보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[PIS FAIR 2023] 말 많고 탈 많은 개인정보, 분쟁에 휘말리지 않는 6가지 노하우

입력 : 2023-06-09 14:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
개인정보 동의, 정보주체가 명확히 인지할 수 있도록 알리고 동의 받아야
익명·가명 처리해도 개인식별 가능성이 커 동의 받는 게 최선


[보안뉴스 김경애 기자] 개인정보를 두고 분쟁사례가 늘고 있다. 과도한 개인정보 조회, 동의사항을 알리지 않고 동의서를 대필해 일어나는 분쟁, 동의 받을 때 제대로 고지하지 않아 문제가 발생하는 등 잡음이 끊이지 않고 있다. 이에 <보안뉴스>는 9일 코엑스에서 개최된 ‘PIS FAIR 2023’에서 개인정보 분쟁 사례를 통해 위반 여부를 짚어보고, 이를 바탕으로 한 개인정보보호 강화 방안을 들어봤다.

▲개인정보보호위원회 김용학 서기관[사진=보안뉴스]


# 1. 내 가족의 정보 조회
A씨는 집에서 공부를 하다가 목을 삐끗해 20여일 병원을 진료를 받았다며 보험금을 청구했다. 보험사는 A씨의 자택을 방문해 사고발생 경위를 파악한 후 보험금을 지급했다. 이후 보험사기로 의심되어 보험계약정보를 조회한 결과 유사한 보험금 청구를 한 4명이 A씨의 가족이라는 사실을 확인하고 이들을 수사의뢰했다. A씨는 과도한 개인정보 조회라며 손해배상을 청구했다.

개인정보보호위원회 김용학 서기관은 9일 ‘PIS FAIR 2023’에서 “보험사기 조사를 위해 보험 계약정보 조회 동의서에 따라 보험계약정보를 조회했다”며 “계약서에 기재된 보험계약자와 피보험자의 관계를 토대로 가족관계를 확인한 거라 위법은 아니”라고 밝혔다.

개인정보보호법 제22조(동의받는 방법)에 따르면 개인정보처리자는 동의받을 때 각각의 동의사항을 구분해 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.

# 2. 통신요금 체납 발생 원인은?
A씨는 딸의 휴대폰을 명의변경해 사용하고자 매장을 방문했다. 하지만 손님이 많아 일처리가 지연되자 담당자에게 자신과 딸의 신분증, 신용카드번호를 맡기고 다른 일을 보러 나갔다. 이후 담당자는 직접 동의서에 서명해 명의변경 처리를 하고, 요금 납부방법을 입력하지 않았다. 이후 A씨가 3개월 이상 체납이 발생해 원인 파악을 위해 수차례 개인정보를 조회했다. A씨는 과도하게 조회했다며 손해배상을 청구했다.

김용학 서기관은 “동의사항을 알리지 않고 동의서를 대필한 것은 동의 받는 방법 위반”이라며 “다만, 요금납부가 되지 않은 원인을 찾기 위해 개인정보를 열람한 것은 정당한 업무처리다. 따라서 철저한 고지가 중요하고 반드시 대필하지 말고 본인 서명을 받아야 한다”고 강조했다.

동의받을 때 고지 사항은 반드시 고지하고 정보주체가 직접 서명해야 한다. 제22조(동의를 받는 방법)에 따르면 개인정보처리자는 정보주체의 동의를 받을 때 각각의 동의사항을 구분해 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각 동의를 받아야 한다.

# 3. 고객이 동의서 일부 항목 누락
A씨는 진단서를 첨부해 교통사고 후유증에 대한 합의금 지급을 손해보험사에 청구했다. 손해보험사의 보상센터 담당자 A씨는 면담하면서 의료법에 따른 진료기록 발급 위임장과 동의서를 작성하도록 했다. A씨는 의료기관명과 발급 범위 등 작성란을 공란으로 비운 채 서명만 하고 제출했다. 보상센터 담당자 B씨로부터 서류를 전달받은 다른 담당자들은 사고 관련 병원에서 진료기록을 발급받았다. A씨는 보상센터 담당자 B씨와 다른 직원들이 개인정보를 불법 조회했다고 주장했다.

김용학 서기관은 “법령에 근거가 있어도 고객이 작성하지 않은 사항을 임의로 파악하는 것은 개인정보 침해에 해당한다”며 “다만, 다른 직원이 개인정보를 파악하는 것은 보험사와 고객의 관계라 개인정보 침해는 아니다. 법정 서식이더라도 고객이 작성하지 않은 부분이 있다면 직접 본인에게 확인해야 한다”고 말했다.

개인정보보호법 제15조(개인정보의 수집·이용)에 따르면 개인정보처리자는 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며, 그 수집목적의 범위에서 이용할 수 있다.

# 4. A직원이 징계받은 사유
A씨는 B병원의 의사로서 건강보험 부당청구 사실을 경찰에 신고했다. B병원은 A씨를 근무수행 불량 등의 사유로 징계 처분하고 관계부서에 통보했다. 이 과정에서 문서에 첨부된 징계사유 검토 문서가 전 부서에 공유되게 됐다. 이에 A씨는 정신적 고통을 호소하며 손해배상을 청구했다.

김용학 서기관은 “구체적인 징계사유 등을 정보주체의 동의나 법률적 근거 없이 내부 구성원들에게 알린 행위는 법 제18조 위반”이라며 “개인정보는 수집 목적의 범위 내에서 최소한으로 처리해야 한다”고 말했다.

개인정보보호법 제3조(개인정보보호 원칙)에 따르면 개인정보처리자는 개인정보의 처리목적에 필요한 범위에서 적합하게 개인정보를 처리하고, 목적 외 용도로 활용하면 안 된다.

# 5. 보도자료를 통한 우리 기관의 우수사례 소개
A기관은 자신들이 추진한 업무 중에서 우수사례를 소개하는 보도자료를 배포했다. 신문기사를 본 B씨의 지인들이 신문기사가 실렸음을 알려왔다. 비록 0씨라고 했지만 내용이 특이해 지인 모두 B씨임을 알수 있었다. 이에 B씨는 동의없이 보도자료를 작성 및 배포한 데 대해 손해배상을 청구했다.

김용학 서기관은 “비록 성명중 ‘성’만 공개했어도 특정 개인을 식별할 수 있다면 개인정보에 해당한다. 법 제18조 위반으로 수집목적 외에 용도로 제공한 것”이라며 “익명·가명처리는 개인은 식별할 수 없도록 해야 한다. 특히, 당사자가 제한되어 있는 특수사례는 익명·가명처리를 하더라도 개인식별 가능성이 커 동의 받는 게 최선”이라고 당부했다.

개인정보보호법 제2조(정의)1의2에 따르면 ‘가명처리’란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다. 제58조의2(적용제외)에서는 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용해도 더 이상 개인을 알아볼 수 없는 정보에는 적용하지 않는다.

# 6. 내게 선거문자가 날라오는 이유
A단체 직원 B씨는 회원 명부를 내려받아 선거캠프에 제공했다. 선거캠프는 이를 선거에 이용했다. 수사기관은 A단체를 선거법 위반으로 압수수색한 결과 개인정보 유출 사실을 확인했다. A단체는 유출 사실을 알고도 3개월이 지나서 회원들에게 개인정보 유출 사실을 통지했다.

김용학 서기관은 “개인정보의 안전성 확보조치 미이행으로 법 제20조(안전조치 의무) 위반이다. 유출사실 통지 지연으로 법 제34조(개인정보 유출통지 등) 위반했다”며 “개인정보의 안전성 확보조치 기준(고시)은 개인정보보호의 기본이라 반드시 준수해야 한다. 개인정보 유출통지 위반은 개인정보처리자와 정보주체 사이의 신뢰를 깨는 것이다. 개인정보보호의 기본과 신뢰가 지켜져야 안전한 디지털 사회 구현이 가능하다”고 강조했다.

이어 개인정보를 안전하게 관리하기 위한 방안으로 김용학 서기관은 “기본에 충실해야 할 것”을 당부하며 △처리목적의 명확화, 목적 내에서 적법하고 정당하게 최소 수집 △처리목적 내에서 처리, 목적 외 활용 금지 △처리목적 내에서 정확성·완전성·최신성 보장 △정보주체의 권리침해 위험성 등을 고려해 안전하게 관리 △개인정보 처리사항 공개, 정보주체의 권리보장 △사생활 침해 최소화 방법으로 처리 △가능한 경우 익명 처리 △개인정보처리자의 책임 준수, 정보주체의 신뢰성 확보를 제시했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)