※ 주의! 이 글은 법령 해석이 아닌 지극히 개인적인 의견일 뿐이며 이를 근거로 업무를 처리하실 수는 없습니다.
업무를 처리하다보면 간혹 개인정보 열람/정정/삭제 요구가 발생하게 된다.
이는 개인정보보호법과 정보통신망법에서 규정하는 정보주체의 권리로 개인정보처리자는 분명 이에 대해 응해야 할 의무를 가진다.(정보통신망법 제30조, 제35~38조)
다만, 개인정보보호법 시행령에서는 열람 대상을
1. 개인정보의 항목 및 내용
2. 개인정보의 수집ㆍ이용의 목적
3. 개인정보의 보유 및 이용기간
4. 개인정보의 제3자 제공 현황
5. 개인정보 처리에 동의한 사실 및 내용
으로 정의하고 있으며
정보통신망법에서는 열람 대상을
1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보
2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황
3. 정보통신서비스 제공자등에게 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 한 현황
으로 정의하고 있다.
이 때, 정보주체는 자신의 개인정보를 열람한 개인정보처리자의 접속기록(개인정보처리자의 이름, IP, 처리일시, 처리목적 등)을 요구할 수 있을 것인가에 대한 의문이 생긴다.
개인정보보호법에서는 접속기록을 열람할 어떠한 근거도 보이지 않는다.
하지만 정보통신망법의 열람대상 중 2호 중 개인정보 이용 현황에 대해 해석하면 접속기록도 결국 이용 현황으로 볼 수 있지 않을까라는 생각이 든다.
정보보호업무를 하고는 있지만 나 역시도 정보주체의 한 사람으로써 자기결정권 측면에서 정보주체로서 자신의 정보에 대한 권리는 행사할 수 있어야 한다고 생각한다.
그러나, 현실적으로 개인정보처리자의 접속기록에 처리한 정보주체의 정보를 하나하나 남기기는 쉽지 않다. 따라서, 개인정보의 안전성 확보조치 기준에서는 접속기록에 정보주체의 정보를 남기도록 하고 있으면서도 해설서에서 대량의 정보를 처리하는 경우 쿼리를 기록하고 책임추적성 확보를 위한 노력을 하도록 하고 있다.
이 때, 접속기록을 쿼리로 남긴 경우 결국 특정 1인의 정보주체에 대한 정보를 처리(열람, 수정, 삭제 등)를 했는지 확인하기 위해서는 사내에 남아있는 모든 쿼리에 대한 결과를 재점검하는 노력이 필요하다. 이 작업은 법령에 따라 1년 또는 2년치의 모든 쿼리를 다시 돌려봐야 하며 회사에 회원업무를 처리하는 개발자 또는 DB 담당자가 많지 않은 경우 이 작업을 위해 회사의 타 업무를 마비시켜야 하는 경우가 발생할 수 있다.
또한 공공기관에 로그를 요구하였으나 이는 시간적 경제적 부담없이 쉽게 생성할 수 있는 정보가 아니기 때문에 정보공개요청 대상이 아니라는 행정심판례가 존재한다.(http://law.go.kr/deccInfoP.do?mode=3&deccSeq=205455)
물론, 해당 행정심판례는 개인정보보호법이나 정보통신망법이 아닌 '공공기관의 정보공개에 관한 법률'을 근거로 하고 있어 직접적으로 동일한 내용으로 해석하기는 어려울 것으로 보인다.(공공기관인 경우 동일한 내용으로 해석이 가능하지 않을까 싶다.)
다만, 시간적 경제적 부담없이 생성하기 어렵다는 점은 공공/민간과 상관없이 동일하기 때문에 해당 내용은 개인정보 열람 요구권의 대상이 되어서는 안된다는 생각이 든다.
※ 주의! 이 글은 법령 해석이 아닌 지극히 개인적인 의견일 뿐이며 이를 근거로 업무를 처리하실 수는 없습니다.
'보안 이야기' 카테고리의 다른 글
SECON 일정 연기 (0) | 2020.02.19 |
---|---|
SECON2020 사전등록 (0) | 2019.12.22 |
18년 ISMS, PIMS 인증심사원 자격검정 안내 (0) | 2018.01.11 |
[리뷰] 실무자가 말하는 모의해킹 (0) | 2017.12.20 |
개인정보 유효기간제 (0) | 2016.01.16 |