개인정보보호법 주요내용과

특허출원, 상표출원 관리업무

2014. 10. 29.

변호사/변리사 김 국 현

가산종합법률사무소가산/특허법인가산

1. 용어 정의

(1) 개인정보 : 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상

등을 통하여 개인을 알아볼 수 있는 정보, 해당 정보만으로는 특정 개인을 알

아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함 - ex)

성명, 주소, 전화번호 등 이외에 컴퓨터 IP주소, e-mail 등

(2) 정보주체 : 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의

주체가 되는 사람

(3) 개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위하여 스스

로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개

인 등

I. 개인정보보호법의 주요 내용

개인정보의 처리 단계

(1) 수집 이용 : 제15조 (개인정보의 수집이용), 제16조 (개인정보의 수집제한), 제

23조 (민감정보의 처리제한), 제24조 (고유식별정보의 처리제한)

(2) 저장 관리 : 제24조의2 제2항 인터넷 홈페이지의 경우 주민등록번호 이외의 회

원가입방법 제공, 제25조 (영상정보처리기기의 설치운영 제한), 제29조 (안전

조치의무) 안전성확보 위한 기술적 관리적 물리적 조치, 제30조 (개인정보 처

리방침의 수립 및 공개), 제31조 (개인정보 보호책임자의 지정)

(3) 제공 위탁 : 제26조 (업무위탁에 따른 개인정보의 처리 제한) 목적외 처리금지,

제27조 (영업양도 등에 따른 개인정보의 이전 제한)

(4) 파기 : 제21조 (개인정보의 파기) 불필요하게 된 경우

(5) 권리보장 : 제34조 (개인정보 유출 통지) 개인정보 침해신고, 제35조 (개인정보

의 열람), 제36조 (개인정보의 정정 삭제), 제37조 (개인정보의 처리정지), 제

40-50조 분쟁조정위원회, 제51-57조 단체소송

개인정보의 수집, 이용 및 제한

(1) 개인정보를 수집, 이용할 수 있는 경우 (법 제15조)

1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우

3. 공공기관이 법령에서 정한 소관 업무의 수행을 위해 불가피한 경우

4. 정보주체와의 계약의 체결, 이행을 위하여 불가피한 경우

5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태, 사전 동의를 받

을 수 없는 경우, 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이

익을 위하여 필요한 경우

6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로써 명백하

게 정보주체의 권리보다 우선하는 경우

- 위반시 5천만원 이하의 과태료 부과(법 제75조 제1항 제1호)

필요 최소한의 개인정보 수집 (법 제16조)

- 개인정보처리자는 개인정보를 수집하는 경우에 그 목적에 필요한 최소한의 개

인정보를 수집

- 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담

- 개인정보처리자는 개인정보 수집에 동의하지 않을 수 있다는 사실을 알려야 함

- 개인정보처리자는 정보주체가 필요한 최소한의 정보 외에 개인정보 수집에 동

의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부할 수

없음

- 위반 시 3천만원 이하의 과태료 부과 (법 제75조 제2항 제1호)

개인정보의 제3자 제공 허용범위

(1) 개인정보처리자는 다음의 경우 정보주체의 개인정보를 제3자에게 제공할 수

있음 (법 제17조 제1항)

1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우

3. 공공기관이 법령이 정한 소관업무 수행을 위해 불가피한 경우

4. 정보주체가 의사표시 할 수 없거나 사전동의를 받을 수 없는 경우로써 정보

주체 또는 제3자의 생명, 신체, 재산의 이익을 위해 필요한 경우

- 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금(법 제71조 제1호)

목적 외 제공 금지 및 예외

(2) 개인정보처리자는 개인정보를 목적 범위를 초과하여 제3자에게 제공할 수 없음. 다음

의 예외 존재. (법 제18조 제1항, 제2항)

1. 정보주체의 별도의 동의를 받은 경우

2. 다른 법률에 특별한 규정이 있는 경우

3. 명백히 정보주체 또는 제3자으 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우

4. 통계작성 및 학술연구 등의 목적을 위해 필요한 경우로 특정 개인을 알아볼 수 없는

형태로 개인정보를 제공하는 경우

5-9. 공공기관에 한정.

- 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금 (법 제71조 제2호), 제공한 자와 알

면서 받은 자 모두 처벌.

민감정보, 고유식별정보, 주민등록번호 처리의 제한

(1) 민감정보, 고유식별정보, 주민등록번호의 처리는 원칙적으로 금지됨( 법 제23

조, 제24조, 제24조의2)

- 예외) 정보주체의 별도 동의, 법령에서 구체적으로 처리를 요구하거나 허용

하는 경우

- 민감정보 : 사상, 신념, 노동조합 및 정당의 가입 탈퇴, 정치적 견해, 건강, 성

생활 등에 관한 정보, 유전정보, 범죄경력정보, 그 밖에 정보주체의 사생활을

현저히 침해할 우려가 있는 정보

- 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호

- 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금 (법 제71조 제3호, 제4

호)

- 위반 시 3천만원 이하의 과태료 (법 제75조 제2항 제4호의2) 위 형벌과 중복적용

주민등록번호 관련 특칙 - 예외의 예외

주민등록번호는 다음의 경우를 제외하고는 처리할 수 없다

1. 법령에서 구체적으로 처리를 요구하거나 허용한 경우

2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을

위하여 명백히 필요한 경우

3. 제1호 및 제2호에 준하여 안전행정부령으로 정하는 경우

(현재 정한 바 없음)

주민등록번호 관련 개정법 전후 비교

(1) 주민등록번호의 수집 (법 제24조의2 제1항)

- 구법 : 동의를 받은 경우, 법령이 허용하는 경우 수집 가능

- 신법 : 동의를 받아도 원칙적으로 수집 이용 불가

수집 자료 중 법령상 근거 없는 경우 2016. 8. 6.까지 모두 폐기

(2) 주민등록번호 외 가입 방법(법 제24조의2 제2항)

- 구법 : 인터넷 홈페이지 일평균 1만명 이상 기업은 주민등록번호 외 회원 가입

방법 제공

- 신법 : 주민등록번호 수집이 법령으로 허용되는 경우에도 주민등록등록 번호

외 회원 가입 방법 제공

(3) 안전성 확보조치를 취하지 않아 주민등록번호가 분실·도난·유출·변조 또는 훼손

된 경우에는 5억원 이하의 과징금을 부과 신설 (법 제34조의2 제1항)

개인정보 처리방침의 수립 및 공개

(1) 개인정보처리자는 다음 사항이 포함된 개인정보 처리방침을 수립 해야 함 (법 제30

조 제1항)

- 1. 개인정보의 처리 목적, 2. 개인정보의 처리 및 보유 기간, 3. 개인정보의 제3자

제공에 관한 사항, 4. 개인정보처리의 위탁에 관한 사항, 5. 정보주체의 권리·의무 및

그 행사방법에 관한 사항, 6. 처리하는 개인정보항목, 7. 개인정보 파기에 관한 사항,

8. 개인정보 안전성 확보조치에 관한 사항 (시행령 제31조 제1항)

(2) 개인정보처리방침의 공개 (법 제30조 제2항)

- 개인정보 처리방침을 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재 (시

행령 제31조 제2항)

- 인터넷 홈페이지 첫화면 또는 첫화면과 직접 연결되는 화면에 게재

- 위반 시 1천만원 이하의 과태료 (법 제75조 제3항 제7호)

개인정보 보호책임자 지정 의무

(1) 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정 (법

제31조 제1항)

- 위반 시 1천만원 이하의 과태료 (법 제75조 제3항 제8호)

(2) 개인정보 보호책임자의 업무 (법 제31조 제2항, 시행령 제32조 제1항)

- 1. 개인정보 보호 계획의 수립 및 시행, 2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선, 3.

개인정보 처리와 관련한 불만의 처리 및 피해 구제, 4. 개인정보 유출 및 오용·남용 방지를 위한 내부

통제시스템의 구축, 5. 개인정보 보호 교육 계획의 수립 및 시행, 6. 개인정보파일의 보호 및 관리·감

독, 7. 개인정보처리방침 수립·변경 및 시행, 8. 개인정보 보호 관련 자료의 관리, 9. 처리목적이 달성

되거나 보유기간이 경과한 개인정보 파기

(3) 개인정보 보호책임자 지정요건 (법 제31조 제6항, 시행령 제32조 제2항 제2호)

- 가. 사업주 또는 대표자, 나. 개인정보 처리 관련 업무를 담당하는 부서의 장 또는 개인정보 보호에

관한 소양이 있는 사람

개인정보의 안전성 확보조치 이행의무

(1) 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 안전

성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 함 (법 제29조, 시행령 제

30조 제1항)

- 관리적 조치 : 1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행

- 기술적 조치 : 2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치, 3. 개인정

보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치, 4.

개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위

한 조치, 5. 개인정보에 대한 보안프로그램의 설치 및 갱신

- 물리적 조치 : 6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치

의 설치 등 물리적 조치

- 위반 시 3천만원 이하의 과태료(법 제75조 제2항 제6호)

- 미이행으로 유출 시 2년 이하의 징역 또는 1천만원 이하의 벌금 (법 제73조 제1호)

목적달성 후 개인정보 파기 의무

(2) 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가

불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 함 (법 제21조 제1

항)

- 다른 법령에 따라 보존해야 하는 경우에는 보존

- 파기할 때에는 복구 또는 재생되지 아니하도록 조치

전자적 파일형태 : 복구가 불가능하도록 포맷이나 삭제전용 소프트웨어를 사

용하여 파기

기록물, 인쇄물, 서면 : 파쇄 및 소각

- 참고) 법령에 근거가 없을 경우에는 주민등록번호는 2년 이내 파기해야 (2016. 8.

7.까지)

- 위반 시 3천만원 이하의 과태료 (법 제75조 제2항 제4호)

개인정보 유출 통지 및 신고

(1) 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 사

실을 알려야 함 (법 제34조 제1항)

- 1. 유출된 개인정보의 항목, 2. 유출된 시점과 그 경위, 3. 유출로 인하여 발생할 수 있는 피해를 최소

화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보, 4. 개인정보처리자의 대응조치 및 피해 구

제절차, 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

(2) 개인정보처리자는 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 제1항에 따른 통지 및

제2항에 따른 조치 결과를 지체 없이 안전행정부장관 또는 대통령령으로 정하는 전문기관에 신고하여

야 함 (법 제34조 제3항)

- 현재 1만명 이상, 한국정보화진흥원 또는 한국인터넷진흥원에 신고 (시행령 제39조)

(3) 통지 방법 (시행령 제40조 제1항, 제3항)

- 서면, 전자우편, FAX, 전화, 문자전송 또는 이에 상당하는 방법

- 1만명 이상 유출, 통지 와 동시에 인터넷 홈페이지에 7일 이상 게재

- 위반 시 3천만원 이하의 과태료 (법 제75조 제2항 제8호, 제9호)

침해사실 신고

(1) 개인정보처리자가 개인정보를 처리할 때 개인정보에 관한 권리 또는 이익을 침

해받은 사람은 안전행정부장관에게 그 침해 사실을 신고할 수 있음 (법 제62조

제1항)

(2) 안전행정부장관은 제1항에 따른 신고의 접수·처리 등에 관한 업무를 효율적으

로 수행하기 위하여 대통령령으로 정하는 바에 따라 전문기관을 지정. 전문기

관은 개인정보침해 신고센터를 설치·운영 (법 제62조 제2항)

- 한국인터넷진흥원 (시행령 제59조)

(3) 신고센터의 업무 (법 제62조 제3항)

- 1. 개인정보 처리와 관련한 신고의 접수·상담, 2. 사실의 조사·확인 및 관계자

의 의견 청취, 3. 제1호 및 제2호에 따른 업무에 딸린 업무

정보주체의 열람, 정정·삭제, 처리정지권

(1) 정보주체는 자신의 개인정보에 대한 열람, 정정·삭제, 처리정지를 개인정보처리자에 대해 요구할 수 있

음 (법 제35조~제37조)

(2) 개인정보 열람 요구 대응조치 (법 제35조 제3항, 시행령 제41조)

- 10일 이내에 열람할 수 있도록 조치

- 열람할 수 없는 정당한 사유가 있을 경우 정보주체에게 그 사유를 알리고 열람 연기 (사유가 소멸하면

지체없이 열람)

- 열람의 제한 거절 시 3천만원 이하의 과태료 (법 제75조 제2항 제10호)

(3) 개인정보 정정·삭제, 처리정지 요구 대응조치 (시행령 제43조)

- 10일 이내에 조치

(4) 열람제한 사유 (법 제35조제4항)

- 1. 법률에 따라 열람이 금지되거나 제한되는 경우, 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나

다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우, 3. 공공기관이 조세부과 징수·

환급, 교육기관 성적평가·입학자 선발, 채용 시험·보상금 산정·감사조사 업무를 수행할 때 중대한 지장을

초래하는 경우

개인정보 관련 분쟁조정 및 단체소송

(1) 개인정보와 관련한 분쟁의 조정을 원하는 자는 분쟁조정위원회에 분쟁조정을 신청할

수 있다 (법 제43조 제1항)

- 분쟁조정의 내용은 재판상 화해 효력 (법 제47조제5항)

(2) 국가 및 지방자치단체, 개인정보 보호단체 및 기관, 정보주체, 개인정보처리자는 정보

주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는

경우로서 대통령령으로 정하는 사건에 대하여는 분쟁조정위원회에 일괄적인 분쟁조정

("집단분쟁조정")을 의뢰 또는 신청할 수 있다 (법 제49조)

- 신청 대상 : 1. 피해 또는 권리침해를 입은 정보주체의 수가 50명 이상, 2. 사건의 중

요한 쟁점이 사실상 또는 법률상 공통될 것 (시행령 제52조)

(3) 일정 요건을 갖추 소비자단체, 비영리민간단체는 개인정보처리자가 제49조에 따른 집

단분쟁조정을 거부하거나 집단분쟁조정의 결과를 수락하지 아니한 경우에는 법원에 권

리침해 행위의 금지·중지를 구하는 소송("단체소송")을 제기할 수 있다 (법 제51조)

II. 안전조치 의무위반과 손해배상 소송사례

안전조치 의무(관리적/기술적 보호)

(1) 기술적 보호조치

- 접속기록의 보관 및 위변조 방지, 접속기록 월 1회 이상 확인 감독 보존 관리, 접속기록 별도 저장장치에

백업 보관

- 개인정보의 암호화, 비밀번호 바이오정보 주민번호 금융정보 암호화, 이용자 개인정보 PC 저장 시 암호

화, 개인정보 및 인증정보 송수신 시 보안서버를 통한 암호화

- 접근통제 시스템 설치 및 운영

- 보안프로그램 설치 운영 및 악성프로그램 방지

(2) 관리적 보호조치

- 내부관리계획 수립, 개인정보보호 조직의 구성 운영, 개인정보관리책임자 및 개인정보취급자 대상 교육

- 접근통제, 개인정보처리시스템 접근권한의 부여 변경 말소 기준 수립, 비밀정보 작성규칙 및 관리규칙

등 정책 수립, 침임차단 탐지 설치 및 운영

- 출력 복사시 보호조치

- 개인정보 표시 제한 보호 조치

민사책임

(1) 개인정보보호법 제39조

① 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처

리자에게 손해배상을 청구할 수 있다. 이 경우 그 개인정보처리자는 고의 또는 과실

이 없음을 입증하지 아니하면 책임을 면할 수 없다.

② 개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리하

지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책

임을 감경받을 수 있다.

(2) 일반민사법 대비 개인정보 관련 법령상 손해배상 특칙

- 입증책임 전환 : 고의 무과실의 입증책임은 개인정보처리자에게

- 배상액 임의적 감경 : 개인정보처리자가 주의감독의무 준수한 경우

- But, 손해액은 정보주체가 입증해야

형사벌 및 행정벌

(1) 개인정보보호법 제73조 제1호 : 2년 이하의 징역 또는 1천만원 이하의 벌금

- 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실·도난·유출·변조

또는 훼손당한 자

(2) 개입정보보호법 제75조 : 3천만원 이하의 과태료

- 제29조를 위반하여 안정성 확보에 필요한 조치를 하지 아니한 경우

SK 컴즈의 개인정보 유출 사례

(1) 서울서부지방법원 2013. 2. 15. 선고 2011가합11733 등 판결

- 대용량개인정보의 유출 탐지 실패

- 10GB 분량 유출, 비일상적 exp 명령, FTP 사용 등 미탐지

- 공개프로그램(알집) 사용

- 컴퓨터-알집서버-광고서버 인터넷 연결

- 보안상 취약한 FTP 서비스 제공

- 서버에 불피요한 FTP 기능은 제거 필요

- 보안관리자가 Logout하지 않고 기타 idle time 또는 connect time을 설정하지 않음

- 외부 접속시 안전한 인증수단 적용 필요

- 암호화 여부는 손해배상책임 여부에 큰 영향 없음

- 결론 : 원고 1인당 20만원 인용

- 항소 사건 진행 중 : 서울고등법원 2013나20047

판결 의미

(1) 과거에는 해커에 의한 개인정보 유출 사고 시, 회사의 고의 또는 중과

실이 입증되지 않을 경우 회사 측에 법적 책임이 인정되지 않았음

- 단지 기업의 신뢰도 및 평판 훼손 등의 무형의 재산적 손해가 더 우려

되었음

(2) 본 서울서부지방법원의 판결에서 집단소송 첫 원고 (일부)승소 판결

- 피해자 약 3,500만명에게 각 20만원 배상 시, 약 7조원 필요

- Legal Risk 부각

판결 의미

(3) 법적 의무사항의 준수에 대한 판단 기준 강화

- 과거에는 법적 의무사항의 준수 여부만 판단하였으나, SK컴즈 사건에서는 법

적 의무사항을 제대로 준수하였는지 여부를 판단

- 법령에 의한 침입탐지시스템 도입, but 이를 적절히 운영하지 않아 주의의무

를 다하지 못함

(4) 기술 발달에 따른 보안수준 강화 여부에 대한 기준 강화됨

- 과거에는 심야의 비정상적인 대량의 정보 요청에 대한 미탐지, 미경고를 기술

적 한계로 인정하였으나, SK컴즈의 경우에는 10GB의 개인정보가 외부에 유출

되는 동안 이를 감지하지 못한 것에 대해 회사의 주의의무 위반을 인정함

개인정보유출에 대한 법정 손해배상 시행 예정

(1) 정보통신망법 제32조의2(법정손해배상의 청구) – 2014. 11. 29. 시행 예정

① 이용자는 다음 각 호의 모두에 해당하는 경우에는 대통령령으로 정하는 기

간 내에 정보통신서비스 제공자등에게 제32조에 따른 손해배상을 청구하는 대

신 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수

있다. 이 경우 해당 정보통신서비스 제공자등은 고의 또는 과실이 없음을 입증

하지 아니하면 책임을 면할 수 없다.

1. 정보통신서비스 제공자등이 고의 또는 과실로 이 장의 규정을 위반한 경우

2. 개인정보가 분실·도난·누출된 경우

② 법원은 제1항에 따른 청구가 있는 경우에 변론 전체의 취지와 증거조사의

결과를 고려하여 제1항의 범위에서 상당한 손해액을 인정할 수 있다.

법정 손해배상 제도

(2) 도입 이유

- 개인정보 유출 사고시 정신적 손해(액)의 입증곤란

- 법 위반행위와 정보유출 간의 인과관계 입증곤란

(3) 성립요건

- 정보통신망법 제4장(개인정보의 보호)의 규정 위반

- 고의 또는 과실

- 개인정보의 분실 도난 유출

(4) 입증책임

- 고의 또는 과실의 입증책임 전환

- 손해액의 입증 책임 간주

- But, 손해발생의 입증 책임 존재

III. 출원 관리와 개인정보보호 실무

주민등록번호 처리 - 변리사회 질의 및 안행부 회신

2014. 8. 7.부터 시행된 개인정보보호법 개정법에 관련하여 출원업무 등에서 적용 사항

(1) 변리사가 고객으로부터 주민등록번호 또는 외국인등록번호의 수집 이용 여부

- 특허법 시행령 제19조의2, 실용신안법 시행령 제7조의2, 디자인보호법 시행령 제11

조, 상표법 시행령 제3조의2 등에 따라 특허청장 또는 특허심판원장은 출원 등의 사무

처리를 위해 불가피한 경우 주민등록번호 또는 외국인등록번호를 처리할 수 있다고

규정

- 변리사법 제2조에 따라 변리사는 특허청 또는 법원에 대하여 특허, 실용신안, 디자

인, 상표에 관한 사항을 대리

- 따라서 변리사가 정보주체로부터 명시적으로 대리권을 수임 받은 후 특허청 등, 관

계 법령상 주민등록번호 등의 수집이 허용된 기관에 제출하는 경우에는 개인정보보호

법에 저촉되지 아니함

변리시회 질의에 대한 안행부 회신

(2) 주민등록번호 수집 시 ‘개인정보 수집동의서’ 필요여부 및 수집한 자료의 보관 기간

- 개인정보보호법 제24조의2 제1항에 따라 주민등록번호를 수집하는 경우에는 정보

주체로부터 별도의 동의서를 청구할 필요가 없음

- 변리사 업무와 관련한 법령에 따라 변리사가 소관 업무 수행 중 취득한 자료를 별

도로 보관토록 규정하고 있는 경우를 제외하고, 정보주체를 대리하여 작성한 각종

서류 등에 주민등록번호가 포함되어 있는 경우에는 수임 관계가 모두 종료된 이후에

는 서류에 포함된 주민등록번호는 원칙적으로 파기하여야 함

- 개인정보보호법 제29조에 따라 개인정보처리자는 개인정보가 분실, 도난, 유출, 변

조 또는 훼손되지 아니하도록 내부관리계획 수립, 접속기록 보관 등 동법 시행령 제

30조에서 정하는 바에 따른 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 취

하여야 함

특허출원 업무관리와 개인정보보호 지침 – 제안

개인정보의 안전성 확보조치 중 최선 방안:

1. 특허관리시스템에 입력되어 있는 주민등록번호를 모두 삭제

2. 특허관리시스템에 저장된 모든 파일에 기록된 주민등록번호를 모두 삭제

3. 특허관리시스템 내 주민등록번호 입력 금지

4. 의뢰인 제공문서는 특허관리시스템에 저장하고 별도 종이 출력본 보관

금지

5. 특허청 문서 등 주민등록번호를 포함하는 전자적 문서는 별도의 암호화

프로그램을 통해 암호화하여 특허관리시스템에 저장하고, 암호화된 문서에

대한 접근 및 해제는 개인정보 보호책임자의 지휘ㆍ감독을 받아 개인정보

를 처리하는 업무를 담당하는 자로 한정하여 관리

가산종합법률사무소/특허법인가산

변호사/변리사 김 국 현

kkh@kspat.com www.kspat.com

블로그 kasaninsight.tistory.com