[개인정보보호 이슈 집중점검]범정부 차원 개인정보보호 정책 추진

관련 통계자료 다운로드 개인정보 영향평가 절차

지난 3월 30일부터 계도기간을 거쳐 개인정보보호법이 전면 시행됐다. 개인정보보호법은 공공뿐 아니라 민간분야까지 광범위하게 적용됨에 따라 적용법령, 서식, 사례 등이 매우 다양하게 나타난다. 분야별로 관계기관과 공동으로 정책을 추진해야 한다. 행정안전부 등 관련 부처는 물론 각종 단체들도 개인정보보호법 준수를 위해 적극 참여하고 있다.

정부가 공공 및 민간분야에서 개인정보보호법 적용을 위해 적극 나서고 있다. 분야별 개인정보보호 태스크포스(TF)팀 구성, 주민번호 수집 및 이용 최소화 종합대책 추진, 개인정보 영향평가 추진, 분야별 실태점점 등이 대표적인 사례다.

◇관련 부처·단체 공동 개인정보TF 구성=분야별 개인정보TF는 금융·노동·교육·보건의료 등 4개로 구성됐다. 금융분야는 행안부·금융감독원·전국은행연합회·보험협회·한국정보화진흥원 등 20여명의 관계자로 이뤄졌다. 노동분야는 행안부·고용노동부·한국정보화진흥원·노무사 등 8명으로, 교육분야는 행안부·교육과학기술부·교육청·한국정보화진흥원·한국학원총연합회 관계자로 구성됐다. 보건의료 분야에는 행안부·보건복지부·건강보험심사평가원·의료기관협회·약사회 등 관계자가 참여한다.

개인정보TF는 개인정보 처리기준, 쟁점, 민원사례 등을 포함하는 분야별 가이드라인을 마련한다. 예를 들어 노동분야에서는 인사유형별 개인정보 처리 방법, 필수조치 사항, 피해구제, 관계법령 등을 정비한다. 오는 9월부터는 관계기관과 공조해 체계적인 교육과 홍보도 실시한다. 업종별 사업자 단체·협회 등에 가이드라인을 배포, 집중적으로 교육·홍보한다.

◇주민번호 수집·이용 최소화 추진=정부는 주민번호 수집·이용 최소화를 위한 종합대책도 추진한다. 공공·민간 전 분야에서 주민번호가 널리 사용되는 가운데 해킹 등에 의한 주민번호 무단 수집·제공, 유출·오남용으로 국민 불안감이 급증했기 때문이다. 실제 지난 2008년 1월 옥션 해킹으로 1800만건의 개인정보가 유출된 것을 비롯해 2011년 7월 SK커뮤니케이션즈, 11월 넥슨 등의 해킹사고로 연이어 대규모 개인정보 유출 사건이 발생됐다.

정부는 지난 4월 주민번호 수집·이용 최소화 종합대책을 발표했다. 종합대책은 △주민번호 수집 법정주의, 주민번호 대체수단 제공 의무화 △관리자 PC와 인터넷 분리 의무화, 이용 내역 통지제, 재위탁 제한 △주민번호 유출 상시 모니터링, 범정부 통합대응체계 마련 △유출기업 과징금 부과, CEO 직무정지, 해임권고, 교육·홍보 등이다.

정부는 주민번호 관련 기존 법령 및 서식을 2013년까지 개정한다. 지난 5월부터는 주민번호 대체수단 마련을 위해 온·오프라인 사업자와 공공기관 대상으로 아이핀, 생년월일, 휴대전화번호 등 대체 수단 사용을 지원했다. 정부는 오는 8월 온라인 사업자 주민번호 신규수집 금지를 시행한 데 이어 내년까지는 분야별 실태 개선 및 안전성 조치를 강화한다.

◇개인정보 영향평가 실시=개인정보 영향평가도 추진한다. 공공기관의 개인정보 취급시스템 신규 구축이나 기존 운용 중인 시스템 변경시 개인정보 침해요인을 사전 차단하기 위해서다. 지난해 9월 개인정보 영향평가 관련 시행령, 시행규칙, 고시를 제정하고 올해 3월 12개 개인정보 영향평가기관을 추가 지정했다. 앞서 지난해 12월에는 6개 개인정보 영향평가기관을 지정했다.

지난 5월부터 7월까지 3회에 걸쳐 개인정보 영향평가 실무자 교육을 실시하고 개인정보 영향평가 전문 인력 양상방안 연구도 수행했다. 연초부터 이달 말까지 행안부, 서울시, 국민연금공단, 금융감독원 등 50여개 공공기관을 대상으로 영향평가를 실시하고 있다.

8월부터 연말까지 정부는 개인정보 영향평가 전문교육을 추가로 실시하고 개인정보 영향평가 자율수행 지원프로그램도 운영한다. 개인정보 영향평가 기관은 롯데정보통신·인포섹·안랩·이글루시큐리티·금융결제원·시큐아이닷컴·에스티지시큐리티·LG CNS 등 총 18개 기업 및 기관이다.

◇무단 유출 등 악의적 침해, 엄격한 법 집행=분야별 실태검사를 실시해 결과도 발표한다. 개인정보 불법수집, 제3자의 무단 제공·유출 등 악의적 침해 행위에 대해서는 법 취지와 원칙대로 엄격하게 적용한다. 단 영세·생계형 사업자의 경미한 위반사항은 처벌보다는 지도·지원하는 방향으로 진행한다.

행안부와 전문기관 등으로 검사반도 운영한다. 총 검사인력 26명으로 구성돼 있다. 실태검사를 실시한 결과 대형 공공 및 민간 기업은 개인정보 법규를 준수했으나 중·소규모 사업장은 개인정보 수집·이용시 동의절차 등 일부 위반사례가 발견됐다.

업종별로 주요 위반사항으로 택배·백화점은 개인정보처리 업무의 위탁시 계약서 등에 개인정보처리에 대한 별도 조치사항을 문서에 반영하지 않았다. 지방자치단체는 개인정보의 수집·이용, 안전성 확보조치 등에 대한 사항은 준수했으나 개인정보파일 관리에 일부 문제가 발견됐다. 금융·보험업은 안정성 확보조치 사항 준수 등 전반적으로 개인정보 관리가 우수했다. 법 시행초기 일부 기관에서 개인정보 수집시 선택사항을 동의하지 않으면 서비스 제공을 거부한 사례가 있었다. 제약·약국은 개인정보 수집시 미고지, 각각의 동의사항 미구분 동의, 제3자 제공에 동의하지 않는다는 이유로 서비스를 거부한 사례가 적발됐다. 협회는 수집 동의시 각각의 동의 사항 구분 없이 동의, 암호화 미조치 및 접속기록 미보관 등 안정성 확보가 미흡했다.

검사반은 법 위반 사항에 대해 과태료 부과와 시정조치를 명령했다. 필요시 소속 직원에 대한 교육실시, 법 취지에 부합되는 기관 운영에 대해 개선을 권고하기도 했다. 형사법 위반사항은 경찰청에 수사의뢰를 요청한다.

신혜권기자 hkshin@etnews.com

개인정보 영향평가 절차

자료 : 행정안전부