5년간 개인정보 실태점검·행정처분 사례 분석해보니

2012~2017년 10월까지 현장점검 결과, 과태료 부과 등 시정명령 지속 증가
개인정보 유출 신고 건수 및 유출 건수, 알려진 것만 지난해 14건으로 급증

[보안뉴스 김경애 기자] 개인정보보호의 중요성이 갈수록 증대되고 있는 가운데 지난해 과태료 부과 등 시정명령이 급증한 것으로 나타났다. 이는 기업의 개인정보보호 실태가 아직은 미흡하다는 점을 드러낸 것이라 할 수 있다.

[도표= 2013~2017 개인정보 실태 점검 및 행정 처분 사례집]

행정안전부가 4월에 발표한 2013~2017 개인정보 실태점검 및 행정처분 사례집에 따르면 지난 2012~2017년 10월까지 현장점검결과에 따른 과태료 부과 및 시정명령 추이를 살펴보면 과태료 금액이 지속적으로 증가한 것으로 나타났다. 특히, 2015년부터 2017년까지 급증한 것으로 집계됐다.

개인정보 유출 신고 건수 및 유출 건수 또한 지난해 14건으로 급증한 것으로 조사됐다. 이는 외부로 알려진 건수로, 알려지지 않은 곳까지 포함한다면 그 이상으로 추정된다.

개인정보 실태점검은 지난 2011년 9월 개인정보보호법 시행 이후 법 적용 대상이 기존의 공공기관에서 380만 개 민간 사업자까지 확대됐다. 특히, 개인정보 관리실태가 취약한 분야 및 업종에 대한 실태 점검의 필요성이 대두됐다.

이에 따라 행안부는 실태 점검을 통해 380여만 명의 개인정보처리자를 규율하고 있다. 그 가운데 영리를 목적으로 정보통신서비스를 제공하는 포털, 인터넷쇼핑몰 등은 정통망법에 따라 방송통신위원회가 실태 점검하고, 은행과 보험사 등 금융 기관 및 신용정보회사 등은 신용정보의이용및보호에관한법률에 따라 금융감독원이 점검하고 있다.

[도표=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]

2015년부터는 통계청 표준 산업 분류를 바탕으로 공공, 교육, 보건·복지, 방송·통신, 금융, 산업·물류, 중개·생활·임대, 시설·문화 등 8대 분야 사업체를 분류해 점검을 실시하고 있다.

개인정보 관리실태 현장점검은 침해 우려가 큰 취약 분야를 대상으로 실시하는 예방적 차원의 △기획점검, 침해 신고나 민원 접수 등 침해사고가 발생할 때 실시하는 △특별점검, 개인정보관리실태를 자체적으로 점검하여 행정안전부로 제출하는 △서면점검으로 나뉜다.

▲기획점검 절차[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]

기획점검은 개인정보 보유량, 기업 규모, 사전 온라인 점검 결과 등을 종합적으로 판단해 점검 대상을 선정하고, 공문 발송 후 수검 기관 현장을 직접 방문해 자료 조사, 담당자 인터뷰, 시스템 점검 등을 실시한다.

주요 점검 항목은 △개인정보처리 시스템의 안전 조치 준수 여부 △수탁자 관리·감독 여부 △보존기간이 지난 개인정보의 파기 여부 △마케팅 정보 수신 등 선택 정보에 대한 구분 동의 여부 등 60여 가지 항목이다.

점검반은 행정안전부와 한국인터넷진흥원 등의 2~3인으로 구성해 1개 업체 및 기관을 2~3일간 점검한다.

특별점검은 해킹 등을 통한 개인정보 유출 사고가 발생했을 때 사고 원인 조사와 책임 규명이 필요한 경우 실시된다. 또한, 언론 보도와 민원 접수 등 점검이 필요한 해당 업체도 진행한다.

▲서면점검 절차[이미지=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]

서면점검은 수검 기관을 확대하기 위해 2017년 처음 도입됐으며, 자율에 초점을 맞춘 간소화된 점검 방식이다. 서면점검은 현장점검 인력 부족으로 점검 대상 34만 개 사업자 대비 연간 300개소 수준에 그치는 현장점검을 보완하기 위하여 도입됐다. 서면점검은 현장점검 대상에 비하여 개인정보 보유량 및 기업 규모가 상대적으로 작은 업체를 대상으로 실시한다. 점검 절차는 수검 기관이 직접 점검표와 증거자료를 작성하여 제출하고, 행정안전부와 한국인터넷진흥원이 이를 점검하는 방식으로 진행한다.

점검 항목은 개인정보의 수집 근거 및 동의 방법 준수 여부, 재화·서비스의 홍보나 판매를 권유할 때 별도로 동의받는지 여부, 개인정보의 암호화, 비밀번호 작성 규칙 수립·적용 등 안 전조치의무 준수 여부 등 총 15가지 항목이다.

2017년 상·하반기 150개소씩 총 300개소를 대상으로 서면점검이 실시됐으며, 이 중 일부 점검을 거부하거나 자료를 제출하지 않은 미흡 업체 등에 대해서는 별도의 특별 현장 점
검을 실시해 적발된 위반 사항에 대해 과태료가 부과됐다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)