08.21
뉴스홈 > 칼럼
기업의 개인정보보호 접근 전략현업의 입장에서 이해하고 적용할 수 있는 실질적인 ‘개인정보보호 업무 가이드’ 수립해야





1. 들어가기
여러 기업에서 개인정보보호를 위한 컨설팅을 수행하다 보면, 개인정보보호에 대한 기업과 일반 개인들의 시각이 다소 차이가 있음을 느끼게 된다. 기업은 개인정보보호를 법적 대응 중심적으로 바라보는 반면, 개인들은 개인의 존엄성을 존중하는 측면으로 개인정보 관리의 중요성을 이야기한다. 이러한 차이는 개인정보보호 접근 전략에서도 다소 차이를 보이게 된다. 예를 들어, 단순히 개인들의 연락처만 있는 정보시스템이 있다면, 법적 기준에 의해 개인을 구분할 수 없으므로 개인정보가 아닌 것이 되어 이 시스템을 특별히 보호할 필요가 없게 된다. 하지만 연락처도 개인의 소중한 가치이므로 철저하게 관리해야 한다면 이 시스템은 보호할 대상이 되는 것이다.

기업의 개인정보보호 접근 전략을 이야기하기 전에 이러한 시각 차이를 언급하는 것은, 기업의 개인정보보호 접근이 단순한 규제(Compliance)대응보다 더 나아가 개인(고객)의 가치제고의 측면으로 다가갈 수 있도록 인식의 전환이 이뤄지길 바람에서이다. 또한 이러한 인식이 갖춰질 때 비로소 기업에서의 개인정보보호 활동이 개인(고객)들에게 인정받을 수 있고, 더 나아가 개인정보보호를 위한 기업의 활동이 기업가치 제고 활동이 되어 기업 내외부로부터 힘을 얻을 수 있을 것이기 때문이다. 기업 활동에 있어 내외부의 힘을 얻을 수 있는 활동이냐 아니냐는 그 추진력에 있어 많은 차이를 가지게 되므로, 개인정보보호 담당자의 입장에서 이것은 매우 중요한 사안이다.

기본적으로 개인정보보호 활동은 기업의 생산성을 높여 수익을 창출하는 것이 아닌, 기업의 마이너스요소(과태료, 손해배상 등)를 줄이는 활동으로 인식하는 경향이다. 그렇지만 여기에다 고객가치 증대라는 마케팅적 가치를 첨가해 더 높은 수익창출에 영향을 미치고 있다는 것을 경영층부터 시스템 운영자까지 두루 인식하도록 유도하는 것이 기업의 개인정보보호 활동의 첫걸음이 될 것이다. 이러한 내용은 아래의 특정기업에서의 개인정보보호 방향에 대한 정의의 예에서 잘 보여진다.

고객정보보호에 대한 기업의 노력과 투명성 필요
- 고객정보보호를 위한 제도적, 기술적 노력
- 고객정보보호 활동의 공개, 고객을 위한 기업으로서의 이미지 확보
- 고객정보보호의 실패는 단기 비용손실 외 장기 기업 존속의 기반인 고객을 잃을 수 있음을 인식

이제 기업의 개인정보보호를 위한 실질적 활동이 무엇이 있고, 어떻게 접근하는지를 몇 가지사례를 들어 기업의 고객정보보호 담당자가 실 업무에 참고할 수 있도록 서술하고자 한다.

기업마다 개인정보를 취급하는 라이프 사이클(수집-저장-이용-전송-파기)이 틀리므로 공통적인 부분만 따로 추출하기는 힘드나, 사례를 참조해 개인정보보호 활동의 근본적인 취지를 이해하면 개인정보보호 담당자로서 다소 도움이 될 수 있을 것이다.

2. 기업의 개인정보보호 접근 전략
대부분의 개인정보보호 담당자들은 기업의 개인정보보호 수준을 높이기 위해서는 본인의 활동만으로는 한계가 있음을 느끼고 있을 것이다. 이유야 다양하겠지만, 가장 큰 이유는 실제 개인정보보호 활동은 개인정보보호 담당자 일부가 수행하는 것이 아니라 각 현업의 담당자들이 한다는 것이다. 이는 개인정보보호 담당자 독자적으로 아무리 열심히 해도, 실제 현업에 있는 사람들이 이해하고 실행하지 않으면 기업의 개인정보보호 수준은 향상되지 않는다는 의미이다. 따라서 이러한 특성을 고려해 개인정보보호 담당자가 취해야 할 접근 전략이 필요하다. 다음은 현업의 개인정보보호 활동을 유도할 수 있는 개인정보보호 담당자의 접근전략의 한 예이다.

<개인정보보호 담당자의 접근전략>
1. 기업의 경영목표와 각종 규제에 부합하는 개인정보보호 원칙과 실 업무 가이드 정립
2. 개인정보보호 활동에 대한 L/H/C(Lead/Help/Check)
3. 대내외 활동 및 규제 모니터링

1. 기업의 경영목표와 각종 규제에 부합하는 개인정보보호 원칙과 실 업무 가이드 정립
기업의 경영목표를 이해하고 그에 맞는 개인정보보호 원칙을 도출해내지 못하면 단순히 규제대응의 측면으로밖에 접근하지 못하며, 따라서 경영층의 힘을 얻기도 힘들어진다. 경영목표에 부합하기 위한 개인정보보호 원칙은 경영층의 힘을 받을 수 있으며, 여기에 각종 법적 규제사항에 부합하도록 조정하면 기업 전반에 걸쳐 강제력과 참여를 이끌어 낼 수 있을 것이다. 따라서, 지켜야 할 현업이 이해하기 쉽도록 핵심적이고 간략하게 원칙을 정립해야 한다.

다음은 기업의 개인정보보호 원칙 정립의 한 예이다.

1. 개인정보 최소 수집의 원칙
-사업 목적에 맞는 최소한의 정보를 수집하되 고객의 명시적·구체적 동의하에 획득해야 한다.
2. 개인정보의 안전 보관의 원칙
-개인정보는 내부자 또는 외부자(협력업체 포함)의 접근으로부터 안전하게 보관·관리해야 한다.
3. 개인정보의 목적 내 활용의 원칙
-개인정보는 고객이 동의한 목적 내에서만 이용 또는 제공해야 한다.
4. 개인정보에 대한 외부 관리 강화의 원칙
-개인정보를 외부 취급위탁 또는 제3자 제공업체 등 외부업체에게 전송할 시 외부에 대한 관리를 강화해 개인정보를 보호해야 한다.
5. 개인정보의 적시 파기의 원칙
- 동의철회, 해지, 기간 만료된 개인정보를 활용하지 않도록 지체 없이 분류하여 파기해야 한다.
6. 개인정보 취급 프로세스 관리의 원칙
-모든 개인정보를 취급하는 프로세스는 관리돼야 하며, 개인정보보호를 위한 총괄조직을 구성하고 관리체계 역시 프로세스화하여 유사시 신속한 대처로 대내·외로부터 신뢰를 얻을 수 있도록 해야 한다

각 문구의 내용을 어떻게 준수할 것이냐는 것은 기업의 특성·현황 등 여러 가지를 고려해 결정해야 하지만, 기본적인 개인정보보호의 원칙을 정립하는 것은 각 부서의 의사결정권자의 결정에 있어 중대한 기준이 될 것이다. 이러한 원칙이 최고경영권자의 승인하에 기업의 개인정보보호의 방향으로 공인되면 개인정보보호 담당자에게 많은 힘이 될 수 있을 것이다.위의 원칙은 거시적 관점의 의사결정 기준이 될 수는 있으나, 개인정보를 실제 취급하는 현업의 입장에서는 구체적인 업무의 기준이 되기는 힘들다. 또한 많은 기업들이 개인정보보호 원칙보다는 구체화된 '개인정보보호 정책/지침'을 제정해 배포하고 있으나, 여전히 현업이 그러한 정책/지침을 참고해 업무에 반영하기는 힘든 것이 현실이다.

따라서, 현업의 입장에서 이해하고 적용할 수 있는 실질적인 '개인정보보호 업무 가이드'의 수립이 필요하며, 이러한 가이드는 현업 업무를 명확하게 이해해 수립해야 한다.

기업의 보안컨설팅을 하다 보면 많은 기업에서 이 부분이 가장 취약하다는 것을 느낄 수 있었다. 서두에서도 언급했다시피 기업의 보안은 보안조직이 만드는 것이 아니라 각기각층의 현업이 만드는 것이며, 보안조직은 현업이 그러한 활동을 할 수 있도록 이끌고 지원하며 점검하는 것이다. 그런데, 보안조직이 현업의 실 업무를 이해하지 못한다면 현업의 업무와 맞지 않는 방향으로 이끌 수 있으며, 이는 현업의 구성원들이 쫒아올 수 없는 방향으로 이끌어 결과적으로 기업의 보안수준은 제자리를 맴돌게 되는 것이다.

따라서 개인정보보호를 위한 실 업무 가이드 역시 현업의 개인정보 취급 업무에 대한 구체적인 이해를 바탕으로 각 업무에 맞는 가이드 작성이 필요하며, 또 그렇게 만들어져야만 실질적인 개인정보보호 활동을 이끌어 낼 수 있는 것이다.

현업의 개인정보취급업무를 이해하기 위해선 실제적으로 개인정보를 어떻게 취급하고 있는지 실 업무에서의 개인정보의 라이프 사이클을 분석해야 한다.

개인정보 취급의 업무 흐름을 보면 개인정보는 저장-이용-전송-파기되고 있음을 알 수 있으며, 각 단위별로 어떠한 시스템과 담당자, 외부협력업체에 연결되어 있는지를 알 수 있다. 따라서 각 단위별로 실제 업무가 어떻게 이뤄지는지 스크립트화 한다면 각각의 업무에서의 문제점을 도출해 개인정보보호 원칙을 지키기 위한 구체적 가이드 작성이 가능할 것이다. 이렇게 업무 흐름을 개인정보보호 담당자가 구체적으로 알아야만 업무에 적합한 보호대책을 포함하는 가이드를 제공할 수 있는 것이다. 다음은 각각의 업무 흐름의 단계별 개인정보 취급을 스크립트화 한 내용이다.

① 빌링부서는 빌링을 위하여 A협력사(IT운영 아웃소서)에게 빌링대상 개인정보 추출을 의뢰
② A협력사는 IT시스템으로부터 빌링 대상 개인정보를 추출해 빌링부서에 제공
③ 빌링부서는 받은 개인정보를 원 요청내용과 부합하는지 확인
④ 확인 완료 후 A협력사는 추출한 개인정보를 B협력사(DM발송업체)에게 전달
⑤ B협력사는 각 개인에게 DM발송
⑥ 빌링부서 담당자는 추출한 개인정보를 고객의 Complain 등에 대응하기 위해 PC에 저장
⑦ 일정시간 지난 후 PC에 저장한 개인정보를 파기
⑧ 빌링부서의 담당자는 B협력사의 업무 완료 후 수취한 개인정보의 완전파기 확인

②번 업무 관련 가이드는 협력업체에서의 개인정보 추출의 안전성을 확보하기 위한 대책을, ④번 업무 관련 가이드는 개인정보 전송의 안전성을 확보할 수 있는 대책을, ⑥번 업무 관련 가이드는 담당자가 안전한 개인정보 보관을 확보할 수 있는 대책을, ⑦번 업무 관련 가이드는 안전한 개인정보 파기 대책을, ⑧번 업무 관련 가이드는 협력업체에서의 개인정보 취급 시 관리기준 및 방안을 포함해야할 것이다.

예시 기업은 IT시스템을 통해 개인정보를 취급 및 추출할 시 물리적·기술적으로 완전히 통제되는 별도의 공간과 철저한 입출입 통제를 하고 있으므로, A협력업체에 대한 별도의 개인정보 파기확인을 하는 프로세스가 없으나, 대다수 기업들은 개인정보를 취급하는 모든 협력업체에 대한 관리 및 파기확인이 필요할 것이다.

이제 대책이 필요한 각 단계별로 더욱 구체적인 대책들을 도출해 보도록 하겠다. 여기에 서술한 대책은 예시이므로 모든 기업이 반드시 여기에 서술한 대책을 적용할 필요는 없다. 여기에 나열된 대책은 개인정보보호 담당자가 자신의 회사에 맞는 전략 수립 시 방향성을 이해하는 수준으로 참고하길 바란다.

협력업체의 개인정보 추출작업의 안전성 확보 대책
개인정보보호 담당자의 사전조치
- 물리적인 출입통제가 되어있는 별도의 공간을 마련해, 개인정보를 취급하는 IT시스템은 이곳에서만 접속과 운영이 가능하도록 통제
- 개인정보를 취급하는 IT시스템은 접근권한과 접근내역을 세분화하고 모든 개인정보의 취급 기록을 남길 수 있도록 조치
현업의 개인정보보호 가이드에 포함할 내용
- 개인정보의 취급 및 추출작업은 정해진 공간에서만 가능하도록 하고, 취급 및 추출작업에 대한 기록을 정기적으로 확인

개인정보의 전송에 있어 안전성 확보 대책
개인정보보호 담당자의 사전조치
- 개인정보의 물리적 이동은 이동에 대한 확인이 가능한 지정 배달업체와 계약토록 하며, 정기/수시 이동내역을 받을 수 있도록 조치
- 개인정보의 전자적(DATA) 전송은 회사 내·외부에 전송이 가능한 일원화된 전송창구를 사용해 관리될 수 있도록 하고, USB 등 외장저장장치나 메신저/메일 등 기타의 데이터 전송 도구 사용을 통제
현업의 개인정보보호 가이드에 포함할 내용
-물리적 이동의 경우 회사가 정한 배달업체를 통해 이동하며, 데이터 전송의 경우 회사가 정한 시스템을 활용해 전송

개인정보의 PC 보관 안전성 확보 대책
개인정보보호 담당자의 사전조치
-원칙적으로 PC보관을 불허하며, PC보관 없이 개개인들이 개인정보를 보관할 수 있고 보관되는 개인정보는 암호화되는 시스템을 제공
- 상기 CDTS 시스템을 활용해 PC 저장없이 개인정보 저장방안 제공
- 원격 PC 내 개인정보 점검 툴을 활용해 수시 점검 수행
현업의 개인정보보호 가이드에 포함할 내용
- PC에 개인정보가 저장되지 않도록 통제하며, 부득이한 저장이 필요한 경우 회사가 제공한 시스템을 이용하여 저장하도록 관리

개인정보 파기시 안전한 파기 대책
개인정보보호 담당자의 사전조치
- 개인정보가 담긴 서류의 물리적 파기를 위한 협력업체 계약
- 개인정보가 담긴 데이터의 전자적 완전파기를 위한 디가우저Degausser) 등을 제공
- 파기대장 템플릿을 제공해 각 부서에서 파기기록을 하도록 하고 이를 정기적 점검
현업의 개인정보보호 가이드에 포함할 내용
- 물리적 파기업체 활용 및 회사에서 제공하는 전자적 파기장치를 활용
- 파기 후 파기대장 기록 및 정기적 확인

협력업체의 개인정보 취급시 관리기준 및 방안
개인정보보호 담당자의 사전조치
- 협력업체와의 계약시 개인정보보호를 위한 계약사항 템플릿 제공
- 협력업체의 안전한 개인정보 취급을 위한 점검리스트 제공
현업의 개인정보보호 가이드에 포함할 내용
- 협력업체와의 계약시 개인정보보호를 위한 계약사항 템플릿을 반영해 계약
- 제공된 점검리스트를 활용해 정기·비정기 점검 및 미흡한 부분 개선 요구

이상으로 간략하게 한 회사의 빌링 업무에 있어 개인정보보호를 위한 가이드 작성에 대해 서술했다. 물론 실제 가이드는 훨씬 구체적이지만 여기서는 일반적인 이해가 가능한 수준에서 접근했다.

이러한 개인정보 취급 업무 흐름을 분석하는 것은 담당자에게 상당한 부담이 될 수 있다.(실제 한 기업에서 개인정보 취급 업무 흐름은 평균 40~60개 이상 도출되고 있음) 그러나, 이러한 현업의 업무에 대한 분석 없이 개인정보보호를 위한 전략수립은 의미가 없음을 이해한다면 현업의 업무파악에 소홀히 하진 않을 것이라 생각한다.

2. 개인정보보호 활동에 대한 L/H/C(Lead/Help/Check)
여기까지 읽은 독자라면 적어도 이 항의 제목인 개인정보보호 활동에 대한 Lead는 위에 서술한 개인정보보호 원칙과 업무 기반의 개인정보보호 가이드 제공이라는 생각을 할 수 있을 것이다. 이제 개인정보보호 담당자의 개인정보보호 활동에 대한 Help 측면을 서술하고자 한다.

앞서 가이드 작성시 현업 실 업무수행자가 쉽게 이해하기 적용할 수 있도록 만든다고 했으나 실제 개인정보를 취급하고 있는 업무수행자는 많은 어려움을 겪는다. 가장 큰 이유는 개인정보보호를 충분히 고려하지 않고 사업을 수행하다가 뒤늦게 이 원칙과 가이드를 준수한 경우의 프로세스 변화 관리이다. 이 외에도 개인정보보호라는 새로운 업무에 대한 부담, 쉽게 서술했다고는 하지만 가이드 이해의 어려움 등 원칙과 가이드 배포만으로는 해결할 수 없는 다수의 문제들이 실 현업의 업무에서 발생되고 있다. 이러한 문제를 같이 해결하기 위해 개인정보보호 담당자의 Help가 필요한 것이다.

사실 이 Help의 업무는 개인정보보호 담당자에게 매우 전략적인 접근이 필요한 부분일수도 있다. 그러나 서두에 밝혔듯이 개인정보보호 활동에 대한 대내·외 힘을 얻을 수 있다면 의외로 손쉽게 해결이 가능한 부분이기도 하다. 경영층의 지속적인 관심과 지원이 있다면 기업 내에서 개인정보보호 활동은 업무로서 의미를 가질 수 있으며, 개인정보보호 업무를 수행하는 각 현업들도 더 이상 부가 업무가 되지 않기 때문이다. Help의 구체적 사례를 언급하기는 저자로서도 조심스러운 부분이므로 이 글에서 사례는 생략하기로 하며, Help가 뜻하는 것은 기본적으로 실 업무수행자들이 개인정보보호 활동을 원활하게 할 수 있도록 지원하는 모든 관리적/기술적 지원이 이에 해당하는 것으로 간략하게 마무리하고자 한다.

개인정보보호 담당자의 개인정보보호 활동에 대한 Check란 사전과 사후의 측면으로 구분해 볼 수 있다. 사전 Check란 개인정보를 취급하는 업무의 기획단계에서부터 개인정보영향평가를 통해 적절한 보호대책이 적용되는지 여부를 점검하는 사전 '개인정보영향평가'가 대표적인 예이며, 사후 Check는 배포된 개인정보보호 가이드에 따라 실제 업무가 관리되고 유지되는지를 점검하는 정기·수시 점검활동을 들 수 있다.
개인정보영향평가는 관리적 부문과 기술적 부문으로 나뉘어지며, 기획단계에서는 관리적 부문을, 시스템구축 전후에는 기술적 부문을 적용해 평가할 수 있다. 따라서, 개인정보영향평가는 사업이 운영되기 전에 한번만 수행하는 것이 아닌, 기획-개발-테스트-운영 등 각 단계에서 평가돼야 한다. 한번 개인정보를 취급하는 사업이 운영되기까지 많은 평가가 이뤄지므로, 평가자가 피 평가자의 편의를 위해 자동화된 개인정보 영향평가 시스템을 구축하면 좀더 수월하게 수행할 수 있을 것이다.

사후 정기·수시 점검활동은 배포된 가이드에 준하는 점검리스트를 만들어 사전에 배포해 현업의 실 업무자가 가이드를 준수하고 있는지의 여부를 확인하도록 하는, 일부 강제성을 띠도록 유도하는 활동이다. 점검결과는 공평하고 공정하게 관리하며, 점검에서 그치는 것이 아니라 미흡한 부분을 제고할 수 있도록 추가적인 지원활동이 이뤄져야 한다.

3. 대내·외 활동 및 규제 모니터링
아직까지 우리나라에서 개인정보보호에 대한 규제들은 다소 표류하고 있는 경향을 보이고 있다. 매년 개인정보보호에 대한 법규들이 지속적으로 개정되고 있음을 봐도 이는 쉽게 인지할 수 있다. 이를 다른 시각에서 보면, 아직 개인정보보호에 대한 규제가 정형화되지 않은 이 시점이 기업입장에서는 최대한의 의견을 제시할 수 있는 시기라는 의미이기도 하다. 단일 기업의 의견이 아닌, 기업들이 모여 산업군을 대표하고 더 나아가 학계, 전문업체, 시민단체 등 각계각층의 견해를 규합할 수 있다면 기업이 효과적인 개인정보보호활동을 할 수 있는 규제를 이끌어 낼 수 있을 것이다.

또 하나의 개인정보와 관련한 대·내외 활동의 이점은 유사시 참여했던 커뮤니티로부터 도움을 받을 수 있다는 것이다. 개인정보에 관련된 사고뿐 아니라, 개인정보취급에 있어 어떠한 방향으로 가야할지 결정하기 어려운 경우, 기업의 개인정보보호 담당자 입장에서는 상당히 곤혹스러울 것이며 이런 때에 도움을 받을 수 있는 커뮤니티를 사전에 조성하고 있다면 많은 의지가 될 수 있을 것이다.

대·내외 활동 외에도 개인정보보호 담당자라면 당연히 정부의 각종 규제에 대한 지속적인 모니터링 활동이 필요하며, 개정될 내용이 현재의 상황과 부합되지 않는다면 충분한 시간을 가지고 계획적으로 변화시켜 나갈 수 있도록 하는 활동이 필요하다.

3. 맺음말
이상으로 기업의 개인정보보호 담당자가 기업 내에 개인정보보호를 강화하기 위해 어떻게 접근해야 하는지 그 접근전략을 간략하게 살펴보았다. 물론 이 외에서 개인정보보호 담당자는 더 많은 생각과 활동이 필요하지만, 가장 핵심이 되는 내용들로 정리했다.

개인정보보호는 기업에게 부가적인 업무가 아니다. 규제 때문에 어쩔 수 없이 해야하는 업무가 아닌 고객가치 제고 활동으로서 이해해야 하며 또 그러한 내용을 기업문화로 내재될 수 있도록 해야 하는 책임이 개인정보보호책임자에게 있다. 또한 개인정보보호 담당자는 개인정보보호 활동이 이뤄질 수 있도록 현업 실무자가 능동적으로 움직일 수 있는 Lead/Help/Check 활동을 해야 하며, 특히 Lead에 해당하는 원칙과 실 업무에 준하는 가이드를 심도있게 정립해 배포하고 현업 실무자가 이를 잘 지킬수 있도록 지원해야 한다.

전체적인 전략 없이 일회성 규제 대응 또는 사고의 대응으로 일관하는 개인정보보호 담당자가 있다면 새로운 시각으로 개인정보보호에 대한 접근전략을 수립할 것을 권고한다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오