"엑셀, 한글 등 상용프로그램의 비밀번호 설정 기능을 통해 파일을 암호화하는 것이 보호법상 암호화에 해당하나요?"
「개인정보의 안전성 확보조치 기준」 제7조 제1항에 ‘개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.’라고 정하고 있고 - 이러한 개인정보의 암호화 조치에 관해 ‘개인정보의 암호화 조치 안내서’에서는 ‘파일 암호화는 업무용 컴퓨터의 하드디스크, 이동식 디스크, 보조 저장 매체에 저장된 개인정보에 대한 보호뿐만 아니라 개인정보취급자 간에 네트워크상으로 파일을 안전하게 전송하기 위한 방식으로도 사용할 수 있다.’라고 명시하고 있음 (Ⅲ-제2절-2.2. 업무용컴퓨터?보조저장매체 암호화방식)
따라서 한글, 엑셀 등 상용프로그램에서 제공하는 비밀번호 설정 기능을 사용하여 암호화를 적용하거나, 안전한 암호화 알고리즘을 이용하는 소프트웨어를 사용하여 암호화 조치를 취하는 것도 「개인정보 보호법」에서의 암호화 조치 중 하나에 해당할 수 있음 ※ 파일 암호화 후 파일 제목에 비밀번호를 기재한 것은 암호화에 해당하지 않음
- 출처: 2022 「개인정보 보호법」 표준 해석례(2022.10., 개인정보보호위원회)
34
A
"민원인이 분실물을 찾을 목적으로 기관이 설치·운영하고 있는 CCTV(폐쇄 회로 텔레비전)의 열람을 요구할 경우 열람시켜 주어야 할 의무가 있나요?"
「개인정보 보호법」 제35조는 '개인정보의 열람'에 관한 사항을 규정하고 있는 바, 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있음 - 개인정보의 열람 요구, 열람 제한, 통지 등의 방법 및 절차에 관한 세부 사항은 「개인정보 보호법 시행령」 제41조, 제42조 및 제46조 등에 규정되어 있음
따라서 정보주체가 본인의 개인정보에 대한 열람을 요청한 경우, 개인정보처리자는 「개인정보 보호법」 제35조 제4항 등에서 정한 열람 제한·거절 사유에 해당하는지 여부 등을 확인 후 처리하여야 하고, 아울러 「개인정보 보호법」 제46조에 따라 열람 청구자가 본인이거나 정당한 대리인인지를 확인하여야 함
다만, 위 열람에 관한 규정은 '자신의 개인정보'에 대한 것이며 타인의 개인정보까지 열람을 허용하는 것은 아니므로 「표준 개인정보 보호지침」 제46조에 따라 만약 개인정보처리자가 정보주체에게 영상에 대한 열람을 허용한다고 하더라도 열람을 요청한 정보주체를 제외한 나머지 개인정보에 대해서는 알아볼 수 없도록 조치해야 할 것임
- 출처: 2022 「개인정보 보호법」 표준 해석례(2022.10., 개인정보보호위원회)
33
A
"학교가 보유하고 있는 졸업생의 성명과 졸업 연도를 졸업생들의 동의 없이 총동창회에 제공하는 것이 가능할까요?"
「개인정보 보호법」 제2조에 따르면 '개인정보'란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보를 의미하므로 졸업생의 성명과 졸업 연도는 개인정보에 해당하므로 - 개인정보처리자인 학교가 졸업생의 개인정보인 성명을 제3자인 총동창회에 제공하려면 같은 법 제17조 제1항 각 호 또는 제18조 제2항 각 호의 규정에 부합해야 하며, 부합하는 사항이 없는 경우 정보주체의 동의가 있는 경우에 한하여 제3자에게 제공할 수 있음
한편, 성명을 알아볼 수 없도록 일부 비식별처리 하더라도 졸업 연도, 반 등 다른 정보를 통해 개인을 알 수 있으므로 사전에 총동창회 등에 제공한다는 것에 대한 정보주체의 동의를 받지 않는 한 제3자에게 제공할 수 없음
참고로, 「개인정보 보호법」 제58조 제3항은 '개인정보처리자가 동창회, 동호회 등 친목 도모를 위한 단체를 운영하기 위하여 개인정보를 처리하는 경우에는 같은 법 제15조, 제30조 및 제31조를 적용하지 아니한다.'라고 규정하고 있으므로 동창회에서 동창들로부터 개인정보를 수집하는 경우 「개인정보 보호법」 에 위반되지 아니함
- 출처: 2022 「개인정보 보호법」 표준 해석례(2022.10., 개인정보보호위원회)
32
A
살아있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보는 개인정보에 해당하므로, 교직원 또는 학생의 이름과 직위 및 소속은 개인정보에 해당합니다.
따라서 학교 행사 관련으로 팜플렛 및 리플렛 등으로 개인정보를 활용할 경우에는 정보주체에게 해당 목적(촬영한 사진을 홍보 및 홈페이지 게시 목적으로 게재)을 명확하게 인지하도록 알리고 별도로 동의를 받으셔야 합니다.
아이디와 비밀번호는 특정 개인을 식별할 수 있는 정보로 개인정보에 해당됩니다. 따라서 수집·이용 시 정보주체의 동의를 받아야 합니다.
※ 서울중앙지법 2007. 1. 26.. 선고 2006나12182 판결 - 아이디와 비밀번호 등 식별부호는 실제 공간과는 달리 익명성이 통용되어 가 누구인자 명확하게 확인하기 어려운 가상공간에서 그 행위자의 인격을 표상한다고 할 것이므로(대법원 2005. 11. 25., 선고 2005도870 판결 참조), 개인에 관한 정보로서 해당 개인을 알아볼 수 있는 정보에 해당한다 할 것입니다.
참고로 비밀번호를 저장할 경우에는 일방향 암호화* 조치 후 관리하여야 합니다.
* 일방향 암호화란 해시함수를 이용하여 암호화된 값을 생성하여 복호화되지 않는 방식을 말함