기업은 웹이나 앱을 통해 고객을 모집하고 고객은 서비스를 이용하기 위해 회원가입을 하고, 상품이나 서비스를 구매하고 서비스 이용에 문제가 있을 경우 기업의 고객센터에 연락을 합니다. 고객이 각종 서비스를 이용하는 과정에서 고객의 개인정보가 기업에 의해 수집되고 활용됩니다.
기업은 고객관리 프로그램을 이용해 고객센터로 연락온 전화가 당사의 고객임을 확인하고 불만해결을 돕습니다. 이런 고객관리 프로그램에 대한 개인정보 보호조치 사항을 오늘 알아보겠습니다. 이번 포스팅은 “개인정보의 안전성 확보조치 기준"을 기반으로 작성되었습니다.
"개인정보처리시스템"은 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말합니다. 고객관리 프로그램에 업무수행을 위해 고객의 개인정보를 처리할 수 있게 했다면 고객관리시스템도 “개인정보처리시스템"에 속합니다.
< 개인정보의 안전성 확보조치 기준 해설서, 2017년 발간 >
개인정보 처리시스템에 대해서는 적용되는 안전성 확보조치는 ‘기술적 보호조치' 측면과 ‘관리적 보호조치’ 측면으로 나눌 수 있습니다. ‘소상공인이 이용하는 고객관리 프로그램 개인정보 보호조치 구현 가이드(2012, 한국인터넷진흥원)’에서 발간한 가이드를 2020년 법령(개인정보 보호법, 개인정보의 안전성 확보조치 기준)에 맞춰 업데이트한 내용입니다.
[개인정보 보호조치 기준]
1. 기술적 보호조치
1) 접근권한 관리
2) 접근통제
3) 암호화
4) 접속기록의 보관 및 점검
5) 악성프로그램
6) 관리용 단말기 안전조치
7) 물리적 안전조치
2. 관리적 보호조치
1) 수집, 이용 동의 획득
2) 개인정보 처리방침 작성 및 공개
3) 파기
4) 수탁사 관리
5) 재해, 재난 대비 안전조치
기능 | 내용 |
기술적 보호조치 (개인정보 보호법, 개인정보의 안전성 확보조치 기준)
|
1) 접근권한 관리 | 1. 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여 2. 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관 3. 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙 적용 |
2) 접근통제 | 1. 정보통신망을 통한 불법적인 접근 및 침해사고 방지 1) 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한 2) 개인정보처리시스템에 접속한 IP 주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응 2. 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN) 또는 전용선 등 안전한 접속수단을 적용 |
3) 암호화 | 1. 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화 2. 비밀번호 및 바이오정보는 암호화하여 저장 |
4) 접속기록의 보관 및 점검 | 1. 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리 * 다음 1) or 2)에 해당할 때는 2년 이상 보관·관리 1) 5만명 이상의 정보주체에 관하여 개인정보를 처리 2) 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템
2. 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검 |
5) 악성프로그램 | 악성프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영 1) 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지 2) 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시 3) 발견된 악성프로그램 등에 대해 삭제 등 대응 조치 |
6) 관리용 단말기 안전조치 | 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 함 1) 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치 2) 본래 목적 외로 사용되지 않도록 조치 3) 악성프로그램 감염 방지 등을 위한 보안조치 적용 |
7) 물리적 안전조치 | 1. 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립·운영 2. 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관 3. 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련 |
관리적 보호조치 (개인정보 보호법, 개인정보의 안전성 확보조치 기준)
|
1) 수집, 이용 동의 획득 | 개인정보처리자는 동의를 받을 때 다음 사항을 정보주체에게 알려야 함 1) 개인정보의 수집ㆍ이용 목적 2) 수집하려는 개인정보의 항목 3) 개인정보의 보유 및 이용 기간 4) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 |
2) 개인정보 처리방침 작성 및 공개 | 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침을 작성하여 공개해야 함 1) 개인정보의 처리 목적 2) 개인정보의 처리 및 보유 기간 3) 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 3의2) 개인정보의 파기절차 및 파기방법 4) 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5) 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관 한 사항 6) 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 7) 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) 8) 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항 |
3) 파기 | 1. 개인정보를 파기할 경우 다음 중 하나의 조치를 하여야 함 1) 완전파괴(소각·파쇄 등) 2) 전용 소자장비를 이용하여 삭제 3) 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
2. 개인정보의 일부만을 파기하는 경우, 다음 각 호의 조치를 하여야 함 1) 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독 2) 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제 |
4) 수탁사 관리 | 1. 개인정보처리 업무 위탁시 문서화 1) 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2) 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항 3) 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
2. 수탁자 감독 및 교육 |
5) 재해, 재난 대비 안전조치 | 1. 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검 2. 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련 |
---
[1] 개인정보의 안전성 확보조치 기준(행정안전부)
http://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EC%9D%98%EC%95%88%EC%A0%84%EC%84%B1%ED%99%95%EB%B3%B4%EC%A1%B0%EC%B9%98%EA%B8%B0%EC%A4%80
[2] 소상공인이 이용하는 고객관리 프로그램 개인정보 보호조치 구현 가이드(한국인터넷진흥원)
https://www.privacy.go.kr/per/rel/dev/Guide.do
