행정안전부의 내년도 예산안에 따르면 개인정보보호 관련 예산은 76억원이라고 합니다. 이는 올해 개인정보보호 예산인 70억원에 비해 약 9% 상승한 금액인데요.

행안부는 이를 지난 3월 계도기간이 만료된 개인정보보호법이 본격적으로 시행됨에 따라 기술적·관리적 개인정보보호 조치를 강화하기 위해서라고 설명합니다.

행안부는 내년부터 사업자들의 개인정보 인식제고를 위핸 개인정보 실태점검을 강화(25억->30억)하고, 개인정보 교육, 홍보 등에도 적극적으로 투자(14억->15억)할 계획입니다. 또 주민번호 대체를 위해 아이핀(IPIN) 활성화에도 박차를 가할 계획입니다. 아울러 개인정보보호 기술지원센터 운영(26억), 개인정보 법·제도개선과 분쟁조정운영(5억)도 본격화할 예정입니다.

이번 행안부의 개인정보보호 관련 예산안은 시장의 목소리를 많이 반영한 것으로 보여 더욱 기대가 됩니다.

개인정보보호법은 지난해 9월 30일에 시행, 약 1년간의 시행기간을 거쳐왔습니다. 그러나 지속적으로 발생한 개인정보유출사고를 비롯해 사업자들의 개인정보보호법 이해도 부족, 여전히 이뤄지고 있는 주민번호 수집은 개인정보보호법 시행을 무색케 했습니다.

개인정보보호 관련 예산안과 시장의 수요를 하나씩 비교해보도록 하겠습니다.

개인정보보호법 상에는 개인정보보호 조치를 제대로 취하고 있는지의 여부를 판단하기 위해 내부감사를 실시해야한다는 조항이 존재합니다.

그러나 내부감사의 특징 상 업체, 기관 스스로 문제점을 찾아내지 못하는 경우도 있고, 찾더라도 은닉하는 상황이 발생할 수 있는게 현실입니다.

이런 이유 때문에 법조계에서는 개인정보유출사고 방지를 위해서는 내부감사뿐 아니라 외부감사를 실시해야한다고 목소리를 모았습니다.

이와 관련 이강신 김앤장 전문위원은 “내부감사만으로는 개인정보보호와 관련된 부분을 모두 체크할 수 없다”며 “이제는 내부감사뿐 아니라 외부감사도 실시하도록 고민이 필요한 시기라고 생각한다”고 말합니다.

이에 대해 행안부는 사업자들을 대상으로 개인정보 실태점검을 강화한다는 계획입니다. 개인정보취급을 제대로 하고 있는지, 불필요한 정보를 수집·보관하지는 않는지 등에 대한 조사입니다. 또 국민들이 개인정보를 침해당했을 때, 이를 신고할 수 있는 절차를 간소화, 피해를 최소화시키겠다는 계획입니다.

개인정보보호법에 대한 교육과 홍보가 부족하다는 것도 여러차례 거론됐습니다. 개인정보보호법은 IT기업의 실무자가 이해하기는 어려운 법안이라고 합니다.

김영미 상명대 교수는 “개인정보보호법은 어려운 법안이다. 국가단위에서 개인정보보호법과 관련된 부분을 지속적으로 공지하고 교육해 현장의 부담을 줄여주는 것이 필요하다”며 “현재도 교육과 관련해서 많은 노력과 지원이 있지만, 손길이 닿지 않는 곳을 보완할 수 있는 노력이 필요하다”고 설명합니다.

행안부는 내년도 예산안에서 ‘개인정보보호 교육과 홍보, 자율규제 지원 등’에 15억원을 책정했습니다. 지난해보다 약 10% 상승한 금액인데요. 이와 관련 한순기 행정안전부 개인정보보호과장은 “향후 과제로 관련기관과의 협조를 통한 분야별 가이드라인을 마련해 법과 제도를 널리 알려 개인정보보호의 역량을 강화시키겠다”고 강조했습니다.

현재도 행안부는 정부기관, 의료기관 등에서 지켜야할 개인정보보호법 항목을 가이드라인으로 제작해 배포하고 있으며, 향후 더 많은 기관을 대상으로 한 가이드라인을 제작, 배포할 계획입니다.

이외에도 행안부는 정보화 역기능에 대응하기 위한 예산으로 80억원을 책정, 인터넷 중독 예방교육, 정보윤리교육 등을 실시할 계획입니다.

내년도 행안부 예산안이 부족함없이 정기국회를 통과할 수 있길 기대해봅니다.

2012/10/07 09:20 2012/10/07 09:20


#1.서울 영등포구 당산동에 위치한 한 마트는 입구에서부터 내부 홀, 출구 등 장소에 모두 9개의 CCTV를 설치, 운영을 하고 있다. 그러나 어디에도 ‘CCTV 촬영 중’이라는 안내문구를 찾아볼 수 없었다. 마트 주인인 A씨는 “고객들의 안전과 물품분실을 방지하기 위해 CCTV를 설치해 운영하고 있다”며 “촬영 중 안내문구를 붙여야한다는 사실은 인지하고 있었으나 정확한 정보를 찾기가 힘들었다”고 전했다.

#2.서울 중구 무교동에 위치한 한 병원은 최근 메일링서비스를 위해 환자들에게 개인정보를 수집하고 있다. 그들이 수집하는 정보는 환자의 이메일주소, 전화번호 등이다. 개인정보보호법에 의거하면 개인정보를 수집할 때 환자들의 동의서를 받아야하지만 병원측은 이를 인지하지 못하고 있었다. 담당 의사는 “환자들에게 의학정보를 주기위한 것으로 진료의 일부라고 생각해 동의서를 받지 않았다”고 말했다.


개인정보보호법 시행으로 CCTV안내문 부착이 의무화됐지만 홍보 부족탓에 이를 지키지 않는 사업자가 많은 것으로 나타났다.

대기업이나 해당 기업의 계열사들은 상부지침으로 인해 ‘CCTV 촬영 중’ 안내문구를 업소내에 안내하고 있으나, 프렌차이즈가 아닌 개인사업자들은 여전히 이를 대부분 지키지 않고 있다.

실제 CCTV 운영 현황을 알아보기 위해 기자가 서울 무교동에 위치한 10개의 사업장을 방문한 결과 커피전문점, 편의점 등에는 해당 안내문구가 명확히 고지돼 있었다. 반면 사무실이 몰려있는 일부 빌딩에는 입구에 CCTV가 설치돼 있었으나 해당 사실을 고지하는 문구를 전혀 찾아볼 수 없었다.

서울 종로구 청진동에 위치한 모 편의점에는 2대의 CCTV를 운영하고 있었으며 ‘CCTV 촬영 중’ 안내문구를 부착했다. 그러나 해당 문구는 입구가 아닌 한쪽 구석에 부착돼 있었다. 모 편의점 사장은 “지난해 10월 본사로부터 ‘CCTV 촬영 중’ 안내문구를 설치하라는 지시를 받았다”며 “하지만 입구에 설치하는 것이고객들에게 불쾌감을 줄까봐 다소 구석진 곳에 부착했다”고 전했다.

이는 고객이 ‘자신이 촬영당한다’라는 인식을 받게되면 매출이 줄어들 수 있을 것이라는 우려감 때문인 것으로 보인다. 같은 이유로 찜질방, 사우나에서도 안내문구를 부착하지 않거나, 잘 보이지 않는 곳에 부착한다고 한다.


개인정보보호법 제24조(안내판의 설치 등)에 의하면 CCTV와 같은 영상정보처리기기를 설치, 운영하기 위해서는 해당 기기가 설치, 운영되고 있음을 정보주체가 쉽게 알아볼 수 있도록 설치해야한다.

다만, 건물 안에 여러 개의 기기를 설치하는 경우에는 출입구 등 잘 보이는 곳에 해당 시설 또는 장소 전체가 영상정보처리기기 설치지역임을 표시하는 안내판을 설치할 수 있다.

CCTV를 설치, 운영하는 사업자는 ▲CCTV설치 목적 및 장소 ▲촬영범위 및 시간 ▲관리책임자의 성명 또는 직책 및 연락처 ▲CCTV 수탁자 등의 명칭 및 연락처를 명시해 안내문구를 부착해야 한다.

개인정보가 집약된 의료기관에서도 개인정보보호법을 위반하고 있었다. 진료를 위한 최소한의 정보 이외에 불필요한 정보를 수집하는 것이다.

서울 중구 무교동에 위치한 한 병원은 진료증을 작성할 시, 이메일 주소를 기재하도록 하고 있다. 이메일 주소를 수집하는 이유는 병원소식, 의료정보와 같은 메일링 서비스를 위한 것이라고 한다. 그러나 해당 진료증에는 개인정보 수집 동의서는 찾아볼 수 없었다.

개인정보보호법에 따르면 본래의 서비스를 제공하기 위한 것이 아닌 다른 목적으로 개인정보를 수집하는 경우에는 개인정보 수집 동의서를 받아야한다. 병원소식, 의료정보와 같은 것은 진료와는 관계가 없는 추가적인 서비스 이므로 반드시 개인정보 수집 동의서를 받아야한다.

이와 관련 대한치과의사협회 관계자는 “환자의 개인정보를 진료목적으로만 수집하는 경우 별도의 개인정보 수집 동의서를 받을 필요가 없다”며 “그러나 그 이외의 행위에 대해서는 진료 목적을 벗어난 것으로 간주되므로 동의서를 받아야 한다”고 강조했다.

이어 “진료기록부 등 의료법에 명시된 보존기간이 지난 개인정보도 반드시 파기해야 한다”며 “연구의 목적으로 보존기간 이후에도 보관하고자 할 때는 반드시 환자로부터 동의가 필요하다”고 덧붙였다.


2012/04/25 09:41 2012/04/25 09:41


개인정보보호법의 계도기간이 끝나면서 다음달 말부터 본격적인 시행에 들어갑니다.

이번 법안 시행으로 개인정보보호법의 적용을 받는 사업자수는 약 350만 개. 공공기관, 비영리단체, 동창회, 부동산중개소, 택배사, 등 흔히 생각하는 인터넷서비스업체뿐만 아니라 생활 곳곳에 있는 사업자들이 모두 대상입니다.

동창회라고 하면 기업도 아닌데 왜 적용을 받느냐라고 반문할 수 있습니다. 동창회는 회원명부(이름, 전화번호, 주소 등)를 수집·관리하는 절차가 들어있기 때문에 영리목적이 아니라도 이것이 유출될 경우 개인이 피해를 입을 수 있다는 법적 해석이 들어가 있기 때문입니다.

그러나 아직까지 개인정보보호법 시행안을 인지하지 못하고 있는 중소기업이나 소상공인들이 많다는 지적이 여전히 나오고 있습니다.

최근에 기자가 만난 쇼핑몰 사업자들은 대부분 개인정보보호법이 시행됐다는 사실조차 모르고 있었으며, 이를 인지한 사업자들 중에서도 무엇을 해야할지를 모르고 있는 사람이 대부분이었습니다.

쇼핑몰 사업자들은 우선적으로 온라인을 통해 개인정보를 수집하기 때문에 정보통신망법의 적용을 받지만, 실물을 거래하는 서비스의 개념도 포함돼 있어 개인정보보호법의 적용도 받게됩니다.

<관련기사 : 개인정보보호법, 정부차원의 당근과 채찍 필요>

행정안전부가 지난해부터 중소기업, 소상공인 등 국민생활과 밀접한 중소사업자를 대상으로 업종별 컨설팅에 돌입하긴 했지만 여전히 사각지대에 놓인 사업자들이 많다는 것이겠지요.


반면 법은 누구에게나 공정합니다. 매출액이 적은 소상공인이라고 법의 적용을 받지 않는 것은 아닙니다. 소상공인들이 개인정보보호법을 지키지 않는다면 행정조사를 받게되고, 이는 벌금이나 징역과 같은 형사처벌도 받을 수 있습니다.

더 나아가 민사소송으로까지 연결된다면 금전적 피해는 더욱 커지겠지요.

소상공인, 중소기업들이 개인정보보호법을 지킬 수 있는 방법을 알아보기 위해 행복마루 법률사무소 구태언 변호사를 만났습니다.

구 변호사는 “개인정보보호법은 어려운 것이 아니므로 겁먹을 필요가 없다”고 운을 뗐습니다. 이미 많은 사업자들이 헌법을 비롯해 정보통신망법과 같은 법을 모두 지키고 있는데, 새로운 법안이 등장했다고 해서 고심할 필요는 없다는 이야기였습니다.

그는 이어 “개인정보보호 지침을 보면 합리적인 비용이 소요되는 선에서 구축할 것을 요구하고 있다”며 “대기업처럼 많은 인력과 장비를 갖추라는 것은 아니다”라고 덧붙였습니다.

대기업에서는 개인정보보호를 위해 보안솔루션을 새롭게 도입하고 보안컨설팅을 받는 등 다양한 조치에 나섰지만, 중소기업은 대기업처럼 투자할 여력이 마땅치 않습니다.

개인정보보호법은 ‘개인정보의 안정성 확보를 위해 기업이 최선의 노력을 다했느냐’라는 부분이 핵심이기 때문에 수준보다는 관리의 영역이 중요하다는 것이 구 변호사의 설명입니다.

개인정보보호법 시행령 제30조(하단)를 살펴보면 가장 먼저 나오는 부분이 바로 ‘관리’의 영역입니다.

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
5. 개인정보에 대한 보안프로그램의 설치 및 갱신
6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

관리의 조치를 한 이후 기술적 조치를 취하고, 마지막으로 물리적 조치를 취하는 것이 올바른 순서라는게 구 변호사의 설명입니다.

구 변호사는 “중소기업이 개인정보보호법을 지키기 위해서는 관리적인 노력부터 시작해야 한다. 어떤 절차로 개인정보를 수집·활용하며, 그 정보는 누가 어떻게 관리하고 있는지와 같은 것들을 우선적으로 정해두고, 이후 암호화 기술을 적용하는 것이 그 순서다”라고 말했습니다.

우선적으로 개인정보를 수집, 보관하고 있는 기업들은 그 정보를 열람할 수 있는 인원을 한정하고 개인정보관리책임자를 선임해야합니다.

즉, 개인정보관리책임자를 제외한 다른 직원들은 해당 정보에 접근할 수 없도록 권한을 분배해야겠지요.

그 다음 해킹 등을 통한 유출을 방지하기 위해 개인정보가 있는 DB를 암호화 해야합니다. DB암호화, 방화벽, DRM과 같은 솔루션이 필요하겠네요.

개인정보보호법과 관련해 기술적 조언을 받기 위해서는 한국정보화진흥원과 행안부가 공동으로 만든 기술지원센터(www.privacy.go.kr)에서 받을 수 있습니다.

법률사무소 행복마루(www.happy-maru.kr)에서는 개인정보보호법과 관련된 법률상담을 실시할 예정이라고 합니다. 행복마루는 유수기업에 개인정보관리체계 구축 자문을 활발히 하고 있는 법률사무소입니다.


구 변호사는 “인터넷으로 개인정보보호법과 관련된 자문서비스를 준비하고 있다”며 “중소기업을 운영하는 사업자들의 궁금증을 해소할 수 있도록 막바지 작업에 들어갔다”고 전했습니다.

개인정보보호법 계도기간 종료까지 이제 한달 남았습니다. 이제 마무리를 해야할 것 같습니다
.



2012/02/21 14:33 2012/02/21 14:33