개인정보보호의 이해(3)

4. 기업의 사회적 책임과 개인정보보호 조직

1) CSR (Corporate Social Responsibility)

○ 기업의 자기규제적 형태를 의미

○ CSR 정책은 사업자가 법률, 윤리적 기준 및 국제적 규범에 부합하는 활동을 하고 있는지를 모니터링 및 확인하는 내용으로 구성되고 있으며, 주로 환경, 소비자, 임직원, 지역사회 등에 초점을 맞추고 있다.  
 
2) 개인정보보호 조직

○ 기업들이 개인정보보호를 시작할 때는 먼저 오너십을 가질 수 있는 개인정보보호 전담자와 조직부터 마련하는 게 중요

○ 전사적으로 통제할 수 있을 정도의 힘 있는 전담자와 조직을 갖춰야만 한다.  즉, 개인정보보호 문제는 이제 IT 부서 책임자 또는 최고보안책임자 만의 몫이 아니라 최고경영책임자의 몫이 되어야 한다.  최고경영책임자가 기업 비즈니스의 연속성을 확보한다는 차원에서 조직의 개인정보보호 정책을 수립하고 이 정책에 기반해 보호해야 할 개인정보를 식별해야 하며 보호해야 할 자산에 대한 위협 요인을 분석하고 이 위협 요인을 제거하기 위한 대응책을 마련해야 하며 이러한 관리체계가 지속적으로 유지되도록 최고경영책임자가 직접 챙겨야 한다는 것을 의미한다. 

○ 개인정보보호는 법 준수사항이므로 개인정보보호관리체계의 어떤 항목이 만족되지 않으면 기업이 바로 법적 처벌을 면하기 어려울 수 있다.  따라서 상시적인 개인정보체계를 유지할 필요가 있으며 이를 위한 전담 조직은 개인정보최고책임자 하부에 두어야 한다.

○ 개인정보보호 조직은 그 구성 및 조직 내의 위치에 있어 기업이 처한 환경, 관리 대상이 되는 개인정보의 범위 및 민감도, 기업 거버넌스(또는 정보보호 거버넌스), 조직원의 역량 등 다양한 요소의 영향을 받기 때문에 조직마다 다를 수 있다.

○ CISO, CSO의 별도지정의 여부에 따라 달리질 수 있다.

○ CEO의 조직운영에 있어 개인정보가 적정히 관리되고 있다는 합리적 보장을 제공할 수 있는 정책, 기준, 절차의 수립은 물론 이러한 것들이 지속, 반복적으로 수행되고 있다는 증거를 경영진에 제시할 수 있어야 한다.
 
3) 준거 (Compliance)

○ 개인정보보호, 특히 국내법에서의 개인정보보호의 의미는「개인정보보호법」,「정보통신망이용촉진및정보보호등에관한법률」 등 관련 법령에서 규정하고 있는 각종 규정의 준수에 집중

○ 개인정보보호 의무의 준수에 있어 개인정보보호법 정보통신망법의 규정은 최소한의 준수 의무로서 이해되어야 하며, ISO27001, COBIT 등 다양한 정보보호 관련 Framework에서 설명하고 있는 정보보호의 틀까지 고려되어야 한다.

○ 사업의 성격, 영역에 따른 관할사법권(Jurisdiction) 구분에도 신경 써야 하며, 일부 기업의 경우 HIPPA, The Sarbanes-Oxley Act(SOX) 등의 규정 준수에 대해서도 관심을 기울여야 한다

○ 개인정보 영향 평가(Privacy Impact Assessment, PIA)의 중요성 강조

○ 정책적, 기술적 개인정보보호 방안 가운데 그 어느 것이 더 중요하다는 주장으로 특정 분야에만 관심을 쏟을 수 없다. 양자의 적절한 조화를 통한 기술적⋅관리적 보호대책을 수립⋅운영하는 것이 중요
 
4) 인식제고와 인증

○ 개인정보보호와 직, 간접적으로 관련된 Stakeholder의 개인정보보호 인식을 향상시킬 수 있는 다양한 시책을 시행하는 것이다. 구체적인 실행방식으로는 교육(온⋅오프라인), 워크숍, 포스터, 뉴스레터 등 다양한 방법이 있으며, 고위경영진을 대상으로 하는 Table Top Exercise의 형식 등이 있다.

○ 개인정보 영향평가의 수행에 다양한 부서의 인원을 직접 참여케 하는 방법 역시 개인정보보호 인식을 향상시킬 수 있는 최적 실무의 예이다.

○ 체계적인 개인정보보호 교육을 통해 개인정보 취급자의 기본 소양 함양과 함께 구성원의 변화관리로 개인정보 유출의 위협을 방지

○ 개인정보보호 정책의 최신성을 유지할 수 있도록 세미나 참석, 관련 기관 동향 분석 등도 개인정보보호 조직의 주요한 역할이다.

○ E-Privacy, ISO/IEC27001, ISMS 등 개인정보보호와 관련된 국내⋅외 인증을 취득하고, 이를 대외에 밝혀 이용자(고객)로 하여금 기업의 개인정보보호 수준을 가늠할 수 있는 정보를 제공하는 것은 기업의 브랜드 이미지 향상 및 충성도 유지 등에 직접, 간접적으로 영향을 미친다
 

5. 해외에서의 개인정보

1) 유럽과 미국의 개인정보보호의 차이

○ 유럽은 전통적으로 개인정보를 인권적 차원에서 엄격하게 보호하며, 이행이 강제되지 않는 자율규제는 비효과적으로 보고 법률에 의한 규제를 선호

○ 미국은 개인정보를 잘 활용함으로써 고객에서 보다 큰 편익을 줄 수 있다고 보고, 개인정보 관련 규제를 최소화하는 경향을 보이며, 개인정보보호를 위한 지나친 정부 관여는 정보기술의 발전과 기업체들의 자유로운 경제활동을 저해할 가능성이 크다고 판단

○ EU 모델(정부규제)의 장점
- 성문화된 법률로 명확히 규정, 법적소송으로 적극적인 피해보상, 무거운 징계로 정보 오남용 저지, 강제력 있는 규제로 참여율 상승, 각종 솔루션 지원으로 규제효과 상승

○ EU 모델(정부규제)의 단점
- 과다한 관리 및 준수비용, 행정관리자들의 수행부담 증가, 정부규칙의 경직성, 강제참여로 개인정보윤리 의식 미흡, 현실상황 이해 부족으로 감독미비, 관할범위의 제한으로 인해 외국 기업의 준수 미흡

○ 미국모델(자율규제)의 장점
- 자발적 참여로 개인 정보윤리의식 고양, 이익달성에 공동체적 시너지 효과, 통일된 기준으로 비용과 부담 절감, 급변하는 현실 대응에 민첩, 법률이 규제하지 못하는 부분 해결

○ 미국모델(자율규제)의 단점
- 경쟁우위기업에 의한 카르텔 형성 및 이에 따른 진입장벽의 형성, 각 기업의 평판과 연합체 평판간의 연관성 미흡시 개인이익 위주활동, 전문기술 및 노하우 공유의 어려움, 강제력 결여로 참여 준수율 불확실, 전적인 자율참여로 탈선유혹 상존
 
2) EU-미국 간 Safe-harbor 협정

○ 미국과 유럽 연합(EU)은 개인정보(PII)의 전송에 관한 Safe-Harbor 협정을 체결하였다. EU 개인정보보호법의 시행으로 적절한 개인정보보호 체계를 가지고 있지 않은 국가로의 개인정보 이전이 금지되었으나, 협상 끝에 양국에 개인정보 이전 방법에 합의

○ 이러한 Safe-Harbor 협정은 공정 정보 규정(FIP)에 근거한 협정으로 유럽과의 무역을 원하는 기업이 미국 상무성의 세이프 하버에 등록하고, 이 협정을 준수하면 EU에서 미국으로 전송되는 개인정보를 보호하기 위한 적절한 보호 조치를 취한 것으로 간주
 
○ EU-미국 간 Safe-harbor 협정의 원칙 (7개 원칙)
① 고지 (Notice): 개인정보의 수집․이용목적, 용도, 정보를 제공하는 제3자의 유형, 문제제기 또는 권리행사시 접근방법 등에 대하여 고지
② 선택 (Choice): 개인정보가 제3자에게 제공되는지 여부 및 최초의 수집목적과 양립할 수 없는 다른 목적으로 정보가 사용될 것인지 여부에 대해 옵트 아웃 방식의 선택권을 제공(민감한 정보에 대해서는 옵트 인 방식의 선택권 제공)
③ 제공 (Onward Transfer): 개인정보의 위탁처리 등과 같이 제3자에게 개인정보를 제공할 경우, 당사자에게 고지함은 물론 선택권을 부여하여야 함.
④ 접근 (Access): 정보주체의 접근권과 정정요구권을 보장
⑤ 안전성 (Security): 개인정보를 손실, 오용, 권한 없는 접근, 변경, 파기로부터 보호하기 위한 합리적 예방조치를 취하여야 함.
⑥ 정보 무결성 (Data Integration): 당초의 수집 및 이용목적에 부합한 개인정보의 이용, 정확성⋅완전성⋅최신성의 확보
⑦ 이행 (Enforcement): 원칙의 준수를 담보할 수 있는 구제수단과 분쟁해결절차, 제재수단이 확보되어야 함.
 
3) OECD 개인정보보호 가이드라인

개인데이터의 국제유통과 프라이버시 보호에 관한 가이드라인 (GUIDELINES ON THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA)   제1장 총 칙 정의 [1] 이 가이드라인에서    (a) 『데이터관리자』라 함은 국내법에 의하여 개인데이터의 내용 및 이용에 관하여 결정권한을 갖는 자를 말하며 그 데이터가 관리자 또는 그 대리인에 의하여 수집․저장․처리 또는 유포되는지 여부는 불문한다.    (b) 『개인데이터』라 함은 식별되거나 식별될 수 있는 개인(데이터주체)에 관한 모든 정보를 말한다.    (C) 『개인데이터의 국제유통』이라 함은 국경을 넘어 개인데이터가 이동하는 것을 말한다. 적용범위 [2] 이 가이드라인은 처리형태 내지 그 성질 또는 이용의 전후관계로 보아 개인의 프라이버시와 자유에 대하여 위험성이 있는 공적 또는 사적부문의 개인데이터에 적용한다. [3] 이 가이드라인은 다음 사실을 방해하는 것으로 해석하지 못한다.    (a) 다른 범주의 개인데이터에 대하여 그 성질, 수집, 저장, 처리 및 유포상의 관련성에 따라 다른 보호조치를 적용하는 것    (b) 개인의 프라이버시와 자유에 대하여 명확하게 어떠한 위험성도 내포하고 있지 않은 개인데이터에 가이드라인의 적용을 제외하는 것    (C) 개인데이터의 자동처리에 대해서만 가이드라인을 적용하는 것 [4] 제2장 및 제3장에 기재된 가이드라인의 제원칙에 대한 예외는 국가주권, 국가안전보장 및 공공 질서에 관계되는 것을 포함하며    (a) 가능한 한 적게 할 것    (b) 공중에게 주지시킬 것 [5] 연방국가라는 특별한 경우에 가이드라인의 준수는 연방제로 인한 권한의 분할에 의하여 영향을 받을 수 있다. [6] 가이드라인은 최소한의 기준으로 간주하여야 하며 프라이버시와 개인 자유의 보호를 위하여 다른 조치를 추가할 수 있다.   제2장 국내적용상의 기본원칙 (OECD 프라이버시 8원칙) 수집제한의 원칙 ① [7] 개인데이터의 수집에는 제한을 두어야 한다. 어떠한 개인데이터도 합법적이고 공정한 절차에 의하고 가능한 경우에는 데이터주체에게 알리거나 동의를 얻은 연후에 수집하여야 한다.   정보내용정확성의 원칙 ② [8] 개인데이터는 그 이용목적에 부합되는 것이어야 하며 이용목적에 필요한 범위안에서 정확하고 완전하며 최신의 것이어야 한다.   목적명확화의 원칙 ③ [9] 개인데이터의 수집목적은 늦어도 수집시까지 명확화되어야 한다. 그 후의 이용은 수집목적의 실현 또는 수집목적과 양립되어야 하고 목적이 변경될 때마다 명확화될 수 있는 것으로 제한되어야 한다.   이용제한의 원칙 ④ [10] 개인데이터는 제9조에 의하여 명확화된 목적이외에 목적을 위하여 개시, 이용, 기타 사용에 제공되어서는 안된다. 다만, 다음과 같은 경우에는 그러하지 아니하다.    (a) 데이터주체의 동의가 있는 경우    (b) 법률의 규정에 의한 경우   안전확보의 원칙 ⑤ [11] 개인데이터는 그 분실 또는 불법적인 액세스, 파괴, 사용, 수정, 개시 등의 위험에 대하여 합리적인 안전조치를 함으로써 보호하여야 한다.   공개의 원칙 ⑥ [12] 개인데이터와 관련된 개발, 실시, 정책에 대하여는 일반적인 공개정책을 취하여야 한다. 개인데이터의 존재, 성질 및 그 주요 이용 목적과 함께 데이터관리자의 식별, 주소를 명확하게 하기 위한 수단은 용이하게 이용할 수 있어야 한다.   개인참가의 원칙 ⑦ [13] 개인은 다음 권리를 갖는다.    (a) 데이터관리자가 자기에 관한 데이터를 갖고 있는지 여부에 대하여 데이터관리자 또는 기타의 자로부터 확인을 받을 권리    (b) 개인에 관한 데이터를 다음과 같이 본인에게 통지하도록 하는 권리       (ⅰ) 합리적인 기간내에       (ⅱ) 만일 필요하다면 과다하지 않은 비용으로       (ⅲ) 합리적인 방법과       (ⅳ) 알기 쉬운 형태로    (c) 위의 (a) 및 (b)의 요구가 거부당한 경우에는 그 이유를 밝히도록 하고 이와 같은 거부에 대하여 이의를 제기하는 권리    (d) 자기에 관한 데이터에 대하여 이의를 제기하고 그 이의가 인정되지 않을 경우에는 그 데이터를 소각, 수정, 완전화, 보완하게 하는 권리   책임의 원칙 ⑧ [14] 데이터관리자는 위의 제원칙을 실시하기 위한 조치에 따를 책임이 있다.   제3장 국제적 적용상의 기본원칙 - 자유로운 유통과 합법적 제한 [15] 가맹국은 대인데이터의 국내에서의 처리 및 그 재유출이 다른 가맹국에 미칠 영향에 대하여 배려하여야 한다. [16] 가맹국은 단순한 통과도 포함된 개인데이터의 국제유통이 저해되지 않고 안전하도록 하기 위하여 모든 합리적이고 적정한 수단을 강구하여야 한다. [17] 가맹국은 자국과 다른 가맹국간의 개인데이터 국제유통의 제한을 억제하여야 하지만 후자가 아직 가이드라인을 실질적으로 준수하고 있지 않을 경우 또는 관계데이터의 재유출이 그 나라의 프라이버시 보호조치를 우회하는 경우에는 예외로 한다. 가맹국은 자국의 프라이버시법제가 그 성격으로 인하여 특별한 규정을 하고 있는 특정한 범주에 속하는 개인데이터에 관하여 또는 다른 가맹국이 그러한 종류의 개인데이터에 대하여 자국의 그것과 동일한 정도의 보호를 하고 있지 않을 경우에는 그 유통을 제한할 수 있다. [18] 가맹국은 개인의 프라이버시와 자유의 보호라는 명목으로 이들의 보호에 필요한 정도를 넘어 개인데이터의 국제유통에 장애를 만들 수 있는 법률 또는 정책의 설정 및 관행의 실시를 억제하여야 한다.   제4장 국내실시 [19] 제2장 및 제3장에 규정되어 있는 제원칙을 국내에서 실시함에 있어 가맹국은 개인데이터에 관한 프라이버시와 자유의 보호를 위한 법적, 행정적 또는 기타 절차나 제도를 확립하여야 한다. 가맹국은 특히 다음 사항에 대하여 노력하여야 한다.    (a) 적당한 국내법을 제정할 것    (b) 행동규율 기타 형식의 자주규제를 장려하고 지원할 것    (c) 개인에게 그 권리를 행사하는데 필요한 합리적인 수단을 제공할 것    (d) 제2장 및 제3장의 제원칙을 실시하는 조치에 응하지 않을 경우에는 적당한 제재 및 구제수단을 강구할 것    (e) 데이터주체에 대한 부당한 차별이 없도록 할 것   제5장 국제협력 [20] 가맹국은 가이드라인 제원칙의 준수사항에 대하여 요구가 있으면 다른 가맹국에 통보하여야 한다. 가맹국은 또 개인데이터의 국제교류 및 개인의 프라이버시와 자유의 보호에 대한 절차가 간명하여야 하고 가이드라인을 준수하고 있는 다른 가맹국의 그것과 양립하도록 하여야 한다. [21] 가맹국은 다음 사항을 용이하게 하기 위한 정차를 확립하여야 한다.    (a) 가이드라인에 관한 정보교환    (b) 절차적 조사사항에 대한 상호원조 [22] 가맹국은 개인데이터의 국제적 교류에 적용할 수 있는 법률을 제정하기 위하여 국내적, 국제적으로 제원칙이 발전되도록 작업하여야 한다.