‘개인정보처리시스템’의 범위에 대해
출처: https://www.cpoforum.or.kr/bbs/board.php?bo_table=privacycolumn&wr_id=351
- 김정희 위메프 실장
최근 몇 년간 B2B 혹은 B2C 서비스 사업자를 대상으로 웹서버나 판매자 혹은 제휴사 시스템을 ‘개인정보처리시스템’으로 판단하고, 그에 준하는 보호조치를 적용해야 하는 것인지에 대한 논의가 지속되어 오고 있다.
‘개인정보처리시스템’에 대한 법령상의 규정을 보면, ‘개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템’이라고 정의하고 있다. 즉 데이터베이스에 데이터를 저장하고, 저장된 데이터를 관리하여 서비스에 필요한 정보를 생성해주는 시스템으로서 데이터를 조작할 수 있는 대상을 의미하는 것으로 이해된다. 정보통신망법 상의 개인정보 보호조치 범위가 개인정보보호법 의 특례조항으로 이동함에 따라 데이터의 범위가 이용자 정보에 국한되는 것이 아니라 임직원, 판매자 혹은 제휴사 등으로 확대된 것은 이미 인지하고 있는 사항이며 각 기업은 보호하여야 할 대상 데이터를 그에 맞게 적용 및 운영하고 있을 것이다.
다만 개인정보처리자로서 고민이 되는 사항은, “판매자 혹은 제휴사로 확대된 보호대상이 접근하는 모든 시스템을 ‘개인정보처리시스템’으로 판단하여 개인정보를 보호하기 위한 기술적 보호대책을 모두 적용하여야 하는 것인가?”라는 점이다. 개인정보처리자가 내부에서 ‘개인정보처리시스템’ 의 기술적 보호 대책 적용을 하기 위해서는 명확한 근거가 있어야만 경영진의 투자 및 유관부서 협업을 이끌어 낼 수 있기 때문이다. 또한, 논의가 필요한 시스템을 모두 ‘개인정보처리시스템’으로 판단하여 보호대책을 적용하기 위해 큰 비용을 투자하더라도, 서비스 특성에 따라 실질적인 조치가 불가능한 사항들도 다수 포함되어 있기 때문이다. 예를 들어 망분리 적용, IP통제, 접속시간 제한 등이 이에 해당될 수 있을 것이다.
- ‘개인정보처리시스템’에 대한 법원의 판례 (※ 출처 : 대법원 주요 판례)
웹서버가 ‘개인정보처리시스템’인지에 대해 논의되어 왔던 내용을 시기순으로 보면 아래와 같다.
NO | 판결문 | 판결내용 (웹서버에 대한 ‘개인정보처리시스템’ 판단 결과) |
|
1 | KT 사건 1심, 서울행정법원 2014구합15108 판결문 |
X | ‘개인정보처리시스템’으로 판단하지 않음 |
2 | 뽐뿌 사건 1심, 서울행정법원 2016구합77667 판결문 |
O | ‘개인정보처리시스템’으로 판단 |
3 | KT 사건 2심, 서울고등법원 2016 누 64533 판결문 |
X | ‘개인정보처리시스템’으로 판단하지 않음 |
4 | 뽐뿌 사건 2심, 서울고등법원 2018누45055 판결문 |
△ | ‘개인정보처리시스템’으로 판단하지 않더라 도 보호조치 대상으로 판단 |
5 | 이스트소프트 사건 1심, 서울행 정법원 2018구합65682 판결문 |
O | ‘개인정보처리시스템’으로 판단 |
6 | 이스트소프트 사건 2심, 서울고등법원 2019누43964 판결문 |
O | ‘개인정보처리시스템’으로 판단 |
7 | KT 사건 3심, 대법원 2018두 56404 판결문 |
O | ‘개인정보처리시스템’으로 판단 |
이와 같이 웹서버를 ‘개인정보처리시스템’으로 판단하는 것이 타당한지 지속적으로 논의가 되어온 배경에는 ‘개인정보처리시스템’으로 판단할 경우 개인정보처리자가 ‘개인정보처리시스템’에 조치해야 하는 보호조치의 범위가 상당하고, 보안사고가 발생하였을 경우 보호조치 의무를 다했다고 판단될 수 있는 것인지 등의 여러가지 이유가 존재한다.
이와 유사한 논의대상으로 최근 오픈마켓을 중심으로 판매자가 접속하는 시스템에 대한 보호조치 수준을 ‘개인정보처리시스템’ 수준으로 강화하도록 하는 의견이 나오고 있다. 논의의 시작은 판매자 계정에 대한 보호조치 강화(2차 인증 적용)를 통해 도용을 예방하여 궁극적으로 이용자의 개인정보 보호를 도모하기 위한 것으로 논의가 시작되었는데 현재는 추가적인 보호조치 적용을 위한 논의가 지속되고 있다.
위에서 언급한 바와 같이 웹서버나 판매자 시스템 등이 ‘개인정보처리시스템’에 “포함된다 vs 포함되지 않는다”의 논의가 지속되는 이유에 대해 개인정보처리자의 입장에서 조금 더 구체적으로 살펴보면, ‘개인정보처리시스템’은 개인정보보호 책임자나 개인정보취급자만 접근이 가능하도록 권한 부여를 하여야 하고, 권한내역을 일정기간 보관하여야 하며, 접속기록을 별도 저장매체에 백업하여 위·변조를 방지하여야 하고, 접근하는 자의 IP를 통제 하거나 침해사고 예방을 위한 각종 보안기능을 적용하여야 하는 등 기술적 보호조치 기준을 반영해야 하는 상황이 되기 때문이다.
더불어 웹서버나 판매자 시스템 관련 보안사고 발생 시 「개인정보의 기술적∙관리적 보호조치 기준」 제4조 제9항 “정보통신서비스 제공자 등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 ‘개인정보처리 시스템’ 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다”의 조치 수준에 대해서도 구체적인 가이드라인이 마련되지 않는다면 각 개인정보처리자들의 혼선과 논쟁은 지속될 것으로 보인다.
'법, 용어 > SI 법' 카테고리의 다른 글
사업 종료에 따른 검사 (0) | 2023.07.06 |
---|---|
개발자 1인 생산성 (0) | 2023.02.18 |
SI_SP인증등급별 SW프로세스 (0) | 2022.11.17 |
SI 법_소프트웨어 사업 유형 (0) | 2022.11.17 |
운영관리(SM) 사업 수행 시 검토할 법 (0) | 2022.05.25 |