Home > 전체기사

개인정보처리 업무 위탁시 위반, 주요 사례 어떤 게 있나

  |  입력 : 2018-05-18 09:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
법적 의무 사항 미포함, 위탁업무 공개와 수탁사 관리 미흡 등 자주 위반
업무 위탁시 목적외 처리 금지, 기술적·관리적 보호조치 등 7개 필수 의무 고지해야


[보안뉴스 김경애 기자] 기업에서 개인정보보호 위반으로 가장 많이 적발되는 사례 중 하나가 바로 개인정보처리 업무 위탁이다. 특히, 법적 의무사항을 계약서 상에 표기하지 않아 법을 위반하는 사례들이 종종 발견되기 때문이다. 뿐만 아니라 위탁업무와 수탁사를 공개하지 않거나 수탁사 관리 소홀로 적발되는 경우도 허다하다. 이에 본지는 개인정보보호 위반 사례 중 개인정보처리 업무 위탁 시 적발된 경우들을 살펴보고자 한다.

▲개인정보 업무위탁 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


1. 개인정보처리 업무위탁 시 법적 의무 사항 미포함①
A병원은 연매출 100여억 원, 상시 종업원 160여 명 규모의 종합병원으로, 수많은 환자들의 차질 없는 진료를 위해 홈페이지와 EMR(Electronic Medical Record, 전자 의무 기록) 시스템을 운용하고 있다. 그리고 환자들의 개인정보가 포함된 전산 정보 처리 시스템의 유지 보수를 위해 B업체와 개인정보처리 위·수탁 계약을 맺고 있다.

그런데 A병원은 B업체 간의 위·수탁 계약서에 기재해야 할 법정 필수 기재사항 중 개인정보의 처리 제한 항목을 누락한 상태로 계약서를 작성해 개인정보보호법 제26조 위반에 해당됐다. 개인정보처리 위·수탁 계약서의 경우 필수 법적 의무 사항 7가지(목적 외 처리 금지, 기술적·관리적 보호 조치, 목적·범위, 재위탁 제한, 접근제한 등 안전 조치, 관리·감독 사항, 손해 배상 등 책임에 관한 사항)를 빠짐없이 모두 반영해 작성해야 하며, 이 중 한 항목이라도 누락될 경우 개인정보보호법 제26조 위반에 해당된다.

이에 따라 A병원은 ①위탁 업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 ②개인정보의 기술적·관리적 보호 조치에 관한 사항 ③위탁 업무의 목적 및 범위 ④재위탁 제한에 관한 사항 ⑤개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 ⑥위탁 업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 ⑦수탁자가 준수하여야 할 의무를 위반할 경우의 손해 배상 등 개인정보처리 위·수탁 계약서를 작성할 때 필수 기재해야 할 법적 의무사항을 포함하도록 시정조치와 함께 과태료 1,000만 원 이하의 행정처분을 받았다.

2. 개인정보처리 업무위탁 시 법적 의무 사항 미포함 ②
A항공사는 국내 B항공사의 자회사로 국내 항공사 매출 기준으로 비교적 안정적인 순위를 유지하고 있다. 여느 항공사들과 비슷하게 A항공사는 고객들의 항공권 구매 서비스를 지원하기 위해 홈페이지와 고객 서비스 시스템을 운용하고 있다. 고객의 개인정보처리시스템의 전산·유지 보수 업무에 대해서는 C업체에 위탁 관리하고 있다.

▲개인정보 업무위탁 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


그런데 A항공사와 C업체 간의 위·수탁 계약서상 법정 기재 사항 중 기술적·관리적 보호조치와 손해배상 등 책임에 관한 사항을 제외한 5가지 항목이 모두 누락됐다. 이는 개인정보보호법 제26조제1항 위반에 해당된다. 이에 따라 A항공사는 위탁계약서 법적 의무 사항을 포함하도록 시정조치와 함께 1,000만 원 이하 과태료의 행정처분을 받았다.

3. 개인정보처리 업무 수탁사 및 위탁 업무 공개 미흡
국내 임대 및 건설 관련 업무를 하고 있는 B업체는 대표 홈페이지, 시설 관리 시스템, 분양 임대 관리 시스템의 유지보수를 위해 C, D, E 업체와 각각 개인정보처리 업무 위·수탁 계약을 맺고 있다. B업체는 이와 관련 대표 홈페이지에 ‘개인정보의 위탁 처리’라는 항목으로 고객의 개인정보를 외부에 위탁 처리하고 있음을 공개한 상태다.

▲개인정보 업무위탁 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


하지만 B업체는 개인정보처리 업무위탁에 있어 위탁 업무 내용과 수탁자를 공개하지 않았고, 개인정보의 처리 업무를 위탁하는 내용만 공개했다. 이는 개인정보보호법 제26조제2항 위반에 해당된다. 개인정보처리자는 위탁 업무 내용과 개인정보처리 업무를 위탁받아 처리하는 자를 정보주체가 언제든지 쉽게 확인할 수 있도록 인터넷 홈페이지에 위탁 업무 내용과 수탁자를 지속적으로 공개해야 한다. 이에 따라 B업체는 위탁 업무 공개에 과한 시정조치와 함께 1,000만 원 이하 과태료의 행정처분을 받았다.

4. 개인정보처리 업무 수탁자 관리감독 미흡
C리조트는 회원들의 개인정보를 관리하는 통합 정보관리 시스템과 함께 홈페이지를 통해 비회원들도 회원가입을 할 수 있는 홈페이지 시스템을 별도로 구축해 운용하고 있다. 그러나 C리조트가 통합 정보관리 시스템과 홈페이지 시스템을 제대로 운영할 수 있는 여력이 없어 이 둘을 각각 D, E업체에 위탁하는 형태로 유지·보수 계약을 맺었다.

▲개인정보 업무위탁 위반 사례[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]


그러나 C리조트는 개인정보처리 업무의 위·수탁 계약 체결 이후, 수탁사인 D, E업체에 대해
개인정보의 안전한 처리를 위한 정기적 교육을 실시하지 않는 등 관리·감독 및 교육의 책임을 위반했다.

개인정보보호법 제26조제4항에 따르면, 개인정보처리 업무를 위탁한 위탁자는 정보주체의 개인정보가 수탁자에 의해 분실·도난·유출·위조·변조 또는 훼손되지 않도록 수탁자를 교육하고, 처리 현황 점검 등 대통령령으로 정하는 바에 따라 수탁자가 위탁받은 업무상 개인정보를 안전하게 처리하는지 감독해야 한다.

이에 따라 C리조트는 개인정보처리 업무의 수탁자 관리 감독 관련 시정조치를 받았다.

한편, 올해 하반기 개인정보보호 정책방향을 설명하고, 상반기 개인정보보호 실태점검 결과에 따른 기업의 대응방안을 제시하는 자리가 마련될 예정이라 주목된다. 오는 5월 31일부터 6월 1일까지 행정안전부, 방송통신위원회, 개인정보보호위원회가 공동 주최하고, PIS FAIR 2018 조직위원회와 한국인터넷진흥원이 공동으로 주관하는 국내 최대의 개인정보보호 행사인 PIS FAIR 2018이 코엑스 그랜드볼룸에서 열린다.

이번 PIS FAIR 2018에서는 시행이 얼마 남지 않은 유럽 개인정보보호법(GDPR) 세션과 함께 개인정보보호와 관련된 이슈와 신기술들이 이틀에 걸쳐 세부적으로 소개될 전망이다. PIS FAIR 2018은 홈페이지를 통해 사전등록하면 무료 참관이 가능하다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)