마케팅 대행사가 꼭 준비해야 할 개인정보보호 3가지
연 1회 대행사 점검… 개인정보 관리 부실하면 계약 악영향
대기업과 협업을 앞둔 마케팅 대행사는 이벤트 참여자의 개인정보를 올바르게 수집하고 처리하기 위해 관련 개인정보보호법을 꼭 숙지해야 합니다. 오늘은 대기업(이하 위탁사)과 협업 전 마케팅 대행사가 준비해야 할 개인정보보호에 대해 알아봅니다.
마케팅 대행사의 책임
마케팅 대행사는 개인정보보호 규제에 따라 ‘수탁자’로서 위탁사의 개인정보를 처리하게 됩니다. 만약 대행사에서 개인정보 유출 사고를 발생하면, 개인정보보호 규제에 따라 위탁사에 1차 책임이 있고, 위탁사가 대행사에 구상권을 청구하게 되는데요.
그러다 보니 협업하는 기업의 규모가 클수록 개인정보 보호에 대한 요구사항은 더욱 구체적이고 까다로워집니다. 그리고 협업하는 기업이 금융사인지, 제공하는 서비스가 클라우드 서비스인지, 민감정보나 고유식별정보를 처리하는지 등에 따라 적용받는 규제가 더 많아져 사전에 준비해야 하는 보호조치도 다양합니다.
반드시 준비할 사항은?
오늘은 어떤 업종이든 관계없이 마케팅 업무를 대행할 때 필수적으로 준비해야 하는 개인정보보호 요구사항에 대해 알아보겠습니다.
1. 개인정보보호 정책 및 관리 방안 수립
✅ 정책 및 절차 수립
개인정보보호 정책과 절차를 수립해야 합니다. 여기에는 개인정보 보호 규제의 요구사항에 기반해 작성돼야 하며 사내 개인정보보호 책임자와 담당자의 역할과 책임이 반드시 포함돼야 합니다. 이를 통해 기업은 조직 내에서 개인정보와 관련된 업무 절차가 표준화되고, 안전하게 관리하여 개인정보 유출과 같은 보안 사고의 위험을 줄일 수 있는 체계가 수립되어 있는지 등을 확인 할 수 있습니다.
✅ 직원에 대한 점검 및 교육 계획 수립
수립한 정책과 절차에 기반하여 개인정보를 처리하는 직원을 주기적으로 점검하고 정기적으로 교육할 수 있도록 계획해야 합니다. 개인정보보호 교육은 형식적인 교육이 아니라 마치 소방 훈련처럼, 직원들이 실제 상황에서 어떻게 개인정보를 수집하고 처리해야 할지 숙지할 수 있도록 진행하는 것이 중요합니다.
2. 계약서에 포함될 개인정보 보호
✅ 처리 목적 및 항목 식별
개인정보 처리 업무 계약 시 개인정보보호에 대한 사항을 반드시 문서화해야 합니다. 이때 포함되는 내용이 바로 개인정보의 처리 목적과 항목입니다. 예를 들어 고객에게 광고 메일 발송을 대행할 때, 수집한 이메일 주소를 메일링 목적 외로 사용하지 않아야 합니다. 또한 메일링 서비스를 위해 필요한 최소한의 개인정보만 처리해야 합니다. 그렇지 않을 경우, 개인정보를 목적 외로 이용하거나 과다 수집의 문제로 번질 수 있습니다. 더 나아가면 개인정보 유출로 번질 수 있습니다. 계약 단계부터 대행하는 업무의 목적과 처리하는 개인정보 항목을 명확하게 식별해야 추후 계약이 진행될 때 문제를 예방할 수 있습니다.
✅ 파기 시점과 방법
계약서에는 처리하는 개인정보의 보유·이용 기간도 명시해야 합니다. 계약 기간 중에는 보유·이용 기간이 도래하면, 해당 정보를 파기하였는지 주기적으로 점검 또는 파기 확인서를 제출하도록 하고 있어서 계약 시점에 보유 이용 기간을 정합니다. 예를 들어 광고 메일 발송 대행 업무의 경우 이용자가 광고 동의를 철회하면 더 이상 철회자의 이메일 주소는 필요하지 않게 됩니다. 이에 해당 개인정보는 파기해야 합니다.
✅ 재위탁 여부 확인 및 사전동의
개인정보를 다른 업체에 재위탁 시, 그 사실을 고객에게 사전에 명확히 알리고 동의를 받아야 합니다. 이는 최근 강화된 개인정보보호 규제의 요구사항으로, 개인정보 처리 과정에서 ‘누가·언제·어떻게’ 처리하는지를 고객에게 투명하게 알리기 위해 계약하는 위탁사의 개인정보처리방침에 재위탁사가 공개되어야 하기 때문입니다. 더불어 재위탁 과정에서 발생할 수 있는 법적, 운영적 리스크를 관리하는 데 개인정보 유출 또는 오용의 책임을 명확히 하는 측면에서도 중요합니다.
3. 기술적 보호 조치
✅ 접근 권한 및 접속 기록 모니터링
위탁사로부터 제공받거나 수집한 개인정보를 안전하게 관리하기 위해서는 대행 업무를 담당하는 직원을 특정하고 해당 직원에게만 데이터베이스 접근을 허용해야 합니다. 이를 통해 ‘누가·언제·접근했는지’ 기록을 남겨 개인정보의 유출 또는 오남용의 책임을 명확하고 문제가 발생할 때 책임을 추적할 수 있습니다. 접속기록은 개인정보보호 규제에 따라 매월 점검하고 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록해야 합니다.
✅ 어드민 시스템이 있다면 로그인 2단계 인증
어드민(Admin) 시스템을 이용하여 개인정보를 처리하는 경우 아이디와 비밀번호 외 추가적인 인증수단(예: 이메일로 전송된 일회용 코드, OTP 등)으로 로그인 시 2단계 인증을 적용해야 합니다. 이는 단순히 아이디와 비밀번호만을 사용하는 것보다 훨씬 강력한 보안을 제공하며, 무단 접근을 효과적으로 방지할 수 있기에 개인정보보호 규제의 필수 요구사항 중 하나입니다.
✅ 어드민 시스템이 없다면 파일 암호화 설정
엑셀과 같은 파일 형태로 개인정보를 처리하는 경우 개인정보가 포함된 파일은 암호화 설정을 해야 합니다. 엑셀 파일의 경우 파일 탭의 ‘정보’ → ‘문서 암호화’ 옵션에서 암호를 설정할 수 있습니다. 이는 개인정보 파일을 오발송하는 등 무단 접근을 효과적으로 방지할 수 있기에 개인정보보호 규제의 필수 요구사항 중 하나입니다.
만약 준비가 제대로 되지 않는다면?
위탁사는 개인정보보호 규제에 따라 연 1회 마케팅 대행사를 점검하고 교육해야 할 의무가 있습니다. 이 과정에서 마케팅 대행사의 개인정보 관리가 부실할 경우 재계약에 영향을 주거나 때에 따라 계약 해지 등 부정적인 결과를 초래할 수 있습니다. 계약 단계부터 개인정보보호 관련 자료와 현황을 면밀히 준비하여 애써 만든 기회를 놓치지 마시고 꽉 잡으시길 바랍니다.
지금까지 대기업과 협업 하기 전 마케팅 대행사가 준비해야 할 개인정보보호를 알아봤는데요. 캐치시큐는 수탁사 점검을 진행하며 전문 대응 인력이 없어 어려움을 겪는 담당자를 많이 접했습니다. 처음에는 자료를 준비하는 것이 어렵게 느껴질 수 있지만, 한 번 제대로 준비해 둔다면 매년 진행되는 수탁사 점검은 물론, 다른 대기업과의 협업에 더 쉽고 빠르게 대응할 수 있습니다.
