본문 바로가기

보안 이야기

개인정보보호법, 개인정보 위탁업무 관리 규정

 

2014년 카드 3사 개인정보유출 사건과 최근 페이스북 개인정보유출 사건까지

개인정보 위탁하는 수탁사에서 정보유출이 발생하는 사례가 계속 발생하고 있습니다.

 

이에, 개인정보보호법에 개인정보 위탁업무에 대한 관리 규정을 강화하고 있는데요.

관련 규정에 대해 자세하게 알아보겠습니다.

 

 

ㅣ개인정보 처리 위탁 관리 규정

 

 

개인정보 처리 위탁이란

 

  개인정보 처리 위탁

  계약의 형태와 종류를 불문하고 사업자가 개인정보 취급(수집,보관,처리,이용,제공,관리,파기 등)의

  전부 또는 일부를 대신하는 내용을 계약 일체에 포함하는 것을 말합니다.

  수탁사는 업무상 제휴를 맺고 있는 업체를 말합니다.

  예를 들면, 영업을 위해 본사가 대리점에 업무 위탁을 하는 경우 본사가 위탁사에 해당하고,

  대리점이 수탁사에 해당하게 됩니다.

 

사업자는 개인정보취급 업무에 대한 위탁계약을 체결하는 경우 하기와 같은 의무와 책임이 있습니다.

_ 기술적, 관리적 보호 의무

_ 처리하는 개인정보의 제3자 제공 및 목적 외 이용 금지의 의무

_ 개인정보 침해로 인한 손해배상 책임의 의무

_ 수탁사에 대한 철저한 관리 감독을 이행해야 하는 의무

_ 개인정보 처리로 인해 발생하는 손해에 대해 사용자로서의 책임

 

 

개인정보의 위탁업무와 제3자 제공의 구분

 

개인정보 취급 위탁

개인정보 제3자 제공

배송업무 위탁, 프로그램 개발 위탁

본인 확인 절차 위탁 등

개인정보 판매,

개인정보 제공을 목정으로만 이벤트 등

위탁사의 이익을 위해 대신 처리

제3자의 이익을 위해 처리

위탁사실 공개 또는 마케팅 업무위탁은

위탁사실 고지

제공목적 등 고지 후

정보주체의 동의 획득 필요

위탁자 책임

제공받는 자 책임

 

 

개인정보보호법상 위탁업무에 따른 개인정보 처리의 제한 내용

 

1. 개인정보처리자가 재3자에게 개인정보의 처리업무를 위탁하는 경우에는

   다음의 내용이 포함된 문서에 의하여야 한다.

1) 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

2) 개인정보의 기술적, 관리적 보호조치에 관한 사항

3) 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항

2. 개인정보의 처리 업무를 개인정보 처리자는 위탁하는 업무의 내용과

   개인정보 처리 업무를 위탁받아 처리하는 자를 정보주체가 언제든지 쉽게 확인할 수 있도록

   대통령령으로 정하는 방법에 따라 공개하여야 한다.

3. 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는

   대통령령으로 정하는 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다.

   위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.

4. 위탁자는 업무위탁으로 인하여 정보주체의 개인정보가 분실,도난,유출,변조 도는 훼손되지 아니하도록

   수탁자를 교육하고, 처리현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 개인정보를 안전하게

   처리하는지 감독하여야 한다.

5. 수탁사는 개인정보 처리자로부터 위탁받은 해당 업무범위를 초과하여 개인정보를 이용하거나

   제3자에게 제공하여서는 아니된다.

6. 수탁사가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 개인정보보호법을 위반하여

   발생한 손해배상책임에 대하여서는 수탁자를 개인정보처리자의 소속 직원으로 본다.

 

 

 

ㅣIT 수탁사 개인정보 처리 시스템 관리 규정

 

 

개인정보 처리 시스템을 개발하는 경우

 

가. 접근권한 관리 및 접근통제

IT 수탁사는 위탁자가 시스템에 대한 접근권한 부여 시 필요 최소한의 범위로 업무 담당자에 따라

1인1계정을 차등 부여할 수 있도록 기능을 개발해야 하며, 접근권한 부여,변경,말소 내역을 기록하고

최소 3년간 보관 및 관리가 이루어질 수 있도록 개발해야 한다.

 

나. 개인정보의 암호화

IT 수탁사는 수탁사 자체의 암호화 계획을 수립하고, 비밀번호, 지문, 홍채 등의 바이오정보,

주민등록번호, 여권번호, 자동차운전면허번호, 외국인등록번호 등의 고유식별정보를

외부에 송, 수신하거나, 내부에 저장하는 경우 SSL 등 암호화 조치를 적용하요 개발해야 한다.

 

다. 개인정보 접속기록 보관

IT 수탁사는 개인정보 취급자가 개인정보에 접속한 기록을 6개월 이상 보관 및 관리 될 수 있도록

관련 기능을 개발해야 한다. 특히 접속 기록은 ① 접속 ID ② 접속 날짜 및 시간 ③ 접속자 IP 주소

④ 수행 업무(열람, 수정, 삭제, 인쇄, 입력 등) 등 4가지 필수항목이 모두 기록될 수 있도록

관련 개인정보처리시스템을 개발해야 한다.

 

라. 개인정보 차기

IT 수탁사는 회원탈퇴 등에 따라 개인정보를 파기하는 경우 단순히 데이터베이스 테이블에

삭제 여부만을 표시하는 형태로 파기되도록 해서는 안되며, 데이터가 복원되지 않도록

데이터베이스에 삭제 또는 덮어쓰기 방법으로 파기되도록 기능을 구현해야 한다.

 

 

개인정보 처리 시스템을 운영 및 유지보수 하는 경우

 

가. 접근권한 및 접속기록 관리

고객관리 ASP 등을 제공하는 IT 수탁사는 접근권한의 부여,변경,말소 내역의 기록을 최소 3년간

보관해야 한다. 그리고 외부에서 불법적 접근(방화벽) 및 침해사고 방지(침입탐지)를 위한 시스템을

설치 및 운영해야 하며, P2P, 웹하드 등 비인가 프로그램 및 공유 설정 등을 통해 열람권한이 없는 자에게

개인정보가 공개 및 유출되지 않도록 접속 차단을 실시해야 한다.

 

나. 개인정보의 파기

IT 수탁사는 개인정보 처리 위탁자의 개인정보 파기 정책에 따라 온라인 회원가입 등을 통해 수집하며

보유하고 있는 개인정보(파일)의 당초 수입목적이 달성되었거나(회원탈퇴, 계약종 등),

보유기간이 경과된 경우(계약 종료 후 5년 경과 등)에는 지체 없이(보유기간 종료일로부터 5일 이내)

파기해야 한다.

 

다. 보안 프로그램 운영

IT 수탁사는 악성 프로그램 등을 방지,치료 할 수 있는 백신 소프트웨어 등의 보안 프로그램을

설치 및 운영해야 한다. 보안 프로그램 및 최신 운영체계 패치는 자동 업데이트 또는 일일 1회 이상

업데이트 실시로 최신의 버전 상태로 유지하고 있는지 확인해야 한다.

 

라. 물리적 보관 장소 운영

마지막으로 개인정보의 절도, 파괴 등의 물리적 위협으로부터 정보자산을 보호하기 위해

전산실, 자료 보관실 등 물리적 보관 장소에 대한 출입통제 절차를 수립하고 운영해야 하며,

개인정보가 포함된 서류, 보조저장 매체 등은 잠금장치가 있는 안전한 장소에 보관 및 관리해야 한다.