Day 33: 개인정보 처리 위탁과 수탁사 관리
1. 개인정보 처리 위탁의 개요
1.1 위탁이란?
정의 : 개인정보처리자가 개인정보 처리 업무의 일부 또는 전부 를 제3자에게 맡기는 것
우리 회사(위탁자)가 할 일을 다른 회사(수탁자)에게 시키는 개념입니다.
[위탁 예시]
- 쇼핑몰 (위탁자) → 택배회사 (수탁자) : 이름, 주소, 전화번호 제공 (배송 목적)
- 은행 (위탁자) → 콜센터 (수탁자) : 이름, 계좌번호, 전화번호 제공 (고객 상담 목적)
- 카드사 (위탁자) → 마케팅 대행사 (수탁자) : 이름, 전화번호, 카드 이용 내역 제공 (SMS 마케팅 목적)
1.2 위탁 vs 제3자 제공
중요한 차이!
| 구분 | 위탁 | 제3자 제공 |
|---|---|---|
| 목적 | 위탁자의 업무 수행 | 제3자 고유 업무 수행 |
| 지시·통제 | 위탁자가 통제 | 통제 없음 |
| 책임 | 위탁자가 책임 | 제3자가 책임 |
| 동의 | 불필요 (공개로 대체) | 필요 |
[위탁 예시]
- 쇼핑몰 → 택배회사
- 쇼핑몰이 시킨 일 (배송), 쇼핑몰이 책임, 동의 불필요 (처리방침 공개만)
[제3자 제공 예시]
- 쇼핑몰 → 제휴 카드사
- 카드사 고유 업무 (카드 발급), 카드사가 책임, 동의 필요
1.3 왜 위탁 관리가 중요한가?
(1) 법적 책임
개인정보보호법 제26조제3항
“개인정보처리자는 수탁자가 처리하는 개인정보에 대하여 이 법을 준수할 책임을 진다”
핵심
- 수탁사가 개인정보 유출해도 → 위탁자 책임
- 수탁사가 법 위반해도 → 위탁자 처벌
(2) 실제 사고 사례
2014년 카드사 개인정보 유출
- 수탁사 직원이 1억건 개인정보 유출
- 카드사 (위탁자) 가 과징금 수백억원 부과
2019년 숙박앱 개인정보 유출
- 수탁사 서버 해킹
- 위탁자가 책임
(3) 실무 현실
대부분의 기업은 콜센터·배송·IT 운영·마케팅 등을 위탁하므로, 수탁사 없이 사업이 불가능하지만 책임은 위탁자에게 있어 철저한 관리·감독이 필수 입니다.
- 콜센터 → 위탁
- 배송 → 위탁
- IT 운영 → 위탁
- 마케팅 → 위탁
2. 법적 근거
2.1 개인정보보호법 제26조 (업무위탁에 따른 개인정보의 처리 제한)
제1항 (위탁 공개)
개인정보처리자는 처리 업무를 위탁하는 경우 다음 내용이 포함된 문서에 의하고 개인정보처리방침을 통해 공개해야 합니다.
- 위탁업무 수행 목적 및 범위
- 수탁자
제3항 (위탁자 책임)
“개인정보처리자는 수탁자가 처리하는 개인정보에 대하여 이 법을 준수할 책임을 진다 "
제4항 (재위탁 제한)
수탁자가 재위탁하는 경우 위탁자의 동의 를 받아야 합니다.
제5항 (수탁자의 의무)
수탁자는 위임받은 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공해서는 안 됩니다.
2.2 시행령 제28조 (위탁 계약 시 포함 사항)
필수 포함 사항
- 위탁업무 수행 목적 외 개인정보 처리 금지
- 기술적·관리적 보호조치
- 재위탁 제한
- 개인정보 관리 현황 점검
- 수탁자 의무 위반 시 손해배상 등 책임
2.3 안전성 확보조치 기준 제11조
제2항 (관리·감독 방법)
“개인정보처리자는 수탁자가 개인정보를 안전하게 처리하는지를 연 1회 이상 점검 하여야 한다”
핵심 : 연 1회 이상 점검 의무, 서면·현장 방문 등 방법 선택 가능
2.4 정보통신망법 제25조
정보통신서비스 제공자의 경우 정보통신망법 제25조에도 동일한 위탁 규정이 적용됩니다.
3. 위탁 절차
3.1 위탁 전 단계
(1) 위탁 필요성 검토
- 정말 위탁이 필요한가?
- 자체 수행 불가능한가?
- 개인정보 최소화 가능한가?
(2) 수탁자 선정
[평가 항목]
- 보안 인증 (ISMS-P, ISO 27001 등)
- 보안 사고 이력
- 보안 조직 (CISO, 보안팀)
- 기술적 보안 (암호화, 접근통제 등)
- 재무 상태 (손해배상 능력)
- 레퍼런스
[수탁자 평가표 예시 - 선정 기준 70점 이상]
- 정보보호 인증 : ISMS-P 보유 (10점) / ISO 27001 보유 (5점) / 없음 (0점)
- 보안 조직 : CISO 임원급 (10점) / CISO 팀장급 (5점) / 전담 조직 없음 (0점)
(3) 위탁 범위 확정
명확히 정의해야 합니다.
- 위탁 업무 : "고객 상담"
- 제공 개인정보 : "이름, 연락처, 계좌번호"
- 처리 기간 : "상담 완료 시까지"
- 보관 기간 : "상담 완료 후 즉시 파기"
3.2 위탁 계약 체결
필수 포함 조항
[1. 위탁 업무의 목적 및 범위]
- 위탁 업무 : 고객 상담 업무
- 처리 개인정보 항목 : 이름, 전화번호, 계좌번호
- 개인정보 주체 수 : 약 100만명
[2. 목적 외 이용·제공 금지]
- 수탁자는 위탁받은 업무 목적 외로 개인정보를 이용하거나 제3자에게 제공 금지
[3. 재위탁 제한]
- 수탁자는 위탁자의 사전 서면 동의 없이 제3자에게 재위탁 불가
- 재위탁 시 재수탁자에 대해 본 계약과 동일한 의무 부과
[4. 안전성 확보 조치]
- 접근 권한 관리
- 접근통제 시스템
- 암호화 (AES-256 이상)
- 접속기록 보관 (2년)
- 악성프로그램 방지
- 물리적 접근통제
[5. 관리·감독]
- 위탁자는 수탁자에 대해 연 1회 이상 점검 실시
- 수탁자는 위탁자의 점검에 협조
- 점검 결과 미흡사항 발견 시 즉시 개선
[6. 개인정보 파기]
- 수탁자는 위탁 업무 종료 시 개인정보를 즉시 파기
- 파기 완료 후 파기 증명서를 위탁자에게 제출
[7. 손해배상]
- 수탁자의 귀책사유로 개인정보 유출 시 위탁자에게 손해 배상
- 배상 한도 : 연간 위탁 금액의 ○배
[8. 비밀유지]
- 위탁 업무 수행 중 알게 된 개인정보 및 영업비밀 누설 금지
- 계약 종료 후에도 동일하게 적용
[9. 교육]
- 수탁자는 개인정보 처리 직원에 대해 연 1회 이상 교육 실시
- 교육 결과를 위탁자에게 제출
[10. 사고 통지]
- 수탁자는 개인정보 침해사고 발생 시 지체 없이 위탁자에게 통지
계약서 체크리스트
[위탁 계약 체결 전 확인 사항]
- 위탁 업무 명확히 정의했는가?
- 제공 개인정보 항목 명시했는가?
- 목적 외 이용 금지 조항 있는가?
- 재위탁 제한 조항 있는가?
- 안전성 확보 조치 구체적으로 명시했는가?
- 관리·감독 조항 있는가? (연 1회 이상)
- 파기 의무 명시했는가?
- 손해배상 조항 있는가?
- 비밀유지 조항 있는가?
- 교육 의무 명시했는가?
3.3 위탁 공개
개인정보처리방침에 공개
필수 항목 : 수탁자 (회사명), 위탁 업무 내용
[개인정보처리방침 공개 예시]
- 수탁자 : ㈜ABC물류 / 위탁업무 : 상품 배송 / 위탁 개인정보 : 이름, 주소, 전화번호
- 수탁자 : ㈜XYZ콜센터 / 위탁업무 : 고객 상담 / 위탁 개인정보 : 이름, 전화번호, 서비스 이용 내역
변경 시 : 수탁자 변경 시 개인정보처리방침 즉시 수정 및 홈페이지 공지
4. 수탁사 관리·감독 (핵심!)
4.1 법적 의무
안전성 확보조치 기준 제11조제2항
“개인정보처리자는 수탁자가 개인정보를 안전하게 처리하는지를 연 1회 이상 점검 하여야 한다”
핵심 : 연 1회 이상 의무, 방법은 서면·현장 방문 등 자율
4.2 점검 주기
최소 요구사항 : 연 1회 이상
실무 권장
- 중요 수탁사 : 연 2회
- 일반 수탁사 : 연 1회
- 신규 수탁사 : 분기 1회 (첫 해)
4.3 점검 방법
(1) 서면 점검
수탁사에게 자가진단표 발송 → 수탁사가 작성 후 증빙 자료와 함께 제출
- 장점 : 비용 낮음, 시간 절약
- 단점 : 신뢰도 낮음, 허위 작성 가능
- 적용 : 소규모 수탁사, 위험도 낮은 업무
(2) 현장 점검
수탁사 사무실 직접 방문 → 시스템 확인, 담당자 인터뷰, 증빙 자료 확인
- 장점 : 신뢰도 높음, 실제 운영 확인 가능
- 단점 : 비용 높음, 시간 소요
- 적용 : 대규모 수탁사, 민감정보·고유식별정보 처리, 고위험 업무
(3) 혼합 점검
서면 점검 + 선별적 현장 점검 (실무에서 가장 많이 사용)
- 서면으로 1차 점검 후 위험도 높은 항목 현장 확인
4.4 점검 항목
1. 관리적 보호조치
[내부 관리계획]
- 내부 관리계획을 수립했는가?
- 개인정보 처리방침을 수립했는가?
- 개인정보 보호책임자를 지정했는가?
[접근 권한 관리]
- 개인정보 접근 권한을 최소한으로 부여하는가?
- 권한을 정기적으로 검토하는가? (분기 1회 이상)
- 퇴직자 권한을 즉시 삭제하는가?
- 권한 부여·변경·말소 이력을 기록·보관하는가?
[교육]
- 개인정보 보호 교육을 연 1회 이상 실시하는가?
- 교육 내용이 적절한가?
- 교육 참석 기록을 보관하는가?
[위탁 계약 - 재위탁]
- 재위탁 시 위탁자의 동의를 받았는가?
- 재수탁자와 별도 계약을 체결했는가?
2. 기술적 보호조치
[접근통제]
- 개인정보처리시스템에 접근통제 시스템을 적용했는가?
- 사용자 계정은 개인별로 부여하는가?
- 공용 계정을 사용하지 않는가?
- 관리자 계정과 일반 계정을 분리했는가?
[인증]
- 비밀번호는 10자 이상, 영문·숫자·특수문자 조합인가?
- 비밀번호를 암호화하여 저장하는가? (SHA-256 이상)
- 관리자 계정은 2차 인증 (OTP 등)을 사용하는가?
[암호화]
- 고유식별정보를 암호화하는가? (AES-256 등)
- 비밀번호를 암호화(해시)하는가? (SHA-256 이상)
- 바이오정보를 암호화하는가?
- 전송 시 암호화 (TLS 1.2 이상)를 사용하는가?
- 암호키를 안전하게 관리하는가?
[접속기록]
- 개인정보 접속기록을 남기는가?
- 접속기록에 접속자, 접속일시, 접속 IP, 처리 내역이 포함되는가?
- 접속기록 보관 기간을 준수하는가? (일반 1년, 5만명 이상 2년)
- 접속기록을 월 1회 이상 점검하는가?
- 접속기록의 위·변조를 방지하는가?
[악성프로그램 방지]
- 백신 프로그램을 설치했는가?
- 백신을 최신 버전으로 유지하는가?
- 실시간 검사를 활성화했는가?
- 정기 전체 검사를 실시하는가? (주 1회 이상)
[보안 패치]
- 보안 패치를 정기적으로 적용하는가?
- 중요 패치는 1개월 이내 적용하는가?
[방화벽 및 침입 탐지·차단]
- 개인정보처리시스템에 방화벽을 설치했는가?
- 방화벽 정책을 정기적으로 검토하는가?
- IDS 또는 IPS를 설치했는가?
- 탐지 로그를 정기적으로 검토하는가?
[보조저장매체 관리]
- USB 등 보조저장매체 사용을 통제하는가?
- 보조저장매체를 암호화하는가?
- 반출입을 기록·관리하는가?
[백업]
- 개인정보를 정기적으로 백업하는가?
- 백업본을 암호화하는가?
- 백업본을 안전하게 보관하는가?
3. 물리적 보호조치
[물리적 접근통제]
- 개인정보 보관 장소에 출입통제를 하는가?
- 출입 기록을 남기는가?
- 출입증을 사용하는가?
[CCTV 및 잠금장치]
- 중요 구역에 CCTV를 설치했는가?
- CCTV 녹화본을 보관하는가? (30일 이상)
- 개인정보 보관 캐비닛에 잠금장치가 있는가?
- 퇴근 시 잠금을 확인하는가?
- 퇴근 시 책상 위 개인정보 문서를 정리하는가?
4. 개인정보 파기
[파기 절차]
- 보유 기간 경과 시 개인정보를 파기하는가?
- 파기 방법이 적절한가? (전자 파일 : 복구 불가 방법, 종이 : 파쇄 또는 소각)
- 파기 기록을 남기는가?
5. 위탁 계약 이행
[계약 준수]
- 계약서상 안전성 확보 조치를 이행하는가?
- 목적 외 이용을 하지 않는가?
- 제3자 제공을 하지 않는가?
- 계약서상 교육 의무를 이행하는가?
- 교육 결과를 위탁자에게 제출했는가?
4.5 점검 프로세스
Step 1 : 사전 준비 (점검 1개월 전)
[점검 계획 수립]
- 점검 일정
- 점검 대상 수탁사 선정
- 점검팀 구성
- 점검 방법 (서면/현장)
[수탁사 점검 안내 공문 발송]
- 점검 일시 : 2024년 4월 15일 (월) 14:00
- 점검 장소 : 수탁사 사무실
- 점검 방법 : 현장 점검
- 점검 내용 : 개인정보 보호 관리 실태
- 제출 자료 : 자가진단표 (첨부)
- 제출 기한 : 점검 5일 전까지
[자가진단표 발송]
- 점검표를 수탁사에 발송
- 수탁사가 사전 작성
Step 2 : 서면 점검 (점검 2주 전)
- 자가진단표 회수 및 내용 검토
- 증빙 자료 확인, 미흡 사항 파악
- 현장 점검 시 중점 항목 선정 및 질문 리스트 작성
Step 3 : 현장 점검 (점검 당일)
[현장 점검 시간표 예시]
- 14:00 - 14:10 오프닝 (인사, 점검 목적 설명)
- 14:10 - 14:30 담당자 인터뷰
- 14:30 - 15:30 시스템 확인 (접근통제, 암호화, 접속기록, 백신)
- 15:30 - 16:00 물리적 보안 확인 (출입통제, CCTV, 보관 장소)
- 16:00 - 16:30 증빙 자료 확인 (교육 기록, 접속기록 점검 기록, 권한 관리 대장)
- 16:30 - 17:00 클로징 (미흡 사항 전달, 개선 요청)
[담당자 인터뷰 주요 질문]
- 개인정보 처리 직원은 몇 명인가?
- 개인정보 보호 교육을 언제 받았는가?
- 개인정보 유출 사고가 발생한 적 있는가?
- 비밀번호 정책이 어떻게 되는가?
- 퇴직자 계정은 어떻게 관리하는가?
[시스템 확인 방법]
- 접근통제 : 비밀번호 복잡도, 변경 주기, 로그인 실패 시 계정 잠금 확인
- 암호화 : DB 접속 후 주민등록번호 암호화, 비밀번호 해시, 알고리즘 확인 (AES-256 등)
- 접속기록 : 접속자·일시·IP·처리 내역 기록 여부, 보관 기간, 점검 기록 확인
- 백신 : 설치 여부, 최신 버전 여부, 실시간 검사 활성화, 정기 검사 스케줄 확인
[물리적 보안 확인 방법]
- 출입통제 : 출입증 확인, 출입 기록부 확인, 외부인 방문 절차 확인
- CCTV : 설치 위치, 녹화 여부, 보관 기간 확인 (30일 이상)
[요청 증빙 자료 목록]
- 내부 관리계획
- 개인정보 처리방침
- 교육 기록 (교육 일시, 참석자, 교육 자료)
- 접속기록 점검 기록 (월 1회)
- 권한 관리 대장
- 백업 기록
- 보안 패치 기록
- 개인정보 파기 기록
Step 4 : 점검 결과 작성 (점검 후 1주일)
[점검 결과 보고서 구성]
- 점검 개요 : 점검 일시, 장소, 방법, 점검자
- 점검 결과 요약 : 총 점검 항목 수, 적합/미흡/부적합 개수 및 비율, 종합 평가
- 미흡 사항 : 항목별 현황, 기준, 개선 요구 내용
- 부적합 사항 (중대) : 암호화 미적용, 퇴직자 계정 미삭제 등 긴급 개선 항목
- 개선 요구 사항 : 미흡 사항 개선 기한, 부적합 사항 긴급 기한, 증빙 자료 제출
- 향후 조치 : 개선 기한 내 미이행 시 계약 해지 검토
Step 5 : 개선 조치 (점검 후 1~2개월)
- 점검 결과 보고서 송부 및 개선 기한 설정
- 중간 점검 (필요 시)
- 증빙 자료 제출 받기 및 필요 시 재방문
- 미이행 시 조치 : 경고 → 재점검 → 계약 해지 (중대 위반 시)
4.6 점검 주기별 전략
[연 1회 정기 점검]
- 대상 : 일반 수탁사
- 방법 : 서면 + 선별 현장
[연 2회 정기 점검]
- 대상 : 중요 수탁사, 민감정보 처리, 대량 개인정보 처리
- 방법 : 1차 서면, 2차 현장
[분기 1회 점검]
- 대상 : 신규 수탁사 (첫 1년), 과거 사고 이력 있는 수탁사
- 방법 : 현장 위주
[수시 점검]
- 대상 : 사고 발생 시, 계약 위반 의심 시
- 방법 : 즉시 현장 점검
5. 위탁 종료 및 재계약
5.1 위탁 종료 시 조치
(1) 개인정보 파기
수탁자는 위탁 종료 즉시 개인정보를 즉시 파기 해야 합니다.
[위탁 종료 파기 절차]
- 1. 위탁 종료 통보
- 2. 수탁자 개인정보 파기
- 3. 파기 증명서 제출
- 4. 위탁자 확인
[개인정보 파기 증명서 포함 항목]
- 파기 일시
- 파기 대상 (항목명, 건수)
- 파기 방법 (로우레벨 포맷 등)
- 파기 담당자 (이름, 직책)
- 수탁사 대표이사 서명
(2) 파기 확인 및 처리방침 수정
- 파기 증명서 확인, 필요 시 현장 확인
- 개인정보처리방침에서 해당 수탁자 즉시 삭제
5.2 재계약
재계약 시에도 새로운 계약서 를 체결하고 개선 사항을 반영해야 합니다.
6. 수탁사 침해사고 대응
6.1 사고 통지
수탁자는 침해사고 발생 시 즉시 위탁자에게 통지해야 합니다.
6.2 위탁자 대응
[즉시 조치]
- 추가 유출 차단
- 영향 범위 파악
[신고 - 수탁자 사고여도 위탁자가 신고]
- 개인정보보호위원회 (또는 KISA)
- 정보주체
[원인 조사]
- 수탁자와 협력하여 사고 원인 분석
- 재발 방지 대책 수립
[손해배상]
- 계약 조항에 따라 수탁자에게 손해배상 청구
6.3 사례
2014년 카드사 개인정보 유출
- 수탁사 (신용정보회사) 직원이 1억건 유출
- 카드사 (위탁자) 가 과징금, 손해배상 부담
- 카드사가 수탁사에 구상권 청구
7. 실무 팁
7.1 수탁사 선정 시
[체크리스트]
- ISMS-P 또는 ISO 27001 인증 보유
- 최근 3년간 사고 이력 확인
- CISO 지정 여부
- 보안 전담 조직 유무
- 재무 상태 (손해배상 능력)
- 레퍼런스 (다른 고객사)
[레드 플래그]
- 최근 1년 내 사고 이력
- 보안 조직 없음
- 재무 상태 불량
7.2 계약 시
[반드시 포함]
- 안전성 확보 조치 (구체적으로)
- 관리·감독 (연 1회 이상)
- 손해배상 (한도 명시)
- 재위탁 제한
[협상 포인트]
- 손해배상 한도 (위탁 금액의 3~5배)
- 점검 협조 (자료 제출, 현장 출입)
7.3 점검 시
[효율적 점검]
- 자가진단표 먼저 받기
- 중요 항목 현장 확인
- 증빙 자료 사전 요청
[점검 시 주의]
- 친절하되 엄격하게
- 발견 사항은 즉시 전달
- 개선 기한 명확히
7.4 증적 관리
[보관 자료 (최소 3년, 법적 분쟁 대비)]
- 위탁 계약서
- 점검 계획
- 자가진단표
- 점검 결과 보고서
- 개선 조치 결과
8. 자주 묻는 질문 (FAQ)
Q1 : 수탁사 점검을 안 하면 어떻게 되나요?
A
- 안전성 확보조치 기준 위반
- 과태료 (최대 3천만원)
- 개인정보 유출 시 위탁자 책임 (관리·감독 소홀)
Q2 : 수탁사가 점검을 거부하면?
A
- 계약 위반
- 계약 해지 사유
- 손해배상 청구 가능
Q3 : 수탁사 점검은 누가 하나요?
A
- 위탁자가 직접
- 또는 외부 전문기관에 위탁 (보안 컨설팅 회사 등)
Q4 : 점검 결과를 어디 보고하나요?
A
- 법적 보고 의무 없음
- 단, 내부 보고 (경영진)
- 증적 보관 (3년)
Q5 : 수탁사가 재위탁하려면?
A
- 위탁자의 사전 서면 동의 필수
- 재수탁자도 동일한 점검 필요
Q6 : 수탁사가 여러 개면?
A
- 모든 수탁사 점검 필요
- 우선순위 : 중요도, 위험도 고려
Q7 : 외국 수탁사는?
A
- 동일하게 점검 필요
- 현장 점검 어려우면 서면 + 화상
9. 체크리스트 총정리
위탁자 체크리스트
[위탁 전]
- 수탁자 선정 (보안 인증, 사고 이력 등)
- 위탁 범위 명확히 정의
- 위탁 계약서 체결 (필수 조항 10개 포함)
- 개인정보처리방침 공개
[위탁 중]
- 연 1회 이상 점검 실시
- 점검 결과 보고서 작성
- 미흡 사항 개선 요구
- 개선 완료 확인
[위탁 종료]
- 개인정보 파기 요구
- 파기 증명서 수령
- 개인정보처리방침 수정
수탁자 체크리스트
[계약 시]
- 계약 내용 숙지
- 안전성 확보 조치 구현
[운영 중]
- 계약 준수 (목적 외 이용 금지, 제3자 제공 금지)
- 안전성 확보 조치 이행
- 교육 실시 (연 1회)
- 점검 협조
[종료 시]
- 개인정보 즉시 파기
- 파기 증명서 제출
학습 정리
오늘 학습한 핵심 내용
- 개인정보 처리 위탁 : 업무를 다른 회사에 맡기는 것
- 위탁 vs 제3자 제공 : 지시·통제 여부, 책임 주체
- 법적 근거 : 개인정보보호법 제26조, 안전성 확보조치 기준 제11조
- 위탁 계약 필수 조항 10개 (목적, 재위탁 제한, 안전성 확보, 관리·감독, 손해배상 등)
- 수탁사 관리·감독 : 연 1회 이상 점검 의무
- 점검 방법 : 서면, 현장, 혼합
- 점검 항목 : 관리적, 기술적, 물리적 보호조치 (약 100개)
- 점검 프로세스 : 사전 준비 → 서면 점검 → 현장 점검 → 결과 작성 → 개선 조치
- 수탁자 사고 시 위탁자 책임 (관리·감독 소홀)
- 위탁 종료 시 개인정보 즉시 파기 + 증명서
- 실무 : 보안 컨설팅 회사가 위탁자 대신 수탁사 점검 대행
다음 학습 주제
Day 34: 개인정보 영향평가 (PIA)