[보안맨] 개인정보 수집 제한

안녕하세요, 보안맨 입니다.

무더운 날씨와 기승하는 코로나 바이러스 가운데 항상 건강 유의하시고요. :)

 이번 기고글에서 다룰 주제는 '개인정보보호를 위한 최소한의 정보 수집' 입니다. 정보 보안 기술 업무를 주로 담당하시는 분들도, 개인정보보호 관련 잦은 협업을 진행하실 것 같은데요. 개인정보, 개인정보보호에 대한 개념을 대략적으로나마 이해하셨으면 하는 바람에서 해당 주제를 선택하게 되었습니다.

 2020년 8월, 개정된 개인정보보호법이 시행되었습니다. '데이터 3법', '마이데이터', 'GDPR (General Data Protection Regulation)' 등 한번쯤은 관련 단어를 들어보셨을 것 같습니다.

 제 개인적인 견해지만, 개정된 개인정보보호법을 Keyword로 정리하자면, '활성화' 일 것 같습니다. 각 주무부처에서 다루던 개인정보 관련 각종 규제/규정을 하나의 기관, 법제로 통합하고, 가명정보에 대한 개념을 추가해, 데이터를 활용할 수 있는 가능성을 열었기 때문입니다.

 본론으로 넘어와서, 정보보호 및 개인정보 관리체계 인증 기준에서 정의하는 '개인정보 수집 제한' 인증 기준(목표)는 아래와 같습니다.

개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수 정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다.

기고글은 개정된 개인정보보호법(일반법)을 기반으로 하며, 글을 보시는 회원분들의 회사 업종, 서비스 내용 등에 따라 적용되는 법이 추가/변동될 수 있음을 고려하시면 좋을 것 같습니다. - e.g. 금융업권의 경우, 신용정보보호법 우선 적용

크게 3가지 틀을 토대로 글을 구성했습니다.

- 최소한의 정보 수집

- 개인정보 필수/선택 정보 구분

- 개인정보 점검 프로세스 수립

1) 최소한의 정보 수집

 민간 기업, 공공 기관을 막론하고, 업무 목적 / 서비스 용도에 맞게 정보주체(이용자)로부터 최소한의 정보를 수집해야 한다는 사실은 너무나 명쾌하고, 심플합니다. 하지만, 현업에서 많이 겪는 혼돈의 주제이기도 하지요.

 필자의 경우, 국내 기관에 개인정보 보유량, 보관 기간 등을 산정해 제출해야 했는데요. 개발팀 담당자, 법무부서 등과 인터뷰 등을 준비하고, 필요한 경우 시스템에 대한 실사를 진행했습니다. 미리 수립한 계획에 맞춰 회의록, 개인정보 수집 흐름표, 개인정보 수집 흐름도 등을 현황에 맞게 정리할 수 있었습니다.

 현황 파악중, 개인정보 처리방침에 나온 개인정보 수집항목과, 실제 온라인 회원가입 단계 및 쿠키를 통해 수집하고 있는 개인정보 수집항목 간 gap이 있음을 확인했었습니다. 당시 자료 제출 관점, 내부 조치 관점으로 분리해 업무를 처리했던 경험이 있습니다.

 현업에서는 규정과, 현황 간 gap 없이 최소화하여 관리하는 부분이 쟁점이 될 수 있을 것 같은데요. 통상적으로 개발팀에서 시스템을 변경하거나, 혹은 규정 부서에서 규정을 변경한 후 유관 부서와 협의를 거치지 않는 등 협업 단계에서 공유가 잘 이루어지지 않아 발생하는 문제가 대부분임을 알 수 있었습니다.

 대안으로서, 필자는 '개인정보 실무 협의체' 운영을 고려했었습니다. 각 부서별 개인정보 담당자를 지정하고, 변동사항 발생 등에 대해 정기적으로 공유/논의하는 자리를 만드는 것 입니다. ISMS-P or 국내 기관 자료 제출 등 특정 이벤트가 발생할 때마다 현황을 파악하는 형태가 아닌, 정기적으로 현황을 공유하고 gap 을 최소화하여 이용자(또는 정보주체) 개인정보를 운영할 필요가 있겠습니다.

Figure1. 수집 목적 (회원 가입) 외 불필요 정보 수집 사례

2) 개인정보 필수/선택 정보 구분

개인정보는 수집 시점에서 필수적인 개인정보 항목만 수집해야 하는데요.

일반적으로, 마케팅 활용 목적 등은 개인정보처리자(기업)의 영리를 위한 정보이며 선택적 정보일 것 입니다.

 회사 내 개인정보 수집/동의 양식(또는 온라인 회원 가입 화면 등) 마련 시, 또는 개인정보 처리방침을 수립 시, 또는 기타 시스템 변경 등에 따라 필수/선택 정보를 결정해야 할 여러가지 상황이 있습니다. 이때, 아래와 같은 회사 내부 적절한 점검 프로세스를 통해 필수/선택 항목을 구분할 필요가 있겠습니다.

< 검토 가 안 >

- 개발부서(또는 유관부서/담당자)와 협의를 통해 필수/선택 정보 분류

  (근거: 개인정보보호법령 및 관련 가이드, 회사 내부 규정, 대법원 판례 등)

- 법무팀 Confirmation

- CPO 최종 승인

3) 개인정보 점검 프로세스 수립

위 1번)항목의 대안과 중첩되는 내용일 것 같은데요. 개인정보 실무 협의체와 병행해, 개인정보 점검 프로세스도 함께 고려되면 좋을 것 같습니다.

민간기업에 반드시 적용되진 않지만, 중요 시스템 도입 (상당한 양의 정보주체 or 민감/고유식별 정보를 처리하는 시스템인 경우) 시, 또는 개인정보 처리단계 변경 시 등 에 따라 개인정보 영향평가에 준하는 수준의 점검 체계를 갖추면 좋을 것 같습니다.

 필자 회사의 경우, 개인정보 실태 조사 양식을 만들고, 최소 연 1회 전사단위 점검을 실시 했습니다. 회사 규모, 상황 등을 고려해 적절한 점검 주기, 방법 등을 고려하시면 좋을 것 같습니다.

Figure2. 개인정보 수집 흐름표 예시 (from 개인정보 영향평가 수행 안내서)

기고글이 도움이 되셨나요?

궁금하신 사항 또는 정정이 필요하신 부분은 댓글을 남겨주세요.

감사합니다.