“ㅇㅇ아파트에서는 거주자 대신 택배기록대장 등록 후 택배를 보관해줍니다. 그런데, 택배기록대장 이면지에 ㅇㅇ대학 입학원서로 재학증명서, 개인신상(사진, 이름, 주민번호, 거주지 등) 등이 기록 되어있어 대학 입학과 관계없는 사람들이 보게 되는데 문제가 있지 않나요?”
ㅇ“수강 목적 계정등록 후 5년 경과 후에도 폐기하지 않고 활용 중 이네요”
“ㅇㅇ학원 웹사이트에 ㅇㅇㅇ이라는 ID로 회원가입을 했습니다. 수강 종료 후 5년이 지난 지금도 저의 정보가 폐기되지 않은 것을 확인할 수 있었습니다. 문제 아닌가요?”
※ 위 사례는 행정안전부 운영 개인정보침해신고센터(한국인터넷진흥원)에 접수된 내용
대학, 학원 등 교육기관은 학생 및 수강생 등 많은 분량의 개인정보를 보유하고 있다. 따라서 이들 기관의 개인정보 관리는 국가의 개인정보 보호 관점에서 볼 때 매우 중요하다.
행정안전부(장관 김부겸)는 교육분야 기관 중 개인정보 관리실태 현장점검을 실시하지 않은 대학 및 민간교육기관을 중심으로 개인정보 관리실태 현장점검을 실시한다. 점검 대상기관은 미점검 및 고유식별정보 안전성 확보조치 실태조사(’17.4.∼6) 결과 주민등록번호 다량 보유하고 있거나 안전성 확보조치가 미흡한 대학과 민간교육기관을 포함하여 총 20개 기관이다.
이번 현장점검의 중점 점검항목은 개인정보 오·남용을 예방하기 위한 개인정보처리시스템의 개인정보 수집 적정성, 보존기간이 경과된 개인정보의 파기, 업무 위탁시 수탁사 관리·감독, 안전조치위반(접근권한 관리, 접근통제, 개인정보 암호화, 접속기록 보관 및 점검 등) 등이다.
점검방법과 절차는 먼저 수검기관 현장을 직접 방문하여 자료조사, 담당자 인터뷰, 개인정보처리시스템 점검 등을 실시하고, 법 위반사항이 적발되면 즉시 개선토록 조치한 후 개선권고, 과태료ㆍ과징금 부과, 명단공표 등 엄정한 행정처분을 실시할 계획이다.
특히 ▲고유식별정보 관리실태 현장점검 시 주민등록번호 등 고유식별정보 처리여부 ▲처리하고 있는 경우 동의 및 법적 근거 여부 ▲암호화 등 안전조치 이행여부를 집중 점검할 계획이다.
아울러, 모든 공공기관 및 5만명 이상의 고유식별정보를 처리하는 기업은 올해 6월까지 개인정보보호 종합포털(www.privacy.go.kr)에 자체점검 결과를 등록해야 하며, 점검결과 미흡기관은 추후 현장점검을 실시할 예정이다.
지난 2017년도 교육분야를 현장 점검한 결과, 59개 기관 중 49개 기관에서 69건의 법 위반(위반율 83%, 기관당 평균 1.4건)이 확인되었다. 세부적으로는 학습지(위반율 100%), 대학(84%), 학원(67%) 등으로 법 위반율이 확인되고 있어 개인정보 관리가 다소 미흡한 것으로 분석된다.
주요 법 위반 사항으로는 전체 69건 중 43건(62%)이 안전조치의무(제29조)으로 가장 많았으며, 파기(제21조) 6건(9%), 수탁자 교육 및 감독(제26조) 4건(6%), 고유식별정보 처리제한(제24조) 4건(6%), 주민등록번호 처리제한(제24조의2) 1건(1%) 등이다.
안전조치의무 위반사항 43건을 세분화(1건당 다수 세부위반 적용 시)하면 총 118건의 기술적 조치 위반사항이 확인되는데, ①접근권한 관리(39건) 위반이 가장 많았고, ②접근통제(36건), ③개인정보 암호화(23건), ④접속기록의 보관 및 점검(20건), ⑤물리적 안전조치(3건) 위반 순이다.
김혜영 행정안전부 개인정보보호정책관은 “2017년도 교육분야 현장점검 위반사례를 분석·활용하여 현장점검 대상기관이 사전에 자체 점검 및 개선하도록 함으로서 선제적으로 개인정보 보호 역량을 갖추도록 하고, 수탁 업체에 대한 관리감독 여부 등도 중점적으로 현장 점검함으로서 교육분야의 개인정보 보호 인식 및 관리 수준을 더욱 높이도록 최선을 다할 것이다.”라고 말했다.
* 기타 자세한 내용은 첨부파일을 참고하시기 바랍니다.
담당 : 개인정보안전과 이정석(02-2100-3496)
