[보안맨] 개인정보 수집 제한

[보안맨] 개인정보 수집 제한

안녕하세요보안맨 입니다.

무더운 날씨와 기승하는 코로나 바이러스 가운데 항상 건강 유의하시고요. :)

 

 이번 기고글에서 다룰 주제는 '개인정보보호를 위한 최소한의 정보 수집입니다정보 보안 기술 업무를 주로 담당하시는 분들도개인정보보호 관련 잦은 협업을 진행하실 것 같은데요개인정보개인정보보호에 대한 개념을 대략적으로나마 이해하셨으면 하는 바람에서 해당 주제를 선택하게 되었습니다.

 2020 8개정된 개인정보보호법이 시행되었습니다. '데이터 3', '마이데이터', 'GDPR (General Data Protection Regulation)' 등 한번쯤은 관련 단어를 들어보셨을 것 같습니다.

 제 개인적인 견해지만개정된 개인정보보호법을 Keyword로 정리하자면, '활성화' 일 것 같습니다각 주무부처에서 다루던 개인정보 관련 각종 규제/규정을 하나의 기관법제로 통합하고가명정보에 대한 개념을 추가해데이터를 활용할 수 있는 가능성을 열었기 때문입니다.

 

 본론으로 넘어와서정보보호 및 개인정보 관리체계 인증 기준에서 정의하는 '개인정보 수집 제한인증 기준(목표)는 아래와 같습니다.

 

개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며필수 정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다.

 

기고글은 개정된 개인정보보호법(일반법)을 기반으로 하며글을 보시는 회원분들의 회사 업종서비스 내용 등에 따라 적용되는 법이 추가/변동될 수 있음을 고려하시면 좋을 것 같습니다. - e.g. 금융업권의 경우신용정보보호법 우선 적용

 

크게 3가지 틀을 토대로 글을 구성했습니다.

최소한의 정보 수집

개인정보 필수/선택 정보 구분

개인정보 점검 프로세스 수립

 

1) 최소한의 정보 수집

 민간 기업공공 기관을 막론하고업무 목적 / 서비스 용도에 맞게 정보주체(이용자)로부터 최소한의 정보를 수집해야 한다는 사실은 너무나 명쾌하고심플합니다. 하지만현업에서 많이 겪는 혼돈의 주제이기도 하지요.

 필자의 경우국내 기관에 개인정보 보유량보관 기간 등을 산정해 제출해야 했는데요개발팀 담당자법무부서 등과 인터뷰 등을 준비하고필요한 경우 시스템에 대한 실사를 진행했습니다. 미리 수립한 계획에 맞춰 회의록개인정보 수집 흐름표개인정보 수집 흐름도 등을 현황에 맞게 정리할 수 있었습니다.

 현황 파악중, 개인정보 처리방침에 나온 개인정보 수집항목과실제 온라인 회원가입 단계 및 쿠키를 통해 수집하고 있는 개인정보 수집항목 간 gap이 있음을 확인했었습니다당시 자료 제출 관점내부 조치 관점으로 분리해 업무를 처리했던 경험이 있습니다.

 현업에서는 규정과현황 간 gap 없이 최소화하여 관리하는 부분이 쟁점이 될 수 있을 것 같은데요통상적으로 개발팀에서 시스템을 변경하거나혹은 규정 부서에서 규정을 변경한 후 유관 부서와 협의를 거치지 않는 등 협업 단계에서 공유가 잘 이루어지지 않아 발생하는 문제가 대부분임을 알 수 있었습니다.

 대안으로서필자는 '개인정보 실무 협의체운영을 고려했었습니다각 부서별 개인정보 담당자를 지정하고변동사항 발생 등에 대해 정기적으로 공유/논의하는 자리를 만드는 것 입니다. ISMS-P or 국내 기관 자료 제출 등 특정 이벤트가 발생할 때마다 현황을 파악하는 형태가 아닌, 정기적으로 현황을 공유하고 gap 을 최소화하여 이용자(또는 정보주체개인정보를 운영할 필요가 있겠습니다.

 


Figure1. 수집 목적 (회원 가입외 불필요 정보 수집 사례

 

 

2) 개인정보 필수/선택 정보 구분

개인정보는 수집 시점에서 필수적인 개인정보 항목만 수집해야 하는데요.

일반적으로마케팅 활용 목적 등은 개인정보처리자(기업)의 영리를 위한 정보이며 선택적 정보일 것 입니다.

 회사 내 개인정보 수집/동의 양식(또는 온라인 회원 가입 화면 등마련 시또는 개인정보 처리방침을 수립 시또는 기타 시스템 변경 등에 따라 필수/선택 정보를 결정해야 할 여러가지 상황이 있습니다. 이때, 아래와 같은 회사 내부 적절한 점검 프로세스를 통해 필수/선택 항목을 구분할 필요가 있겠습니다.

 

검토 가 안 >

개발부서(또는 유관부서/담당자)와 협의를 통해 필수/선택 정보 분류

  (근거개인정보보호법령 및 관련 가이드회사 내부 규정대법원 판례 등)

법무팀 Confirmation

- CPO 최종 승인

 

3) 개인정보 점검 프로세스 수립

 1)항목의 대안과 중첩되는 내용일 것 같은데요개인정보 실무 협의체와 병행해개인정보 점검 프로세스도 함께 고려되면 좋을 것 같습니다.

민간기업에 반드시 적용되진 않지만중요 시스템 도입 (상당한 양의 정보주체 or 민감/고유식별 정보를 처리하는 시스템인 경우또는 개인정보 처리단계 변경 시 등 에 따라 개인정보 영향평가에 준하는 수준의 점검 체계를 갖추면 좋을 것 같습니다.

 필자 회사의 경우개인정보 실태 조사 양식을 만들고최소 연 1회 전사단위 점검을 실시 했습니다회사 규모, 상황 등을 고려해 적절한 점검 주기방법 등을 고려하시면 좋을 것 같습니다.


 

Figure2. 개인정보 수집 흐름표 예시 (from 개인정보 영향평가 수행 안내서)

 

 

기고글이 도움이 되셨나요?

궁금하신 사항 또는 정정이 필요하신 부분은 댓글을 남겨주세요.

 

감사합니다.

 

 

태그가 없습니다.

4개의 댓글이 있습니다.

약 2달 전

도움되는 정보 감사합니다

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 2달 전

좋은정보 감사드립니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 2달 전

정보 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 2달 전

좋은 내용 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입