보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
개인정보 유효기간제에 대한 이해
2015.09.14
20,246
1. 개인정보 유효기간제 도입 취지
개인정보 유출사고 발생 시 현재 정보통신서비스를 이용하고 있는 이용자의 개인정보 뿐만 아니라 장기간 미 이용자의 개인정보도 포함하고 있어 개인정보가 유출된 사실조차 인지하지 못하는 경우가 있습니다. 이에 정부는 장기간 서비스를 이용하지 않고 방치되는 개인정보로 인한 이용자의 피해를 방지하고 사업자의 불필요한 개인정보 보관을 최소화함으로써 개인정보의 오∙남용과 누출을 방지하기 위한 목적으로 “개인정보 유효기간제”를 2012년 법령으로 제정하였으며, 2015년 8월 18일부터 시행 예정입니다. (2014년 정보통신 망법 개정에 따라 유효기간 3년에서 1년으로 단축)
사업자는 1년간 서비스를 이용하지 않는 사용자의 개인정보를 파기하거나 별도로 안전하게 보관하도록 조치를 적용해야 합니다.
2. 개인정보 유효기간 법규정(시행일 : 2015. 8. 18)
1) 개인정보 유효기간(1년)
- 개인정보의 파기 또는 분리 저장〮 관리 조치를 취해야 하는 사유가 되는 서비스 미이용 기간은 별도의 예외 사유가 없다면 법령에 따라 1년입니다. 이와 관련해서 개인정보의 서비스 미이용 기간, 해당 기간 경과 후 조치사항 등 동 제도와 관련된 내용을 이용약관 등에 추가 ∙반영하고, 변경된 내용을 이용자에게 알리는 등의 조치가 필요합니다.
2) 개인정보 유효기간(1년)의 예외
- 다른 법령에서 별도의 기간을 정한 경우
통신비밀보호법, 전자상거래 등에서의 소비자보호에 관한 법률 등과 같이 개별 법령에서 개인정보의 보존기간을 별도로 정하거나, 국세기본법, 상법 등에서처럼 법령상의 책임이나 의무를 준수하기 위해 별도의 기간(소멸시효 등)을 명시한 경우가 이에 해당됩니다. 따라서 캐쉬백, 포인트, 마일리지 등의 제도를 운영하고 있는 정보통신서비스 제공자등도 상법상 상사채권 소멸시효(5년)에 따른 개인정보 유효기간을 별도로 적용할 수 있습니다.
- 이용자의 요청에 따라 기간을 달리 정한 경우
이용자의 요청이 있을 경우 예외적으로 1년 이외의 서비스 미이용 기간을 정할 수 있습니다.
3) 개인정보의 보존기간이 명시된 법령(예시)
근거법령 | 개인정보의 종류 | 보존기간 |
통신비밀보호법 (통신사실확이자료) | 로그기록자료, 접속지의 추적자료 | 3개월 |
전기통신일시, 전기통신개시 종료시간, 사용도수, 상대방 가입자번호, 발신기지국의 위치추적자료 | 12개월 | |
전자상거래등에서의 소비자보호에 관한 법률 (거래기록) | 소비자의 불만 또는 분쟁처리에 관한 기록 | 3년 |
계약 또는 청약철회 등에 관한 기록, 대금결제 및 재화 등의 공급에 관한 기록 | 5년 | |
전자금융거래법 (전자금융거래기록) | 건당 거래금액 1만원 이하 전자금융거래에 관한 기록, 전자지급수단 이용과 관련된 거래승인에 관한 기록 | 1년 |
전자금융거래 종류 및 금액,
상대방에 관한 정보, 지급인의 출금 동의에 관한 사항, 전자금융거래와 관련한 전자적 장치의 접속기록, 전자금융거래 신청 및 조건의 변경에 관한 사항, 건당 거래금액 1만원 초과 전자금융거래에 관한 기록 | 5년 | |
신용정보의 이용 및 보호에 관한 법률 | 신용정보 업무처리에 관한 기록 | 3년 |
의료법 (진료에 관한 기록) | 처방전 | 2년 |
진단서 등의 부본 | 3년 | |
환자 명부, 검사소견기록, 간호기록부, 방사선 사진 및 그 소견서, 조산기록부 | 5년 | |
국세기본법 | 국세 부과 제척기간 (조세시효) | 10년 |
국세징수권 및 국세환급금 소멸시효 | 5년 | |
상법 | 보험금액 청구권 소멸시효, 보험료/적립금 반환청구권 소멸시효 | 2년 |
상사채권 소멸시효, 배당금지급청구권 소멸시효 | 5년 | |
사채상환청구권 소멸시효 | 10년 | |
제조물책임법 | 손해배상청구권 소멸시효 | 3년/10년 |
4) 정보통신서비스 미이용 판단 기준
- 온라인 서비스의 경우
‘서비스 이용기록’, ‘접속 로그’ 등을 기준으로 서비스 이용여부를 판단 할 수 있으며, 이용자의 이해를 돕기 위해 이용약관 등을 통해 그 적용기준에 대해 명확히 알려주는 것이 바람직합니다.
- 온∙오프라인 연계 서비스의 경우
오프라인에서의 이용도 이용으로 볼 수 있으며, 고객센터 등을 통해 상담문의 등의 기록이 있는 경우에도 이용으로 볼 수 있습니다.
※ 정보통신서비스 제공자등이 광고 문자나 메일을 보낸 기록은 이용기록으로 볼 수 없고, 이용자가 광고 문자나 메일을 단순히 확인 하였다는 사실만으로는 ‘이용’으로 볼 수 없습니다.
5) 파기 및 분리 저장∙관리 방법
- 개인정보 파기 방법
개인정보는 복구∙재생할 수 없는 상태로 파기해야 하며, 종이에 출력된 개인정보는 분쇄하거나 소각하고, 컴퓨터 파일 형태로 저장된 개인정보는 재생할 수 없는 기술적 방법(로우레벨 포맷 등)으로 삭제해야 합니다.
- 분리 저장∙관리 방법
‘필요한 조치’로서 별도 분리 저장∙관리는 파기에 준하는 조치이므로 물리적으로 DB를 분리하여 저장하는 것이 바람직하나, 테이블 분리 등 논리적으로 분리하는 것도 가능합니다. 다만 일반 직원들의 접근을 제한하는 등 접근 권한을 최소화해야 합니다.
- 유효기간제의 취지는 1년동안 서비스를 이용하지 않는 이용자의 개인정보를 파기하거나 안전하게 별도 분리 보관하도록 하여 유출 위험 등으로부터 개인정보를 안전하게 보호하기 위한 것이므로, 이용자가 공개를 목적으로 인터넷 상에 게시한 콘텐츠까지 대상에 포함되지는 않습니다. 또한 콘텐츠 작성자 표시 정보와 함께 서비스에 이용 중인 DB에 보관하여 게시글 등이 최초 이용자가 의도한 대로 표시되도록 운영할 수 있습니다.
※ 분리 저장∙관리되는 개인정보는 재이용하거나 제 3자에게 제공할 수 없는 상태임을 전제로 하며, 이용자의 재이용 요청이 있는 경우와 법률에 특별한 규정이 있는 경우에는 예외로 합니다.
6) 고지 및 관리 의무
고지의무 | 관리의무 | |
시점 | ㆍ기간 만료 30일 이전 고지 | ㆍ기간(1년) 만료 시 필요한 조치 - 적용시점(2015.8.18)까지 조치 |
내용 | ㆍ개인정보의 파기 또는 분리 보관 사실 | ㆍ유효기간 만료에 따른 개인정보 파기 및 분리 보관 |
방법 | ㆍ전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법 | ㆍ파기 시 복구 또는 재생할 수 없는 상태로 파기 |
기타 | ㆍ연락처 부재/오류 등으로 통지 불가한
경우 | ㆍ조치 대상의 개인정보 범위 |
3. 사업자의 고려사항 및 대응 방안
개인정보의 보관을 최소화함으로써 개인정보에 대한 오∙남용 방지와 누출 시 피해 최소화를 위한 법적 조치이지만 서비스 제공자의 입장에서는 절대적인 회원수에 대한 감소로 마케팅적 측면이나 영업적인 측면에 부정적인 영향을 미칠것으로 보여지며, 이에 대한 사업적인 영향도 파악과 대응전략을 수립하여야 합니다.
또한 시행일인 2015.8.18일을 기준으로 이전 1년간 이용기록이 없는 이용자의 개인정보에 대한 파기 등 필요한 조치를 취하지 않으면 과태료 부과 대상이므로 유효기간 초과 시 파기를 위한 절차 및 기술적인 방안을 사전에 마련하여야 하며, 첫 시행시점 30일 이전에 유효기간제에 해당하는 사용자에 대한 고지가 필요합니다. 회원가입 시 약관 및 개인정보 취급방침에 대한 정리, 온/오프라인 회원의 이용실적 확인 기준, 제휴사 서비스 사용에 대한 영향 파악, 수탁사에 제공한 개인정보에 대한 조치 등에 개인정보와 연관된 모든 부분에 대한 대응방안을 마련해야 합니다.
우리나라의 정보보호는 보안의 차원을 넘어 법률적 이슈가 맞물려 있습니다. 법적 규제가 세밀하기 때문에 기업 입장에서는 법률적 리스크를 최소화하는 것이 무엇보다 중요합니다. 만약 개인정보 유출사고가 발생하면 민형사적으로도 개인정보보호 관련 법령을 준수했는지를 일차적으로 판단하기 때문입니다.
강화되고 있는 법령상 의무에 대하여 어떠한 법령을 적용받는지, 법령에서 요구하는 수준을 만족하는지에 대한 지속적인 점검이 필요합니다.
참고문헌
ㆍ정보통신망 이용촉진 및 정보보호 등에 관한 법률(법제처)
ㆍ정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(법제처)
ㆍ온라인 개인정보보호 정책 설명회 자료집(방송통신위원회/한국인터넷진흥원, 2015.02)
ㆍ개정 정보통신망법 개인정보 신규제도 안내서(방송통신위원회/한국인터넷진흥원, 2012.08)