최근 개인정보를 취급하는 개인정보처리자의 비용절감, 전문성을 통한 업무효율성의 증대 및 서비스 품질 개선 등의 다양한 목적에 따라 개인정보의 처리 업무를 제3자에게 위탁하는 경우가 늘어나고 있다. 이렇듯, 정보주체의 개인정보가 개인정보처리자가 아닌 제3자에 의하여 이루어지는 위탁업무가 증가함에 따라 개인정보를 위탁받아 처리하는 수탁사에 대한 개인정보보호에 대한 관심과 노력 또한 당연히 증대되어야 할 것이다. 이에, 본 논문에서는 이러한 취지에 기반하여 개인정보 위수탁 업무 진행 시 수탁사를 위한 효율적인 관리방안 뿐만 아니라, 위탁사가 위수탁 업무 전반에 걸쳐 개인정보보호 프레임웍을 정립하고 이를 토대로 수탁 업체 선정 및 계약 단계에서부터 위수탁 업무 운영 및 관리, 위수탁 업무 계약 해지 및 종료에 이르는 각 단계에서 고려해야할 개인정보보호 요건들을 제안하고자 한다.
최근 개인정보를 취급하는 개인정보처리자의 비용절감, 전문성을 통한 업무효율성의 증대 및 서비스 품질 개선 등의 다양한 목적에 따라 개인정보의 처리 업무를 제3자에게 위탁하는 경우가 늘어나고 있다. 이렇듯, 정보주체의 개인정보가 개인정보처리자가 아닌 제3자에 의하여 이루어지는 위탁업무가 증가함에 따라 개인정보를 위탁받아 처리하는 수탁사에 대한 개인정보보호에 대한 관심과 노력 또한 당연히 증대되어야 할 것이다. 이에, 본 논문에서는 이러한 취지에 기반하여 개인정보 위수탁 업무 진행 시 수탁사를 위한 효율적인 관리방안 뿐만 아니라, 위탁사가 위수탁 업무 전반에 걸쳐 개인정보보호 프레임웍을 정립하고 이를 토대로 수탁 업체 선정 및 계약 단계에서부터 위수탁 업무 운영 및 관리, 위수탁 업무 계약 해지 및 종료에 이르는 각 단계에서 고려해야할 개인정보보호 요건들을 제안하고자 한다.
Recently, the number of companies consigning their personal information management work has been increasing; they consign the work for various reasons and purposes, for example, in order to reduce costs related to personal information managers, improve efficiency through professional performance and...
Recently, the number of companies consigning their personal information management work has been increasing; they consign the work for various reasons and purposes, for example, in order to reduce costs related to personal information managers, improve efficiency through professional performance and to improve service quality. As such, since the cases where an consigning agency - not the personal information manager - handles personal information are increasing due to the increase of consigning of the personal information management work, we need to concerned with and pay attention to how much such agency makes efforts for personal information protection. In this regard, this study suggests a plan for efficient management of the agency during the course of consigning work as well as a list of requirements for personal information protection to be considered in each phase of the following; establishment of personal information protection framework for all consigning work processes, selection of consigning agency, execution of consigning contract, operation and management of consigning work, and termination of contract.
Recently, the number of companies consigning their personal information management work has been increasing; they consign the work for various reasons and purposes, for example, in order to reduce costs related to personal information managers, improve efficiency through professional performance and to improve service quality. As such, since the cases where an consigning agency - not the personal information manager - handles personal information are increasing due to the increase of consigning of the personal information management work, we need to concerned with and pay attention to how much such agency makes efforts for personal information protection. In this regard, this study suggests a plan for efficient management of the agency during the course of consigning work as well as a list of requirements for personal information protection to be considered in each phase of the following; establishment of personal information protection framework for all consigning work processes, selection of consigning agency, execution of consigning contract, operation and management of consigning work, and termination of contract.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
따라서 위탁사는 수탁사에 대하여 정기적인 교육을 실시하는 외에 수탁사의 개인정보처리 현황 및 실태, 목적외 이용․제공, 재위탁 여부, 안전성 확보조치 여부 등을 정기적으로 조사․점검하여야 한다.5) 이러한 법령상 의무 이행 요건을 보다 효과적으로 이행하기 위해서 본 절에서는 1)수탁사 현황을 분류하고 관리 기준을 수립하는 방안과 더불어 이러한 관리 기준에 따라 2) 수탁사 개인정보보호 수준 진단 및 평가체계를 운영하기 위한 방안을 제시하고자 한다.
강태훈[1], 이용진[2]의 연구에서처럼 위탁업무 특성을 고려한 진단 항목을 개발하는 것도 의미가 있지만, 본 논문에서는 ‘1)수탁사 현황 분류 및 관리 기준 수립’에서 언급한 관리 기준에서 도출된 고위험군 여부에 따라 다음과 같은 수탁사 진단 기준 체계를 마련할 것을 권고하고자 한다.
개인정보의 위수탁 업무 목적을 달성하여 더 이상 해당 업무를 위한 개인정보를 제3자에게 위탁할 필요가 없어지거나, 수탁사의 교체로 인하여 이전 수탁사와의 계약을 해지하는 경우, 즉 위수탁 업무의 계약 해지 및 종료 단계에서 고려하여야 할 사항에 대하여 살펴보고자 한다.
개인정보 위수탁 업무 관리 기준은 엄밀히 말하자 면, 개인정보처리자의 개인정보보호 관리체계라는 거시적 관점에서 접근하여 해당 개인정보처리자의 비즈니스 환경 및 업무목적에 부합하도록 수립하는 것이 바람직하다고 할 수 있다. 그럼에도 불구하고, 본 논문에서 제시하고자 하는 위수탁 업무 보안관리 프레임웍에서도 이러한 개인정보 위수탁 업무 관리 기준 부분은 반드시 짚고 넘어가야 할 사안이기에 아래와 같은 최소한의 고려사항을 제시하고자 한다.
본 논문에서는 이러한 수탁사 현황 분류 및 관리 기준 수립 시 고려해야 할 요소로 다음과 같은 항목 들을 제시하고자 한다.
본 논문에서는 이러한 취지에 기반하여 개인정보 위수탁 업무 진행 시 기존 연구 성과물들에서 주로 살펴본 수탁사를 위한 진단항목 및 관리기준 뿐만 아니라, 위탁사가 위수탁 업무 전반에 걸쳐 반드시 고려해야 할 개인정보보호 프레임웍을 정립하여 이를 토대로 수탁 업체 선정 및 계약 단계에서의 개인정보보호 조치와 위수탁 업무 운영 및 관리 단계에서의 개인정보보호 조치, 위수탁 업무 계약 해지 및 종료 단계에서의 개인정보보호 조치를 마련하기 위한 방안을 제시하고자 한다.
세 번째, ‘계약 해지 및 종료’ 단계에서는 개인정보의 파기 및 회수와 더불어 개인정보 처리 업무의 사후적 쟁점 및 이슈요건들을 완화하기 위한 보증 방안을 마련할 것을 언급하였다. 뿐만 아니라, 이러한 개인정보 처리 위탁 업무 전 과정에서의 수탁사 관리 기준과 위탁사가 기존에 개인정보처리자로서 행하고 있는 개인정보보호 관리체계와의 연계 방안들을 종합한 위수탁 업무 개인정보 보안관리 프레임웍을 제안하고자 하였다.
앞서 소개한 개인정보 위수탁 업무 보안관리 프레ㄴ임웍의 핵심 구성요소인 위수탁 업무 전반에 걸친 개인정보보호 요건들은 어떠한 내용으로 이루어져야 하는지 본 장에서 중점적으로 다루어 보고자 한다. 특히, 3.
첫 번째 단계에서는, 개인정보 위수탁 업무에 따라 고려해야 할 개인정보보호 관련 법적 또는 제도적 기본 요건들을 도출하고자 하였다. 이러한 기본 요건들에 기반하여 두 번째 단계에서는, 위수탁 업체 선정 및 계약에서부터, 위수탁 업무 이행 및 위수탁 업무의 계약 해지 및 종료에 이르는 위수탁 업무 전반적인 과정에서 개인정보보호 관련 이슈사항을 식별하고 점검 및 개선하고자 하였다.
이렇듯, 개인정보를 처리하는 개인정보처리자의 경우 전사적인 개인정보보호 관리체계를 운영하고 있다는 가정하에, 개인정보 위수탁에 따른 보안관리 활동 또한 조직의 개인정보보호 활동과 자연스레 연계됨이 바람직하다 할 것이다. 이를 위해 본 논문에서는 개인정보 위수탁 업무 보안관리 프레임웍의 마지막 축으로 전사 개인정보보호 체계와의 연계를 위한 변화관리 항목을 제시하고자 한다.
이에 본 논문에서는 개인정보 위수탁이 이루어지는 전체 과정을 하나의 비즈니스 업무 프로세스로 분석하여 위수탁 업체의 선정 및 계약 단계에서부터, 위수탁 업무에 대한 이행 및 계약 해지 및 종료에 이르는 전반적인 과정에서 필요한 사항들을 정립하여, 개인정보를 처리하는 위탁사 및 수탁사들이 준수해야할 보안 요건들에 대한 방향성을 수립하고자 하였다.
이에 본 논문에서는 위수탁 업무의 계약 해지 및 종료라는 단계에서 고려해야 할 요소로 개인정보의 수집·이용 목적 달성이라는 점을 감안하여 1)개인정보를 안전하게 파기하였음을 확인하는 것과 수탁사가 수탁 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하는 등의 불법행위를 자행하지 않았음을 보증하기 위한 2)사후관리 보증을 위한 대책을 마련할 것을 제안하고자 한다.
이와같이 본 논문에서 제안하는 바가 개인정보 위수탁 업무의 다양성, 개인정보의 처리를 위탁하는 위탁사 및 위탁받는 수탁사의 비즈니스 환경, 업체 규모 등의 현실적인 요소들과 접목되어 개인정보의 위수탁 업무 과정에서 발생가능한 다양한 보안위험을 줄이고 이를 통해 실질적으로 수탁사에 대한 보안관 리를 강화하여 개인정보 유출 등의 사건·사고를 미연에 예방하는데 조금이나마 기여할 수 있었으면 하는 바람이다.
즉, 수탁사 선정 단계에서부터 수탁업체의 개인정보보호와 관련한 의지 및 그간의 개인정보보호 수준 등에 대한 검토를 거쳐서 개인정보의 위수탁 과정에서 발생할 수 있는 위험요소를 사전에 줄이고자 하는 것이다.
첫 번째 단계에서는, 개인정보 위수탁 업무에 따라 고려해야 할 개인정보보호 관련 법적 또는 제도적 기본 요건들을 도출하고자 하였다. 이러한 기본 요건들에 기반하여 두 번째 단계에서는, 위수탁 업체 선정 및 계약에서부터, 위수탁 업무 이행 및 위수탁 업무의 계약 해지 및 종료에 이르는 위수탁 업무 전반적인 과정에서 개인정보보호 관련 이슈사항을 식별하고 점검 및 개선하고자 하였다.
첫째, 법/제도적인 관점에서 개인정보의 위수탁 업무 관련한 기본 개인정보보호 요건들을 기반 요구사항으로 도출하였고, 둘째, 이를 토대로 위수탁 업체 선정 및 계약에서부터 위탁업무 운영, 관리감독, 위수탁 업무의 계약 해지 및 종료에 이르기까지의 제반 과정에 필요한 개인정보보호 요구사항들과 마지막으로 이러한 위수탁 과정에서의 개인정보보호 이행활동들이 개인정보처리자 입장의 전사적인 개인정보보호 활동과의 전사적인 변화관리 차원에서 고려되어야할 요건들을 반영하였다. 특히, 두 번째 위수탁 업무 보안 관리 프레임웍으로 제시한 위수탁 업무 이행 과정 제반 과정에 걸친 개인정보보호 요구사항에 대해서는 다음 장에서 보다 상세히 다루고자 한다.
제안 방법
3.1절에서도 언급한 바와 같이 본 논문에서는 위수탁 업무 과정을 ‘위수탁 업체 선정 및 계약’ 단계, ‘위수탁 업무 진행’ 단계 및 ‘위수탁 업무의 계약 해지 및 종료’의 3단계로 구분하고 각 과정별로 반드시 다루어져야 할 개인정보보호 요건들을 고려하였다.
수탁사를 개인정보 수탁 업무 유형에 따라 분류하고 수탁사가 개인정보보호 관련 법령에 따라 준수해야할 의무조항을 도출하였다. 또한 개인정보보호 관련 인증제도인 ISMS, PIMS 등에서 법령 상 의무 조항은 아니더라도 개인정보보호 향상을 위하여 필요한 요건들을 도출하여 수탁사 진단항목을 개발하고 이를 토대로 수탁사를 진단하고 해당 진단 결과를 분석하여 이러한 의무조항의 타당성을 이끌어내는 방식을 적용하였다.
지금까지의 개인정보의 처리 업무를 위탁받아 정보주체의 개인정보 취급업무를 대행하고 있는 수탁사의 개인정보보호 관리체계 강화를 위한 연구[1, 2]는 주로 수탁사를 위한 진단 및 감사 방향에 초점을 맞추어 진행되었다. 수탁사를 개인정보 수탁 업무 유형에 따라 분류하고 수탁사가 개인정보보호 관련 법령에 따라 준수해야할 의무조항을 도출하였다. 또한 개인정보보호 관련 인증제도인 ISMS, PIMS 등에서 법령 상 의무 조항은 아니더라도 개인정보보호 향상을 위하여 필요한 요건들을 도출하여 수탁사 진단항목을 개발하고 이를 토대로 수탁사를 진단하고 해당 진단 결과를 분석하여 이러한 의무조항의 타당성을 이끌어내는 방식을 적용하였다.
지금까지 본 논문에서는 개인정보의 위수탁 업무 처리 과정을 ‘업체 선정 및 계약’ 단계, ‘업무 진행 및 이행’ 단계, ‘계약 해지 및 종료’의 3단계로 구분하고 각 과정별로 반드시 다루어져야 할 개인정보보호 요건들에 대하여 언급하였다.
성능/효과
또한, 두 번째, ‘업무 진행 및 이행’ 단계에서는 기존의 연구 성과들이 주로 수탁사가 준수해야할 점검 항목들을 중심으로 수탁사의 업무 특성을 고려한 개인정보보호 의무 이행 요건들을 도출하고 이를 실제 적용하는 관점으로 진행된 점을 감안하여, 본 논문에 서는 이러한 ‘업무 진행 및 이행’ 단계에서 수탁사 관리를 위한 점검항목 항목 도출과 더불어, 위탁사가 보다 효율적이고 실질적인 수탁사 관리를 수행할 수 있도록 수탁사 관리지수를 통한 수탁사 관리 등급을 분류하는 방안을 제시하였다.
세 번째, ‘계약 해지 및 종료’ 단계에서는 개인정보의 파기 및 회수와 더불어 개인정보 처리 업무의 사후적 쟁점 및 이슈요건들을 완화하기 위한 보증 방안을 마련할 것을 언급하였다.
첫째, 법/제도적인 관점에서 개인정보의 위수탁 업무 관련한 기본 개인정보보호 요건들을 기반 요구사항으로 도출하였고, 둘째, 이를 토대로 위수탁 업체 선정 및 계약에서부터 위탁업무 운영, 관리감독, 위수탁 업무의 계약 해지 및 종료에 이르기까지의 제반 과정에 필요한 개인정보보호 요구사항들과 마지막으로 이러한 위수탁 과정에서의 개인정보보호 이행활동들이 개인정보처리자 입장의 전사적인 개인정보보호 활동과의 전사적인 변화관리 차원에서 고려되어야할 요건들을 반영하였다. 특히, 두 번째 위수탁 업무 보안 관리 프레임웍으로 제시한 위수탁 업무 이행 과정 제반 과정에 걸친 개인정보보호 요구사항에 대해서는 다음 장에서 보다 상세히 다루고자 한다.
특히, 금융회사에 위수탁 업무 중 DM 및 CD/ATM VAN 업무를 위탁받아 처리하고 있는 수탁사를 위한 진단항목을 도출하고 이러한 진단항목에 따라 수탁사로써 개인정보보호 활동을 이행하고 있는지에 대하여 조사하고 이를 통한 수탁사 개인정보보호 현황을 분석하는 등 금융회사 업종을 고려한 수탁사 진단항목을 도출하는 성과였다.
후속연구
물론, 수탁사의 재정적 능력을 초과하여 개인정보보호 의무를 과도하게 요구하는 부분을 최소화하기 위하여, 개인정보 위수탁 업무의 특성, 수탁사의 규모 및 위탁되는 개인정보의 유형 등을 종합적으로 고려하여 개인정보보호 요소를 수탁업체 선정 기준 중의 일부로 적용할 필요가 있을 것이다.
이러한 수탁사 관리 등급 분류를 위한 지수화 방안으로 ①~④에서 언급한 수탁사 관리 항목들과 위탁사의 가중치에 해당하는 보정값을 반영하여 [그림 4]의 예시와 같은 수탁사 관리 기준 지수(OMI 7) )를 산정하고, 이러한 OMI지수에 따라 수탁사를 관리한다면, 보다 효율적이고 현실적인 수탁사 관리 기준을 수립할 수 있을 것이다. 즉, [그림4]에서 보여지는 바와 같이, 각 수탁사별로 산출한 OMI 기준지수를 이용하여, OMI 기준 30% 이내, 30% ~ 80% 사이 및 80% 이하에 해당하는 각각의 수탁사를 중점 관리, 일반관리 및 서면관리 그룹군으로 분류하고 각각 그룹군마다 수탁사 관리 및 평가 기준을 달리 적용할 수 있을 것이다.
이외에도, 위탁업 무를 담당할 수탁사의 개인정보취급자 제한 방안, 수집·이용 목적 달성 시 파기 기한, 수탁사의 개인정보 보호조치 활동과 관련한 보고 방안 및 방법 등을 종합적으로 고려하여 개인정보 위수탁에 따른 SLA 범위 선정 기준으로 활용할 수 있을 것이다.
즉, 개인정보 위수탁 관련 법령 및 내부 정보보호 기준의 변화에 맞추어, 위수탁 관련 개인정보보호 요구사항의 기준 요건 변경, 위수탁 업체 현황 및 위수탁 업무 목적 및 범위 변경 등에 따른 정보주체의 고지 의무 이행 및 개인정보처리방침 변경 등에 필요한 제반 사항들에 대해 전사 개인정보보호 관리체계와 [그림 2]와 같은 유기적인 연관성을 고려하여야 할 것이다.
특히, 위탁된 개인정보의 파기 및 수탁사의 개인정보보호조치 활동 등과 관련하여서는 향후 개인정보 유출 등으로 인해 야기할 수 있는 위·수탁사간 분쟁소지를 최소화하기 위하여 수탁사로서 준수해야 할 개인정보보호 요건에 따른 의무 이행 증적 제시 방안을 구체적으로 명시하는 것이 바람직할 것으로 보인다.
질의응답
핵심어
질문
논문에서 추출한 답변
개인정보 처리 업무 수탁사를 선정할 때 어떤 것을 고려해야하는가?
개인정보보호표준지침 제19조 제1항에서는 개인정보처리자가 개인정보 처리 업무 수탁사를 선정할 때에는 수탁사의 “①인력, ②물적 시설, ③재정 부담능력,
④기술보유정도, ⑤책임능력”과 그 밖에 수탁사의 개인정보의 안전한 처리 및 처리를 위탁받은 개인정보의 보호와 관계되는 사항을 종합적으로 고려하여 선정하여야 한다고 명시하고 있다. 이 중 ①~⑤의 영역이 수탁사의 외형적인 규모를 고려한 사항이라면, 그 밖에 부분에서 언급하고 있는 ‘수탁사의 개인정보의 안전한 처리 및 처리를 위탁 받은 개인정보의 보호와 관계되는 사항’의 영역을 수탁사의 개인정보보호를 위한 내부요소를 감안한 사항으로 판단하여 아래와 같은 수탁업체 선정 기준으로 고려할 수 있을 것으로 보인다.
개인정보 위수탁 보안 관리 프레임웍의 구성은?
첫 번째 단계에서는, 개인정보 위수탁 업무에 따라 고려해야할 개인정보보호 관련 법적 또는 제도적 기본 요건들을 도출하고자 하였다. 이러한 기본 요건들에 기반하여 두 번째 단계에서는, 위수탁 업체 선정 및 계약에서부터, 위수탁 업무 이행 및 위수탁 업무의 계약 해지 및 종료에 이르는 위수탁 업무 전반적인 과정에서 개인정보보호 관련 이슈사항을 식별하고 점검 및 개선하고자 하였다.
또한, 이러한 위수탁 업무에 따른 개인정보보호 활동이 조직 전체의 개인정보보호 변화관리 활동과 연계될 수 있도록 마지막 단계로, 전사적 개인정보보호 관리체계와의 연계 방향을 마련하는 형태로 개인정보 위수탁에 따른 보안관리 프레임웍을 구성하였다.
개인정보의 위수탁 업무 유형은 어떤 것들이 있는가?
개인정보의 위수탁 업무 유형은 기업의 개인정보 취급 목적 및 비즈니스 업태에 따라 다소 차이가 있을 수 있으나 일반적으로는 콜센터를 통한 상담 업무 대행, DM 업체를 통한 고지서 등의 배송, 전산시스템의 개발 및 유지보수 등의 다양한 형태로 나타나고 있다.
참고문헌 (12)
Taehoon Kang, Jongin Yim, Study on Measures to Strengthen Personal Information Protection Consignee Management System, VOL.23, NO.4, 2013, 8, Journal of the Korea Institute of Information Security and Cryptology, pp. 781-797.
Yongjin Lee, Jongin Yim, Study on the Status of Supervision on Management of Financial Company's Personal Credit Information Consignee and Ways of Improvements, Journal of Security Engineering, Vol.11, No.3 (2014), pp.233-250.
Byunghyun Min, Study on Personal Information Management Plan for Consignment Work, 2014, A Master's Thesis for Graduate School of Information and Communication, Sungkyunkwan University
Ministry of Government Legislation, http://www.law.go.kr, Personal Information Protection Act
Ministry of Government Legislation, http://www.law.go.kr, Act on Promotion of Information and Communications Network Utilization and Information Protection, etc.
Ministry of Government Legislation, http://www.law.go.kr, Electronic Financial Transactions Act
Ministry of Government Legislation, http://www.law.go.kr, Use and Protection of Credit Information Act
Korea Internet & Security Agency, "Study on Assessment Methodology of Information Protection Management System Level and Standards of Level", 2010, 9
The Payment Card Industry Security Standards Counsil, Payment Card Industry (PCI) Data Security Standard, Oct (2010).
http://sharedassessments.org/about/, Jan (2012).
NIA(National Information Society Agency), 2012 The first half year of Trend for Oversea Policy Privacy Security, Jun (2012).
Notification of Korea Communication Commission No. 2015-2, 2015. 1. 13
※ AI-Helper는 부적절한 답변을 할 수 있습니다.