제조업·반도체 기업 개인정보보호법 완전 가이드

제조업, 특히 반도체·디스플레이 등 첨단 제조 기업은 보안 목적으로 방대한 개인정보를 처리합니다. 직원·협력업체·방문자의 출입 기록, 생체인증 데이터, 공장 CCTV 영상이 핵심이며, 이는 PIPA(개인정보보호법)상 민감정보 처리 의무와 충돌하는 지점이 많습니다.

1. 출입 통제 시스템

출입카드·RFID

출입카드 기반 출입 기록은 직원의 근태·동선 정보로서 개인정보에 해당합니다.

| 항목 | 기준 | |------|------| | 수집 목적 | 보안 구역 접근 통제, 근태 관리 | | 보관 기간 | 내부 규정으로 정함 (통상 1~3년) | | 접근 권한 | 보안팀, 인사팀 (최소 권한 원칙) | | 열람 요청 | 직원 본인 요청 시 제공 의무 |

생체인증 (지문·홍채·얼굴인식)

생체인증 데이터는 PIPA 제23조의 민감정보입니다. 수집 시 명시적 별도 동의가 필요합니다.

[별도 동의 필수]
생체 정보(지문/얼굴/홍채) 처리 동의

- 목적: 클린룸·보안 구역 출입 인증
- 항목: 지문 특징점 데이터 (원본 이미지 미저장)
- 보관: 재직 기간 중 + 퇴직 후 즉시 파기
- 거부 권리: 동의 거부 시 IC카드 대체 수단 제공
  ※ 동의 거부를 이유로 불이익 처우 금지

핵심: 생체인증 동의를 입사 동의서에 묶어 처리하는 것은 위반입니다. 반드시 별도 서식으로 선택적 동의를 받고, 대체 수단(IC카드 등)을 제공해야 합니다.

얼굴인식 카메라

AI 얼굴인식 출입 시스템은 지문보다 더 높은 규제 리스크를 가집니다.

• 얼굴 이미지를 AI 모델에 학습시키는 경우 별도 동의 필요
• 방문자·협력업체 직원에게도 동일한 동의 절차 적용
• 개인정보보호위원회 2023년 가이드라인: 얼굴인식은 필요 최소한으로만 사용

2. 공장 CCTV

제조 현장 CCTV는 안전사고 예방과 보안을 목적으로 광범위하게 설치됩니다.

설치 기준

| 구역 | 설치 가능 여부 | |------|----------------| | 공장 출입구·외벽 | 가능 (안내판 필수) | | 생산 라인·작업장 | 가능 — 단, 안전·품질 목적 명시 | | 탈의실·샤워실 | 절대 금지 | | 휴게실 | 제한적 허용 (근로기준법과 충돌 주의) | | 클린룸 내부 | 가능 — 보안 목적 명시 |

근로자 감시 목적 CCTV

생산성 감시 목적으로 작업자를 지속 촬영하는 CCTV는 근로기준법 제8조(직장 내 괴롭힘 금지) 및 PIPA와 충돌할 수 있습니다. 반드시 취업규칙이나 단체협약에 근거를 두고 근로자 대표와 협의해야 합니다.

보관 기간 및 열람

• 일반 안전·보안 목적: 30일 원칙
• 사고 발생 시 증거 보전: 사고 관련 영상은 분쟁 해결 시까지 보관 가능
• 근로자 열람 요청: 본인 관련 영상은 10영업일 이내 처리

3. 협력업체·파견 직원 관리

제조 기업의 개인정보 관리에서 가장 복잡한 영역이 협력업체 직원입니다.

협력업체 직원의 법적 지위

• 원청 기업 공장에 상주하는 협력업체 직원 → 원청이 수탁자 역할
• 협력업체가 독립적으로 고용한 경우 → 협력업체가 처리자, 원청은 관리·감독 의무
• 파견 근로자 → 파견 회사와 사용 사업주 모두 일부 처리자 지위

협력업체 직원 출입 등록

협력업체 직원의 출입 등록 시 수집하는 정보(이름, 소속, 연락처, 신분증)에 대해:

• 수집 시 협력업체 직원에게도 직접 고지 (협력업체를 통한 간접 고지는 불충분)
• 계약 종료 시 등록 정보 즉시 파기
• 신분증 사본 보관 시 암호화 저장

협력업체 계약서 필수 조항

✅ 위탁 업무 범위 (생산 지원, 설비 유지보수 등)
✅ 처리 가능한 개인정보 항목 (출입 기록, 연락처에 한정)
✅ 재위탁 금지 조항
✅ 계약 종료 후 데이터 파기 의무
✅ 보안 사고 발생 시 즉시 통보 의무
✅ 원청의 감독·점검 권한

4. 방문자 관리

외부 방문자(고객사, 감리, 감독기관 등) 방문 시:

방문자 등록

• 방문 목적·시간 기록: 보안 목적으로 수집 가능
• 신분증 사본 보관: 방문 당일만 보관 후 파기 원칙
• 방문자 명부 장기 보관: 특별한 사유 없으면 30일 이내 파기

방문자 NDA와 개인정보

방문자가 서명하는 NDA(비밀유지계약)에 포함된 개인정보(서명, 소속, 연락처)도 PIPA 대상입니다. 계약서 보관 기간(통상 3~5년)에 맞게 관리하세요.

5. 직원 건강 정보 처리

제조업에서는 산업안전보건법에 따라 직원 건강검진이 의무화되어 있습니다.

건강검진 결과

• 건강검진 결과는 민감정보 — 인사팀이 접근하면 안 됨
• 산업안전보건법상 의무: 사업주에게 적합 여부만 통보 (구체적 질병명 불가)
• 검진 기관이 검진 결과를 직접 사업주에게 발송하는 계약은 위반 소지

직업병·산재 관련 정보

• 산재 신청 과정에서 수집되는 의료 정보는 근로복지공단에만 제출
• 인사 기록에 산재 이력을 별도 표시하는 것은 차별 문제 + PIPA 위반 가능

6. 해외 공장·글로벌 HR 시스템

다국적 제조 기업이 글로벌 HR 시스템(SAP, Workday 등)을 사용하는 경우:

• 직원 데이터의 국외 이전 — 직원에게 고지 필요
• EU 직원이 있는 경우 GDPR 표준 계약 조항(SCC) 추가 필요
• 클라우드 HR의 데이터 센터 위치 확인 (국내 서버 우선 권장)

7. 산업 기밀과 개인정보의 교차

제조 기업에서 독특한 이슈는 산업 기밀 보호와 개인정보 보호가 충돌하는 상황입니다.

퇴직자 이메일 모니터링

퇴직 예정 직원의 이메일·USB 사용을 모니터링하는 경우:

• 사전에 취업규칙에 모니터링 근거 명시 필요
• 모니터링 사실을 직원에게 사전 고지 필요
• 증거 수집 목적이라도 개인 이메일 계정 접근은 금지

퇴직자 보안 각서

퇴직 시 서명받는 보안 각서에 포함된 개인정보도 PIPA 대상입니다. 퇴직 후 3년간 보관(노동 분쟁 대비)이 일반적입니다.

8. PipaGuard 제조업 지원

PipaGuard는 제조업 환경의 복잡한 개인정보 처리를 지원합니다.

• 생체인증 동의서 템플릿: 지문·얼굴인식 별도 동의 서식
• 협력업체 위탁 계약서: 제조업 특화 개인정보 위탁 조항
• 방문자 관리 체크리스트: 등록-방문-파기 단계별 가이드
• CCTV 안내판 생성기: 제조 현장별 안내판 출력

👉 pipaguard.vercel.app에서 무료로 시작하세요.

마치며

제조업에서 개인정보 위반은 주로 생체인증 동의 미비, 협력업체 직원 고지 누락, 퇴직자 모니터링 근거 부재 세 가지에서 발생합니다. 보안을 강화하면서도 직원·협력업체의 개인정보 권리를 지키는 균형 잡힌 접근이 필요합니다.