💡목차
[1]. 개인정보의 개요
[2]. 개인정보보호의 중요성
[3]. 기업의 사회적 책임
[1]. 개인정보의 개요
1.1 개인정보의 정의
- 개인정보: 살아있는 개인에 관한 정보로 성명, 주민등록번호, 영상등을 통하여 알아볼 수 있는 정보
- 결합정보: 다른 정보와 쉽게 결합하여 특정 개인을 알아 볼 수 있는 경우, 입수 가능성 고려
| 개인정보인 것 | 개인정보가 아닌 것 |
| 개인식별정보, 결합정보, 가명정보, 제3자의 주관적 평가, 유족, CI | 사망했거나 실종선고, 법인, 사업자, 단체, 익명정보, 특정되지 않는 통계자료 |
- 개인정보 유형
| 구분 | 세부유형 | 내용 |
| 인적사항 | 일반정보 | 성명, 주민등록번호, 주소, 연락처, 생년월일, 출생지, 성별 등 |
| 인적사항 | 가족정보 | 가족관계 및 가족구성원 정보 등 |
| 신체적 정보 | 신체정보 | 얼굴, 홍채, 음성, 유전자 정보, 지문, 키, 몸무게 등 |
| 신체적 정보 | 의료·건강 정보 | 건강상태, 진료기록, 신체장애, 장애등급, 병력, 혈액형, IQ, 약물테스트 등 |
| 정신적 정보 | 기호·성향 정보 | 도서·비디오 등 대여기록, 잡지구독정보, 물품구매내역, 웹사이트 검색내역 등 |
| 정신적 정보 | 내면의 비밀 정보 | 사상, 신조, 종교, 가치관, 정당·노조 가입여부 및 활동내역 등 |
| 사회적 정보 | 교육정보 | 학력, 성적, 출석상황, 기술 자격증 및 전문 면허증 보유내역, 상벌기록, 생활기록부 등 |
| 사회적 정보 | 병역정보 | 병역여부, 군번 및 계급, 제대유형, 근무부대, 주특기 등 |
| 사회적 정보 | 근로정보 | 직장, 고용주, 근무처, 근로경력, 상벌기록, 직무평가기록 등 |
| 사회적 정보 | 법적정보 | 전과·범죄 기록, 재판 기록, 과태료 납부내역 등 |
| 재산적 정보 | 소득정보 | 봉급액, 보너스 및 수수료, 이자소득, 사업소득 등 |
| 재산적 정보 | 신용정보 | 대출 및 담보설정 내역, 신용카드번호, 통장계좌번호, 신용평가 정보 등 |
| 재산적 정보 | 부동산 정보 | 소유주택, 토지, 자동차, 기타 소유차량, 상점 및 건물 등 |
| 재산적 정보 | 기타 수익 정보 | 보험(건강, 생명 등), 가입현황, 휴가, 병가 등 |
| 기타 정보 | 통신정보 | E-mail 주소, 전화통화내역, 로그파일, 쿠키 등 |
| 기타 정보 | 위치정보 | GPS 및 휴대폰에 의한 개인의 위치정보 |
| 기타 정보 | 습관 및 취미정보 | 흡연여부, 음주량, 선호하는 스포츠 및 오락, 여가활동, 도박성향 등 |
- 정보 생성에 따른 분류
| 구분 | 설명 | 예시 |
| 제공 정보 | 이용자가 사업자에게 직접 제공한 정보 | 회원가입, 성명, 이메일, 본인확인 |
| 생성 정보 | 사업자가 서비스를 제공하는 과정에서 생성된 이용자의 정보 | 로그, 쿠키, 이용시간, 이용기록 |
1.2 프라이버시와 개인정보
- 프라이버시 ⊂ 개인정보 자기결정권
| 구분 | 프라이버시 | 개인정보 자기결정권 |
| 성격 | 소극적 권리 | 적극적 권리 |
| 목적 | 사생활의 비밀과 자유 보장 | 개인정보 보호 |
| 개념 | 사생활에 관한 이익을 총칭하는 개념으로, 개인이 성장하고 있는 조건에 자유로운 사생활의 비밀과 자유, 통신의 비밀 등을 포함 | 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리 |
| 헌법상 기본권으로 인정 O 헌법상 명시 X |
- 프라이버시 범주
| 구분 | 공간 프라이버시 | 개인 프라이버시 | 정보 프라이버시 |
| 개념 | 한 개인이 다른 개인의 환경에 침입하는 것에 대해 저항하는 것 | 개인의 신체적, 물리적 존재와 관련되는 것을 제한하는 것 | 컴퓨터 등 정보통신 기술에 의해 전자적 형태로 수집되는 것을 제한하는 것 |
| 사례 | 가정, 직장 등 CCTV 감시, ID 체크 침해 방지 | (신체) 유전자, 마약, 체력 검사로부터 제한(통신) 우편, 전화대화, 이메일 통신 보호 | 정보주체의 자기결정권 |
1.3 개인정보의 특성
- 자연인에 관한 정보이므로 사망했거나 실종된 경우 개인정보로 볼 수 없다.
- 가명정보, 결합정보도 개인정보에 해당한다.
- 형태의 제한이 없으며(수기O 전자O) 상식선에서 쉽게 입수되고 쉽게 결합될 수 있어야 한다.
| 가명정보 | 개인정보의 일부를 삭제하거나 대체하는 등의 방법으로 처리한 정보. 추가정보로 개인을 식별할 수 있는 정보 |
| 가명처리 | 개인정보를 일부 삭제 혹은 전부 대체 |
| 가명정보 처리 | 가명처리를 통해 생성된 가명정보를 이용, 제공하는 것 |
| 익명정보 | 더 이상 정보주체를 알아볼 수 없는 형태의 정보 다른정보와 결합하더라도 개인을 알아볼 수 없다 |
| 추가정보 | 가명정보를 복원할 수 있는 정보 ex) 매핑테이블, 알고리즘 |
| 결합정보 | 두 개 이상의 정보를 결합하여 특정 개인을 알아볼 수 있는 정보 |
| 입수가능성 | 결합에 필요한 정보에 합법적으로 접근하여 입수할 수 있어야 함 (해킹X, 불법X) |
| 결합가능성 | 현재 기술 수준을 고려하여 비용이나 노력이 비합리적이지 않아야 함 |
1.4 개인정보 가치산정
- 델파이 전문가 기법: 전문가들의 의견과 판단을 통해 가치 산정, 사회학적
- CVM 기법: 비시장 자원의 가치를 측정하기위해 사용되는 가치산정기법 (WTP, WTA), 경제적, 최댓값
- 손해배상액기법: 개인정보가 유출된 다양한 상황을 가정 후 상황별로 유출 가능한 개인정보 항목을 분석하여 손해배상액을 산출하고 이를 기반으로 개인정보의 가치를 산정하는 방법, 매트릭스화, 위험 전가 통제 구현 가능
- 소송가액기법: 개인정보 유출 관련 소송의 배상신청인수, 배상판결액등을 이용해 평균배상액으로 가치를 역산정
1.5 해외 개인정보보호 제도 소개
- 미국 vs 유럽
| 미국 | 유럽 | |
| 규제 방식 | 자율 규제, 옵트아웃, 규제 최소화 | 정부 규제, 옵트인, 엄격 규제 |
| 법률 | 일반법 존재 X | GDPR (일반개인정보보호법) |
| 특징 | - 자유로운 개인정보 이전 (규제는 전자상거래 발전을 위축시킨다고 봄) - 급변하는 현실에 유연하게 대응가능 - 전문기술 노하우 공유 어려움 - 기업 카르텔 형성되어 진입장벽 높음 - 강제력 결여로 참여 준수율 낮고 탈선 유혹 |
- 성문화된 법률로 명확히 규정 - 적극적 피해보상, 무거운 징계 - 역외국에게 일정수준 이상 보호체계를 갖추도록 요구 - 과다한 관리 비용 - 강제 참여로 자발적 윤리의식 저하 |
| 감독기구 | 독립감독기구 X (개별부처가 담당) | 독립 감독기구 O |
- 미국의 Safe Harbor
- 체결주체: EU집행위원회 - 미국상무부
- 미국 상무부에 safe harbor를 등록하고 협정을 준수할 경우 EU > 미국으로 정보이전 가능
- 세이프하버 7대 원칙
| 원칙 | 내용 |
| 고지 | 수집/이용목적/용도/제3자 유형/문의제기/권리행사 등에 대해 고지 |
| 선택 | 제3자 제공 여부, 목적 외 이용 여부를 옵트아웃(Opt-out) 방식 기본 제공 (단, 민감정보는 옵트인(Opt-in) 방식) |
| 제공 | 제3자에게 제공할 경우 당사자 고지하고 선택권 부여 |
| 접근 | 정보주체의 접근권 및 정정요구권 보장 |
| 안전성 | 개인정보의 손실, 오용, 권한 없는 접근, 변경, 파기로부터 보호하기 위한 합리적 예방조치 |
| 무결성 | 수집 목적에 부합하는 개인정보 이용정확성, 완전성, 최신성 확보 |
| 이행 | 원칙 준수를 담보할 구제수단/분쟁절차/제재수단 확보 필요 |
1.6 유럽연합(EU)의 GDPR
- EU내의 정보주체의 사생활을 보호하기 위한 규제로, EU 국가들을 아우르는 개인정보보호법
(Regulation 규칙 O, 법 O, Directive 지침 X)
- 기업의 책임성 강화 수단:
DPO 지정, DPIA, Data protection by design and by default, 처리활동의 기록, 기술적 관리보호조치
- GDPR이 적용되는 경우
1. EU내에 있는 사업장에서 개인정보를 처리하는 경우
2. EU외에 있는 사업장이라 할지라도, EU 거주자*에게 재화나 서비스를 제공하는 경우
3. EU외에 있는 사업장이라 할지라도, EU 거주자의 행동을 모니터링 하는 경우
- GDPR 용어
| 개인정보 | 식별되었거나 식별 가능한 자연인과 관련된 모든 정보 |
| 컨트롤러 | 개인정보 처리의 목적과 수단을 스스로 결정하는 주체 (개보법의 개인정보처리자와 유사) |
| 프로세서 | 컨트롤러를 대신하여 개인정보를 직접 처리하는 자연인, 법인, 정부부처 및 관련기관 등 (개보법의 수탁자 또는 제3자와 유사) |
| 수령인 | 제3자인지 여부와 관계없이 개인정보가 공개되는 자연인이나 법인, 공공기관 또는 기타단체 |
| 프로파일링 | 해당 개인의 특성을 평가하기 위하여 행해지는 모든 형태의 자동화된 개인정보 처리 |
- GDPR 데이터 보호 원칙
| 원칙 | 설명 |
| 합법성, 공정성, 투명성 | 데이터 처리는 데이터 주체에게 합법적이고 공정하며 투명하게 이루어져야 함 |
| 목적 제한 | 데이터를 수집할 때 데이터 주체에게 명시적으로 지정된 합법적 목적을 위해서만 사용해야 함 |
| 정확성 | 개인 데이터는 정확하고 최신 상태를 유지해야 함 |
| 저장 제한 | 지정된 목적에 필요한 기간 동안만 개인 데이터를 저장할 수 있음 |
| 무결성 및 기밀성 | 데이터 처리는 적절한 보안 조치를 통해 무결성과 기밀성을 보장하는 방식으로 이루어져야 함 |
| 책임성 | 데이터 관리자는 이러한 모든 원칙에 대해 GDPR 준수를 입증할 책임이 있음 |
- DPO 지정 의무 (외부 O)
1. 공공데이터를 처리하는 경우
2. 기업의 핵심활동으로 ‘대규모 정보 모니터링’을 하는 경우 혹은 ‘민감정보나 범죄정보를 대규모로 처리’하는 경우
+ 각 사업장에서 쉽게 접근 가능하다면 공동 DPO 지정 가능
+ DPO는 GDPR을 준수하지 않는데 개인적인 책임을 지지 않는다. GDPR 준수는 컨트롤러 혹은 프로세서의 책임이다.
+ 국적과 관련 X, 거주 지역과 관련 O
| 구분 | 내용 |
| DPO 업무 | GDPR 등 개인정보보호 법규 인식 제고 및 자문내부 정보보호 활동 관리, GDPR 모니터링 정보제공, 조언, 권고사항 제시, 영향평가에 대한 자문 및 평가 이행 감시 |
| DPO 의무지정 대상 | 공공기관 개인정보를 처리하는 자핵심활동이 정보주체에 대한 대규모 정기적이고 체계적인 모니터링 수행,핵심활동이 민감정보·범죄경력자료 처리 등 대규모 처리하는 경우 |
| DPO 자질 | GDPR 등 개인정보 관련 법률 이해, 개인정보처리 작업 이해, 정보기술 및 보안 이해, 기업 및 조직에 대한 지식, 조직 내 개인정보보호 문화 활성화 능력 |
| DPO 역할 | 개인정보보호 관련 문제에 직접/즉시 대응 및 조정시간, 재정적 자원, 인프라, 훈련 등 지원, GDPR 미준수에 따른 개인적 책임 없음, 독립성 보장 |
- 처리활동 의무적으로 기록
1. 피 고용인이 250명 이상인 경우
2. 피 고용인이 250명 미만이지만, 정보주체의 권리가 위험하거나 민감정보를 다루는 경우
3. 피 고용인이 250명 미만이지만, 범죄와 연관된 데이터를 다루는 경우
- 과징금
| 일반 위반사항 | 전세계 매출액의 2% 또는 1천만 유로 중 높은 금액 |
| 중대한 위반사항 | 전세계 매출액의 4% 또는 2천만 유로 중 높은 금액 |
- GDPR 역외이전
- EEA 내로 이전
- 해당 국가가 적정성 결정 받은 경우
- 해당 기업이 보호조치 받은 경우
- 예외에 해당하는 경우 (동의받음)
- 개인정보 국외이전 인증 절차
개인정보보호 인증기관 → 국외이전 전문위원회 → 정책 심의위원회 → 보호위원회 → 고시
- 개인정보 보호 마크제도
| 국가 | 인증명 | 주관기관 | 특징 |
| 미국 | BBBOnline 마크제도 | 미국 경영개선협회 | 개인정보방침 심사유형: Reliability, Privacy 유효기간 1년 |
| 일본 | 프라이버시 마크제도 (Privacy Mark) | 일본정보처리개발협회 (JIPDEC) | 개인정보보호 체계 심사서류심사 중심, 현장심사 최소화 유효기간 2년 (사후관리 없음) |
- 개인 정보 보호 관리체계 인증 제도
| 구분 | 국가 | 인증명 | 주관기관 | 특징 |
| 국내 | 한국 | ISMS-P (정보보호 및 개인정보보호 관리체계 인증) | 과학기술정보통신부, 개인정보보호위원회 | 정보보호 + 개인정보보호 통합 인증적용 대상: 개인정보 흐름 및 정보보호 영역 |
| 국제 | ISO | ISO 27001 | ISO/IEC | 정보보호 관리체계(ISMS) 국제 표준 인증 |
| 영국 | 영국 | BS 10012 | BSI Group | 개인정보보호 관리체계(PIMS) 인증 |
[2]. 개인정보보호의 중요성
2.1 개인정보 침해 유형
| 구분 | 유형 |
| 수집 | 부적절한 수집, 동의없는 수집, 불필요한 수집, 주민등록번호 수집, 민감 개인정보 수집 |
| 저장 | 기술적 조치 미비, 관리적 조치 미비, DB 관리 소홀, 부주의로 인한 노출, 물리적 조치(취약점) |
| 이용·제공 | 목적 외 이용, 동의없는 제3자 제공, 개인정보 매매, 동의 철회 및 회원 탈퇴 요구 불응 |
| 파기 | 정당한 이유 없는 개인정보 미파기 및 보유 |
2.2 개인정보보호의 필요성(사회적 영향)
| CSR (기업의 사회적 책임) |
기업의 리스크를 줄이고, 기회를 포착하여 중장기적 기업가치를 제고할 수 있다. 단, 개인정보 활용을 위한 이익 창출 기업은 CSR 강조시 비판 가능성 |
| ESG | 기업가치를 평가함에 있어 투자자가 전통적인 재무적 요소 + 비재무적 요소(환경 E, 사회 S, 지배구조 G)를 고려하는 것 |
[3]. 기업의 사회적 책임
3.1 CPO, 개인정보보호 책임자
- CPO: 각 기관의 개인정보보호 업무를 총괄하는 개인정보보호책임자
- 개인정보 보호책임자 지정
| 구분 | 내용 |
| 공공기관 |
- 중앙기관(국회·법원·헌재·선관위·중앙행정기관) → 고위공무원단 또는 이에 상당하는 공무원 - 외교기관 → 3급 이상 공무원 - 일반 국가기관 → 고위공무원 또는 3급 이상 공무원 - 기타 국가기관 → 4급 이상 공무원 - 시·도 및 교육청 → 3급 이상 공무원 - 시·군·자치구 → 4급 이상 공무원 - 학교 → 행정사무 총괄자 - 기타 공공기관 → 개인정보 담당 부서장 (2명 이상 시 기관장이 지정) |
| 민간 | 사업주 또는 대표자임원 (임원이 없는 경우 개인정보 담당 부서장) |
| 예외 (소상공인) |
사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 간주 |
- 전문성 있는 CPO 지정 (개인정보보호 경력 2년 포함 총 4년)
- 직전 사업연도 매출액 1,500억원 이상이면서 5만명 이상 고유식별정보/민감정보를 처리하는 개인정보처리자
- 직전 사업연도 매출액 1,500억원 이상이면서 100만명 이상 개인정보를 처리하는 개인정보처리자
- 재학생 2만명 이상 대학(대학원 재학생 포함)
- 대규모 민감정보(건강정보)를 처리하는 상급종합병원
- 보호위원회가 고시하는 기준을 충족하는 공공시스템 운영기관
- 「신용정보법」에 따른 신용정보 관리·보호인을 지정하였을 경우 별도의 개인정보 보호책임자를 지정하지 않고 신용
정보 관리·보호인이 개인정보 보호책임자를 대체할 수 있다.
3.2 국내대리인
- 목적: 해외 사업자가 국내 이용자의 개인정보를 처리할 때, 국내에 있는 대리인을 통해 개인정보 보호책임(CPO) 관련 업무 수행
- 감독기관: 방송통신위원회
- 지정 의무: 사업자 본사는 해외에 있음 + 국내에 영업 주소 없음 + 전년도 매출 1조원 이상 또는 일일 평균 이용자 100 만명 이상
- 조건: 반드시 한국에 주소
- 역할: 해외 사업자를 대신해서 개인정보 관련 업무 대응 (사고 대응, 민원 처리 등)
3.3 개인정보 조직의 역할
| 개인정보 보호책임자 (CPO) | 개인정보 처리 전반을 총괄 책임 |
| 개인정보 보호담당(부서) | CPO 지휘·감독 하에 정책 수립, 점검, 교육, 내부통제 수행 |
| 개인정보취급부서 | 실제 업무 수행 부서 (영업, 고객지원, IT 등) |
| 개인정보취급자 | 개인정보를 직접 처리하는 실무자 |
- CISO vs CPO
| 구분 | CISO | CPO |
| 의미 | 정보보호 최고책임자 | 개인정보 보호책임자 |
| 대상 | 모든 정보자산 (시스템, 네트워크, 데이터 등) | 개인정보 |
| 역할 | 해킹, 침해 대응, 보안 아키텍처 구축 | 개인정보 수집·이용·제공 관리, 법 준수 |
'보안 > 개인정보보호법' 카테고리의 다른 글
| [CPPG Part3] 개인정보의 라이프사이클 (1) | 2026.04.28 |
|---|---|
| [CPPG Part2] 개인정보보호 제도 (2) | 2026.04.26 |
| [CPPG] CPPG 헷갈리는 선지 정리 (0) | 2026.04.24 |