[CPPG] 개인정보파일의 개념

 
개인정보 보호법을 공부할 때 개인정보파일의 개념이 모호했는데 개인정보관리사 사이트의 자료실에 등록되어 있는 “개인정보관리사 자격검정 대비 가이드 북”에 설명된 개인정보파일의 개념을 읽고 제대로 이해하게 되었습니다. 저처럼 개인정보파일의 개념이 모호한 분들에게 도움이 되었으면 합니다.

• 개인정보파일은 개인의 이름이나 고유한 식별자 등을 사용하여 일정한 규칙에 따라 ‘검색이 가능’하도록 체계적으로 배열, 구성된 개인정보의 집합물(集合物, Collection)을 의미한다. 개인정보 파일은 반드시 전자기적으로 배열된 데이터의 구성만을 의미하지는 않으며, 수기로 작성된 문서 역시 위에서 정의된 구성요건을 충족하는 경우 개인정보파일에 해당 될 수 있다.
  예를 들어, 업무 목적상 수집된 거래상대방의 명함을 수집하여, 이를 폴더 형식의 명함첩(일명 ‘오거나이저’) 등에 체계적으로 정리하여 운용하는 경우 이 명함첩 역시 개인정보파일에 해당하게 될 것이다. 참고로 ‘표준 개인정보 보호지침 제6조(개인정보의 수집)제3항’에서는 개인정보처리자가 정보주체로부터 직접 명함 또는 그와 유사한 매체(이하 “명함 등”이라 함)를 제공받음으로써 개인정보를 수집하는 경우, 정보 주체가 동의의사를 명확히 표시하거나 그렇지 않은 경우 명함 등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있다고 명시 하고 있다.
  또한 같은 지침 제13조(동의를 받는 방법) 제5항에서는 1.친목단체의 가입을 위한 성명, 연락처 및 친목단체의 회칙으로 정한 공통의 관심사나 목표와 관련된 인적사항 2 친목단체의 회비 등 친목유지를 위해 필요한 비용의 납부현황에 관한 사항 3.친목단체의 활동에 대한 구성원의 참석여부 및 활동내용에 관한 사항 4.기타 친목단체의 구성원 상호간의 친교와 화합을 위해 구성원이 다른 구성원에게 알리기를 원하는 생일, 취향, 및 가족의 애경사 등에 관한 사항에 대해서는 같은 조 제1항에 의한 의무(필수정보 및 선택정보의 구분)를 부담하지 않는다고 명시하고 있다.
• 여기서 ‘일정한 규칙’은 반드시 이름ㆍ주소ㆍ전화번호 등 개인정보 항목이 오름차순(Ascending Order) 또는 내림차순(Descending Order)으로 정렬된 것만을 의미하지 않는다. 개인정보파일에 포함된 개인정보 항목의 검색을 가능하게 하는 규칙이 존재하는 경우라면 규칙의 정밀함이나 통용성 등은 크게 중요하지 않다고 판단하여야 한다.
  예를 들어, 스프레드시트(Spreadsheet)에 거래 상대방의 개인정보를 일정한 순서 없이 정리해 놓았다고 하여 ‘체계적으로 배열하거나 구성’한 것이 아니라는 주장은 설득력이 없다는 것이다. 왜냐하면, 스프레드시트 S/W에 내장된 다양한 검색 기능을 통해 개인정보처리자가 원하는 개인정보를 쉽게 검색할 수 있기 때문이다. 또한, 이름ㆍ주소ㆍ전화번호 등을 일정한 행(Column)에 배열한 행위 자체가 개인정보를 체계적으로 배열ㆍ구성한 것이라는 사실에도 유의하여야 한다.
  이는 관계형 데이터베이스(Relational Database)로 구성된 개인정보의 집합물에서 반드시 Primary Key(기본 키)가 존재하지 않아도 해당 데이터베이스가 개인정보파일로 인정될 수 있음을 의미한다.