사례분석/최신동향

1. 디지털 시대의 가장 강력한 자산이자 리스크, '개인정보'

모든 비즈니스가 디지털을 기반으로 전환되면서 기업이 수집하고 활용하는 '개인정보'의 가치는 그 어느 때보다 높아졌습니다. 빅데이터 분석과 맞춤형 서비스 제공을 위해 개인정보 활용은 필수적인 요소가 되었지만, 동시에 이를 안전하게 보호해야 할 법적 책임 역시 막중해졌습니다.

과거에는 개인정보 유출이라고 하면 대규모 해킹 사고만을 떠올렸으나, 최근에는 임직원의 사소한 실수, 업무상 오남용, 협력업체의 관리 소홀 등으로 인한 '개인정보 침해' 사례가 빈번하게 발생하고 있습니다. 우리나라는 세계적으로도 매우 엄격한 「개인정보 보호법」을 시행하고 있는 만큼, 사소한 법 위반으로도 기업의 생존을 흔들 수 있는 막대한 과징금과 형사 처벌, 브랜드 이미지 실추라는 치명적인 리스크를 맞이할 수 있습니다.

2. 흔히 발생하는 개인정보 침해 유형과 법적 판단

• 동의 범위를 넘어선 목적 외 이용 및 제3자 제공 개인정보 보호법의 가장 기본 원칙은 '수집 목적 내 활용'입니다. 고객에게 "이벤트 경품 발송"을 목적으로 이름과 연락처를 수집해놓고, 이 정보를 사내의 다른 마케팅 부서로 넘겨 광고성 전화를 돌리거나 제휴사에 제공했다면 이는 명백한 법 위반입니다. 개인정보를 수집할 때 고지하고 동의받은 범위를 단 조금이라도 벗어나 활용하려면, 반드시 별도의 추가 동의를 얻어야 합니다.

• 업무상 알게 된 개인정보의 사적 오남용 회사의 관리 시스템을 통해 고객이나 회원의 개인정보를 다루는 임직원이 개인적인 호기심이나 사적인 목적(예: 마음에 드는 고객에게 사적으로 연락, 지인의 부탁으로 타인의 정보 조회 등)으로 정보를 열람하거나 이용하는 행위입니다. 이는 개인정보 보호법 제59조에서 금지하는 '이용 권한을 초과한 개인정보 처리'에 해당하며, 당사자는 물론 관리·감독을 소홀히 한 법인(회사)까지 양벌규정에 의해 함께 처벌받을 수 있습니다.

• 안전성 확보조치 미비로 인한 유출 개인정보 보호법은 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화, 접근 통제 시스템 설치 등 기술적·관리적 및 물리적 조치를 하도록 의무화하고 있습니다. 만약 회사가 이러한 '안전성 확보조치'를 게을리하여 해킹이나 악성코드 감염으로 고객 정보가 유출되었다면, 고의가 없는 과실이라 하더라도 매출액의 일정 비율에 달하는 막대한 과징금(전체 매출액의 3% 이하)이 부과될 수 있습니다.

3. 개인정보 침해 발생 시 기업의 법적 의무와 대처

만약 예상치 못한 사고로 개인정보 유출 등 침해 사실을 알게 되었다면, 기업은 지체 없이(유출을 안 때로부터 72시간 이내) 다음의 조치를 취해야 합니다.

첫째, 유출된 정보의 항목, 유출된 시점과 경위, 피해 최소화 조치 방법, 이용자가 상담 등을 접수할 수 있는 부서 및 연락처 등을 정리하여 '정보주체(고객)'에게 통지해야 합니다. 둘째, 유출 규모가 일정 기준(1천 명 이상 등) 이상인 경우에는 개인정보보호위원회나 한국인터넷진흥원(KISA) 등 감독기관에 즉시 신고해야 합니다.

사고를 숨기거나 신고 및 통지를 지연할 경우, 유출 자체에 대한 책임 외에 별도의 과태료가 추가 부과되며 피해자들의 집단소송(손해배상 청구)으로 이어질 가능성이 매우 높아집니다.

4. 안전한 비즈니스를 위한 개인정보 보호 실천 전략

기업의 개인정보 침해 리스크를 원천적으로 차단하기 위해서는 철저한 시스템 구축과 인식 전환이 동반되어야 합니다.

• 최소 수집의 원칙 준수: 비즈니스 운영에 반드시 필요한 필수 정보만을 수집하고, 주민등록번호와 같은 고유식별정보나 민감정보는 법령에 명확한 근거가 없는 한 수집을 원칙적으로 금지해야 합니다.

• 주기적인 파기 프로세스 확립: 수집 목적이 달성되었거나 보유 기간이 지난 개인정보는 재생이 불가능한 방법으로 즉시 파기해야 합니다. '언젠가 쓰겠지'라며 방치해 둔 오래된 데이터가 유출 사고의 온상이 됩니다.

• 사내 임직원 및 수탁사 교육 강화: 대다수의 개인정보 침해는 내부 직원의 부주의나 개인정보를 위탁받은 협력업체의 관리 부실에서 시작됩니다. 내부 보안 규정을 정비하고 정기적인 보안 교육을 실시하여 "고객 정보는 함부로 다루면 안 되는 엄중한 법적 대상"이라는 문화를 사내에 정착시켜야 합니다.