최근 개인정보 법제하에서의 선관주의의 의미와 이행방안

- 위수탁 관계를 중심으로

2015. 4. 10. 법무법인 광장 변호사 박광배(kwangbae.park@leeko.com)

I. 개인정보 취급(처리) 위탁 일반

- 정보보호 관점 -

정보보호 트랜드

정보보호 위협 및 취약점

지속적인 모니터링 및 주기적 검토

보안솔루션 도입

개인정보보호법 안전성확보조치

정보통싞망법 기술적•관리적 보호조치

기타 정보보호 요구사항

- 선관주의의무 관점-

정보보호 트랜드

적용 법률 및 관렦 고시의 명확한 해석

감독 기관 입장

소송을 고려한 보호대책

관렦 기관의 유권해석

기타 회사의 적용법률의 위험요소

단순히 정보 자체를 대상으로 하는 시각이 아니라, 그 정보를 둘러싼 의무의 이행, 책임의 소재 등이 핵심 고려 사

항이 되었습니다. 정보를 다루는 “우리”의 안정성에서부터 바라보는 시각이 중요합니다.

들어가며 - 시대 변화에 대한 이해

3

개별 이슈 혹은 전체 보호조치에 대하여 법적 관점에서 분석하고 대책을 고민해야 함

우리의 정보는 안전한가? 우리는 안전한가?

정보처리자는 자싞이 처리하는 개인정보에 관하여 다음의 요소들을 고려하여 선관주의의무를 다하여야 합니다.

정보 유출 사건에 있어서는 이러한 의무를 다하는 경우 면책될 수 있습니다. (최귺의 판결- 옥션, 싸이월드 판결

등. 그와 다른 입장의 KT 판결)

비즈니스 홖경 법률 및

규제동향

명확한 기술

요건

선관주의의무

에 기반한

컴플라이언스

안전성확보

비즈니스, 기술 홖경은 각 사업체가 속해 있는 상

황에 따라 다를 것입니다.

카드사 정보유출 사고 이후 법령들이 상당히 많이

변경되어 있습니다.

이하에서는, 특히 위탁 혹은 외주와 관렦된 법률

및 규제 동향에 관하여 설명 드리고자 합니다.

1. 선관주의의무 고려사항

4

2014년 1월 발생한 신용카드사 개인정보 유출사고 후 금융감독기관 및 관렦 행정기관의 IT정보보안 및

개인정보보호 규제 강화 추세 (대표적인 예- 싞용정보법 개정)

금융위원회, 금융감독원 및 방송통싞위원회는 금융기관 등의 선관의무를 특히 강조하고 있으며, 점차적으로

규제의 강도를 높이고 있음

금융분야는 다양한 금융홖경을 탂력적으로 포섭하기 위하여 법령에 포괄적 개념을 적용하는 경우가 많고, 그에

따라 감독기관에게 폭넓은 재량이 부여되어 있음

한편, 일방적으로 규제를 강화하는 것이 아니라, 핀테크 산업 등 싞사업 독려를 위해 사전 규제 완화, 사후 규제

강화라는 새로운 패러다임으로의 전홖을 모색하고 있는 점도 고려하여야 함

변화되고 있는 금융산업의 규제

최귺 정보유출 사고가 일어난 것 뿐만 아니라 소위 핀테크 산업이 발전함에 따라, 금융 산업에 있어서는 여러가지

규제의 변화가 예상됩니다.

1-2. 선관주의의무 고려사항 – (참고) 금융회사등의 경우

5

“위험의 외주화”는 불가능!

2. 위탁 위험관리 중요성

6

외부 위험의 내재화

외주업체 관리의 필요성

외주업체에서 개인정보 유출된 사례

외주업체의 잘못으로 위탁 사업자가 큰 책임을 지거나 피해를 본 사례

“개인정보 유출 재발방지 종합대책” : 위탁의 전 단계(입찰-계약-수행-완료)에 걸쳐 보안관리 체계 준수를 의무화 (올 1월)

3. 개인 정보의 취급(처리) 위탁의 의미

1. 정보통싞망 이용촉짂 및 정보보호 등에 관한 법률(“정보통싞망법”)- 정보통싞제공자등이 제3자에게 이용자

의 개인정보를 취급할 수 있도록 업무를 위탁하는 것 (제25조)

2. 개인정보보호법(“개인정보법”)- 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 것(제26조)

3. 싞용정보의 이용 및 보호에 관한 법률(“싞용정보법”)- 싞용정보회사등은 싞용정보의 처리를 위탁하기 위하

여 수탁자에게 개인싞용정보를 제공하는 경우(제17조)

개인정보의 외부 제공에 있어서의 개념 구성이 핵심

정보보호와 관련하여 위탁의 개념이 중요함

- 선관주의의무 충실 여부에 직결됨

- 동의가 필요한지의 판단

- 개정 정보통싞망법상의 요건 추가

7

1. “개인정보의 „제3자 제공‟은 „제공받는 자의 목적‟을 위하여 개인정보가 제공되는 경우로, 제25조에서 말

하는 개인정보의 „타인 위탁‟은 „제공하는 자의 사무처리‟를 위한 경우로 구별되어야” 한다고 판시하여

(대법원 2011. 7. 14. 선고 2011도1960 판결) 자신과 관련된 상품을 안내하는 데 사용할 수 있도록 개인

정보를 이전하였다면 개인정보를 이전 받은 자는 수탁자에 해당할 뿐이므로 동의 없는 제3자 제공에 해

당하지 않는다고 결롞

제3자 제공과 위탁간의 구별은 쉽지 않음 (경우에 따라서는 중첩적인 지위도 가능)

위탁의 경우에 제3자 제공보다 덜 엄격하게 취급하는 것이 전통적 태도

그러나 점차 위탁에 관한 관리, 감독을 중시하는 경향

4. 제3자 제공 v. 위탁

8

위탁에 해당하는 경우 주의할 사항

동의 여부 • 예외적으로 동의 면제- 면제 대상인지 요건 확인 • 면제 대상인 경우에도 적절한 고지, 공개의 필요

수탁자 관리 • 기술적∙관리적 보호조치 준수 등 확인 → 수탁자의 개인정보 이용 목적 제한

민사 책임 • 수탁자의 귀책으로 손해발생시 → 위탁자의 민사 책임

5. 위탁의 경우 고려사항

9

개인정보법에 따라, 제3자에게 위탁시 다음의 내용들을 포함한 문서에 의하여야 합니다. 준수하지 않는 경우 과태

료가 부과됩니다.

6. 위탁시 계약서에 포함할 내용

10

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적•관리적 보호조치에 관한 사항 3. 위탁업무의 목적 및 범위 4. 재위탁 제한에 관한 사항 5. 개인정보에 대한 접귺 제한 등 안전성 확보 조치에 관한 사항 6. 위탁업무와 관렦하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항 이상의 항목들은 단순히 문서에 담을 내용이 아니라, 위탁자가 계약체결 시 반드시 염두에 두고 관리해야 하는 사항입니다.

II. 업무위탁 관련 위험 관리의 중요성

수탁업체와 관련된 법적 요구사항의 강화

개인정보보호법 – 개인정보의 안전성 확보조치를 개정하여 수탁업체 관리 구체적 요구

개정 신용정보법 - 정보유출 금융사에 대한 제재 강화, 대출모집인 관리 책임 강화

개인정보의 안전성확보조치 고시

제3조(내부관리계획의 수립․시행) ①항

5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

2. 법적 책임의 강화

12

수탁업체와 관렦한 정보보호 사고가 지속적으로 발생함에 따라, 정부는 수탁업체 관리에 대한 기업의 법적 책임

을 강화하고 이에 대한 적극적인 관리 감독을 요구하고 있습니다.

싞용정보 처리 위탁시 식별정보 암호화 등 보호조치, 수탁자 교육, 안전한 정보 처리에 관한 사항의 위탁 계약 반영을 의무화

싞용정보 재위탁의 원칙적 금지

싞용정보제공/이용자는 모집업무를 제3자에게 위탁하는 경우 모집업무수탁자에 대하여 개인싞용정보 취득 경로를 확인하고, 불

법취득싞용정보가 모집업무에 이용된 사실을 확인한 경우 위탁 계약을 해지하도록 함

정보통신망법 – 제25조 제2항

* 개정 전자금융거래법 올해 4. 16. 시행 예정 - 정보보호 최고 책임자 겸직 제한, 전자금융보조업자의 재위탁 원칙적 금지

(안전성 확보 의무에 관한 규정 등 일부 규정은 10. 16. 시행)

정보통싞서비스 제공자등은 정보통싞서비스의 제공에 관한 계약을 이행하고 이용자 편의 증짂 등을 위하여 필요한 경우로서 제1

항 각 호의 사항 모두를 제27조의2 제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경

우에는 개인정보 취급위탁에 따른 제1항의 고지절차와 동의절차를 거치지 않을 수 있다.

3. 법적 책임의 강화 II

13

개정 정보통싞망법에서는 위탁에 있어 동의가 면제되는 요건을 추가하였습니다만, 그 해석과 적용 범위에 논란이

있습니다.

3. 고려할 사항 I - 적용 법령 분석

14

정확한 법적 위험 분석을 통한 자원 낭비 방지, 요건 누락 방지

전자금융거래법, 신용정보법, 개인정보보호법, 정보통신망법, 등

산업 분야에 따라 특유한 적용 법령이 있을 수 있음

(예- 금융분야)

어느 법이 적용될 것인가?

※ 적용 법령에 대한 이해와 분석은 기업의 업종 업태 뿐 아니라 비즈

니스의 성격에 따라 여부가 달라질 수 있으므로 단정적으로 판단하

기 어려운 경우가 있음

3. 고려할 사항 II - 위탁 업무 분석

15

적용 법령에 따라 모든 업무 자체에 대한 분석이 필요함

위탁이 맞기는 한 것인가? 제3자 제공 v. 위탁

계열사 간의 정보 교류가 외주인가? (특히, 금융회사의 국외 정보 이전)

개인정보, 민감정보, 신용정보 등에 관한 특유한 요건은 반영되었는가?

계약의 내용은 적정한가? (법에서 요구하는 의미를 이해하고 반영하였는가?)

비즈니스 분석 후 적정한 관리수준 도출

※ 수탁사 통제의 수준 및 적정성을 따지기 전에 위탁업무의 성격과

계약 상황 등의 분석이 우선되어야 함

※ 관리 수준 및 통제의 적정성은 단순하게 관련 법 및 고시에서 요구

하고 있는 구체적인 요건만을 고려해서는 안됨

Q & A