ISMS-P 결함사례 고찰 #3.5. 정보주체 권리보호

3.5.1 개인정보 처리방침 공개

인증기준: 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 정보주체가 알기 쉽도록 개인정보 처리방침을 수립하고, 이를 정보주체가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다.

 

결함사례#1

개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우가 있다. 개인정보 처리방침에 있는 내용은 '알기 쉬운 용어'로 '구체적'이고 '명확하게' 작성해야 함을 원칙으로 한다. 내가 생각하기에 그 이유는 이렇다. 법에서 사용하는 용어는 실생활의 용어와는 차이가 꽤나 있다. 들을 때는 A는 당연히 이거 아냐? 라고 생각할 수 있지만, 법에서 A는 전혀 다른 의미일 수 있다는 것이다. 그리고 법을 차치하더라도 특정 조직, 집단에서만 쓰이는 용어가 분명 있고 말이다. 그렇기에 소년, 청년, 중년, 장년, 노년 모두가 이해할 수 있을 만큼 간결하고 명료하게 일반 국민의 언어로 풀어서 설명할 필요가 있다는 것이다. 그런데 심지어 그것도 아니고, 아예 내역 자체가 다르다는 것은 정말 큰 문제가 있다. 이 경우에는 높은 확률로 다른 데에서 처리방침을 그저 끌어오는 데에 그쳤을 것이다. 그렇다면 처리방침의 내용이 명확하게 기술이 되어있는지 확인조차 안 했을 가능성도 매우 높고 말이다. 그렇기에 해당 업무를 맡고 있는 사람이라면, 단순히 조직 내에 있는 처리방침 내용을 복붙해서 업무를 마칠 것이 아니라, 실제 내용과 매칭이 되는지, 설명은 친절하고 이해하기 쉽게 되어있는지도 확인할 필요가 있을 것이다.

 

결함사례#2

개인정보 보호책임자의 변경, 수탁자 변경 등 개인정보 처리방침 공개 내용 중에 변경사항이 발생하였음에도 이를 반영하여 변경하지 않은 경우가 있다. 이것도 결국 #1과 마찬가지인 경우일 것이다. 처리방침 내용 중 변경사항이 발생했다면 이를 바로 반영해야 할 텐데, 처리방침을 고칠 생각을 못하는 것이다. 사실 이런 경우는 신기하게도 완전 드문 일이 아니다. 방침, 규정, 심지어 약관의 내용에 있어서 이를 즉각적으로 매번 수정하지 않는 경우는 심심찮게 볼 수 있는 영역이다. 그 이유는 보통 저런 내용의 경우 업무와 연계하여 법령에 대한 이해가 있어야 할 것이다. 그런데 법을 공부하지 않은 이상 법이라는 것은 사실 굉장히 낯설고 어려운 영역이기는 하다. 그렇기에 담당자가 자신의 권한으로 즉시 수정하기에는 부담을 느낄 수도 있고, 그래서 미뤄지는 경우도 분명 있을 것이라 생각한다. 그런데 도움을 받을 만한 조직이 없는 것도 아니고, 개인정보 보호위원회를 비롯하여 전문성을 지닌 타인이 해당 내용을 확인하고 점검해 줄 수 있는 방법은 분명 존재한다. 결국 이런 업무도 잘 모르더라도 도움을 받아서 계속해야 늘지 않겠는가 싶다.

 

결함사례#3

개인정보 처리방침이 공개는 되어 있으나, 명칭이 ʻ개인정보 처리방침ʼ이 아니라 ʻ개인정보 보호정책ʼ으로 되어 있고 글자 크기, 색상 등을 활용하여 정보주체가 쉽게 찾을 수 있도록 되어 있지 않은 경우가 있다. #1에서도 말했듯, 처리방침은 분명하게 정보주체가 이해할 수 있어야 한다. 이에 대해서도 얼마든지 가이드라인을 받아볼 수 있기 때문에 정보주체의 입장에서 작성하는 것이 난도 있는 업무는 아닐 것이라 생각한다.

 

결함사례#4

개인정보 처리방침이 몇 차례 개정되었으나, 예전에 작성된 개인정보 처리방침의 내용을 확인할 수 있도록 공개되어 있지 않은 경우가 있다. 개정이 되었을 때 이를 즉각적으로 반영하는 것은 분명 칭찬할 만한 일이다. 그런데 이른바 Before & After 서비스도 이뤄져야 하는 것이 개인정보 처리방침이다. 정보주체가 변경된 사항에 대해 무엇인지 확인할 수 있어야 하기 때문이다. 이것도 정보주체가 처리방침을 '쉽게' 이해하기 위한 내용의 일환으로 이해하면 될 것이다.

 

결함사례#5

전자상거래법, 상법 등 다른 법령에 따라 개인정보를 파기하지 아니하고 일정기간 보관하고 있으나, 이에 따른 보존근거와 보존하는 개인정보 항목을 개인정보 처리방침에 공개하지 않은 경우가 있다. 개인정보 처리방침에 공개해야 하는 항목에 대해서는 세세하게 기술이 되어있으므로 이를 따라서만 하면 문제가 없을 것이다. 매번 기존의 잘못된 것을 그대로 복붙하는 습관보다는 직접 FM에 맞는지 확인해 보는 습관이 필요하다. 사실 정말 100% 모든 것을 FM으로 할 수는 없을 것이다. 각 조직마다 어쩔 수 없는 융통성의 강제는 있을 것이고 말이다. 그런데 비단 보안뿐만 아니라, 모든 분야에서 FM을 알아야 문제가 생겼을 때 대처도 더욱 신속 정확한 법이라 생각한다. 스스로의 안위를 위해서라도 FM에 대해 확인해 보는 습관을 들이는 것이 좋다.

 

3.5.2 정보주체 권리보장

인증기준: 정보주체가 개인정보의 열람, 정정·삭제, 처리정지, 이의제기, 동의철회 등 요구를 수집 방법·절차보다 쉽게 할 수 있도록 권리행사 방법 및 절차를 수립·이행하고, 정보주체의 요구를 받은 경우 지체 없이 처리하고 관련 기록을 남겨야 한다. 또한 정보주체의 사생활 침해, 명예훼손 등 타인의 권리를 침해하는 정보가 유통되지 않도록 삭제요청, 임시조치 등의 기준을 수립·이행하여야 한다.

 

결함사례#1

개인정보의 열람, 정정·삭제, 처리정지 요구 방법을 정보주체가 알 수 있도록 공개하지 않은 경우가 있다. 개인정보에 있어서 정보주체는.. 그냥 왕으로 생각하는 게 맞지 않나 싶다. 비꼬는 게 아니라, 그렇게 생각하고 진짜 하나부터 열까지 다 해주는 것을 당연시 여겨야 한다는 것이다. 개인정보라는 것의 중요성을 생각한다면 그건 분명 맞는 일일 것이다. 또한, 이때 요구 방법에 대해서도 누구나 쉽게 할 수 있어야 한다는 점도 인지해야 할 것이다.

 

결함사례#2

개인정보의 열람 요구에 대하여 정당한 사유의 통지 없이 열람 요구를 접수받은 날로부터 10일을 초과하여 회신하고 있는 경우가 있다. 늘 말하지만, 법에서 말하는 '정당한 사유'에 해당되는 사례는 사실 드물다. 결국 개인이건, 그 개인이 속한 조직이건, 개인정보의 업무에 대해 중요성을 제대로 인식하고 있지 못하기에 나오는 결과라 생각한다. 10일을 초과하지 말라고 했다고 9일로 보낸다거나 그런 것은 당연히 있어서는 안 되는 일로 여겨야 할 정도로, 개인정보 열람 요구에 대해서는 신속 정확하게 회신해야 할 것이다.

 

결함사례#3

개인정보의 열람 민원에 대한 처리 내역 기록 및 보관이 이루어지지 않은 경우가 있다. 이런 경우는 정말 본 적이 없어서 참 대단하구나 싶다. 이것을 굳이 지울 필요가 없는데 말이다. 타인의 개인정보와 연관된 내용을 어떠한 법적 근거도 없이 지울 수 있다는 게 사실 상상이 가질 않는다. 보존을 할 때도, 삭제를 할 때도 그것이 법적 근거가 있는 타당한 행동인지에 대한 것을 먼저 확인하고 업무를 해도 늦지 않을 것이다.

 

결함사례#4

정보주체 당사자 또는 정당한 대리인이 맞는지에 대한 확인 절차 없이 열람 통지가 이루어지는 경우가 있다. 이에 대해 확인 절차를 하지 않는다는 경우가 있었다는 것이 진짜 충격이다. 조금이라도 악의를 가진 사람이 있었더라면 무조건 일이 커졌을 사안인데 말이다. ISMS-P 인증을 신청하는 기업이 다루는 개인정보가 손으로 꼽을 만큼 적을 것도 아니고 말이다. 이거는 '개인정보 유출해주세요.' 라고 말하는 것과 다름없는 일이다. 정말 해당 조직의 장과 담당자는 창피한 줄 알아야 할 것이다.

 

결함사례#5

개인정보의 정정·삭제 요구에 대하여 정정·삭제 요구를 접수받은 날로부터 10일을 초과하여 회신하는 경우가 있다. 개인적으로는 이 제한을 법에서 더 줄여도 되지 않을까 싶기는 하다. 뭐 일반적으로는 3일 이내에 해주는 것이 당연스레 여겨지기는 한데, 그런 보편으로서의 상황과 개인정보의 중요성을 고려한다면 줄이는 것이 낫다고 생각하기는 한다. 심지어 10일을 넘기는 조직도 있다는데, 그런 경우를 더 억제하면서 정보주체의 권리에 더욱 무게추를 기울여주는 것이 옳다고 생각하기 때문이다. 도대체 무슨 합당한 이유가 있길래 10일을 초과했는지 그 이유가 궁금한 사례다.

 

결함사례#6

회원 가입 시에는 온라인을 통하여 쉽게 회원 가입이 가능하였으나, 회원 탈퇴 시에는 신분증 등 추가 서류를 제출하게 하거나 오프라인 방문을 통해서만 가능하도록 하는 경우가 있다. 정말 유독 이 항목에 대해서는 기가 차는 사례를 접하는 것 같다. 어떻게 이런 말도 안 되는 얌체 짓을 할 수 있을까 싶을 정도다. 서초구 서초동에 본사가 있다고 치면, 서초동에 거주하는 주민들 상대로 회원가입만 하는 경우도 아닐 것인데 말이다. 전국을 대상으로 하면서 본사로 찾아오라는 것은 정말 기가 찬다는 말 밖에는 나오지가 않는다. 회원 탈퇴의 의사가 있는 경우라면 서비스 이용도 하지 않을 것이고, 당연히 기업에 수익을 주지 않을 고객일 텐데, 굳이 그 고객을 인질로 잡고 있다는 것은 개인정보를 장사하겠다는 것밖에 없다. 내가 이전에 이런 얌체 같은 사례에 대해 '걸로 해석해도 할 말이 없을 것이다.' 등의 표현 정도만 썼는데, 이 경우는 굳이 그렇게 약하게 말하지 않아도 될 것으로 보인다. 이런 회사는 사례를 고쳐오더라도 인증 마크를 참 주지 않았으면 하는 집단이다.

 

3.5.3 정보주체에 대한 통지

인증기준: 개인정보의 이용·제공 내역 등 정보주체에게 통지하여야 할 사항을 파악하여 그 내용을 주기적으로 통지하여야 한다.

 

결함사례#1

전년도 말 기준 직전 3개월 간 일일 평균 저장·관리하고 있는 개인정보가 100만명 이상으로서 개인정보 이용제공 내역 통지 의무 대상자에 해당됨에도 불구하고 금년도에 개인정보 이용· 내역을 통지하지 않은 경우가 있다. 통지 주기가 기껏해야 연 1회 이상인데 이런 간단한(?) 업무를 누락해서는 안 될 일이다. 아마 예상컨대 담당자는 호되게 깨지지 않았을까 싶기도 하다. 굳이 안 보낼 이유나 의도가 있을 만한 것도 아니고, 돈이 많이 드는 일도 아니고, 어려운 일도 아니니 말이다. 이런 말도 안 되는 실수를 방지하려면 항상 관련 업무와 연관 있는 법에 대해 확인하여 업무에 즉시 반영할 필요가 있다. 개인정보 보호법 제 20조의 2에 나와있는 내용인데, 개인정보를 다룬다면 그냥 개인정보 보호법을 한 번 다 읽는 것이 업무에 도움이 될 것이라 생각한다.

 

결함사례#2

개인정보 이용·제공 내역을 개별 정보주체에게 직접적으로 통지하는 대신 홈페이지에서 단순 팝업창이나 별도 공지사항으로 안내만 한 경우가 있다. 통지 방법에 대해서도 법에서 친절하게 아주 세세하게 말해주고 있으므로 팝업창으로 띄우는 것으로 갈음해서는 아니 될 것이다. 심지어 팝업창의 경우 보지도 않고 끄는 경우도 많고, 특히 젊은 세대의 경우 기능이나 설정 같은 것으로 아예 팝업창이 뜨지도 못하게 막기도 한다. 공지사항을 확인하는 경우도 극소수이지 않을까 싶고 말이다. 그렇기에 법에서 소개하는 내용도 정보주체가 내용을 '쉽게' 확인할 수 있는 방법을 말하고 있는 것이다. 이것을 명심하고 업무에 반영해야 할 것이다.