안녕하세요, 브리피(Briphy) 서욱진입니다. 

평소처럼 일을 하고 있는데, 메일 한 통이 날아왔습니다.

고객사로부터 온 메일이었습니다.

‘[쿠팡]22Y 개인정보처리 수탁사 점검 안내 미팅’

쿠팡 개인정보보호 준법팀에서 발송한 메일이었습니다. 개인정보보호 26조에 따라 개인정보 안전성 확보 조치 준수 여부를 점검하겠다는 내용이었죠.

브리피는 국내 유일의 B2B 촬영 서비스로, 쿠팡이츠, 요기요, 여기어때, 온다 등 다양한 플랫폼 서비스들의 촬영 파트너로서 촬영 업무를 위탁받아 처리하고 있습니다. 

고객사들이 촬영이 필요한 업장의 정보를 넘겨주면, 브리피가 해당 업장과 촬영 스케줄을 잡고 해당 지역에서 활동하는 프리랜서 사진작가에게 촬영 업무를 재위탁하는 방식입니다. 이에 브리피는 고객사로부터 전달 받은 개인정보에 대한 관리 및 감독에 대한 의무를 지니게 되는 것이죠.

하지만 부끄럽게도, 개인정보에 대한 안전성 확보에 필요한 실질적인 조치가 무엇인지 잘 알고 있지 못했습니다.

아마 대다수의 스타트업들이 그러할 것입니다. 개인정보의 활용 및 침해에 대한 글로벌 논의와 규제가 확대되고 있으나, 인력과 자원이 부족한 스타트업에게는 아직까지 제대로 신경 쓰지 못하는 업무 중 하나일 것입니다.

기업이 성장할수록 많은 개인정보를 다루게 되고, 튼튼한 보안 체계가 갖추어지지 않으면 개인정보 유출 사고가 발생합니다. 이는 어렵게 얻은 고객의 신뢰를 한순간에 잃게 되는 것으로, 반드시 보안 체계 수립에 충분한 시간과 관심을 둬야 합니다.

브리피는 올해 첫 보안 점검을 마치며 내부 보안 체계의 미흡한 점들을 많이 보완할 수 있었습니다. 이를 통해 얻은 지식과 경험을 알기 쉽게 나누고, 주변 스타트업들의 보안 체계 수립에 도움이 돼 보고자 기록을 남깁니다.

첫 번째 주제는 개인정보보호 조직 및 정책에 관한 조치사항입니다.

1. 개인정보의 정의

개인정보란 살아 있는 개인에 관한 정보로,

① 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

② 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보

③ ①또는 ②를 가명 처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보(가명 정보)

※ ③의 경우 가명 정보는 추가 정보와 결합하면 개인을 식별할 수 있는 정보가 되기 때문에 개인정보 보호법에 적용 받음

2. [개인정보보호 정책서]를 작성 및 게시

개인정보 보호법 제30조에 따라 정보 주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 법으로 정한 필수 사항을 포함하여 개인정보 처리 방침을 수립·공개 해야 합니다.

브리피의 경우, 별도로 개인정보 정책서를 작성하지 않고 엑소스피어가 주최한 웨비나를 통해 제공받은 개인정보보호 지침서를 사용하고 있습니다. 개인정보보호 정책서 작성 가이드는 이곳에서 다운 받을 수 있습니다. 

3. 개인정보보호 책임자 지정

개인정보보호법 31조(개인정보 보호책임자의 지정)에 따라, 개인정보 보호책임자는 사업주 또는 대표자, 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)의 지위에 있는 사람으로 해야 합니다. 

※ 직원이 5명 미만인 소상공인의 경우 개인정보보호 책임자를 별도로 지정하지 않은 경우 사업주 또는 대표자가 개인정보보호 책임자가 됨

개인정보보호 책임자를 지정하는 방식은 인사 발령, 인사 명령 공지 등 기업 내부의 공식적인 절차를 통해 지정해야 합니다. 예를 들어 경영진의 공식적인 승인 이후 사내 게시판에 게시하거나, 전사 이메일을 발송하는 등의 방법으로 전사 직원이 개인정보보호 책임자의 지정 여부를 확인할 수 있도록 하는 방법이 있습니다.

4. 내부관리계획

개인정보 보호법 제29조 등에 따라 고객정보를 취급하는 사업자는 개인정보의 안전한 취급을 위해 개인정보보호 조직의 구성, 개인정보 취급자의 교육, 개인정보 보호조치 등을 규정한 내부관리계획을 수립 후 게시/비치해야 합니다. 이때 내부관리계획은 반드시 ‘대표자 직인’이 포함되거나, ‘품의문 상신’등의 방법으로 문서화 해 관리해야 합니다.

내부관리계획은 개인정보처리자가 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전하게 저리하기 위하여 내부 의사결정절차를 통하여 수립·시행하는 내부 기준입니다. 

개인정보의 안전성 확보조치 기준 제4조에 따라 다음과 같이 유형별로 내부 관리계획 수립 여부를 다르게 적용할 수 있습니다.

개인정보 내부 관리계획에 대한 안내 문서는 해당 링크를 통해 다운로드할 수 있습니다.

5. 위수탁 계약 문서화

개인정보처리 위수탁 계약서는 기본 업무위수탁계약서에 의거한 서비스 업무를 수행하기 위해 개인정보를 처리함에 따라 준수해야 하는 협약서로, 작성 후 위탁사와 수탁사 양사가 모두 보관해야 하며 점검자에게 제시해야 합니다.

비밀유지의무계약서는 위탁업무 관련 개인정보를 취급함에 따라 준수해야하는 부속합의서로, 작성 후 스캔본을 위탁사로 제출해야 합니다.

개인정보처리 위수탁 계약서와 비밀유지의무 계약서는 필수 작성 문서들로, 원본을 직접 관리해야 합니다.

6. 재직자 관리 (입/퇴사자)

입/퇴사자가 발생 시, 입/퇴사자용 <정보보호서약서>와 <개인정보처리서약서>를 작성하여 보관해야 합니다. 해당 문서의 원본은 기업이 직접 관리해야 하며, 정규직 외 비정규직 및 재도급 업체도 작성 대상에 포함됩니다.

고객정보를 취급하는 내부 직원 또는 퇴사 직원을 항상 파악하여 고객정보가 유출되지 않도록 관리/감독하는 것이 중요합니다. 아무리 첨단 보안장비가 도입되었더라도, 내부 직원이 고의적으로 정보 유출을 시도하는 것을 막기란 어렵습니다. 따라서 내부 직원에 대한 정기적인 정보 보호 교육, 정보 보호 문서 관리가 필요합니다.

7. 개인정보보호 교육

개인정보 보호법 28조에 따라, 업무를 목적으로 개인정보파일을 운영하는 사업자, 단체 및 개인은 개인정보의 적정한 취급을 보장하기 위해여 개인정보취급자를 대상으로 교육을 실시하여야 합니다. 

개인정보보호교육은 산업안전보건교육, 직장 내 성희롱예방교육, 직장 내 장애인 인식개선교육, 퇴직연금교육 등과 더불어 기업필수 법정 의무 교육에 속합니다.

브리피의 경우, 브리피 고객사의 가맹/제휴점주들의 개인정보를 다루는 일이 많으므로 전 직원을 대상으로 개인정보보호 교육을 시행하고 있습니다. (신규 입사자 발생 시, 온보딩 프로세스에 포함 시키고 있습니다)

정보보호포털(www.privacy.go.kr)에서 무료 교육 이수가 가능하며, 교육이 완료되면 교육 이수확인서가 발급됩니다. 사설 교육기관에서 중앙 부처를 사칭하여 개인정보보호 교육을 강요하는 사례가 있으니, 정보보호포털을 이용하시는 것을 추천합니다.

동시에 다수 인원이 입장하면 영상이 중간에 끊겨서 처음부터 다시 교육을 시청해야 하는 일이 발생됩니다. 인원을 나눠서 시청하시기를 권장합니다.

8. 개인정보취급자 현황 관리

개인정보취급자의 ‘소속, 직위, 성명, 취급업무, 입사일자, 위탁사 전산 ID, 퇴사일자, IP 내역, 퇴사시 계정말소 여부’를 기록하여 개인정보취급자 현황을 관리해야 합니다. 

해당 관리대장은 대외비 자료이므로 반드시 잠금 장치가 있는 곳에 보관해야 하며, PC내 보관 시, 암호화 설정이 필요합니다.

브리피의 경우, 여러 기업이 별도의 칸막이 없이 한 공간에 입주해 있는 오픈 스페이스 형태의 사무실을 이용하고 있습니다. 개인정보 보호조치 규정에는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소에 출입통제 절차를 수립·운영하게끔 되어 있습니다.

물리적 출입을 통제할 수 없는 별도의 공간이 없다면, CCTV·카메라 등을 설치·운영하여 출입 내역을 전자적인 매체에 기록하는 방법이 있으나 현재 저희의 업무 공간의 특성 상, 두 가지 부분을 조치하기 어려운 상태입니다. 

그리하여 저희는 입주 기업 간 개인정보보호 협약을 맺는 형태로 해당 부분을 보완하고 있으니, 참고하시면 좋을 것 같습니다.

2부에서는 개인정보 보안 관리와 관련된 내용을 다루도록 하겠습니다.

※스타트업이 놓치기 쉬운 개인정보 관리 2부는 여기서 확인하실 수 있습니다.