법제도/정책

[NES 2009] “기업, 개인정보 관리 소홀하단 큰 코 다친다”

박기록 기자

“기업들은 개인정보 관리에 대한 경각심을 갖지 않는다면, 사고발생시 개정된 관련 법률에 따라 과거와는 훨씬 강도가 높은 민형사상 책임을 피할 수 없게 됩니다.”


김&장의 구태언 변호사는 13일 개최된 ‘NES 2009 차세대 정보보안 컨퍼런스'에서 '정보보호 규제변화에 기업의 대응전략’이란 주제 발표를 통해, 기업의 개인정보 관리 부실에 따른 법적 책임 범위에 대해 개정 정보통신망법을 비롯한 관련 법률의 적용 사례를 들어 체계적으로 설명했다.


특히 구 변호사는 입법예고된 개정 정보통신망법 등 에서는 상당히 ‘포괄적’으로 개인의 정보관리에 대한 기업의 책임을 묻고 있고, 과거 과태료에 머물렀던 민형사상 처벌 규정도 ‘징역 5년 이하’의 긴급 체포 사항으로 훨씬 강화됐기 때문에, 기업은 개인정보의 유출에 따른 만약의 사태에 철저하게 대비해야 한다고 강조했다.


예를 들어, 지난 1월부터 시행에 들어간 정보통신망법 시행령 제15조(개인정보의 보호조치)의 경우, 기업은 개인정보 열람, 수정, 삭제, 출력 등 처리한 내역과 일시 등을 월 1회이상 확인 감독할 것으로 요구하고 있다. 


또한 접속 기록의 위변조를 방지하기 위한 별도의 물리적 저장장치에 정기적으로 백업을 수행하도록 규정하고 있다.


이와함께 오는 2010년 1월 29일부터는 주민번호, 계좌및 신용카드 번호 등 금융정보는 반드시 암호화해 저장해야 하는 등 개인정보를 보호하기 위한 강도 높은 기술적, 절차적 대응이 필요하다.


구 변호사는 “정보통신망법의 적용을 받는 기업체는 인터넷 기업뿐만 아니라 일반 오프라인 기업들도 인터넷을 이용해 회원가입 또는 정보제공을 받으면 당연히 법의 준용을 받게 된다”며 정보통신망법의 준용 대상도 이전보다는 훨씬 포괄적이 됐다고 설명했다.


이와관련 올해 7월1일부터 정보통신망법의 적용을 받는 준용 대상 기업(사업자)은 주택건설사업, 의료기관, 직업소개소, 정유사, 서점, 영화관 등 총 21만9897개에 달한다.


구 변호사는 또한 기업체가 업무 위탁계약을 맺고 회원모집 서비스를 제공하는 경우, 즉 아웃소싱 업체와 업무제휴를 하는 경우에도 반드시 계약서에 개인정보 관리를 충실하게 하기위한 책임소재및 관리에 대한 규정을 해놓는 것이 유사시에 대비해 반드시 필요하다고 조언했다.


“만약 회원정보가 수탁업체에 의해 유출됐다하더라도 과거 판례를 보면 이는 정보의 ‘제3자 공여’로 보고 있다”고 설명했다. 


구 변호사는 “개인정보 관리와 관련해 앞으로는 기업의 정보관리책임자(CPO)의 역할이 매우 중요해 졌다”며 “주기적인 개인정보관리 점검및 교육은 물론 형사상 책임의 최소화, 법인 책임의 최소화, 집단소송에 대응체계를 갖춰야 한다”고 강조했다.


이어 “이제는 보안정문가와 보안전문가의 협업이 필수적이며, 개인정보보호는 보호기술과 법률해석 문제가 융합된 영역”이라고 설명했다.


<박기록 기자>rock@ddaily.co.kr

박기록 기자
rock@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널