주민등록번호를 포함한 신분확인은 법령 근거가 명확하게 있을 때에만 수집·처리가 가능하다. 육안 확인만으로 신분증을 반환하는 경우 기록·저장·복사 등 추가 행위가 없으면 처리로 보지 않을 수 있지만, 기록·복사·촬영·메모 등의 동반이 있으면 법령 근거가 필요하다. 따라서 신분 확인 시 즉시 반환과 기록 금지를 매뉴얼화하는 것이 안전하다. 채용 절차에서 지원자의 주민등록번호를 요구하는 것은 보호법 제24조의2 위반에 해당하며, 채용 확정 후 4대 보험·근로계약 체결 등 법령상 명시된 처리 근거가 발생하는 시점에 한해 수집할 수 있다. 생년월일이나 성별·연령대 등으로 충분하고 주민등록번호를 요구하는 경우는 최소화해야 한다. 경찰의 습득물 신고 시 주민등록번호 수집은 명확한 법령 구체적 근거가 있는 경우에 한해 가능하나, 실무상 식별은 이름·연락처 등으로 충분히 가능하므로 자제하는 것이 원칙이다.
위·수탁 처리에서도 민감정보, 고유식별정보, 주민등록번호의 위탁이 가능하더라도 정보주체에 대한 사전 고지나 처리방침에 위탁 사실을 명시해야 한다. 다만 수탁자의 안전조치 이행 능력 평가, 재위탁 통제, 수탁자 정기 감독, 재위탁 제한 등 거버넌스가 강화되어야 한다. 특히 클라우드나 콜센터, 문서고 등 외부 의존이 큰 영역은 민감정보와 주민등록번호 전용 보관소를 구분하는 것을 권장한다.
실무자 체크리스트는 민감정보 처리의 7단계로 구성된다. 정보 유형 분류, 법령 근거 또는 별도 동의 확보(주민등록번호는 동의 불가, 반드시 법령 근거), 처리 목적·범위·기간의 명시, 대체수단 제공으로 강제 회피, 표준 암호화와 접근통제·접속기록·정기점검 등 안전조치, 위탁 시 수탁자 능력 평가와 재위탁 관리 및 정기 감독, 침해 사고 시 72시간 이내의 신고와 정보주체 통지를 포함한다.
자주 묻는 질문에서는 임시 대체수단으로 안면인식 사용 시에도 명시적 예외와 즉시 파기 절차를 갖추면 가능하나 단순히 직원의 동의에 의존하는 운영은 위험하다고 본다. 가족관계증명서·등본은 민감정보 직접은 아니지만 사실상 민감정보에 준하는 보호 필요가 있다. 보안 회사의 출입자 얼굴 영상 학습은 본인 동의 없이 사용하면 다층적 위반 가능성이 크므로 별도 동의나 가명처리 등 조건이 필요하다. 병원 환자 사진의 SNS 게시도 건강정보의 비밀유지 의무와 함께 얼굴 식별 차단 등 비식별화 절차가 선행되어야 하며, 의료법 위반 시 형사처벌 가능성까지 있다.
![[6] 민감정보·고유식별정보·주민등록번호 처리 - 변호사가 정리한 민감정보 영역 8가지 핵심 쟁점](https://mblogthumb-phinf.pstatic.net/MjAyNjA2MDdfMjMz/MDAxNzgwODIxNTc4ODY2.kFDl0LYTf-eoly378UVPsIDesYY41F0wIHtz5lb8M3wg.o_jM9gVorLi4DvNjptNyqpwc_f2nJ24EjhHcxVfA7j0g.JPEG/blog06_%B1%D7%B8%B21.jpg?type=w2)
#
2025개인정보
#
생체정보위탁
#
신분증확인
#
안면인식
#
얼굴사진
#
의료개인정보
#
주민등록번호
#
지문인식
#
채무정보
#
채용주민번호
#
한부모정보
#
생체인식정보
#
보호법24조의2
#
보호법24조
#
PIPA
#
개인정보보호법
#
고유식별정보
#
근태관리
#
네이버블로그변호사
#
민감정보
#
민감정보과징금
#
민감정보컨설팅
#
법무법인차온
#
보호법23조
#
헬스장출입
