세상 모든 보안 이야기

보안 백과사전

좌우로 움직여보세요

개인정보

개인정보처리자

포스팅 뷰316

개인정보처리자의 정의

개인정보처리자는 "업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등"을 말한다. 여기에서 핵심적인 부분은 "업무를 목적"으로 개인정보를 처리한다는 점이다. 같은 전화전호를 휴대전화에 저장한다 하더라도 개인적 연락을 위해 저장하는 전화번호는 개인정보보호법의 적용을 받는 개인정보가 아니다.


개인정보처리자에서 가장 많은 부분을 차지하는 것은 민간기업과 공공기관이고, 개인정보 차리에 관심을 많이 기울이는 것 역시 이들이므로, 개인정보처리자라고 하면 기업과 공공기관을 생각하면 이해하기 쉽다. 단체와 개인은 개인정보처리자이긴 하지만 일부 처리하는 개인정보 규모나 이용 목적이 제한되어 있어서 일부 조문은 적용하지 않는다.


또한 개인정보보호법은 기본적으로 개인정보처리자와 그의 지휘·감독을 받아 개인정보를 처리하는 개인정보취급자가 준수하여야 할 법적 의무를 규정한 법률이다.


개인정보처리자가 개인정보보호법을 준수하려면?

개인정보보호 관련 법규를 준수하기 위해서는 먼저 사업자가 준수하여야 할 관련 법규를 알아야 하므로, 각 사업자가 정보통신서비스 제공자, 전자금융업자, 전자상거래, 개인정보처리자, 개인정보 처리업무 수탁자 등 법적으로 어디에 속하는지 판단하여야 한다.


개인정보처리자가 개인정보보호법을 준수하려면 법령(법률과 시행령)뿐 아니라 고시, 법령 및 고시에 관한 해설서, 법규를 준수하는데 필요한 안내서 등을 두루 살펴봐야 한다. 대표적인 개인정보보호 관련 고시는 다음과 같다.


  • 표준 개인정보보호 지침: 개인정보보호법 제12조(개인정보보호지침) 제1항에 근거해 개인정보의 처리 기준, 개인정보 보호를 위한 예방 및 침해 사고 발생 시 대응 방안, 정보주체의 권리 보장, 영상정보처리기기에 관한 기준 등을 세부적으로 작성한 개인정보보호위원회 고시. 개인정보보호 담당자라면 '바이블'처럼 열심히 읽어야 할 문서다.

  • 개인정보의 기술적·관리적 보호조치 기준: 개인정보보호법 제29조(안전조치 의무) 및 시행령 제48조의2(개인정보의 안전성 확보 조치에 관한 특례)에 근거하여 정보통신서비스 제공자 등이 개인정보를 안전하게 관리하기 위한 세부적인 내용을 규정한 개인정보보호위원회 고시. 개인정보 보호 수준을 점검할 때 기본적인 점검 항목으로 활용한다.

  • 개인정보의 안전성 확보조치 기준: 개인정보보호법 제29조(안전조치 의무) 및 시행령 제30조(개인정보의 안전성 확보 조치)에 근거하여 개인정보처리자가 개인정보를 안전하게 관리하기 위한 세부적인 내용을 규정한 개인정보보호위원회 고시. 개인정보 보호 수준을 점검할 때 기본적인 점검 항목으로 활용한다. 개인정보처리자 유형에 따라 준수하여야 할 규정이 다르므로, 먼저 사업자가 유형1(완화), 유형2(표준), 유형3(강화)의 세 유형 중 어디에 속하는지 판단하여야 한다.


(참고) 2021년 9월 말에 국회에 제출된 개인정보보호법 개정안이 통과되면 개인정보보호법에서 '정보통신서비스 제공자 등'에 관한 규정이 모두 없어지므로 이후 개인정보 안전조치에 관한 두 고시 역시 통합될 것으로 보인다.