brunch

You can make anything
by writing

C.S.Lewis

by 최재윤 변호사 Apr 13. 2020

스타트업, 중소기업 개인정보보호의 모든 것

준비 중이신 분들도, 운영 중이신 분들도 꼭 알아두어야 할 것들

매년 발생하고 있는 개인정보 유출 사고가 또 일어났습니다. 온라인 패션 플랫폼 ‘스타일쉐어’의 고객 개인정보가 유출된 것입니다. 유출된 개인정보는 이름, 일부 사용자의 생일, 배송지 정보, 성별, 암호화된 이메일 주소, 암호화된 전화번호라고 하는데요. 스타일쉐어 측은 전화번호와 이메일 주소는 암호화돼 있다며 현재로써는 보이스 피싱 등 2차 피해 가능성이 적어 보인다는 입장입니다.

      

그러나 회원수 640만 명에 달하고, 지난해 말 중소벤처기업부가 차세대 유니콘 기업(기업 가치 1조 원 이상인 비상장사)으로 선정할 만큼 대표적인 패션플랫폼 기업이기에, 과연 얼마나 많은 회원들이 개인정보 유출로 인한 피해를 입을지 우려가 큰 상황입니다.

      

사실 스타트업의 경우, 창업을 위한 준비 단계에서 투입할 수 있는 자금에 한계가 있기 때문에 개인정보 보호보다는 사업 아이템 개발 및 홍보에 더 투자할 수밖에 없습니다. 또한 스타트업을 운영할 때, 업체가 어느 정도 성장하기 이전에는 소수의 인원이 각자 몇 사람의 역할을 해 내며 업체를 이끌어가기 마련이죠. 


생존 자체에 힘을 쏟아야 하기에 개인정보 처리에 있어서 별도의 체계를 둘 여력이 없어, 개인정보를 주먹구구식으로 관리하는 경우가 대부분입니다. '이 정도는 문제 안 되겠지' 하는 생각으로 일단 더 급하고 중요한 업무부터 처리하게 되고요. 그렇기 때문에 대부분 개인정보 보호는 뒷전으로 밀려날 수밖에 없고, 이에 대한 중요성과 인식이 부족할 수밖에 없죠.     


하지만, 고객의 소중한 개인정보가 유출된다면 그 기업은 어렵게 얻은 고객의 신뢰를 잃어버리고 성장에 있어서 발목을 잡힐 수 있습니다. 그렇기 때문에 개인정보보호는 반드시 스타트업이나 중소기업 준비 단계에서 신경을 써야 할 부분입니다.     


사실 개인정보 관련해서는 책 한 권을 써도 될 분량인데요. 스타트업 또는 중소기업에 있어서 반드시 알아두어야 할 핵심 부분만 정리해 드릴 테니 이 부분은 꼭 잊지 마시길 바라요(문제는 핵심 내용도 많다는 사실^^;)!


※ 개인정보 개념에 대해 설명하자면 긴데요. 그냥 복잡하게 생각할 것 없이 고객으로부터 제공받은 정보는 모두 개인정보라고 봐도 무방하니 이에 대한 설명은 생략하겠습니다.

※ 개인정보보호법 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 개정되어 2020. 8. 5. 부터는 정보통신망법상 개인정보보호 관련 규정은 모두 개인정보보호법에서 규율하게 되었습니다. 따라서 아래에서는 개정되는 개인정보보호법에 따라 정리해 드립니다.




   

1. 사업 준비 단계     


(1) 개인정보보호 책임자 지정     


개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보보호 책임자를 지정해야 합니다.

그 지정 요건과 업무에 대해서는 아래 표로 정리해 드릴게요.


대략 이렇습니다.


위 표 내용 읽어보시고, 개인정보보호 책임자는 말 그대로 '개인정보 보호와 관련된 모든 부분을 책임지는 사람이구나' 정도로 이해하시면 되겠습니다.

보통은 스타트업이나 소규모 기업의 경우 대표가 개인정보보호 책임자를 맡는 경우가 대부분인데요. 홈페이지 하단에 표기하도록 되어 있습니다.


개인정보 보호책임자를 지정하지 않는 경우 1천만 원 이하의 과태료가 부과되니 꼭 지정하셔야 합니다!



(2) 홈페이지 구축 단계     


가. 개인정보 동의 항목 구성


서비스를 제공하기 위해 반드시 최소한의 개인정보가 무엇이 있는지 조사한 후 이를 필수 동의 항목으로 구성하고, 그 외에 사업자의 필요에 의해 추가적인 서비스 제공을 위해 필요한 정보는 선택 동의 항목으로 구성하면 됩니다.     


예를 들어 다음과 같습니다.    

필수동의 항목과 선택동의 항목은 명확히 구별되어야 합니다.


나. 개인정보 동의 획득 시 주의사항     


개인정보 수집·동의는 이용자가 개인정보를 입력하기 전 단계에 동의 사항을 명확히 이해할 수 있도록 ‘중요한 내용’을 명확히 표시하여 알아보기 쉽게 표시하고, 동의 여부를 선택할 수 있도록 구현되어야 합니다. 


아래와 같이 작성하시면 되는데요. 수집하는 개인정보의 항목, 수집 및 이용 목적, 보유 기간, 동의거부 사실 및 불이익의 내용에 대해서 필수적으로 고지하여야 합니다. 


개인정보 수집, 제공 동의서 작성 가이드라인 참조


중요한 내용에 대해서는 글씨 크기는 최소 9포인트 이상, 다른 내용보다 20% 크게 하여 알아보기 쉽게 하고, 글씨 색깔, 굵기  또는 밑줄 등 명확히 표시되도록 해야 합니다.     


이때, 중요한 내용이란 다음과 같습니다.

개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 연락할 수 있다는 사실 

민감정보(종교, 사상, 건강 등), 여권번호, 운전면허번호, 외국인 등록정보 

개인정보의 보유 및 이용기간 

개인정보를 제공받는 자 및 개인정보를 제공받는 자의 이용 목적      


개인정보 수집 동의 시, 개인정보처리방침에 대해 동의받는 형식은 허용되지 않으므로 주의하여야 합니다. 


보통 홈페이지를 만들 때, 개인정보처리방침과 함께 개인정보 수집 이용 동의서를 함께 만드는데요. 

개인정보 이용 기간은 특별한 법에 정함이 없는 이상 업무의 특성을 고려하여 필요 최소한의 보유기간을 설정해서 개인정보처리방침과 개인정보 수집 이용 동의서에 그 기간을 기재하시면 됩니다. 


개인정보 수집 이용 및 제공에 있어서 주의해야 할 처벌 규정은 다음과 같습니다.

많은 내용 추리고 추렸으니 이건 꼭 읽어보세요!



다. 개인정보 파기 방안     


수집한 개인정보의 목적 달성 및 이용기간 종료 시 등 개인정보가 불필요하게 되었을 때의 파기 방법을 결정해야 합니다. 이는 다시 복원하거나 재생할 수 없는 형태로 완벽하게 파기하는 방법이어야 합니다.     

  

또한 개인정보 수집 목적 달성 및 이용기간 종료 또는 폐업 시에는 보유하고 있는 개인정보를 지체 없이 파기해야 합니다. 그러나 법령에 따라 계속 보관이 필요할 경우 다른 정보와 분리하여 별도 DB에 저장되도록 구성해야 하고(오로지 다른 법령에서 보존하도록 한 목적 범위 내에서만 처리 가능하도록 관리되어야 하기 때문이죠), 그 기간이 지나면 지체 없이 해당 개인정보를 파기해야 합니다.   

   

다른 법령에서 개인정보 보관 의무를 정하는 규정 중 특별히 확인해 두셔야 할 내용은 다음과 같습니다.     


보통 의도적인 회원 탈퇴 후 재가입(신규가입 시 혜택을 받을 목적 등으로)을 막기 위하여 회원 탈퇴 후 3~6개월 후 개인정보를 삭제하도록 개인정보처리방침에 정해놓는데요. 그렇다면 일단 회원 탈퇴와 동시에 해당 회원의 개인정보는 자동으로 별도 DB로 이동하여 저장되고, 개인정보처리방침 상 또는 법령상 보관기관이 지나면 또 자동으로 해당 회원의 개인정보가 삭제되도록 구현해 놓는 것이 가장 좋습니다. 일일이 회원마다 개인정보 삭제 시기를 체크해서 삭제하는 것은 불가능하기 때문이죠.


그러나 사실 스타트업이나 중소기업들 중 홈페이지를 만드는 과정에서 이 부분을 제대로 준비하지 못하는 경우가 대부분입니다. 개인정보보호방침에는 개인정보 삭제규정을 두지만, 홈페이지 상에는 '탈퇴 후 별도 DB 보관 및 기간 경과 시 삭제'가 자동으로 구현되도록 하거나 그렇지 않더라도 수동으로라도 기간 체크해서 삭제해야 하는데 이 또한 신경 쓰지 못하기 때문에 결국 탈퇴한 회원의 개인정보가 그대로 남아있는 경우가 허다합니다. 


이는 현실적인 문제 때문인데요. 홈페이지를 제작하는 데 있어서 서비스를 편리하고 보기 좋게 구현하는데 집중하고, 그렇게 구현된 홈페이지를 신속히 개시하여 사업을 운영하려고 하다 보니 위와 같이 '탈퇴 후 별도 DB 보관 및 기간 경과 시 삭제' 기술까지 확실히 해 놓기는 어렵습니다. 


그나마 스타트업이나 중소기업에 내부 개발자가 있는 경우 위와 같은 기술을 구현할 가능성이 있지만, 1인 창업을 하는 등으로 내부 개발자가 아닌 외주로 홈페이지를 개발하는 경우 더더욱 개발비용에 한계가 있기 때문에 위 삭제 기술까지 구현하는 것은 현실적으로 거의 불가능합니다.


번거롭더라도 일일이 체크하여 수동으로 삭제라도 해야 하는데 이 자체도 대부분 간과하고 넘어가는 것이 현실입니다.


사실 그래서 많은 스타트업이나 중소기업이 탈퇴한 회원의 개인정보를 그대로 가지고 있다가 이를 유출당하는 경우가 종종 있습니다. 또 한편으로는 탈퇴한 회원의 개인정보를 별도 DB에 모아놓고는 삭제하기 아까워서 이를 쓰지는 않더라도 보관하는 경우도 종종 있는데요. '내가 이 정도 회원을 모았다'는 일종의 '훈장'처럼 여겨지나 봅니다.


그러나 개인정보 삭제 또는 별도 DB에 옮겨놓지 않는 등의 경우 다음과 같은 처벌 규정이 있으니 이는 주의하셔야 합니다.


라. 개인정보 처리 시 적용할 암호화 방식 결정


홈페이지에서의 개인정보 저장 및 전송 시 개인정보의 노출 또는 위·변조 방지를 위해 적절한 암호화 방식을 결정하여 암호화하여야 합니다. 


이는 기술적인 부분이기 때문에 홈페이지 내부 또는 외주 개발자가 확인할 수 있도록 개인정보의 암호화 조치 안내서 링크를 알려드리겠습니다


https://www.privacy.go.kr/inf/rfr/selectBoardArticle.do?nttId=7635&bbsId=BBSMSTR_000000000044&bbsTyCode=BBST01&bbsAttrbCode=BBSA03&authFlag=Y&pageIndex=2&searchCnd=0&searchWrd=&replyLc=0



마. 개인정보처리방침 작성


법률에서 요구하는 개인정보처리방침의 포함 사항을 작성하여 개인정보처리방침을 수립하고, 언제든지 쉽게 확인할 수 있도록 공개하여야 합니다. 개인정보처리방침을 수립 및 공개하지 않는 경우 1천만 원 이하의 과태료가 부과될 수 있으니 주의하셔야 합니다!(실제로 타 경쟁업체에서 개인정보처리방침이 홈페이지에 없다고 개인정보침해센터에 신고한 경우도 봤습니다) 


자, 개인정보처리방침은 아래 링크에 있는 양식에 따라 작성할 수 있으니 더 이상의 설명은 생략합니다! 

https://www.privacy.go.kr/a3sc/per/inf/perInfStep01.do



2. 사업 운영 단계



(1) 기술적·관리적·물리적 보호조치  


개인정보처리자는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위해 필요한 기술적·관리적·물리적 조치를 마련하여야 합니다.



가. 기술적 보호조치


운영하고 있는 시스템은 ‘개인정보의 안전성 확보조치 기준’ 고시에 따라 연 1회 이상 취약점 점검을 실시하여야 합니다(사업 규모에 따라 의무가 아닐 수 있습니다).

중소기업은 한국인터넷진흥원이 제공하는 원격 웹 취약점 점검 서비스를 이용해 무료로 웹사이트 취약점 진단을 받아볼 수 있는데요. 아래 링크로 신청하시면 됩니다.


https://www.krcert.or.kr/webprotect/webVulnerability.do 


또한 기술적·관리적·물리적 조치 등 의무사항 조치에 비용, 기술 등 어려움을 느끼는 소상공인이나 중소기업 등은 ① 업무용 PC에서 비밀번호 적용 등 안전조치 여부를 스스로 점검할 수 있는 도구 제공, ② 개인정보 수집·이용 동의서 및 개인정보처리방침 수립, 안전성 확보조치 관련 문의에 대한 온라인 컨설팅 제공 등을 지원받을 수 있는데요. 링크 알려드릴게요. 


https://www.kisa.or.kr/business/infor/main_sub7.jsp


그밖에 기술적 안전조치로는 개인정보취급자 등에게 업무수행에 필요한 최소한의 범위로 접근 권한의 부여, 변경, 개인정보취급자 등에 대한 비밀번호 작성규칙 수립 및 적용 등의 접근권한 관리, 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위한 침입차단, 침입탐지 기능을 포함한 조치를 통한 접근 통제, 개인정보 암호화, 악성프로그램 등 방지 등이 있습니다.



나. 관리적 보호조치


관리적 보호조치로는 개인정보보호 인력 지정, 역할 및 책임 등 개인정보 보호조직 구성에 관한 사항, 개인정보 유출사고의 대응, 개인정보 수탁자에 대한 관리 및 감독(이로 인한 개인정보 유출 사례 및 주의점에 대해서는 아래에서 자세히 설명하겠습니다) 등이 있습니다.



다. 물리적 보호조치


개인정보가 보관되어 있는 물리적 장소나 서류, 매체 등을 안전하게 관리하기 위한 사항을 포함하여야 하는데요. ① 전산실 등 물리적 보관 장소를 두고 있는 경우에는 출입통제 절차 수립․운영, ② 서류, 보조 저장매체 등을 잠금장치가 있는 안전한 장소에 보관, ③ 보조 저장매체의 반출입, 통제를 위한 보안대책 마련 등이 그 내용입니다. 


위와 같은 안전성 확보에 필요한 기술적·관리적·물리적 조치는 각 업체의 현실에 맞게 수립하고 이를 이행해야 하는데요. 사실 개인정보 관련해서 잘 알지 못하는 상태에서 어디부터 손을 대야 하나 막막하기도 하고 다른 쳐내야 할 많은 업무가 산적해 있는 상태에서 이러한 조치에 대해 알아볼 여력이 없는 스타트업이나 중소기업이 대부분입니다.


그러나 처음부터 완벽할 수는 없지만 서비스가 어느 정도 안정화되는 단계에서는 내 사업체에서 안전성 확보에 필요한 조치는 무엇이 있는지, 비용이 들지 않는 선에서 최소한 할 수 있는 것은 무엇인지에 대해서 법률자문이나 위에 링크로 알려드린 컨설팅은 꼭 받아보시기를 바라요.


이를 간과한 경우 아래와 같은 처벌 규정 또한 있기 때문에 신경 써야 하는 부분입니다.


그밖에 개인정보 안전성 확보조치 기준에 대해서 좀 더 구체적으로 알고 싶으신 분들은 아래 링크를 확인하시면 됩니다.

https://www.kisa.or.kr/public/laws/laws3_View.jsp?mode=view&p_No=259&b_No=259&d_No=101


(2) 광고성 정보 전송



가. 광고성 정보 전송을 하기 위한 주의사항


아래 사항은 반드시 지켜야 합니다.

개인정보 수집 이용 동의와 별개로 그 수신자의 명시적인 사전 동의를 받아야 한다. 

② 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우 영리 목적의 광고성 정보를 전송 금지

오후 9시부터 그 다음날 오전 8시까지의 시간에 전자적 전송매체를 이용하여 영리 목적의 광고성 정보를 전송하려면 별도의 사전 동의 필요


광고성 정보 수신 동의서 예시는 다음과 같습니다.

위 내용과 같은 양식을 개인정보 수집 이용 동의서와 별도로 만들어서 각각 동의를 받아야 해요



나. 광고성 정보 전송 시 표기 의무 사항 


전자우편을 통해 광고성 정보를 전달하는 경우

① 제목이 시작되는 부분에 “(광고)”를 표시하여야 한다.

② 본문에는 전송자의 명칭·전자우편주소·전화번호 및 주소를 표시하여야 

수신거부 또는 수신동의 철회는 수신자가 본문 내에 “[수신거부]” 등을 눌러 곧바로 수신거부 또는 수신동의 철회를 간단히 할 수 있도록 기술적 조치를 하여야


아래와 같이 해야 합니다.

이런 식으로 말이죠.


문자광고, 앱 푸시광고, 모바일 메신저 광고 등의 경우,

① 광고성 정보가 시작되는 부분에 (광고)를 표시하고,

② 수신자가 어디에서 온 광고인지 인지할 수 있도록 전송자의 명칭, 전화번호 또는 주소를 표시하며,

③ 수신거부 또는 수신동의 철회할 수 있는 방식을 광고성 정보가 끝나는 부분에 명시해야 하며,

④ 수신자가 비용을 부담하지 않는다는 것을 함께 안내하여야 합니다.


아래와 같이 해야 합니다.

이런 식입니다.


다. 수신동의 여부 확인


수신자의 수신동의를 받아 광고성 정보를 전송하는 자는 수신동의자에게 수신동의했다는 사실을 수신동의를 받은 날부터 2년마다 한 번씩 안내해 주어야 합니다. 이는 수신동의자에게 수신동의했다는 사실에 대한 안내의무를 부과한 것이지 재동의를 받아야 한다는 것은 아닙니다.


수신동의 여부를 안내하려고 하는 자는 수신동의자에게 이하의 내용을 구체적으로 밝혀야 합니다.

① 전송자의 명칭

② 수신동의 날짜 및 수신에 동의한 사실

③ 수신동의에 대한 유지 또는 철회 의사를 표시하는 방법


이때, 수신자가 아무런 의사표시를 하지 않는 경우에는 수신동의 의사가 그대로 유지되는 것으로 봅니다.


아래와 같이 해야 합니다.


위와 같은 내용을 지키지 않는 경우 다음과 같은 처벌규정이 있답니다.



(2) 개인정보 유출 관련 주의사항


개인정보 유출이란 법령이나 개인정보처리를 하는 업체의 자유로운 의사에 의하지 않고, 개인정보에 대한 통제를 상실하거나 권한 없는 자가 접근하도록 허용한 것을 말하는데요. 


구체적인 유형 별로 설명해 볼게요.


가. 개인정보가 포함된 서면, 이동식 저장장치, 컴퓨터 등을 분실 또는 도난당한 경우

    

스타트업이나 중소기업을 운영할 때, 체계적으로 개인정보를 관리하기는 어렵기 때문에 이런 상황으로 인해 개인정보가 포함된 각종 서류나 USB 메모리를 개인정보를 처리하는 업체의 운영자, 직원 등이 분실하거나 파기 없이 폐기하는 과정에서 정보가 유출될 가능성이 높습니다. 특히 업무 처리를 위해 단기간 고용하는 임시직원이 개인정보를 취급할 경우 문제가  발생할 가능성이 더욱 큽니다.

   

따라서 개인정보의 적정한 취급을 위한 교육을 시행할 뿐만 아니라 개인정보의 처리 범위를 업무상 필요한 한도 내에서 최소한으로 제한하고, 보안서약서를 받는 등의 조치를 취함으로써 개인정보를 다루는 직원에게 개인정보의 중요성과 유출로 인한 위험성에 대해 충분히 주지 시켜야 합니다.     


나. 개인정보처리 시스템에 정상적인 권한이 없는 자가 접근하는 경우


쉽게 말해서 외부 공격(해킹)을 당하는 것으로, 이는 개인정보 유출 원인 중 절반 이상을 차지합니다. 


스타트업의 경우 부족한 인력과 자본으로 인해 보안보다는 서비스 안정화와 마케팅에 더욱 많은 노력을 기울이는 경우가 많으며, 이런 과정에서 개인정보 유출과 같은 사고가 발생하는 경우가 적지 않은데요. 이 경우 업체의 이미지와 신뢰도는 순식간에 실추될 수밖에 없습니다. 


따라서 외부 공격을 100% 막을 수는 없지만, 개인정보 유출 사고를 막기 위해 개인정보 안전성 확보를 위한 최소한의 필요조치로서 접근 통제와 접근 권한 제한 조치, 암호화 기술의 적용이나 이에 상응하는 조치, 접속기록의 보관과 위·변조 방지 조치, 보안 프로그램 설치와 갱신, 보관시설의 마련 또는 잠금장치 설치 등 내 업체의 상황에 따라 현실적으로 시행 가능한 조치를 취해야 합니다(이에 대한 법률자문 또는 컨설팅이 필요함은 앞서 설명드렸습니다).


다. 개인정보 담당자가 고의나 과실로 개인정보를 제3자에게 제공하는 경우


다음은 개인정보 담당자가 고의나 과실로 개인정보가 포함된 파일이나 종이문서, 그 밖의 저장매체를 권한이 없는 제3자에게 전달하는 경우입니다. 


실제로 한 업체에서 회원 정보를 관리하는 직원이 대가를 받고 고객정보를 권한 없는 제3자에게 유출 또는 판매한 사건이 발생하기도 했습니다. 또는 민원인 수백 명의 이름, 주민등록번호, 주소 등 개인정보가 포함된 자료를 직원의 실수로 인터넷 홈페이지에 공개하거나, 직원의 부주의로 고객의 개인정보가 포함된 리스트를 상품 안내 이메일에 첨부해 발송한 경우도 있죠.     


최근 진행한 한 개인정보 유출 관련 법률 자문에서는 업체가 개인정보 관리를 수탁업체에 위탁을 했는데, 수탁업체의 개인정보 담당 직원이 고객의 인감을 도용해 성명, 주소, 연락처를 추가 기재한 후 허위로 현금보관증을 작성한 다음 직원 본인의 채무변제를 위해 이를 채권자에게 양도한 사건이 발생했었는데요.     


수탁업체 직원에게 직접적인 잘못이 있다 하더라도 위탁업체에 관리·감독권이 있기 때문에 개인정보 유출에 대한 책임 또한 위탁업체에 있습니다. 


스타트업의 경우 내부적으로 마케팅이나 배송 업무를 소화하기 힘들어 외부 업체에 배송이나 TM 업무를 위탁하는 경우가 많은데, 이런 배송이나 TM 업무 과정에서 개인정보가 유출되더라도 개인정보 관리를 위탁한 스타트업 업체의 책임으로 돌아가기 때문에 위탁업체로서는 수탁업체에 대한 개인정보 관련 관리·감독을 강화할 필요가 있습니다.     


현실적으로 관리·감독이 어려운 경우 개인정보 처리 위탁에 앞서 개인정보 유출 발생 시 책임의 소재가 수탁업체에 있고, 손해배상 책임 또한 최종적으로 수탁업체가 진다는 내용의 계약서를 별도로 작성하는 것이 좋습니다.     


이와 관련해서 개인정보처리 위탁계약서 샘플 링크 걸어드릴 테니 상황에 맞게 변경해서 개인정보 처리 위탁 시 꼭 사용하시길 바라요.  

https://www.kisa.or.kr/public/laws/laws3_View.jsp?mode=view&p_No=259&b_No=259&d_No=73


그밖에 기타 그 어떤 방법으로든지 권한 없는 자에게 개인정보가 전달된 경우, 단 1건의 개인정보가 유출됐더라도 이는 개인정보 유출에 해당되고 법에서 규정하는 조치를 시행해야 합니다.


개인정보가 유출된 경우에 대한 처벌 규정은 다음과 같습니다. 

개인정부 유출 행위가 아무래도 가장 처벌 수위가 높습니다.

     


(3) 개인정보 유출 대응 방안     


개인정보를 처리하는 업체가 개인정보가 유출되었음을 확인한 즉시, 정보주체에 대해 법적으로 통지의무가 발생하는데요. ‘개인정보가 유출되었음을 알게 되었을 때’는 권한 없는 제3자가 해당 개인정보를 알 수 있게 된 상태의 시점을 말하며, 반드시 제3자가 개인정보 내용을 실제로 취득한 사실을 알아야만 하는 것은 아닙니다. 이처럼 개인정보 유출에 대해 개인정보처리 업체가 인지한 시점에서 유출 통지 의무가 발생합니다.     


신고해야 하는 곳은 링크 걸어드릴게요.

https://www.privacy.go.kr/wcp/dcl/spl/splRptInfo.do


업체는 개인정보가 유출됐음을 알게 됐을 때 5일 이내(다만 정보통신서비스 제공자의 경우 24시간 이내 신고)서면, 전자우편, 팩스, 전화, 문자전송 등 개별적 통지 방법으로 ①유출된 개인정보의 항목 ②유출된 시점과 경위 ③유출로 인해 발생할 수 있는 피해를 최소화하기 위해 정보주체가 할 수 있는 방법 등에 관한 정보 ④개인정보처리자의 대응 조치와 피해 구제절차 ⑤정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서와 연락처를 통지해야 합니다. 


주의할 점은 웹사이트 게재, 관보 고시 등과 같은 집단적인 공시만으로는 정보주체에 유출 사실을 알린 것으로 인정되지 않는다는 점인데요. 단, 1만 명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 7일 이상 앞서 설명한 통지사항을 게재해야 할 뿐만 아니라 체계적·조직적 대응을 위해 통지 결과와 조치 결과를 5일 이내에 행정안전부, 한국정보화진흥원 또는 한국인터넷진흥원에 신고해야 합니다.     


이와 동시에 개인정보 처리 업체는 피해를 최소화하기 위한 조치로서 시스템 일시정지, 암호 등의 변경, 유출 원인 분석, 기술적 보안조치 강화, 시스템 변경, 기술지원 의뢰와 복구 등의 임시 대응 조치에서부터 유사사고 발생 방지 대책 수립과 시행 등의 같은 장래의 피해 예방 조치 또한 강구해야 합니다.     


또한 피해 고객에 대한 통지와 함께 피해 고객으로부터 개인정보 유출로 인한 피해 현황을 접수받을 수 있는 창구를 마련해야 합니다. 


이를 위반하는 경우 처벌 내용은 다음과 같습니다.




그래도 개인정보를 다루는 스타트업이나 중소기업에서 알아두어야 할 부분을 간략하게 정리한다고 한 것이 이 정도입니다. 


저도 정리하다 보니, '아! 혼자 또는 몇 명이 사업을 하는 데 있어서 개인정보 보호 규정을 지키기 어려울 수밖에 없겠구나' 이해가 갈 정도로 신경 써야 할 내용이 한두 가지가 아닙니다. 하지만 '개인정보 보호'는 사업 초반부터 완벽히 지키지는 못하더라도 어떠한 내용이 있고, 현재 무엇이 부족한지 어느 정도는 알고 있어야 점점 보완하는 방향으로 나아갈 수 있습니다. 


그렇지 않고 개인정보보호 관련해서 전혀 중요성도 모르고 어떠한 내용이 있는지 인지조차 하지 못한다면, 향후 사업이 크게 성장하더라도 항상 위태위태할 수밖에 없습니다. 


제가 쓴 글을 보시고 막막한 느낌이 드실 수도 있겠다는 생각이 드는데요. 

현실적으로 초기 스타트업이나 소규모 기업은 개인정보 보호 관련해서 인지조차 하지 못하는 경우가 허다합니다. 그러니 이 글을 보신 여러분께서는 적어도 앞으로 차차 안전한 방향으로 사업을 성장시킬 수 있는 가능성을 높인 거죠!


부디 이 글이 여러분 사업하실 때 조금이나마 도움이 되길 바랍니다!  

'개인정보 보호' 꼭 잊지 마시길 바라요~! 

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari