째, 수탁사의 개인정보 취급자를 대상으로 주기적인 개인정보보호 및 정보보호 교육이 필요하다. 위탁사는 개인정보보호법의 개인정보 안전성 확보조치 기준 제3조 2항 및 정보통신망법 안정성확보조치 제3조 4항에 의거하여 개인정보취급자에 대한 주기적인 교육을 실시해야 한다.
첫째, 수탁사의 개인정보보호 내부관리계획 수립을 위한 표준양식 및 위탁업무 표준 계약서가 마련되어야 한다. 실태점검 결과를 통해 알 수 있듯이 수탁사 중 30.
질의응답
핵심어
질문
논문에서 추출한 답변
개인정보 제공은 무엇을 뜻하는가?
개인정보는 수집, 저장, 이용 및 제공, 파기의 라이프 싸이클이라는 흐름을 가지고 있다. 이 중에서 개인정보 제공의 의미는 “개인정보의 저장매체 또는 개인정보가 담긴 출력물이나 책자 등의 물리적 이전, 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 개인정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전과 공동으로 이용할 수 있는 상태를 초래하는 모든 행위”를 뜻한다.[5] 즉, 정보 주체로부터 수집한 개인정보를 정보주체와 수집주체 외의 제3자에게 이전, 전송, 공유, 접근허용 등의 포괄적인 행위로 해석할 수 있다.
개인정보는 어떤 라이프 싸이클을 갖고 있는가?
개인정보는 수집, 저장, 이용 및 제공, 파기의 라이프 싸이클이라는 흐름을 가지고 있다. 이 중에서 개인정보 제공의 의미는 “개인정보의 저장매체 또는 개인정보가 담긴 출력물이나 책자 등의 물리적 이전, 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 개인정보처리자와 제3자의 개인정보 공유 등 개인정보의 이전과 공동으로 이용할 수 있는 상태를 초래하는 모든 행위”를 뜻한다.
개인정보 처리업무 위탁과 개인정보의 제 3자 제공은 어떤 차이점이 있는가?
정보주체로부터 수집된 개인정보가 제3자에게 이전, 제공, 공동이용되는 측면에서 개인정보 처리업무 위탁과 개인정보의 제 3자 제공은 동일하다고 할 수 있다. 하지만, ‘개인정보처리업무 위탁’의 경우에는 수집주체(개인정보처리자) 의 서비스 또는 업무를 처리할 목적으로 개인정보가 제3자(수탁자)에게 이전되는 것이며, ‘제3자 제공’은그 제3자의 서비스 또는 업무를 처리할 목적 및 그 제 3자의 이익을 위해서 개인정보가 이전 된다는 점이 다르다. 또한 업무위탁의 경우에는 개인정보가 이전된 후에도 개인정보처리자(수집주체)의 관리․감독을 받지만, 제3자 제공은 개인정보가 제공된 이후에는 제3자가 자신의 책임 하에 개인정보를 처리하게 되며 개인정보처리자(수집주체)의 관리․감독권이 미치지 못한다.[6] 위탁과 제3자 제공의 구분은 [그림 2]와 같이 표현될 수 있다.
참고문헌 (8)
한국인터넷진흥원, "2013 국가정보보호백서", pp. 125, 2013년 4월.
한국인터넷진흥원, "2012년 12월 인터넷 침해사고 대응통계 월보", 2013년 1월.
법제처, "서울중앙지방법원 2011.1.17., 선고, 2010노 2850, 판결", 2011년 1월.
법제처, "수원지법 2005.7.29., 선고, 2005고합 160, 판결:확정", 2005년 7월.
행정안전부, "표준 개인정보보호 지침", pp. 7, 2011년 9월.
행정안전부, "개인정보 보호법령 및 지침고시 해설", pp. 94, 2011년 12월
개인정보분쟁조정위원회, "2004년 개인정보 분쟁 조정 사례집", pp. 223, 2004년 12월.
한국인터넷진흥원, "2012년 정보보호 실태조사 (기업편)", pp. 104, 2013년.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.