개인정보보호 실태 점검 강화 및 관리수준 진단, 고유식별정보 안전조치 관리실태 조사 등
2020 개인정보보호 연차보고서에는 △개인정보 침해사고 예방 강화 △정보주체 권리 보장 △개인정보보호 실태 점검 및 개선 △개인정보 환경 개선과 기술 지원 △자율규제 촉진이라는 다섯 가지 측면에서 개인정보보호 기반 강화에 대한 내용이 소개돼 있다. 여기서는 개인정보보호 실태 점검 및 개선 사항을 중심으로 살펴본다.
[이미지=utoimage]
1. 개인정보보호 실태 점검 강화
행정안전부(이하 행안부)는 개인정보 침해 우려가 크고 개인정보를 다량으로 취급하는 공공·교육·보건복지 등 6대 분야를 대상으로 예방적 차원의 기획 점검과 개인정보 유출 및 침해신고 등 사고 발생 시 이뤄지는 특별 점검 등 현장 점검을 지속적으로 실시하고 있다.
또한 개인정보 유출 규모 및 과태료 금액, 위반 횟수 등을 고려해 행정처분을 받은 사업자 명단을 언론에 공개하는 등 경각심을 고취함으로써 동종 업계 전반의 자체 점검 및 개선 확산을 유도하고 사회 전반의 개인정보보호 수준을 제고하고자 했다.
행안부는 2019년 개인정보 관리실태 점검 기본계획에 따라 국민생활과 밀접한 분야를 대상으로 개인정보보호 현장 검사 및 온라인 검사를 실시했다. 2019년 개인정보 관리실태 점검 결과에 따라 「개인정보 보호법」 위반이 확인된 기업을 적극적으로 공개한다는 원칙을 갖고, 위반 기업에 대한 행정처분 결과를 행안부 대표 홈페이지를 통해 공표했다.
또한, 행안부는 공공기관과 민간 사업자 스스로가 법규를 준수할 수 있도록 주요 위반 사례 및 이에 대한 조치 방법을 소개하는 ‘개인정보보호조치 안내서’와 ‘개인정보보호를 위한 필수 조치 사항 안내 리플릿’을 발간해 개인정보처리자의 자발적 보호 조치 능력을 향상시킬 수 있는 환경을 조성했다.
행안부는 개인정보를 처리하는 중·소 사업자를 대상으로 사업자가 자체적으로 개인정보 관리실태를 점검하고, 위반 사항에 대한 개선 조치를 할 수 있도록 서면 점검을 실시해 2019년 한 해 동안 300여개 사업자를 대상으로 점검을 실시하고 컨설팅을 병행했다. 이를 통해 중·소사업자를 개인정보 관리실태 점검 범위에 포함해 개인정보 유출 등 침해사고 예방 활동을 한층 강화했다.
방송통신위원회(이하 방통위)는 정보통신서비스 제공자를 대상으로 개인정보보호 수준 및 법규 준수 제고를 위해 개인정보 관리실태를 점검하고 있다. 이를 통해 국내 정보통신서비스 이용자의 개인정보를 보호함으로써 개인정보 유출로 인한 피해를 최소화하고 국민의 권익을 증진시키기 위해 노력하고 있다.
사이버 공격으로 인한 해킹·시스템 설정 오류·직원의 부주의 등 다양한 사유로 발생하는 유출사고 사업자에 대한 현장 점검을 실시하고, 법 위반 사항이 확인된 사업자는 과태료·과징금 및 시정명령 등 행정 조치를 했으며, 이후 행정처분 대상 사업자가 개선 조치를 이행했는지 결과를 점검했다.
대표적으로 방통위는 2017년, 2018년 연달아 고객의 개인정보 유출 사례가 반복된 A사에 2019년 시정명령 및 과징금 18억5,200만원, 과태료 1,000만원을 부과함으로써 사업자들의 개인정보보호에 대한 경각심을 일깨웠다.
한편, 국내 이용자들의 페이스북·구글 등 글로벌 서비스 이용이 보편화되면서 해외사업자의 개인정보 침해사고 이슈가 증가함에 따라 해외사업자에 대한 실태 점검도 강화했다. 국내 법규·가이드라인 준수 여부에 대한 서면자료 제출 요구 및 현지 방문조사, 미국 연방거래위원회(FTC, Federal Trade Commission) 등 해외 규제기관과의 협력 등을 통한 규제 실효성 확보를 위해 노력했다.
아울러 2020년에는 글로벌 서비스를 이용하는 우리 국민의 개인정보 고충처리 및 침해사고 발생 시 피해구제를 위해 마련된 국내대리인 지정제도, 개인정보 손해배상 책임 보장제도가 안정적으로 정착될 수 있도록 이행 점검을 실시할 계획이다.
2. 개인정보보호 관리수준 진단
행안부는 매년 공공기관을 대상으로 개인정보 관리에 대한 전반적인 자료를 제출받아 진단위원회의 전문가를 통해 각 기관의 개인정보 관리수준을 진단하고 있다.
개인정보 관리수준 진단은 관리체계·보호대책·침해대책 등 3개 분야 12개 지표에 해당하는 실적과 증빙자료를 각 기관이 개인정보보호 종합지원시스템에 등록하면, 진단위원회가 해당 증빙자료를 검증·진단하고 재검증 신청 등을 거쳐 최종 결과를 확정하는 순서로 진행된다.
2019년 개인정보 관리수준 진단은 총 778개 기관(중앙부처 46개, 지방자치단체 243개, 지방공기업 150개, 산하 공공기관 339개)에 대해 실시했다. 특히 ‘개인정보 처리방침 및 정보주체 권리보장’ 진단 지표를 신설해 정보주체의 권리 보장을 위한 능동적 관리 기반을 마련했으며, 효율적 진단을 위해 지표별 개별 증빙자료 제출 기능을 개발·제공하고, 등록 시작일을 약 1개월 앞당겨 사전 준비 기간을 확대하는 등 대상 기관의 편의를 위해서도 노력했다.
진단 결과 진단 분야 중 ‘보호대책 수립 및 시행’ 점수가 가장 높게 진단됐고, 기관 유형별로는 광역자치단체와 기초자치단체의 개인정보 관리수준이 다소 낮은 것으로 나타났다.
행안부는 진단 결과를 각종 기관 평가에 반영하고 대상 기관에 결과를 통보해 개선이 필요한 사항들을 조치하도록 했다.
행안부는 개인정보 관리수준 진단 결과에 따라 미흡한 기관에 대해서는 직접 현장을 방문해 개인정보보호책임자 및 담당자와의 면담을 통해 의견을 수렴하고, 미흡 사항의 개선 조치 방안에 대한 안내를 병행하는 등 현장 컨설팅을 수행함으로써 공공 분야 개인정보 관리수준의 실질적인 향상 지원에도 중점을 뒀다.
3. 고유식별정보 안전조치 관리실태 조사
고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)는 개인을 고유하게 식별하기 위해 부여된 식별정보로, 해킹 등 유출사고 발생 시 다른 개인정보에 비해 피해가 클 수 있기 때문에 더 중요하게 관리될 필요가 있다.
이에 행안부는 이와 관련한 침해 예방 및 피해 최소화를 위해 전체 공공기관과 5만명 이상 고유식별정보를 처리하는 사업자를 대상으로, 2년마다 1회 이상 안전 조치 이행 여부를 조사하고 있다.
고유식별정보 안전조치 관리실태 조사는 안전성 확보 조치 기준에 따른 주요 점검 항목을 구성하고, 대상기관이 자체 점검을 실시해 해당 항목별 안전조치 이행 결과를 제출하게 하는 방법으로 진행하고 있다.
행안부는 이 과정에서 증빙자료 검토를 통해 대상기관이 제출한 자체 점검 결과에 대한 신뢰성을 검증하고, 고유식별정보처리자의 실질적인 보호수준 향상을 위해 사업체 규모 및 업종 등 환경을 고려한 맞춤형 방문 컨설팅을 제공한다. 조사 기간 중 상담센터 운영으로 사업자 스스로 안전조치 이행 현황을 파악하고 미흡 부분에 대한 개선 조치가 원활하게 이뤄질 수 있도록 지원하고 있다.
고유식별정보 안전조치 관리실태 조사는 2017년에 처음 총 3,458개 기관을 대상으로 시범 시행됐고, 2018년에는 공공(초·중·고등학교 제외) 및 민간 총 1만3,964개 기관·2019년에는 전국 1만2,110개 초·중·고등학교를 대상으로 시행됐다.
행안부는 해당 조사를 통해 안전성 확보 조치 규정에 대한 고유식별정보처리자의 다양한 의견을 수렴하고, 조치 결과를 분석함으로써 안전성 확보 조치 기준 등 관련 규정의 정책 참고자료로도 활용하고 있다.
4. 금융권 정보활용·관리 상시평가제 도입
현행 신용정보법상 금융회사의 신용정보 관리·보호인은 신용정보의 관리 및 보호 계획의 수립 및 시행 등의 업무를 수행하고 해당 업무에 관해 주기적으로 보고서를 작성해 이를 금융위에 제출하도록 하고 있다. 그러나 단순 실적보고에 그치고 취약점 평가 및 보완 조치 의무 등이 부재하는 등 조직·인력상 한계 등으로 형식적 수준에 그쳐 왔다. 이에 개정 신용정보법에서는 형식화된 금융권 개인신용정보의 관리 및 보호실태에 대한 상시평가제도를 도입했다.
신용정보법에서는 상시평가제도를 통해 금융회사 등의 신용정보관리·보호인이 처리하고 있는 개인신용정보의 관리 및 보호실태를 정기적으로 점검해 그 결과를 금융위에 제출하도록 하고, 금융위는 이를 점수 또는 등급으로 표시해 금감원 검사 시 활용 가능하도록 했다. 본 제도의 적용 대상 기관은 신용정보관리·보호인 선임 의무가 있는 금융회사(대부업자는 총 자산 100억원 초과 대상자로 한정)이며, 적용 대상 항목은 신용정보법 준수와 관련된 72개 항목(금감원 시행세칙 규정 예정)이다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
2020 개인정보보호 연차보고서에는 △개인정보 침해사고 예방 강화 △정보주체 권리 보장 △개인정보보호 실태 점검 및 개선 △개인정보 환경 개선과 기술 지원 △자율규제 촉진이라는 다섯 가지 측면에서 개인정보보호 기반 강화에 대한 내용이 소개돼 있다. 여기서는 개인정보보호 실태 점검 및 개선 사항을 중심으로 살펴본다.
[이미지=utoimage]
1. 개인정보보호 실태 점검 강화
행정안전부(이하 행안부)는 개인정보 침해 우려가 크고 개인정보를 다량으로 취급하는 공공·교육·보건복지 등 6대 분야를 대상으로 예방적 차원의 기획 점검과 개인정보 유출 및 침해신고 등 사고 발생 시 이뤄지는 특별 점검 등 현장 점검을 지속적으로 실시하고 있다.
또한 개인정보 유출 규모 및 과태료 금액, 위반 횟수 등을 고려해 행정처분을 받은 사업자 명단을 언론에 공개하는 등 경각심을 고취함으로써 동종 업계 전반의 자체 점검 및 개선 확산을 유도하고 사회 전반의 개인정보보호 수준을 제고하고자 했다.
행안부는 2019년 개인정보 관리실태 점검 기본계획에 따라 국민생활과 밀접한 분야를 대상으로 개인정보보호 현장 검사 및 온라인 검사를 실시했다. 2019년 개인정보 관리실태 점검 결과에 따라 「개인정보 보호법」 위반이 확인된 기업을 적극적으로 공개한다는 원칙을 갖고, 위반 기업에 대한 행정처분 결과를 행안부 대표 홈페이지를 통해 공표했다.
또한, 행안부는 공공기관과 민간 사업자 스스로가 법규를 준수할 수 있도록 주요 위반 사례 및 이에 대한 조치 방법을 소개하는 ‘개인정보보호조치 안내서’와 ‘개인정보보호를 위한 필수 조치 사항 안내 리플릿’을 발간해 개인정보처리자의 자발적 보호 조치 능력을 향상시킬 수 있는 환경을 조성했다.
행안부는 개인정보를 처리하는 중·소 사업자를 대상으로 사업자가 자체적으로 개인정보 관리실태를 점검하고, 위반 사항에 대한 개선 조치를 할 수 있도록 서면 점검을 실시해 2019년 한 해 동안 300여개 사업자를 대상으로 점검을 실시하고 컨설팅을 병행했다. 이를 통해 중·소사업자를 개인정보 관리실태 점검 범위에 포함해 개인정보 유출 등 침해사고 예방 활동을 한층 강화했다.
방송통신위원회(이하 방통위)는 정보통신서비스 제공자를 대상으로 개인정보보호 수준 및 법규 준수 제고를 위해 개인정보 관리실태를 점검하고 있다. 이를 통해 국내 정보통신서비스 이용자의 개인정보를 보호함으로써 개인정보 유출로 인한 피해를 최소화하고 국민의 권익을 증진시키기 위해 노력하고 있다.
사이버 공격으로 인한 해킹·시스템 설정 오류·직원의 부주의 등 다양한 사유로 발생하는 유출사고 사업자에 대한 현장 점검을 실시하고, 법 위반 사항이 확인된 사업자는 과태료·과징금 및 시정명령 등 행정 조치를 했으며, 이후 행정처분 대상 사업자가 개선 조치를 이행했는지 결과를 점검했다.
대표적으로 방통위는 2017년, 2018년 연달아 고객의 개인정보 유출 사례가 반복된 A사에 2019년 시정명령 및 과징금 18억5,200만원, 과태료 1,000만원을 부과함으로써 사업자들의 개인정보보호에 대한 경각심을 일깨웠다.
한편, 국내 이용자들의 페이스북·구글 등 글로벌 서비스 이용이 보편화되면서 해외사업자의 개인정보 침해사고 이슈가 증가함에 따라 해외사업자에 대한 실태 점검도 강화했다. 국내 법규·가이드라인 준수 여부에 대한 서면자료 제출 요구 및 현지 방문조사, 미국 연방거래위원회(FTC, Federal Trade Commission) 등 해외 규제기관과의 협력 등을 통한 규제 실효성 확보를 위해 노력했다.
아울러 2020년에는 글로벌 서비스를 이용하는 우리 국민의 개인정보 고충처리 및 침해사고 발생 시 피해구제를 위해 마련된 국내대리인 지정제도, 개인정보 손해배상 책임 보장제도가 안정적으로 정착될 수 있도록 이행 점검을 실시할 계획이다.
2. 개인정보보호 관리수준 진단
행안부는 매년 공공기관을 대상으로 개인정보 관리에 대한 전반적인 자료를 제출받아 진단위원회의 전문가를 통해 각 기관의 개인정보 관리수준을 진단하고 있다.
개인정보 관리수준 진단은 관리체계·보호대책·침해대책 등 3개 분야 12개 지표에 해당하는 실적과 증빙자료를 각 기관이 개인정보보호 종합지원시스템에 등록하면, 진단위원회가 해당 증빙자료를 검증·진단하고 재검증 신청 등을 거쳐 최종 결과를 확정하는 순서로 진행된다.
2019년 개인정보 관리수준 진단은 총 778개 기관(중앙부처 46개, 지방자치단체 243개, 지방공기업 150개, 산하 공공기관 339개)에 대해 실시했다. 특히 ‘개인정보 처리방침 및 정보주체 권리보장’ 진단 지표를 신설해 정보주체의 권리 보장을 위한 능동적 관리 기반을 마련했으며, 효율적 진단을 위해 지표별 개별 증빙자료 제출 기능을 개발·제공하고, 등록 시작일을 약 1개월 앞당겨 사전 준비 기간을 확대하는 등 대상 기관의 편의를 위해서도 노력했다.
진단 결과 진단 분야 중 ‘보호대책 수립 및 시행’ 점수가 가장 높게 진단됐고, 기관 유형별로는 광역자치단체와 기초자치단체의 개인정보 관리수준이 다소 낮은 것으로 나타났다.
행안부는 진단 결과를 각종 기관 평가에 반영하고 대상 기관에 결과를 통보해 개선이 필요한 사항들을 조치하도록 했다.
행안부는 개인정보 관리수준 진단 결과에 따라 미흡한 기관에 대해서는 직접 현장을 방문해 개인정보보호책임자 및 담당자와의 면담을 통해 의견을 수렴하고, 미흡 사항의 개선 조치 방안에 대한 안내를 병행하는 등 현장 컨설팅을 수행함으로써 공공 분야 개인정보 관리수준의 실질적인 향상 지원에도 중점을 뒀다.
3. 고유식별정보 안전조치 관리실태 조사
고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)는 개인을 고유하게 식별하기 위해 부여된 식별정보로, 해킹 등 유출사고 발생 시 다른 개인정보에 비해 피해가 클 수 있기 때문에 더 중요하게 관리될 필요가 있다.
이에 행안부는 이와 관련한 침해 예방 및 피해 최소화를 위해 전체 공공기관과 5만명 이상 고유식별정보를 처리하는 사업자를 대상으로, 2년마다 1회 이상 안전 조치 이행 여부를 조사하고 있다.
고유식별정보 안전조치 관리실태 조사는 안전성 확보 조치 기준에 따른 주요 점검 항목을 구성하고, 대상기관이 자체 점검을 실시해 해당 항목별 안전조치 이행 결과를 제출하게 하는 방법으로 진행하고 있다.
행안부는 이 과정에서 증빙자료 검토를 통해 대상기관이 제출한 자체 점검 결과에 대한 신뢰성을 검증하고, 고유식별정보처리자의 실질적인 보호수준 향상을 위해 사업체 규모 및 업종 등 환경을 고려한 맞춤형 방문 컨설팅을 제공한다. 조사 기간 중 상담센터 운영으로 사업자 스스로 안전조치 이행 현황을 파악하고 미흡 부분에 대한 개선 조치가 원활하게 이뤄질 수 있도록 지원하고 있다.
고유식별정보 안전조치 관리실태 조사는 2017년에 처음 총 3,458개 기관을 대상으로 시범 시행됐고, 2018년에는 공공(초·중·고등학교 제외) 및 민간 총 1만3,964개 기관·2019년에는 전국 1만2,110개 초·중·고등학교를 대상으로 시행됐다.
행안부는 해당 조사를 통해 안전성 확보 조치 규정에 대한 고유식별정보처리자의 다양한 의견을 수렴하고, 조치 결과를 분석함으로써 안전성 확보 조치 기준 등 관련 규정의 정책 참고자료로도 활용하고 있다.
4. 금융권 정보활용·관리 상시평가제 도입
현행 신용정보법상 금융회사의 신용정보 관리·보호인은 신용정보의 관리 및 보호 계획의 수립 및 시행 등의 업무를 수행하고 해당 업무에 관해 주기적으로 보고서를 작성해 이를 금융위에 제출하도록 하고 있다. 그러나 단순 실적보고에 그치고 취약점 평가 및 보완 조치 의무 등이 부재하는 등 조직·인력상 한계 등으로 형식적 수준에 그쳐 왔다. 이에 개정 신용정보법에서는 형식화된 금융권 개인신용정보의 관리 및 보호실태에 대한 상시평가제도를 도입했다.
신용정보법에서는 상시평가제도를 통해 금융회사 등의 신용정보관리·보호인이 처리하고 있는 개인신용정보의 관리 및 보호실태를 정기적으로 점검해 그 결과를 금융위에 제출하도록 하고, 금융위는 이를 점수 또는 등급으로 표시해 금감원 검사 시 활용 가능하도록 했다. 본 제도의 적용 대상 기관은 신용정보관리·보호인 선임 의무가 있는 금융회사(대부업자는 총 자산 100억원 초과 대상자로 한정)이며, 적용 대상 항목은 신용정보법 준수와 관련된 72개 항목(금감원 시행세칙 규정 예정)이다.
[자료=2020 개인정보보호 연차보고서, 정리=박미영 기자]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
