2011.09.09 코 앞으로 다가온 개인정보보호법, 해법을 찾자!

안녕하세요. 안랩인입니다. 최근 잇따라 대규모 개인정보 유출 사건이 발생하고 있습니다. 오는 9월 30일 시행되는 개인정보보호법(법률 제10465호, 2011. 3.29, 제정, 2011. 9.30 시행)은 최대 5천만 원에 이르는 벌금이나 과태료, 과징금 등과 더불어 상당한 금액의 손해배상을 명시하고 있어 개인정보 유출은 이제 담당자들뿐만 아니라 기업의 존속과도 직결된 문제가 되었습니다. 때문에 기업들은 개인정보보호법 대응을 위한 대책 마련에 고심하고 있지만 아직 구체적인 시행령이 확정되지 않아 무엇을 준비해야 할 지도 막막한 상황입니다. 이에 개인정보보호법과 관련된 법, 또는 조치들을 살펴보고 이를 통해 기업이 무엇부터 준비해야 할지 알아보겠습니다.

개인정보보호법 적용 대상 확대

개인정보보호법의 적용 대상은 기존 관련법에 비해 공공과 민간 부분으로 확대되었으며 국회, 헌법재판소 등 행정 사무를 처리하는 기관과 오프라인 사업자, 협회, 시민단체 등 비영리단체도 포함되었습니다. 이에 따라 개인정보보호 대상기관이 현재 51만개에서 350만개로 확대되었습니다. 즉, 개인정보보호법이 시행되면 사실상 대부분의 기업들이 개인정보보호법에서 자유로울 수 없다는 뜻입니다.

그러나 현재 개인정보 유출 사건은 발생 빈도가 증가하고 있을 뿐만 아니라 그 피해 규모 또한 기록 갱신을 하듯 나날이 증가하고 있습니다. [표 1]은 올해 국내에서 발생한 주요 개인정보 유출 사건 및 피해 규모에 관해 정리된 내용입니다.

 

[표 1] 2011년 국내 개인정보 유출 사건 및 피해 규모

 

개인정보보호법은 75개에 달하는 세부 조항과 더불어 최대 5천만 원에 달하는 형사처벌뿐만 아니라 구체적인 피해보상 규정을 명시하고 있습니다. 그러나 개인정보 유출 사건이 발생하더라도 평가 받는 잣대 또한 법입니다. 즉, 개인정보보호법의 시행 규칙과 고시를 준수하여 충분한 조치를 해둔 경우라면 설사 개인정보 유출 사건이 발생하더라도 기업의 손실을 최소화 할 수 있습니다.

문제는 개인정보보호법의 시행규칙이 아직 발표되지 않았다는 점입니다. 지난 6월 '개인정보보호법 시행령•시행규칙 제정안 공청회'가 개최되었지만 시행령은 입법예고, 부처간 협의와 규제심사 등의 절차를 거쳐 오는 9월 중순 공포될 예정입니다. 그렇다면 법 시행 전까지 불과 한 달도 남지 않은 상황에서 기업이 사전에 대처 방안을 마련할 수 있는 방법은 없는 것일까요?

 

관련법 및 조치부터 파악하라

 

개인정보보호법의 시행령 또한 정통망법 등과 크게 다르지 않을 것이라는 게 중론입니다. 정통망법은 물론, 이를 근거로 마련된 방송통신위원회(이하 방통위)의 ‘개인정보의 기술적 관리적 보호조치 기준’, 행정안전부(이하 행안부)의 ‘사업자의 개인정보 보호조치 기준’을 참고하여 준비하면 추후 개인정보보호법의 시행규칙이 나오더라도 큰 문제가 없을 것이라는 뜻입니다.

[그림 1] 법의 위계

 

‘정보통신망 이용촉진 및 정보보호 등에 관한 법(제32차 일부 개정 2011. 4. 5 법률 제10560호)’, 즉 정통망법은 정보통신 서비스를 이용하는 자의 개인정보를 보호하고, 정보통신망을 안전하게 이용할 수 있는 환경을 조성하기 위하여 제정된 법률입니다. 이에 따라 전기통신사업자, 전기통신서비스 제공자와 이용자간의 관계에 대해 개인정보보호에 관한 규정을 명시하고 있습니다.  

 

따라서 온라인 상에서 개인정보를 취급하는 업체들은 정통망법 적용의 대상이 되며, 이와 관련해 방통위가 정통망법에 근거해 규정한 '개인정보의 기술적 관리적 보호조치 기준'을 준용하여 개인정보보호법의 대책을 마련하면 됩니다. 최근 방통위가 개정한 개인정보의 기술적 관리적 보호조치 기준 중에서 특히 기업이 현재 즉각적으로 솔루션 도입을 고려, 또는 확인할 수 있는 부분은 [표 2]와 같습니다.  Ahn

 

[표 2] 개인정보의 기술적 관리적 보호조치 기준

* 더 자세한 내용은 안랩 홈페이지를 확인해 주세요.