[시큐리티 Q&A] 보안관련 법률분쟁 이슈

Q. 사내 보안강화 정책을 시행하면 내부 직원들은 개인정보 침해와 사생활 침해 등을 들어 불평하는데, 이와 관련해서 기업 내부의 보안 강화(내부망, 자산관리 솔루션, DLP 등)에 대한 법률적 대응은 어떻게 해야 하나요?

A-1. 기업 내부보안 강화를 위한 솔루션을 도입할 경우 직원들의 개인정보 침해, 사생활 침해 가능성이 있으므로 이에 주의할 필요가 있습니다. 다만 기업의 입장에서는 시설관리권, 업무감독권 등이 있으므로 이와 관련하여 전문가의 도움을 얻어 해당 솔루션의 위법성을 사전에 확인하여 법률적 위험을 줄일 필요가 있습니다.

(김광준 태평양 변호사/kwangjun.kim@bkl.co.kr)

A-2. 개인정보처리자(회사)의 이익을 위한 것이라고 하더라도 정보주체(직원)들의 사생활을 과도하게 침해하거나 다른 이익을 침범하는 경우에는 정보주체의 동의 없이 개인정보를 수집할 수 없습니다. 즉 회사가 업무효율성 및 영업비밀 보호 등을 이유로 직원의 업무처리 내역 및 인터넷 접속내역 등을 모니터링 하는 시스템을 설치하는 것은 정보주체 권리보다 명백히 우선한다고 보기는 어렵습니다.

이 경우, 노사 합의에 따라 수집될 수 있는 개인정보의 범위를 한정하고 ‘개인정보 보호법’에 따라 직원에 대한 고지 또는 동의절차를 적법하게 거치는 것이 중요합니다. 또한, 위 솔루션을 도입할 때, 정보주체에 관하여 과도한 개인정보의 수집이 되지는 않는지 여부에 관한 검토도 선행되어야 할 것입니다.

개인정보처리자의 정당한 이익이 존재하고 그것이 명백하게 정보주체의 권리보다 우선한다고 하더라도 해당 개인정보가 개인정보처리자의 정당한 이익과 관련성이 낮거나 합리적인 범위를 초과해서는 안 되기 때문입니다.

(고명석 KISA개인정보안전단/msgo@kisa.or.kr)

A-3. 산업기술유출방지 및 보호에 관한 법률과 부정경쟁방지 및 영업비밀 보호에 관한 법률, 형법상 업무상 배임 등의 법률을 근거로 통제할 수 있습니다. 산업기술보호협회와 중소기업청이 중소·중견기업지킴이 서비스를 2014년까지 무료로 제공하고 있으며, 향후에도 저렴한 비용으로 지원할 예정입니다.
(안상수 ISMS인증심사원·ISO27001선임심사원/ssahn@nuriins.com)

[민세아 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)