안녕하세요. 개인정보보호 파트너 캐치시큐입니다.
최근, 캐치시큐에 개인정보 처리실태 모니터링과 관련한 컨설팅 문의가 많아지고 있습니다.
인터넷진흥원(KISA)에서는 매년 온라인 서비스들의 개인정보 처리 실태를 모니터링하고 개선을 권고하는데, 2022년에 이 활동이 더욱 확대되었기 때문이에요.
모니터링 결과 미흡한 부분이 발견되면, 개선 권고에 대한 공문과 함께 개선 계획서를 제출하라는 메일이 전달되는데요.
국가 기관으로부터 개인정보 처리 실태가 잘못되었으니 개선하라는 연락을 받게 되면 당장 과태료를 부과받는 것은 아닐지, 어떻게 대응해야 하는지 걱정이 많으실 거예요.
따라서 오늘은 개인정보 처리실태 모니터링에 대해 자세히 살펴보고, 모니터링 개선 권고 예방과 개선계획 방법에 대해 알아보겠습니다.
Check!
- 개인정보 처리실태 모니터링이란?
- 절차 및 점검 대상
- 모니터링 항목
- 주요 지적 영역
- 개선방안
- 마치며
1. 개인정보 처리실태 모니터링이란?
개인정보 처리실태 모니터링이란, 국민의 개인정보보호를 위해 한국인터넷진흥원 개인정보 탐지조사팀에서 매년 다수가 이용하는 정보통신 서비스에 대해 점검하는 활동을 일컫습니다.
2011년 9월 개인정보 보호법의 적용 대상이 공공기관을 넘어 민간 사업자까지 확대됨에 따라, 개인정보 관리가 취약한 분야 및 업종에 대한 점검의 필요성이 대두되어 시행되었어요.
모니터링을 통해 서비스의 개인정보 보호법 준수 여부를 사업자가 자체적으로 점검하고, 자율적으로 개선하여 개인정보보호의 인식 및 수준을 고취할 수 있도록 지원하고 있습니다.
점검 결과 미비한 점이 발견된 업체에는 아래와 같이 개선을 권고하고, 기한 내에 개선 계획서를 제출하도록 요청하는데요.
1. 개인정보 처리실태 점검 결과서 통지
점검 대상 서비스의 현황과 점검 개요, 개선 요구 항목 등이 포함되어 있습니다.
2. 개인정보 처리실태 개선 계획서(이행 결과서 및 소명서) 제출 요청
개선 요구 항목에 대한 이행 결과 및 소명서를 작성하여 개선 기한까지 제출하면 됩니다.
만약 제출 기한 내에 요청받은 자료를 제출하지 않거나, 개선하지 않으면 개인정보보호위원회의 현장 점검이 이어질 수 있어 주의해야 합니다.
2. 절차 및 점검 대상
어떤 절차를 통해 모니터링이 진행되는지 더 자세히 살펴보겠습니다.
2022년의 개인정보 처리실태 모니터링 절차는 2021년에 비해 간소화되었는데요.
기존에는 한국인터넷진흥원 측에서 대상을 선정한 후 실태점검서 제출 요청 절차를 진행한 후 원격 점검에 들어갔지만,
2022년부터 해당 절차를 없애 KISA 측에서 더 빠르게 원격 점검을 이행할 수 있게 되었습니다.
반면, 모니터링 점검 대상의 경우 2021년에 비해 구체화 되었는데요.
2022년 개인정보 처리실태 모니터링 점검대상
- 스마트폰 앱 기준 내국인 이용률 상위권 순으로 대상을 선정하여 점검
- 서비스 기준 : 1개 서비스 = Android App + iOS App
- 선정 기준 : 21년도 기준 연간 이용자 상위 순으로 대상 선정
※ 이용률 상위 순으로 점검하므로 다수 서비스 / 1개 사업자 기준 가능 - 대상 기준 : 국내·외 대상 + 공공분야 앱
2021년에는 개인정보 보호법을 기준으로 웹사이트, 안드로이드 애플리케이션 혹은 iOS 애플리케이션을 제공하는 서비스를 기준으로 점검이 진행되었습니다.
하지만, 2022년에는 안드로이드 및 iOS 애플리케이션을 제공하고 있는 업체로만 점검 대상이 좁혀졌습니다.
모든 애플리케이션 서비스가 아닌, 21년도 스마트폰 앱 기준 내국인 이용률 상위권 순으로 대상을 선정하여 점검을 진행하고 있습니다.
따라서, 안드로이드 및 iOS 애플리케이션 서비스를 제공하는 사업자분들은 꼭 참고하시는 게 좋겠습니다.
3. 모니터링 항목
점검을 진행하는 항목 또한 2021년에 비해 간소화되었습니다.
2021년 기준 개인정보 보호법 22개 조항 146개 항목에 대해 점검을 진행하였지만, 2022년 기준 개인정보 보호법 14개 조항 36개 항목으로 100여 개의 항목이 제외되었습니다.
2022년의 점검 항목의 경우, 아래와 같이 크게 4가지로 분류할 수 있는데요.
-
개인정보 수집에 관한 영역 10항목
-
개인정보 이용 및 제공에 관한 영역 16항목
-
개인정보 보호조치에 관한 영역 2항목
-
이용자의 권리에 관한 영역 8항목
출처 : KISA 한국인터넷진흥원
위 4가지 항목의 세부 점검항목(35개) 및 처벌 규정은 다음과 같습니다.
출처 : KISA 한국인터넷진흥원
4. 주요 지적 영역
그렇다면, 개선 필요 혹은 미흡에 대한 고지를 가장 많이 받은 영역은 무엇일까요?
개인정보 이용 및 제공(78.3%), 개인정보 수집(70.8%), 이용자의 권리(47.1%), 개인정보 보호조치(37.2%) 순으로 ‘미흡’ 및 ‘개선 필요’ 비율이 높게 나타났습니다.
-
1위 – 이용 및 제공 점검 결과 (개선 필요 70.0%, 미흡 8.3%)
- 개인정보의 국외 이전 (개선 필요 25.6%, 미흡 5.5%)
- 개인정보 처리방침 필수 고지 항목 – 수집항목 (개선 필요 11.1%, 미흡 13.8%)
- 개인정보 제3자 제공 (개선 필요 20.8%, 미흡 1.0%)
-
2위 – 개인정보 수집 분야 점검 결과 (개선 필요 35.5%, 미흡 35.3%)
- 직접 수집하는 개인정보 (개선필요 33.1%, 미흡 18.1%)
- 제3자로부터 제공받아 수집하는 개인정보 (미흡 39.8%)
-
3위 – 이용자의 권리 점검 결과 (개선 필요 46.9%, 미흡 0.2%)
- 만 14세 미만 서비스 이용 여부 (개선 필요 39.0%)
- 법정대리인 동의 절차(개선 필요 38.5%)
-
4위 – 개인정보 보호조치 점검 결과 (개선 필요 8.2%, 미흡 29.0%)
- 이용자 비밀번호 작성 규칙 (미흡 32.5%)
5. 개선방안
그렇다면, 개선을 권고받은 사항에 대해 어떻게 대응해야 할까요?
크게 네 개의 영역 중에서도, 개선 필요 및 미흡 비율이 가장 높게 나타난 항목은 ‘개인정보 제3자 제공, 개인정보 처리방침 필수 고지사항, 개인정보의 국외 이전’입니다.
이 세 가지 개선 권고사항에 대한 해결 방안에 대해 간략하게 짚어보겠습니다.
1) 개인정보 제3자 제공
1-1) 제3자로부터 개인정보를 제공받아 수집하는 경우
먼저, 제3자로부터 개인정보를 제공받아 수집하는 경우(SNS 계정연동 등) 개인정보 처리방침 내 제3자로부터 제공받는 개인정보에 관한 사항을 고지하여야 합니다.
예시)
- SNS(카카오톡, 네이버, 페이스북, 구글) 가입 시 : 로그인 정보 식별 값, SNS 프로필 사진, 필명, 휴대 전화번호, 이메일, 성별, 서비스 이용기록(방문일시, IP, 불량 이용 기록 등), 기기 정보 (기기 종류, OS 버전)
- Apple 가입 시 : Apple ID, 필명, 서비스 이용기록(방문일시, IP, 불량 이용 기록 등), 기기 정보 (기기 종류, OS 버전)
1-2) 개인정보를 제3자에게 제공하는 경우
반대로 개인정보를 제3자에게 제공하는 경우, 5가지 필수 고지 항목을 알리고 개인정보 수집·이용 동의와는 별도로 제3자 제공 동의를 받아야 합니다.
※ 필수 고지 항목 : ① 개인정보를 제공받는 자, ② 개인정보 이용 목적, ③ 제공하는 항목, ④ 개인정보 보유 및 이용 기간, ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
가장 중요한 것은, 이용자의 개인정보를 제3자에게 제공하는 화면에서 그에 맞는 ‘제3자 제공의 수집·이용’에 대한 동의 절차를 제공하여야 한다는 것입니다.
2) 개인정보 처리방침 필수 고지사항
다음으로, 개인정보 처리방침의 경우, 총 9가지의 필수 고지사항을 포함해야 합니다.
※ 필수 고지 항목 : ① 개인정보 처리 목적, ② 개인정보의 처리 및 보유 기간, ③ 개인정보의 제3자 제공에 관한 사항(해당하는 경우), ④ 개인정보의 파기 절차 및 파기 방법, ⑤ 개인정보처리의 위탁에 관한 사항(해당하는 경우), ⑥ 정보 주체와 법정대리인의 권리·의무 및 그 행사 방법에 관한 사항, ⑦ 개인정보 보호 책임자의 성명 또는 개인정보 보호 업무 관련 고충 사항을 처리하는 부서의 명칭과 전화번호 등 연락처, ⑧ 인터넷 접속정보 파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우), ⑨ 처리하는 개인정보의 항목
또한, 개인정보 처리방침의 내용 변경 시 변경 내용을 이용자가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공개하고 고지해야 합니다.
3) 개인정보의 국외 이전
마지막으로, 개인정보의 국외 이전 시 이용자의 동의 또는 국외 이전에 관한 사실을 알려야 합니다.
※ 필수 고지 항목 : ① 이전되는 개인정보 항목, ② 이전 국가, 이전일시 및 이전 방법, ③ 이전받는 자 성명, ④ 이전받는 자의 이용목적 및 보유·이용 기간
만일 AWS를 사용하시는 경우 개인정보 처리 위탁에 해당하며, AWS의 위치가 국외에 있는 경우 국외 이전에 관한 사실을 알려야 합니다.
6. 마치며
지금까지 KISA 개인정보 처리실태 모니터링과 대응 방안에 대해 알아보았습니다.
혹시, KISA로부터 비슷한 공문을 받으셨나요?
이행 결과 및 소명서 준비에 어려움을 겪고 계신가요?
저희 캐치시큐에서는 개인정보보호 전문 컨설턴트가 개인정보 처리실태 모니터링 점검 개선계획서 작성에 더불어 개선 사항까지 해결해 드리고 있습니다.
관련하여 궁금한 점이 있으시다면 무료 상담을 통해 개인정보보호 전문가와 상담을 받아보시기 바랍니다.
개인정보 처리실태 모니터링도, 캐치시큐와 함께 대비·대응하세요!
감사합니다.