한국인터넷진흥원(KISA)이 개인정보를 자동처리하는 사물인터넷(IoT) 서비스와 관련해 개인정보보호 가이드라인을 발간했다. 서비스 기획과 설계 단계부터 개인정보 보호를 고려하는 '프라이버시 바이 디자인(PbD)' 개념이 국내 최초로 적용됐다.
'프라이버시 바이 디자인'은 개인정보 침해 발생 후 조치하는 것이 아니라 발생 가능한 위협을 서비스 기획과 설계 단계부터 예측해 개인정보를 보호하자는 개념이다.
사업자는 기획 단계에서 서비스에 필요한 개인정보인지, 개인정보 수집 시 법적 준수사항이 무엇인지 확인해야 한다.
설계 단계에서는 △필요한 개인정보만 최소한 처리 △개인정보 처리 단계별 안전조치 적용 △개인정보 처리 절차와 방법 공개 △정보주체가 권리를 쉽게 행사할 수 있도록 보장 △개인정보 제3자 제공과 위탁 시 안내 △서비스 해지 시 개인정보 파기와 추가 수집 방지 △사업 종료 시 정보주체 권리 보장 방안 등이 포함돼야 한다.
점검 단계에서는 개인정보를 보호하기 위한 조치가 설계에 반영됐는지, 개인정보 침해 위험은 없는지 확인해야 한다.
가이드라인에는 사업자가 준수해야 할 'IoT 등에서 자동처리하는 개인정보 보호 10대 수칙'도 담겼다. 개인정보보호 종합포털 누리집 자료마당에서 내려받을 수 있다.
권현준 KISA 개인정보보호본부장은 “홈 폐쇄회로(CC)TV, 스마트TV 등 IoT 기기가 개인정보를 실시간 처리하는 만큼 개인정보 침해 가능성에 대비해야 한다”면서 “이번 가이드라인이 사업자가 이용자 개인정보를 보호하는 데 도움되길 바란다”고 말했다.
오다인기자 ohdain@etnews.com