.gif)
개인정보보호 담당자, 개인정보보호 업무에 보람·사명감 가져야
개인정보보호법, 이해하기 쉽고 유연한 운영 필요
[보안뉴스= 권상윤 환경부 사무관] 지난 2011년 9월 30일부터 시행된 개인정보보호법에 따라 개인정보는 최소한의 개인정보만을 적법하고 정당하게 수집해야 하며, 처리 목적에 필요한 최소한의 범위에서 적합하게 개인정보를 처리해야 한다.
또한, 개인정보의 정확성·완전성·최신성 보장, 개인정보의 안전한 관리, 정보주체의 권리 보장, 사생활 침해 최소화, 익명에 의한 처리, 정보주체의 신뢰를 얻기 위한 노력 등을 준수해야 한다. 수집한 개인정보는 개인정보의 라이프사이클에 따라 수집·이용·제공·저장·파기까지 처리 단계별 보호체계를 유지해야 한다.
환경부 본부 및 소속기관에서 보유한 개인정보 파일은 106개이며, 그 중 27개 개인정보 파일에서 주민등록번호를 수집하고 있고, 2개의 개인정보 파일은 17만개 이상, 7개의 개인정보 파일은 1000개 이상의 정보주체의 고유식별 정보를 수집·관리하고 있다. 고유식별정보를 수집하는 나머지 16개 개인정보 파일은 10여개부터 수백여 개에 달하는 정보주체의 정보를 수집하고 있다.
개인정보보호 업무담당자들의 고충
수집한 개인정보 파일은 106명 이상의 담당자들이 관리하고 있다. 내부 행정업무를 처리하기 위해 개인정보를 취급하는 직원들은 포함되지 않았으니, 실제로 개인정보를 취급하고 있는 직원들의 숫자는 더 많다. 고유 행정업무를 수행하기 위해 수집한 개인정보를 개인정보 파일로 등록하고 안전하게 보호하고 관리하는 것이 개인정보보호 담당자들의 일이다. 수집한 개인정보 파일의 사용빈도, 정보주체 건수 및 담당자의 업무에서 개인정보 파일이 차지하는 비중에 따라 개인정보보호 업무담당자들의 관심은 달라진다.
개인정보보호 업무담당자나 처리자가 개인정보보호 업무를 수행하기 위해 해야 하는 개인정보보호지침, 개인정보 처리방침, 개인정보 침해대응 절차서, 개인정보 내부관리계획 등도 부분적으로 중복되는 부분이 많아 업무수행에 혼란스럽다. 개인정보의 안전성 확보조치 기준(고시)은 개인정보파일을 처리하는 일반 행정 수행자들이 이해하고 적용하기에는 쉽지 않고, 정보화 업무담당자들이 꼼꼼히 살펴봐야 이해할 수 있도록 기술적인 부분이 많이 포함되어 있다.
안전성 확보조치의 내부관리계획 수립·시행, 접근권한 관리, 접근통제, 개인정보의 암호화, 접속기록의 보관 및 점검, 악성프로그램 등 방지, 물리적 접근 방지, 개인정보의 파기 등 일반 담당자들이 읽어보면 ‘이게 뭐지?’, ‘어떻게 하라는 거지?’라는 생각이 들고 걱정이 앞선다.
개인정보보호 관련 업무 개선방안
이에 관리적 부분과 기술적 부분으로 구분해 개인정보보호 업무담당자들이 보다 쉽게 이해하고 조치할 수 있도록 만들어줬으면 좋겠다. 개인정보를 보호하기 위해 형식과 절차 모두가 중요하지만, 형식을 유지하기 위해 부수적으로 해야 하는 절차가 더 많은 것 같다는 생각이 든다.
개인정보보호가 담당업무와 직접 관련되지 않는 부수적인 업무로 느껴지는 점과 함께 담당자 변동, 관련 법령 적용의 어려움 등이 개인정보 취급자들이 개인정보보호 업무를 수행하기 힘들어하는 이유 중의 하나인 것 같다. 개인정보를 목적에 맞게 최소한으로 수집하듯이 개인정보보호를 위해 꼭 필요한 최소한의 조치방안이 제시되어 이행하기 쉬웠으면 한다.
‘개인정보보호법’에 따라 전 직원, 개인정보파일 취급자, 관리자, 위탁용역업체에 대한 개인정보보호교육을 정기적으로 실시하고 참가하고 있다. 교육결과가 개인정보보호를 위해 어떻게 반영되었는지 평가할 수 있는 방법은 아직 없다. 지속적인 교육을 실시하고 있고 개인정보 유·노출 사례가 줄어드는 것이 교육효과 중의 하나로 판단할 것 같은데, 교육결과를 확인할 수 있는 방안이 마련되었으면 한다.
‘개인정보보호법’은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다. 어떻게 하는 것이 개인정보를 더 잘 보호하기 위한 방법일까? 개인정보를 보호하기 위해 지켜야 할 최소한의 방법을 정하고, 수집·관리하는 개인정보의 양과 질이 확대될수록 취해야 할 방법을 명시해야 하며, 이행여부를 스스로 점검하고 개선할 수 있도록 개인정보보호 업무수행 가이드를 제시하면 어떨까?
개인정보보호 업무 관련자들이 개인정보보호 업무를 하면서 보람을 느끼고 사명감을 가지고 일을 할 수 있도록 했으면 한다. 행정기관의 고유 업무를 수행하기 위해 국민들로부터 수집한 개인정보를 안전하게 수집하고 이용하고, 목적이 다했을 때 파기하는 것은 담당자들의 책임이다. 그 책임을 다하기 위해 ‘개인정보보호법’이 이해하기 쉽고, 담당자들의 상황에 적절하게 대응할 수 있도록 유연하게 만들어지고 운영되었으면 하는 바람이다.
[글_ 권상윤 환경부 정보화담당관실 사무관(oodnaeap@korea.kr)]
개인정보보호법, 이해하기 쉽고 유연한 운영 필요
[보안뉴스= 권상윤 환경부 사무관] 지난 2011년 9월 30일부터 시행된 개인정보보호법에 따라 개인정보는 최소한의 개인정보만을 적법하고 정당하게 수집해야 하며, 처리 목적에 필요한 최소한의 범위에서 적합하게 개인정보를 처리해야 한다.
또한, 개인정보의 정확성·완전성·최신성 보장, 개인정보의 안전한 관리, 정보주체의 권리 보장, 사생활 침해 최소화, 익명에 의한 처리, 정보주체의 신뢰를 얻기 위한 노력 등을 준수해야 한다. 수집한 개인정보는 개인정보의 라이프사이클에 따라 수집·이용·제공·저장·파기까지 처리 단계별 보호체계를 유지해야 한다.
환경부 본부 및 소속기관에서 보유한 개인정보 파일은 106개이며, 그 중 27개 개인정보 파일에서 주민등록번호를 수집하고 있고, 2개의 개인정보 파일은 17만개 이상, 7개의 개인정보 파일은 1000개 이상의 정보주체의 고유식별 정보를 수집·관리하고 있다. 고유식별정보를 수집하는 나머지 16개 개인정보 파일은 10여개부터 수백여 개에 달하는 정보주체의 정보를 수집하고 있다.
개인정보보호 업무담당자들의 고충
수집한 개인정보 파일은 106명 이상의 담당자들이 관리하고 있다. 내부 행정업무를 처리하기 위해 개인정보를 취급하는 직원들은 포함되지 않았으니, 실제로 개인정보를 취급하고 있는 직원들의 숫자는 더 많다. 고유 행정업무를 수행하기 위해 수집한 개인정보를 개인정보 파일로 등록하고 안전하게 보호하고 관리하는 것이 개인정보보호 담당자들의 일이다. 수집한 개인정보 파일의 사용빈도, 정보주체 건수 및 담당자의 업무에서 개인정보 파일이 차지하는 비중에 따라 개인정보보호 업무담당자들의 관심은 달라진다.
개인정보보호 업무담당자나 처리자가 개인정보보호 업무를 수행하기 위해 해야 하는 개인정보보호지침, 개인정보 처리방침, 개인정보 침해대응 절차서, 개인정보 내부관리계획 등도 부분적으로 중복되는 부분이 많아 업무수행에 혼란스럽다. 개인정보의 안전성 확보조치 기준(고시)은 개인정보파일을 처리하는 일반 행정 수행자들이 이해하고 적용하기에는 쉽지 않고, 정보화 업무담당자들이 꼼꼼히 살펴봐야 이해할 수 있도록 기술적인 부분이 많이 포함되어 있다.
안전성 확보조치의 내부관리계획 수립·시행, 접근권한 관리, 접근통제, 개인정보의 암호화, 접속기록의 보관 및 점검, 악성프로그램 등 방지, 물리적 접근 방지, 개인정보의 파기 등 일반 담당자들이 읽어보면 ‘이게 뭐지?’, ‘어떻게 하라는 거지?’라는 생각이 들고 걱정이 앞선다.
개인정보보호 관련 업무 개선방안
이에 관리적 부분과 기술적 부분으로 구분해 개인정보보호 업무담당자들이 보다 쉽게 이해하고 조치할 수 있도록 만들어줬으면 좋겠다. 개인정보를 보호하기 위해 형식과 절차 모두가 중요하지만, 형식을 유지하기 위해 부수적으로 해야 하는 절차가 더 많은 것 같다는 생각이 든다.
개인정보보호가 담당업무와 직접 관련되지 않는 부수적인 업무로 느껴지는 점과 함께 담당자 변동, 관련 법령 적용의 어려움 등이 개인정보 취급자들이 개인정보보호 업무를 수행하기 힘들어하는 이유 중의 하나인 것 같다. 개인정보를 목적에 맞게 최소한으로 수집하듯이 개인정보보호를 위해 꼭 필요한 최소한의 조치방안이 제시되어 이행하기 쉬웠으면 한다.
‘개인정보보호법’에 따라 전 직원, 개인정보파일 취급자, 관리자, 위탁용역업체에 대한 개인정보보호교육을 정기적으로 실시하고 참가하고 있다. 교육결과가 개인정보보호를 위해 어떻게 반영되었는지 평가할 수 있는 방법은 아직 없다. 지속적인 교육을 실시하고 있고 개인정보 유·노출 사례가 줄어드는 것이 교육효과 중의 하나로 판단할 것 같은데, 교육결과를 확인할 수 있는 방안이 마련되었으면 한다.
‘개인정보보호법’은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다. 어떻게 하는 것이 개인정보를 더 잘 보호하기 위한 방법일까? 개인정보를 보호하기 위해 지켜야 할 최소한의 방법을 정하고, 수집·관리하는 개인정보의 양과 질이 확대될수록 취해야 할 방법을 명시해야 하며, 이행여부를 스스로 점검하고 개선할 수 있도록 개인정보보호 업무수행 가이드를 제시하면 어떨까?
개인정보보호 업무 관련자들이 개인정보보호 업무를 하면서 보람을 느끼고 사명감을 가지고 일을 할 수 있도록 했으면 한다. 행정기관의 고유 업무를 수행하기 위해 국민들로부터 수집한 개인정보를 안전하게 수집하고 이용하고, 목적이 다했을 때 파기하는 것은 담당자들의 책임이다. 그 책임을 다하기 위해 ‘개인정보보호법’이 이해하기 쉽고, 담당자들의 상황에 적절하게 대응할 수 있도록 유연하게 만들어지고 운영되었으면 하는 바람이다.
[글_ 권상윤 환경부 정보화담당관실 사무관(oodnaeap@korea.kr)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
