보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

대한적십자사·국립중앙도서관, 개인정보보호법 위반해 총 640만 원 과태료 부과

입력 : 2024-04-25 16:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
‘가명정보’도 개인정보 보호법 상 안전조치 의무 준수 및 처리내역 보관 필요

[보안뉴스 김경애 기자] ‘개인정보 보호법’상 가명정보 처리 특례 규정을 위반한 대한적십자사와 국립중앙도서관이 총 640만 원의 과태료 부과와 시정명령 및 개선권고를 받았다. 가명정보란 추가정보의 사용·결합 없이는 특정개인을 알아볼 수 없는 정보이며, 가명정보 처리에 관한 특례(개인정보 보호법 §28의2 ~ §28의5) 적용 대상이 된다. 특히 가명정보는 처리 특례에 따라 안전조치 의무 준수, 처리 내역 작성·보관, 추가정보와 분리 보관, 재식별 금지, 결합전문기관에 의한 가명정보 결합 등의 의무가 부과된다.

개인정보의 가명처리는 ①가명처리 목적 설정 등 사전준비 → ②위험성 검토 → ③가명처리 수행 → ④적정성 검토 및 추가 가명처리 → ⑤가명정보의 안전한 관리단계 순서로 이루어져야 한다.

[로고=대한적십자사]

①대한적십자사
하지만 대한적십자사는 헌혈자 행동데이터 통계분석을 토대로 헌혈참여 확산 등을 위한 과학적 연구를 위해 다른 기관과 업무협약(MOU)을 추진하던 중, 헌혈정보시스템(BIMS) 내에서 혈액형·성별·직업 등 특정 개인이 식별되지 않는 11개의 정보를 추출해 가명정보 약 176만 건을 생성하고, 이를 타 기관에 전송했다.

대한적십자사에 대해 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위)는 “가명정보의 처리내역을 작성·보관하지 않았고, 가명정보를 타 기관에 제공하면서 정상적인 결재 절차를 거치지 않았다”며, “‘가명정보 처리 가이드라인’에 따른 ‘가명처리 단계별 절차’를 거치지 않은 사실이 확인돼 과태료 100만 원 부과와 함께 시정명령 및 개선권고를 의결했다”고 밝혔다.

[로고=국립중앙도서관]

②국립중앙도서관
국립중앙도서관은 “빅데이터 통계 분석 등을 목적으로 ‘도서관 빅데이터 사업’과 ‘도서추천시스템(솔로몬시스템)’을 운영하면서, 1,490여개 참여 도서관으로부터 출생연도, 우편번호, 성별 등 특정 개인이 식별되지 않는 11개 항목과 도서 대출 데이터를 제공받고 있다.

개인정보위는 “국립중앙도서관이 운영하는 솔로몬 관리자페이지에 접속할 때 안전한 접속 또는 인증수단이 적용되지 않았고, 접속기록 중 일부가 누락됐다”며 “가명정보 처리 내역이 작성·보관되고 있지 않은 사실을 확인해 과태료 540만 원을 부과했다”고 밝혔다.

또한, 가명정보의 안전한 처리를 위해 참여 도서관들을 지도·감독하고 관련 교육을 실시하도록 하는 개선권고도 함께 의결했다고 덧붙였다.

솔로몬 관리자페이지에는 참여 도서관 소속 직원들은 접속할 수 없고, ‘도서관 빅데이터 사업’을 담당하는 국립중앙도서관 직원만 접속해야 한다.

개인정보위는 “가명정보는 AI·데이터 경제시대에 매우 유용하나 원본정보 등 추가정보와 결합되면 개인이 특정될 우려가 있다”며 “추가정보와 분리 보관하거나 처리대장 작성·보관 등 안전조치 의무를 준수하는 것이 반드시 필요하다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)