11. 개인정보 보호책임자 및 취급자의 자세
◎ 개인정보 보호책임자 및 취급자의 자세
1. 세세한 예보다는 “왜 규정이 생겨났는가?”하는 법 규정의 목적성을 파악한다
법 규정에서 이야기하는 보안제품이나 보안방법은 각 기업 고유의 환경을 고려하지 않기 때문에 실제로 적용하기 어려울 수 있다. 법이 명확하게 제시해줄 수 있는 것은 목적성으로, 각 기업은 '목적성'을 이해하고 그 목적을 달성할 수 있는 수단을 응용하여 결정해야 한다.
2. 정의와 목적성에 기반을 두어 광의로 해석한다
법 규정은 가능한 광의로 해석하는 것이 좋다. 예를 들면 개인정보처리시스템으로 데이터베이스관리시스템(DBMS)과 파일서버 등이 있다. 그러나 실제로 개인정보 보관 및 처리라는 개인정보처리시스템의 목적성에 부합한다면 PC 등의 다른
시스템도 개인정보처리시스템 규정에 준하여 보안하는 것이 좋다.
3. 기업 규모가 크면 사회적 기대 수준도 올라간다
기업규모가 클수록 고급정보를 많이 보유할 가능성이 높으며 이 개인정보들은 금전을 노린 해커나 내부직원의 유출행위 타깃이 되게 된다. 특히, 만약 개인정보 유출사고가 발생하여 기업이 재판을 받게 되는 상황이 오면 ‘기업규모에 맞는 최선의 노력을 다하였느냐?’가 가장 중요한 판결기준이 된다. 따라서 기업규모가 클수록 법 규정을 목적성 측면에서 광의로 해석하고 최선의 노력을 다하는 것이 필요하다.
4. 시스템이 아니라 개인정보 자체 즉 데이터 중심으로 패러다임을 전환한다
이제까지 IT보안이 특정 데이터베이스를 지키거나 특정구역을 지키는 것 중심이었다면 앞으로는 ‘개인정보’ 그 자체에 초점을 맞춰야 한다. 따라서 특정시스템을 벗어나 개인정보의 생명주기에 집중해야 한다. 이를 위해서는 개인정보 생명주기 전체에 걸쳐 책임을 지는 최고정보보호책임자(CPO,Chief Privacy Offer)의 역량이 중요하다. 또한, 보안을 생각할 때
개인정보가 어디서 시작되어서 어디서 끝나는지 흐름 중심의 큰 그림을 고려해야 헛된 투자와 시간낭비가 없을 것이다.
5. 최소화의 원칙을 잊지 않는다
개인정보 보호규정을 관통하는 키워드는 ‘최소화’이다. 최소화는 개인정보 보호규정의 주요 목적성이기도 한다. 개인정보는 생성, 접근, 활용, 전송, 파기에 걸쳐 단계별로 최소화의 원칙을 잊지 말아야 한다. 이는 헛된 투자 및 시간낭비를 없애기 위해서도 꼭 필요하다.
① 1단계 : 기존 개인정보의 최소화
- 기업 내 DB, 파일서버 ,PC(메일포함)에 저장된 개인정보를 모두 검출하여 불필요한 개인정보 파기
② 2단계 : 개인정보 접근의 최소화
- 시스템 및 업무 프로세스를 개선하여 개인정보 접근권한이 있는 개인정보 취급자를 최소화
③ 3단계 : 개인정보 저장 및 파일화의 최소화
- DB에 있는 개인정보에 접근한 후, 파일화하여 저장하는 것을 통제하여 개인정보가 복제되는 것을 최소화
④ 4단계 : 개인정보 사용의 최소화
- DB의 개인정보는 암호화 및 접근권한 통제로 사용을 최소화하고, PC 내 개인정보는 권한자의 경우는 암호화하여 저장하고 비권한자의 경우는 파기
⑤ 5단계 : 개인정보 전송의 최소화
- 개인정보의 최종 유출경로는 네트워크, 이동식 저장장치, 출력물 등. 그러한 통로를 최소화
6. 문서화 한다
개인정보 보호에 있어 첫 단계는 회사 내 개인정보의 보유 및 관리 상황이 어떤지를 파악하는 것이다. 전사적인 개인정보는 양 자체가 방대하고 흐름이 복잡하여 파악이 쉽지 않기 때문에 전사적인 개인정보파악을 위해서는 개인정보 내부관리 계획을 비롯한 모든 조치 및 상황을 문서화해야 한다. 이러한 문서화 노력은 만일의 경우, 형사처분 상황에 처해서도 기업에게 유리한 증거가 될 수 있다.