2012 개인정보보호관리책임자 및 취급자 워크숍 참가 - 주민등록번호 수집 금지 망법 개정

금일(2012. 2. 27) 2012 개인정보보호관리책임자 및 취급자 워크숍에 다녀왔습니다.

워크샵 주제는 주민등록번호 수집 이용 금지 등 며칠전 개정된 정보통신망법 개정에 따른 몇가지 제도에 대한 정책 설명회였습니다.

2012 개인정보관리책임자 워크샵 현장

이슈가 된 주제인만큼 엄청나게 많은 사람들이 참가하였습니다. 당장 올해부터 정보통신망법을 적용받는 사업자는 전면적으로 주민등록번호를 수집하지 말라니 와서 내용을 들어볼 수 밖에 없죠.

새로 도입되는 제도에 대해 간략히 정리해 드립니다.


<정보통신망법 개정되어 새롭게 시행되는 주요 제도>

1. 인터넷상 주민등록번호 수집 이용 제한(금지)
2. 개인정보 유효기간 제도
3. 개인정보 이용내역 통지제도
4. 개인정보 누출 시 방통위 신고 및 이용자 통지



1. 인터넷상 주민등록번호 수집 이용 제한

정보통신망법을 적용받는 정보통신서비스제공자는 영리목적으로 웹사이트에서 주민등록번호를 수집 이용하지 못함(제23조의 2)

법령 공포 : 2012. 2.17
시행: 2012. 8. 18
유예기간: 법령 공포 후 6개월

원칙적으로 웹사이트 등 온라인에서는 전면적으로 주민등록번호를 수집 및 이용하지 못합니다. 2012. 8.18부터 시행되고, 8.18이전에 수집된 주민등록번호는 2년내에 즉 2014. 8.18까지 모두 파기하여야 합니다.

주민등록번호를 수집 이용할 수 있는 예외 사항은 다음과 같습니다.

  ① 본인확인기관으로 지정받은 경우
  ② 법령에서 이용자의 주민등록번호 수집 이용을 허용하는 경우
  ③ 영업상 목적을 위하여 이용자의 주민등록번호 수집 이용이 불가피한 정보통신서비스제공자로서 방송통신위원회가 고시하는 경우




2. 개인정보 유효기간 제도

일정기간 서비스를 이용하지 않은 이용자의 개인정보에 대해 파기 등 필요한 조치 시행(제29조)

불필요한 개인정보 보관을 최소화하기 위하여 장기간 서비스 미이용자의 개인정보는 법령에서 정하는 기간이 지난 경우에 파기 등의 필요한 조치를 하여야 합니다.

필요한 조치는 파기 또는 별도분리보관가 대표적으로 있을 수 있습니다.

장기간 이용이 없는 개인정보를 보통 '휴면계정'이라고 부르는데요. 그동안 이 휴면계정에 대해 사업자들이 자율적으로 약관 등을 통해 기간을 정하여 탈퇴시키거나 개인정보를 파기하여 왔는데요.

사실 휴면계정을 파기하거나 별도 관리하는 사업자는 거의 없었기 때문에 필요치 않은 개인정보가 계속하여 사업자에게 보관되고 있는 경우가 많았습니다.

이번 개정에서 법령을 통해 강제적으로 이용실적이 없는 개인정보는 파기하도록 조치 의무를 부과한 것입니다.

본 제도도 2012. 8.18일부터 시행되며, 하위 시행령에서 서비스 이용 실적이 없는 일정기간을 3년으로 정할 것으로 추진되고 있습니다.

따라서, 2012.8.18일부터 시작해 3년이 경과하는 때 즉, 2015.8.18까지 아무런 이용실적이 없는 개인정보는 파기 하여야 합니다.

예외사항으로는

  ① 다른 법령에서 별도의 보존기간을 정한 경우나 법령 상의 책임 또는 의무 준수를 위하여 불가피한 경우
  ② 정보통신서비스제공자와 이용자가 계약으로 별도의 보존기간을 정한 경우

위 두가지 경우에는 3년이 경과하더라도 파기하지 않고 보유할 수 있습니다.

통지시기는 유효기간이 도래하기 30일 전까지는 이용자게에 통지하여야 하고
통지내용은 <개인정보의 파기 또는 불리 저장 관리되는 사실, 일시 및 개인정보 항목> 입니다.


3. 개인정보 이용내역 통지제도

사업자는 보관하고 있는 이용자의 개인정보에 대해 주기적으로 개인정보 이용내역을 통지하여야 합니다.(제30조의2)

이용자가 개인정보 이용내역을 통지받고 자신의 개인정보 활용 내역을 알고 통제할 수 있도록 하기위함 입니다.

통지 적용대상 사업자 범위는 100만명 이상 개인정보를 보유하고 있는 사업자이며,

통지하여야 하는 정보의 내용은

  ① 개인정보 수집 이용 목적, 수집한 개인정보의 항목
  ② 개인정보를 제공받은 자, 제공 목적 및 제공한 개인정보의 항목
  ③ 개인정보 취급위탁 받은 자 및 취급위탁 목적

통지 주기는 연1회 이상이며, 통지방법은 전자우편, 서면, 모사전송, 전화 등의 방법을 이용할 수 있습니다.


4. 개인정보 누출 시 방통위 신고 및 이용자 통지 제도

개인정보 침해 사고 발생 시 이용자에게 해당사실을 통지하고 방통위에 신고하여야 합니다.(제27조의3)

개인정보 누출 사고에 따른 추가 피해 확산 방지 및 이용자 피해 최소화를 위해 노력하여야 합니다.

통지방법은 전자우편, 서면, 모사전송, 전화 등의 방법으로 할 수 있고,

통지절차는 ① 개인정보의 누출 등 사실을 안 때에 지체 없이 통보하고, ② 누출된 개인정보 항목 및 누출 발생시점 미 확인 시 확인된 사항 통지 후 추가 확인된 사항 즉시 통지하여야 합니다.

통지하여야 하는 내용은 다음과 같습니다.
  ① 누출된 개인정보 항목
  ② 누출이 발생한 시점
  ③ 이용자가 취할 수 있는 조치
  ④ 정보통신서비스제공자의 대응 조치
  ⑤ 이용자가 상담 등을 접수할 수 있는 부서 및 연락처

 
이상 간략하게 오늘 발표된 내용을 정리해 보았습니다. 

워크샵 질의응답 시간에 여러 질문들이 나왔었는데요. 그 사항은 다음 포스팅에 신규 제도 시행에 따른 문제점과 함께 알아보도록 하겠습니다.

개인정보 관리 체계 진단 컨설팅 - 케이핌(www.kpim.co.kr)