인터넷진흥원 박광진 본부장, 개인정보보호법 시행과 기업준비사항 설명
개인정보보호하고 법 준수하려면 정보보호 예산 증액은 필수
잊을만 하면 대형 기업들에서 개인정보 노출 사고가 터지다보니 이제는 개인정보 노출에 대해 무감각해질 정도다. 너무 많은 정보가 많은 분야에 노출되다보니 더욱 그렇다.
한국인터넷진흥원 박광진 본부장은 7일 열린 철강업계 스마트경영 및 보안 세미나에서 ‘현대사회는 다른 사람의 정보에 너무 관심을 많이 갖고 있는 것처럼 보인다“며 ”개인정보보호법은 이제는 개인정보에 대한 관심을 줄이고 익명성을 인정해 주는 것이 목적“이라고 말했다. 한마디로 타인에 대한 관심을 무관심으로 돌리자는 것이다.
기업의 정보자산과 고객 개인정보, 개인의 금융자산, 개인정보 등이 유출되지 않도록 예방하고 사고처리 및 사후대책에 대한 방침을 정한 것이 개인정보보호법이다.
박광진 본부장은 그동안 정보보호 업무를 담당하면서 경험한 사례를 들며 개인정보보호의 필요성과 방안에 대해 설명했다.
박광진 본부장은 “최근 발생한 주요 해킹사고들의 공통점은 기업의 총체적 보안관리 부재”라며 “우선적으로 보안투자, 보안정책 수립, 보안조직 구성 등 기업내부의 노력과 인식제고가 필요하다”고 강조했다.
기업의 해킹사고는 전산망에 대한 보안관리 부실과 낮은 정보보호 예산투자로 인해 발생하며, 내부관리자에 대한 통제, 보안관리체계 등 관리적 조치 미흡에 의해서도 일어난다.
개인정보보호법은 이런 사례들을 예방하기 위해 개인정보보호정책을 수립하고 개인정보의 처리, 개인정보의 안전한 관리, 정보주체의 권리 보장 등에 관한 내용을 담고 있다.
개인정보보호 의무는 개인정보보호법 시행 전 정보통신서비스제공자 공공기관 등에만 적용되던 것이 제조업 등 전체 민간사업자 약 350만 곳과 비영리단체를 비롯해 개인에게도 적용된다.
개인정보보호법에 따르면 개인정보는 수집이용, 저장관리, 제공위탁, 파기의 처리단계를 갖고 있으며 개인정보 수집이용시 동의를 얻어야 하며, 개인정보 수집은 최소한으로 제한하고 있다.
박광진 본부장은 “개인정보보호법에 따라 개인정보를 수집할 때는 동의가 필요하다”며 “다만 기존에 수집한 개인정보에 대한 재동의 절차가 필요치는 않다”고 설명했다. 개인정보 수집에는 동의가 필요하지만 업체명, 설립연도, 사업장주소 등 기업정보는 개인정보가 아니므로 동의가 필요하지 않다. 또 기업 대표자 이름과 연락처 등 임직원의 정보는 개인정보이기는 하나 공개된 정보이므로 이용에 대한 동의는 불필요하며, 정보주체의 요구시 수집 출처를 밝히면 된다.
또 개인정보를 제3자에게 제공할 때는 원칙적으로 동의가 필요하며, 목적외 이용 제공은 금지된다.
정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보 수집은 금지되며 수집하기 위해서는 정보주체의 별도 동의가 필요하다.
이밖에도 박광진 본부장은 기업의 기술적 관리적 대응을 위해 네트워크 보안, 안전한 소프트웨어 및 정보보호 제품 이용할 것을 제안했다. 그는 또 개인정보 해킹은 계속 발생할 수 박에 없는 구조라며 사전대책, 기본대책, 사후대책을 세워 근본적으로 개인정보 유출 방지를 위한 노력해야 한다고 말했다.