2016년에 챙겨봐야 할 개인정보보호 법령 5가지

2016년에 챙겨봐야 할 개인정보보호 법령 5가지 AhnLab 관리컨설팅팀 이장우 이사 2016-03-07     우리나라 법 중에서 개정 이력이 가장 많은 법은 아마도 ‘정보통신망법 이용촉진 및 정보보호 등에 관한 법(이하 정통망법)’이 아닐까 싶다. 2015년 한해 동안에도 5차례나 개정이 이루어졌다. 개인정보에 관한 일반법인 ‘개인정보보호법’ 또한 2015년에 한 차례 개정되었다. 개정 즉시 효력이 발생하는 고시와 달리, 법률과 시행령은 조항에 따라 시행 시기가 공포 시기와 다를 수 있다.   이 글에서는 올해 시행되는 개인정보보호 관련 법령의 중요한 개정 사항 중 5가지를 살펴본다.   1. 매출 1,500억원 이상 기업은 주목! - 2016년부터 ISMS 인증 의무 대상 확대   정보보호 관리체계(Information Security Management System, ISMS) 인증은 ‘정통망법 제47조'에 따라 일정 기준에 부합되는 기업이 의무적으로 취득해야만 하는 인증이다. 기존에는 의무 대상을 정보통신 서비스 관련 업종으로 한정하였고, 인증 취득 의무 위반 시 처벌은 1,000만원 이하의 과태료가 전부였다. 그러나 2016년 6월 2일부터 시행되는 개정 정통망법은 ISMS 인증 의무 대상을 온•오프라인 사업 구분 없이 매출 1,500억원 이상인 모든 기업으로 확대했을 뿐만 아니라 과태료 금액도 최대 3,000만원으로 상향 조정되었다. 중요한 점은, ‘우리는 인터넷 홈페이지도 없고 IT 서비스 사업을 하는 것이 아니다’라고 해도 ISMS 인증 및 과태료 면제 대상이 되지 않는다는 것이다. 전년도 매출액이 1,500억원 이상이면 기본적으로 의무 대상에 해당된다. 다만, 일일 평균 이용자수가 1만명 미만인 경우에는 예외가 될 수 있다. 그러나 금융 및 의료 업종은 이 예외 대상에 해당되지 않는다.  금융 및 의료업은 홈페이지 이용자 수와 상관없이 ISMS 인증 의무 대상이다.   [표 1] 정통망법 ISMS 인증 주요 사항   2. PIMS와 PIPL이 하나로! - 개인정보보호 관리체계 인증 통합   PIMS(Personal Information Management System) 인증은 정책 기관인 방송통신위원회가 정통망법을 중심으로 심사하며, PIPL(Personal Information Protection Level) 인증은 행정자치부가 정책기관으로 개인정보보호법을 기준으로 심사한다는 차이가 있을 뿐 내용은 거의 같아서 따로 유지할 필요가 없다는 의견이 적지 않았다. 결국 지난 2015년 12월 31일 ‘개인정보보호 관리체계 인증 등에 대한 고시’ 개정안을 통해 이들 두 인증이 하나로 통합되었다. 통합된 인증 기준은 2017년부터 적용되지만 2016년 1년 동안 기존 PIMS 인증(124개 통제 항목)이나 PIPL(65개 심사 항목)로도 인증 신청이 가능하며, 통합된 기준(86개 통제 항목)으로 신청할 수도 있다. PIMS 인증은 취득 후 3년간 유지가 되기 때문에 2016년에 새로 취득하려는 기업이라면 통합 기준으로 인증을 받는 것이 바람직하리라 본다.   [표 2] 개인정보보호 관리체계 인증 통합 주요 사항   3. 1년간 접속하지 않은 이용자 정보는 파기하세요! - 유효기간제 적용 강화   정통망법 제29조2항은 “정보통신서비스의 이용자가 일정한 기간(대통령이 정한 기간)동안 이용하지 않을 경우 이용자의 개인정보를 파기 또는 분리 보관”하도록 규정하고 있었다.  ‘이용자가 이용하지 않는 기간’이란, 회원제 서비스인 경우 통상적으로 사용자의 마지막 로그아웃 이후 경과된 시간을 의미한다. 단, 서비스에 로그인하지 않더라도 콜센터 상담 등 어떤 방식으로든 접촉한 정황이 있으면 서비스를 이용한 것으로 본다. 이전까지는 정통망법 시행령 제16조를 통해 이 기간을 1년으로 규정했다. 그러나 지난 2015년 12월 1일 개정된 정통망법 개정안에서는 ‘1년’이란 기간을 시행령이 아닌 법률 제29조 제2항안에 명시하였고, 기간 만료 30일 전까지 파기 사실에 대하여 정보주체에게 통보하도록 제29조 제3항을 신설했다.   [표 3] 정통망법 개인정보 유효기간제 주요 내용   4. 손해배상 책임은 최대 300만원, 피해액의 3배까지! - 손해배상 제도 강화   개인정보 유출 사고가 발생하면 개인이 입은 피해를 산정할 구체적인 기준이 없고, 따라서 적절한 손해배상 규모를 정하는 데도 어려움이 있었다. 2016년 7월 15일부터 시행되는 개인정보보호법 개정안에서는 이에 대해 최대 300만원의 법정손해배상 금액과 피해액의 3배 이내 범위에서 손해배상액을 정할 수 있도록 제39조2항과 제39조의2가 신설되었다. “이 경우 정보처리자는 고의나 과실이 없음을 입증하지 않으면 책임을 면할 수 없다”고 명시되어 있다. 정보처리자 입장에서 눈 여겨 보아야 할 또 다른 사항은 기존 법률 제39조2항 ‘개인정보처리자가 이 법에 따른 의무를 준수하고 상당한 주의와 감독을 게을리하지 아니한 경우에는 개인정보의 분실·도난·유출·변조 또는 훼손으로 인한 손해배상책임을 감경받을 수 있다’는 내용이 개정 법률에서 삭제되었다는 사실이다. 대량의 개인정보 유출 사고가 발생했음에도 불구하고 법에 따른 의무를 준수하고 있었기 때문에 손해배상청구 소송에서 기업이 승소했던 이전 사례들과 달리, 이제 단순히 법적 의무를 준수했다는 것만으로 감경받을 수 있는 근거가 사라져 버린 것으로 보이는 만큼, 기업에서는 좀 더 긴장할 필요가 있겠다.   [표 4] 개인정보 유출 시 손해배상 제도 주요 사항   5. 2016년부터 내부 시스템 내 주민등록번호도 암호화 조치 필수!   개인정보 중 ‘고유식별정보’란 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를 뜻한다. 고유식별정보는 수집•이용 동의를 받을 때도 다른 개인정보와 별도로 처리해야 하며, 개인정보처리시스템이나 업무용 PC에 저장할 때 반드시 암호화하도록 규정되어 있다. 다만 이전까지는 외부에서 접속이 되지 않는 내부 시스템(예: 인사관리시스템이나 그룹웨어)은 ‘위험도분석’이란 절차를 통해 결함이 전혀 없는 경우 고유식별정보 암호화를 하지 않는 것이 허용되었다. 그러나 2015년 7월 24일 개인정보보호법이 개정되면서 주민등록번호는 무조건 암호화를 적용해야 하는 것으로 변경되었다. 이 개정 조항의 시행 시기는 2016년 1월 1일이며, 개인정보보호법 시행령 제21조의2에 따라 100만명 미만의 주민등록번호를 보관하는 경우에는 2016년 12월 31일까지, 100만명 이상인 경우엔 2017년 12월 31일까지 주민등록번호 암호화 조치를 끝내야만 한다. 주민등록번호 암호화 조치 미이행 시 과태료 3천만원 이하의 처벌을 받지만, 보호조치가 미흡한 상태에서 고의 또는 과실로 인해 주민등록번호 유출 사고가 발생할 경우 최대 5억원까지 과징금이 부과될 수 있으니 각별한 주의가 필요하겠다.   [표 5] 주민등록번호 암호화 조치 관련 주요 사항