유럽연합 GDPR (개인정보 보호법) (11)
교포신문사는 유럽 및 독일에 거주생활하시는 한인분들과 현지에 진출하여 경제활동을 하시는 한인 사업가들을 위해 지식재산 전문단체인 “유럽 한인 지식재산 전문가 협회” [KIPEU, Korean IP (Intellectual Property) Professionals in Europe, 회장 김병학 박사, kim.bhak@gmail.com] 의 지식재산 상식을 격주로 연재한다. 연재의 각 기사는 협회 회원들이 집필한다.
KIPEU는 지식재산 분야에서 한국과 유럽의 교류 및 협력 증진을 도모하는 것을 목적으로 하는 공익단체로서, 유럽내 IP로펌 또는 기업 IP 부서에서 활동하는 한인 변호사/변리사 등의 지식재산 전문가들로 구성된 협회이다.
(지난 호에서 이어집니다.)
3) 개인정보보호를 위한 TOM (Technical Organizational Measures)과 IT Security Guideline 작성하기
정보 보안의 목적은 해킹, 불법 열람, 삭제, 조작 등으로부터 정보를 보호하는 것이다. TOM은 개인정보 보안을 위한 기술적 조직적 조처를 담은 문서이다. TOM은 처음부터 완벽할 수는 없다. 그래서 TOM 작성은 우선 각 회사가 이미 사용하고 있는 기존의 기술적 조직적 보안조처를 정리하는 일에서부터 시작하면 좋다.
아래의 TOM 문서 예시를 참조하여 큰 틀을 만들고, 다음과 같은 구체적인 항목들을 점검하고 기록하기를 바란다:
사무실의 잠금 시스템 및 경보 시스템, 퇴근 후 민감한 문서 잠금(클린 데스크 정책), 안전한 비밀번호, 최신 바이러스 백신 프로그램 및 방화벽, 암호와 및 가명, 적합한 백업 및 복구 정책, 하드디스크 드라이브 폐기 정책 등, 이렇게 개인정보 보호를 위해 다양한 추가의 조처가 고려될 수 있는데, 어떤 추가 조처를 구현해야 하는지의 여부는 처리 대상인 개인정보의 민감도를 기준으로 해야 한다. 이를 위해서 아래의 샘플 IT 가이드라인에 개인정보의 민감성을 고려한 보호수준 도표를 예시로 작성해 보았다.
처음으로 GDPR 프로젝트를 추진하는 회사는 우선은 담당자가 이해할 수 있도록 기본 항목들을 포함한 간단한 문서를 만들고, 매년 보안 문서의 기록 수준을 높이고, 보안 정책을 고도화하는 작업을 진행하는 것이 좋다. 다른 기업의 방대한 표준 문서를 베껴서 이해하지 못하는 TOM 문서를 작성하게 되면 문서를 충분히 이해하지 못하기 때문에 적절한 업데이트를 할 수 없게 된다.
TOM 문서는 산업별로 다양한 표준 양식이 있을 수 있다. 새로운 기술적 조처를 도입할 때는 설치 회사의 도움을 받아서 TOM 문서를 증보해야 한다. TOM 문서를 처음 작성한 후에는 그 내용이 적절한 수준의 보호를 제공하는지 확인해야 하며, 이때 DPO 및 사내의 IT 전문가와 협력하여 그 보호 수준을 결정하는 것이 좋다.
IT 기술 발전 속도가 매우 빠르므로 TOM의 내용도 정기적으로 점검하는 것이 중요하다. 특히 민감정보(예: 건강정보)에 영향을 주는 새로운 시스템이 도입될 경우라면 TOM 문서에도 그 내용을 반영해야 한다. 이를 위해서 정기적인 TOM 점검 주기를 설정하는 것도 좋은 방법이다. 6개월이 될 수도 있고, 적어도 1년에 한 번은 업데이트하는 것이 좋다.
a. TOM 문서 예시
(TOM 문서는 상세할수록 좋으나, 이해하지 못할 방대한 문서가 되면 안 된다.)
* List of technical and organizational measures (Table Form Sample)
| Protection Classification | Technical measures | organizational measures |
| 1. Data protection management | security concept guideline | data protection team |
| 2. Incident Response Management | spam filter | incident response team |
| 3. Transfer control | encrypted connection | Protocol |
| 4. Separation control | authorization concept | purpose attributes |
| 5. Availability control | hard disk mirroring | backup recovery concept |
| 6. Access control | use of a firewall | password guidelines |
| 7. Access control | pseudonymization | authorized access |
| 8. Access control | use of security locks | visitor accompaniment |
…
b. IT 보안 가이드라인 문서 예시
(IT 보안 문서는 상세할수록 좋으나, 이해하지 못할 방대한 문서가 되면 안 된다.)
| 보호 수준 | 개인정보의 민감성 수준 |
| A | 자유롭게 접근 가능한 정보 |
| B | 오남용이 정보 주체를 위해 할 수는 없으나, 제3자에게는 이익이 되는 정보 |
| C | 오남용이 정보 주체의 사회적 경제적 평판을 위해 할 수 있는 정보 |
| D | 오남용이 정보 주체의 사회적 경제적 생존을 위해 할 수 있는 정보 |
| E | 오남용이 정보 주체의 생명 건강 자유를 위해 할 수 있는 정보 |
…
상기 개인정보 보호 수준 도표는 IT 보안 가이드라인 문서(=보안문서)의 도입부에 해당한다. 보안 문서는 회사의 규모에 따라서 100페이지가 넘을 수 있으나, 소규모 회사는 실제로 적용할 수 있는 소박한 문서로 시작해도 좋다. 안타깝게도 많은 회사가 아무런 보안 정책 문서를 가지고 있지 않은 것이 현실이다.
(다음 호에 계속)
저자: 조익제 변호사,
핵심분야: 지식재산권법, GDPR 개인정보 보호법,
부동산 프로젝트 및 한국 스타트업 자문,
거주지: 독일 프랑크푸르트,
소속: PLC 법률 사무소 파트너, 연락처: cho@plc-law.de 및
TNBT (The Next Big Thing) 법률 사무소 대표 변호사, 연락처: cho@tnbt-law.eu
1261호 16면, 2022년 4월 1일