인용 및 출처 : 개인정보 보호법. 저자 이창범
개인정보 보호법에서는 "개인정보" 를 아래와 같이 정의하고 있다.
제2조(정의)
1. "개인정보" 란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼
수 있는 정보 (해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수
있는 것을 포함한다) 를 말한다.
개인정보를 '성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보' 라고만 규정하고 있고
정보의 성격, 내용, 형식 등에 대해서는 특별한 제한을 두고 있지 않다.
따라서, 개인을 알아볼 수 있는 정보가 되는 모든 종류, 모든 형태의 정보가 개인정보가 될 수 있다.
"객관적 사실", "주관적 사실", "부정확한 정보", "허위의 정보" 라도 개인의 관한 정보이면 개인정보가 된다.
어느 회사, 모 부서의 키 174cm, 몸무게 67kg 남자라는 객관적 정보도 개인정보가 되고 그 부서에 키 크고 뚱뚱하고 쇼핑몰 자주 이용하는 그 사람도 개인정보가 될 수 있다.
모 조합의 조합장이 함바집으로부터 1억 수수했다 라는 거짓 정보도 개인정보가 될 수 있다.
임직원이 업무 목적으로 주고 받은 메일의 내용이나 첨부 파일에 있는 개인에 관한 정보는 "개인정보 보호법" 상의 개인정보가 되지만 개인 또는 가사 목적으로 주고받은 이메일 속의 개인에 관한 정보는 개인정보로 보지 않는다.
개인정보 통제 때문에 회사 컴퓨터내 저장되는 엑셀 파일 등에 개인정보가 있으면 검출하거나 암호화 하는 솔루션이 있지만 업무 목적인지 개인 목적인지에 따라서 통제 대상이 될 수 있고 안 될 수 있다.
이것을 판단하기는 어려운 일이니 기본적으로 회사 컴퓨터에 저장되는 개인정보가 포함되는 걸로 추정되는 파일들은 검출되거나 암호화 대상으로 봐야한다. 회사 컴퓨터는 개인의 목적이 아닌 회사 업무용으로 지급한 것이므로
"개인정보 보호법" 2조 1항에서는 "살아있는 개인" 에 관한 정보만을 개인정보로 보기 때문에 "죽은 사람", "법인, 단체" 에 관한 정보는 개인정보로 보지 않는다.
직간접적인 정보와 개인 사이에 관련성이 있을 때 개인정보로 판단한다.
그 판단 기준은
(1) 해당 정보의 내용
(2) 해당 정보의 처리목적
(3) 해당 정보의 처리결과
이고 이 세 가지 요소를 분석하여 최소한 한 가지 이상의 관련 요소가 있다고 판단되면 그 정보와 개인사이에 관련성이 존재한다고 볼 수 있다.
B의사가 작성한 A환자의 정신과 진료차트는 A환자의 건강상태를 타나냄(해당 정보의 내용)
의료분쟁 발생 시 B의사의 진료방식을 평가하는 목적으로 사용 가능(해당 정보의 처리목적)
진료결과는 남편C씨의 향후 가정 내에서의 역할 변화에 영향(해당 정보의 처리결과)
따라서 A의 진료차트는 A, B, C 모두와 관련성을 가진다.
"개인정보 보호법" 상 식별의 의미는 다른 사람과의 "구분" 또는 "구별" 의 개념과 같다.
따라서 구별할 수 있는 일반 정보들 - 키, 나이, 얼굴, 헤어스타일, 출생지, 직업, 거주지, 성격 등 - 을 조합하여 간적접으로 식별할 수도 있다.
다른 정보가 결합, 조합해서 특정인을 식별해 낼 수 있는데 법에서는 "쉽게 결합하여" 라는 단어를 사용하고 있지만 이것은 "합리적으로" 라는 의미로 해석해야 한다. 즉, "쉽게" 라는 단어는 과학적 가능성보다는 수단, 방법의 합리성에 무게를 둔다.
식별을 위해 불합리할 정도의 시간, 노력, 비용이 투입되어야 한다면 그런 '단편적인 정보들'은 식별성이 있다고 볼 수 없다.
개인의 유전자 정보 등은 당장 개인을 식별할 수 없으므로 개인정보로 볼 수 없다는 의미다.
y 염색체에 변형이 일어났고 23쌍이 아닌 남자다 라는 것은 쉽게 누군지를 판단할 수 없다.
유동 IP 는 컴퓨터가 부팅시마다 IP 가 달라지는 것인데 대개는 이전에 배정받았던 IP주소를 그대로 재배정 받는 경우가 더 많다. 인터넷 서비스 제공자나 통신망 관리자는 인터넷 접속 날짜, 접속 시간, 배정된 유동 IP주소 등을 파일에 체계적으로 관리하기 때문에 유동 IP주소를 배정받은 가입자를 식별해 내는 것은 어렵지 않다. 따라서 유동 IP 정보는 개인정보로 취급해야 한다.
인터넷 검색 서비스에서 개인화 서비스라 하여 인터넷 이용 행태를 수집, 분석하여 실명에 의해 저장하지 않고 이름, 이메일 정보도 저장하지 않는다. 수집된 행위에 대한 정보는 코드값으로 저장되지만 그 자체가 특정 개인에 관한 정보이고 언제든지 정보 주체를 특정할 수 있는 상태이므로 개인정보로 봐야 한다.
다만, 서비스 제공자가 이용자의 행태를 분석하지 아니하고 통계적인 방법으로 이용자의 이용 행태를 수집, 분석해 놓은 정보는 정보주체를 특정할 수 없어 개인정보라 할 수 없다.
서점 등의 홈페이지에서는 이 책을 산 사람들이 추가 구매한 책 등으로 정보를 보여주고 있다. 결국 이런 것들이 위에 해당하는 것이 된다.
최근 증권가에서는 쇼셜 트레이딩이라고 해서 고수들의 매매 패턴을 볼 수 있거나 추적 매매 기능을 도입하고 있다. 이런 개인의 매매 정보를 다른 투자자들한테 오픈할 수 있도록 사전에 협약하지 않고 한다면 그것은 개인정보 위반이 될 것이고 A 종목을 매수한 사람들이 평균적으로 많이 매수한 또 다른 종목은 B 다라고 하면 개인정보 위반이 아니다.
'My Security Study > Review' 카테고리의 다른 글
| 금융결제원 '금융 앱 스토어' 설명회 후기 (0) | 2013.04.25 |
|---|---|
| 보안사고 역사 새로 쓸 초대형 보안 사고 (0) | 2013.04.22 |
| 방송통신위원회과 금융위원회의 금융회사에 대한 정보통신망법 견해 (0) | 2013.03.09 |
| 개인정보보호법, 정보통신망법, 신용정보법에서의 개인의 차이 (2) | 2013.03.06 |
| 개인신용정보와 개인정보와의 관계 (0) | 2013.03.05 |
| 행정안전부 SW보안약점 진단원 만남 후기 (0) | 2013.02.19 |
| (2012.08.29) 해킹당한 고객의 접속 차단, 모니터링의 관리적 조치 (0) | 2012.08.29 |
| 정보보안기사 출제기준(필기, 실기) (0) | 2012.08.23 |
| 사내 리소스 활용으로 저비용 개인정보파일 통제 방법 (0) | 2012.07.18 |
| (2012.07.13) 전자금융거래법 규정해설 (0) | 2012.07.15 |
