흔히 알고 계시는 ISMS인증 의무대상자(정보통신망법 제47조 2항)의 조건 중에
"전년도 일일평균 정보통신서비스 이용자 수가 100만 명 이상인 자"는 들어보셨을 것이라 생각합니다.
그 외에도 "전년도 말 기준 직전 3개월 간 일일평균을 기준"으로 "100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자"에 대해
개인정보보호법 및 개인정보 안전성 확보조치 기준에서 별도로 규정하고 있는 의무가 존재합니다.
※ 100만명 이상 이용자/정보주체 수 산정 방법
- 저장·관리되고 있는 이용자/정보주체 수 기준으로 산정
- 제공하는 서비스가 다수일 때는 전체를 합산하여 적용하되, 중복으로 저장ㆍ관리되고 있는 이용자/정보주체는 1명으로 산정
: Ex) "A 서비스" 50만명 + "B 서비스" 50만명 = 100만명 (다만, A와 B 서비스의 중복 이용자는 1명으로 계산함)
- 전년도 말 기준 직전 3개월간 일일평균 100만명 이상으로 산정
: 전년도 10월 1일~12월31일까지 매일 저장·관리되고 있는 정보주체 수의 총합을 92로 나눈 수가 100만명 이상인 경우를 의미
- DAU(Daily Active Users)와의 차이
: DAU는 하루 동안 실제로 서비스에 접속·활동한 이용자 수(활성이용자)이며 서비스 운영·마케팅 지표로 주로 사용
: DAU가 100만명 미만이어도 가입자(보유 개인정보) 수가 일일평균 100만명을 넘는경우 법적 의무대상 포함
: Ex) 가입자 120만명, DAU 30만명 → 고지 의무 대상(보유 인원 기준 충족)
발생되는 법적 의무는 총 3가지로 말씀드릴 수 있습니다.
1. 망분리(인터넷망 차단) : 개인정보안전성 확보조치 기준 제6조(접근통제) 제6항
- 개인정보처리시스템(LMS, DB 등)에서 개인정보를 다운로드, 파기, 접근권한 설정을 할 수 있는 개인정보취급자의 컴퓨터에서는 인터넷망을 차단하여야 함
- 망분리된 PC에서 인터넷망 PC로의 파일반출입 시 USB 사용 또는 망연계 솔루션이 적용되어야 함
※ 3천만원 이하 과태료 : 개인정보보호법 제75조(과태료)제2항제5호
※ 전체매출액의 100분의 3 이내 과징금(개인정보 유출 시 안전성 확보 조치를 다하지 않은 경우로 보호위원회가 산정) : 개인정보보호법 제64조의2(과징금의 부과) 제1항제9호
2. 개인정보 이용제공내역 통지 : 개인정보보호법 제20조의2, 개인정보보호법 시행령 제15조의3
- 정보주체에게 다음 내용에 대하여 연 1회 이상 메일, 문자, 알림톡 등을 활용하여 통지하여야 함
: 개인정보의 수집ㆍ이용 목적 및 수집한 개인정보의 항목
: 개인정보를 제공받은 제3자와 그 제공 목적 및 제공한 개인정보의 항목
※ 3천만원 이하 과태료 : 개인정보보호법 제75조(과태료) 제2항제3호
3. 간접 수집 출처 고지 : 개인정보보호법 제20조, 개인정보보호법 시행령 제15조의2
- 제3자에게 제공받은 개인정보(네이버, 카카오 등 간편가입을 통해 제공받은 개인정보)에 대하여 다음 내용을 연 1회 이상 메일, 문자, 알림톡 등을 활용하여 통지하여야 함
: 개인정보의 수집 출처
: 개인정보의 처리 목적
: 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실
※ "2. 개인정보 이용제공내역 통지"와 함께 통지하여 갈음할 수 있음
흔히 알고 계시는 ISMS인증 의무대상자(정보통신망법 제47조 2항)의 조건 중에
"전년도 일일평균 정보통신서비스 이용자 수가 100만 명 이상인 자"는 들어보셨을 것이라 생각합니다.
그 외에도 "전년도 말 기준 직전 3개월 간 일일평균을 기준"으로 "100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자"에 대해
개인정보보호법 및 개인정보 안전성 확보조치 기준에서 별도로 규정하고 있는 의무가 존재합니다.
※ 100만명 이상 이용자/정보주체 수 산정 방법
- 저장·관리되고 있는 이용자/정보주체 수 기준으로 산정
- 제공하는 서비스가 다수일 때는 전체를 합산하여 적용하되, 중복으로 저장ㆍ관리되고 있는 이용자/정보주체는 1명으로 산정
: Ex) "A 서비스" 50만명 + "B 서비스" 50만명 = 100만명 (다만, A와 B 서비스의 중복 이용자는 1명으로 계산함)
- 전년도 말 기준 직전 3개월간 일일평균 100만명 이상으로 산정
: 전년도 10월 1일~12월31일까지 매일 저장·관리되고 있는 정보주체 수의 총합을 92로 나눈 수가 100만명 이상인 경우를 의미
- DAU(Daily Active Users)와의 차이
: DAU는 하루 동안 실제로 서비스에 접속·활동한 이용자 수(활성이용자)이며 서비스 운영·마케팅 지표로 주로 사용
: DAU가 100만명 미만이어도 가입자(보유 개인정보) 수가 일일평균 100만명을 넘는경우 법적 의무대상 포함
: Ex) 가입자 120만명, DAU 30만명 → 고지 의무 대상(보유 인원 기준 충족)
발생되는 법적 의무는 총 3가지로 말씀드릴 수 있습니다.
1. 망분리(인터넷망 차단) : 개인정보안전성 확보조치 기준 제6조(접근통제) 제6항
- 개인정보처리시스템(LMS, DB 등)에서 개인정보를 다운로드, 파기, 접근권한 설정을 할 수 있는 개인정보취급자의 컴퓨터에서는 인터넷망을 차단하여야 함
- 망분리된 PC에서 인터넷망 PC로의 파일반출입 시 USB 사용 또는 망연계 솔루션이 적용되어야 함
※ 3천만원 이하 과태료 : 개인정보보호법 제75조(과태료)제2항제5호
※ 전체매출액의 100분의 3 이내 과징금(개인정보 유출 시 안전성 확보 조치를 다하지 않은 경우로 보호위원회가 산정) : 개인정보보호법 제64조의2(과징금의 부과) 제1항제9호
2. 개인정보 이용제공내역 통지 : 개인정보보호법 제20조의2, 개인정보보호법 시행령 제15조의3
- 정보주체에게 다음 내용에 대하여 연 1회 이상 메일, 문자, 알림톡 등을 활용하여 통지하여야 함
: 개인정보의 수집ㆍ이용 목적 및 수집한 개인정보의 항목
: 개인정보를 제공받은 제3자와 그 제공 목적 및 제공한 개인정보의 항목
※ 3천만원 이하 과태료 : 개인정보보호법 제75조(과태료) 제2항제3호
3. 간접 수집 출처 고지 : 개인정보보호법 제20조, 개인정보보호법 시행령 제15조의2
- 제3자에게 제공받은 개인정보(네이버, 카카오 등 간편가입을 통해 제공받은 개인정보)에 대하여 다음 내용을 연 1회 이상 메일, 문자, 알림톡 등을 활용하여 통지하여야 함
: 개인정보의 수집 출처
: 개인정보의 처리 목적
: 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실
※ "2. 개인정보 이용제공내역 통지"와 함께 통지하여 갈음할 수 있음