IT서비스(개인정보처리시스템)의 개인정보파일 관리

안녕하세요.

오늘은 IT서비스에서 개인정보파일에 대한 정의와 개인정보파일을 어떻게 관리하면 좋을지 고민해보는 시간을 갖도록 해보겠습니다.

우선은 개인정보보호법에서 말하는 개인정보파일에 대해서 알아보겠습니다.

 “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

개인정보보호법에서는 개인정보파일을 위와 같이 정의하고 있습니다. 이는 개인정보를 포함하는 일정한 형태인 종이문서(ex 교육 신청서, 방문자 기록일지 등), PC파일(ex 엑셀, DB파일 등)로 볼 수 있습니다.

지속적으로 수집하는 일정한 항목들(ex 이름, 연락처 등)이 있다면 이를 개인정보파일로 볼 수 있는 것이지요 !

 

그렇다면 개인정보파일은 어떻게 관리되어야할까요 ?

 

첫번째로 어느정도 규모있는 조직이라면 관리책임자(부서)를 지정하는 것이 아주 중요합니다. 최근 개인정보보호법 적용 사례 및 추이를 보면 그 중요성이 날이 갈수록 대두되어가고 있는 반면, 그에 대한 조직원의 인식은 점점 무뎌져 가고 있는 것으로 보입니다. 이는 제약은 심해져가고 있지만 이에 대한 인식이 부족하기 때문이라고 생각합니다. 때문에 해당 개인정보파일의 주체를 정확하게 파악하는 것이 중요합니다. 특히 개인정보처리시스템을 운영할 경우 해당 시스템을 운영하는 자(또는 부서)가 주체가 될지, 시스템을 사용하여 업무를 처리하는 자(또는 부서)가 주체가 될지 정하는 것이 개인정보파일 관리의 첫걸음입니다. 관리책임을 가진 자(부서)는 해당 개인정보파일의 생명주기에 맞춰 지속적으로 모니터링(수집 항목의 변경, 정보주체수 파악, 파기 시기 등)할 필요가 있습니다.

 

두번째는 개인정보파일의 분류입니다. 이 또한 마찬가지로 여러 개인정보파일을 가진 조직일 경우, 개인정보파일을 다루는 주체가 각각 다를 수 있기 때문에 이에 대한 기준이 없어 여러가지 문제가 발생하곤 합니다. 예를들어 A라는 개인정보파일을 운영하는 주체가 해당 개인정보파일을 '2021년 Z물품 구매자'로 명명하고, B라는 개인정보파일을 운영하는 주체는 'X물품 구매자'로 명명할 경우 이는 기간에 따라서 분류를 해야하는지, 물품에 따라서 분류를 해야하는지가 모호해지게 됩니다. 때문에 해당 조직의 개인정보담당자는 이에대한 기준을 마련하는 것이 아주 중요합니다. 각 개인정보파일은 보유기간이 만료되면 파기절차를 수행해야하기 때문에 위의 두 분류방법 중 하나로 통일하여 관리하는 것이 좋을 것입니다. (개인적인 생각으로는 개인정보파일에 연도를 기입하지 않는 편이 좋을 것 같습니다. 왜냐하면 보유기간이 1년 이상인 경우 '2021년 Z물품 구매자', '2022년 Z물품 구매자'와 같이 같은 성격의 개인정보파일이 중복되어 관리에 번거로움이 생길 것이라고 생각하기 때문입니다. 물론 이는 관리의 문제이고, 해당 방법은 파기 등의 절차가 명확해질 수 있다는 장점이 있습니다.)

 

마지막으로 개인정보파일의 파기가 있습니다. 개인정보는 정보주체의 요구 또는 보유기간이 만료되면 복원할 수 없는 형태로 파기해야하는데요 ! 이는 미리 정한 처리 목적을 달성하였기 때문에 더이상 개인정보를 보유할 필요도 없고, 보유하게 된다면 오히려 유출에 위험성만 커질 수 있기 때문에 꼭 수행하여야합니다. 개인정보보호위원회 표준개인정보보호지침(2020.8.11.개정)에서는 5일 이내 파기를 원칙으로 지정하였습니다. 이로인해 특정 기간에 수집하는 개인정보(ex 채용 지원자 파일, 8월 구매자 정보 등)의 경우 만료기간이 정해져 있어 파기절차를 수행하면 되지만, 실시간으로 개인정보를 수집하는 개인정보처리시스템의 경우 데이터 자동삭제정책이 있더라도 5일마다 개인정보파기가 제대로 이루어지고 있는지 확인하여야 합니다. 또한 최초로 수집한 개인정보파일(DB)이 다른 DB 또는 테이블에 완전복제(참조가 아닌 직접복제)되어 운영되고 있지는 않은지 지속적인 모니터링이 수행되어야합니다.

 

오늘은 개인정보파일 관리방법에 대하여 알아보았습니다. 오랜만에 포스팅을 하려니 글이 잘 안나오는군요..ㅎㅎㅎ

당분간은 개인정보와 관련된 게시물을 포스팅할 예정입니다 ! 애플리케이션 개발과 마찬가지로 여러 조직의 레거시한 제도와 정책으로 인하여 개인정보보호도 아직은 많은 산을 넘어야할 것으로 보입니다...(기존에 해왔던 익숙한 방식을 걷어내야하는 부분이 많은 관계로..) 다음시간에는 개인정보처리방침의 수립에 대하여 알아보는 시간으로 돌아오도록 하겠습니다.

 

오늘도 좋은하루 보내세요~~!!