.jpg)
국세청, ‘국세법령정보시스템 고도화 구축사업 개인정보 영향평가 요약본’ 등 3건 공개
개인정보보호 관리체계, 관리적·물리적·기술적 보호조치 수준 우수
개인정보 수집시 동의서 개선, 자문단 개인정보파일 대장 작성 및 관리 등 개선 필요
[보안뉴스 김경애 기자] 2023년 9월 15일부터 시행된 개정 개인정보보호법에 따라 개인정보 영향평가 제도가 운영된지 4개월을 맞이한 가운데, 공공기관 중심으로 개인정보 영향평가 요약본이 잇따라 공개되고 있다. 개인정보가 어떻게 처리·보호되고 있는지 안전성 측면과 정보주체의 알권리 측면에서 요약본에 대한 중요성과 관심이 커지고 있다.
▲국세청이 공개한 개인정보 영향평가 요약본[이미지=국세청]
개인정보 영향평가 제도는 개인정보 파일의 운용·변경으로 인해 정보주체의 개인정보 침해가 우려되는 경우 위험 요인의 분석 및 개선사항 도출을 위해 다양한 항목을 평가하는 제도다.
개인정보 영향평가 주요 개정내용은 개인정보 영향평가 미수행시 과태료 부과 규정 신설, 영향평가 전문인력 자격기준, 영향평가 요약본 공개 제도 도입이다.
의무대상은 100만명 이상의 정보주체에 관한 개인정보파일, 내외부 시스템과 연계결과, 50만명 이상의 정보주체에 관한 개인정보파일, 민감정보 또는 고유식별정보 포함 시 5만명 이상의 정보주체에 관한 개인정보 파일을 보유할 경우에 해당된다.
개인정보 영향평가 의무대상은 영향평가 수행 후 영향평가서 및 요약본을 작성해 개인정보보호위원회에 제출한 후, 지체 없이 각 기관 홈페이지 내 공지사항 등을 통해 요약본을 공개해야 한다.
제도 시행 4개월이 지난 지금, <보안뉴스> 취재결과 개인정보 영향평가서 요약본 파일이 공공기관 중심으로 홈페이지 공지사항을 통해 공개되고 있는 것으로 파악됐다. 특히 공공기관의 경우 의무대상이 아니어도 공문 하달을 통해 개인정보 영향평가가 수행되면서 요약본을 공개하는 상황이다. 이에 <보안뉴스>는 최근 국세청이 공개한 개인정보 영향평가서를 살펴봤다.
국세청의 개인정보 영향평가 요약본 내용 살펴보니
국세청은 △2024년 1월 17일 ‘국세법령정보시스템 고도화 구축사업 개인정보 영향평가 요약본’ △2023년 12월 1일 부동산세, 상속·증여세 납부유예 시스템 개발 개인정보 영향평가 요약본 △2023년 11월 22일 ‘소득자료관리시스템 구축(3단계) 개인정보 영향평가 요약본’을 각각 공개했다.
1. 국세법령정보시스템 고도화 구축사업
국세청 법규과는 납세자 등에게 무료로 질의회신·법령 등 정보를 제공할 목적으로 개발된 국세법령정보시스템이 노후화됨에 따라 성능저하 해결과 납세자 수요에 대응하기 위한 시스템 고도화 구축사업을 추진했다.
시스템 구축·운용 또는 변경하는 개인정보의 주체는 국세청 조세법률 자문단이다. 개인정보파일 수는 52개이며, 개인정보 항목은 이름, 전화번호, FAX번호, 전문분야, 소속, 경력, 사진 등이다. 개인정보 수집은 동의를 받아 자문단 정보를 오프라인에서 수집, 국세법령정보시스템에 정보를 저장한 후, 업무담당자가 자문단을 조회 및 관리한다. 업무담당자가 퇴직하거나 직무변경시 사용자 정보는 파기되며, 자문단 정보는 자문 철회시까지 보유한다.
주요 영향평가 기준은 국세청 조세법률 자문단 정보 수집 절차 및 개인정보 파일 식별, 법령정보시스템 운영에 따른 수탁사 관리와 기존 국세청 개인정보처리시스템의 관리적·물리적·기술적 보호조치 적용 여부다.
개인정보 영향평가 결과 국세법령정보시스템 고도화 시 개인정보처리에 대한 안전성 확보를 목적으로 평가를 실시했으며, 이를 통해 신규 개인정보파일 식별 및 일부 관리적·기술적 보호조치를 보완했다. 기존 국세청 개인정보보호 관리체계를 유지해 시스템을 운영하고 있어 관리적·물리적·기술적 보호조치 수준이 우수한 것으로 나타났다.
▲국세청 국세법령정보시스템 고도화 구축사업의 개인정보 처리 흐름 분석표 [자료=국세청]
반면 주요 위험요소에 따른 개선조치 방안으로는 △자문단 개인정보 수집시 동의서 개선 △자문단 개인정보파일 대장 작성 및 관리 △법령정보시스템 업무위탁 공개 △관리자 접근에 대한 보호조치 적용이 제시됐다.
위험요소에 따른 정보주체 인지사항과 관련해서는 △법률자문단에 대한 개인정보파일 신규 작성 및 관련내용 등록 필요 △법률자문단 개인정보의 처리목적, 보유기간, 처리내용 등에 대한 투명성을 확보하기 위해 동의서식 개선 필요 △시스템 접속기록 조회 시 정확한 사용자 판별을 위한 보안기능 강화 권고를 받았다.
2.종합부동산세, 상속·증여세 납부유예 전산시스템
다음으로 국세청 양도종부정보화팀에서 공개한 종합부동산세, 상속·증여세 납부유예 전산시스템이다. 이 시스템에서는 종합부동산세, 상속·증여세 부과, 징수 및 환급 처리를 위해 이름, 집주소, 주민등록번호, 외국인등록번호 등 5만명 이상의 민감정보 또는 고유식별정보 처리가 수반된다.
평가결과 종합부동산세법, 상속세 및 증여세법, 조세특례제한법, 국세징수법 개정에 따른 법정 서식을 통해 수집되는 정보를 납부유예 관련 개인정보 처리를 위해 이용하며, 기존 국세청 개인정보보호 관리체계를 기반으로 시스템을 운영하기 떄문에 관리적·물리적·기술적 보호조치 수준이 높은 것으로 평가됐다.
개선조치 사항과 관련해서는 납부유예 관련 신청서를 통해 수집되는 개인정보 항목을 개인정보 파일에 추가해야 하고, 개인정보 처리방침에 기재된 제3자 제공 관련 내용을 최근 개정된 개인정보 보호법 내용으로 수정해야 한다는 점이 지적됐다. 또한 납부유예 관련 내용을 포함한 개인정보 파일을 최신화해 작성 및 관리해야 할 필요성이 제기됐다.
3. 소득자료관리시스템 구축(3단계)
마지막으로는 국세청 소득자료정보화팀에서 공개한 소득자료관리시스템이다. 개인정보 파일은 △상용근로자 소득정보 파악 및 개인정보 처리를 위한 간이지급명세서 40,885,909건으로 이름, 핸드폰(연락처), 기타(납부세액) △용역제공자 소득정보 파악 및 개인정보 처리를 위한 과세자료 제출명세서 796,697건으로 이름, 기타(소득금액) △일용근로자 소득정보 파악 및 개인정보 처리를 위한 일용근로소득지급 명세서 32,507,854건으로 이름, 집주소, 핸드폰(연락처), 주민등록번호, 기타 항목의 개인정보를 취급하고 있다.
평가결과 소득세법 개정사항을 반영한 법정 서식을 통해 수집되는 납세자 정보를 과세자료, 제출내역 관리 관련 개인정보 처리업무를 위해 이용하고 있으며, 기존 국세청 개인정보보호 관리체계를 유지하고 있는 국세청 소득자료관리시스템을 이용해 관리적·물리적·기술적 보호조치 수준이 높은 것으로 평가됐다.
반면 주요 개선조치 사항으로는 △국세청 홈페이지 개인정보처리방침에 기재된 제3자 제공 관련 내용을 개정 개인정보보호법 내용으로 수정 △개인정보처리방침을 통해 어떤 개인정보가 어떻게 처리되는지 확인될 수 있어야 한다는 것 등이 제시됐다.
개인정보 영향평가 수행과 관련해 국세청 관계자는 “각 부서별 업무 특성에 맞는 실무진이 영향평가 보고서에 참여하다 보니 평가 수행을 위한 자료 준비의 어려움이 있었다”며 “이를테면 예산 확보 누락이나 작성에 대한 고민 등에 대한 문의가 있었다”고 밝혔다.
이어 그는 “그렇게 각 부서에서 제출된 자료를 검토 및 취합해 평가기관에 의뢰하고, 최종 영향평가 보고서가 나오면 개인정보보호위원회에 제출하고 요약본은 권한이 있는 종합지원센터 담당자가 올리는 프로세스로 진행되고 있다”고 설명했다.
[김경애 기자(boan3@boannews.com)]
개인정보보호 관리체계, 관리적·물리적·기술적 보호조치 수준 우수
개인정보 수집시 동의서 개선, 자문단 개인정보파일 대장 작성 및 관리 등 개선 필요
[보안뉴스 김경애 기자] 2023년 9월 15일부터 시행된 개정 개인정보보호법에 따라 개인정보 영향평가 제도가 운영된지 4개월을 맞이한 가운데, 공공기관 중심으로 개인정보 영향평가 요약본이 잇따라 공개되고 있다. 개인정보가 어떻게 처리·보호되고 있는지 안전성 측면과 정보주체의 알권리 측면에서 요약본에 대한 중요성과 관심이 커지고 있다.
▲국세청이 공개한 개인정보 영향평가 요약본[이미지=국세청]
개인정보 영향평가 제도는 개인정보 파일의 운용·변경으로 인해 정보주체의 개인정보 침해가 우려되는 경우 위험 요인의 분석 및 개선사항 도출을 위해 다양한 항목을 평가하는 제도다.
개인정보 영향평가 주요 개정내용은 개인정보 영향평가 미수행시 과태료 부과 규정 신설, 영향평가 전문인력 자격기준, 영향평가 요약본 공개 제도 도입이다.
의무대상은 100만명 이상의 정보주체에 관한 개인정보파일, 내외부 시스템과 연계결과, 50만명 이상의 정보주체에 관한 개인정보파일, 민감정보 또는 고유식별정보 포함 시 5만명 이상의 정보주체에 관한 개인정보 파일을 보유할 경우에 해당된다.
개인정보 영향평가 의무대상은 영향평가 수행 후 영향평가서 및 요약본을 작성해 개인정보보호위원회에 제출한 후, 지체 없이 각 기관 홈페이지 내 공지사항 등을 통해 요약본을 공개해야 한다.
제도 시행 4개월이 지난 지금, <보안뉴스> 취재결과 개인정보 영향평가서 요약본 파일이 공공기관 중심으로 홈페이지 공지사항을 통해 공개되고 있는 것으로 파악됐다. 특히 공공기관의 경우 의무대상이 아니어도 공문 하달을 통해 개인정보 영향평가가 수행되면서 요약본을 공개하는 상황이다. 이에 <보안뉴스>는 최근 국세청이 공개한 개인정보 영향평가서를 살펴봤다.
국세청의 개인정보 영향평가 요약본 내용 살펴보니
국세청은 △2024년 1월 17일 ‘국세법령정보시스템 고도화 구축사업 개인정보 영향평가 요약본’ △2023년 12월 1일 부동산세, 상속·증여세 납부유예 시스템 개발 개인정보 영향평가 요약본 △2023년 11월 22일 ‘소득자료관리시스템 구축(3단계) 개인정보 영향평가 요약본’을 각각 공개했다.
1. 국세법령정보시스템 고도화 구축사업
국세청 법규과는 납세자 등에게 무료로 질의회신·법령 등 정보를 제공할 목적으로 개발된 국세법령정보시스템이 노후화됨에 따라 성능저하 해결과 납세자 수요에 대응하기 위한 시스템 고도화 구축사업을 추진했다.
시스템 구축·운용 또는 변경하는 개인정보의 주체는 국세청 조세법률 자문단이다. 개인정보파일 수는 52개이며, 개인정보 항목은 이름, 전화번호, FAX번호, 전문분야, 소속, 경력, 사진 등이다. 개인정보 수집은 동의를 받아 자문단 정보를 오프라인에서 수집, 국세법령정보시스템에 정보를 저장한 후, 업무담당자가 자문단을 조회 및 관리한다. 업무담당자가 퇴직하거나 직무변경시 사용자 정보는 파기되며, 자문단 정보는 자문 철회시까지 보유한다.
주요 영향평가 기준은 국세청 조세법률 자문단 정보 수집 절차 및 개인정보 파일 식별, 법령정보시스템 운영에 따른 수탁사 관리와 기존 국세청 개인정보처리시스템의 관리적·물리적·기술적 보호조치 적용 여부다.
개인정보 영향평가 결과 국세법령정보시스템 고도화 시 개인정보처리에 대한 안전성 확보를 목적으로 평가를 실시했으며, 이를 통해 신규 개인정보파일 식별 및 일부 관리적·기술적 보호조치를 보완했다. 기존 국세청 개인정보보호 관리체계를 유지해 시스템을 운영하고 있어 관리적·물리적·기술적 보호조치 수준이 우수한 것으로 나타났다.
▲국세청 국세법령정보시스템 고도화 구축사업의 개인정보 처리 흐름 분석표 [자료=국세청]
반면 주요 위험요소에 따른 개선조치 방안으로는 △자문단 개인정보 수집시 동의서 개선 △자문단 개인정보파일 대장 작성 및 관리 △법령정보시스템 업무위탁 공개 △관리자 접근에 대한 보호조치 적용이 제시됐다.
위험요소에 따른 정보주체 인지사항과 관련해서는 △법률자문단에 대한 개인정보파일 신규 작성 및 관련내용 등록 필요 △법률자문단 개인정보의 처리목적, 보유기간, 처리내용 등에 대한 투명성을 확보하기 위해 동의서식 개선 필요 △시스템 접속기록 조회 시 정확한 사용자 판별을 위한 보안기능 강화 권고를 받았다.
2.종합부동산세, 상속·증여세 납부유예 전산시스템
다음으로 국세청 양도종부정보화팀에서 공개한 종합부동산세, 상속·증여세 납부유예 전산시스템이다. 이 시스템에서는 종합부동산세, 상속·증여세 부과, 징수 및 환급 처리를 위해 이름, 집주소, 주민등록번호, 외국인등록번호 등 5만명 이상의 민감정보 또는 고유식별정보 처리가 수반된다.
평가결과 종합부동산세법, 상속세 및 증여세법, 조세특례제한법, 국세징수법 개정에 따른 법정 서식을 통해 수집되는 정보를 납부유예 관련 개인정보 처리를 위해 이용하며, 기존 국세청 개인정보보호 관리체계를 기반으로 시스템을 운영하기 떄문에 관리적·물리적·기술적 보호조치 수준이 높은 것으로 평가됐다.
개선조치 사항과 관련해서는 납부유예 관련 신청서를 통해 수집되는 개인정보 항목을 개인정보 파일에 추가해야 하고, 개인정보 처리방침에 기재된 제3자 제공 관련 내용을 최근 개정된 개인정보 보호법 내용으로 수정해야 한다는 점이 지적됐다. 또한 납부유예 관련 내용을 포함한 개인정보 파일을 최신화해 작성 및 관리해야 할 필요성이 제기됐다.
3. 소득자료관리시스템 구축(3단계)
마지막으로는 국세청 소득자료정보화팀에서 공개한 소득자료관리시스템이다. 개인정보 파일은 △상용근로자 소득정보 파악 및 개인정보 처리를 위한 간이지급명세서 40,885,909건으로 이름, 핸드폰(연락처), 기타(납부세액) △용역제공자 소득정보 파악 및 개인정보 처리를 위한 과세자료 제출명세서 796,697건으로 이름, 기타(소득금액) △일용근로자 소득정보 파악 및 개인정보 처리를 위한 일용근로소득지급 명세서 32,507,854건으로 이름, 집주소, 핸드폰(연락처), 주민등록번호, 기타 항목의 개인정보를 취급하고 있다.
평가결과 소득세법 개정사항을 반영한 법정 서식을 통해 수집되는 납세자 정보를 과세자료, 제출내역 관리 관련 개인정보 처리업무를 위해 이용하고 있으며, 기존 국세청 개인정보보호 관리체계를 유지하고 있는 국세청 소득자료관리시스템을 이용해 관리적·물리적·기술적 보호조치 수준이 높은 것으로 평가됐다.
반면 주요 개선조치 사항으로는 △국세청 홈페이지 개인정보처리방침에 기재된 제3자 제공 관련 내용을 개정 개인정보보호법 내용으로 수정 △개인정보처리방침을 통해 어떤 개인정보가 어떻게 처리되는지 확인될 수 있어야 한다는 것 등이 제시됐다.
개인정보 영향평가 수행과 관련해 국세청 관계자는 “각 부서별 업무 특성에 맞는 실무진이 영향평가 보고서에 참여하다 보니 평가 수행을 위한 자료 준비의 어려움이 있었다”며 “이를테면 예산 확보 누락이나 작성에 대한 고민 등에 대한 문의가 있었다”고 밝혔다.
이어 그는 “그렇게 각 부서에서 제출된 자료를 검토 및 취합해 평가기관에 의뢰하고, 최종 영향평가 보고서가 나오면 개인정보보호위원회에 제출하고 요약본은 권한이 있는 종합지원센터 담당자가 올리는 프로세스로 진행되고 있다”고 설명했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
