나경아빠의 스케치북 - 고통은 희망의 씨앗이다

출처 및 인용 : 염흥렬 순천향대학교 교수, 개인정보보호 실천가이드 中

개인정보 보호법으로 변화되는 주요 사항(자료출처 : 행정안전부)

기업의 개인정보안 전략의 변화

1. 최고경영책임자의 개인정보보호 인식 강화

- 고객의 집단소송 제기로 인한 피해배상 규모가 훨씬 더 크다는 것을 인식

- 개인정보보호 문제가 IT 부서 책임자 또는 최고보안책임자 만의 몫이 아니라 최고경영책임자

  의 몫이 되어야 함을 인식해야 함

- 조직의 개인정보보호 정책 수립, 보호해야 할 자산에 대한 위협 요인 분석, 위협 요인을 

  제거하기 위한 대응책 마련에 대한 관리체계가 지속적으로 유지되도록 직접 챙겨야 함

2. 최고경영책임자에 의한 예산의 확보와 조직 운영 지원

- 별도의 개인정보보호최고책임자 임명해 책임과 권한을 동시에 부여    

- IT 부서와 개인정보보호 부서와는 독립적으로 운영

- 조직의 개인정보보호 정책을 새로운 IT 위협환경에 적응하도록 지속적으로 업데이트

예를 들어 개인정보 DB 암호화, 임직원들의 문서 보안 정책 적용(DRM : Digital Rights

Management) 등

- IT 부서와 개인정보보호 부서 간의 정보 교류와 협력 채널도 원활하게 작동토록 지원

3. 개인정보관리체계와 개인정보보호영향평가의 상시적인 관리체계의 운영

- 개인정보보호영향평가((PIA : Privacy Impact Assessment) : 정보시스템 구축 시에 개인정보보호를

  위해 고려해야 하는 필수 사항을 정의하고 이를 반영하기 위한 것임

- 개인정보관리체계를 운영을 통해 개인정보보호 정책을 구현

- 상시적인 개인정보체계를 유지해야하며 이를 위한 전담 조직은 개인정보최고책임자 하부에 

  두어야 함

- 정보시스템 신규 구축 시 개인정보보호 파일을 구축해야 한다면 반드시 개인정보보호영향

  평가를 통해 먼저 개인정보보호 기능이 IT시스템 초기 설계 시에 반영 되도록 해야 함

개인정보보호영향평가는 공공에 한하므로 민간 기업은 금감원 규정과 같은 "보안성 심의

평가" 제도를 운영해야 함

- 자체 또는 제3자의 기관에 의한 사후 감사 기능의 활성화 필요(디지털 포렌식 툴의 설치/운영)

포렌식이라고 해서 거창한 것은 아니다.

당장 내부적으로 할 수 있는 것은 업무시스템에서 엑셀로 다운로드 받을 때 '파기일자', 

'다운로드 목적' 등을 사용자가 입력하게 하고 그 정보를 DB 에 저장해서 통제하면된다.

부가적으로 DRM 과 연동한다면 관제 시스템으로의 확대가 가능하다.

인용 및 출처 : 개인정보 보호법. 저자 이창범

제15조(개인정보의 수집ㆍ이용) ① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.

1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우

4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

1. 개인정보의 수집·이용 목적

2. 수집하려는 개인정보의 항목

3. 개인정보의 보유 및 이용 기간

4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

1. 개인정보의 수집경로

- 공개된 정보라고 해서 함부로 수집하거나 이용해서는 안 된다.

- 공개자의 의사가 불분명한 경우에는 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 수집, 

   이용이 가능하다.

블로그 등에 공개한 정보를 선전, 광고, 마케팅 등에 이용하도록 허용했다고 보는 것은 무리임

2. 개인정보의 수집요건

1) 정보주체의 사전 동의를 받은 경우

- 동의의 방법으로는 기명날인, 인터넷 홈페이지 동의란 클릭, 전자우편 발송, 구두승락 등 제한

   없다.

- 고객에 대한 서비스 증진, 당사가 취급하는 신상품 안내, 최신 상품정보 제공, OOO 등, 기타

   등과 같은 막연한 표현은 피해야 한다.

- 인터넷 홈페이지에 게시한다거나 관보에 공개하는 것으로는 안 되고 반드시 정보주체에게 

   개별적으로 알려야 한다.

2) 법률규정이 있거나 법령상 의무 준수를 위해 불가피한 경우

- <법률>에 특별한 규정이 있어야 하므로 시행령, 시행규칙, 고시, 조례 등에서 규정하는 

   것은 안 된다. 그러나 법에서 구체적으로 수집, 이용의 목적 등을 규정하고 필요한 개인정보의

    항목만 시행령, 시행규칙 등에 위임하는 것은 가능

- <불가피한 경우>란 개인정보를 수집하지 않고는 법령에서 부과하는 의무를 이행하는 것이 불가

   능하거나 개인정보처리자가 다른 방법을 사용하여 의무를 이행하는 것이 현저히 곤란한 경우임

금융회사는 개인의 신용, 금융 거래에 주민번호가 필요하므로 이에 해당된다.

3) 계약 체결, 이행을 위해 불가피하게 필요한 경우

- <계약체결>에는 계약체결을 위한 준비단계도 포함

부동산거래에 있어서 계약체결 전에 해당 부동산의 등기부등본 열람 등이 이에 해당.

결혼중개회사가 중개 계약을 위해 남녀의 학력, 건강상태, 가족관계 등을 수집하는 것도 해당

- 불가피하다는 입증책임은 개인정보처리자가 부담

4) 급박한 생명, 신체, 재산상 이익을 위하여 필요한 경우

- 정신미약, 교통사고, 만취, 큰 수술 등으로 의사 표시를 할 수 없는 상태

- 주소불명, 전화불통, 이메일불통 등 불가피한 사유로 사전에 동의를 받을 수 없는 경우

정보주체 또는 법정대리인이 멀리 떨어져 있어 동의를 받기 어렵다거나, 정보주체가 동의를 

계속 거부하고 있다거나, 의도적으로 접촉을 피하고 있다는 사실만으로는 사전 동의를 받을 수

없는 경우에 해당되지는 않는다.

- 손해보다는 이익이 월등하다고 판단되는 경우에는 동의 없는 수집이 가능하다

- 제3자의 이익이 정보주체의 이익보다 월등한 경우에만 동의 없는 개인정보 수집이 가능

회사에서 기밀 유출 방지를 위해서 메신저, 메일에 대한 로깅을 해야한다고 할 경우 임직원 개인이 프라이버시 보호를 위해 동의를 하지 않는다 하더라도 회사의 존페에 관련된 중요 정보 유출 방지를 위한 것이 더 큰 이익이므로 이에 해당할 것이다.

5) 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우

- 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우에도 정보주체의 동의 없이 개인

   정보를 수집할 수 있다. 

- 개인정보처리자의 이익이 명백하게 정보주체의 권리보다 우선하여야 하고, 수집하고자 하는 개

   인정보가 개인정보처리자의 정당하 이익과 상당한 관련이 있어야 하며, 합리적인 범위를 초과해

   서는 안 된다.

요금 징수 및 정산, 영업비밀 및 도난 방지, 사업장 내 안전관리 목적으로 CCTV 설치, 대출, 

배송 등이 개인정보처리자의 정당한 이익이라 할 수 있다.

제16조(개인정보의 수집 제한) ① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는 경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

② 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.

1. 필요한 최소한의 개인정보

- 일반적으로 필요한 최소한의 개인정보란 해당 개인정보가 없으면 계약의 체결이나 이행, 법률상 의무

   의 준수, 소관업무 수행 등이 불가능하거나 현저히 어려워지는 경우 또는 다른 방법에 의할 경우 과도

   한 비용과 시간이 요구되는 경우, 해당 개인정보는 필요한 최소한의 개인정보라고 할 수 있다.

민원처리 및 전화상담을 위해 불가피한 범위 내에서의 개인정보 수집, 이용은 정보주체의 동의 없이 가능

2. 최소정보의 수집 원칙

- <필수정보>와 <선택정보>를 구분해서 어떤 경우에도 정부주체에게 <필수정보> 이외의 개인정보 제

   공을 강요하지 못하도록 하는 것이 개인정보 최소수집 원칙에 부합

<선택정보> 수집에 동의하지 않는다면 어떤 헤택을 받지 못하는지 표기해야한다.

3. 최소정보의 입증책임

- 개인정보처리자가 해당 개인정보가 필요한 최소한의 개인정보라는 것을 입증하지 못하면 패소하게

   된다.

인용 및 출처 : 개인정보 보호법. 저자 이창범

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

2. “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

6. “공공기관”이란 다음 각 목의 기관을 말한다.

가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체

나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관

7. “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.

1. 개인정보파일

- 일정한 기준에  따라 쉽게 개인정보를 검색할 수 있도록 체계적으로 배열 또는 구성된 개인정보 집합

   물이면 되고 전자적 형태이든 수기 형태이든 차이가 없다.

고객 DB, 연체고객 리스트, 병원진료카드, 가입자 입회신청서, 출석부, 토지거래허가서 등

- "정보통신망법"과 "신용정보법" 에서는 개인정보파일에 대한 정의가 없기 때문에 파일화할 의도가 없

   는 낱개 또는 낱장의 개인정보도 개인정보 처리 원칙에 따라서 처리

- "개인정보 보호법" 에서는 개인정보처리자가 처음부터 파일화할 의도가 없었던 개인정보에 대해서는 

  "개인정보 보호법"의 원칙이 적용되지 아니한다.

2. 개인정보처리자

- 개인정보처리자는 자신의 이익을 위하여 개인정보의 처리여부, 처리목적, 처리방법 등을 자신의 책임

   아래 스스로 결정할 수 있는 자

- 개인정보취급자는 개인정보처리자를 대신하여 그의 지휘, 감독하에서만 개인정보를 처리할 수 있는

   자

- "개인정보 보호법" 에서는 업무를 목적으로 개인정보를 처리하는 자이고

   "정보통신망법"상 정보통신서비스제공자는 전기통신사업자 및 '영리를 목적으로' 서비스 제공자임

- 개인기업의 경우에는 개인정보처리자는 곧 대표인 개인이 된다.

- 자신이 직접 개인정보를 수집, 가공, 편집, 이용, 제공, 전송하지 아니하고 다른 사람 예컨대 수탁자,

   대리인, 이행보조자 등을 통해서 처리하는 경우에도 개인정보처리자에 해당

헤드헌터 등

- 개인정보취급자는 임직원, 파견근로자, 시간제근로자 등이 이에 속한다.

- 친목이나 취미를 위한 단체(동창회, 동호회 등)도 개인정보처리자에 해당

- 단체로서의 조직체계와 의사결정기구를 갖추고 있지 않은 비조직적 단체(계모임 등)는 독립된 활동

  주체로 보기 어렵기 때문에 개인정보처리자로 보기 어렵다.

3. 영상처리기기

- <일정한 공간>에 지속적으로 설치되어 있어야 하므로 개인이 휴대하여 장소를 옮겨 다니면서 촬영이 

   가능한 휴대전화나 디지털 카메라는 영상정보처리기기에서 제외

- 택시, 버스 등 차량에 설치된 카메라와 같이 이동 가능한 차량에 설치된 경우도 <일정한 공간>에 설

   치된 것으로 볼 수 있으므로 지속성 요건만 갖춘다면 영상정보처리기기에 해당

- 영상정보처리기기를 이용하여 다른 사람들 간의 대화를 녹음하거나 청취하는 것은 "통신비밀보호법"

   상 불법

- 업무를 목적으로 상대방이나 제3자의 동의 없이 그의 대화 내용을 녹음하는 행위는 "개인정보 보호법
   " 위반

- 대통령령이 정하는 장치는 "CCTV", "네트워크 카메라" 이다.

제3조(개인정보 보호 원칙) ① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.

② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.

③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.

④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.

⑤ 개인정보처리자는 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.

⑥ 개인정보처리자는 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.

⑦ 개인정보처리자는 개인정보의 익명처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다.

⑧ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

1. 이 조는 개인정보 처리와 관련하여 국젝적으로 통용되고 있는 원칙들을 반영하고 있다. 1980년 제정된 

   "OECD 프라이버시 8원칙"과 EU 회원국의 입법기준이 된 "EU 개인정보 보호지침"(1995)을 참고하였고,

   우리나라가 제정 과정에서 결정적인 역할을 한 "APEC 정보 프라이버시 원칙"(2004)도 고려하였다.

2. OECD 프라이버시 8원칙과 개인정보 보호 원칙의 비교

3. 각 법의 개인정보 보호 원칙

제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」, 「신용정보의 이용 및 보호에 관한 법률」 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.

1. "정보통신망법"과의 관계

1) 중복되지 않은 규정의 적용

- "정보통신망법"의 적용을 받은 정보통신서비스제공자는 "정보통신망법"에 규정된 사항에 대해서

   는 "정보통신망법"을 따라야 하고, "정보통신망법"에 규정되어 있지 아니한 사항에 대해서는 

   "개인정보 보호법"의 규정에 따라야 한다

2) 중복규정의 적용기준

- 더 상세한 법률이 상대 법률과 모순 또는 충돌이 발생하지 않는다면 더 상세한 법률을 따라야 

   한다.

3) "개인정보 보호법" 우선 적용

- "개인정보 보호법"의 규정을 적용해도 "정보통신망법"과 모순되지 아니하고, "개인정보 보호법"

   과 모순되지 아니하고 "개인정보 보호법"의 관련 규정을 배제하려는 명시적 또는 묵시적 의도가

   없으면 "개인정보 보호법"이 우선 적용된다.

4) "정보통신망법" 우선 적용

- 단순히 명칭만 다를 뿐 역할, 기능이 같거나 유사한 경우에는 개별법, 즉 "정보통신망법" 에서 

   규정하고 있는 명칭과 법률을 따르면 된다.

이 경우는 정보통신을 이용해 서비스를 제공하는 자에 한할 것이다.

2. "신용정보법"과의 관계

1) "정보통신망법" 적용처럼 해당 법을 적용받는 업종, 기관의 경우 더 상세한 법률이 우선 적용된다.

인용 및 출처 : 개인정보 보호법. 저자 이창범

개인정보 보호법의 체계

본문 9장 755개 조문, 부칙

제1장 총칙

- 목적, 정의, 개인정보 보호 원칙, 다른 법률과의 관계 등

제2장 개인정보 보호정책의 수립 등

- 개인정보 보호위원회, 기본계획/시행계획 수립, 개인정보 보호지침, 자율규제촉진 등

제3장 개인정보의 처리

- 수집/이용/제공 등 처리기준, 민감정보/고유식별정보 제한, 영상정보처리기기 제한 등

제4장 개인정보의 안전한 관리

- 안전조치의무, 개인정보파일 등록/공개, 개인정보 영향평가, 유출통지제도 등

제5장 정보주체의 권리 보장

- 열람요구원, 정정/삭제요구권, 처리정지요구원, 권리행사방법 및 절차, 손해배상책임 등

제6장 개인정보 분쟁조정위원회

- 분쟁조정위원회 설치/구성, 분쟁조정의 신청방법/절차, 효력, 집단분쟁조정제도 등

제7장 개인정보 단체소송   

- 단체소송 대상, 소송허가요건, 확정판결의 효력 등

제8장 보칙

- 적용제외, 금지행위, 침해사실신고, 시정조치 등

제9장 벌칙

- 벌칙, 과태료 및 양벌규정 등

제1조(목적) 이 법은 개인정보의 수집·유출·오용·남용으로부터 사생활의 비밀 등을 보호함으로써 국민의 권리와 이익을 증진하고, 나아가 개인의 존엄과 가치를 구현하기 위하여 개인정보 처리에 관한 사항을 규정함을 목적으로 한다.

1. 보호하고자 하는 법인

- 1차적 보호법익 : 사생활의 비밀

- 2차적 보호법익 : 국민의 권리와 이익 및 개인의 존엄과 가치

개인정보의 수집/이용/제공/유출 등에 의하여 영향을 받을 수 있는 제반 권리와 이익, 예를 들어 생명권, 재산권, 명예권, 초상권, 성명권, 행복추구권 등을 모두 포함 

2. 각국의 개인정보법의 입법 목적 비교

우리나라의 입법 목적은 개인의 권리 보호 측과 더 가깝다고 볼 수 있다. 하지만 개인정보로 경제적 이익을 취하는 시대적 배경을 고려한다면 우리나라의 개인정보 보호법도 개인정보의 흐름, 이전을 인정하고 그것의 법적인 근거를 마련한거 같다.

제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

2. “처리”란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

4. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

5. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

6. “공공기관”이란 다음 각 목의 기관을 말한다.

가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체

나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관

7. “영상정보처리기기”란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.

1. 개인정보

- 개인을 알아볼 수 있는 모든 종류, 모든 형태의 정보가 개인정보가 될 수 있다.

- <객관적 사실>에 관한 정보이든 그 사람에 대한 제3자의 의견과 같은 <주관적 평가>에 관한 정보이

   든 불문한다.

- 부정확한 정보 또는 허위의 정보라도 특정한 개인에 관한 정보이면 개인정보가 된다.

- 살아 있는 개인에 관한 정보만을 개인정보로 보기 때문에 <사자(死者)>에 관한 정보나 <법인/단체>

   에 관한 정보는 개인정보로 보지 않는다.

- "쉽게 결합하여" 라는 단어는 '합리적으로' 라는 의미로 해석해야 한다. 즉 '쉽게'라는 단어는 과학적 

   가능성보다는 수단/방법의 합리성에 무게가 있다. 식별을 위해 불합리할 정도의 시간, 노력, 비용이

   투입되어야 한다면 그런 '단편적인 정보들'은 식별성이 있다고 할 수 없다.

- 컴퓨터로 처리된 개인정보에 한정하지 않고 있어 손으로 기록된 개인정보도 법의 적용 대상에 포함

단지 이 경우에 손으로 기록된 정보가 검색을 할 수 있고 기록 형식이 일정한 '개인정보파일'에 해

당될 때가 아닌가 한다.

- <개인정보 보호법>은 공개된 정보도 개인정보의 범위에 포함시켜서 함부로 수집/이용하지 못하도

   록 하고 있으나, <신용정보법> 은 적법하게 공시 또는 공개된 정보는 '개인신용정보'의 범위에서 

   제외.

금융회사는 서로 "자금세탁방지시스템(AML, Anti-Money Laundry)" 을 통해서 국내외적으로 이루어지는 불법자금의 세탁을 적발 및 예방을 하고 있다. 우리나라의 경우 불법재산의 취득/처분 사실을 가장하거나 그 재산을 은닉하는 행위 및 탈세 등도 포함인데 이에 해당하는 사람, 테러리스트들의 정보를 서로 공유한다. 거기에는 개인정보 보호법에서 고유식별정보라 칭하는 여권번호도 포함된다.

결국 이 정보는 금융회사간 공개된 정보이지만 신용정보법에서는 '개인신용정보' 범위에서 제외하므로 개인정보 보호법에서도 개인정보라 할 수 없을거 같다.

2. 처리

- SNS 환경에서 개인정보의 <공개>는 <제공> 못지않게 중요한 의미를 가지지만 우리나라 "개인정보

   보호법"에서는 보호의 사각지대임

전달, 제공, 공유, 공개의 용어는 개인정보의 처리할 특정 상대방이 존재함을 의미하는거 같다.

따라서 페이스북의 개인정보 공개에 대해서 특정인을 지정해서 공개하는 것이라 할 수 없다고 볼 수 있다.

3. 정보주체

- 국적이나 신분에 관계없이 살아있는 누구나 정보주체가 될 수 있다.

- "정보통신망법"의 권리주체를 정보통신서비스제공자(개인정보처리자)가 제공하는 서비스를 이용

   하는 '이용자'로 한정

금융위원회에서는 금융회사가 정통통신망법 대상이 아니라고 하고

방송통신위원회는 금융회사도 정통통신망법 대상이지만 주민번호가 꼭 필요한 업종은 제외한다는 규정에 따라 제외라고 한다.

두 위원회간 법리 해석은 정식적인 문서로 된건 없고 서로 적당한 선에서 타협하는거 같다.

하지만 농협, 현대캐피탈 같은 사고가 터지면 양 위원회는 모두 관여하는거 같다.

- "신용정보법"도 금융거래 등 상거래에 있어서 거래 상대방의 신용을 판단할 때 필요한 정보의 처리

   에 관한 법률이므로 원칙적으로 상거래 관계의 존재를 전재로 정보주체를 정의한다.

- "정보통신망법"과 "신용정보법"은 노사관계, 공사관계 등에서 적용되지 않지만 "개인정보 보호법"은 

   개인정보처리자와 정보주체 사이에 특별한 계약관계를 요구하고 있지 않다.

따라서 회사 임직원의 개인정보도 개인정보 보호법의 적용을 받는다

강사 : KT 인재경영실의 김상효 전무

내용 : Collaboration 과 리더십

특강의 베이스는 모튼 한센이 지은 "Collaboration" 책에 대한 간략한 정리와 조직 생활에서의 경험담이다.

책을 읽으면 나오는 차트, 설명이 있는지라 대략적인 특강의 내용만 정리한다.

협업이 다들 중요하다고 주장하지만 우리 현실에서는 협업이 생각하는만큼 되지 않는다고 한다.

즉, 협업은 한 가지 일을 여러 사람이 하면 효율적이며 좋은 결과물을 내는 것이라 하지만 개인이 모여 집단이 되면 개인이 혼자 할 때보다 노력은 반비례 한다는 것이다.

그러한 연구가 독일의 링글만의 로프 당기기이다.

위의 표처럼 혼자 할 때는 100% 의 노력을 하지만 사람이 많아질수록 개인의 노력은 줄어든다.

이는 회사에서도 종종 본다.

팀원은 여러 명 있지만 누군가 하겠지 라는 심리로 결국 일의 효율성은 떨어지고 일 할 사람만 하는 걸 많이 본다. 때로는 나도 혼자 일할 때도 있고 또 링글만의 연구 처럼 다른 사람 눈치 보며 노력을 덜 하는 행태에 물 들어 갈 때를 느낄 때가 있고 이용한 적도 있다. ㅜㅜ

체계적 협업 추진단계

1단계 : 협업 기회를 평가하라 (협업을 통해 큰 성과를 얻을 수 있을까?)

협업은 좋다. 하지만 링글만의 연구처럼 언제나 좋지 않을 수 있다. 

협업함에 따라 정작 본연의 일을 못하는 기회 비용도 있고 협업함으로써 추가 비용도 발생한다.

결국 협업으로 나온 결과보다 더 큰 Loss 가 발생할 수 있다.

그래서 협업할지 말지에 대한 결정이 필요하다.

2단계 : 협업 장벽을 파악하라 (협업을 방해하는 장벽은 무엇인가?)

3단계 : 맞춤형 해결책을 적용하라 (협업 장벽 유형에 따라 최적의 대응방안을 실행하라)

협업 장벽의 종류

1) NIH(Not Invented Here) 장벽

- 폐쇄적 문화 : 주로 집단 내에서만 소통한다.

- 신분 격차 : 신분상의 경계를 넘고 싶어하지 않는다.

- 자기 의존 : 자신의 문제는 스스로 해결해야 한다고 생각한다.

- 두려움 : 문제를 드러내고 싶어하지 않는다.

=> NIH 장벽 : 사람들은 소속부서를 넘어 외부 부서의 의견을 구하려 하지 않는다.

NIH 장벽은 내가 개발하고 내가 관여하지 않은 것들은 관심갖지 않다는 것을 말한다.

외곬수, 똥고집 등이라 말할 수 있다.

컴퓨터 프로그램 개발 예를 든다면 나 역시도 과거에 내가 만든 소스를 누가 - 그게 파트장이든 팀장이든 - 왈가불가 하는걸 싫어했다. 그렇게 함으로써 버그를 찾고 개선이 되어도

2) 독점 장벽

- 경쟁 : 다른 동료, 다른 부서와의 경쟁

- 제한된 인센티브 : 개인적 목표에 대한 보상

- 너무 바쁨 : 다른 사라을 도울 시간이 없다.

- 두려움 : 지식을 공유하면 자신의 권력을 잃는다.

=> 남을 돕거나 자신이 알고 있는 것은 공유하려 하지 않는다.

고과 평가를 할 때 팀 실적이 아닌 개인 실적 기준으로 한다면 내가 세운 고과 목표만 집중하여 팀 실적이 나오지 않는다. 팀원들을 도와주지도 않을 것이며 일부러 더 안좋게 하는 경우도 발생할 것이다.

삼성전자가 잘 하는 것중의 하나가 '그룹 인센티브' 제도라 한다.

그룹이 잘 되어야 내게 인센티브가 나오니 서로 만나기만 하면 그룹 실정에 대한 고민을 하고 고민함으로써 성과는 좋아질 수 있기 때문이다.

예전에 모신 분중에 자기 업무의 프로그램 소스를 보면 면막을 준 분을 본 적이 있다. - 물론 난 아니지만 - 

어차피 몇일 고생하면 알 수 있는 소스지만 자기 밥그릇 때문인제 못 보게 한다.

우리 주위에는 이렇게 자기가 알고 있는 것이 밥그릇인마냥 내려놓지 않은 경우를 많이 보게 되고 결국 이것은 협업을 망치게 된다.

3) 검색 장벽

- 회사의 규모 : 대기업일 수록 검색 문제가 커진다.

- 물리적 거리 : 거리가 멀수록 검색이 어렵다.

- 정보의 과부하 : 너무 많은 정보는 검색을 어렵게 한다.

- 네트워크 부족 : 빈약한 인맥이 검색을 어렵게 만든다.

=> 정보나 사람을 찾기가 어렵다.

다른 부서, 다른 회사와 협업을 할 경우가 있을 때가 있다.

그런데 그 부서의 누구, 다른 회사의 누구와 일을 해야할지 모르는 경우가 많거나 안다고 해도 처음 말 꺼내고 붙이고가 어렵다.

또한 그 부서의 담당자와 과거에 악연이 있다면 더욱 힘든 장벽이 될 것이다.

물리적 거리야 전화, 메신저, 메일로 풀 수 있지만 인맥에 있어서 걸림돌이 생긴다면 그 만큼 괴로운 것도 없다.

결국 장벽을 없애기 위해서는 얼굴 한번밖에 보지 못한 인맥도 중요하고 주위 사람들과의 관계에서 적을 만들지 않는것도 매우 중요하다. 그것이 인맥의 시작이다.

4) 이전 장벽

- 암묵적 지식 : 이전하기 어려운 지식

- 공통 인지틀의 부재 : 함께 일하는 법을 모른다.

- 약한 유대 : 이전을 쉽게 만들 수 있는 유대감이 없다.

=> 한 곳에서 다른 곳으로 지식을 이전할 수 없다.

협업을 할 때는 상대방의 눈높이에 맞춰야 한다. 그것이 지식이든, 용어든, 업무이든간에 말이다.

네트워크 장비, 프로그래밍 언어를 모르는 현업한테 전문적인 용어를 바로 말하는 것이 이러한 것에 해당이 된다.

그러기 위해서는 다양한 경험이 있는 사람과 그 대화를 각 상대방에 맞춰 풀어주는 Role 을 가진 부서/사람이 필요할 때가 있다. 

협업이 맞춤형 해결책

1. 모두가 쉽게 이해, 설명할 수 있는 매력적인 통합 목표를 만들어라

각 분양의 전문가들이 이해할 수 있는, 설명할 수 있는 언어, 환경, 설득 등이 되겠다.

2. 다른 사람과 협업이 중요하다고 믿고 공동의 목표에 전념하는 팀워크를 만든다.

3. 협업을 권장하는 언어를 구사하라

긍정적인 언어와 부정적인 언어를 사용함에 따라 우리는 다르게 행동한다.

게임에 있어서도 "월스트리트 게임" 이라고 하면 서로 자기의 이익을 위해 게임을 하고 "부처의 게임" 이라고 하면 이타적인 게임을 하게 될 수 있다.

4. 개인/팀의 이익만 보지 않고 회사 전체의 시각으로 그룹 전체 성장을 위해 아이디어/전문지식 공유할 수

    있는 T자형 조직을 구성한다.

5. 기민한 네트워크를 구축해서 협업의 장애장벽를 해소해라.

기민한 네트워크는 결국 인맥이다. 

인사하고 명함 주고 도움 받은 일이 있으면 비타 500 이라도 줘서 성의를 표시한다면 그것이 바로 장벽 해소의 시작일 것이다.

수업 방침

- 중간 고사는 3번째 수업 후 오픈북으로 한다.

- 기말 고사는 모든 수업이 끝난 후 토요일에 오픈북으로 한다.

개인정보보호의 버전

개인정보보호 1.0

- off line 에 낱장의 문서로 개인정보가 있을 때

- 1980년대 이전

개인정보보호 2.0

- 신용법, 정보통신망법 등 개별/특별 법들이 생김

- 1980년대 ~ 2011년

- 개인정보들이 집적, 대량, 유통되고 개인정보의 경제적 가치가 늘어나면서 문제가 발생

개인정보보호 3.0

- 2011년 이후

- 개인정보 보호법 개정

- 개인정보 보호법인 일반법과 기존에 만들어진 개별/특별법들의 충돌이 발생

- 기술은 발전하는데 법령이 이를 못 따라감이 발생

개인정보 보호법이 필요한 이유

기술적으로 가능하다고 해서 모든 걸 기술적으로 저장, 유통한다면 인간이 가치를 지니고 존엄을 가질 수 없다.

cctv 에서 영상만 저장하고 음성을 녹음하지 않는 것은 이러한 이유임.

제3자를 탓하는 내용까지 저장한다면 개인의 존엄에 상처가 생김. 

법으로서 개인정보 보호와 개인의 존엄과 가치의 밸런싱을 유지.

사회 나와서 합격이란 말은 시험이나 이직했을 때 뿐인데 오랜만에 학업 때문에 들어본다.

메일 받은지는 좀 지났지만 거창하지도 네임 벨류 있지도 않지만 그냥 앞으로 남을 추억을 위해...

2012년부터 아주 다이나믹한 삶을 살고 있는거 같다.

그리고 40 전에 주어진 이 변화의 기회에 대해서 나의 의지를 표현한 것이라 생각하련다.

어쩌면 그토록 간절하고 벼랑 끝 전술일 수 있기에..

고려대 떨어진 뒤로 Plan B 로서 선택했지만 결과는 Perfect A 로 만들자...

이 학교를 선택하기에 앞서 정보가 너무 없음을 안타까워했다.

1학기 수업 내용

3월 : 기업경영과 개인정보 (성선제 교수)   

4월 : 산업보안 관리실무 (정진홍 교수)

5월 : 금융보안과 정보보호 (성선제 교수)

5월 : 산업보안 법률실무 (정진홍 교수)

5월 : 과학적 수사기법 (박성우 교수, 조병철 교수)

6월 : 산업보안 수사실무 (정진홍 교수)

7월 : Foundation of Computer Science (김진우 교수)

7월, 8월 : 사이버포렌식 운영체계 (김진우 교수)

각 교과목 학점

다른 학기 교과목은 모르겠지만 일단 위 교과목에서 학점은

산업보안 관리실무와 산업보안 수사실무가 각 3학점이고 나머지는 모두 1.5학점이다.

따라서 1학기에는 15학점을 이수하고 추가적으로 CEO 특강 6회 이상 참석하면 1.5 학점 추가이다.

수업 요일

처음에 들을 때는 금/토로 들었지만 실제 개강 즈음에 발표된 일정은 수/금/토가 되었다.

작년에 들으신 분들 말로는 화/목/토 인거 봐서는 커리큘럼상의 금/토 일정에서 교수들의

사정에 따라 수요일이나 다른 평일로 분배가 된거 같다.

처음 커리큘럼 봤을 때 일주일에 2회는 좀 약하지 않나 생각했고 비싼 학비에 비해 아쉽다 생각했는데 

주 2회 수업도 있지만 주 3회 수업을 한다는 것과 학기당 8회 하는 CEO 특강이 1.5 학점 배정된거 보면

적당히 진행하지는 않음을 느낀다.

수업 시간

평일 : 저녁 7시부터 밤 11시까지

토요일 : 아침 9시부터 오후 6시까지

수/금 강의가 있는 날은 11시 채워서 끝나지는 않겠지만 휴식시간 포함해서 3시간씩 2번 듣는다고 하니

널럴하다고 생각되지는 않는다.

CEO 특강

이외에 학기당 8회 하는 CEO 특강을 6회 이상 참석해야 1.5 학점을 이수할 수 있다.    

한 회당 3시간 정도 특강을 하며 주로 기업체 C 레벨들이 와서 특강을 한다.

교재

학사관리 시스템에서 pdf 형식으로 배포한다고 함

회사 지원(계약학과 전형)과 개인 지원의 차이

1. 회사 지원의 경우 학비는 학기당 900만원, 개인 지원은 사회 장학금 90만원 나와서 810만원

2. 회사 지원일 경우 회사에서 반 부담 해야함. 따라서 연말 정산도 450만원만 혜택

3. 회사 지원일 경우 경력 5년 이상이면 9학점 면제가 되는데 개인 지원으로 할 경우 면제 없음

지원할 때 저렇게 구분해서 설명을 해주었으면 좋았는데 행정 업무는 역시 좀 약하다.