개인정보 취급 및 관리 실무

개인정보 보존 기한에 대한 논쟁이 있음. 예를 들어, 의료법에서는 보존 기한을 10년으로 명시하는데, 이는 limit을 의미하는 게 아닌, 최소한의 기한을 의미하는 것임. 그러나 개인정보보호법에서는 의료법에서 명시한 10년을 고려하여, 10년이 도래하면 수집 목적이 해소되었을 경우 삭제하는 것을 주장하는 것임. 여기서 사람들은 특별법 우선주의에 의거하여 판단하게 되는데, 법률의 관계는 고정적인 게 아님. 특정법이 항상 특별법인 것은 아니기 때문에 그 상황과 관계에 따라 특별법을 판정하여 판단해야 함.

 

정보주체 법정대리인의 정당성을 어떻게 증명할 것인가? 개인정보처리자는 어떠한 노력을 할 수 있을까? 그런데 그 노력이 최소한의 수집 원칙에 위배되서는 안 된다. 그렇기에 가족관계증명서를 받는 것이 정석적으로는 옳으나, 그것을 받을 수 없는 현실적인 문제가 있다면, 주민등록등본, 건강보험증, 기타 보호자가 명시된 서류 등을 받는 방법도 있으나, 그것마저 안될 때는 다른 대책을 강구해야 함.

 

개인정보의 파기, 개인정보가 '불필요하게' 되었을 때 파기를 해야 하는 게 맞는데, 퇴사를 하면 불필요하게 된 것일까? 퇴사를 하고 나서 퇴사자들이 이전 직장에 확인서를 요구할 때도 있다. 그런 것을 고려한다면 파기보다는 분리보관이 맞는데, 그럼 분리보관을 하는 회사는 얼마나 될 것인가? 재직자 테이블과 퇴직자 테이블을 구분을 해야 하는데 이걸 수행하는 곳은 거의 없음. 기술적으로 어려운 부분이 있으며, 담당자는 이것에 대해 인지하고 있어야 함. 개인정보를 파기하는 것에 대해서는 신중히 고려할 필요가 있음. 정말 명백하게 파기하지 않을 이유가 없음에도 보존하는 경우가 많으며, 기업 입장에서는 정보를 파기한다는 것 자체가 어려운 판단임. 그리고 그렇다면, 이것의 보안에 대해서 특별히 고려할 필요가 있음.

 

생체인식정보를 통한 인증을 요구하는 곳은 많으나, 생체인식정보를 보관하는 기업은 없음. 왜냐하면, 이는 신체의 정보로, 수정이 불가능한 정보이기 때문임. 따라서 핸드폰을 통해 지문인증을 할 경우, 지문인증이 이뤄졌다는 정보만 기업으로 전달될 뿐, 기업에 있는 정보와의 매칭을 통해 인증하는 것은 아님.

 

열람요구권은 보통 내 개인정보에 대해 열람을 요구하는 것이지만, 내 개인정보를 누가 열람하였는지, 개인정보취급자 및 처리자의 정보를 요구하는 경우도 있을 수 있음. 법에서 특별히 허용하는 규정은 없으나, 알려줘야 하는 것이 옳을 것으로 보임. 이는 조직의 특성을 고려하여 판단해야 함.

 

RTO보다는 RPO가 특히 중요하며, RPO는 언제나 0을 충족시키는 것부터 시작해야 함. DR 같은 경우 훈련을 하는 경우가 있더라도 실제적으로 활용을 하기는 현실적으로 힘들며, 그렇다 하더라도 백업의 의미로 그 중요성이 있음.