개인정보 관련 대표적인 업무 중 하나가 있다면 바로 위탁사 관리일 것이다. 수탁사 관리만 수행하는 데도 1명의 직원이 그것에만 몰두해야 할 정도로 수탁사가 많은 곳도 종종 있다.
이 과정에서 다양한 유형의 개인정보가 위탁업체로 제공되고, 처리되고, 폐기된다. 그리고 나도 컨설팅에 참여하며 여러 위수탁 계약서와 그에 의거한 위수탁 점검 보고서를 접했으나, 실효성 차원에서 부족함이 느껴지는 것은 어쩔 수 없다.
그러나 만일 실무의 현실적인 상황이 반영된 가이드라인이 생긴다면, 이는 위수탁 관리에 있어 개인정보담당자들의 노고를 덜어줄 수 있을 것이다.
수탁사를 대상으로 개인정보보호를 점검한다고 해서 특별한 기준을 적용할 필요까지는 없다. 우리에게 이미 친숙한 개념인 '개인정보 생애주기'가 있기 때문이다. 위탁사 입장에서는 개인정보 제공으로 끝나지만, 수탁사 입장에서는 제공받은 개인정보를 안전하게 관리해야 하므로 보유·이용 단계에서부터 생애주기를 관리할 필요가 있기 때문이다.
그럼 개선을 위해 먼저 해야 할 것은 기존의 가이드라인을 살펴보는 일이다. 현재 개인정보 위수탁 점검과 관련된 가이드는 2020년에 개보위에서 발간한 개인정보 처리 위·수탁 안내서가 전부고, 그 안내서에서는 수탁사 관리를 위한 점검 내용을 하나의 체크리스트로 제공하고 있다. 아마 대부분의 공공·민간은 이걸 그대로 사용하거나, 이것을 기반으로 더욱 맞춤형으로 살을 붙였을 것이다.
제공된 체크리스트는 위와 같이 3단계의 13개 항목으로 구성되어 있으며, 수탁사의 개인정보보호 수준과 개보법 준수 가능성을 판단하기에는 이것으론 턱없이 부족하다. 더군다나 2020년이면 벌써 5년이나 지난 내용이기에 개정된 개인정보보호법의 내용을 반영하지 못하고 있다는 문제도 있다.
그렇기에 이 논문에서 제안하는 내용은 다음과 같다.
개인정보 업무 위탁 관리 프레임워크는 계약, 이행, 종료의 3단계로 구분되며, 각 단계별로 세부 요구사항이 존재한다.
계약 단계에서는 위탁하는 업무에 대한 명확한 정의를 수행한다. 계약하는 업무 분야에 따라 적용되는 법적 사항은 조금씩이라도 다를 수밖에 없고, 당연히 이를 준수하기 위한 방안은 더더욱 다르기 마련이다. 당장 예산이 얼마냐 있느냐에 따라서도 보안에 관한 답을 천차만별이니 말이다. 다만, 수탁사에 제공되는 개인정보 항목은 개인정보처리 방침과 유사하게 필요 업무를 정의하고, 요구되는 개인정보 항목과 보유기간을 명시함으로써 불필요한 정보 활용을 예방할 수 있도록 한다. 이는 개보법에 명시된 목적 외의 용도 활용을 사전에 예방하기 위해서다. 제공되는 개인정보 항목은 위탁사의 개처방에 보유기간을 기준으로 보유하게 되며, 활용 시 활용내역을 저장 및 관리하도록 한다. 개인정보 보호 방안은 개보법에 명시된 내용을 준수하여 보호하고, 여기서 제안하는 점검 항목을 기반으로 한다. 수탁사가 재수탁을 진행할 경우, 개정된 개보법에 따라 사전에 위탁사의 동의를 받아야 하며, 위탁사는 재수탁사에 대한 개인정보보호 역량 진단 수행을 의무화한다. 의무화 방안은 계약된 수탁사는 위탁사가 요구하는 개인정보보호 수준을 만족한다는 전제하에 계약이 진행된 것으로 재수탁사도 이에 준하는 개인정보보호 수준을 갖추어야 할 것이다. 이행 단계에서는 계약 이후, 위탁받은 업무를 수행하는 단계로 사전에 합의된 인원을 대상으로 개인정보 접근권한 할당 및 이용 이력을 관리하도록 한다. 업무에 이용되는 시스템, 단말기, 보조 저장장치, 이동형 저장매체 등도 사전에 위탁사 승인 하에서만 활용될 수 있도록 한다. 이는 비인가된 시스템, 단말기 등의 이용과정에서 외부의 악의적인 공격을 사전에 차단할 수 있도록 조치하고, 이후 종료 단계에서 개인정보를 명확하게 파기하기 위해 필요한 조치다. 인가된 시스템, 단말기만을 사용함으로써 기술적인 보호 조치를 사전에 정의할 수 있고, 개보법에 따른 위탁사의 관리가 현실적으로 가능하게 하기 위함이다. 수탁사에서 추가적인 시스템 이용, 단말기 증축 등은 위탁사에게 재승인 요청 과정을 추가하여 진행할 수 있도록 하고, 위탁사는 추가적인 대상에 대한 보호 조치를 점검할 수 있도록 한다. 수탁사는 계약된 업무를 위해 제공받은 개인정보를 기술적 보호 조치로 외부의 위협으로부터 안전하게 관리할 수 있도록 한다.
위탁사는 수탁사에서 개인정보를 안전하게 관리할 수 있도록 제안하는 체크리스트를 기반으로 이행단계에서 연 1 회 이상 보안점검을 수행하고, 월별 활동에 대한 증적을 위탁사에 제공한다. 이를 통해 취약한 항목은 보완조치를 수행할 수 있도록 한고, 계약 단계에서 협의된 내용이 정상적으로 이행되는지 점검할 수 있도록 한다. 개보법은 수탁사의 개인정보 피해를 위탁사가 책임지도록 정의함에 따라, 개인정보보호를 정상적으로 수행하지 않는 수탁사들도 존재한다. 이러한 행위는 정말이지 큰 위험을 내포하고 있으며, 발생되는 피해는 위탁사뿐만 아니라 정보주체까지 영향을 끼친다. 따라서 일방적인 위탁사의 수탁사 점검 방법이 아닌 월별 활동에 대한 증적을 수탁사에서 직접 수행하도록 함으로써 상호 관리에 대한 방안을 마련하고, 위탁 업무에 대한 신뢰성과 안전성도 확보할 수 있도록 한다. 재수탁사가 존재하는 경우, 위탁사가 직접 재수탁사에 대한 개인정보보호 점검을 수행하고, 수탁사를 통해 보완조치를 요구할 수 있도록 한다. 이는 앞서 기재한 것처럼 위탁사의 개인정보보호 수준을 확보하기 위함이다.
종료 단계는 계약된 기간이 종료됨에 따라 개인정보를 처리해야 하는 단계다. 위탁받은 업무에 따라 수집 혹은 제공받은 개인정보를 파기하는 단계로서 이행 단계에서 승인된 시스템, 단말기, 보조 저장장치, 이동형 저장매체 등을 대상으로 완전 삭제 등의 조치가 수행된다. 파기는 제공받은 개인정보 형태에 따라 다르게 수행된다. 전자파일로 제공된 개인정보는 복구가 불가능한 삭제 방식으로 수행하고, 문서 형태는 세절기 등을 통해 파기를 수행한다. 만약 이 과정에서 단말기, 저장매체 등에 대한 파기를 수행하는 경우에는 재사용이 불가능한 방식을 적용한다. 위탁사와 수탁사 계약관계에서 파기가 아닌 정보 이전 내용이 포함되어 있다면, 수집된 개인정보를 위탁사로 이전하고, 파기를 수행한다, 모든 파기는 파기확인서를 작성하고 위탁사에 전달함으로써 업무를 종료하도록 한다.
이에 따른 체크리스트는 다음과 같다.
| 대분류 | 중분류 | 상세 |
| 관리적 측면 | 위탁 업무용 개인정보보호 정책 문서 | 연 1회 이상 정기적으로 점검되고 있으며, 이사회 또는 대표이사가 직접 승인한 위탁업무 전용의 문서인가? * 전사 범위의 개인정보보호 정책 문서는 인정하지 않는다. |
| 개인정보 보호 조직 구성 | 제공받은 개인정보 처리 업무에 한하여, 위탁 업무 개인정보 담당자를 지정하고 있는가? * 기존 개인정보 보호담당자가 겸직할 수 있다. |
|
| 개인정보 취급자 관리 | 보안서약서를 징구하고, 연 1회 이상 정기적으로 보안 교육을 이수하고 있는가? | |
| 개인정보 취급자 또는 대표자 보안 서약서 제출 | 정해진 업무에 관한 책임자에 대해 보안 서약서를 징구하고 있는가? | |
| 개인정보 접근용 단말기 및 시스템에 대한 사전 승인 신청 | 사전 승인 신청이 된 단말기 및 시스템에 한해서만 개인정보를 처리하고 있는가? | |
| 물리적 측면 | 업무 영역 분리 | 위탁 업무를 위한 별도의 공간이 마련되어 있는가? 이것이 현실적으로 불가하다면, 업무영역에 따른 권한이 별도로 존재하며, 단말기 접근통제를 실시하고 있는가? |
| 개인정보 접근통제 | 개인정보 형태에 따라 전자적 파일인 경우 단말기에 대한 접근을 통제하고, 물리적 형태는 시건장치 등이 된 장소에 보관하고 있는가? | |
| 저장매체 보안 | 개인정보를 DRM 혹은 암호화를 하거나, 이동을 할 경우에는 보안 USB 사용하고 있는가? | |
| 기술적 측면 | 접근권한 관리 | 기존 ISMS-P의 방식을 준용하되, 접근권한 관리와 접속기록 관리에 대해서는 월 1회 이상 점검 수행을 수탁사가 아닌 위탁사에서 하는 것을 원칙으로 한다. |
| 접속기록 관리 | ||
| 비밀번호 관리 | ||
| DB 암호화 | ||
| 서버 및 네트워크 접근제어 | ||
| 단말기 보안성 확보 | ||
| 생애주기 측면 | 개인정보 처리방침 수립 | 개보법 내용을 준용한다. |
| 개인정보 수집·이용에 대한 동의 | ||
| 개인정보 마스킹 | ||
| 개인정보 파기 | ||
| 재수탁 측면 | 원위탁자 서명 포함 | 재수탁에 대해 원위탁자의 동의 서명을 확인할 수 있는가? |
| 재위탁 업무 및 제공 개인정보 보호 정책 문서 작성 | 기존의 업무를 포함한 것이 아닌, 별도로 재위탁 업무에 관한 보호 정책 문서를 작성하고 있는가? | |
| 재수탁자 또는 원위탁자에 의한 개인정보 보호 점검 현황 제공 | 위탁사가 재수탁사를 직접 점검하거나 혹은 재수탁사의 자체점검 수행결과에 대해 위탁사의 점검을 받고 있는가? | |
| 원위탁자 개인정보 접근 권한 및 접근 기록 이력 관리 | * 이전 내용과 동일 | |
| 개인정보 취급자 또는 대표이사의 보안 서약서 징구 | ||
| 수탁업체 임직원 개인정보 보호 교육 이수증 제출 | ||
| 개인정보 접근 기기 및 시스템에 대한 사전 동의 확보 |
언제나 전체를 대상으로 발간되는 가이드라인은 일반적일 수밖에 없고, 그러다 보니 그것은 그저 베이스로 삼아야 한다. 기업마다 속한 업권이 다르고, 환경이 다르며, 실무에서도 많은 차이가 발생한다. 그렇기에 보안담당자는 언제나 기업의 특성을 고려한 실질적인 체크리스트 마련을 고민해야 할 것이다.
수탁사 개인정보보호 강화를 위한 프레임워크 및 점검방법 연구
본 논문은 2023년 개정된 개인정보보호법 및 관련 법적 가이드 등을 분석하고, 개인정보 업무 위수탁 관계에서 필요한 항목을 통해 위수탁계약에 대한 프레임워크를 제안하고, 국내에 부재한 수
www.kci.go.kr
'보안 > 판례 및 논문' 카테고리의 다른 글
| 서울행정법원 2025. 1. 23. 선고 2023구합71018 판결 [시정명령 등 처분 취소청구의 소] (4) | 2025.06.25 |
|---|---|
| 민원인 - 구직자의 정신질환을 확인하기 위한 의사소견서나 건강진단확인서가 「채용절차의 공정화에 관한 법률」 제2조제6호에 따른 채용서류에 해당하는지 (0) | 2025.06.25 |
| 개인정보 유출로 인한 정신적 손해와 관련하여 (0) | 2025.03.17 |
| 헌법체계상 인격권과의 관계에서 본 프라이버시권(사생활의 비밀과 자유)의 내용 및 성격 (0) | 2025.02.07 |
| 개인정보 보호법상 동의 제도의 개선 방안, 가장된 자율성에 대한 성찰 (0) | 2025.01.22 |