기업에서 개인정보 유출 사고가 발생하면 고객의 신뢰 상실은 물론 기업의 이미지 저하와 소송 등 송무 비용이나 손해배상금 등이 발생하여 기업 자산의 손실을 가져오게 됩니다. 따라서 기업은 고객의 개인정보에 대한 ‘선량한 관리자’로서의 역할을 다해야 하는 것입니다.
- 고객의 개인정보를 처리하는 개인정보처리자는 업무목적에 따라 개인정보처리시스템에 대한 접근 권한을 최소화하고, 인가되지 않은 담당자의 접근을 차단합니다.
- 고객정보가 위험에 노출되지 않도록 개인정보처리시스템 등에 대한 비밀번호를 안전하게 설정해야 합니다.
비밀번호는 문자, 숫자의 조합 및 구성에 따라 최소 8자리 이상(알파벳 대소문자, 특수문자, 숫자 등 두 종류 이상의 문자를 이용) 또는
10자리 이상(하나의 문자종류로 구성)의 길이로 구성해야 안전합니다.
- 네트워크를 통한 개인정보처리시스템의 불법적인 접근 및 침해사고 방지를 위해 비인가자의 접근을 차단할 수 있는 접근통제 시스템을 설치 및 운영해야 합니다.
- 개인정보취급자의 실수 또는 해커의 공격 등으로 인해 개인정보가 비인가자에게 유·노출되더라도 주요내용을 확인할 수 없도록 암호화하여 관리해야 합니다.
- 개인정보처리시스템에 대한 불법적인 접근 또는 행동을 확인할 수 있도록 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역을 보관 및 관리해야 합니다.
- 악성프로그램 등을 통한 고객정보의 손상, 유출을 방지하기 위해 백신과 같은 보안 프로그램을 설치하고 주기적으로 점검해야 합니다.
- 고객의 개인정보를 수집 및 이용하고자 할 때에는 수집하는 항목, 이용 기간 및 목적 등 법령에서 정한 사항을 알리고 동의 받아야 합니다. 다만, 주민번호 등은 법령에서 구체적으로 처리를 허용하는 경우가 아니면 원칙적으로 수집이 금지되므로 대체수단을 활용하여 고객 본인확인을 해야합니다.
- 개인정보처리자는 개인정보의 처리 목적, 처리 및 보유 기간, 제3자 제공 사항, 파기절차 및 방법, 위탁 사항, 정보주체의 권리 행사 방법 등에 대한 개인정보처리방침을 마련하고, 정보주체가 쉽게 확인할 수 있도록 홈페이지 등에 공개해야 합니다.
- 고객의 개인정보는 보유기간이 경과하거나 처리 목적 달성 등 개인정보가 불필요하게 되었을 때 지체 없기 파기해야 합니다. 개인정보를 파기할 때는 복구 또는 재생되지 않도록 해야 합니다.
- 서비스 제공을 위해 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 수탁자가 위탁업무 목적 외에는 개인정보를 처리할 수 없도록 하는 금지에 관한 사항, 개인정보의 기술적 및 관리적 보호조치에 관한 사항을 문서에 포함하여야 합니다. 또 개인정보가 분실・도난・유출・위조・변조 또는 훼손되지 않도록 수탁자를 교육 및 관리 감독해야 합니다.
정보통신기술이 발전함에 따라 우리생활의 다양한 서비스 및 산업 분야가 IT 기술을 기반으로 작동하고 있습니다.
특히 4차 산업혁명 시대에는 대량의 정보를 분석하여 개인 맞춤형 서비스를 제공함에 따라 개인정보와 같은 데이터가 실시간으로
정보통신망을 통해 전송되고 있습니다.
만약 이러한 정보통신망의 보호 조치 미흡 등으로 인해 개인정보 유출 사고가 발생한다면 피해는 기하급수적으로 증가할 있으며, 온라인과 오프라인의 경계가 모호해지며 융・복합되는 상황에서 온라인의 피해는 오프라인으로까지 확대될 수 있을 것입니다.
따라서 정보통신서비스제공자 등도 개인정보 보호를 위해 필요한 조치를 이행해야 할 것입니다.
※ 만 14세 미만의 아동의 개인정보를 수집하려면 법정대리인의 동의를 받아야 하고, 법정대리인이 동의하였는지를 확인하여야 합니다.
