2024-03-30 00:40 (토)
공공 1천500개, 민간 2천개 기업 개인정보처리자 실태조사 결과
상태바
공공 1천500개, 민간 2천개 기업 개인정보처리자 실태조사 결과
  • 길민권 기자
  • 승인 2020.08.31 01:16
이 기사를 공유합니다

‘2020년 개인정보보호 연차보고서’ 발표…공공·민간 법 준수 현황·개인정보 관리실태 공개

개인정보보호위원회(위원장 윤종인)와 행정안전부는 개인정보처리자의 법 준수 현황, 개인정보 관리실태 등을 파악하기 위해 2019년 개인정보보호 실태를 조사하고 최근 개인정보보호 연차 보고서를 발표했다.

조사 대상은 일반국민 2천500명, 공공기관 1천500개, 민간기업 2천개 등의 개인정보처리자이며 실태조사는 2019년 8월부터 10월까지 진행된 결과다.

개인정보보호위원회 보고서에 따르면, 정보주체의 대부분(84.7%)은 개인정보보호의 중요성을 충분히 인식하고 있었다. 그러나 출처가 불분명한 자료·이메일을 열람하지 않거나(47.0%), 불필요한 경우 개인정보를 타인에게 알려주지 않는(43.6%) 등의 일반적인 개인정보보호 지침을 따르는 경우가 50% 미만으로 나타나 개인정보보호를 위한 노력은 부족한 것으로 조사되었다. 또한, 정보주체의 40.3%만이 개인정보 제공 시 동의서를 확인하며, 침해 시 피해구제를 신청하는 비율도 30.9%에 불과해 권리 행사에도 소극적 태도를 보였다.

개인정보처리자(공공기관 94.7%, 민간기업 83.6%)도 개인정보보호가 중요하다고 인식하는 것으로 나타났다. 그러나 민간기업은 개인정보처리방침 작성·공개비율도 절반 수준(49.5%)이고, 자주 갱신하지 않는 등(갱신주기 1년 이상 72.6%) 기본적인 보호조치가 부족한 것으로 나타나 관련 정책 마련이 필요할 것으로 보인다. 공공기관은 대부분 개인정보처리 방침을 작성·공개(99.4%)하고, 1년 이내 갱신(92.0%)하고 있었다.

민간기업은 개인정보보호 담당자 10명 중 8명 이상이 2년 이상 경력자(87.2%)이며, 그중 5년 이상 경력자도 절반에 가까운 비율(55.4%)을 차지하는 것으로 조사되었으나, 공공기관은 순환보직 등의 이유로 개인정보 보호담당자의 절반 이상(57.9%)이 업무경력 2년 미만으로, 상대적으로 민간에 비해 전문성이 부족한 수준이었다. 이에, 전문관 지정, 인센티브 부여 등 체계적인 지원방안 마련이 필요한 것으로 보인다.

개인정보처리자의 빅데이터 활용 비율(공공기관 16.4%, 민간기업 7.9%)은 2018년 대비소폭 상승했으나, 활용 시 개인정보보호 법규상 문제가 될 것 등을 우려해 실제 활용 사례가 많지는 않은 것으로 나타났다.

개인정보처리자는 특히, 빅데이터 활용 시 개인정보 정의 규정(공공 42.1%, 민간 46.4%), 개인정보 수집·제공에 대한 동의 규정(공공 38.2%, 민간 35.8%) 등을 법률상 한계로 인식하고 있었으나, 2020년 ‘개인정보보호법’ 개정으로 가명정보의 활용이 가시화될 경우 관련 제약은 일부 완화될 것으로 보인다.


행정안전부와 방송통신위원회의 개인정보보호 관련법 위반 행정처분 관련 내용도 보고됐다.

◇행정안전부

2018년 8월 국내진출 글로벌기업 20개 업체를 대상으로 현장검사를 실시하고, ‘개인정보보호법’ 제15조 개인정보 수집·이용, 제29조 안전조치의무 등을 위반한 18개 업체에 개선권고 1건과 과태료 28건 1억 5,700만 원을 부과했다.

2018년 9월 대학, 학점인정기관, 학원 등 교육 분야 20개 기관을 대상으로 현장검사를 실시하고, ‘개인정보 보호법’ 제24조 고유식별정보의 처리 제한, 제29조 안전조치의무 등을 위반한 14개 기관에 개선권고 3건과 과태료 18건 9,900만 원을 부과했다.

2018년 12월 행정처분결과 이행 여부, 고유식별정보 조사 및 서면 점검 자료 미제출 기관 등 12개 기관을 대상으로 현장검사를 실시하고, 개인정보 보호법 제24조의2 주민등록번호 처리의 제한, 제29조 안전조치의무 등을 위반한 11개 기관에 개선권고 4건과 과태료 15건 6천500만 원을 부과했다.

2019년 1월 공공 분야 7개 기관을 대상으로 현장검사를 실시하고, ‘개인정보 보호법’ 제24조의2 주민등록번호 처리의 제한, 제29조 안전조치의무 등을 위반한 5개 기관에 과태료 5건 3천300만 원을 부과했다.

2019년 3월 입시 분야 12개 기관을 대상으로 현장검사를 실시하고, ‘개인정보 보호법’ 제23조 민감정보의 처리 제한, 제29조 안전조치의무 등을 위반한 6개 기관에 시정명령 2건과 과태료 5건 2천600만 원을 부과했다.

2019년 4~6월 개인정보 노출 협·단체, 고유식별정보 안전성 확보조치 미흡기관 등 27개 기관을 대상으로 현장검사를 실시하고, ‘개인정보 보호법’ 제21조 개인정보의 파기, 제29조 안전조치의무 등을 위반한 9개 기관에 개선권고 4건과 과태료 5건 3천만 원을 부과했다.

2019년 6~7월 공공기관 개인정보보호 관리수준 진단결과에서 미흡 등급을 받은 10개 기관을 대상으로 현장검사를 실시하고, ‘개인정보보호법’ 제26조 업무위탁에 따른 개인정보의 처리 제한, 제29조 안전조치의무 등을 위반한 4개 기관에 개선권고 1건과 과태료 3건 1천800만 원을 부과했다.

◇방송통신위원회

방송통신위원회는 해킹 등으로 인한 개인정보 침해가 우려되는 가상통화 취급업소 및 생활밀접형 O2O(Online to Offline) 사업자에 대한 개인정보 취급·운영 실태점검을 실시했다. 조사 결과, 정보통신망법상 개인정보보호 관련 규정을 위반한 것으로 나타난 10개사에 대해 시정명령과 함께 과태료 총 7천100만 원을 부과했다.

또 정보통신망법 및 위치정보법 위반행위가 있는 사업자(2개사)를 인지해 사실조사를 진행했으며, 정보통신망법 제25조 및 위치정보법 제18조 등을 위반한 사실이 확인된 2개사에 대해 시정명령과 함께 총 2천840만 원의 과태료 및 2천380만 원의 과징금을 부과했다.

그리고 언론 및 민원신고 등을 통해 해외사업자가 서비스를 통해 개인정보 불법수집을 하는 점을 인지하고 2017년부터 조사를 진행했다. 조사 결과, 해당 서비스는 정보통신망법 제22조 및 제30조를 위반한 것으로 나타나 시정명령과 함께 과태료 1천만원 및 과징금 90만 원을 부과했다.

한편 개인정보 유출 사실을 신고한 정보통신서비스 제공사업자에 대해 2017년부터 개인정보 취급·운영 실태조사를 진행했다.

조사 결과, 개인정보 유출 사실을 정당한 사유 없이 24시간을 지나서 신고하거나, 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 등을 이용한 보안조치를 취하지 않는 등 정보통신망법을 위반한 사실이 확인된 78개사에 대해 시정명령과 함께 과태료 총 11억2천200만 원을 부과하고, 14개사에 과징금 4억 730만 원을 부과했다.

또 개인정보 유출 및 민원이 접수된 정보통신서비스 제공자 등에 대해 사실조사를 진행했으며, 개인정보처리시스템 침입차단 및 탐지시스템 설치·운영을 소홀히 하거나 유출신고 등을 지연하는 등 정보통신망법을 위반한 11개사에 시정명령을 부과하고, 이 중 10개사에 총 과태료 1억 4천600만 원, 1개사에 과징금 18억 5천200만 원을 부과했다.

◇제4차 개인정보보호 기본계획

개인정보보호 기본계획에 대한 내용도 포함됐다. 개인정보보호 기본계획은 개인정보보호위원회가 ‘개인정보 보호법’ 제9조에 따라 개인정보의 보호와 정보주체의 권익 보장을 위해 3년마다 수립하는 중기계획이다. 개인정보보호의 기본목표, 추진 방향, 관련 제도 및 법령 개선, 침해방지 대책 등의 중요 사항을 담고 있으며, 각 중앙행정기관은 기본계획에 따라 매년 시행계획을 수립하고 보호위원회의 심의·의결을 거쳐 이를 시행한다.

제1차 개인정보보호 기본계획(2012년~2014년)과 제2차 기본계획(2015년~2017년)은 개인정보보호법의 안정적 정착과 각 이해관계자의 역량 강화에 중점을 두었고, 제3차 기본계획(2018년~2020년)은 능동적인 보호활동 강화 및 보호제도의 현실화를 목표로 했다. 제4차 개인정보보호 기본계획(2021년~2023년)은, 2020년 1월 13일에 보호위원회 심의·의결을 거쳐 확정한 후 2020년 2월 공표했다.

제4차 기본계획에서는 ‘개인정보보호를 실질화해 안전한 디지털 신뢰사회 구현’을 비전으로 설정하고, 개인정보보호 정책 혁신 및 정보주체 권익 증진과 자율·협력 기반의 국내외 개인정보보호 역량 강화를 목표로 하였다. 이를 실현하기 위해 ▲선제적 개인정보보호 강화 ▲안전한 개인정보 이용 환경 구축 ▲글로벌 개인정보 리더십 확보 등의 3대 추진전략과 10개 핵심과제를 마련했다.

보다 상세한 내용은 ‘2020년 개인정보보호 연차 보고서’를 참고하면 된다. 보고서는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★