ICT 기업이 알아야 할 정보보호 법제도

상세페이지

  • HOME > 월별 특집 & 기획

ICT 기업이 알아야 할 정보보호 법제도

글. 고광석 오더 정보보안그룹 이사


2016년 6월 2일, 기업이 수집한 개인정보 중 이용하지 않는 개인정보 파기와 일정 수준 이상 기업들의 정보보호 관리체계 인증의무를 확대하기 위해 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’이 시행됐다. 정보통신망법은 ICT 기업이 사업 영유를 위해 사용하는 인터넷망과 서비스 제공을 위해 수집하는 개인정보를 보호하는 데 필요한 규율이 주요 골자다. 매년 발생했던 여러 보안사고를 통해 기업의 사회적 책임이 얼마나 중요한가에 대한 고찰을 반영하며 발전했다. 기업 입장에서는 너무 지나친 규제가 아니냐고 반문할 정도로 강한 편이지만, 기업이 인터넷망과 개인정보 보호에 어떤 노력을 기울이는지를 보면 ‘규제를 강화할 수밖에 없구나’라는 생각이 든다.

기업이 수집했으나 활용하지 않는 개인정보 보호 이번에 시행된 정보통신망법은 기업이 서비스를 제공하기 위해 수집했으나 사용자의 변심이나 장기 미접속 등으로 활용 목적이 상실된 개인정보에 관한 보관 금지·파기와 관련한 부분을 명시했다. 즉, 1년 동안 서비스를 이용하지 않은 사용자의 개인정보를 보호하기 위해 보존 기간을 마지막 접속일로부터 1년이 되는 시점에 파기 또는 분리 보관하도록 규정했다. 또한, 사용자에게 파기 30일 전 대통령령(시행령)으로 정하는 기준에 따라 알리도록 하고 있다. 다시 말해서, 기업이 수집한 개인정보 중 활용 목적을 달성한 정보는 보관하지 말고 파기하라는 뜻이다.   정보통신망법 제29조(개인정보의 파기) ① 정보통신서비스 제공자 등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다. ② 정보통신서비스 제공자 등은 제2항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다. 그러므로 기업은 사용자마다 만료일을 설정해 해당 시점에 통보 후 개인정보를 파기 또는 보관할지에 관한 모든 것을 어떻게 실행할지를 고민해야 한다.

정보보호 관리체계 인증의무 대상 확대적용 기존 정보통신서비스는 연매출액 100억 원 이상 또는 이용자 수(PV기준) 전년 3개월 평균 100만 건 이상인 기업이 의무 대상이었으나, 의료기관과 교육기관도 인증 의무 대상이 됐다. 의무 대상이 인증 심사받지 않은 경우, 과태료 기준도 천만 원에서 3천만 원으로 확대됐다.   정보통신망법 시행령 제49조 (정보보호 관리체계 인증 대상자의 범위) ① 법 제47조 제2항 제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다. ② 법 제47조 제2항 제3호에서 “대통령령으로 정하는 기준에 해당하는 자”란 다음 각 호의 어느 하나에 해당하는 자를 말한다. <개정 2016.5.31> 1. 연간 매출액 또는 세입이 1,500억 원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자 가. 「의료법」 제3조 제4호에 따른 상급종합병원 나. 직전 연도 12월 31일 기준으로 재학생 수가 1만 명 이상인 「고등교육법」 제2조에 따른 학교 2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억 원 이상인 자. 다만, 「전자금융거래법」 제2조 제3호에 따른 금융회사는 제외한다. 3. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만 명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.  이전에는 ‘차라리 천만 원 과태료 내자!’라는 식의 회피를 최소화하기 위한 방책으로 만들어질 수밖에 없었던 게 아닌가 싶다. 하지만, 이번에 새롭게 시행된 법률은 개인 정보를 다루는 기업 또는 비영리기관의 사회적 책임이 필요한 시점이 왔다는 점을 시사하는 것이기도 하다. 결론적으로 좋은 서비스를 만들려면 환경(제도)이 뒷받침돼야 한다고 생각한다.

tags 디아이투데이 , ditoday , 월간 DI , 디아이 , DI 매거진 , 디아이 매거진 , 오더 , 고광석 , 정보 보호 , 정보 보안

저작권자 © 웹스미디어 무단 전재-재배포 금지

뉴스콘텐츠는 저작권법 제7조 규정된 단서조항을 제외한 저작물로서 저작권법의 보호대상입니다.
본 기사를 개인블로그 및 홈페이지, 카페 등에 게재(링크)를 원하시는 분은
반드시 기사의 출처(로고)를 붙여주시기 바랍니다.
영리를 목적으로 하지 않더라도 출처 없이 본 기사를 재편집해 올린 해당 미디어에 대해서는 합법적인 절차(지적재산권법)에 따라
그 책임을 묻게 되며, 이에 따른 불이익은 책임지지 않습니다.

URL 복사 출력하기 목록보기 스크랩하기

관련기사

최신뉴스
월별 특집 & 기획
무박 2일 동안 열정을 불태워보자 마케터 + 마라톤, ‘옐로마케톤’
월별 특집 & 기획
내 아이디어 글로 옮기는 방법
월별 특집 & 기획
ICT 기업이 알아야 할 정보보호 법제도
프로젝트 & 프로모션
폰트 클라우드에 콘텐츠를 더한 산돌구름 구름다리 2.0
프로젝트 & 프로모션
광고상품, 떠 먹여 드립니다 오픈마켓형 광고포털 ‘오픈애즈’

정기구독신청