개인정보보호 법률 및 규정에 대해 알아보기

학습 목표

이 유닛을 완료하면 다음을 수행할 수 있습니다.

개인정보보호의 중요성에 대해 설명할 수 있습니다.
개인정보보호법이 조직에 어떻게 적용되는지 서술할 수 있습니다.
개인정보보호에 관한 고객의 기대를 요약할 수 있습니다.

개인정보보호 소개

특히 조직에서 고객의 개인 정보를 취급하는 경우, 보안 전문가는 조직에 적용되는 최신 개인정보보호법에 대해 계속 숙지해야 합니다. 이렇게 해야 하는 이유는 무엇일까요? 고객 및 직원 데이터가 보호되도록 하는 것은 신뢰를 쌓고 유지하는 데 매우 중요합니다. 이 모듈에서는 효과적인 개인정보보호 프로그램을 이행하기 위해 사용되는 도구에 대해 알아볼 것입니다.

조직에서 고객 데이터를 보관 및 처리하는 경우, 고객은 조직이 해당 법률에 따라 이 데이터를 안전하게 보호 및 사용하고 처리할 것이라 믿습니다. 이 데이터에는 연락처, 건강 또는 금융 정보 같은 개인 정보나 비용, 마케팅 또는 분석 데이터 같은 비즈니스 관련 정보가 포함될 수 있습니다.

처리 또는 보관하는 데이터의 유형에 관계없이, 데이터를 안전하게 유지해야 합니다. 조직은 고객 데이터를 처리 또는 보관해야 하며 잠재 고객에 대한 지식, 직원 정보, 재무 데이터 등을 포함한 자체 데이터도 책임집니다.

이 데이터가 보호되도록 하려면 어떻게 해야 할까요? 우선 적용되는 개인정보보호 법률을 알고 따라야 합니다. 여기서는 이런 개인정보보호 법률에 대해 자세히 알아봅니다. 해당 개인정보보호법을 준수한다는 것을 문서화하고 여러분과 고객을 보호하기 위해서는 고객 데이터를 수집할 때는 동의서를 얻는 것이 좋습니다. 이런 동의서에는 조직이 고객 데이터의 보안과 기밀을 유지할 방법이 포함되어야 합니다. 예를 들어 국제 항공사는 대부분 자사의 공개 웹 사이트에 고객 개인 정보를 보호하는 방법과 데이터를 수집, 사용, 평가, 보호 및 보관하는 이유 및 방법을 명시해야 합니다.

개인정보보호가 중요한 이유

잠시 한 걸음 물러서서 개인정보보호의 개념과 의미에 대해 다시 알아봅시다. 개인정보보호는 특정 정보 또는 데이터를 상대적인 중요성에 따라 관리 및 보호해야 하는 방법과 관련이 있습니다.

개인정보보호라는 주제는 최근에 보안 사고와 기업이 수집하는 고객 데이터를 사용하는 방법에 대한 우려 때문에 관심이 집중되고 있습니다. 개인정보보호에 대한 우려는 금융 및 보건 같은 특정 산업에 종사하는 기업에 특히 중요한 사안입니다. 이러한 분야의 산업은 중요 정보를 다루고, 일반적으로 강력하게 규제됩니다. 이런 산업이 사이버 공격의 표적이 되는 경우도 많아지고 있으며, 공격이 성공할 경우 데이터를 잃을 뿐만 아니라 소비자의 신뢰도 잃을 수 있습니다.

예를 살펴보겠습니다. 신용카드를 신청할 때는 대개 법적 이름, 생년월일, 주소, 정부 발행 신분증 번호, 연소득 같은 아주 많은 정보를 제공해야 합니다. 이 정보는 신원을 확인하는 데 사용될 뿐만 아니라, 신용카드 회사는 이 정보로 신청인의 신용 이력도 확인할 수 있습니다. 이 정보는 개인 정보로 간주되고, 신용카드 회사는 이 정보를 보호하기 위한 보안 조치를 마련해야 하죠.

이 예에서 개인정보보호의 의미는 신용카드 회사가 개인 정보가 무단으로 공개되지 않도록 보호하고 개인 정보를 사용하는 방법을 투명하게 공개하고 개인 정보를 해당 법률에 따라 사용할 책임이 있으며, 개인 정보 소유자가 특정 목적을 위한 정보 사용에 동의해야 함을 나타냅니다.

온라인으로 신용카드를 신청하는 사람이 표시된 노트북 컴퓨터와 달러 기호 및 신용 카드로 채워진 파일 폴더와 그 위에 겹쳐진 방패

개인정보보호 용어

개인정보보호법에 대해 자세히 알아보기 전에 몇 가지 기본적인 정의를 살펴보겠습니다.

고객 데이터: 고객이 웹 사이트, 모바일 애플리케이션, 소셜 미디어 등을 통해 비즈니스와 상호작용하면서 제공하는 정보

데이터 주체: 수집, 보관 또는 처리되는 개인 정보의 소유자

개인 정보: 이름, 집 주소 또는 개인 식별자(예: 여권 번호) 등, 데이터 주체와 직접 관련이 있고 개인을 식별할 수 있는 데이터

민감한 개인 데이터: 일부 유형의 개인 데이터는 민감한 데이터로 간주되어 한층 더 엄격한 규제가 적용됩니다. 여기에는 인종, 민족 혈통, 정치적 견해, 종교적 또는 철학적 신념, 노조 가입 여부, 유전자 데이터, 생체 정보 데이터, 건강 관련 데이터, 개인의 성생활 또는 성지향성 관련 데이터가 포함될 수 있습니다.

처리: 데이터에 대해 수행하는 작업이나 일련의 작업(예: 액세스, 수집, 기록, 검색, 복사, 보관, 공개, 배포 등)

컨트롤러: 개인 정보를 처리하는 목적과 수단을 결정하는 개인 또는 집단

처리자: 컨트롤러 대신 개인 정보를 처리하는 개인 또는 집단

관리인(또는 취급자): 데이터의 안전한 보유, 이송 및 보관과 비즈니스 규칙 이행을 책임지는 개인

데이터 보호 당국(DPA): 데이터 및 개인 정보 보호와 유럽연합 내 데이터 보호 규정의 모니터링 및 집행을 담당하는 국가 당국.

상황과 관련 데이터에 따라, 조직은 처리자 및 컨트롤러의 역할을 모두 수행할 수 있습니다. 처리자와 컨트롤러의 역할을 당사자 간 책임 분배와 연관 지어서 생각하면 더 쉽게 이해할 수 있습니다. 고객은 컨트롤러와 처리자가 모두 될 수 있습니다. 하지만 조직은 항상 고객이 데이터를 제출할 때 처리자 역할을 하고 데이터 처리 수단 및 목적을 결정할 때는 컨트롤러 역할을 합니다.

개인정보보호법

조직의 운영 위치에 따라, 각 위치에서 적용되는 개인정보보호법을 준수해야 할 수 있습니다. 조직이 전세계에서 사업을 운영하는 경우, 운영 국가에 적용되는 정책 요건을 이행해야 합니다. 예를 들어 조직이 일본에서 사업을 운영하는 경우 개인정보보호에 관한 법률이 적용됩니다.

개인정보보호법은 개인 정보와 관련하여 개인을 보호하기 위해 존재합니다. 개인 정보를 어떻게 사용할 수 있고 어떻게 사용할 수 없는지도 규정합니다. 개인정보보호법이 규정하는 내용에 대해 자세히 알아볼게요.

개인 정보를 수집하고 처리해도 되는지 여부
데이터 처리 방법에 관해 제공해야 하는 정보와 해당 정보를 제공하는 방법
개인 정보에 액세스하고 이를 사용할 수 있는 자
개인 정보를 처리할 수 있는 방법
데이터를 보호하는 방법
데이터를 삭제 또는 수정하는 상황
데이터를 이송하거나 보유할 수 있는 자
개인 정보를 다른 국가로 이송할 수 있는 경우와 방법
보안 사고를 처리하는 방법
개인 정보에 관한 데이터 주체의 권리

전세계에는 두 가지 유형의 개인정보보호법이 있습니다. 종합적인 법률(모든 산업 및 부분에 적용) 및 부문별 법률(특정 산업 또는 부분에 적용)의 유형이죠. 미국에서는 과거부터 연방 정부가 부분별 접근방식을 채택해 왔습니다. 예로는 HIPAA(Health Insurance Portability and Accountability Act)가 있는데, 이 법은 개인의 건강 상태에 관한 데이터(개인 건강 정보 또는 PHI라고 함)를 보호하는 미국 의료 개인정보보호법입니다.

미국의 모든 주에서 통용되는 유일한 개인정보보호 법은 온라인 기업이 13세 미만 아동에 관한 데이터를 수집 및 사용할 수 있는 방법을 규정하는 COPPA(아동 온라인 개인정보보호법)입니다.

여러 주에서는 포괄적인 국가 개인정보보호법이 부재한 관계로, 다음과 같은 자체 개인정보보호법을 제정하기 위해 주도적으로 노력하고 있습니다.

캘리포니아 - 캘리포니아 개인정보보호법(CPRA)
버지니아 - 버지니아 소비자데이터보호법(VCDPA)
코네티컷 - 코네티컷 데이터개인정보보호법(CTDPA)
유타 - 유타 소비자 개인정보보호법(UCPA)
콜로라도 - 콜로라도 개인정보보호법(CPA)

상기에 나열된 주에서는 최근 자체 개인정보보호법이 통과되었거나 입법이 진행 중입니다. 다른 여러 주에서도 동일한 방안을 고려하고 있습니다. 이런 주에서는 자체적인 개인정보보호법을 제정하여 각기 다른 방법으로 주민을 보호합니다.

반대로, 유럽 연합(EU) 및 유럽 경제 구역(EEA)은 GDPR(일반 데이터 보호법)를 통해 보다 광범위하게 접근합니다. GDPR는 EU와 EEA의 개인정보보호법이며, 모든 컨트롤러 및 처리자에게 산업 또는 부문에 관계없이 적용됩니다. 하지만 유럽에는 정보통신 부문 같은 특정 부문에만 적용되는 법률도 있습니다.

그 외에 전세계적으로 일본, 호주, 중국, 캐나다, 브라질, 아르헨티나, 인도, 남아프리카공화국 등과 같은 나라는 자체적인 개인정보보호법을 시행하고 있거나 법 제정을 준비 중입니다. 각국마다 자체적인 법이 있을 수 있지만, 개인정보보호법의 토대가 되는 핵심 원칙은 전세계적으로 동일합니다.

공정성과 투명성
목적 제한
데이터 최소화
정확성
데이터 삭제 및 보관
보안
책임
개인의 권리
국제 전송
개인정보보호에 대한 영향 평가

다음 유닛에서 이러한 원칙에 대해서 자세히 알아봅니다.

고객 계약과 서비스 수준 협약

조직은 개인정보보호법을 준수함과 더불어 고객 계약 또는 서비스 수준 협약(SLA)에 개인정보보호에 관한 약속도 포함시킵니다. 이런 약속은 조직이 개인 정보를 사용할 수 있는 방법을 설명하며, 여기에는 해당 법률에 따라 요구되는 방법이 포함됩니다.

국제 개인정보보호 인증 및 표준

조직은 개인정보보호법 외에 광범위한 개인정보보호 요건을 규정하는 특정한 인증 및 표준도 준수해야 합니다. 이런 인증 및 표준은 산업마다 다르지만, 다음을 포함할 수 있습니다.

ISO/IEC(국제 표준화 기구 및 국제 전기 표준 회의) 27001/27018 - 정보 보안 관리 시스템에 대한 요구 사항과 PII 처리자 역할을 하는 공용 클라우드의 개인 식별 정보(PII) 보호에 대한 요구 사항 규정
SOC(Service Organization Control) 보고서 - 기업이 자사의 서비스 이행 프로세스 및 컨트롤에 대한 신뢰와 믿음을 강화하는 데 도움이 됨
TRUSTe 인증 - 이 인증을 받은 조직은 개인정보보호 책임에 관한 표준에 부합하는 방법으로 책임을 이행함을 입증할 수 있음
ISO/IEC(국제 표준화 기구 및 국제 전기 표준 회의) 27701: 개인 정보 관리를 위해 ISO/IEC 27001 및 ISO/IEC 27002 규정을 확장한 규정으로, 개인 정보 처리에 대한 지침을 제공하며 조직이 개인정보관리시스템(PIMS)을 수립, 구현, 유지 및 지속적으로 개선하도록 도움을 제공함

개인정보보호 정책

조직은 고객 개개인의 개인 정보를 수집할 때 고객에게 한 약속을 지켜야 합니다. 또한 조직은 조직의 공개 웹 사이트에 웹 사이트 사용자로부터 수집하는 데이터의 유형과 해당 데이터를 사용 및 공유하는 방법을 서술하는 개인정보보호 정책을 게시하고 관리해야 합니다. 이 개인정보보호 정책의 약속은 고객과 체결하는 계약과도 비슷해야 하죠. 직원 데이터를 수집, 사용, 공유 및 처리하는 방법을 설명하는 내부 개인정보보호 정책 및 직원 공지도 마찬가지입니다.

요약

개인정보보호의 개념 및 그에 관한 법률과 고객의 기대에 대해 자세히 알아보았습니다. 다음 유닛에서는 개인정보보호 원칙과 이 원칙을 응용하여 조직을 보호할 수 있는 방법에 대해 알아봅니다.