IP 전문가 협회 KIPEU의 지식재산 상식 (54)

유럽연합 GDPR (개인정보 보호법) (12)

교포신문사는 유럽 및 독일에 거주, 생활하시는 한인분들과 현지에 진출하여 경제활동을 하시는 한인 사업가들을 위해 지식재산 전문단체인 “유럽 한인 지식재산 전문가 협회” [KIPEU, Korean IP (Intellectual Property) Professionals in Europe, 회장 김병학 박사, kim.bhak@gmail.com] 의 지식재산 상식을 격주로 연재한다. 연재의 각 기사는 협회 회원들이 집필한다.

KIPEU는 지식재산 분야에서 한국과 유럽의 교류 및 협력 증진을 도모하는 것을 목적으로 하는 공익단체로서, 유럽내 IP로펌 또는 기업 IP 부서에서 활동하는 한인 변호사/변리사 등의 지식재산 전문가들로 구성된 협회이다.

(지난 호에서 이어집니다.)

4) 개인정보 사고에 대응하기

개인정보 사고란 무엇인가? 개인정보가 회사의 실수로 소실 또는 손상되거나, 권한이 없는 제삼자가 정보를 열람, 삭제, 변경할 때 정보 사고가 있다고 한다. 이러한 정보사고의 전형적인 상황은 다음과 같다:

1. 해커 공격 2. 악성코드 및 피싱 3. 직원 또는 제삼자의 접근권 남용 4. 회사 기기의 도난 또는 분실 사고 (스마트폰, 노트북, 외장 하드, USB 등) 5. 종이 문서의 도난 또는 분실 6. 잘못된 수신자에게 우편 또는 이메일을 보내는 경우.

지난해 독일의 어느 병원에서 A 씨의 엑스레이 사진을 B 씨의 주소로 여러 차례 잘못 보내는 사고가 있었다. B 씨가 우편사고를 여러 차례 신고했는데도 불구하고 병원 측의 대응이 미진하였고, 같은 일이 반복되었기 때문에 신고하게 되었다.

이 사건은 정보사고 자체도 문제이지만, 해당 병원에 정보사고를 대처하는 매뉴얼이 없어서 더 큰 손해를 자초한 경우이다. 정보사고 발생 이후라도 병원이 B 씨의 신고에 감사하고 신속하게 추가의 조처를 했다면 신고를 막고 높은 벌금 등 추가의 손해를 차단할 수 있었을 것이다.

회사의 DPO (Data Protection Officer, 정보보호 책임자)는 처음부터 미리 작성해둔 “정보사고 평가 및 신고 결정 프로세스” (=정보사고 대응 프로세스)에 따라서 대응한다.

1. 정보 사고가 발생했는가? 사고 직원은 DPO 또는 정보보호 담당자에게 연락해야 한다.

2. DPO는 정보사고 대응 프로세스에 따라서 정보사고의 상세를 기록하고, 주무관청에 신고 여부를 결정하는 정보사고 평가 프로세서를 수행해야 한다. 개인정보 침해 정도가 작은 경우는 주무관청에 보고할 필요는 없지만, 정보주체에게 큰 위험이 발생했다면 반드시 72시간 이내에 신고해야 한다. 신고하지 않아도 된다고 판단하는 경우라도 회사가 위험을 작게 평가하게 된 이유에 대하여 자세히 기록해야 한다.

3. 예를 들어서 회사는 다음과 같은 기준으로 정보사고의 위험성을 평가한다.

이 기준은 간략한 예시에 불과하다. 실제로는 더 많은 정황을 함께 살펴야 한다.

(1) 개인정보의 규모: 한 사람의 정보가 유출된 경우와 일만 명의 정보가 유출된 경우는 그 사고의 경중이 다르다.

(2) 암호화 여부: 암호화가 된 기기를 분실한 것과 비밀번호조차도 없는 기기를 분실한 것은 그 위험의 정도가 다르다.

(3) 원격삭제 가능 여부: 분실된 기기의 개인정보를 원격으로 삭제할 수 있으면 위험이 줄어든다.

(4) 생체정보 등 민감정보 포함 여부: 민감정보는 더 높은 수준의 보호를 받는다.

4. 정보사고 평가 기준에 따라서 회사는 위험 여부를 평가하고 신고 여부를 결정한다.

(1) 위험이 작으면 정보보호 주무당국에 신고할 필요가 없다.

(2) 위험이 크면 정보사고를 감추지 말고 정보보호 주무당국에 신고하는 것이 좋다. 이때 피해자인 정보주체에게도 함께 서면 통지해야 한다.

5. (연습문제) 다음의 정보사고를 스스로 판단해보라. 신고해야 하는가?

(1) 홍길동 과장은 고객 데이터가 포함된 암호화된 휴대폰을 분실하였다. 회사는 원격 접속을 통해 휴대폰에서 모든 데이터를 즉시 삭제하였다.

(정답) 암호 해독이 거의 불가능하고 데이터가 장치에서 이미 제거되었으므로 개인정보 유출의 위험이 작다. 따라서 사고기록만 하고 당국에 신고할 필요는 없다.

(2) 의사 허준은 환자 질병 정보가 포함된 암호화 없는 USB 스틱을 분실하였다.

(정답) 암호화가 없어서 개인정보 유출 가능성이 매우 크고, 특히 건강정보는 민감정보이기 때문에 더욱 엄격한 보호가 필요하다. 따라서 이 경우에는 위험이 크다고 판단하고, 정보보호 주무당국 및 피해자 환자 모두에게 정보사고가 있었음을 신고해야 한다.

6. 결론:

(1) 정보사고를 대비한 사고 대응 프로세서를 미리 수립하라.

(2) 주무당국 신고가 필요한지를 판단할 사고위험 평가 프로세서를 수립하고 수행하라.

(3) 정보사고가 소문이 나면 부정적인 영향 (벌금, 평판 상실)을 초래할 수 있다. 따라서 정보사고 시에도 주무당국에 신고할 필요가 없을 정도로 안전한 조치를 미리 취해 두어야 한다. 예를 들어 이동용 저장 매체는 항상 암호화한 뒤에 직원에게 전달하라.

(4) 휴대폰과 노트북을 원격으로 조정하고 삭제할 수 있도록 조처하라.

(5) 의료정보 등 민감정보는 외부 유출을 최소화해야 한다.

(다음호 호에서 이어집니다.)

******

저자: 조익제 변호사, 핵심분야: 지식재산권법, GDPR 개인정보 보호법, 부동산 프로젝트 및 한국 스타트업 자문, 거주지: 독일 프랑크푸르트, 소속: PLC 법률 사무소 파트너, 연락처: cho@plc-law.de 및 TNBT (The Next Big Thing) 법률 사무소 대표 변호사, 연락처: cho@tnbt-law.eu

1263호 16면, 2022년 4월 15일