Output file

Size: px

Start display at page:

Download "Output file"

채연 빙
9 years ago
Views:

1 발 간 등 록 번 호 Personal Information Protection Annual Report

2 본 연차보고서는 개인정보 보호법 제67조의 규정에 의거하여 개인정보 보호시책의 수립 및 시행에 관한 내용을 수록하였으며, 203년도 정기국회에 제출하기 위하여 작성되었습니다.

3 목 차 203 연차보고서 제 편 주요 현황 제 장 l 정책 현황 제 절 정책추진 현황 4 제 2 절 국내 외 주요 이슈 8 제 2 장 l 실태조사 제 절 정보주체 3 제 2 절 개인정보처리자 2 제 3 장 l 주요기술 및 산업동향 제 절 기술 37 제 2 절 산업 동향 45 제 4 장 l 주요 판례 제 절 개관 49 제 2 절 판례의 현황분석 및 향후전망 50 제 3 절 주제별 조문별 핵심판례 정리 5 제 2 편 정책실적 및 성과 제 장 l 위원회 활동 제 절 위원회 운영 67 제 2 절 위원회 심의 의결 안건의 주요내용 70 제 3 절 국제교류 76 제 2 장 l 정책 및 제도 개선 제 절 관련 법령 개선 79 제 2 절 체계 정비 83 제 3 절 국제협력 강화 86

현황분석 및 향후전망 50 제 3 절 주제별 조문별 핵심판례 정리 5 제 2 편 정책실적 및 성과 제 장 l 위원회 활동 제 절 위원회 운영 67 제 2 절 위원회 심의

4 목 차 203 연차보고서 제 3 장 l 환경개선 및 수준제고 제 절 개인정보 침해사고 예방 강화 89 제 2 절 실태점검 및 개선 96 제 3 절 기반 강화 및 기술지원 99 제 4 절 정보주체 권리 보장 03 제 4 장 l 인식제고 제 절 교육 제 2 절 홍보 4 제 3 절 자율규제 촉진 및 인식제고 6 제 3 편 기관별 실적 및 계획 제 장 l 주요기관 제 절 안전행정부 23 제 2 절 방송통신위원회 30 제 3 절 금융위원회 35 제 4 절 교육부 38 제 5 절 보건복지부 4 제 2 장 l 국회 법원 헌법재판소 중앙선거관리위원회 제 절 국회 45 제 2 절 법원 46 제 3 절 헌법재판소 48 제 4 절 중앙선거관리위원회 50 제 3 장 l 행정부 제 절 중앙행정기관 53 제 2 절 지방자치단체 25

주요기관 제 절 안전행정부 23 제 2 절 방송통신위원회 30 제 3 절 금융위원회 35 제 4 절 교육부 38 제 5 절 보건복지부 4 제 2 장 l 국회 법원 헌법재판소

5 목 차 203 연차보고서 제 4 편 해외동향 제 장 l 국제기구 협의체 제 절 경제협력개발기구(OECD) 245 제 2 절 유럽 평의회(COE) 246 제 3 절 아시아태평양경제협력체(APEC) 248 제 4 절 국제기구회의(ICDPPC) 25 제 5 절 아시아태평양 프라이버시 감독기구 포럼(APPA) 252 제 6 절 국제프라이버시네트워크(GPEN) 257 제 2 장 l 유럽 제 절 유럽연합 (EU) 259 제 2 절 영국 262 제 3 절 프랑스 264 제 4 절 독일 266 제 3 장 l 미주 제 절 미국 267 제 2 절 캐나다 273 제 3 절 중남미 지역 국가 276 제 4 장 l 아시아 및 호주 제 절 일본 28 제 2 절 중국 283 제 3 절 호주 285 제 4 절 기타 286 부 록 204 부처별 시행계획(요약) 289

국제프라이버시네트워크(GPEN) 257 제 2 장 l 유럽 제 절 유럽연합 (EU) 259 제 2 절 영국 262 제 3 절 프랑스 264 제 4 절 독일 266 제 3 장 l 미주 제

6 표 목차 Personal Information Protection Annual Report 제 편 주요 현황 제 장 l 정책 현황 표 -- 시행계획 추진현황(202.9.) 5 표 --2 주민등록번호 수집 이용 최소화 종합대책 단계별 세부 과제 7 표 --3 빅 데이터 자원의 분류 표 --4 유럽연합의 법제 개혁안의 주요내용 2 제 2 장 l 실태조사 표 -2- 개인정보 보호법 시행여부 4 표 -2-2 개인정보 보호법 시행 이후 개인정보 중요성에 대한 인식변화 4 표 -2-3 개인정보 유출 시 우려되는 사회 전반의 피해 정도 4 표 -2-4 개인정보의 중요성이 높아진 이유 5 표 -2-5 개인정보가 중요하다고 생각하는 이유(2가지 응답) 5 표 -2-6 인터넷 이용자의 정보보호의 중요성 인식 5 표 -2-7 정보화 역기능 유형별 피해 심각성의 정도 6 표 년과 202년의 정보화 역기능 유형별 피해 심각성 순위 6 표 년 개인정보 공개에 대한 항목별 거부감 정도 7 표 -2-0 개인정보 수집행태에 대한 인식 8 표 -2- 개인정보 보호법 시행 이후 개인정보 처리절차의 변화 8 표 -2-2 개인정보 처리를 위해 절차가 복잡해진 것에 대한 의견 8 표 -2-3 분야별 수준 변화에 대한 인식 9 표 -2-4 가 잘 되고 있다고 생각하는 업종분야(복수응답) 9 표 -2-5 개인정보처리자에게 개인정보의 열람 정정의 요청 경험 20 표 -2-6 (회원가입 시)주민등록번호 이외의 본인 인증수단 인지 여부 등 20 표 -2-7 를 위한 개선이 필요한 분야 2 표 -2-8 국내 사업체의 의 중요성 인식정도 2 표 -2-9 국내 사업체의 정보보호의 중요성 인식 2 표 근무처의 중요성 인식변화에 대한 체감 22 표 -2-2 개인정보 보호법 시행여부에 대한 인지 22 표 개인정보유출 인지 시 정보주체에 대한 고지의무 인지 여부 22 표 개인정보유출 처리 절차 복잡 여부 22 표 개인정보 수집 관련 인식 23 표 개인정보 유출 원인에 대한 우려 정도 23

정도 4 표 -2-4 개인정보의 중요성이 높아진 이유 5 표 -2-5 개인정보가 중요하다고 생각하는 이유(2가지 응답) 5 표 -2-6 인터넷 이용자의 정보보호의 중요성 인식 5 표 -2-7 정보화 역기능 유형별 피해 심각성의 정도 6 표 -2-8 20년과 202년의 정보화 역기능 유형별 피해 심각성 순위 6 표 -2-9 202년 개인정보 공개에 대한

7 표 목차 Personal Information Protection Annual Report 표 개인정보 유형별 중요도 인식 24 표 업종별 내부관리계획 수립여부 24 표 내부관리계획 포함 내용 25 표 정보보호 전담조직 설치 운영 여부 25 표 IT 관련 책임자 임명 여부 26 표 -2-3 IT 관련 책임자의 업무전담 여부 26 표 예산 별도 배정 현황 26 표 예산 증가 추이 27 표 사업체 규모별 교육 참여 경험 27 표 사업체 규모별 관련 무료교육 참여 의사 27 표 업종별 개인정보 수집 방법 28 표 사업체가 보유하고 있는 개인정보 규모 28 표 주민등록번호 수집 이용 목적(복수응답) 29 표 주민등록번호 미활용 시 서비스 제공 영향 29 표 고유식별정보 수집 및 처리 시 별도 동의 확보 여부 30 표 -2-4 개인정보 제3자 제공 또는 목적 외 이용 시 별도 동의 확보 여부 30 표 개인정보제공자에 대한 주민등록번호 대체수단 제공여부 30 표 주민등록번호 대체수단 미제공 사유 30 표 조치 의무 사항별 이행비율 3 표 정보주체의 권리보장을 위한 구체적 방법 및 절차 공개 여부 3 표 개인정보 파기요건 충족 시 파기여부 3 표 개인정보의 안전한 처리를 위한 기술적 조치 도입현황(복수응답) 32 표 개인정보의 안전한 처리를 위한 기술적 조치 도입현황(복수응답, 업종별) 32 표 개인정보 암호화 저장 항목 33 표 개인정보 침해사고의 예방 및 사후 처리를 위한 조치(복수응답) 33 표 -2-5 웹 사이트 회원가입 시 이용자의 본인확인을 위한 방법 34 표 주민등록번호 대체수단 이용 항목(복수응답) 34 표 개인정보 유출 규모 35 표 개인정보 유출사고 인지 시점 35 표 개인정보 유출사고 유형 35 표 개인정보 유출사고 발생 시 이용자 고지 현황 35 표 개인정보 유출사고 발생 시 주무부처에 신고하지 않은 이유 35

목적(복수응답) 29 표 -2-39 주민등록번호 미활용 시 서비스 제공 영향 29 표 -2-40 고유식별정보 수집 및 처리 시 별도 동의 확보 여부 30 표 -2-4 개인정보 제3자 제공 또는 목적 외 이용 시 별도 동의 확보 여부 30 표 -2-42 개인정보제공자에 대한 주민등록번호 대체수단 제공여부 30 표 -2-43 주민등록번호 대체수단 미제공 사유

8 표 목차 Personal Information Protection Annual Report 제 3 장 l 주요기술 및 산업동향 표 -3- 개인정보 수명주기 단계에 따른 보호 기술 37 표 -3-2 개인정보 안전성 확보조치 기준에 따른 관련기술 39 표 -3-3 망분리 방식 비교 39 표 -3-4 개인정보처리시스템 암호화 방식의 구분 4 표 -3-5 개인정보처리시스템 암호화 방식 선택 시 고려 사항 42 표 -3-6 업무용 컴퓨터 암호화 방식의 구분 42 표 -3-7 개인정보처리시스템 간 전송시 암호화 방식 비교 43 표 -3-8 관련 정보보안 제품 및 서비스 분류 46 표 -3-9 관련 정보보호 산업 전체 매출 현황 47 제 4 장 l 주요 판례 표 -4- 개인정보 처리단계별 판례 현황 50 표 -4-2 기타 관련 판례 6 제 2 편 정책실적 및 성과 제 장 l 위원회 활동 표 년 위원회 정책연구과제 69 표 년 위원회 안건처리 현황 7 표 2--3 구글 개인정보 취급방침 통합에 대한 위원회 결정문 75 표 2--4 국제기구 가입 및 회의 참가 현황 76 표 2--5 제34회 ICDPPC 총회 일자별 회의 내용 77 제 2 장 l 정책 및 제도 개선 표 2-2- 일괄개정된 법령(20개 대통령령) 중 주요 법령 79 표 가이드라인, 해설서 등 제(개)정 현황 8 표 분야별 T/F 구성 현황 87 표 Data Controller vs. Data Processor 88 제 3 장 l 환경개선 및 수준제고 표 2-3- 연도별 개인정보 모니터링 현황 9 표 개인정보 영향평가 수행 현황( 현재) 92

-4-2 기타 관련 판례 6 제 2 편 정책실적 및 성과 제 장 l 위원회 활동 표 2-- 202년 위원회 정책연구과제 69 표 2--2 202년 위원회 안건처리 현황 7 표 2--3 구글 개인정보 취급방침 통합에 대한 위원회 결정문 75 표 2--4 국제기구 가입 및 회의 참가 현황 76 표 2--5 제34회 ICDPPC 총회 일자별 회의 내용 77 제

9 표 목차 Personal Information Protection Annual Report 표 개인정보 영향평가 교육 이수생 현황 92 표 국가행정기관 개인정보파일 등록현황 93 표 지방자치단체 개인정보파일 일제 정비 결과 93 표 년 국가행정기관 개인정보파일 등록 현황 94 표 실태점검 시 업종별 위반기관 수 및 위반비율 97 표 년 공공기관 관리 수준 진단지표 97 표 년 공공기관 관리 수준 진단절차 98 표 공공 I-PIN 적용현황(누계) 99 표 2-3- 주민등록번호 클린센터 운영 현황 0 표 년 조치 지원 현황 02 표 개인정보의 열람, 정정, 삭제, 처리제한 요청 경험 여부 04 표 요청사유가 발생할 경우 정보주체 권리 행사 의향 04 표 개인정보침해신고센터 주요 업무( 개인정보 보호법 제62조 제3항) 05 표 개인정보침해신고센터 신고 상담 접수 현황 06 표 개인정보 침해신고 상담 접수 유형 06 표 개인정보 분쟁조정위원회 회의 실적 07 표 개인정보 분쟁조정위원회 조정결정 현황 08 표 ~202년 개인정보분쟁조정 접수 유형 분석 08 표 개인정보 분쟁조정위원회 조정결정 유형 09 제 4 장 l 인식제고 표 2-4- 공공기관 교육실시 현황 표 년 PIMS 인증서 발급 현황 9 제 3 편 기관별 실적 및 계획 제 장 l 주요기관 표 년 안전행정부 부내 추진실적 25 표 3--2 주민등록번호 수집 이용 최소화 종합대책 주요내용 26 표 년 안전행정부 소관 분야 추진실적 29 표 년 방송통신위원회 추진실적 33 표 년 금융위원회 추진실적 37 표 년 교육부 추진실적 40 표 년 보건복지부 추진실적 42

경험 여부 04 표 2-3-4 요청사유가 발생할 경우 정보주체 권리 행사 의향 04 표 2-3-5 개인정보침해신고센터 주요 업무( 개인정보 보호법 제62조 제3항) 05 표 2-3-6 개인정보침해신고센터 신고 상담 접수 현황 06 표 2-3-7 개인정보 침해신고 상담 접수 유형 06 표 2-3-8 개인정보 분쟁조정위원회 회의 실적 07 표 2-3-9

10 표 목차 Personal Information Protection Annual Report 제 3 장 l 행정부 표 년 감사원 추진실적 54 표 년 국무조정실 국무총리비서실 추진실적 55 표 년 관리수준 진단 결과 55 표 년 법제처 추진실적 57 표 년 국가보훈처 추진실적 58 표 년 식품의약품안전처 추진실적 60 표 년 공정거래위원회 추진실적 62 표 년 국민권익위원회 추진실적 63 표 년 기획재정부 추진실적 65 표 년 외교부 추진실적 66 표 년 통일부 추진실적 68 표 년 법무부 추진실적 70 표 년 국방부 추진실적 72 표 년 문화체육관광부 추진실적 74 표 년 농림축산식품부 추진실적 76 표 년 산업통상자원부 추진실적 77 표 년 고용노동부 추진실적 79 표 년 환경부 추진실적 8 표 년 국토교통부 추진실적 82 표 년 여성가족부 추진실적 84 표 년 국세청 추진실적 85 표 년 관세청 추진실적 87 표 년 조달청 추진실적 89 표 년 통계청 추진실적 90 표 년 대검찰청 추진실적 92 표 년 병무청 추진실적 93 표 년 방위사업청 추진실적 95 표 년 경찰청 추진실적 97 표 년 소방방재청 추진실적 99 표 년 문화재청 추진실적 200 표 년 농촌진흥청 추진실적 202 표 년 산림청 추진실적 204 표 년 중소기업청 추진실적 206

202년 국방부 추진실적 72 표 3-3-4 202년 문화체육관광부 추진실적 74 표 3-3-5 202년 농림축산식품부 추진실적 76 표 3-3-6 202년 산업통상자원부 추진실적 77 표 3-3-7 202년 고용노동부 추진실적 79 표 3-3-8 202년 환경부 추진실적 8 표 3-3-9 202년 국토교통부 추진실적 82 표 3-3-20 202년

11 표 목차 Personal Information Protection Annual Report 표 년 특허청 추진실적 207 표 년 기상청 추진실적 209 표 년 행정중심복합도시건설청 추진실적 2 표 년 해양경찰청 추진실적 22 표 년 국가인권위원회 추진실적 24 제 4 편 해외동향 제 장 l 국제기구 협의체 표 4-- 관련 국제기구의 주요 활동 및 기능 244 표 4--2 유럽평의회 'Convention 08' 관련 국가별 추진 현황 247 표 4--3 APEC Privacy Framework 248 표 4--4 APEC CBPRs 이행절차의 4단계 운영과정 249 표 4--5 CBPRs-BCR 비교 250 표 4--6 ICDPPC의 프로파일링 8원칙 252 표 4--7 제37차 APPA 포럼 주요내용 253 표 4--8 제37차 APPA 포럼 참여 국가 및 대표 253 표 4--9 제38차 APPA 포럼 주요내용 253 표 4--0 제38차 APPA 포럼 참여 국가 및 대표 254 표 4-- SNS의 이용경험 정도 254 표 4--2 SNS의 이용 목적 254 표 4--3 SNS 이용 시 관련 개인정보 항목별 공개 및 비공개 설정 방법 인지 여부 255 표 4--4 SNS 이용 시 개인정보 공개설정 변경경험 여부 255 표 4--5 SNS에서의 개인정보 공개 범위 255 표 4--6 SNS에서 제공하는 개인정보 취급 방침을 읽은 경험 여부 255 표 4--7 SNS에서 동의한 이용 목적 외 이용 시 서비스 중단 결정 여부 256 표 4--8 소셜 네트워크 서비스 사이트가 당신의 인터넷 방문 기록 추적 후 관심사에 맞는 온라인 광고 전달에 대한 의견(: 전혀 신경 쓰지 않음 ~ 5: 매우 불편함) 256 표 4--9 SNS 아이디를 해킹 및 도용당한 경험 여부 256 표 주변 사람의 SNS에서 당신의 정보 또는 사진을 볼 때 불편함 여부 256 표 4--2 GPEN Action Plan 257

ICDPPC의 프로파일링 8원칙 252 표 4--7 제37차 APPA 포럼 주요내용 253 표 4--8 제37차 APPA 포럼 참여 국가 및 대표 253 표 4--9 제38차 APPA 포럼 주요내용 253 표 4--0 제38차 APPA 포럼 참여 국가 및 대표 254 표 4-- SNS의 이용경험 정도 254 표 4--2 SNS의 이용 목적 254 표

12 표 목차 Personal Information Protection Annual Report 제 2 장 l 유럽 표 4-2- 유럽의 202년 주요동향 259 표 EU의 관련 규범체계 259 표 EU 패키지 개혁안의 구체적 내용 260 표 EU General Data Protection Regulation(안)에 대한 의회 개정사항 (203..) 26 표 데이터 수탁처리자의 준수사항 262 표 클라우드 컴퓨팅 서비스 사용에 대한 권고 사항 265 제 3 장 l 미주 표 4-3- 북미지역의 202년 주요동향 267 표 미국의 관련 법제현황 268 표 소비자 프라이버시 권리장전 7원칙 269 표 COPPA의 주요내용 27 표 COPPA 주요개정 내용 27 표 위치 프라이버시법 주요내용 272 표 캘리포니아 온라인 개인정보 보호법 에 제시된 준수사항 273 표 센스 메이킹 시스템에 적용한 Privacy by Design 원칙 274 표 프라이버시 관리체계 구축 지침의 주요내용 275 표 가이드라인의 주요내용 275 제 4 장 l 아시아 및 호주 표 4-4- 표 규정 주요내용 284 프라이버시 보호법 개정안(Privacy Amendment(Enhancing Privacy Protection) Bill 202) 주요내용 285 표 싱가폴, 개인정보 보호법 주요내용 286 표 필리핀, 프라이버시법(Data Privacy Act of 202) 주요내용 287

.) 26 표 4-2-5 데이터 수탁처리자의 준수사항 262 표 4-2-6 클라우드 컴퓨팅 서비스 사용에 대한 권고 사항 265 제 3 장 l 미주 표 4-3- 북미지역의 202년 주요동향 267 표 4-3-2 미국의 관련 법제현황 268 표 4-3-3 소비자 프라이버시 권리장전 7원칙 269 표 4-3-4 COPPA의 주요내용 27 표 4-3-5

13 그림 목차 Personal Information Protection Annual Report 제 편 주요 현황 제 장 l 정책 현황 그림 -- 개인정보 보호법 제정 시행에 따른 법령체계 변화 3 그림 --2 기본계획의 주요내용 4 그림 --3 빅 데이터의 특징 및 구성요소 0 제 2 편 정책실적 및 성과 제 장 l 위원회 활동 그림 년 위원회 워크숍 68 그림 2--2 박람회(PIS FAIR) 행사 전경 69 그림 2--3 APPA(38차) 및 ICDPPC(34차) 회의 모습 76 제 2 장 l 정책 및 제도 개선 그림 2-2- 주민등록번호 수집 이용 현황 및 문제점 84 그림 합동점검단 구성도 86 제 3 장 l 환경개선 및 수준제고 그림 2-3- 웹 사이트 개인정보 모니터링 절차 90 그림 개인정보 영향평가 수행 절차 9 그림 개인정보파일 열람 등 요구절차 95 그림 개인정보 관리실태 점검 개요 96 그림 공공 I-PIN 서비스 구성도 00 그림 종합지원포털 서비스 구성도 03 그림 개인정보 침해신고 민원처리 절차도 05 제 4 장 l 인식제고 그림 년 책임자(CPO)워크숍 2 그림 대국민 홍보자료 5 그림 택배서비스 관련 홍보자료 5 그림 대국민 홍보동영상 6 그림 범국민 운동본부 발대식 7 제 4 편 해외동향 제 4 장 l 아시아 및 호주 그림 4-4- 일본의 관련 법 체계 282 그림 My Number 제도 운영 프로세스 283

모니터링 절차 90 그림 2-3-2 개인정보 영향평가 수행 절차 9 그림 2-3-3 개인정보파일 열람 등 요구절차 95 그림 2-3-4 개인정보 관리실태 점검 개요 96 그림 2-3-5 공공 I-PIN 서비스 구성도 00 그림 2-3-6 종합지원포털 서비스 구성도 03 그림 2-3-7 개인정보 침해신고 민원처리 절차도 05 제 4 장 l 인식제고 그림

15 제 편 주요 현황 제 장 l 정책 현황 제 2 장 l 실태조사 제 3 장 l 주요기술 및 산업동향 제 4 장 l 주요 판례

17 203 연차보고서 3 제 장 정책 현황 2 정책실적 및 성과 주요 현황 202년은 개인정보 보호법 이 시행( ) 되고 6개월의 계도기간을 거쳐 본격적으로 적용되기 시작한 해였다. 개인정보 보호법 시행으로 [그림 --]과 같이 994년부터 시행되어 오던 공공기관 의 에 관한 법률 은 폐지되었으며, 신용정보의 이용 및 보호에 관한 법률 (이하 신용 정보법)(995. 제정), 정보통신망 이용촉진 및 정보 보호 등에 관한 법률 (이하 정보통신망법)(200. 전 문개정) 등 분야별 개별법만 존재하던 것이 이제는 일반법인 개인정보 보호법 과 각 분야별 개별법 3 기관별 실적 및 계획 4 해외동향 그림 -- 개인정보 보호법 제정 시행에 따른 법령체계 변화 개인정보 보호법 시행 전 개인정보 보호법 시행 후 금융/신용 신용정보의 이용 및 보호 에 관한 법률 정보통신 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 금융/신용 신용정보의 이용 및 보호 에 관한 법률 분야별 개별법 정보통신 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 부 록 우리나라 법률 체계 교육 의료 초 중등 교육법 등 생명윤리 및 안전에관한법률 등 공공행정 교육 의료 공공기관의 개인정보 보호 에 관한 법률 초 중등 교육법 등 생명윤리 및 안전에 관한 법률 등 개인정보 보호법 (일반법) 개인정보 보호법 은 일반법으로 전체 포괄 분야별 개별법과 다를 경우 분야별 개별법 우선 적용

전 문개정) 등 분야별 개별법만 존재하던 것이 이제는 일반법인 개인정보 보호법 과 각 분야별 개별법 3 기관별 실적 및 계획 4 해외동향 그림 -- 개인정보 보호법 제정 시행에 따른 법령체계 변화 개인정보 보호법 시행 전 개인정보 보호법 시행 후 금융/신용 신용정보의 이용 및 보호 에 관한 법률 정보통신 정보통신망

18 제장 정책 현황 4 체계로 새로운 질서가 이루어지게 되었다. 이와 같이 새로운 법이 시행됨으로써 관련법의 사각지대가 없어지는 등 법ㆍ제도적인 측면에서 개 선은 이루어졌지만, 법을 지켜야 하는 현장에서는 적 용해야 하는 법의 종류, 이에 따른 적용기준, 방법 및 절차 등 많은 부분에서 새로운 규율에 대응하기 위한 노력이 필요하게 되었다. 따라서 본 장은 202년 월 에 마련된 기본계획과 같은 해 4월에 마련된 시행계 획의 주요내용과 성과, 그리고 이의 추진을 위한 주요 정책 및 제도를 중심으로 서술하였으며, 국내ㆍ외 주 요정책 환경과 이슈도 함께 수록하였다. 보호위원회의 심의 의결을 거쳐 시행하도록 개인 정보 보호법 제0조 및 같은 법 시행령 제2조에서 규정하고 있다. 그림 --2 기본계획의 주요내용 목 표 보호체계 정립 비 전 개인의 존엄과 가치가 존중받는 선진 정보사회 목표별 과제 과 제 법 체계 정비 범정부 협의 체계 구축 국제 협력 강화 제 절 정책추진 현황 보호역량 강화 침해 예방 및 대응 강화 사회적 인식제고 인력보강 및 전문성 강화 전문인력 양성 및 수급체계 구축 연구기반 구축지원 개인정보 처리실태점검 침해 예방 대책 수립 정보주체 권리보장 강화 자율규제 활성화 홍보 강화. 기본계획과 시행계획의 수립 시행 개인정보 보호법 시행 이후 가장 먼저 이행한 법적 의무사항은 기본계획 및 시행계획 의 작성과 심의ㆍ의결을 통한 계획의 확정이었다. 기본계획 은 개인정보 보호법 제9조 및 같은 법 시행령 제조에서 개인정보의 보호와 정보주체 의 권익 보장을 위하여 3년마다 안전행정부 장관이 중앙행정기관의 장과 협의 하에 작성하여 개인정보 보호위원회의 심의 의결을 거쳐 시행하도록 규정 하고 있으며, 국회 법원 헌법재판소 중앙선거 관리위원회는 를 위한 기본계획 을 자 체적으로 수립 시행할 수 있도록 하고 있다. 시행계획 은 심의ㆍ의결이 완료된 기본계획을 기 초로 중앙행정기관의 장이 매년 작성하여 개인정보 가. 기본계획 수립 관련 법령에 따라 안전행정부 장관은 개인정보보 호의 비전 및 추진전략 등을 담은 기본계획(안) 을 202년 월 4일 위원회에 제출하여 202년 월 30일 의결을 거쳐 확정하였다. 기본계획 에는 국가의 비전과 목표 를 설정하고, 이의 달성을 위해 필요한 실천과제 등 이 담겨 있다. 기본계획 은 [그림 --2]에서 보는 바와 같이 202 년부터 3년간 추진할 정책의 비전을 개인의 존엄과 가치가 존중받는 선진 정보사회 구현 으로 설정하고, 이의 이행을 위한 4대 추진 목표를

그림 --2 기본계획의 주요내용 목 표 보호체계 정립 비 전 개인의 존엄과 가치가 존중받는 선진 정보사회 목표별 과제 과 제 법 체계 정비 범정부 협의 체계 구축 국제 협력 강화 제 절 정책추진 현황 보호역량 강화 침해 예방 및 대응 강화 사회적 인식제고 인력보강 및 전문성 강화 전문인력 양성 및 수급체계 구축 연구기반 구축지원 개인정보 처리실태점검 침해

19 203 연차보고서 5 보호체계 정립, 2보호역량 강화, 3침해 예방 및 대 응 강화, 4사회적 인식제고로 정하였다. 또한 각 추 진 목표별로 2~3개의 과제를 선정, 총 개의 세부 실 천과제를 202년부터 204년까지 관계 부처 등과 협 업을 통해 이행하도록 계획하였다. 205년부터 추진할 기본계획은 203년에 작성하 여 203년 2월까지 위원회에서 심 의ㆍ의결할 계획이다. 나. 시행계획 수립 보보호 시스템 운영 분야에는 개인정보 처리실태, 개 인정보파일 보유실태, 개인정보 처리 민원서식 등 실 태조사와 관련된 과제, 개인정보 유ㆍ노출 모니터링 강화, 인터넷 망 분리, 개인정보 영향평가, 주민등록 번호 대체수단 도입 등 침해예방과 관련된 과제, 정보 주체의 자기정보 열람권 보장 등 정보주체 권리보장 을 위한 과제 등이 포함되어 있다. 마지막으로 개인 정보보호 교육ㆍ홍보 분야에는 인력 확충 및 전문성 강화, 자율규제 및 홍보 등과 관련된 실천과제가 계획 에 포함되어 있다. 주요 현황 2 정책실적 및 성과 중앙행정기관에서 작성한 202년~203년 시행계 획 은 202년 4월에 위원회에서 심 의ㆍ의결하였으며, 시행계획 은 202년과 203년에 추진할 정책 및 제도 개선, 개인정보보 호 시스템 운영, 교육ㆍ홍보 등 3개 분 야의 세부실천 과제를 포함하고 있다. ) 정책 및 제도 개선 분야에는 개인정 보 최소 수집 원칙 등 법에 부합하도록 소관 분야 관 련 법령 정비와 지침 제정, 유관기관 간의 추진체계 구축 등과 관련된 실천과제가 포함되어 있다. 개인정 2. 시행계획의 추진현황 위원회는 202년 9월과 203년 2월 총 2회에 걸쳐 기본계획 과 시행계획 의 추진현황을 점검하였다. 202년 9월에 실시한 중간 점검 결과는 [표 --]에서 보는 바와 같이 전체 평균 722개 과제 중 에서 82.4%인 595개를 완료한 것으로 나타났다. 중간 점검결과의 상세내용을 보면, 개인정보 기반 구축을 위한 법령 및 제도개선, 개인정보 처리 실태점 3 기관별 실적 및 계획 4 해외동향 표 -- 시행계획 추진현황(202.9.) (단위 : 과제 수) 정책 및 제도개선 시스템 운영 교육 홍보 점검결과(기관 별) 구 분 완료율 총과제 완료 추진중 총 계 % 법령 등 개선 % 추진체계 정비 % 개인정보처리실태점검 % 침해예방 대책수립 % 정보주체 권리보장 % 전문성강화 자율규제 홍보 % 부 록 주 : ) 개인정보 보호법 시행령 부칙 제3조에 의해 202년 및 203년에 시행할 시행계획을 202년 4월 30일까지 심의 의결

시행계획 수립 보보호 시스템 운영 분야에는 개인정보 처리실태, 개 인정보파일 보유실태, 개인정보 처리 민원서식 등 실 태조사와 관련된 과제, 개인정보 유ㆍ노출 모니터링 강화, 인터넷 망 분리, 개인정보 영향평가, 주민등록 번호 대체수단 도입 등 침해예방과 관련된 과제, 정보 주체의 자기정보 열람권 보장 등 정보주체 권리보장 을 위한 과제 등이 포함되어

20 제장 정책 현황 6 검 등의 과제는 대부분 차질 없이 진행 중이었으며, 추 진체계 정비 및 정보주체 권리보장은 상대적으로 낮 은 이행률을 보이고 있었지만, 전반적으로 개인정보 보호 업무를 성실하게 수행하고 있음을 알 수 있었다. 분야별 주요성과를 살펴보면, 정책 및 제도 개선 을 위해서 사회보장기본법 개정 시에 규정을 신설하는 등 관련 법률을 개정 하였으며, 고유식별정보 및 민감정보 등에 대한 수집 근거 마련을 위해 20개의 시행령을 일괄 정비하였다. 개인정보 침해 사고에 대한 종합적 대응을 위해 범 정부 조직인 합동점검단 을 구성하여 운영하고 있으며, 노동 교육 의료 금융 등 주요 분야 관계부처는 사업자 단체 전문기관 현장 전 문가 등이 참여하는 분야별 T/F 를 구 성, 분야별 가이드라인을 마련하여 현장에서 활용하 도록 하였다. 이외에 개별 부처에서는 본부 소속기 관 산하기관 등과 내부 협력체계를 구축하여 개인 정보보호를 위한 활동을 하기도 하였다. 시스템 운영 분야에서는 기관별로 개인정보파일 및 개인정보 이용ㆍ제공과 관련된 처 리 실태를 점검하였으며, 침해예방을 위해 국민신문 고 등 민원시스템에 I-PIN과 같은 주민등록번호 대체 수단 보급, 고유식별정보 DB에 대한 암호화 등 안전 성 조치 강화, 성범죄자 알림e 등 주요 시스템에 대한 개인정보 영향평가를 추진하였다. 교육 및 홍보 분 야에서는 권역별 순회 교육과 노동ㆍ교육ㆍ의료 등 분야별 민간사업자 대상 교육을 실시하고, 자율규제 촉진 및 실천문화 확산을 위해 지역 소상공인 현장방 문 지원단 등을 구성하여 229개 시ㆍ군ㆍ구 2,965개 사업자 및 335개 사업자 협회ㆍ단체를 방문하여 교 육 및 홍보를 실시하였다. 개선 보완 사항으로는 법령 개정 시 대부분 주민등 록번호 수집근거 마련과 개인정보 수집서식 개선에 중점을 두었기 때문에 개인정보 수집ㆍ이용 최소화 를 위한 노력이 부족했다는 점, 추진 체계 확립을 위해 개별 부처에서도 본부 소속기 관 산하기관 등과 내부 협력체계는 구축하였으나, 대부분 운영 실적이 없거나 ~2회에 그치는 등 실질 적 운영에 미흡한 부분 등이 있었다. 또한 일부 부처 에서는 예산 확보의 어려움으로 인해 개인정보 영향 평가, 암호화 조치, 개인정보 관제센터 구축 등을 추 진하지 못하였으며, 정보주체 권리보장을 위한 노력 도 다소 부족하게 나타났다. 이후 203년 2월의 점검은 중앙행정기관에서 제출 한 204년 시행계획 을 심의하는 과정에서 실시되었 으며, 그 결과 202년 계획들은 대부분 완료한 것으로 나타났지만, 예산과 인력 등의 문제로 몇몇 정책은 추 진시기를 조정하는 등 계획을 변경한 경우도 있었다. 3. 주민등록번호 수집 이용 최소화 종합대책 수립 안전행정부, 방송통신위원회, 금융위원회는 국민 의 개인정보인 주민등록번호를 보호하기 위해 부처 합동으로 주민등록번호의 신규 수집ㆍ이용의 제한 및 주민등록번호 DB의 안전한 관리 등을 내용으로 하는 주민등록번호 수집ㆍ이용 최소화 종합대책 2) 을 마련하였으며, 202년 4월 9일 위원회 의 의결을 거쳐 추진하고 있다. 이 종합대책에 따르면, 원칙적으로 온라인에서의 주민등록번호 수집이 금지되며, 정부 민원서류, 부동 주 : 2) 자세한 내용은 제2편 정책실적 및 성과 에서 참고할 수 있음

개인정보 침해 사고에 대한 종합적 대응을 위해 범 정부 조직인 합동점검단 을 구성하여 운영하고 있으며, 노동 교육 의료 금융 등 주요 분야 관계부처는 사업자 단체 전문기관 현장 전 문가 등이 참여하는 분야별 T/F 를 구 성, 분야별 가이드라인을 마련하여 현장에서 활용하 도록 하였다.

21 203 연차보고서 7 표 --2 주민등록번호 수집 이용 최소화 종합대책 단계별 세부 과제 주민등록번호 수집ㆍ이용 단계 ❶ (수집ㆍ이용단계) 주민등록번호 수집 이용의 법정주의 실현 ❷ (관리단계) 주민등록번호 DB의 안전한 관리 ❸ (침해대응단계) 2차 피해 방지 및 대응체계 마련 ❹ (교육 홍보) 이용자 및 개인정보처리자 인식제고 산 금융 거래 등에도 법령에 근거가 없을 경우 주민 등록번호 대신 생년월일 등만 기입하도록 하였다. 또 한 주민등록번호 수집 이용을 허용하고 있는 40개 법령의 타당성 재검토, 주민등록번호 대체수단(공인 인증서, 신용카드, I-PIN 등) 사용 의무화, 주민등록번 호 활용 내역 통지 등의 내용도 대책에 포함하여 추진 하도록 하였으며, 세부과제는 [표 --2]와 같다. 4. 정보통신망법 개정안 시행 20년 2월 국회에서 통과된 정보통신망법 개정 안은 202년 2월 공포되어, 그 해 8월부터 시행되었 다. 이 개정안의 주요내용은 다음과 같다. 첫째, 인터넷에서 주민등록번호 수집 및 이용을 원 칙적으로 금지하되, 본인확인기관으로 지정받거나, 법령에서 주민등록번호 수집 및 이용을 허용하는 경 우, 영업 목적상 주민등록번호 이용이 불가피하여 방 송통신위원회가 고시하는 경우는 예외적으로 허용 세부 과제. 주민등록번호 수집ㆍ이용 관련 법령 일제정비 2. 주민등록번호 수집 여부 확인제도 운영 3. 주민등록번호 수집 관련 민원신청서, 수집동의 서식 일괄정비 4. 다양한 주민등록번호 대체수단 도입 5. 주민등록번호 미수집 전환지원 6. 관리자 PC(주민등록번호 DB)와 인터넷망 분리 7. 웹 사이트 자료게시 전 주민등록번호 사전차단 8. 주민등록번호 처리 재위탁 제한 9. 주민등록번호 이용내역 통지제 도입 운영 0. 정부합동 상시모니터링 실시. 해외포털 및 웹 사이트를 통한 주민등록번호 유출 차단 2. 주민등록번호 대책 부처 협의체 구축ㆍ운영 3. 범정부 비상대응팀(PERT) 구축ㆍ운영 4. 주민등록번호 유출ㆍ불법 처리 사업자 처벌규정 강화 5. 이용자 및 개인정보처리자 교육ㆍ홍보 강화 하고 있다. 이를 위해 방송통신위원회와 한국인터넷 진흥원은 주민등록번호 미수집 전환 지원센터를 구 축ㆍ운영하여 중소ㆍ영세 기업 등을 대상으로 준비 사항 안내 등의 제도적 지원과 더불어 컨설팅과 대체 수단 보급 등의 기술적 서비스를 제공하였다. 둘째, 개인정보 유출 사고에 대한 이용자 통지 및 신고제도의 도입이다. 개인정보 유출 통지 및 신고제 도는 개인정보 분실ㆍ도난ㆍ유출 등의 사고가 발생 하면 이용자에게 해당 사실을 지체 없이 통지하고, 주 무부처인 방송통신위원회에 신고하도록 되어 있다. 셋째, 개인정보 유효기간제도이다. 이 제도는 장기 간 서비스를 이용하지 않는 이용자의 개인정보에 대 해 파기 등의 조치를 취함으로써, 사업자의 불필요한 개인정보 보관을 최소화하고 이로 인한 개인정보 유 출 및 오ㆍ남용을 방지하는 것을 목적으로 한다. 파기 등의 필요한 조치를 취하기 위한 개인정보 유효기간 과 필요한 조치 등의 구체적인 사항은 정보통신망법 시행령 제6조(개인정보의 파기 등)에 명시하였다. 넷째, 개인정보 이용내역 통지제도이다. 이 제도는 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

22 제장 정책 현황 8 정보통신서비스 제공자 등으로 하여금 주기적으로 개인정보 이용내역을 통지하게 하는 것이다. 정보주 체가 본인의 정보에 대해 열람 요청을 하는 것과는 별 개로 정보통신서비스 제공자가 보다 더 능동적으로 이용자의 알권리를 보장하고 정보주체의 개인정보 에 대한 통제권을 강화하기 위한 취지로 신규 도입되 었으며, 구체적인 사항은 정보통신망법 시행령 제7 조(개인정보 이용내역의 통지)에 명시하였다. 그 밖에 관리체계 인증(PIMS)제도 3) 에 대한 법적 근거 마련, 정보통신망법의 적용 대상 확대(방송사업자까지 포함) 등의 조항도 포함하고 있으며, 이와 관련하여 시행령 개정, 사업자 교육 및 홍보를 추진하였다. 제 2 절 국내ㆍ외 주요 이슈. 구글(Google)의 개인정보 취급방침 통합에 따른 국내 외 대응 202년 한 해 가장 화제가 되었던 이슈는 구글의 개인정보 취급방침 통합 이라 할 수 있다. 구글은 202년 월 24일(현지시간)에 자사가 제공하는 서비 스에 흩어져 관리되고 있는 각종 개인정보를 통합하 여 활용할 것이며, 새로운 프라이버시 정책과 서비스 약관은 3월일부터 적용할 예정이라고 밝혔다. 이로 인해 당시 60여 개이던 개인정보 취급방침이 20개 미 만으로 대폭 축소되고, 60개에 달하는 구글의 서비스 에서 수집되는 개인정보를 통합ㆍ관리할 수 있게 되 었으며, 사용자별로 맞춤형 서비스 제공이 가능하게 되었다. 이에 따라 사용자의 개인정보 자기결정권이 약화될 소지가 있어 해외 각국에서 많은 논란이 있었 으며, 국내에서도 위원회와 방송통신 위원회에서 활발한 논의가 이루어졌다. 먼저, 위원회는 202년 2월 구글 개 인정보 취급방침 통합 검토 소위원회를 구성하여 4 개월 동안 검토하였다. 이 검토 결과에 대한 심의를 6 월 일 전체회의를 열어 진행하였으며, 구글의 현행 개인정보 처리방침이 개인정보의 목적과 최소 수집, 이용자의 동의 절차, 개인정보의 파기 에 있어 국내 관련법령 위반 소지가 있다고 밝히고, 이로 인해 필요 이상의 개인정보를 수집 이용하고 이용자의 선택 권을 제한할 우려가 있다고 지적하였다. 주요 지적 내용은 구글은 개인정보 처리 목적을 애매하고 포 괄적으로 기재하고 있으며 그에 따라 과도하게 개인 정보를 수집 이용하고 있다는 점, 2통합 방침을 통 해 개인정보 처리에 대해 포괄적이고 일괄적인 동의 를 구함으로써 개인정보에 대한 사용자의 선택권을 침해할 소지가 있는 점, 3사용자의 요청이 있을 경우 지체 없이 해당 개인정보를 삭제할 것을 방침에 명시 하지 않고 있다는 점 등이다. 방송통신위원회에서도 구글이 개인정보 취급방 침을 변경할 경우, 개인정보의 이용 목적이 포괄적이 고, 명시적 동의 절차가 미비하며, 정보통신망법 상 필수 명시사항이 누락되는 등의 문제가 있다고 판단 하였다. 이에 따라 방송통신위원회는 정보통신망법 에 있는 개인정보의 보유 이용 기간, 파기절차 방 법, 개인정보 취급 위탁자의 업무내용 위탁자에 관 주 : 3) 기업이 활동을 체계적 지속적으로 수행하기 위해 필요한 보호조치와 체계구축 여부를 점검하여 일정 수준 이상의 기업에 인증을 부여 하는 제도로서, 기업이 를 위해 무엇을(what to do), 어떻게(how to do) 조치하여야 하는지에 대한 기준을 제시하고 있다.

23 203 연차보고서 9 한 정보 등이 누락됐다는 문제점을 지적하면서 2월 28일 구글에 대하여 개선을 권고하였다. 이후 구글은 수집항목 등 누락된 사항을 구체적으로 적시하는 등 권고사항을 반영하여 4월 5일 방송통신위원회에 개 정안을 제출하였다. 한편, 해외에서 먼저 유럽연합의 프라이버시 자문 기관인 제29조 작업반(WP29 : Article 29 Working Party)이 통합 방침의 시행을 연기하도록 요청하였고, 미국의 전미 검찰총장 협회는 우려를 표명하는 서한 을 구글로 발송하였으며, 미 하원은 사생활 침해에 대한 우려 표명 및 질의서를 보내기도 하였다. 일본 의 총무성 및 경제산업성은 법령 준수 및 이용자에 대 한 고지 누락 등에 대해 개선을 권고하였으며, 이외 에도 캐나다 프라이버시위원회(Office of the Privacy Commissioner)와 홍콩 위원회(PCPD : Office of the Privacy Commissioner for Personal Data) 는 질의서를 송부하였고, 호주 위원회 (OAIC : Office of the Australian Information Commissioner)도 조사 착수를 발표하는 등 세계 각국에서 우려 를 표명하였다. 2. 과도한 개인정보 수집에 대한 각국의 대응 구글과 페이스북(Facebook)의 과도한 개인정보 수집과 관련하여 국내에서는 큰 움직임이 없었지만, 해외에서는 많은 화제를 불러 일으켰으며, 각 국에서 대응 전략을 내놓았다. 영국의 정보위원회(ICO : Information Commissioner's Office)는 2년 전 구글이 스트리트뷰를 촬영 할 때 암호화 하지 않고 저장한 개인 정보의 삭제 명령을 이행하지 않은 문제를 제기하였다. 스트리트뷰에 개 인정보가 삭제되지 않고 남아있는 국가는 영국 프 랑스 벨기에 등 0개국이며, 이 중 영국 프랑스 호주 노르웨이는 각기 대응방안을 마련 시행하였 다. 영국의 ICO는 스트리트뷰에 남아있는 개인정보 의 제출을 명령하는 등 조사에 착수하였으며, 조사 후 에는 해당 정보의 폐기 방법 및 절차를 전달하였다. 프랑스의 정보와 자유에 관한 국가위원회(CNIL : Commission Nationale de I'nformatique et des Libertés) 도 스트리트뷰에 남아 있는 데이터 제출을 명령하였 다. 호주의 위원회는 스트리트뷰 데이 터를 즉시 삭제하고, 제3기관으로부터 삭제 여부를 확인받아 위원회에 제출할 것과, 다른 디스크에 대한 감사를 실시하여 데이터의 잔존 여부를 확인할 것을 명령하였다. 노르웨이의 감독기구는 불법적으로 개인정보를 취합하고 삭제명령을 어긴 것에 대해 42,260 USD의 벌금을 부과하고, 202년 0 월 일까지 잔존 데이터를 삭제하도록 명령하였다. 독일의 함부르크 데이터 보호 감독기관은 202년 8월 5일부터 페이스북의 얼굴 인식 기능(Photo Tag Suggest)에 대한 조사를 하였다. 이 얼굴 인식 기능은 이용자가 페이스북에 올리는 사진을 얼굴 인식 소프 트웨어를 이용 분석하여 사진 속 얼굴과 이용자의 정보를 자동적으로 연계시키는 기능이다. 함부르크 데이터 보호 감독기관은 페이스북이 얼굴 인식 기능 을 이용자들에게 통보하지 않고 사전 동의 없이 도입 했으며, 이는 유럽연합의 법을 위반한 것이라고 밝혔 다. 이와는 별도로 203년 3월 유럽연합의 프라이버 시 자문기관인 제29조 작업반은 사용자의 명백한 동 의 없이 생체 데이터를 수집하는 것은 불법이며 유럽 연합 법을 위반하는 것이라는 성명을 밝힌 바 있다. 이에 독일 함부르크 데이터 보호 감독 기관은 페이스북에 독일에서 수집된 얼굴인식 데이 터를 삭제하고, 얼굴에 대한 생체 데이터를 수집할 때 에는 반드시 사용자의 동의를 받도록 웹 사이트를 수 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

24 제장 정책 현황 0 정할 것을 명령하였다. 미국의 연방거래위원회(FTC)는 페이스북이 개인 정보를 공개하지 않기로 하였으나, 지속적으로 개인 정보를 외부에 공개하고 있다고 판단하여 혐의를 제 시하였고, 이에 20년 월 미국과 페이스북은 프라 이버시 합의서를 작성함으로써, 앞으로 준수할 사항 들을 명시하는 대신 혐의는 무죄로 인정받기로 하였 다. FTC는 이 합의 내용에 대한 여론과정을 거쳐 202 년 8월 0일 프라이버시 합의서의 최종안을 승인하 였다. 이에 따라 페이스북은 사용자 정보 공유 시 명 확하게 그 내용을 공지하여야 하고, 외부 콘텐츠 유통 시에도 사용자의 명시적 동의를 받아야 하며, 개인정 보보호 프로그램을 마련하고 유지해야 한다. 페이스 북은 향후 20년간 격년 주기로 정부에 프라이버시 감 사 서류를 제출해야 하며, 합의서의 내용을 위반할 시에는 건별로 일,000 USD까지 배상해야 한다. 아일랜드 데이터보호위원회(Data Protection Commissioner)는 페이스북의 법령 위반 여부에 대해 2회 에 걸쳐 감사를 실시하였다. 20년 0월부터 2월까 지 실시된 차 감사에서는 페이스북의 기능이 원칙적 으로는 아일랜드 데이터 보호법 (988)에 부합한 다고 결론지었으나, 많은 페이스북 기능들에 대해 권 고에 따를 것을 촉구하였다. 202년 9월에 실시된 2차 감사에서는 대부분의 권고 사항들이 제대로 시행되 고 있음을 확인하였고, 프라이버시와 데이터 사용 정 책, 광고 데이터 보유, 쿠키 및 소셜 플러그인, 제3자 제공형 앱(App : Application), 안면인식ㆍ태그 제안 기능, 계정 삭제 등과 관련하여 방향을 제시하였다. 3. 빅 데이터 구글 사건과 함께 주목받은 개념이 빅 데이터(Big Data) 이다. 이 개념은 기존의 관리ㆍ분석 체계로는 감당하기 어려운 거대한 정형 및 비정형 데이터를 효 과적으로 저장ㆍ관리하고, 새로운 가치 창출을 위해 분석하여 결과를 추출ㆍ서비스 하는 기술을 말한다. 이 빅 데이터의 특징은 [그림 --3]에서 보는 바와 같 이 3V, 즉 규모의 방대성(Volume), 종류의 다양성 (Variety), 처리 및 분석의 속도(Velocity) 등이다. 이 빅 데이터 기술의 적용절차는 3단계로 나누며, 데이터 처리 및 수집 단계, 2 데이터 분석 및 예측, 그림 --3 빅 데이터의 특징 및 구성요소 방대성(Volume) 다양성(Variety) 속도(Velocity) MB, GB 단위 규모 정형 데이터 비정형 데이터 유통활용주기 수시간~수주 TB, PB, EB 단위 고객 신상 데이터 매출 데이터 재고 데이터 회계 데이터 등 동영상 소셜미디어 음악 위치정보 메시지 게시물 분, 초 단위 유통 활용 출처 : 빅 데이터(Big Data) 분석기술과 활용 과제의 영향평가 결과(미래창조과학부, 203)

25 203 연차보고서 3 결과의 활용 및 서비스로 나눌 수 있다. 첫 번째 단 계인 데이터의 처리 및 수집 단계는 분산된 데이터의 통합수집(빅 데이터의 생성) 및 체계적인 결합을 통 한 데이터베이스 구축 단계라 할 수 있다. 두 번째 단 계인 분석 및 예측 단계는 저장되어 있는 빅 데이터로 부터 가치 있는 정보를 얻어내기 위한 분석과 미래 모 습을 예측하여 결과를 도출하는 단계이다. 마지막 단 계는 분석 및 예측의 결과를 활용하거나 제공하며 국 가ㆍ기업ㆍ개인에게 최적의 의사결정을 하는데 활 용하는 등 이익이 되는 행동에 적용하는 단계이다. 주요 글로벌 기업들은 빅 데이터 시장의 중요성을 인식하고 빅 데이터를 이용하여 고객들의 소비성향, 생활특성 등에 대한 패턴을 읽고 그들의 욕구에 선제 적으로 대응함으로써 자사의 이익을 극대화하기 위 하여 발 빠르게 움직이고 있다. 국내 기업들도 위성 위치 확인 시스템(GPS : Global Positioning System) 장치를 통해 전국 도로의 교통 정보 를 5분 단위로 수집한 후 이용자들에게 제공하고 있고, 모바일 사용자들의 성별 나이 위치 단말기 사용 액 이동 통신사 등의 기본정보를 조합하여 사용자 프 로파일과 행동 유형을 분류하여 광고를 제공하는 빅 데이터 기반 광고 플랫폼을 개발하기도 하였다. 빅 데이터 환경 속에서 발생할 수 있는 또 하나의 커다란 과제는 가 될 수 있는데, 앞에서 살펴본 빅 데이터 3단계 중 분석 및 예측단계 에서 입 력 데이터가 세분화될수록 가치가 높은 결과를 얻을 수 있는 특징이 있어, 분석 및 예측 관계자는 이에 유 혹될 소지가 높다. 좀 더 구체적으로는 [표 --3]의 사람 생산 데이터 또는 관계 데이터 등과 같은 데이 터들을 개인 식별이 가능한 수준으로 분석하여 활용 한다면 개인의 프라이버시 침해 또는 정보주체의 개 인정보 자기결정권 침해 등과 같은 문제의 소지가 있 다. 다시 말하면, 수집 단계 에서는 개인 식별성을 갖 추지 않은 데이터도 분석 및 예측단계 에서 특정 개인 에 대한 식별성을 가질 가능성이 매우 높으며, 데이터 수집이 특정 개인정보의 수집ㆍ이용에 대한 동의를 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 --3 빅 데이터 자원의 분류 4 해외동향 컴퓨터 생산 데이터 사람 생산 데이터 관계 데이터 생성주체 공공데이터(교통, 세금, 주가, 보건의료, 교육 등) 어플리케이션 서버 로그(웹 사이트, 게임 등) 센서 데이터(날씨, 물, 스마트 그리드 등) 이미지,비디오(트래픽, CCTV 등) 트위터, 블로그, 이메일, 사진, 게시판 글 등 페이스북, 싸이월드, 링크드인 등 유형 DB에 저장된 구조적 데이터 정형 반정형 비정형 웹문서, 메타 데이터 4), 센서 데이터, 공정 콘트롤 데이터 5), 콜 상세 데이터 등 소셜데이터, 문서, 오디오, 비디오, 동영상, 이미지 등 부 록 3V 데이터 기업 데이터 이산 데이터 저장방식 관계형 DB에 저장하기 어려운 3V 특성을 갖는 데이터 고객관리관계(CRM), 기업자원관리(ERP), 데이터 웨어하우스(DW) 등과 같이 주로 관계형 데이터베이스에 저장된 데이터 스프레드시트, 파일DB, 이메일, JSON/XML 6) 데이터 등 개별적으로 관리되는 데이터 출처 : 빅 데이터(Big Data) 분석기술과 활용 과제의 영향평가 결과(미래창조과학부, 203) 주 : 4) 데이터를 설명하는 데이터(data for data)를 말함 5) 공장의 자동화에서 생산 공정 등을 제어하는 데이터 6) JSON(JavaScript Object Notation)/XML(Extensible Mark-up Language), 인터넷 관련 프로그램 언어의 일종

26 제장 정책 현황 2 받을 수 없는 상황에서 이루어질 가능성이 높다. 이러한 빅 데이터 환경에서 데이터 이용을 극대화 하고 개인정보도 보호할 수 있는 방안을 마련하는것 이 중요한 과제이다. 4. 유럽연합(EU)의 법제 개혁 유럽연합(EU : European Union)은 204년부터 개 인정보 보호지침(Directive)을 규정(Regulation)으로 변경하여 를 강화하려는 개혁을 추진 하고 있다. 202년 월에 발표한 EU 집행위원회의 개혁안 을 기초로 하여 유럽의회에 서 203년 월에 개혁안을 발표하였다. 주요내용은 [ 표 --4]에서 보는 바와 같다. 이 개혁안에 대하여 유럽연합 내의 일부 국가에서 이견을 보이고 있지만, 유럽연합의 의지가 강하여 204년부터 도입될 것으로 예상된다. 또한 유럽연합 은 금번 개혁안을 규제의 국제표준으로 발전시키기 위하여 노력하고 있다. 특히, 최근 미국 국 가안보국(NSA : National Security Agency) 프리즘 사건 이후, 유럽연합 규제의 역외적용 규정을 강력히 요구 할 것으로 예상된다. 그 이유는 최근에 구글, 페이스북 등 다국적 기업에서 유럽시민의 개인정보 수집ㆍ이 용에 대한 문제점을 몇 차례 지적한 바 있는 상황에서 프리즘 이 또 다른 이슈가 되었기 때문이다. 한편, 유럽연합 시민의 개인정보를 처리하는 개인정 보처리자는 개인정보처리책임자(CPO) 임명, 영향평가 의 실시 등 의무사항을 이행해야 하며, 유럽에 진출해 있는 우리 기업에도 영향이 다소 있을 것이 예상되므로 개정안의 내용분석 및 동향 파악을 통해 적합성 평가를 실시하는 등 사전 대비가 필요할 것으로 보인다. 표 --4 유럽연합의 법제 개혁안의 주요내용 주요규정 One-stop-shop 감독 수준 강화 이용자 권리 강화 기업에 포괄적 의무부과 유럽 외 국가로의 정보이전 감시강화 EU규제의 역외적용 법위반행위 제재 강화 내 용 유럽연합 27개 회원국에 각각 독립규제기관을 설치하고, EU 내 여러 국가에 사무소가 있을 경우는 주된 사무소가 소재한 국가의 규제기관이 해당 기업에 대한 감독권을 행사 개인정보의 수집 처리 시에 사전 동의 획득 의무 강화 잊혀질 권리(Right to be forgotten) 보장 개인정보의 이동성(data portability)의 보장 등 민감정보, 위치정보, 나이 등 신상정보와 개인에게 불리한 영향을 끼칠 정보처리는 어떠한 경우에도 반드시 사전 동의를 구하도록 의무화 등 종업원 250인 이상을 고용한 기업에 대하여 ()정보보호관(Data Protection Officer)을 두어야 하며, (2)모든 정보처리에 기록유지, (3)정보보호 영향평가 실시, (4)데이터 유출이나 정보보호의무 위반시 24시간 내 감독당국에 통지 등 의무사항을 규정 현행 적합성(Adequacy) 정책, 에 관한 기업규칙(Binding Corporate Rules) 정책은 유지하지만, 모든 표준계약조항 7) (Safe Harbor Framework도 포함)들은 법 시행 2년 후 효력 종료 EU에 재화나 용역을 공급하거나 유럽 시민의 행태를 모니터링 하는 경우는 EU지역 밖에서 개인정보를 처리하는 경우에도 EU규제를 적용하도록 하고 있음 동의 없이 민감정보를 처리하는 행위와 같은 주요 위반행위에 대하여 당해 기업의 전세계 연 매출액의 2%까지 과징금을 부과하도록 하고 있음 주 : 7) EU와 이외 국가가 개인정보 규율이 상이할 경우 국가 간 자유로운 정보이전이 가능하도록 한 별도의 협약(예:Safe Harbor Framework, 미국과 EU간)

27 203 연차보고서 3 제 2 장 실태조사 2 정책실적 및 성과 주요 현황 개인정보 보호법 이 20년 9월 30일부터 시행 되었지만, 6개월간의 계도기간을 거쳐 202년 3월 29일부터 본격적으로 법이 적용되었다. 즉, 202년이 개인정보 보호법 시행의 실질적인 첫해이므로 현장에서는 개인정보의 제공자인 정 보주체 와 개인정보를 수집하고 처리하여 업무에 활 용하는 개인정보처리자 모두에게 법 제도적인 여 건에 많은 변화가 있었다. 따라서 본 장에서는 개인정보 제공자인 정보주체 와 수집 이용자인 개인정보처리자 를 중심으로 202년 한 해 동안의 실태조사 결과를 분석 수록하 였다. 이 장의 내용은 위원회에서 조사 한 개인정보 보호법 시행이후 변화 분석 및 개 선방안 연구 8) 의 결과와 정보통신망법을 기준으로 한국인터넷진흥원에서 조사한 202년 개인 인터넷 이용자 정보보호 실태조사 9) 및 202년 민간기업 정 보보호 실태조사 0) 결과를 토대로 하였다. 제 절 정보주체. 에 대한 인식 가. 에 대한 중요성 인식 한국인터넷진흥원 조사에 따르면, 일반국민의 3 기관별 실적 및 계획 4 해외동향 부 록 주 : 8) 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구: 위원회에서는 20세 이상의 개인정보제공자 62명(조사기간 : 월 초 ~ 0월 말, 2달간) 및 개인정보 처리자 555명(조사기간 : 202년 9월 초 ~ 0월 초, 개월간)을 대상으로 이메일, FAX, 전화 설문을 병행하여 조사하였다. 9) 202년 개인 인터넷 이용자 정보보호 실태조사 : 한국인터넷진흥원에서는 만 2세 ~ 59세 인터넷이용자 2,500명을 대상으로(조사기간 : ~ 개월간) 가구 방문 면접조사를 실시하였다. 0) 202년 민간기업 정보보호 실태조사 : 한국인터넷진흥원에서는 종사자수 5인 이상의 네트워크구축사업체 5,000개를 대상으로(조사기간 : ~ 개월간) 방문 면접조사를 실시하였다.

28 제2장 실태조사 %가 가 중요하다고 답하였지만, 개 인정보보호위원회 조사에서는 20년 9월 30일 부터 개인정보 보호법 이 시행되고 있다는 사실을 [표 -2-]에서 보는 바와 같이 60.03%만이 알고 있다고 응답하였다. 또한, 개인정보 보호법 시행 이후 정보주체의 개인정보 중요성에 대한 인식이 높아졌다(비교적 증 가 + 매우 증가)는 응답이 [표 -2-2]에서 보는 바와 같 이 50.49%로 나타났으나, 단일 답변으로는 변화가 없 는 것 같다 는 응답도 44.50%로 나타나고 있어 제도 시행에 따른 직접적인 효과가 나타나기까지는 정책 적 노력과 시간이 더 필요할 것으로 보인다. 개인정 보 보호법 이 정보주체가 아닌 개인정보처리자를 규율하는 법이므로 정보주체의 인식변화에는 다소 시간이 필요할 것으로 보인다. 나. 개인정보 유출에 따른 피해의 심각성 정도와 이유에 대한 인식 개인정보의 중요성에 대한 인식의 변화와 함께 개 인정보 유출 시 우려되는 사회 전반에 걸친 피해의 심 각성 정도에 대해서도 [표 -2-3]에서 보는 바와 같이 일반 국민의 79.44%가 그 심각성이 크다(매우 크다 + 비교적 크다)고 생각하는 것으로 조사되었다. 개인정보의 중요성에 대한 인식이 높아졌다고 응 답한 정보주체를 대상으로 그 이유를 물어본 설문에 표 -2- 개인정보 보호법 시행여부 (단위 : %) 구분 알고 있다 모르고 있다 전체 성별 남자 여자 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-2 개인정보 보호법 시행 이후 개인정보 중요성에 대한 인식변화 (단위 : %) 성별 구분 매우 감소 비교적 감소 변화가 없는 것 같다 비교적 증가 매우 증가 비교적+매우 증가 전체 남자 여자 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-3 개인정보 유출 시 우려되는 사회 전반의 피해 정도 (단위 : %) 구분 전혀 크지 않다 비교적 크지 않다 보통이다 비교적 크다 매우 크다 비교적+매우 크다 전체 남자 성별 여자 출처 : 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원, 202)

29 203 연차보고서 5 서 [ 표-2-4]에서 보는 바와 같이 개인정보가 유출 되 죄에 악용될 우려 때문에 항목에서 가장 높은 78.47% 었을 경우 피싱(Phishing), 사기, 신상털기 등 범죄에 가 응답하였다. 악용될 것에 대한 우려 때문 이라고 응답한 비율은 절 반이 넘는 54.36%로 나타났고, 그 다음으로 사생활의 다. 인터넷 이용자의 정보보호와 개인정보 중요성 등 개인정보의 권리의식이 높아졌기 때문 이 보호의 중요성에 대한 인식 라고 25.87%가 응답하였으며, 개인정보가 중요하다 고 생각하는 이유에 대해서는 [표 -2-5]에서 보는 바 우리나라 인터넷 이용자 ) 의 정보보호와 개인정보 와 같이 복수응답의 경우, 피싱, 사기, 신상털기 등 범 보호의 중요성에 대한 인식의 차이는 [표 -2-6]에서 표 -2-4 개인정보의 중요성이 높아진 이유 (단위 : %) 주요 현황 2 정책실적 및 성과 성별 구분 나의 이력 및 사생활의 중요성 등 개인정보에 대한 권리의식이 높아졌기 때문에 내 개인정보에 대한 재산적 가치를 전보다 중요하게 생각하기 때문에 피싱, 사기, 신상털기 등 범죄에 악용될 우려 때문에 텔레마케팅, 스팸문자 등 무분별한 상업적 활용에 대한 우려 때문에 전체 남자 여자 기타 3 기관별 실적 및 계획 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(개인정보보보호 위원회, 202) 표 -2-5 개인정보가 중요하다고 생각하는 이유(2가지 응답) (단위 : %) 구분 이력 및 사생활 등 나의 명예나 인격과 직결된 것이기 때문에 재산적 가치가 있기 때문에 피싱, 사기, 신상털기 등 범죄에 악용될 우려 때문에 텔레마케팅, 스팸문자 등 무분별한 상업적 활용에 대한 우려 때문에 기타 4 해외동향 전체 성별 남자 여자 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 부 록 표 -2-6 인터넷 이용자의 정보보호의 중요성 인식 (단위 : %) 중요성 전혀 중요하지 않다 중요하지 않은 편이다 중요한 편이다 매우 중요하다 조사년도 정보보호 출처 : 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원, 202) 주 : ) 조사기준시점을 기준하여 최근 개월 이내 인터넷 이용자

30 제2장 실태조사 6 보는 바와 같다. 의 경우는 202년에 70.4%가 매우 중요하다고 하였으나, 정보보호의 경 우는 64.2%가 매우 중요하다고 응답하였다. 마찬가 지로 20년에도 각각 57.4%와 54.5%로 응답하여 개 인정보보호의 중요성에 대한 인식이 더 높은 것을 알 수 있다. 이러한 차이는 와 정보보호 간 의 개념이 명확하지 않아 혼란스러운 점도 있지만, 인터넷 이용자의 경우는 를 보다 중요 하게 생각하고 있음을 보여주고 있다. 라. 개인정보 침해에 따른 피해 심각성의 정도에 대한 인식 정보화 역기능으로 인한 피해의 심각성에 대해 [표 -2-7]에서 보는바와 같이 정보주체들은 202년에 개 인정보 및 프라이버시 침해 피해 와 불법 스팸으로 인 한 피해 가 가장 심각하다(심각한 편이다 + 매우 심각 하다)고 응답한 비율이 94.6%로 나타나(기타 제외) 개인정보 및 프라이버시 침해에 대한 관심 및 우려가 높은 것으로 나타났다. 정보화 역기능 유형별 순위를 20년과 202년을 비교해 보면, [표 -2-8]에서 보는 바와 같이 개인정보 및 프라이버시 침해 피해 가 2년 연속으로 위를 차지 하고 있으며, 이를 통해 정보주체들의 중요성에 대한 인식이 매우 높다는 것을 알 수 있다. 표 -2-7 정보화 역기능 유형별 피해 심각성의 정도 (단위 : %) 정보화 역기능 유형 전혀 심각하지 않다 심각하지 않은 편이다 심각한 편이다 매우 심각하다 심각한 편이다+ 매우심각하다 해킹 웜/바이러스 악성코드 개인정보/프라이버시 침해 불법스팸 피싱 기타 출처 : 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원, 202) 표 년과 202년의 정보화 역기능 유형별 피해 심각성 순위 정보화 역기능 유형 20년 심각성 순위 202년(심각+매우심각) 개인정보 및 프라이버시 침해 위 위(94.6%) 해킹 2위 3위(93.3%) 웜/바이러스 3위 6위(92.5%) 불법스팸 4위 위(94.6%) 악성코드 5위 5위(93.2%) 피싱 6위 3위(93.3%) 출처 : 20년, 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원)

31 203 연차보고서 7 마. 개인정보 항목별 공개 거부감의 정도에 대한 인식 202년에는 개인정보 제공에 대한 거부감 정도가 개인정보의 항목에 따라 어느 정도인지 조사하였는 데, 그 결과는 [표 -2-9]와 같다. 인터넷 상에서 회원가 입 및 온라인 서비스 이용을 위해 제공하는 개인정보 항목 중에서 주민등록번호(97.2%) 가 거부감(매우 거부감이 든다 + 거부감이 드는 편이다) 순위에서 위로 나타났고, 그 다음으로 휴대폰번호(87.4%), 자 택 전화번호(87.3%), 소득정보(85.0%), 부동산정보 (84.4%) 등의 순으로 조사되었으며, 거부감의 정도 가 가장 적게 나타난 나이(5.5%) 정보에 대한 제공 도 부담감이 적지 않은 것을 알 수 있다. 마찬가지로 매우 거부감이 든다 라고 응답한 경우의 순위도 유사 하게 나타났다. 2. 정보주체의 개인정보처리자 (서비스 제공자)에 대한 인식 가. 개인정보 수집에 대한 인식 만 2세 ~ 59세 인터넷 이용자를 대상으로 한 실태 주요 현황 2 정책실적 및 성과 표 년 개인정보 공개에 대한 항목별 거부감 정도 (단위 : %, (순위)) 3 기관별 실적 및 계획 개인정보 공개항목 전혀 거부감이 들지 않는다 거부감이 들지 않는다 거부감이 드는 편이다 매우 거부감이 든다 거부감이 드는 편이다+ 매우 거부감이 든다 주민등록번호 () 97.2 () 휴대폰번호 (2) 87.4 (2) 자택전화번호 (3) 87.3 (3) 4 해외동향 소득정보 (5) 85.0 (4) 부동산정보 (4) 84.3 (5) 자택주소 (6) 신체정보 (6) 79.0 (7) 회사전화번호 (0) 77.2 (8) 의료정보 (8) 74.5 (9) 아이디 (7) 7.9 (0) 부 록 직장주소 생일 (9) 70. 메일주소 직장명 직업 이름 나이 출처 : 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원, 202)

32 제2장 실태조사 8 조사에서 사업자, 정부 및 공공기관 의 개인정보 수 집 행태에 대한 인식을 조사한 결과는 [표 -2-0]과 같 다. 이 결과를 보면, 사업자 가 서비스 제공과는 무관 한 정보를 지나치게 수집하고 있다고 응답한 정보주 체가 56.%에 달하고, 정부 및 공공기관 의 경우도 그 보다 조금 낮은 43.0%에 달한다. 즉, 정보주체의 절반 이상이 개인정보처리자가 지나치게 많은 개인정보 를 수집한다고 인식하고 있다. 나. 개인정보처리자(서비스 제공자)의 개인 정보 처리절차에 대한 인식 개인정보 보호법 시행 이후 개인정보 처리절 차의 변화에 대한 설문 [표 -2-]에서 일반 국민의 40.94%가 변화가 없는 것 같다고 응답한 반면, 53.98% 가 법 시행 이후 개인정보 수집 이용 절차가 까다로 워졌다 고 응답하여 개인정보처리자가 개인정보 수 집 이용시 필요한 절차를 도입하고 있는 것을 알 수 있다. 또한, 절차가 까다롭게 되어도 를 위 해 감수할 수 있을 정도라고 생각하는 정보주체들이 [표 -2-2]에서 보는 바와 같이 78.99%나 된다. 이를 통해, 대다수의 응답자가 개인정보의 중요성에 보다 표 -2-0 개인정보 수집행태에 대한 인식 (단위 : %) 구분 서비스 제공을 위해 반드시 필요한 정보만을 수집하고 있다 서비스 제공과는 무관한 정보도 일부 수집 하고 있다 서비스 제공과는 무관한 정보를 지나치게 수집하고 있다 사업자 정부/공공기관 출처 : 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2- 개인정보 보호법 시행 이후 개인정보 처리절차의 변화 (단위 : %) 구분 매우 완화된 것 같다 약간 완화된 것 같다 변화가 없는 것 같다 약간 까다로워진 것 같다 매우 까다로워진 것 같다 약간+매우 까다로워진 것 같다 전체 성별 남자 여자 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-2 개인정보 처리를 위해 절차가 복잡해진 것에 대한 의견 (단위 : %) 구분 불편함 커지고 효과는 별로다 를 위해 팔요하지만 불편하다 절차가 까다로워도 를 위해 감수할 수 있다 필요하기 때문에 절차가 까다로워도 불편하지 않다. 기타 감수할 수 있다+ 불편하지 않다 전체 성별 남자 여자 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202)

33 203 연차보고서 9 중점을 두고, 처리절차가 다소 복잡하고 까다롭더라 도 용인할 수 있다는 태도를 보이고 있다는 것을 알 수 있다. 다. 분야별 수준변화에 대한 인식 개인정보 보호법 시행 이후 개인들이 느끼는 각 분야(정부 기업 개인 등)의 수준 변화정도에 대해 조사한 결과, 공공기관(중앙행정기 관, 지방자치단체, 교육기관, 기타 공공기관 등)과 금 융 보험업 분야에서는 수준이 높아진 것 같다는 응 답이 많은 반면, 타 분야의 수준은 여전 히 변화가 없는 것으로 인식하고 있었다. [표 -2-3]의 내용을 보면, 수준이 매우 높아진 것 같다 는 응답은 금융 보험분야(20.55%), 공공기관 (9.55%) 순으로 나타났으며, 조금 높아진 것 같다 의 경우는 공공기관(48.22%), 금융분야(46.60%), 정보통 신분야(38.67%), 의료 보건분야(30.9%) 순으로 나 타났다. 반면, 변화가 없다 의 경우는 자영업 분야(80.0%), 학원 등 사교육 분야(79.29%), 숙박업 분야(77.67%), 주요 현황 2 정책실적 및 성과 표 -2-3 분야별 수준 변화에 대한 인식 (단위 : %) 구분 매우 낮아진 것 같다 조금 낮아진 것 같다 변화가 없다 조금 높아진 것 같다 매우 높아진 것 같다 공공기관(중앙, 지방, 교육, 기타) 포털, 이통사, 인터넷쇼핑몰 등 정보통신 분야 은행 등 금융 보험 분야 기관별 실적 및 계획 병원 등 의료 보건 분야 택배 대형마트 등 유통 물류 도소매 분야 해외동향 학원 등 사교육 분야 요식업, 부동산 등 자영업 분야 호텔 등 숙박업 분야 여행 관광업 분야 협회 동호회 등 비영리기관 분야 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 부 록 표 -2-4 가 잘 되고 있다고 생각하는 업종분야(복수응답) 구분 공공 기관 정보 통신 분야 금융 보험 분야 의료 보건 분야 유통 불류 도소매 사교육 분야 자영업 분야 숙박업 분야 관광업 분야 비영리 기관 전체 성별 남자 여자 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202)

34 제2장 실태조사 20 비영리기관 분야(77.5%) 등의 순으로 나타난 것으 로 보아 공공기관, 금융 보험분야, 정보통신분야 등 을 제외한 대부분의 분야에서 변화가 없는 것으로 정 보주체들이 인식하고 있음을 알 수 있다. 개인정보 보호법 시행 이후 가 가장 잘 되고 있다고 느껴지는 업종 분야는 [표 -2-4]에서 보는 바와 같이 금융 보험 분야(86.58%), 공 공기관(86.23%), 정보통신 분야(52.35%), 의료보건 분야(3.54%) 순으로 가 잘 되고 있다 고 인식하고 있었다. 그 외의 분야는 0%이하의 응답 을 보이고 있다. 3. 관련 정책 인지 정부가 를 위해 시행하고 있는 정책 에 대해 정보주체가 어느 정도 알고 있는지 파악하기 위한 조사 결과는 다음과 같다. 가. 정보주체의 권리보장 등에 대한 인식 개인정보 보호법 제35조 내지 제39조에는 개 인정보 정보주체의 권리를 규정하고 있다. 이 규정 중에서 열람 정정 삭제 등의 요청 경험 여부에 대 한 설문결과 [표 -2-5]에서 보는 바와 같이 요구 경험 이 있다고 응답한 비율이 24.35%를 차지하고 있다. 나. 주민등록번호 대체수단 인지 개인 인터넷 이용자를 대상으로 인터넷 서비스 회 원가입 시 주민등록번호 이외의 수단에 대해 알고 있 는지를 유형별로 조사한 결과 [표 -2-6]에서 보는 바 와 같이 휴대폰(9.2%) 에 대한 인지율이 가장 높았으 며, 공인인증서(9%), 신용카드(7.7%), I-PIN(6.2%) 순으로 조사되었다. 각각의 대체수단에 대해 인지하고 있는 이용자를 대상으로 이용 여부를 조사한 결과도 인지율과 마찬 가지로 대체수단으로 휴대폰(72.7%) 이 가장 높았으 표 -2-5 개인정보처리자에게 개인정보의 열람 정정의 요청 경험 (단위 : %,) 분야 있다 없다 전체 남자 성별 여자 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-6 (회원가입 시)주민등록번호 이외의 본인 인증수단 인지 여부 등 (단위 : %) 구분 휴대폰 인증 공인인증서 신용카드 인증 I-PIN 기타 인증 수단 인지 인증 수단 이용 인증 수단 선호도 출처 : 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원, 202)

35 203 연차보고서 2 며, 공인인증서(67.3%), 신용카드(34.4%), I-PIN (22.4%) 순이었다. 반면, 가장 선호하는 대체수단은 공인인증서(49.8%), 휴대폰(37.0%) 순으로 조사되 었다. 개인정보처리자의 를 위한 노력이 아 직 부족하다고 생각하고 있는 것으로 나타났다. 주요 현황 다. 제도의 개선이 필요한 분야 제 2 절 개인정보처리자 정보주체에게 향후 효과적인 를 위 해 어떠한 개선이 필요한지에 대한 질문에 [표 -2-7] 에서 보는 바와 같이 개인정보유출 회사에 대한 규제 나 처벌을 강화해야 한다 에 50.4%가 응답하고 있어. 의 중요성에 대한 인식 [표 -2-8]에 따르면, 국내 사업체 경영진의 73.2%, 직원의 72.7%가 가 중요하다(중요하다 2 정책실적 및 성과 표 -2-7 를 위한 개선이 필요한 분야 (단위 : %) 성별 구분 개인정보유츌 회사에 대한 규제나 처벌을 강화해야 한다 개인정보유출에 대한 정부의 피해구제 절차, 안내 등 행정서비스를 보다 강화해야 한다 개인정보에 대한 이용을 점차 줄여나가야 한다 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 기술개발 등을 보다 활성화하여야 한다 전체 남자 여자 기타 3 기관별 실적 및 계획 4 해외동향 표 -2-8 국내 사업체의 의 중요성 인식정도 (단위 : %) 구분 전혀 중요하지 않음 중요하지 않음 보통 중요함 매우 중요함 중요함 + 매우 중요함 경영진 부 록 직원 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2-9 국내 사업체의 정보보호의 중요성 인식 (단위 : %) 구분 전혀 중요하지 않음 중요하지 않음 보통 중요함 매우 중요함 중요함 + 매우 중요함 경영진 직원 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

36 제2장 실태조사 22 + 매우 중요하다)고 인식하고 있는 것으로 조사되어 경영진의 중요성에 대한 인식이 직원 에 비해 약간 높은 것으로 나타났다. 또한, [표 -2-9] 에서 보는바와 같이 정보보호의 중요성에 대한 인식 은 경영진의 7.3%, 직원의 70.7%가 중요하다(중요 하다 + 매우 중요하다)고 응답해 정보보호 보다 개인 정보보호를 더 중요하게 인식하고 있는 것으로 조사 되었다. 한편, 위원회의 조사에 따르면, [표 -2-20]에서 보는 바와 같이 근무하는 기관 및 회사의 중요성에 대한 인식변화가 있었는지 의 질문에서 40.7%는 비교적 높아지고 있는 것 같다 고 응답하였으나 46.7%는 변화가 없는 것 같다 로 응 답하여 의 중요성에 대한 인식제고 노 력이 필요할 것으로 보인다. 또한 [표 -2-2]에서 보는 바와 같이 20년 9월 30 일부터 개인정보 보호법 이 시행되고 있다는 사 실을 75.5%만이 알고 있다고 응답하였다. 50명 이상 규모의 기관에서는 94% 이상이 법 시행 사실을 인지 하고 있는 점으로 보아 종업원 수가 적은 기관 및 회 사에 초점을 맞춘 법 홍보가 필요할 것으로 보인다. 개인정보 보호법 제34조에서 개인정보처리자 는 개인정보가 유출되었음을 알게 되었을 때에는 지 체없이 해당 정보주체에게 고지하도록 명시되어 있 는데, 이에 대해 인지하고 있는 개인정보 처리자는 [ 표 -2-22]에서 보는 바와 같이 69.0%로 조사되었지만, 5명 미만의 경우는 절반에도 미치지 못하고 있어 5명 미만 사업체의 인식제고가 필요할 것으로 보인다. 표 근무처의 중요성 인식변화에 대한 체감 (단위 : %) 구분 매우 낮아지고 있는 것 같다 비교적 낮아지고 있는 것 같다 변화가 없는 것 같다 비교적 높아지고 있는 것 같다 매우 높아지고 있는 것 같다 비율 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-2 개인정보 보호법 시행여부에 대한 인지 (단위 : %) 구분 5명 미만 5~49명 50~299명 300명 이상 전체 비율 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 개인정보유출 인지 시 정보주체에 대한 고지의무 인지 여부 (단위 : %) 구분 5명 미만 5~49명 50~299명 300명 이상 전체 비율 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 개인정보유출 처리 절차 복잡 여부 (단위 : %) 구분 전혀 그렇지 않다 그렇지 않다 보통이다 그렇다 매우 그렇다 그렇다 + 매우 그렇다 비율 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202)

37 203 연차보고서 23 개인정보 보호법 시행 이후 [표 -2-23]에서 보 는 바와 같이 개인정보처리자의 34.4%가 개인정보처 리절차가 복잡해졌다고 인식(그렇다 + 매우 그렇다) 하고 있는 것으로 나타났다. 한국인터넷진흥원의 조사에 따르면, [표 -2-24]에 서 보는 바와 같이 개인정보를 수집하는 사업체의 46.0%가 개인정보가 유출 및 도용될 가능성은 항상 존재한다 고 인식하고 있었으며, 5.2%가 웹 사이트 서비스 제공을 위해서는 유출 가능성에 상관없이 이 용자의 개인정보를 수집할 수 있다 고 응답했고, 8.5%가 웹 사이트 보안이 안정적이면 수집과 이용 에 제한을 두지 않아도 된다 고 응답하여 개인정보의 유출 위험이 존재함에도 여전히 개인정보의 수집은 필요한 것으로 인식하고 있는 것으로 나타났다. 이러한 개인정보의 유출 사고에 대한 원천으로 가 장 우려하고 있는 점은 [표 -2-25]에서 보는 바와 같이 외부로부터의 해킹(52.4%) 이었으며, 내부자에 의 한 고의 유출(4.7%) 또한 우려하고 있었다. 개인정보를 수집함에 있어 사업체가 중요하게(매 우 중요함 + 다소 중요함) 생각하며 보호가 필요하다 고 느끼는 개인정보의 유형은 [표 -2-26]에서 보는 바 와 같이 일반정보(이름, 주민등록번호, 운전면허번 호, 전화번호, 생년월일 등)(88.2%), 가족정보(74.6%) 의 순이었으며, 신용정보, 소득정보 등 경제적 정보의 중요성도 높은것으로 나타났다. 2. 환경 가. 정책 및 조직 [표 -2-27]에서 보는 바와 같이 개인정보를 수집하 는 사업체 중 53.0%가 공식적으로 문서화 된 개인정 보보호 내부관리계획을 수립하여 운영하는 것으로 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 개인정보 수집 관련 인식 구분 전혀 그렇지 않음 별로 그렇지 않음 보통 다소 그러함 매우 그러함 (단위 : %) 다소 + 매우 그러함 4 해외동향 개인정보가 유출 및 도용될 가능성은 항상 존재한다 웹 사이트 서비스 제공을 위해서는 유출 가능성에 상관없이 이용자의 개인정보를 수집할 수 있다 웹 사이트 보안이 안정적이면 이용자의 개인정보 수집과 이용에 제한을 두지 않아도 된다 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 부 록 표 개인정보 유출 원인에 대한 우려 정도 (단위 : %) 개인정보 유출원인 전혀 우려하지 않음 별로 우려하지 않음 보통 다소 우려함 매우 우려함 다소 + 메우 우려함 외부로부터 해킹 내부자에 의한 고의 유출 기업의 관리 실수로 인한 유출 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

38 제2장 실태조사 24 표 개인정보 유형별 중요도 인식 (단위 : %) 개인정보유형 전혀 중요하지 않음 별로 중요하지 않음 보통 다소 중요함 매우 중요함 다소 + 매우 중요함 일반정보 가족정보 신용정보 소득정보 부동산정보 법적정보 기타 수익정보 의료정보 교육 및 훈련정보 고용정보 신체정보 통신정보 위치정보 병역정보 조직정보 습관 및 취미정보 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 업종별 내부관리계획 수립여부 (단위 : %) 업종 수립 미수립 모름/무응답 전체 농림수산업 제조업 건설업 도매 및 소매업 운수업 숙박 및 음식점업 정보서비스업 금융 및 보험업 부동산 및 임대업 기술서비스업 시설 사업지원 개인서비스업 기타서비스업 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

39 203 연차보고서 25 조사되었다. 업종별로 살펴보면 금융 및 보험업 사업 체의 90.6%가 내부관리계획을 수립하고 있었으나, 기술 서비스업의 경우 내부관리 계획을 수립한 사업 체가 4.7%로 업종 간 차이가 큰 것으로 조사되었다. 내부관리계획을 수립한 사업체의 경우 [표 -2-28] 에서 보는 바와 같이 대부분의 사업체에서 개인정보 관리책임자의 지정(94.%), 개인정보취급자의 교육 에 관한 사항(90.9%), 백신소프트웨어의 설치 및 주 기적 갱신 및 점검(90.6%), 조직의 구 성 운영에 관한 사항(90.%) 등의 내용을 계획에 포 함하고 있는 것으로 조사되었다. 국내 사업체 중 정보보호 전담 조직을 설치 운영 하는 기업은 [표 -2-29]에서 보는 바와 같이 20년 대 표 내부관리계획 포함 내용 비 4.%p 감소한 8.5%로 조사되었다. 반면 온라인 상 에서 개인정보를 수집하는 사업체 중 공식적인 개인 정보보호 조직을 운영하고 있는 사업체는 45.0%로 20년 대비 0.9%p 증가하였다. 그 중 9.%는 정보 보호 전담조직과는 별도로 전담조직 을 운영하고 있는 것으로 조사되었다. [표 -2-30]에서 보는바와 같이 국내 사업체 중 사내 규정 등에 의거하여 정보관리책임자(CIO : Chief Infor- mation Officer)를 명시적으로 임명하는 사업체 는 6.9%, 정보보호책임자(CISO : Chief Information Secu- rity Officer)를 임명하는 사업체는 5.7%로 20 년 보다 감소하였다. 반면, 개인정보관리책임자 (CPO : Chief Privacy Officer)를 임명하는 사업체는 (단위 : %) 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 구분 포함 개인정보관리책임자의 지정 94. 개인정보 취급자의 교육에 관한 사항 90.9 백신 소프트웨어의 설치 및 주기적 갱신 및 점검 90.6 조직의 구성운영에 관한 사항 해외동향 DB 시스템에 대한 접근권한 부여 변경 말소 등에 관한 기준의 수립 및 시행 87.2 비밀번호의 생성방법 및 변경주기 등의 기준설정 86.7 개인정보 처리시스템 접속일시, 처리내역 저장 및 관리 83.6 주민등록번호 및 계좌정보 등 금융정보 암호화 83.4 비밀번호 및 바이오 정보의 일방향 암호화 79. 침입차단 시스템 및 침입탐지 시스템의 설치운영 78.5 부 록 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 개인정보 송수신 시 보안서버 구축 7.5 표 정보보호 전담조직 설치 운영 여부 (단위 : %) 연도 정보보호 전담조직 운영 전담조직 운영 20년 년 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

40 제2장 실태조사 26 20년 대비 9.9%p 증가한 58.%로 조사되었다. [표 -2-3]에서 보는 바와 같이 IT 관련 책임자 중 정 보관리책임자(CIO)의 업무를 전담하도록 하는 사업 체는 4.6%, 정보보호책임자(CISO)의 업무를 전담하 도록 하는 사업체는 3.6%로 20년 보다 다소 증가 하였으며, 개인정보관리책임자(CPO)를 임명하여 업 무를 전담하도록 하는 사업체는 20년 대비 26.9%p 증가한 49.7%로 파악되었다. 이는 관련 법 제도의 강 화에 따른 것으로 판단되며, 향후 지속적으로 향상 될 것으로 전망된다. 예산과 관련해서는 [표 -2-32]에서 보는 바와 같이 이용자의 개인정보를 수집하는 사업 표 IT 관련 책임자 임명 여부 (단위 : %) 연도 CIO (정보관리책임자) CISO (정보보호책임자) CPO (개인정보관리책임자) 20년 년 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2-3 IT 관련 책임자의 업무전담 여부 (단위 : %) 연도 CIO (정보관리책임자) CISO (정보보호책임자) CPO (개인정보관리책임자) 20년 년 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 예산 별도 배정 현황 (단위 : %) 업종 수립 미수립 모름/무응답 전체 농림수산업 제조업 건설업 도매 및 소매업 운수업 숙박 및 음식점업 정보서비스업 금융 및 보험업 부동산 및 임대업 기술서비스업 시설/사업지원 개인서비스업 기타서비스업 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

41 203 연차보고서 27 체의 35.4%가 를 위한 예산을 별도로 배 정하고 있는 것으로 조사되었으며, 업종별로는 금융 및 보험업(7.9%), 숙박 및 음식점업(69.5%) 이 타 업 종에 비해 상대적으로 를 위한 예산을 별도로 배정하고 있는 비율이 높은것으로 나타났다. 한편, 위원회의 조사 결과에 따르면 [ 표 -2-33]에서 보는바와 같이 를 위한 예산이 개인정보 보호법 시행 이전보다 증가한 사업체가 22.6%, 약 0% 미만 증가하였다고 응답한 사업체가 4.4%, 약 0~30%미만 증가한 사업체가 5.4%로 조사되었다. 한국인터넷진흥원의 조사 결과에 따르면, [표 -2-34]에서 보는 바와 같이 84.%는 교육 에 참여한 경험이 없으며, 5.9%만이 교육 참여 경험 이 있는 것으로 나타났다. 관련 무료교육을 실시한다면, 참여 할 의사가 있는 사업체는 [표 -2-35]에서 보는 바와 같 이 59.9%로 나타났다. 인원수가 적은 사업체의 경우 교육 경험과 교육 받고자 하는 의지가 모두 부족하여 인식 제고를 위한 노력이 필요할 것으로 보인다. 나. 개인정보 수집 현황 한국인터넷진흥원의 조사 결과에 따르면, [표 -2-36]에서 보는 바와 같이 개인정보를 수집하는 사업체 의 72.7%는 온ㆍ오프라인 모두를 통해 이용자의 개 인정보를 수집하고 있는 것으로 나타났다. 숙박 및 음식점업(80.7%) 은 다른 업종에 비해 이용자의 개인 정보를 주로 온라인으로만 수집 하는 것으로 나타났 고, 금융 및 보험업(93.9%) 은 온ㆍ오프라인 모두를 통해 수집 하는 비율이 상대적으로 높은 것으로 나타 났다. 여기서, 온ㆍ오프라인 모두를 통해 수집 하는 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 예산 증가 추이 (단위 : %) 구분 증가하지 않음 약 0% 미만 약 0~30% 약 30~50% 약 50~70% 약 70~90% 90% 이상 예산 신설 모름/ 무응답 4 해외동향 비율 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 사업체 규모별 교육 참여 경험 (단위 : %) 구분 5~9명 0~49명 50~249명 250명 이상 전체 참여 부 록 미참여 모름/무응답 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 사업체 규모별 관련 무료교육 참여 의사 (단위 : %) 구분 5~9명 0~49명 50~249명 250명 이상 전체 비율 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

42 제2장 실태조사 28 표 업종별 개인정보 수집 방법 (단위 : %) 업종 온라인으로만 수집 온 오프라인 모두를 통해 수집 2) 전체 농림수산업 제조업 건설업 도매 및 소매업 운수업 숙박 및 음식점업 정보서비스업 금융 및 보험업 부동산 및 임대업 기술서비스업 시설 사업지원 개인서비스업 기타서비스업 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 사업체가 보유하고 있는 개인정보 규모 업종 만 명 미만 만 명 ~ 50만 명 미만 50만 명 ~ 00만 명 미만 00만 명 ~ 500만 명 미만 500만 명 ~,000만 명 미만,000만 명 이상 전체 농림수산업 제조업 건설업 도매 및 소매업 운수업 (단위 : %) 모름/ 무응답 숙박 및 음식점업 정보서비스업 금융 및 보험업 부동산 및 임대업 기술서비스업 시설 사업지원 개인서비스업 기타서비스업 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 주 : 2) 개인정보 보호법 과 정보통신망법을 동시에 적용받는 분야임.

43 203 연차보고서 29 경우는 적용 법 기준으로 볼 때, 개인정보 보호법 과 정보통신망법을 동시에 적용받는 산업분야이다. [표 -2-37]에서 보는 바와 같이 국내 사업체들이 보 유하고 있는 개인정보의 규모는 주로 만 명 미만 (6.8%)인 것으로 조사되었으며,,000만 명 이상의 대규모 개인정보를 보유하고 있는 사업체도 9.3%로 조사되었으나, 사업시설 관리 및 사업지원 서비스업 (30.6%) 과 금융 및 보험업(20.7%) 에 주로 국한되어 있으며 국내 사업체의 대부분이 50만 명 미만(82.4%) 의 개인정보를 보유하고 있는 것으로 나타났다. 한국인터넷진흥원의 조사 결과에 따르면, [표 -2-38]에서 보는바와 같이 개인정보 수집 사업체 중 주민 등록번호를 수집 이용하는 사업체는 75.7%로 여전 히 많은 사업체가 주민등록번호를 수집하고 있는 것 으로 나타났으며, 주로 회원 가입 시 본인인증(82.2%) 을 위해 주민등록번호를 수집 이용하고 있는 것으 로 조사되었다. 그 외에 고객상담 회원관리(56.6%), 중복가입 방지(52.4%) 를 위해 주민등록번호를 수 집 이용하고 있다고 응답하였다. 개인정보를 수집하는 사업체가 주민등록번호를 활용하지 않는 경우 서비스 제공에 미치는 영향 정도 에 대해 조사한 결과 [표 -2-39]에서 보는바와 같이 59.7%가 주요 서비스가 불가능하거나 중단될 수준 이 라고 응답한 반면, 주민등록번호를 활용하지 않아도 주요 현황 2 정책실적 및 성과 표 주민등록번호 수집 이용 목적(복수응답) 수집 이용 목적 비율 (단위 : %) 3 기관별 실적 및 계획 주민등록번호 수집 75.7 회원가입시 본인인증 82.2 고객상담 회원관리 56.6 중복가입 방지 52.4 아이디/ 패스워드 찾기 해외동향 결제 34.0 성인인증 20.0 기타 5.2 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 부 록 표 주민등록번호 미활용 시 서비스 제공 영향 구분 매우 낮음 낮음 중간 높음 매우 높음 높음 + 메우 높음 (단위 : %) 비율 * 매우 높음 : 서비스 중단 될 수준 * 높음 : 주요 서비스가 불가능한 수준 * 중간 : 주요 서비스가 어려운 수준 * 낮음 : 일부 서비스에 영향을 미침 * 매우 낮음 : 서비스 영향 없음 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

44 제2장 실태조사 30 서비스에 영향을 미치지 않는다고 응답한 사업체도 8.7%나 있어 주민등록번호를 사용하는 관행을 개선 하기 위해서는 더 많은 노력이 필요할 것으로 보인다. 3. 조치 가. 개인정보 보호법 관련 정책 이행 현황 개인정보 보호법 제24조에서는 개인정보처 리자가 개인의 고유식별정보를 수집할 때 법적 근거 를 가지고 있거나 처리에 대한 별도의 동의를 받도록 명시하고 있다. 위원회의 조사 결과에 따르면, [표 -2-40]에서 보는 바와 같이 개인정보 수집 동의 이외에 고유식별정보에 대한 활용 동의를 받고 있는 사업체는 54.6%였으며, 별도의 동의를 따로 받 지 않는다고 응답한 사업체는.5%였다. 개인정보를 제3자에게 제공 또는 목적 외 용도로 이용 시 개인정보 보호법 에 따라 정보주체로부 터 별도의 동의를 확보해야 하지만, [표 -2-4]에서 보 는바와 같이 제3자에게 제공하거나 목적 외 용도로 이용하지 않는 57.8%를 제외하고, 35.5%는 동의를 확 보한다고 응답했으며 6.7%는 동의를 확보하지 않는 다고 응답하였다. 개인정보 보호법 제24조에 따라 개인정보처 리자는 정보주체가 인터넷 홈페이지를 통하여 회원 으로 가입할 경우 주민등록번호를 사용하지 않고도 회원으로 가입할 수 있는 방법을 제공해야 하지만, [ 표 고유식별정보 수집 및 처리 시 별도 동의 확보 여부 (단위 : %) 구분 그렇다 그렇지 않다 수집 처리 안함 모름/무응답 비율 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-4 개인정보 제3자 제공 또는 목적 외 이용 시 별도 동의 확보 여부 (단위 : %) 구분 그렇다 그렇지 않다 제공 이용 안함 비율 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 개인정보제공자에 대한 주민등록번호 대체수단 제공여부 구분 제공하고 있다 제공하고 있지 않다 적용대상이 아니다 고객등의 주민등록번호 수집안함 비율 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) (단위 : %) 표 주민등록번호 대체수단 미제공 사유 (단위 : %) 구분 고객관리에 어려움이 많아서 관련 법령에 해당 내용이 있다는 사실을 인지하지 못해서 조직 인력 예산 등 비용이 많이 소요되어서 기타 모름/ 무응답 비율 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202)

45 203 연차보고서 3 표 -2-42]에서 보는 바와 같이 29.7%가 제공하고 있 지 않다, 28.5%가 고객 등의 주민등록번호를 수집하 지 않는다, 26.7%가 적용대상이 아니다 라고 응답한 반면 제공하고 있다 는 응답은 5.%에 불과했다. 주민등록번호 대체수단을 제공하지 않는 이유에 대해서는 [표 -2-43]에서 보는 바와 같이 52.7%가 고객관리에 어려움이 많아서 라고 응답했고, 이어서 관련 법령에 해당 내용이 있다는 사실을 인지하지 못 해서 가 2.2%로 나타나고 있어 적극적이고 꾸준한 지원과 홍보를 통하여 대체수단을 마련할 수 있도록 유도하는 정책이 필요할 것으로 판단된다. 개인정보를 위한 기술적ㆍ관리적ㆍ물리적 조치 의무 이행 사항은 [표 -2-44]에서 보는 바와 같이 개 인정보에 대한 보안프로그램의 설치 및 갱신 을 이행 하는 사업체가 69.7%로 가장 많았으며, 개인정보의 안전한 처리를 위한 내부 관리계획의 수립 이행( 69.0%), 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치(67.9%) 순으로 조사되었다. 개인정보 보호법 제5장에 따라 정보주체의 권 리를 보장하기 위하여 [표 -2-45]에서 보는 바와 같이 국내 사업체의 44.9%가 처리중인 개인정보의 열람, 정정 삭제, 처리 정지 등의 절차를 마련하고 공개하 고 있었다. 개인정보 보호법 제2조에 따라 처리 중인 개 인정보의 보유기간 경과 또는 처리목적 달성 등 파기 요건이 갖춰졌을 때 보유한 개인정보를 지체 없이 파 기하고 있는가에 대해서는 [표 -2-46]에서 보는 바와 같이 8.3%가 파기하고 있다고 응답하였다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 조치 의무 사항별 이행비율 (단위 : %) 조치 의무 사항 이행비율 개인정보에 대한 보안프로그램의 설치 및 갱신 69.7 개인정보의 안전한 처리를 위한 내부 관리계획의 수립 시행 69.0 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치 해외동향 암호화 기술의 적용 또는 이에 상응하는 조치 66.2 접속기록의 보관 및 위조 변조방지를 위한 조치 55.7 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 40.4 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 정보주체의 권리보장을 위한 구체적 방법 및 절차 공개 여부 (단위 : %) 부 록 구분 그렇다 그렇지 않다 모름/무응답 비율 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 개인정보 파기요건 충족 시 파기여부 구분 그렇다 그렇지 않다 비율 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) (단위 : %)

46 제2장 실태조사 32 나. 기술적 조치 한국인터넷진흥원의 조사 결과에 따르면, 개인정 보를 수집하는 사업체 중 수집된 개인정보의 안전한 처리를 위하여 사업체들이 취하고 있는 기술적 조치 로는 [표 -2-47]에서 보는 바와 같이 DB 접근내역에 대한 로그저장(49.9%) 과 보관하고 있는 개인정보의 암호화 저장(49.9%) 에 응답한 사업체가 가장 많았고, USB/이동형 저장장치 통제(47.0%) 가 뒤를 이었으며 20년에 비해서는 모든 항목에서 기술적 조치 도입 비율이 높아진 것으로 나타났다. [표 -2-48]에서 보는 바와 같이 업종별로는 금융 및 보험업 에서 타 업종에 비해 개인정보의 안전한 처리 를 위해 기술적 조치를 취하고 있는 비율이 높게 나 타났다. 특히 USB/이동형 저장장치 통제 조치는 개 인정보를 수집하는 금융 및 보험업 업종의 92.7%가 표 개인정보의 안전한 처리를 위한 기술적 조치 도입현황(복수응답) (단위 : %) 연도 DB 접근내역에 대한 로그저장 보관하고 있는 개인정보의 암호화 저장 USB/이동형 저장장치 통제 키보드해킹 방지 솔루션 적용 노트북, PDA 통제 20년 년 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 개인정보의 안전한 처리를 위한 기술적 조치 도입현황(복수응답, 업종별) 업종 DB 접근내역에 대한 로그저장 보관하고 있는 개인정보의 암호화 저장 USB/이동형 저장장치 통제 키보드해킹 방지 솔루션 적용 노트북, PDA 통제 전체 농림수산업 제조업 건설업 도매 및 소매업 운수업 숙박 및 음식점업 정보서비스업 금융 및 보험업 부동산 및 임대업 기술서비스업 시설/사업지원 개인서비스업 기타서비스업 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) (단위 : %)

47 203 연차보고서 33 취하고 있는 것으로 조사되었다. 개인정보를 수집하는 사업체의 대부분이 이용자 의 개인정보를 암호화하고 있었다. 특히 202년 개 인정보 보호법 시행 이후 많은 사업체들이 대다수 의 개인정보 항목을 암호화 하고 있는 것으로 조사되 었다. 유형별로 살펴보면, [표 -2-49]에서 보는 바와 같이 주민등록번호(96.6%) 를 가장 많이 암호화하여 저장한다고 응답하였고, 비밀번호(85.8%), 계좌번 호(72.8%) 순으로 조사되었다. 주민등록번호를 암호 화하는 비율은 20년 79.3%에 비해 7.3%p 증가하 였다. [표 -2-50]에서 보는 바와 같이 개인정보 침해사고 의 예방 및 사후 처리를 위한 조치로 침해사고 발생 시 내부 대응체계 및 보고체계의 확립 이 48.7%로 가 장 많았으나, 개인정보 수집 사업체의 절반도 미치지 못했고, 20.3%에 해당하는 사업체는 특별한 조치를 시행하지 않고 있는 것으로 나타났다. 그 다음으로는 개인정보 침해사고 예방에 관한 매뉴얼 수립(44.6%), 개인정보 침해사고 사후 처리방침 수립(4.6%) 등의 순으로 조사되었다. [표 -2-5]에서 보는 바와 같이 온라인 상에서 개인 정보를 수집하는 사업체 중 55.8%만이 회원 가입 시 이용자의 본인 확인을 위해 대체수단을 이용하였으 며, 본인확인을 위해 주민등록번호와 대체수단을 병 행하여 본인 확인 을 하는 경우가 35.3%, 주민등록번 호 이외의 대체수단만으로 본인 확인 을 하는 경우는 20.5%로 조사되었다. 반면 주민등록번호만으로 본 인 확인 을 하는 경우는 20년 대비 6.%p 상승한 43.8%로 여전히 상당 수의 사업체가 주민등록번호만 으로 본인확인을 하고 있었다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 개인정보 암호화 저장 항목 (단위 : %) 연도 주민등록 번호 비밀번호 계좌번호 신용카드 번호 바이오정보 20년 년 해외동향 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 개인정보 침해사고의 예방 및 사후 처리를 위한 조치(복수응답) (단위 : %) 구분 침해사고 발생 시 내부 대응체계 및 보고체계의 확립 48.7 비율 부 록 개인정보 침해사고 예방에 관한 매뉴얼 수립 44.6 개인정보 침해사고 사후 처리방침 수립 4.6 개인정보 침해사고 피해상황 점검/증거수집 절차 확립 39.5 개인정보 침해 발생 징후 목록의 작성/관리 38.4 개인정보 피해 발생 시 관련기관 공지 35.0 외부 전문가 활용을 위한 비상 연락망 유지 28.4 특별한 조치를 시행하지 않고 있음 20.3 기타 0.4 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

48 제2장 실태조사 34 표 -2-5 웹 사이트 회원 가입 시 이용자의 본인확인을 위한 방법 (단위 : %) 연도 주민등록번호만으로 본인 확인 주민등록번호와 주민등록번호 대체수단을 병행하여 본인 확인 주민등록번호 이외의 대체수단(i- PIN, 공인 인증서 등)으로 본인 확인 모름/무응답 20년 년 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 주민등록번호 대체수단 이용 항목(복수응답) (단위 : %) 연도 공인인증서 휴대전화 번호, 신용카드 번호 I-PIN 기타(계좌번호 등) 20년 년 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 이용자 본인 확인을 위해 웹 사이트 상의 주민등록 번호 대체수단을 이용하는 사업체들은 대체수단으 로 [표 -2-52]에서 보는 바와 같이 공인인증서(68.3%) 를 가장 많이 이용하고 있는 것으로 나타났으며, 그 다음으로는 휴대전화 번호 신용카드 번호(45.7%), I-PIN(38.4%) 등의 순으로 조사되었다. 4. 개인정보 침해 사고 및 대응 현황 한국인터넷진흥원의 조사 결과에 따르면, 국내 사 업체의 0.5%만이 개인정보 유출사고를 겪은 적이 있 는 것으로 나타났으며, 개인정보 유출로 인한 어려움 을 겪은 사업체 모두 회 이상 3회 미만(00%) 의 개 인정보 유출사고를 겪은 것으로 나타났다. 또한 [표 -5-23]에서 보는 바와 같이 개인정보 유출사고를 겪 은 적이 있는 사업체의 98.4%는 0건 이상~,000건 미 만 의 유출 사고를 경험한 것으로 조사되었다. [표 -2-54]에서 보는 바와 같이 개인정보 유출사고 를 겪은 사업체의 78.7%가 유출 사고가 발생 하자마 자 바로 유출피해를 입었다는 사실을 인지하였다고 응답하여 대부분의 사업체들은 유출 사고를 발생 초 기에 파악한 것으로 조사되었다. [표 -2-55]에서 보는바와 같이 개인정보 유출로 인 한 어려움을 겪은 사업체 0곳 중 8곳 가량이 외부로 부터의 해킹(80.3%) 에 의해 유출 사고 피해를 입었던 것으로 조사되었다. 그러나 기업의 관리 실수로 인한 유출 경험 또한 9.7%로 적지 않아 철저한 관리를 위 한 내부 관리계획 마련, 관리ㆍ감독을 강화할 필요가 있는 것으로 판단된다. [표 -2-56]에서 보는 바와 같이 이용자의 개인정보 를 수집하는 사업체의 28.8%는 개인정보 유출사고가 발생했으나, 서비스 이용자들에게 이 사실을 고지하 지 않은 것으로 조사되었고, 모른다는 응답도 66.0% 로 나타나 대부분의 기업들이 개인정보 유출 시 고지 의무 실행 수준이 미흡하다고 판단 할 수 있다. 개인 정보 유출사고를 고지한 사업체들은 서비스 이용자 에게 개별 메일 고지(3.6%) 나 자사 홈페이지에 공지

49 203 연차보고서 35 표 개인정보 유출 규모 (단위 : %) 구분 0건 이상 ~,000건 미만,000건 이상 ~ 만건 미만 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 만건 이상 ~ 0만건 미만 0만건 이상 ~ 00만건 미만 00만건 이상 ~,000만건 미만,000만건 이상 ~ 5,000만건 미만 비율 주요 현황 표 개인정보 유출사고 인지 시점 구분 유출 사고가 발생 하자마자 바로 유출 사고 발생 후 일 이내 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 유출 사고 발생 후 7일 이내 유출 사고 발생 후 30일 이내 (단위 : %) 유출 사고 발생 후 30일 이후 비율 정책실적 및 성과 표 개인정보 유출사고 유형 (단위 : %) 구분 외부로부터 해킹 기업의 관리 실수로 인한 유출 내부자에 의한 고의 유출 비율 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 3 기관별 실적 및 계획 표 개인정보 유출사고 발생 시 이용자 고지 현황 (단위 : %) 구분 자사 홈페이지에 공지 고지하지 않음 서비스 이용자에게 개별 메일 고지 모름/무응답 비율 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 4 해외동향 표 개인정보 유출사고 발생 시 주무부처에 신고하지 않은 이유 (단위 : %) 구분 관계기관을 알지 못해서 자체적으로 해결하는 것이 바람직해서 주가 또는 기업(기관) 이미지 실추 때문에 기타 비율 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 부 록 (.6%) 하는 방식으로 고지하였다. 한국인터넷진흥원의 조사에 따르면, 서비스 이용 자의 개인정보 유출사고를 겪은 사업체의 24.7%는 유출사고 발생 시 관련 주무부처에 신고를 하지 않은 것으로 나타났으며, [표 -2-57]에서 보는 바와 같이 신 고를 하지 않은 사업체들의 5.7%는 관계기관을 알 지 못해서 신고를 하지 않았다고 응답하여 사고 발생 시 신고 또는 상담을 할 수 있는 정부의 채널에 대한 적극적인 홍보가 필요한 것으로 판단된다.

51 203 연차보고서 37 제 3 장 주요기술 및 산업동향 2 정책실적 및 성과 주요 현황 202년에도 방송사, 통신사 등을 포함하여 끊임없 이 개인정보 유출사고가 발생하였다. 이러한 유출사 고의 원인은 대부분 사업자의 기술적ㆍ관리적 보호 조치 사항들이 미비하기 때문인 것으로 나타났다. 3) 개인정보를 취급하는 사업자 혹은 개인은 정보통신 망법과 개인정보 보호법 에 따라 개인정보의 안 전한 관리를 위해 기술적ㆍ관리적ㆍ물리적 보호조 치를 취해야 할 의무가 있다. 그러나 를 위한 전담인력이 부족한 상황에서 를 위해 필요한 기술은 무엇 인지, 어떠한 기술들을 적용하면 효과적인지 파악하 기에는 어려움이 있는 것이 현실이다. 따라서 본 장에서는 개인정보 수명주기와 관련된 기준 고시, 관련 다양한 기술 및 산업 동향을 살펴봄으로써 에 대한 보다 폭 넓은 지식과 이해를 갖도록 하는 데 중점을 두었다. 제 절 기술. 개인정보의 수명주기에 따른 기술 분류 기술은 해당 기술 구현의 목적과 기 능에 따라 다양한 분류가 가능하지만, 우선적으로 수 집, 저장ㆍ관리, 이용ㆍ제공, 그리고 파기 등 개인정 보 수명주기에 따라 [표 -3-]과 같이 구분할 수 있다. 표 -3- 개인정보 수명주기 단계에 따른 보호 기술 수명주기 단계 수집 저장/관리 이용/제공 파기 대표적인 기술 익명화 기술, 위치정보보호 기술 방화벽(침입 차단), 침입탐지 및 방지, DB 보안 및 접근 통제 가상사설망(VPN), 디지털 권한 관리(DRM) 디지털 디가우저, 문서 파쇄기 등 3 기관별 실적 및 계획 4 해외동향 부 록 주 : 3) 개인정보 유출사고, 올해도 어김없이 증가, 데이터넷, ,

52 제3장 주요기술 및 산업동향 38 먼저 개인정보 수집 단계에서 활용할 수 있는 기술 은 익명화 기술, 위치정보보호 기술이 대표적이다. 익명화 기술은 서비스 이용자와 제공자 사이의 중개 자 역할을 수행함으로써 이용자가 익명으로 서비스 를 이용할 수 있도록 인터넷 프로토콜(IP : Internet Protocol) 주소 등의 개인정보를 은닉하고, 쿠키 저장 을 차단하는 등의 기능을 구현하는 것이다. 위치정보 보호기술은 위치기반 서비스를 위해 모바일에서 위 치정보 요청 시 개인이 설정한 위치정보 제공 기준에 따라 정보를 제공하도록 하는 것이다. 저장ㆍ관리 단계에서 활용할 수 있는 기술은 방화 벽(침입 차단), 침입탐지 및 방지, 데이터베이스(DB : Data Base) 보안 및 접근통제 등이 대표적이다. 방화 벽(침입 차단)은 다양한 형태의 해킹 및 유해 트래픽 을 실시간 감시하여 탐지하고 차단하는 보안기술을 의미하며, 침입방지시스템(IPS : Intrusion Prevention System)은 네트워크의 비정상적인 트래픽을 탐지하 고 중단시키는 기술을 말한다. DB 보안은 기업이나 기관에서 수집한 정보를 저장ㆍ관리하는 DB에 대하 여 검색ㆍ수정ㆍ삭제 등의 행위로부터 보호하는 기 술을 말한다. 접근통제는 컴퓨팅 자원, 통신 자원 및 정보자원 등에 대하여 허가되지 않은 접근을 차단하 는 것이다. 여기서 허가되지 않은 접근은 불법적인 자원의 사용, 노출, 수정, 파괴와 명령의 실행을 포함 하고 있다. 즉, 접근통제는 각 자원에 대한 기밀성, 무 결성, 가용성 및 합법적인 이용과 같은 정보보호 서비 스에 직접적으로 기여하게 되며 이러한 서비스들의 권한부여를 위한 수단이 된다. 이용ㆍ제공 단계에서의 기술은 가 상사설망(VPN : Virtual Private Network), 디지털 권한 (저작권) 관리(DRM : Digital Right Management) 등을 들 수 있다. VPN은 인터넷 또는 공중망을 사용하여 둘 이상의 네트워크를 안전하게 연결하기 위해 가상 의 터널을 만들어 암호화된 데이터를 전송할 수 있게 만든 네트워크로서, 하나의 회사만 사용하는 전용회 선과 대비되는 개념이다. 즉, 누구에게나 개방되어 있는 공중망 상에 구축되는 논리적인 전용망을 의미 한다. 4) DRM은 각종 디지털 콘텐츠의 안전한 분배와 불법 복제 방지를 위한 기술이다. 파일 교환 프로그 램을 통해 전파되는 중요 자료가 불법 복제되는 것을 방지하는 것이 주요 목적이라고 할 수 있다. 마지막으로 파기단계에서 활용할 수 있는 기술로 알려진 것은 개인정보가 수록된 일반 문서의 경우 문 서 파쇄기가 있으며, 삭제한 개인정보파일의 복원을 원천적으로 불가능하게 만드는 기술로 디지털 디가 우저(Degausser)가 있다. 2. 개인정보의 안전성 확보조치 기준 및 개인 정보의 기술적 관리적 보호조치 기준 개인정보 보호법 제29조에 따른 개인정보의 안전성 확보조치 기준 고시와 관련된 기술은 [표 -3-2]와 같다. 개인정보의 안전성 확보조치 기준은 정보통신망 법 제28조(개인정보의 보호조치) 및 시행령 제5조( 개인정보의 보호조치)에 따른 개인정보의 기술 적ㆍ관리적 보호조치 기준 고시와 유사하다. 주 : 4) VPN은 모든 회선들이 개별적으로 회선을 임대하는 것보다 공중망을 공유함으로써 비용은 낮추면서도 전용회선과 거의 동등한 서비스를 제공하려는 목적에서 출발하였다. 이에 따라 현재 많은 기업들이 Intranet이나 넓은 지역에 퍼져있는 지사들간의 Extranet, 그리고 이동 중인 근무자들의 안전한 원격접속 등을 위해 VPN을 이용하고 있다.

53 203 연차보고서 39 표 -3-2 개인정보 안전성 확보조치 기준에 따른 관련기술 조 항 목 관련기술 4조 접근권한의 관리 접근통제, 계정관리 5조 비밀번호 관리 비밀번호 안전성 검증, 접근통제 6조 접근통제 시스템 설치 및 운영 가상사설망(VPN), 데이터유출방지(DLP) 주요 현황 7조 개인정보의 암호화 DB 암호화, 엔드포인트 DLP, DRM 8조 접속기록의 보관 및 위 변조 방지 접근통제, 위변조 방지 스토리지 9조 보안 프로그램 설치 및 운영 백신, 패치관리 SW 0조 물리적 접근 방지 지문인식 등 바이오인증 기술, 보안 USB 2 정책실적 및 성과 3. 외부 인터넷망과 업무망 분리 개인정보의 기술적 관리적 보호조치 기준이 개 인정보의 안전성 확보조치 기준과 가장 크게 구별되 는 점은 외부 인터넷망과 내부 업무망 분리 조항이 포 함되었다는 것이다. 대량의 개인정보 유출사고가 지 속됨에 따라 202년 8월 정부는 보다 높은 수준의 보 안조치를 위해 개인정보의 기술적 관리적 보호조 치 기준 을 개정하여 개인정보취급자의 컴퓨터에 대 한 인터넷망과 업무망의 분리를 의무화 하였다. 고시에 따른 망분리 의무사업자에는 전년도말 기 준 직전 3개월간 저장ㆍ관리되고 있는 개인정보가 일일평균 00만 명 이상이거나 정보통신서비스 부문 전년도(법인의 경우에는 전 사업연도) 매출액이 00 억 원 이상인 정보통신서비스 제공자 등만 해당한다 고 정보통신망법 시행령 제5조 제2항에서 규정하고 있다. 기업의 망분리 구축 기간 및 비용을 고려하여 해당 조항은 203년 2월 8일부터 시행하고 있으며, 고시에 서 규정한 권한을 가진 개인정보취급자의 컴퓨터 등 3 기관별 실적 및 계획 4 해외동향 표 -3-3 망분리 방식 비교 구분 운영 방법 물리적 망분리 업무용 PC와 인터넷용 PC로 물리적으로 분리 (PC 2대 사용) 서버기반 서버에서 인터넷을 사용 PC는 사용 화면만 출력 논리적 망분리 PC기반 PC 가상화를 통해 인터넷 영역과 업무 영역으로 분리 부 록 도입 비용 가장 높음 (PC 추가, 망구축) 높음 (서버팜 구축) 가장 낮음 (장비 추가 최소화) 추가 장비 추가 PC 대 라이센스(OS, 오피스 등) 네트워크(스위치, 방화벽) 서버팜(서버, 스토리지 등) 네트워크(스위치) 서버 기반 솔루션 네트워크(게이트웨이) PC 기반 솔루션 보안성 가장 높음 (근본적 분리) 높음 (서버에서 인터넷사용) 가장 낮음 (PC에서 인터넷사용) 장점 해커의 직접적인 접근 차단 관리 용이 (중앙 서버에서 통제) 도입비용 최소화 단점 비효율성 업무망의 트래픽 증가 호환성 부족

54 제3장 주요기술 및 산업동향 40 은 외부 인터넷망과 업무망을 분리하여야 한다. 즉, 개인정보처리 시스템에 접근하여 다운로드, 파기 또 는 접근권한 설정이 가능한 개인정보취급자는 외부 인터넷망이 차단된 업무망에서 업무를 수행하여야 하며 [표 -3-3]의 방법 중에서 선택 활용할 수 있다. 이와 같이 망을 분리하는 경우 업무망과 외부 인터 넷망은 서로의 영역에 접근할 수 없도록 차단되어야 한다. 한편 망분리가 어려운 소상공인 등의 경우에는 PC 용 백신을 활용하여 개인정보를 보호할 수 있다. 정 부는 기술의 활용을 위해 상시 종업원 5인 미만의 소상공인 대상으로 업무용 PC에 설치할 수 있는 백신을 무상지원하고 있으며, 상시 종업원 50 인 미만의 중소사업체 300개를 대상으로 백신 암호 화 솔루션ㆍ방화벽(침입 차단) 등 보호조치 솔루션 도입 비용을 지원하고 있다. 5) 4. 주요 기술 다양한 기술 중에서 개인정보에 대 한 접근을 통제하는 기술인 DB 접근제어 와 개인정 보가 유출되었을 때 그 내용의 노출을 방지하는 DB 암호화 기술이 대표적이라고 할 수 있다. 이외에도 통신과정에서 도 감청 등을 방지하는 전송구간 암 호화 기술, PC 등에 저장되어 있는 개인정보를 검색 하여 차단하는 기술, 개인정보 수명주기 전 과정을 체 계적으로 관리하는 개인정보 통합관리 기술, 데이터 유출방지(DLP : Data Loss Prevention), 디지털 권한 관 리, 통합로그 관리, 데이터 삭제 기술 등이 있다. 가. DB 접근제어 DB 접근제어는 DB에 저장되어 있는 개인정보파 일에 접속을 시도하는 여러 사용자를 인가자와 비인 가자로 구분하여 접속을 통제하는 기술이다. 인가자 와 비인가로 구분하는 방법은 두 가지가 있으며, 첫 째는 DB 전체에 대한 접근권한 여부, 둘째는 DB 접 근권한과 별개로 담당업무의 내용에 따른 관련 영역 의 접근권한 여부를 고려하여 구분하는 것이다. 이 기술을 체계화하여 DB 접근제어시스템 이라는 이름으로 다양한 제품들이 판매되고 있다. 이 시스템 은 DB에 대한 질문(Query)으로 이루어지는 행위(데 이터 생성ㆍ수정ㆍ삭제ㆍ조회 등)에 대하여 감시기 록을 생성하여 저장함으로써 보호대상 DB에 대한 비 인가자의 불법작업 방지는 물론 인가자의 불법행위 를 추적할 수 있게 하는 기술이다. 이 시스템에서 필 요한 주요 기능은 모니터링 및 접근제어, DB 마스 킹, 6) 식별 및 인증, 7) 보안감사, 8) 보안관리 등이 있다. 나. DB 암호화 DB 암호화는 DB 서버에서 운영 중인 DB의 개인 정보를 암호화하여 개인정보 유출 시에 해독이 불가 능하게 함으로써 사후에도 개인정보의 기밀성을 유 지하는 기술이다. 사용자 중에서 비인가자가 DB 접 근제어시스템을 불법적으로 통과하여 DB내의 개인 정보를 유출하였다고 하더라도 이미 암호화되어 있 주 : 5) 기술지원은 한국인터넷진흥원에서 운영하는 종합포털( 에서 신청할 수 있다 6) 사용자가 DB에 접속하여 민감한 개인정보 등을 조회할 때, # 또는 * 등으로 나타나게 하는 기능 7) 인가된 사용자에 한하여 개인정보의 검색 및 차단시스템에 접근할 수 있도록 하는 기능 8) 개인정보의 검색 및 차단 등의 기록을 생성, 로그 형태로 저장하여 감사 시에 조회 및 추적을 지원하는 기능

55 203 연차보고서 4 으므로 개인정보의 외부 노출을 방지할 수 있다. 이 기술을 이행하기 위해서 필요한 기능은 권한 분리, 9) 사용자 인증 및 식별, 암호 알고리즘, 키 관리, 20) 암호 통신, 인덱스 암호화, 보안감사, 보안관리 등이 있다. DB 암호화는 크게 개인정보처리시스템 암호화와 업무용 컴퓨터의 암호화로 나누어 볼 수 있다. 먼저 개인정보처리시스템 암호화는 DB에 저장된 개인정 보를 암호화하여 저장함으로써 개인정보의 변경, 파 괴 및 유출을 방지하는 것이다. 개인정보처리시스템 의 암 복호화 모듈의 요청 위치에 따라 [표 -3-4]와 같이 구분할 수 있다. 개인정보처리시스템에서 각 방식의 단점을 보완 표 -3-4 개인정보처리시스템 암호화 방식의 구분 방식 암 복호화 모듈 위치 암 복호화 요청 위치 하기 위해 두 가지 이상의 방식을 혼합하여 구현하기 도 한다. 이 경우 많은 초기 비용이 필요하지만 응용 서버 및 DB 서버의 성능과 보안성을 높일 수 있다. 개인정보처리시스템의 암호화 방식마다 성능에 미치는 영향이 다르므로 구축 환경에 따라 암호화 방 식의 특성, 장단점 및 제약 사항 등을 고려하여 DB 암 호화 방식을 선택해야 한다. [표 -3-5]는 개인정보처 리시스템의 암호화 방식을 선택할 때 고려해야 할 사 항이다. 공공기관에서는 전문기관이 안전성을 확인한 암 호모듈 또는 제품을 우선 적용해야 한다. 2) 암 복호 화 모듈의 위치와 암 복호화 요청 위치에 따라 응용 주요내용 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 응용 프로그램 자체 암호화 응용 서버 응용프로그램 암ㆍ복호화 모듈이 API 라이브러리 형태로 각 어플리케이션 서버에 설치되고, 응용 프로그램에서 해당 암ㆍ복호화 모듈을 호출하는 방식 DB 서버에 영향을 주지 않아 DB 서버의 성능 저하가 적은 편이지만 구축시 응용프로그램 전체 또는 일부 수정 필요 기존 API 방식과 유사 DB 서버 암호화 DB 서버 DB 서버 암ㆍ복호화 모듈이 DB 서버에 설치되고 DB 서버에서 암ㆍ복호화 모듈을 호출하는 방식 구축 시 응용프로그램의 수정을 최소화 할 수 있으나 DB 서버에 부하가 발생하며 DB 스키마의 추가 필요 기존 Plug-In 방식과 유사 4 해외동향 DBMS 자체 암호화 DB 서버 DBMS 엔진 DB 서버의 DBMS 커널이 자체적으로 암ㆍ복호화 기능을 수행하는 방식 구축 시 응용프로그램 수정이 거의 없으나, DBMS에서 DB 스키마의 지정 필요 기존 커널 방식(TDE)과 유사 DBMS 암호화 기능 호출 DB 서버 응용프로그램 운영체제 암호화 파일 서버 운영체제(OS) 응용프로그램에서 DB 서버의 DBMS 커널이 제공하는 암 복호화 API를 호출하는 방식 구축 시 암 복호화 API를 사용하는 응용프로그램의 수정 필요 기존 커널 방식(DBMS 함수 호출)과 유사 OS에서 발생하는 물리적인 입출력(I/O)을 이용한 암 복호화 방식으로 DBMS의 데이터파일 암호화 DB 서버의 성능 저하가 상대적으로 적으나 OS, DBMS, 저장장치와의 호환성 검토 필요 기존 DB 파일 암호화 방식과 유사 부 록 출처 : 개인정보 암호화 조치 안내(안전행정부, 202.0) 주 : 9) DB에 접근이 허용된 사용자 중에서 특정 데이터에 검색 등의 작업권한 유무를 통제하는 기능 20) 키는 암 복호화 키와 마스터키로 나누어지며, 마스터키는 암 복호화 키를 암호화하기 위한 키를 의미 2) IT보안인증사무국( 검증필 암호 모듈 또는 제품 확인이 가능

56 제3장 주요기술 및 산업동향 42 서버 또는 DB 서버의 성능에 영향을 미칠 수 있다. 예 를 들어, DB 서버 암호화 방식은 암 복호화 시 DB 서버의 자원을 추가적으로 사용하므로 대량의 암 복호화 작업에서는 DB 서버의 성능 저하를 발생시킬 수 있다. 암호화 방식을 선택할 때에는 현재 운영 중이거나 향후 개발 예정인 개인정보처리시스템의 목적 및 환 경을 고려하여 응용프로그램 및 DB 스키마 수정 등 을 최소화하고 개발 환경에 맞게 성능을 최대화할 수 있도록 해야 한다. 아울러 DB 암호화의 안전성을 확 보하기 위해서는 안전한 암호키 관리가 필요하다. 암 호화된 개인정보가 유출되더라도 복호화 할 수 없도 록 암호키에 대한 추가적인 보안과 제한된 관리자만 허용하도록 하는 기술의 적용이 필요하다. 다음으로 업무용 컴퓨터 암호화의 경우, 업무용 컴퓨터에서는 보조저장매체에 저장된 개인정보파일 의 보호를 위하여 개별 문서 파일 단위로 암호화(파 일 암호화) 또는 디렉터리 단위로 암호화(디스크 암 호화)를 수행해야 한다. 파일 암호화는 업무용 컴퓨 터에 저장된 개인정보에 대한 보호뿐만 아니라 개인 정보취급자 간에 네트워크 상으로 파일을 안전하게 전송하기 위한 방식으로도 사용할 수 있다. 업무용 컴퓨터에서 가능한 암호화 방식은 [표 -3-6]과 같이 구분할 수 있다. 다. 전송구간 암호화 전송구간 암호화는 사용자의 웹 브라우저와 웹 응 용 서버(Web Application Server) 사이에서 송수신되 는 데이터의 암ㆍ복호화를 통해 개인정보 등 중요 정 표 -3-5 개인정보처리시스템 암호화 방식 선택 시 고려 사항 분 류 고려사항 구축 용이성, 구축비용, 기술 지원 및 유지보수 여부 일반적 고려사항 암호화 성능 및 안전성 공공기관의 경우, 국가 전문기관 인증 또는 검증 여부 기술적 고려사항 암 복호화 위치(응용 서버, DB 서버, 파일 서버 등) 색인검색 가능 유무, 배치처리 가능 여부 출처 : 개인정보 암호화 조치 안내(안전행정부, 202.0) 표 -3-6 업무용 컴퓨터 암호화 방식의 구분 방식 문서도구 자체 암호화 암호유틸리티를 이용한 암호화 디지털 권한 관리 (DRM) 디스크 암호화 출처 : 개인정보 암호화 조치 안내(안전행정부, 202.0) 주요내용 업무용 컴퓨터에서 사용하는 문서도구 자체 암호화 기능을 이용하여 개인정보파일 암호화 업무용 컴퓨터의 OS에서 제공하는 파일 암호 유틸리티 또는 파일 암호 전용 유틸리티를 이용한 개인정보 파일의 암호화 DRM을 이용하여 다양한 종류의 파일 및 개인정보파일의 암호화 디스크에 데이터를 기록할 때 자동으로 암호화하고, 읽을 때 자동으로 복호화하는 기능을 제공함 디스크 전체 또는 일부 디렉터리를 인가되지 않은 사용자에게 보이지 않게 설정하여 암호화 여부와 관계 없이 특정 디렉터리 보호 가능

57 203 연차보고서 43 보에 대한 기밀성과 무결성을 제공하는 기술이다. 이 기술은 대부분 공개키 암호화(PKI : Public Key Infrastructure) 인증서를 기반으로 이루어진다. 이 기 술은 암호화 통신, 전자서명 및 검증, 22) 전자봉투 및 원문화, 23) 식별번호 검증 등의 기능이 있으며, 개인 정보 보호법 제29조의 안전성 확보조치와 개인정 보의 안전성 확보 기준 고시에 의해서 고유식별정보 등의 송ㆍ수신 시에 필수적으로 적용해야 하는 기술 이다. 전송구간 암호화는 크게 웹서버와 클라이언트 간 암호화, 개인정보처리시스템 간 암호화, 그리고 개인 정보취급자 간 암호화 등으로 구분하여 살펴볼 수 있 다. 먼저 웹서버와 클라이언트 간 암호화는 개인정보 전송 시 암호화를 위하여 공인인증기관이 발급한 서 버 인증서를 설치한 보안서버를 사용하는 방식으로, 웹브라우저에 기본적으로 내장된 SSL(Secure Sockets Layer)/TLS(Transport Layer Security) 프로토콜로 접속 하는 SSL 방식과 웹브라우저에 보안 프로그램을 설치 하여 접속하는 응용프로그램 방식으로 구분할 수 있 다. SSL방식은 웹페이지 전체를 암호화(웹페이지내 이미지 포함)하며 응용프로그램 방식은 특정 데이터 만을 선택적으로 암호화할 수 있지만, 보안서버와 웹 브라우저에 부가적인 프로그램을 설치해야 한다. 공 공기관에서는 국가 전문기관이 안전성을 확인한 암 호모듈 또는 제품을 우선 적용해야 한다. 다음으로 개인정보처리시스템 간에 개인정보를 전송할 때 암호화를 지원하기 위하여 공중망을 이용 한 VPN을 구축할 수 있다. VPN은 기반이 되는 보안 프로토콜의 종류에 따라 IPsec(IP Security) VPN 방식, SSL VPN 방식, SSH(Secure Shell) VPN 방식 등으로 구 분할 수 있으며, 개인정보처리시스템 간의 통신에서 사용할 수 있는 VPN 전송 방식의 특징을 간단히 비교 하면 [표 -3-7]과 같다. VPN은 공중망을 통해 데이터를 송신하기 전에 데 이터를 암호화하고, 수신 측에서 이를 복호화 하는 방 식으로 송ㆍ수신 정보에 대한 기밀성과 무결성을 보 장하며, 그 외에도 데이터 출처 인증, 재전송 방지, 접 근제어 등 다양한 보안기능을 제공한다. 마지막으로 개인정보취급자 간에 개인정보를 전 송할 때 주로 이메일을 이용하게 되는데 이메일은 네 트워크를 통해 전송되는 과정에서 공격자에 의해 유 출되거나 위조될 가능성이 있다. 이러한 위협으로부 터 이메일로 전송되는 메시지를 보호하기 위해서 PGP(Pretty Good Privacy) 또는 S/MIME(Secure Multi- 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 -3-7 개인정보처리시스템 간 전송시 암호화 방식 비교 방식 VPN 서버부하 NAT* 통과 부 록 IPsec VPN 낮음 어려움 SSL VPN 다소 높음 쉬움 SSH VPN 다소 높음 쉬움 * NAT(Network Address Translation) : 사설 IP 주소를 공인 IP 주소로 바꿔주는데 사용하는 통신망의 주소변환기 출처 : 개인정보 암호화 조치 안내(안전행정부, 202.0) 주 : 22) 전자서명 및 검증은 데이터의 입력 원문에 대하여 사용자의 개인 키 및 전자서명용 해시 알고리즘을 사용하여 서명문을 생성하고 검증하는 기능 23) 전자봉투 및 원문화는 데이터를 전자봉투에 넣고 암호화하고, 이 암호화된 전자봉투를 암호화하는 기능

58 제3장 주요기술 및 산업동향 44 Pupose Internet Mail Extension)를 이용하는 이메일 암 호화 방식과 암호화된 파일을 이메일에 첨부하여 전 송하는 이메일 첨부문서 암호화 방식이 있다. 라. 개인정보 검색 및 차단 개인정보 검색 및 차단은 책임자가 수립한 개인정보 검색 정책에 따라 업무용 PC내의 개 인정보를 검출하여 암호화 또는 완전 삭제하는 기술 을 의미한다. 이를 중심으로 식별 및 인증, 보안감사, 보안관리 기능 등이 필요하며, 이러한 기능을 가진 시 스템을 개인정보 검색 및 차단시스템 이라고 한다. 이 시스템은 조직 내 직원들이 PC에 불필요한 개인정 보를 저장하고 있다가 해킹 등으로 외부에 유출되는 것을 방지하기 위해 필요하다. 데이터 유출방지는 사용자 PC에 저장되어 있는 자 료가 보조기억 매체 또는 이동식 저장 매체(이동형 하드디스크, USB 메모리, CD 등) 및 데이터 전송 장치 등과 같은 장치를 통해 불법 또는 비인가적으로 유출 되는 것을 방지하는 기술이다. 이를 위해서는 매체 제어, 패킷 통제, 프로그램 실행 통제, PC 통제 등의 기능이 필요하다. 이러한 기능들을 통해 데이터 유출을 방지해주는 시스템을 데이터 유출방지 시스템(DLP : Data Loss Prevention) 이라 한다. 이 시스템은 설치ㆍ감시하는 위치에 따라 단말 DLP(PC에 설치), 네트워크 DLP(네 트워크 장비에 설치), 스토리지 DLP(저장장치에 설 치) 등 3가지 유형이 있다. 사. 디지털 권한 관리(DRM) 마. 개인정보 통합관리 개인정보 통합관리는 개인정보의 수명주기(수집, 저장 관리, 이용 제공, 파기) 및 처리단계에 따라 개인정보를 통합적으로 관리할 수 있는 기술이다. 이 기술을 적용한 정보시스템을 개인정보통합관리시 스템 이라고 하며, 이 시스템은 개인정보 보유현황 자 료 수집, 개인정보 조회 및 처리현황 분석, 개인정보 관련 통계 및 보고, 실시간 모니터링 등의 기능을 가 지고 있다. 이 시스템은 개인정보파일을 보유하는 조직에서 여러명이 업무용 PC 등 단말기를 통해 업무를 수행하 는 경우 책임자가 보유 중인 개인정보 파일에 대한 관리 및 운영을 종합적이고 체계적으로 할 수 있는 기술이다. 바. 데이터 유출방지(DLP) 디지털 권한 관리는 조직 내부에서 생성되는 전자 문서를 암호화하고, 해당 문서를 접근 및 사용할 수 있는 권한을 지정ㆍ제한함으로써 인가 또는 허가된 사용자만 그 범위 내에서 중요 문서(개인정보 문서, 기밀문서 등)를 사용하게 하는 기술을 의미한다. 이 러한 기능을 가진 통합시스템을 디지털 권한 관리 시 스템 이라 한다. 아. 통합로그관리 통합로그관리는 다양한 시스템에서 대용량으로 발생하는 여러 형태의 로그들을 수집, 통합 관리하고 분석하여 감사 및 관리에 활용할 수 있 는 기술이다. 이 기술은 개인정보 유출사고 시 조기 대응에 편리하고 용이하며, 향후 수사 등에도 활용 효 과가 높은 기술로 알려져 있다.

59 203 연차보고서 45 자. 데이터 삭제 데이터 삭제는 전자적으로 기록된 데이터를 복구 또는 복원할 수 없도록 삭제하는 기술이다. 삭제 방 식은 논리적 방법, 자기장을 이용하는 방법, 물리적 파기 및 폐기 방법 등이 있다. 첫 번째 방법인 논리적 방법으로는 3회 이상 겹쳐 쓰기 24) 방식이 있으며, 두 번째 방법인 자기장 이용 방법은 전용 장비인 디가우 저를 이용하는 것이다. 세 번째 방법인 물리적 파기 방법은 종이문서의 경우 파쇄기가 있다. 술, 데이터 필터링 및 등급 분류 기술 등으로 나누어 볼 수 있다. 한편 데이터 처리 및 분석단계에서는 익 명화된 데이터 처리기술, 암호화된 데이터 처리 기술 등이 있을 수 있으며, 데이터 분석결과 가시화 및 이 용단계에서는 이용자 동의와 관련된 기술, 분석정보 의 이용 모니터링 기술 등이 있다. 마지막으로 데이 터 폐기 단계에서는 데이터 폐기 모니터링 기술, 분산 환경에서 완전한 데이터 폐기 기술 등으로 구분할 수 있다. 26) 주요 현황 2 정책실적 및 성과 5. 빅 데이터 환경에서의 기술 스마트기기와 소셜네트워크서비스(SNS : Social Network Service) 등의 확산으로 인한 데이터 폭증, 컴 퓨팅 능력의 향상 및 데이터 관리 분석 기술의 발전으 로 빅 데이터 시대가 오고 있다. 25) 이에 따라 빅 데이 터를 보유하고 있고, 이를 활용한 맞춤형 서비스 등 다양한 서비스 출시가 기대되는 인터넷 및 방송통신 업계의 적극적 도입이 예상되고 있다. 빅 데이터 환경에서 필요한 기술은 크게 데이터 수집 단계, 데이터의 저장 및 관리 단계, 데이터의 처리 및 분석 단계, 데이터의 분석결과 가시 화 및 이용 단계, 데이터의 폐기 단계 등으로 구분지 어 살펴볼 수 있다. 먼저 데이터 수집단계에서의 기술은 동의 관련 기 술, 법률적 위반사항 검토 기술, 데이터 수집 거부 기 술 등이 있을 수 있다. 다음으로 데이터 저장 및 관리 단계에서는 데이터 암호화 기술, 데이터 접근통제 기 제 2 절 산업 동향. 산업과 정보보호 산업 산업은 기술을 구현 한 제품을 개발ㆍ생산 또는 유통하거나 관련 컨설 팅, 보안관제 등의 서비스를 수행하는 산업으로 정 의할 수 있다. 즉, 개인정보 수명주기의 수집, 저 장ㆍ관리, 이용ㆍ제공 및 파기 등의 각 단계에서 개 인정보파일을 직접 다루는 기술에 한정된다고 할 수 있다. 이 기준에 따라 기술은 개인정 보 검색 및 차단, 개인정보 통합관리, DB 접근제어, DB 암호화, 데이터 유출방지, 전자문서 보안, 통합로 그관리, 전송구간 암호화, 데이터 삭제 기술 등이 있 다고 할 수 있다. 반면, 정보보호는 뿐만 아니라 전자 3 기관별 실적 및 계획 4 해외동향 부 록 주 : 24) 미 국방부 표준(DoD STD)에서는 7회 이상 겹쳐 쓰기, 우리나라 관련 지침에는 3회 이상을 권고하고 있다. 25) 빅데이터 시장은 200년 32억 달러에서 205년에는 69억 달러로 연 39.4%(ICT 전체 성장률 약 7배) 성장할 것으로 전망된다(출처 : IDC, 202.3) 26) 이재식, 빅데이터 환경에서 를 위한 기술, 한국인터넷진흥원, Internet & Security Focus 203년 3월호

60 제3장 주요기술 및 산업동향 46 문서, 통신 트래픽 등을 보호하는 대부분의 영역을 포 함한다. 관련 기술은 위에서 소개한 기 술을 포함하여 침입차단시스템, 침입탐지시스템 등 과 같이 다양하다. 따라서 일반적으로 산업은 정보보호 산업의 일부분에 해당한다고 볼 수 있으며, [표 -3-8]과 같이 관련 정보보 표 -3-8 관련 정보보안 제품 및 서비스 분류 대분류 소분류 세부 항목 정보보안 제품 정보보안 제품 정보보안 서비스 네트워크 보안 시스템 보안 콘텐츠/ 정보유출 방지보안 암호/인증 보안관리 기타 제품 보안컨설팅 유지보수 보안관제 교육/훈련 웹 방화벽(침입 차단) 네트워크(시스템) 방화벽 침입방지시스템(IPS) DDoS 차단 시스템 통합보안시스템(UTM) 가상사설망(VPN) 네트워크접근제어(NAC) 무선 네크워크 보안 모바일 보안 PC 방화벽 Virus 백신 Anti 스파이웨어 Anti 피싱 스팸차단 S/W 보안운영체제 DB보안(접근통제) DB암호 PC보안 보안 USB 디지털 권한 관리(DRM) 보안스마트카드 H/W토큰(HSM) 일회용비밀번호(OTP) 공개키기반구조(PKI) 통합접근관리(EAM) 싱글사인온(SSO) 통합계정관리(IM/IAM) 공인/사설 인증 툴 기업보안관리(ESM) 위협관리시스템(TMS) 패치관리시스템(PMS) 자산관리시스템(RMS) 로그 관리/분석 툴 취약점 분석 툴 기타 인증(ISO, ISMS) 안전진단/기반보호 진단 및 모의해킹 컨설팅 종합보안컨설팅 내부정보유출방지컨설팅 판매 후 유료서비스 보안관제 서비스 교육훈련 서비스 인증서비스 출처 : 202 국내 지식정보보안산업 실태조사(한국인터넷진흥원, 202) 공인/사설 인증서비스

61 203 연차보고서 47 호 산업에 포함되는 제품과 서비스로 분류하여 살펴 볼 수 있다. 2. 산업 동향 전체 관련 정보보호 제품 및 서비스 중 202년도 매출액이 가장 크게 증가한 제품 및 서 비스는 [표 -3-9]에서 보는 바와 같이 DB암호화 제품 으로 20년 22억 원에서 202년 425억 원으로 증가 하였다. 그 다음으로 무선네트워크 보안 제품이 20년 2억 원에서 202년 23억 원으로 증가하였 으며, 모바일 보안 제품도 20년 90억 원에서 202 년 264억 원으로 증가했다. 피싱방지(Anti Phishing) 제품은 매출액이 20년도 39억 원에서 202년 57억 원으로 증가하였으며, 자산관리시스템(RMS : Risk Management System)의 매출액이 20년 28억 원에 서 202년 69억 원으로 증가하였다. 정보보호 제품 부문에서는 최근 사 고 발생 등에 따라 콘텐츠/정보유출 방지보안, 보안 관리의 수요가 증가한 것으로 분석되며, 정보보호 서 비스 부문에서는 보안 공격의 지능화, 고도화, 복잡 다양화에 대응하기 위한 보안 컨설팅 및 교육 훈련 서비스의 수요가 크게 증가하는 것으로 나타났다. 20년 를 포함한 정보보호 산업의 총 매출은 4,579억 원에서 연평균 2.5%씩 꾸준히 증가하여 206년에는 26,244억 원에 달할 것으로 전 망된다. 정보보호 제품은 20년,339억 원에서 연 평균 0.2%씩 성장하여 206년에는 8,393억 원에 이 를 것으로 예상되며, 정보보호 서비스는 20년 3,240 억 원에서 연평균 9.4%씩 성장하여 206년에는 7,85억 원에 이를 것으로 전망된다. 정보보호 제품군에서 콘텐츠/정보유출 방지보안 제품군의 성장률이 2.%로 높을 것으로 예상되며, 향후 이 분야의 지속적인 성장이 전망된다. 반면, 기 타 제품 부분은 성장이 높지 않을 것으로 예상된다. 정보보호 서비스에서 보안컨설팅 성장률은 22.8%이 며, 향후 지속적인 성장을 보일 것으로 예측된다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 -3-9 관련 정보보호 산업 전체 매출 현황 정보 보호 제품 네트워크 보안 시스템 보안 구분 20년 202년(E) 증감률(%) 웹 방화벽(침입 차단) 네트워크(시스템) 방화벽(침입 차단) 침입방지시스템(IPS) DDoS 차단시스템 통합보안시스템(UTM) 가상사설망(VPN) 네트워크접근제어(NAC) 무선네트워크 보안 모바일 보안 소계 3,945 4,387.2 PC방화벽(침입 차단) Virus백신 Anti스파이웨어 (단위 : 억 원) 부 록

62 제3장 주요기술 및 산업동향 48 정보 보호 제품 정보 보호 서비스 시스템 보안 콘텐츠/ 정보유출 방지보안 암호/인증 보안 관리 구분 20년 202년(E) 증감률(%) Anti피싱 스팸차단S/W 보안운영체제 소계,705, DB보안(접근통제) DB암호화 PC보안 보안USB 디지털권한관리(DRM) 소계 2,498 3, 보안 스마트카드 H/W 토큰(HSM) 일회용비밀번호(OTP) 공개키반구조(PKI) 통합접근관리(EAM) 싱글사인온(SSO) 통합계정관리(IM/IAM) 공인/사설 인증 툴 소계,25,250. 기업보안관리(ESM) 위협관리시스템(TMS) 패치관리시스템(PMS) 자산관리시스템(RMS) 로그 관리/분석 툴 취약점 분석 툴 소계,255, 기타 기타 보안 컨설팅 소계,339 2, 인증(ISO, ISMS) 안전진단/기반보호 진단 및 모의해킹 컨설팅 종합보안컨설팅 내부정보유출방지컨설팅 소계,055, 유지보수 판매 후 유료서비스 보안관제 보안관제서비스 교육/훈련 교육 훈련 서비스 인증 서비스 공인/사설 인증서비스 출처 : 202 국내 지식정보보안산업 실태조사(한국인터넷진흥원, 202) 소계 3,240 3, 합계 4,579 6,

63 203 연차보고서 49 제 4 장 주요 판례 주요 현황 2 정책실적 및 성과 제 절 개관 법령의 제정을 통하여 보면, 우리나라 개인정보보 호의 역사는 995년부터 시작되었다고 할 수 있다. 전산화의 확대 추진과 전국적 행정 전산망의 구축으 로 인하여 컴퓨터로 처리되는 개인정보의 보호 필요 성 때문에 법령의 시초격인 공공기 관의 에 관한 법률 이 995년 월 8일 부터 시행되었다. 이어서 금융기관의 신용정보 관리 및 처리를 규율하는 신용정보법이 같은 해인 995년 7월 6일부터 시행되었다. 이후 정보통신망의 발달로 인하여 디지털 정보가 급증하자 이를 반영하여 200년 7월 일부터는 정보 통신망 법이 시행되었으며, 반복되는 개인정보 유출 을 방지하고 체계적인 정책을 시행하 기 위하여 20년 9월 30일부터는 분야 의 일반법인 개인정보 보호법 이 시행되기에 이 3 기관별 실적 및 계획 4 해외동향 부 록 르렀다. 판례는 그 당시의 시대 상황을 반영하는 것이며, 특히 사회적인 병리 현상을 잘 반영하는 것이라 할 수 있다. 더불어 판례는 근거 법령이 없으면 탄생하지 못한다는 한계가 있다. 우리나라의 개인정보에 관한 판례는 법령 탄생에 발맞추어 990년 대 후반부터 꾸준하게 생성되었고, 매년 약간씩 증가 추세를 보이고 있다. 이는 관련 법령 수의 증가와 더불어 국민들의 인식이 제고되었기 때문인 것으로 판단된다. 본 장에서는 판례를 통하여 우리나라의 개인정보 보호 분쟁사를 정리하고 향후의 분쟁 추이를 예측하 고자 2004년부터 203년 4월까지의 각급 법원 판례를 수집하여 주제별ㆍ조문별로 편집하고(제3절 참조), 최근 것부터 정리하였다. 이를 기초로 분석한 결과는 아래 제2절의. 판례 분석 결과 에 있으며, 향후 분쟁 추이에 대한 예상은 제2절의 2. 향후 전망 에 수록하 였다. 참고로, 하나의 판례가 여러 논점을 포함하고 있는

64 제4장 주요 판례 50 경우 그 중에서 개인정보에 관한 논점을 추출하려고 노력하였으며, 여러 개인정보에 관한 논점을 갖고 있 는 경우에는 대표적인 논점을 기준으로 편집하였고, 이해의 편의상 관련 법령의 옛 조문은 되도록 현재의 조문에 맞추어 수정하였다. 더불어 [표 -4-]은 지금까지 선고된 전체 판례를 대상으로 한 것이 아니라, 제3절의 주요 판례만을 대 상으로 한 것이며, 하나의 사안에 대하여 여러 심급의 선고가 있는 경우, 선고된 각 심급마다의 판시 개수를 전부 더한 것이 아니라 최종 심급에서의 선고일 을 기 준으로 하나로 처리하였다. 표 -4- 개인정보 처리단계별 판례 현황 27) 개념 수집 이용 제공 파기 공개 위탁 관리 합계 제 2 절 판례의 현황분석 및 향후전망. 판례 분석 결과 가장 많이 법적 분쟁화가 된 이슈는 개인정보의 제 공이다. 개인정보의 제공이란 일단 수집하여 보관하 고 있는 개인정보를 제3자에게 건네주는 경우인데, 이 과정에서 정보주체의 동의 없이 이루어지는 경우 가 많이 문제 되었다. 그리고 개인정보의 이용과 개 인정보의 관리에 관한 이슈도 법적 분쟁이 많았다. 개인정보의 이용이란 수집하여 보관하고 있는 개인 정보를 스스로 활용하는 경우인데, 원래 수집목적의 범위를 벗어나 활용함으로써 정보주체의 항의를 받 은 경우가 대부분이다. 개인정보 관리상의 이슈는 내부관리자 또는 외부 해커(Hacker)에 의하여 보관하고 있던 개인정보가 유출되는 경우를 말하는데, 대부분의 중요한 사건들 은 여기에 몰려 있다. 정리하면, 개인정보의 목적 범위 외 이용이나 제공 에 관한 분쟁, 그리고 개인정보의 유출에 관한 분쟁이 가장 큰 비중을 차지하고 있다 합계 향후 전망 아직까지는 우리나라 기업의 개인정보 활용수준 이 높지는 않다. 텔레마케팅(Telemarketing)이나 광 고 등의 필요성 때문에 개인정보를 확보하려고 하는 주 : 27) 수집한 39개의 판례를 대상으로 집계ㆍ분석 하였음.

65 203 연차보고서 5 기업은 많지만, 그 이상의 데이터사이언스(Data Science), 프로파일링(Profiling), 온라인행태광고 등을 이유로 개인정보를 활용하려는 기업은 많지 않다. 따 라서 당분간 개인정보 확보수단과 관련한 분쟁이 주 류를 이룰 것으로 보인다. 또한 개인정보의 무단 제공, 내부자의 개인정보 유 출, 해커의 개인정보 유출 등 기존에 법적 분쟁이 가 장 많았던 개인정보의 제공이나 개인정보의 관리와 관련된 분쟁이 앞으로도 당분간 주류를 이룰 것으로 보인다. 제 3 절 주제별ㆍ조문별 핵심판례 정리. 개인정보의 개념 및 성질 관련조문 개인정보 보호법 제2조 제호 정보통신망법 제2조 제항 제6호 신용정보법 제2조 제호, 제2호 증권통 스파이 앱 사건 (형사) 개인정보의 요건 중 결합용이성 에 대한 개념을 밝히고 IMEI나 USIM 일련번호를 개인정보로 판단한 최초의 판례 [사건번호] 서울중앙지방법원 선고 200고단 5343 판결 주식회사 E사 부사장 남모씨는 S사 대표 이모씨에 게 스마트폰에서 주식시세정보를 제공해주는 앱의 개발을 의뢰하였고, 이에 이모씨는 앱을 개발하였는 데, 사용자들이 위 앱을 스마트폰에 설치할 경우 개 인정보인 국제모바일 단말기 인증번호(IMEI : International Mobile Equipment Identity)와 가입자 식별모듈 (USIM : Universal Subscriber Identity Module) 일련번 호의 조합 정보를 읽어 오거나 IMEI와 사용자 개인 휴대전화번호의 조합 정보를 읽어와 서버에 저장한 다음, 이를 이용해 맞춤형 서비스를 제공할 수 있도록 앱을 설계하였다. E사와 S사는 200년 3월 22일경부 터 200년 8월 30일경까지 사용자 83,46명에게 위 증권통 앱을 배포하고, IMEI와 USIM 일련번호 82,43 건, IMEI와 개인용 휴대전화번호,003건을 수집하였 기에, 검사는 주식회사 E와 S사의 남모씨와 이모씨를 모두 정보통신망법 위반으로 기소하였다. 법원은 IMEI와 USIM은 권한 있는 자가 정보를 조 합하여 사용자를 식별할 수 있다는 점을 들어 개인정 보 라 볼 수 있다고 보았으며, 휴대전화번호나 IMEI USIM 등은 이 서비스 제공을 위해 반드시 필 요한 정보라고 보이지 않으므로 별도의 동의를 받아 야 하는 것이라 판단하여 유죄 판결을 내렸다. 개인정보의 요건 중에서 결합용이성 에 대한 개념 을 밝히고 있는 판례로써 결합가능성에 관하여 구하 기 쉬운지 어려운지와는 상관없이 해당정보와 다른 정보가 특별한 어려움 없이 쉽게 결합하여 특정 개인 을 알아볼 수 있게 되는 것을 말한다 라고 판시하였 다. 이 기준에 근거하여 IMEI나 USIM 일련번호를 개 인정보로 판단한 최초의 판례이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

66 제4장 주요 판례 개인정보의 수집 관련조문 개인정보 보호법 제5조, 제6조 정보통신망법 제22조, 제23조, 제23조의2 신용정보법 제5조, 제6조, 제7조 전화번호 수집 사건 (형사) 정보통신망법 제22조 제항에서 규정하는 이용자 의 해석 문제로서 다른 회사의 가입자는 이용자 로 볼 수 없다고 판단한 판례 [사건번호] 울산지방법원 선고 202노582 판결 사람이라 볼 수 없으므로 해당 법률에서 규정하는 이 용자 라는 사실을 인정하기에 부족하다고 보아 무죄 판정하였다. 2심(울산지방법원 선고 22노 582 판결)에서도 마찬가지 이유로 위 조항이 정보통 신서비스 제공자가 자신이 제공하는 서비스를 받는 이용자의 개인정보를 수집하는 경우 에 한해서 적용 된다고 판단하여 무죄를 선고하였다. 이 사안은 개인정보 보호법 이 시행되기 이전 에 발생한 것으로서, 현재는 개인정보 보호법 제 5조에 개인정보처리자 와 정보주체 둘 간에 특수 한 관계가 존재할 것을 요구하지 않고 있으므로, 만약 위 사안이 개인정보 보호법 시행 이후에 발생 하 였다면 개인정보 보호법 위반으로 유죄가 인정 될 수 있었을 것이다. A회사는 B회사의 인터넷전화 등을 설치하고 사후 서비스(A/S : After Service)하청업을 하는 법인이고, 피고는 A회사 대표이사인데, 피고인은 200년 5월 초 순 직원들에게 B회사의 고객유치를 위해 C회사 가입 고객의 전화번호를 수집할 것을 지시하였고, 이에 직 원들은 한 아파트 층 통합단자함(IDF : Intermediate Distribution Frame)에서 장애처리용 전화기를 C회사 주 배전반의 통신포트에 연결한 후 자신의 휴대폰에 전화하여 C회사 가입 전화번호가 자신의 휴대전화에 착신되도록 하는 방법으로 53세대의 개인정보인 전 화번호를 수집하였다. 이에 검사는 피고인을 정보통 신망법 위반(개인정보누설, 정보통신망침해 등)의 혐의로 기소하였다. 법원은 심(울산지방법원 선고 202고 정70 판결)에서 정보통신망법 제22조 제항이 서비 스 제공자가 그 이용자의 개인정보를 이용하려고 수 집하는 경우 에 관하여 정의하고 있지만, 해당 사안은 C회사 가입자가 A또는 B회사의 서비스를 이용하는 인터넷 실명제(제한적 본인확인제) 사건 (헌법소원) 인터넷실명제로 인하여 개인정보 제공이 의무화되고 개인정보 외부 유출 및 부당 이용의 가능성이 크다고 판단하여 인터넷실명제가 개인정보자기결정권을 침해한다고 판단한 판례 [사건번호] 헌법재판소 선고 200헌마47 결정 청구인들은 유튜브(Youtube), 오마이뉴스(Ohmy- news), 와이티엔(YTN) 등 인터넷 사이트 게시판에 익명으로 댓글 등을 게시하려고 하였으나, 위 게시판 운영자가 본인확인절차를 거쳐야만 게시판에 댓글 등을 게시할 수 있게 함으로써 댓글 등을 게시할 수 없게 되었다. 이에 청구인들은 인터넷게시판을 운영 하는 정보통신서비스제공자에게 게시판 이용자가 본인임을 확인할 조치를 취할 의무를 부과하고 있는

67 203 연차보고서 53 정보통신망법 제44조의5 제항 제2호, 같은 법 시행 령 제30조 제항이 자신들의 표현의 자유 등을 침해 한다 고 주장하면서 헌법소원심판을 청구하였다. 이 사안에서는 주로 인터넷게시판 이용자의 표현 의 자유, 개인정보자기결정권 및 인터넷게시판을 운 영하는 정보통신서비스제공자의 언론의 자유 등이 문제되었는데, 헌법재판소는 본인확인제가 침해의 최소성과 법익의 균형성 원칙에 반하여 이들 권리를 과도하게 침해하고 있다고 판단하였다. 침해의 최소성을 부정한 이유는, 이 사건 법령조항 들이 표방하는 건전한 인터넷 문화의 조성 등 입법목 적이 실명제 외의 다른 수단에 의해서도 충분히 달성 될 수 있기 때문이었다. 재판소는, 인터넷 주소 등의 추적 및 확인, 당해 정보의 삭제ㆍ임시조치, 손해배 상, 형사처벌 등 인터넷 이용자의 표현의 자유나 개 인정보자기결정권을 제약하지 않는 다른 수단이 있 음에도, 인터넷의 특성을 고려하지 않고 본인확인제 의 적용범위를 광범위하게 정하여 법집행자에게 자 의적인 집행의 여지를 부여한 것은 목적달성에 필요 한 범위를 넘는 과도한 제한이라고 보았다. 다음으로 균형성 원칙을 부정한 이유는, 본인확인 제 시행으로 얻은 공익은 미미한 반면에, 그로 인해 침해된 사익은 너무 크다는 것이었다. 즉, 명예훼 손 모욕 비방의 정보의 게시 등의 문제는 법 시행 이후에도 크게 개선되지 않고 있는 반면에, 표현의 자 유는 심하게 위축되어 자유로운 여론의 형성에 방해 를 받고, 본인확인제의 적용을 받는 게시판 운영자들 이 업무상 불리한 제한을 받으며, 게시판 이용자의 개인정보가 외부로 유출되거나 부당하게 이용될 가 능성이 증가한 현실을 지적한 것이다. 위와 같은 이유로 헌법재판소는 이 사건 법령 조항 들(인터넷실명제)이 과잉금지원칙에 위배하여 개인 정보자기결정권을 침해한다고 결정하였다. 개인정 보보호 측면에서 위 결정은 인터넷실명제를 도입하 여 의사표현 주체의 개인정보 제공을 의무화할 경우 이용자의 개인정보가 외부로 유출되거나 부당하게 이용될 가능성이 있다는 점을 헌법재판소가 명시적 으로 인정했다는 점에서 의의가 있다고 볼 수 있겠다. 독거실 내 폐쇄회로 텔레비전 설치 사건 (헌법소원) CCTV의 계호행위가 헌법상 과잉금지의 원칙을 위배하여 헌법 제7조에서 규정하는 사생활의 비밀과 자유를 침해하지 않는다고 판단하여 청구를 기각한 판례 [사건번호] 헌법재판소 선고 200헌마43 결정 청구인은 구치소 수용중인 피 청구인이 청구인의 거실에 폐쇄회로 텔레비젼(CCTV : Closed-Circuit Television)을 설치하고 200년 5월 3일부터 이를 이 용하여 계호를 하자, 피청구인이 CCTV를 통하여 청 구인의 일거수 일투족을 24시간 감시하는 것은 헌법 제0조, 제7조에서 보장하고 있는 청구인의 기본권 을 침해하는 것이라고 주장하며, 200년 7월 5일 이 사건에 대해 헌법소원심판을 청구하였다. 헌법재판소는 이 사안의 CCTV 계호행위는 청구인 의 생명 신체의 안전을 보호하기 위한 것으로서 그 목적이 정당하고, 교도관의 시선에 의한 감시만으로 는 자살 자해 등의 교정사고를 막는데 시간적 공 간적 공백이 있으므로 이를 메우기 위하여 CCTV를 설치하여 수형자를 상시적으로 관찰하는 것은 위 목 적 달성에 적합한 수단이라 보았다. 또한, 형의 집 행 및 수용자의 처우에 관한 법률 및 같은 법 시행 규칙에서 규정한 CCTV의 설치 운용에 관한 사항 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

68 제4장 주요 판례 54 들을 준수 하였으며, 해당 방법 외에 더 효과적인 다 른 방법을 찾기 어렵다고 볼 수 있으므로 침해의 최소 성 요건 또한 갖추었다고 보았다. 따라서, 이 사건 CCTV 계호행위가 과잉금지원칙 을 위배하여 청구인의 사생활의 비밀 및 자유를 침해 하였다고는 볼 수 없다고 판단하여 기각하였다. 3. 개인정보의 이용 관련조문 개인정보 보호법 제5조, 제8조, 9조 정보통신망법 제22조, 제24조 신용정보법 제33조, 제34조 경찰공무원이 청첩장 발송 목적으로 개인정보를 조회한 사건 (행정) 개인정보를 처리하는 공무원의 목적 외 이용행위에 대한 징계의 정당성을 인정한 판례 [사건번호] 부산지방법원 선고 20구합6043 판결 경찰공무원인 원고가 경찰업무의 목적과는 상관 없이 자녀의 결혼식 청첩장을 보내기 위해 경찰협조 단체회원과 지인들의 주소를 알아낼 목적으로 20 년 3월 2일부터 20년 5월 24일까지 부하직원에게 경찰협조단체 명부상 회원들의 성명과 생년월일을 이용하여 총 2,635건(주민조회 2,622건 + 면허조회 3 건)의 개인정보를 조회하도록 지시하고 이를 이용하 여 축의금을 받는 등의 행위를 하여 정직 3월의 징계 처분을 받았으나, 원고는 이에 대하여 징계재량권의 범위를 일탈ㆍ남용한 것으로 위법한 처분이라며, 정 직처분의 징계처분취소 청구를 하였다. 법원은 본인업무와 관련 없이 정당한 법적 절차를 거치지 않고 전산망을 통해 총 2,635건의 정보를 조회 하게 한 것은 경찰 정보통신 운영규칙 제5조를 위반 한 것이고, 이 조회자료를 이용해,000여 명의 유관 협력단체 소속 회원들에게 무차별적으로 청첩장을 발송하고 결혼식 무렵 축의금을 수수한 것은 경찰청 공무원 행동강령 제7조 제항을 위반한 것이며, 이 러한 행위는 사적인 목적을 위해 개인정보를 열 람ㆍ사용한 데다 청첩장 발송 과정에서 항의성 민원 을 야기하는 등 경찰공무원의 도덕성과 청렴성에 사 회 일반의 불신을 초래하고 경찰공무원의 명예와 신 뢰를 실추시켜 그 비난가능성이 매우 큰 행위라는 점 등을 고려하여, 정직처분이 적법하다고 보아 원고의 청구를 기각하였다. 그간 개인정보를 다루는 기관 소속 직원이나 공무 원의 개인정보 사용이 많이 문제되어 왔는데, 이 판결 은 이러한 목적 외 이용에 대한 징계가 정당하다고 판 단하여 개인정보를 처리하는 공무원 등의 무분별한 사용에 제동을 걸었다는 데에 의미를 가지고 있다. 4. 개인정보의 제공 관련조문 개인정보 보호법 제7조, 제8조, 제9조 정보통신망법 제24조의2 신용정보법 제32조, 제34조, 제35조 수사기관에 대한 개인정보 제공 (민사) 개인정보처리자가 수사기관의 요청에 따라 개인 정보를 제공할 경우 상호간의 이익형량 등을 고 려해야 한다고 판단한 판례

69 203 연차보고서 55 [사건번호] 서울고등법원 선고 20나902 판결 N사는 인터넷 포털사이트를 운영하는 인터넷 종 합 정보제공 사업자로서, 그 이용약관에 원칙적으로 이용자의 사전동의 없이는 개인정보를 외부에 공개( 제공)하지 않는다고 규정하고 있으나, 예외적으로 수사 목적으로 법령에 정해진 절차와 방법에 따라 수 사기관의 요구가 있는 경우 에는 개인정보를 공개(제 공)할 수 있다고 규정하였다. 원고는 위 약관에 동의하고 가입한 N사의 회원으 로, 인터넷 검색 중 밴쿠버 동계올림픽 선수단 귀국 당시 유인촌 장관이 금메달리스트인 김연아 선수를 환영하면서 두 손으로 어깨를 두드리자 김연아 선수 가 이를 피하는 듯한 장면을 편집한 사진(일명 회피 연아 사진 )이 게시되어 있는 것을 발견하고 이를 한 카페의 유머게시판에 올렸는데, 유인촌 장관은 위 사 진을 올린 사람들을 명예훼손으로 고소하였고, 이에 서울종로경찰서장은 N사에 원고의 인적사항을 제공 해 달라고 요청하였으며, N사는 원고의 ID, 이름, 주 민등록번호, 이메일, 휴대폰 번호, 가입일자 를 제공 하였다. 이에 원고는 N사가 의무를 위 반하여 자신의 개인정보를 제공했다는 이유로 손해 배상 청구를 하게 되었다. 이에 대해 심(서울중앙지방법원 선고 200가합72873 판결)은 이용약관에 의 무를 규정하고 있다는 사유만으로 N사에 수사기관 의 개인정보 제공요청에 대한 심사의무가 있다고 인 정할 수 없다면서 원고패소 판결을 내렸다. 그러나 2 심(서울고등법원 선고 20나902 판 결)은 제심 판결을 취소하면서 50만원을 지급하라 며 원고일부승소 판결을 내렸다. 항소심 재판부는 구 전기통신사업법 제54조 제3항에 대하여 본 조항은 정보통신사업자가 수사기 관의 개인정보 제공 요청에 협조할 의무를 확인하고 있을 뿐, 사업자가 수사기관의 요청에 따라야 할 의무 를 규정한 것은 아니라고 하면서, 수사기관이 개인정 보의 제공을 요청할 경우 사업자는 개별 사안에 따라 제공 여부를 심사하는 등 개인정보를 보호하기 위한 충분한 조치를 해야 할 의무가 있다고 설명하였다. 나 아가 사업자가 수사기관의 요청에 응하지 않을 경우 수사기관은 법관으로부터 영장을 발부받아 개인정 보를 취득할 수 있고, 그러한 수사업무처리 원칙이 영 장주의를 천명한 헌법원칙에도 부합한다고 하였다. 이 사안에서 서울고등법원은 첫째, 정보통신사업 자가 수사기관이 요청한 이용자의 개인정보를 제공 할 때 침해되는 법익 상호간의 이익 형량을 통한 위법 성의 정도, 사안의 중대성과 긴급성 등을 종합적으로 고려하여 개인정보를 제공할 것인지 여부 및 어느 범 위까지의 개인정보를 제공할 것인지에 관하여 실체 적으로 충분히 심사를 하여야 할 의무가 있다는 점을 인정하였고, 둘째, 수사기관이 포털 등에 개인정보를 요구할 때에는 원칙적으로 법원으로부터 영장을 발 부 받아야 한다는 점을 밝혔다. 이 판결은 프라이버 시 보호 및 원칙을 천명하고, 표현의 자유를 소중히 하였으며, 종래 수사관행에 제동을 걸 면서 헌법상 보장된 영장주의 원칙을 다시 한 번 확인 하였다는 데에 의의가 있다. S당 당원명부 유출사건 (형사) 당직자 등은 개인정보 유출을 이유로 하여 개인 정보 보호법 에 의하여 처벌되지만, 정당은 개인 정보 보호법 상의 면책 규정(제58조)에 의하여 형사책임을 면한다고 판단한 판례 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

70 제4장 주요 판례 56 [사건번호] 수원지방법원 선고 202고합599 판결 등 S당 당직자인 A는 4ㆍ 총선을 앞두고 문자발송 업체 B대표에게 S당 당원명부(220만 명)를 유출하였 다. 한편 선거 컨설팅을 하는 K씨는 B대표에게 전화 하여 A로부터 소개받았다며 창원 등 경남 지역의 당 원 명부를 요구한 다음, 이 당원 명부를 선거운동에 활용하였다. 이에 검사는 A와 B대표 및 K씨를 개 인정보 보호법 위반 등으로 기소하기에 이르렀다( 본 판결은 K씨에 대한 판결). 법원은, 선거 컨설턴트인 K씨에 대해 실형을 선고 하며, 그 근거로서 다음 세 가지 사항을 검토하였다. 첫째는 당원명부의 성격적 측면이다. 법원은 당원 명부가 당원의 이름 주민등록번호 주소 휴대전 화번호 등 신상정보가 기재되어 있는 정당의 내부자 료로서 그 자체로 사생활 보호의 대상이 된다고 보았 는데, 나아가 이것이 누설될 경우 선거와 관련된 정당 활동에서 일부 후보의 정당 내 특정 선거인단에 대한 편법적인 지지 호소에 사용될 수 있는 등 정치적으로 악용될 소지가 상당하여 법적으로 보호할 필요성이 높다고 보았다. 둘째는 개인정보 보호법 상의 근거 측면이다. 개인정보 보호법 제23조는 정당의 가입ㆍ탈퇴에 관한 정보가 정보주체의 사생활을 현저히 침해할 우 려가 있는 민감정보에 해당됨을 규정하면서 정보처 리자에 대하여 위 정보의 처리에 제한을 가하고 있는 데, 이러한 규정 형식을 통하여 볼 때, 당원명부에 대 한 보호의 필요성이 인정될 수밖에 없다고 본 것이다. 셋째는 헌법적 가치 측면이다. 법원은 이 사건 범 행으로 인하여 정보주체인 당원의 정보에 관한 자기 결정권이 침해되었을 뿐만 아니라, 당내 경선에 대한 신뢰의 근거가 상실됨에 따라 선거의 공정성 투명 성 및 선거의 자유를 규정한 공직선거법 의 보호 법익 및 정당의 정치적 자유가 크게 훼손되었다고 보 았다. 이는 개별 피해자에 대한 법익 침해 수준을 넘 어서는 것으로서 중대한 사회적 해악이라고 보았으 며, 이러한 점 등을 종합하여 볼 때, 피고인에 대하여 는 실형의 선고가 불가피하다고 판단하였다. 참고적으로 법원은, S당 당직자인 A에 대하여는, K 의 경우와 마찬가지로, 비록 당원명부 유출 행위가 선거에 큰 영향을 끼치지는 않았지만 사익을 위해 선 거 공정성과 투명성, 정당의 정치적 자유는 물론 당원 의 자기결정권과 사생활을 침해했으므로 실형 선고 가 불가피하다고 판단한 반면에, S당에 대하여는 개인정보 보호법 상의 면책 규정(제58조)을 근거로 형사책임이 면제된다고 하였다. H 텔레콤 주식회사 사건 (민사) 개인정보 수집 이용에 대한 동의 방식에 관한 사안으로 수집 목적을 벗어난 활용, 손해배상의 차등 적용이 쟁점이 된 판례 [사건번호] 서울고등법원 선고 20나7566 판결 H텔레콤(Telecom) 주식회사(이하 H사 라 함)는 2006년 4월 경 텔레마케팅 사업자인 Y주식회사와 가 입자 유치 등의 업무를 위탁받기로 하는 내용의 영업 업무 위탁계약을 체결하였다. 이후 2006년 9월 H사가 S은행과의 제휴카드를 발행하기 위해 H사 고객 중 희 망 고객에게 카드를 발급하기로 하였다. 이를 위해 H 사는 Y사에 고객관리 업무 전반을 위탁하였고, 그에 따라 카드 홍보에 개인정보를 활용하겠다는 내용 등 을 소비자 이용약관에 명시하고, 이를 인터넷 홈페이 지에 게시하였으나 별도의 동의는 받지 않았다.

71 203 연차보고서 57 이후 H사는 2006년 9월 30일경부터 2007년 7월 20 일경까지 Y사에 H사 가입자 55,206명의 개인정보인 성명, 서비스명, 전화번호, 주민등록번호 중 앞부분 생년월일과 뒷자리 중 첫 번째 숫자, 주소, 사용요금 조회 등의 정보를 중앙정보시스템에 접근권한을 부 여하는 방식으로 제공하였고, Y사는 이와같이 제공 받은 정보를 이용해 2006년 9월 30일경부터 2007년 7 월 20일경까지 전화를 통해 멤버스카드의 발급을 권 유하였다. 서울고등법원은 서비스 개통 의사와 개인정보 수 집ㆍ이용 의사를 구분하지 않고 받은 동의는 개인정 보 수집ㆍ이용에 대한 유효한 동의라고 볼 수 없는 점, 사후에 수집ㆍ이용에 대한 동의를 받았다고 하더 라도 동의 이전에 한 정보제공 행위가 개인정보 자기 결정권을 침해하지 않았다고 볼 수는 없는 점, 단순히 변경된 이용약관을 홈페이지에 공지한 것만으로는 정보주체에게 위탁에 대한 유효한 동의를 받은 것이 라고 볼 수 없는 점, 피고 H사가 Y사에 사업목적을 위 하여 개인정보를 제공한 것은 제3자 제공 이 아닌 취 급위탁 에 해당하는데 피고가 고지하지 않은 수탁자 에게도 개인정보를 제공한 것은 동의 없는 제공에 해 당하여 개인정보 자기결정권을 침해한 것으로 볼 수 있는 점 등을 이유로, 수집ㆍ이용에 관한 유효한 동의 가 없었던 원고들에게는 20만 원, 위탁 동의 절차를 거치지 않은 원고에게는 0만 원을 각각 지급하도록 판결하였다. 이 판례는 동의의 방식과 관련된 쟁점, 수집목적을 벗어난 활용에 관한 쟁점, 손해배상의 차등 적용 등이 문제가 되었던 사안이다. 이후 H사를 인수한 S사에 서 대법원에 상고하였으나 기각되었다. 5. 개인정보의 파기 관련조문 개인정보 보호법 제2조 정보통신망법 제29조 신용정보법 제8조 수사경력자료와 범죄경력자료의 보존 사건 (헌법소원) 수사경력자료와 범죄경력자료의 보존이 개인정보 자기결정권을 침해하는지가 쟁점이 된 판례 [사건번호] 헌법재판소 선고 200헌마446 결정 청구인은 마약류 관리에 관한 법률 위반 사건 으로 징역 4년을 선고받았다. 법원이 그 판결에서 범 죄경력조회를 증거로 적시하여 청구인의 전과를 인 정하여 양형을 가중하자, 청구인은 형의 실효 등에 관한 법률 (이하 형실효법)이 수사경력자료 등과 달리 범죄경력자료의 삭제 규정을 두지 않은 것과 수 사경력자료 중 혐의 없음 의 불기소처분을 바로 삭제 하지 아니하고 최장 0년까지 보존하도록 규정한 것 등이 청구인의 기본권을 침해한다며 이 사건 헌법소 원심판을 청구하기에 이르렀다. 헌법재판소에서는 범죄경력자료를 범인 추적과 실체적 진실 발견, 각종 결격사유 판단 등을 위한 자 료로 사용하기 위해 보존하는 것은 목적의 정당성과 수단의 적합성을 갖추고 있으며, 형의 실효 등에 관 한 법률 은 범죄경력자료의 불법조회나 누설에 대 한 금지 및 벌칙 규정을 두고 있고 범죄경력자료의 조 회 사유를 제한하고 있으므로 개인의 범죄경력에 관 한 정보가 일반인들에게 공개될 가능성은 극히 적고 범죄경력자료의 보존이 전과자들의 사회복귀를 저 해하지 않는다고 판단하여 청구인의 개인정보 자기 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

72 제4장 주요 판례 58 결정권이 침해받았다고 볼 수 없다는 이유로 합헌 결 정을 내렸다. 또한, 혐의없음 의 불기소처분에 관한 개인정보를 보존하도록 하는 것은 목적의 정당성, 수단의 적합 성, 침해의 최소성, 법익의 균형성의 원칙에 위배되 지 않으므로 청구인의 개인정보 자기결정권을 침해 하지 않는다고 판단하였다. 이 사안은 수사경력자료와 범죄경력자료의 보존 이 개인정보 자기결정권을 침해하는지에 관한 사안 으로, 개인정보 자기결정권 역시 필요에 따라서 제한 이 가능한데, 본 사안의 경우 수사경력자료와 범죄경 력자료의 보존에 따른 개인정보 자기결정권의 제한 은 합헌적인 제한이며 침해 의 정도에는 이르지 않았 다는 의미이다. 6. 개인정보의 공개 관련조문 정보통신망법 제28조의2, 제49조 신용정보법 제42조 공공기관의 정보공개에 관한 법률 제9조 제항 제6호 교인 명단 업로드 사건 (형사) 정보통신망법 제49조(비밀누설) 위반 행위가 되기 위해서는, 부정한 수단 또는 방법에 의한 비밀 취 득이 수반되어야 함을 명시한 판례 [사건번호] 대법원 선고 200도0576 판결 피고인은 자신이 운영하는 인터넷 사이트 카페에 개인정보가 담겨 있는 특정 종교 교인 명단 파일을 업로드하여 다른 회원들로 하여금 다운로드 받아 볼 수 있게 하였다. 이에 검사는 피고인을 정보통신망에 의하여 처리ㆍ보관 또는 전송되는 타인의 비밀을 침 해ㆍ도용 또는 누설하였다는 이유로 정보통신망법 위반으로 기소하였다.(심 : 인천지방법원 선고 200고정792 판결, 2심 : 인천지방법원 선고 200노44 판결) 대법원은 정보통신망법 제49조에 규정된 정보통 신망에 의하여 처리ㆍ보관 또는 전송되는 타인의 비 밀 누설 이란 타인의 비밀에 관한 일체의 누설행위를 의미하는 것이 아니라, 정보통신망에 의하여 처 리ㆍ보관 또는 전송되는 타인의 비밀을 정보통신망 에 침입하는 등 부정한 수단 또는 방법으로 취득한 사 람, 그 비밀이 위와 같은 방법으로 취득된 것을 알고 있는 사람이 그 비밀을 아직 알지 못하는 타인에게 이 를 알려주는 행위만을 의미하는 것으로 제한하여 해 석하는 것이 타당하다고 판단하였다. 따라서 위 명단이 타인의 비밀에 해당하여 보호받 을 필요성이 인정된다 하더라도 원래 정보통신망에 의하여 처리ㆍ보관 또는 전송되던 것을 정보통신망 을 침해하는 방법 등으로 명단의 작성자나 관리자의 승낙 없이 취득한 것이라는 점을 인정할 증거가 없으 므로, 피고인의 행위가 정보통신망법 제49조에 규정 된 정보통신망에 의하여 처리ㆍ보관 또는 전송되는 타인의 비밀을 침해ㆍ도용 또는 누설한 경우에 해당 한다고 볼 수 없다고 하여 무죄를 선고하였다. 정보통신망법 제49조(비밀누설) 위반 행위가 되기 위해서는, 부정한 수단 또는 방법에 의한 비밀 취득이 수반되어야 함을 명시적으로 밝힌 판결이다. 전교조 가입교사 명단 비공개 사건 (헌법소원)

73 203 연차보고서 59 [사건번호] 헌법재판소 선고 200헌마293 결정 A광역시 청소년단체협의회(사단법인)와 A시의 초 ㆍ중등학교에 자녀들을 취학시키고 있는 학부모 들은 200년 5월 6일 위 학부모들의 자녀가 취학 중인 학교에 근무하고 있는 교원들이 노동조합에 가입하 였는지 여부 및 어떤 노동조합에 가입하였는지를 알 아보기 위해 A시교육청에 행정정보공개청구를 하였 다. 하지만 A시교육청은 같은 달 7일 위 공개청구가 교육 관련기관의 정보공개에 관한 특례법 제3조 제2항 및 같은 법 시행령 제3조 제항 등에 위반된다 고 하여 정보공개를 거부하였다. 이에 청구인들은 교 원의 개인정보 공개를 금지하고 있는 위 법 제3조 제 2항 및 교직원의 교원단체 및 노동조합 가입 현황(인 원수)만을 공시하도록 한 같은 법 시행령 제3조 제 항 별표 제5호의 아목이 청구인들의 알 권리 등을 침해하여 헌법에 위반된다고 주장하며 이 사건 헌법 소원심판을 청구하기에 이르렀다. 헌법재판소에서는 본 사안을 교원의 교원단체 및 노동조합 가입에 관한 정보의 공개를 요구하는 학부 모들의 알 권리와 그 정보의 비공개를 요청하는 정보 주체인 교원의 개인정보 자기결정권이 충돌하는 경 우로 보고 이와 같이 두 기본권이 충돌하는 경우에는 헌법의 통일성을 유지하기 위하여 상충하는 기본권 모두 최대한으로 그 기능과 효력을 발휘할 수 있도록 조화로운 방법이 모색되어야 함을 기본 원칙으로 제 시하였다. 교육 관련기관의 정보공개에 관한 특례법 시행 령 제3조 제항에 교직원의 교원단체 및 노동조 합 가입 현황 만 공개하도록 되어있는 것은 학부모 들의 알 권리를 침해하지 않는다고 결정한 판례 헌법재판소는 이 사건 법률 조항이 교원의 개인정 보 공개를 일률적으로 금지하는 듯이 보이지만, 이 법에 의해 준용되는 공공기관의 정보공개에 관한 법률 은 개인정보라고 하더라도 그 공개의 여지를 두고 비공개결정에 대해서는 불복의 수단을 마련하 고 있으므로, 이 사건 법률 조항은 학부모들의 알 권 리를 침해하지 않는다고 판단하였다. 또한 이 사건 시행령 조항에서 공시대상 정보로서 교원의 교원단체 및 노동조합 가입현황(인원 수) 만 을 규정하고 개별 교원의 명단은 규정하고 있지 않은 것과 관련하여, 교원의 교원단체 및 노동조합 가입에 관한 정보는 개인정보 보호법 상의 민감정보로 서 특별히 보호되어야 할 성질의 것이고, 인터넷 게 시판에 공개되는 공시 로 말미암아 발생할 교원의 개 인정보 자기결정권에 대한 중대한 침해의 가능성을 고려할 때, 이 사건 시행령 조항은 학부모 등 국민의 알 권리와 교원의 개인정보 자기결정권이라는 두 기 본권을 합리적으로 조화시킨 것이라 할 수 있으므로 학부모들의 알 권리를 침해하지 않는다고 하였다. 7. 개인정보의 관리위탁 관련조문 개인정보 보호법 제26조 정보통신망법 제25조 신용정보법 제7조 채권추심원의 개인정보 유출시 회사의 책임 (형사) 정보통신망법에서 규정하는 법인 등의 종업원에 대한 관리감독의무 판단 기준을 제시한 판례 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

74 제4장 주요 판례 60 [사건번호] 대법원 선고 20도264 판결 하는지에 대하여 일정 기준을 제시하였다는 데 그 의 의가 있다고 할 수 있다. A신용정보회사의 채권추심원들이 국민건강보험 공단 정보통신망을 통하여 처리 보관되는 개인정 보 29,74건을 유출한 사안에서, 검사는 관리감독자 인 신용정보회사를 양벌규정인 정보통신망법 제75 조에 근거하여 기소하였고 2심(수원지방법원 선고 200노5329 판결)이 유죄 판결을 하였는 데, 신용정보회사는 채권추심원들이 자신의 피용자 가 아니라고 주장하며 상고하기에 이르렀다. 대법원은 정보통신망법 제75조에서 법인의 대표 자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업 원이 그 법인 또는 개인의 업무에 관하여 제7조부터 제73조까지 또는 제74조 제항의 어느 하나에 해당하 는 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과한다. 다만 법인 또는 개인이 그 위반행위를 방지하기 위하여 해 당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다. 고 규정하고 있 다는 점을 들면서, 이와 같은 양벌규정의 취지가 법인 등의 처벌을 통하여 벌칙조항의 실효성을 확보하는 데 있으므로, 법인의 사용인에는 법인과 정식 고용계 약이 체결되어 근무하는 자 외에 그 법인의 업무를 직ㆍ간접적으로 수행하면서 법인의 통제ㆍ감독 하 에 있는 자도 포함되고, 또한 법인이 상당한 주의 또 는 감독을 게을리 하였는지 여부는 당해 위반행위와 관련된 모든 사정 등을 전체적으로 종합하여 판단하 여야 한다고 하였다. 이에 따라 대법원은 A신용정보 회사의 주의 또는 관리ㆍ감독 의무를 게을리한 과실 을 인정하여 상고를 기각하였다. 이 판결은 정보통신망법 상의 양벌규정에서 법인 등이 종업원에 대한 관리감독의무를 어느 정도 해야 8. 개인정보의 안전관리(안전조치의무) 관련조문 개인정보 보호법 제29조 내지 제34조 정보통신망법 제27조 내지 제28조, 제45조 내지 제48조의4 신용정보법 제9조, 제20조 G정유회사 개인정보 유출 사건 (민사) 불특정 다수에게 공개될 가능성이 없는 상황에서 개인정보가 유출된 경우, 기업의 손해배상책임을 부정한 판례 [사건번호] 대법원 선고 20다59834, 59858, 5984 판결 원고들은 피고 G사가 제공하는 구매금액 등에 따 라 포인트가 적립되는 주유 관련 보너스카드의 회원 으로 가입하면서 피고 G사에 이름, 주민등록번호, 자 택주소, 자택전화번호, 회사주소, 회사전화번호, 핸 드폰번호, 이메일주소 등 개인정보를 제공하였다. 피 고 G사는 원고들을 비롯하여 보너스카드 회원으로 가입한 고객들의 개인정보를 보너스카드 데이터베 이스 를 구축하여 관리하고, 위 보너스카드 데이터베 이스에서 고객들의 개인정보를 추출하여 CSC(고객 서비스센터) 데이터베이스 를 구축하였으며, 피고 G 사의 계열사는 피고 G사로부터 위 CSC 운영업무 및 관련 장비 유지와 보수 업무 등을 위탁받아 이를 수행

75 203 연차보고서 6 하였다. G사의 직원 정씨는 2008년 7월 회사 서버에 접속하여 보너스카드 회원,57,25명의 성명, 주 민등록번호, 주소, 전화번호, 이메일 주소 등 고객정 보를 자신의 사무용 컴퓨터로 전송받았으며 집단소 송에 활용하고 그 수익을 달라고 제의하며 변호사 사 무실 직원 강씨에게 고객정보가 편집된 DVD를 건넸 다. 이후 정씨는 검거되었고, 정씨가 소지하고 있던 고객정보가 수록된 DVD 등은 모두 압수되거나 폐기 되었다. 심, 2심, 3심 모두 원고들의 개인정보 유출로 인하 여 개인정보 자기결정권이 침해되었거나 침해될 상 당한 위험성이 발생하여 원고들에게 정신적 손해가 발생하였다는 점을 인정하기 어렵다고 판시하였다. 원고들의 개인정보가 유출된 적이 있었다는 사실만 으로는 원고들에게 정신적인 피해가 있었을 것이라 고 단정하기 어렵고, 원고들이 개별적 구체적으로 정신적 피해를 입었다고 인정할 만한 증거도 없다는 것이 그 이유이다. 심(서울중앙지방법원 선고 2008가합 003판결 등)에서는 원고들의 개인정보가 불특정 다수에게 공개되어 이를 열람할 수 있는 상태 를 요구 하였는데 대법원에서는 제3자의 열람 가능성이 있었 거나 앞으로 열람 가능성이 있는지 를 판단기준으로 세웠다. 2심(서울고등법원 선고 200나478 판결 등) 재판부는 개인정보가 유출되어 자기정보결 정권이 침해됐다는 것만으로 바로 정신적 손해가 발 생했다고 할 수 없다 며 이는 개인정보의 종류나 성 격, 유출정도 등을 고려해 개별적으로 판단해야 한 다 고 설명했다. 이어 새나간 정보가 성명, 주민등록 번호, 전화번호 등 개인식별정보일 뿐 사상, 신념, 정 치적 견해나 금융정보 등 경제적 이익을 침해할 정보 에 해당하지 않는데다 유출 직후 바로 회수돼 구체적 피해가 발생했다고 인정하기 어렵다 고 하면서 심 과 마찬가지로 원고 패소 판결을 내렸다. 대법원에서는 개인정보가 수록된 저장매체들이 모두 회수되거나 폐기되었고 개인정보 유출로 인하 여 후속 피해가 발생하였다고 볼 수 없어 위자료로 배 상할 만한 정신적 손해가 발생하였다고 보기는 어렵 다고 판단하였다. 이 판례는 개인정보가 유출이 되었다고 하더라도 불특정 다수에게 공개될 가능성이 없는 상태라면, 기 업은 손해배상책임을 부담하지 않는다고 판단하였 다는 점에서 의미가 있다. 9. 기타 관련 판례 앞서 소개한 관련 주요판례 외에 기 타 판례 29개는 [표 -4-2]에 개인정보처리 절차별, 최 근연도 순으로 요약 정리하였다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 표 -4-2 기타 관련 판례 구분 사건내용 개인정보의 개념 및 성질. 학업성취도 평가정보 수능시험정보 공개 사건 [사건] 대법원 선고 2007두9877 판결(학업성취도평가정보는 원심 파기, 수능시험정보는 기각) [쟁점] 학업성취도평가정보의 설문조사 결과를 응답자 식별정보로 볼 수 있는지와(소극), 수능시험정보를 개인 식별정보로 볼 수 있는지 여부(적극)

76 제4장 주요 판례 62 구분 개인정보의 개념 및 성질 개인정보의 수집 개인정보의 이용 개인정보의 제공 개인정보의 파기 개인정보의 공개 사건내용 2. 수용자 개인정보 공개청구 사건 [사건] 대법원 선고 2003두2707 판결(원심 파기) [쟁점] 교도소의 정보처리대장, 수용자들의 진료정보 및 현황, 수용자 신문 구독 현황과 관련된 정보를 개인정보로 볼 수 있는지 여부(소극). 흥신소 의뢰인의 처벌 가능성 [사건] 대법원 선고 202도5525 판결(원심 파기) [쟁점] 신용정보법 상 신용정보회사 등이 아니면서 특정인의 사생활 조사 등을 업으로 하는 행위 의 의미와 판단기준, 흥신소와의 관계 판단(소극). L포털의 변호사 승소율 제공 사건 [사건] 대법원 선고2008다42430 전원합의체 판결(인맥지수는 위법, 승산율 및 전문성지수는 원심 파기) * 관련사건 : 서울중앙지방법원 자 2006카합47 결정, 서울중앙지방법원 선고2007가합2243 판결, 서울고등법원 선고 2007나74937 판결 [쟁점] 번호사들의 인맥지수(소극), 승소율 및 전문성지수 제공 서비스가 법상 허용 되는지 여부(적극) 2. 휴대전화번호의 광고전송 이용 사건 [사건] 대법원 선고 2009도324 판결(기각) [쟁점] 콘텐츠를 이용하였거나 최신 콘텐츠 소식 등을 수신하겠다고 동의한 고객에 광고문자를 전송한것이 정보통신망법상의 개인정보 누설에 해당하는지 여부(소극) 3. K공사 전사적 자원관리 시스템(ERP) 사건 [사건] 대전지방법원 선고 2007카합527 결정(기각) [쟁점] K공사 소속 근로자들의 개인정보를 ERP에 집적하여 관리하는 행위가 근로자들의 행복추구권, 사생활의 비밀과 자유를 침해받지 않을 권리, 자기정보 관리 통제권 등을 침해하는지 여부(소극) 4. K통신사 부가서비스 가입 사건 [사건] 서울중앙지방법원 선고 2002가합65474 판결(원고 일부 승소) [쟁점] A 대리점이 특정 서비스 고객을 늘리기 위해 K통신사의 영업센터에서 구한 가입고객정보 및 다른 대리점 가입고객 신상정보를 이용해서 임의로 월정액 부가서비스에 가입시킨 경우, K사가 대리점의 행위에 대해 사용자 책임을 부담하는지 여부(위자료 30만원 인용). 구치소 접견 녹음 및 녹음파일의 검사 제공 사건 [사건] 헌법재판소 선고 200헌마53 결정(기각) [쟁점] 구치소장이 청구인과 배우자의 접견을 녹음한 행위가 사생활의 비밀과 자유를 침해하는지 여부와 검사의 요청에 따라 녹음파일을 제공한 경우 청구인의 개인정보 자기결정권을 침해하는지 여부(소극) 2. 주민센터 직원의 개인정보 유출 사건 [사건] 서울중앙지방법원 선고 202고합243-(분리) 판결(위법) [쟁점] 주민센터 직원이 심부름센터 업주에게 타인의 개인정보를 누설 또는 권한 없이 처리하거나 타인의 이용에 제공한 행위의 위법 여부(유죄 인정) 3. S인터넷 서비스사(옛 H 텔레콤)사건 [사건] 대법원 선고 20도960 판결(기각) [쟁점] 사후에 약관이 변경된 경우 변경된 약관을 기준으로 위법성을 판단하여야 하는지 여부(적극) 4. 채무불이행자명부 사건 [사건] 헌법재판소 선고 2008헌마663 결정(기각) [쟁점] 채무불이행자명부나 그 부본은 누구든지 보거나 복사할 것을 신청할 수 있도록 규정한 민사집행법 제72조 제4항이 과잉금지의 원칙에 반하여 채무불이행자명부에 등재된 청구인들의 개인정보 자기결정권을 침해하는지 여부(소극) 5. 금융기관의 신용정보 불법제공 사건 [사건] 서울중앙지방법원 선고 2008나60 판결(위법) [쟁점] 금융기관이 대부업체에 고객의 신용정보를 조회할 수 있는 아이피(IP)를 제공하여 대부업체의 불법한 신용정보 조회로 고객이 정신적 손해를 입었다면, 금융기관이 손해배상할 책임이 있는지 여부(위자료 인정) 6. 보험회사 개인정보 무단제공 사건 [사건] 서울중앙지방법원 선고 2004나5654 판결(위법) 서울중앙지방법원 선고 2002가단8954 판결 [쟁점] S보험사가 전국은행연합회 등으로부터 다른 금융기관의 대출정보를 수집해 본인이 보유한 정보와 결합 정리하여 상품 홍보에 활용한 경우 법 위반에 해당되는지와 원고들에게 정신적 손해배상을 하여야 하는지 여부(위자료 200만원 인용). 혐의없음 불기소 처분의 수사경력자료 보관 사건 [사건] 헌법재판소 선고 2008헌마257 결정(기각) [쟁점] 혐의없음 불기소 처분의 수사경력자료 보관이 개인정보 자기결정권을 침해하는지 여부(적극). 수사기록의 정보공개청구 불허가 처분 사건 [사건] 수원지방법원 선고 20구합2390 판결(위법) [쟁점] 변호인이 본인이 담당한 사건의 수사기록 전체에 대한 정보공개 청구를 하였으나, 해당 정보가 정보공개법상 비공개대상 정보에 포함된다 하여 거절당한 경우, 이 거절이 정당한지 여부(일부 불허가처분 취소 인정) 2. 공공기관의 정보공개에 관한 법률 헌법 소원 [사건] 헌법재판소 선고 2009헌바258(기각) [쟁점] 공공기관이 보유 관리하는 개인정보를 공개하면 개인 사생활의 비밀 또는 자유를 침해할 우려가 있다고 인정되는 경우에 이를 비공개할 수 있도록 규정하고 있는 조항의 명확성 원칙 위배 여부(소극)

77 203 연차보고서 63 구분 개인정보의 공개 개인정보의 공개 개인정보 위탁 개인정보의 관리 (안전조치 의무) 기타 사건내용 3. 개인정보 공개와 관련한 권한쟁의심판 [사건] 헌법재판소 선고 200헌라(각하) [쟁점] 교원들의 교원단체 가입현황을 개인 홈페이지에 공개한 국회의원에게 법원이 기본권 침해를 이유로 자료의 공개를 금지하는 가처분 및 간접강제 결정을 하자, 국회의원이 법원을 상대로 제기한 권한쟁의심판 청구의 적법 여부(소극) 4. 공직선거법 위헌 소원 [사건] 헌법재판소 선고 2006헌마402.53(병합)(기각) [쟁점] 공직선거에 후보자로 등록하고자 하는 자의 금고이상의 형의 범죄경력에 실효된 형을 포함시켜 공개하도록 한 조항의 공무담임권 침해 여부(소극) 5. 사망한 사람의 비밀 공개 사건 [사건] 대법원 선고 2007도262 판결(원심 파기) [쟁점] 정보통신망에 의하여 타인(사망자)의 주민등록번호를 누설한 경우 법 위반 여부(적극) 6. 4급 이상 공무원들의 병역면제사유인 질병명 공개 사건 [사건] 헌법재판소 선고 2005헌마39 결정(위헌) [쟁점] 4급 이상 공무원들의 병역면제사유인 질병명을 관보와 인터넷을 통해 공개하는 것의 위헌 여부(적극). 택배기사의 개인정보 유출 사건 [사건] 수원지방법원 선고 2005고합60 판결(위법) [쟁점] 택배회사로부터 개인정보를 수탁받은 택배기사가 개인정보를 유출한 경우 택배회사도 형사책임을 부담하는지 여부(유죄 인정). L텔레콤사 사건 [사건] 서울고등법원 선고 2009나 93, 2009나 948 판결(심 : 원고 승소, 2심 : 원고 패소, 현재 상고심 계속 중임) 서울중앙지방법원 선고 2008가합75268, 2009가합928 판결 [쟁점] L사가 콘텐츠 제공업자에게 고객정보 시스템에 접속할 수 있는 아이디와 패스워드를 주었으며, 이 권한을 받은 M 사이트를 우연히 접속한 갑이 사이트의 허점을 이용해 정보조회 홈페이지를 운영하여 원고들이 피해를 입었다면, L통신사가 사용자 책임을 져야 하는지 여부(심 : 적극, 2심 : 소극) 2. D포털업체 개인정보유출 사건 [사건] 서울중앙지방법원 선고 2008가단 판결(기각) [쟁점] 서비스 오류로 인해 고객의 정보가 유출 된 경우 D사에 주의의무 위반이 있는지 여부(소극) 3. L전자 개인정보 유출 사건 [사건] 서울고등법원 선고 2008나25888,25895,2590 판결(위법) [쟁점] L전자 온라인 입사지원의 허점을 이용하여 A가 타인의 이력서 정보 일체를 정보통신망에 퍼트린 사건에 대한 L전자의 위법 및 과실 인정 여부(손해배상 인정) 4. N게임사 게임 개인정보 유출 사건 [사건] 대법원 선고 2007다7888판결(기각) 서울중앙지방법원 선고 2006나282 판결 [쟁점] ID,비밀번호를 암호화하지 않고 로그에 저장하는 등 정보를 안전하게 보관하지 않은 경우 손해배상 여부(손해배상 인정) 5. K은행 개인정보 유출 사건 [사건] 서울고등법원 선고 2007나33059, 2007나33066(병합) 판결(위법) 서울중앙지방법원 선고 2006가합33062,53332 판결 [쟁점] K은행에서 32,277명에게 단체메일 전송 중 첨부파일에 성명, 주민등록번호 등이 담긴 파일을 잘못 첨부하여 보낸 사건에 대한 K은행의 위법 여부(위자료 인정). 보이스피싱 인터넷대출 사건 [사건] 서울중앙지방법원 선고 202가단 (본소), 202가단34008(반소) 판결(위법) [쟁점] 인터넷 피싱 사이트 사기로 인해 H저축은행로부터 총 합 수천만 원의 빚을 지게된 경우 이를 대출계약이 성립되었다고 볼 수 있는지와 본인 정보를 알려준 과실이 있는 원고들이 H저축은행에 대하여 불법행위책임이 있는지 여부 및 그 범위 판단(원고들의 일부 책임 인정) 2. 무권한자의 공인인증서 재발급 사건 [사건] 서울중앙지방법원 선고 20가단05339 판결(위법) [쟁점] 성명불상자가 원고의 인터넷뱅킹 ID, 비밀번호 등을 이용하여 공인인증서를 재발급 받아 3,400만 원을 가로챈 경우 피고인 H증권사가 원고에게 손해를 배상할 책임이 있는지 여부와 원고의 과실 여부(청구 인용) 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 3. C미니홈피 방문자 추적 프로그램 사건 [사건] 대법원 선고 200도222 판결(기각) [쟁점] C미니홈피의 방문자를 추적해주는 사이트를 운영한 피고의 법 위반 여부(적극)

78 제2장 실태조사 64

79 제 2 편 정책실적 및 성과 제 장 l 위원회 활동 제 2 장 l 정책 및 제도 개선 제 3 장 l 환경개선 및 수준제고 제 4 장 l 인식제고

81 203 연차보고서 67 제 장 위원회 활동 주요 현황 2 정책실적 및 성과 위원회(이하 이 장에서는 위원회라 한다.)는 20년 9월 30일 출범하여 이듬해인 202년 월과 4월에 개인정보 보호법 에 따른 최초의 개 인정보보호 기본계획과 시행계획을 심의 의결 함 으로써 활동이 범정부 차원에서 체계 적으로 시행될 수 있도록 하였다. 출범 이후 위원회 는 관련 법령의 유권해석과 조정, 정책 과 제도개선에 대한 의견표명 등 법정 기능을 차질 없 이 수행하는 한편, 실태에 대한 조사 및 연구 활동을 전개하고 관련 국제기구에 가입하여 활 동하는 등 신설 기관으로서 위상을 정립하고 향후 발 전기반을 공고히 하고자 노력하였다. 제 절 위원회 운영 3 기관별 실적 및 계획 4 해외동향 부 록. 위원회 회의 위원회는 202년 한 해동안 총 2회의 정기회의를 개최(매월 둘째, 넷째주 월요일)하여 총 6건의 안건 을 상정하여 심의 의결하였다. 안건의 효율적인 사 전 검토를 위하여 위원 4~5인이 참여하는 3개의 소 위원회를 구성 운영하였으며, 특별한 주제인 경우 에는 특별소위원회(구글소위원회 등)를 한시적으로 구성 운영하기도 하였다. 또한, 개인정보 보호법 시행령 제5조에 의거하여 위원회의 심의 의결 사항 중 기술적인 전문성을 요하는 안건 검토를 위해 조사분석전문위원회(전문위원 5인)를 구성 운영 하였다. 각 소위원회에서는 각 부처 또는 소속기관 등으로 부터 접수된 안건에 대해 의견청취, 자료요청 등 사전 검토를 통하여 위원회에 안건을 상정하도록 하는 안 건처리 절차를 마련 운영하고 있다. 202년에 소위 원회 회의는 총 27회 개최되었으며, 사전 검토한 안 건은 총 9건으로 아동 지문 등 정보 사전 등록제, 교

82 제장 위원회 활동 68 통정보 폐쇄회로 텔레비젼(CCTV : Closed-Circuit Television) 영상 외부기관 연계 검토, 민간 및 공공분 야에서 널리 활용되는 CCTV의 설치 운영현황과 문제 점 및 정책제도 개선사항, 정보통신망법 제23조의2( 주민등록번호의 사용제한)에 대한 개선방안, 지자체 CCTV 영상정보 제공 관련 건, 전자학생증 관련 건에 대한 사전 심의, 지하철 전동차 내 CCTV 운영과 관련 하여 영상정보처리기기 운영관리 방침 및 상시모니 터링 등 여부, 자동차보험 관련 개인정보 이용현황 등이 있다. 또한, 연예인 학생의 개인정보 국회제공 과 관련한 법령해석 질의 및 초등학교 담임교사의 동 영상 촬영 및 제3자 자료제공의 위법성 여부 질의 등 에 대하여서도 심의 검토하였다. 조사 분석전문위원회는 202년 3월 27일 위원회 위원 2인과 에 관한 전문지식과 경험이 풍부한 외부전문가 3인 등 총 5명으로 구성되었으며, 202년 한 해 동안 총6회에 걸쳐 연차보고서, 공공기 관 이행실태 조사결과, 기타 제도개선 에 관한 안건 등 위원회 심의 의결사항에 대한 전문 적인 사전검토를 실시하였다. 특히, 스마트폰 보급 확대에 따른 이용자의 강화를 위하여 스마트폰으로부터 처리(전송)되는 개인정보에 대한 현황 및 문제점을 조사 분석하였다. 2. 제도 및 정책개선을 위한 활동 가. 자체 정책 워크숍(Workshop) 위원회는 위원회 위원 및 사무국 직원을 대상으로 역량 강화를 위하여 총 2회에 걸쳐 워크숍을 개최하 였다. 제회 워크숍에서는 해외 기구 운영현황 에 대한 특강과 잊혀질 권리, 일본에서의 법 시행 이후의 사회 변화 등에 대해 토 의를 하였다. 제2회 워크숍에서는 개인정보 보호 법 의 발전적 개정방향 과 위원회 출 범 이후 년간의 변화 등에 대하여 토의하였다. 나. 정책 연구 수행 위원회는 현황과 문제점 파악을 위 해 개인정보 보호법 이행실태 등에 대한 조사 분석을 실시하고, 관련 주요 현안 등을 중점 정책 연구 과제로 선정하여 연구를 추진하는 등 국내 정책 및 제도 개선을 위한 활동도 지속적으로 추진하고 있다. [표 2--]에서 보는 바와 같이 202년 한 해 동안 총 4건의 정책 연구 과제를 수 행하였으며 정책 연구 과제의 결과는 차적으로 개 인정보보호 연차보고서에 반영하여 그림 년 위원회 워크숍

83 203 연차보고서 69 표 년 위원회 정책연구과제 과제명 연구목적 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구 (202.2.) 해외 집행체계 및 개인정보 보호 주요 동향조사 (202..) 개인정보 보호법 시행 이후 관련 주요 변화 및 제도 이행 현황과 문제점 파악을 통해 향후 정기적인 실태조사를 위한 조사방안 마련 주요국의 입법체계 및 전담기구를 분석, 최근의 동향 등을 파악하여 국내 정책의 올바른 방향 설정 주요 현황 빅데이터 환경에서 강화를 위한 법제도적 대책방안 연구 (202.2.) 개인정보 보호법 정비 방안 연구 (202.2.) 최근 SNS, 클라우드 등 빅 데이터 환경에서 개인정보 침해 가능성이 높아짐에 따라 합리적인 법제도 규율 방안을 도출 개인정보 보호법 을 분석하여 개선방향을 도출하고, 주요이슈 및 대응방안 등을 연구 연구보고서는 위원회 홈페이지( 자료실-간행물 에서 확인할 수 있음 업무 담당자 등 관계자와 공유하고, 2차적으로 개인 202년 6월 일에는 국회입법조사처, 개인정보보 정보보호의 제도 개선 등에 활용하고 있다. 호법학회와 위원회가 함께 개인정보 보호법 학 술세미나를 개최하여 개인정보 보호법 이 제정 다. 학회와의 정보교류 목적에 맞게 기능과 역할을 수행하고 있는지 점검하 고, 관련 입법 개선과제에 대한 심도 학회와의 정보교류 등을 위해 한국정보보호학회 있는 논의를 하였다. 세미나에서는 개인정보 보호 소속의 개인정보안전연구회와 2차례에 걸쳐 토론하 법 제정 이후 관련 법령 정비방안, 였으며 202년 월 9일에는 개인정보 보호법 관 위원회의 기능과 역할 개선방안, 개인정보 보호 련 암호화 등 안전성 대책 추진 현황 등을 검토하고, 법 의 문제점과 입법과제 에 대해 발표 및 토론이 진 월 6일에는 개인정보의 안전성 확보조치, 개인정 행 되었다. 보 암호화 조치 주요내용 및 향후 추진 계획 등에 대 해 논의하였다. 마. 박람회(PIS FAIR) 개최 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 라. 학술 세미나 개최 6월 9일에 서울 삼성동 코엑스에서 그림 2--2 박람회(PIS FAIR) 행사 전경 부 록

84 제장 위원회 활동 70 위원회 주최로 진행된 제2회 박람회 (PIS(Personal Information Security) FAIR)에는 총 36개 기업이 참가하였으며, 약 3,600여 명이 참석하였다. 참석자 전원에게 실천 가이드 북 Vol.2 를 배포하였으며, 솔루션 시연 및 전시회도 함께 진행하였다. 또한, 오전에는 개인정 보보호 유형별 유출사례와 법적 대응방안, 개인정보 보호를 위한 디지털 포렌식 기술 활용 방안 에 대한 강연이 있었으며, 오후에는 트랙 A(개인정보 관리 완 전정복), 트랙 B(개인정보 유출사고 완전정복), 트랙 C(개인정보 평가 완전정복)로 나누어 각 주제에 따라 전문가들이 발표를 진행하였다. 바. 개인정보 보호법 시행 주년 기념 포럼 개최 9월 3일에는 언론사인 뉴스 과 함께 개인정보 보호법 시행 주년 기념 포럼을 개최 하여 관련 학계, 업계 종사자 등 00여 명이 참석한 가운데 개인정보 보호법 시행 년의 성과, 법 적용현장에서의 문제점, 개인정보 보호 법 실효성 확보 방안 등에 대해 토의하였다. 제 2 절 위원회 심의 의결 안건의 주요내용 202년 한 해 동안 위원회는 총 2회 개최되었으며, 의결안건 2건, 토의 및 기타토의 안건 2건, 보고안 건 28건 등 총 6건의 안건을 심의 의결하였다. 의결안건은 개인정보 보호법 제8조에 따라 위 원회에 심의 의결 요청된 안건으로 기본계획, 시행 계획, 정책 및 제도개선, 법령 해석에 관한 건 등 관계 기관에서 접수된 안건이 포함되어 있다. 토의안건은 위원회 심의 의결 사항에 대하여 사전에 위원들의 의견을 취합하고 토의하기 위한 것으로 202년에는 총 2건의 안건에 대하여 토의를 진행하였다. 보고안 건에는 관련 동향, 위원회 운영과 관련 된 사항, 실태조사 결과 등 사무국에서 위원회에 보 고하여야 할 사항들이 포함되어 있으며, 위원회 출범 이후 본격적으로 업무를 시작하기 위한 동향보고 및 위원회 운영 관련 보고사항들이 주를 이루었다. 위원회는 개인정보를 보호하고 정보주체의 권익 을 보장하기 위하여 의 기본 목표와 추 진방향, 제도 및 법령 개선, 침해 방지대책 등을 포함 한 년도 기본계획 을 심 의 의결(202..)하고, 이 기본계획에 따른 46개 중 앙행정기관의 시행계획을 심의 의결(202.4.)하였 으며 정책 환경(국내 외 동향,법 제 도 환경 변화 등), 에 대한 실태조사 결 과, 권리침해 및 분쟁조정 현황 등 주요 현황, 개인정 보보호 관련 20년도 성과 및 202년도 추진계획 등 을 총망라한 202 연차보고서 를 작성 하여 국회에 제출(202.8.)하였다. 또한, 안전행정부 방송통신위원회 금융위원회 가 공동으로 제출한 주민등록번호 수집 이용 최소 화대책, 개인정보 유출통지제도 해석 및 운용의 적정 성, 주민등록번호의 사용제한 규정 (정보통신망법) 개정, 중 고등학교 전자학생증 발급, 구글 통합서비 스 정책과 관련한 개인정보 취급방침 개선 등에 대해 심의를 거쳐 제도개선 권고 및 의견을 제시하는 등 국 가의 정책을 총괄 조정하는 역할을 수행하였다. [표 2--2]는 202년 위원회가 처리한 안 건목록이며, 이들 중 주요안건의 구체적인 내용을 살 펴보면 다음과 같다.

85 203 연차보고서 7 표 년 위원회 안건처리 현황 구분 의결안건 (2건) 토의안건 (2건) 보고안건 (28건) 안건 명 202~204년도 기본계획 개인정보 보호법 관련 법령해석 요청 건(배달음식점의 개인정보 수집 및 이용 관련) 전문위원회 구성방안 주민등록번호 수집 이용 최소화 종합대책 202~203년도 시행계획 검토 소위원회 구성 계획(안) 조사 분석 전문위원회 위원 인선(안) 정기회의 월2회 개최의 건 법령정비위원회 구성에 관한 건 202~203년도 시행계획(안) 시 군 CCTV 영상정보 연계를 위한 심의 요청 건 병역 관련 개인정보 제공을 위한 심의 요청 건 구글의 개인정보 취급방침 개선 의견 학자금 대출 회수를 위한 개인정보 제공 관련 심의 의결 건 개인정보 유출 통지 의무 위반 개인정보처리자들에 대한 조치 권고 202년도 연차보고서 심의 요청 건 위원회 운영규칙 개정안 자치단체 CCTV 영상정보 제공 관련 법령해석 요청의 건 중 고등학교 전자학생증 발급 관련 개선의견 주민등록번호의 사용제한 규정 관련 개선 의견 학생(연예인) 개인정보 제공 관련 법령 해석 요청 건 교통영상정보 외부기관 연계 송출의 개인정보 보호법 저촉 여부 질의 건 위원회 운영 관련 구글 개인정보 통합관련 CCTV 제도개선 관련 제2소위원회 논의 및 검토진행상황 보고 개인정보 보호법 시행 주년 기념 포럼 계획 및 위원 워크숍 일정 보고 정보통신망법 주민등록번호 사용제한 조항 검토 보험업계 개인정보 집중 및 활용 관련 검토계획 보고 개인정보 보호법 개정안 축조 심사 전자학생증 발급 시 제공되는 개인정보항목 등 보고 건 202년도 개인정보 영향평가 실시 현황 지방자치단체 운영현황 자료수집 결과보고 지방교육청 법령해석 요청 건 관련 검토 개인정보 보호법 개정 관련 간담회 관련 주요 언론보도 (방송통신위원회 본인확인제 폐지 검토, 보험사 개인정보 보호법 개정 요청 등) 시행계획 심의 방안 구글 개인정보 취급방침 통합 관리 관련 위원회 운영 관련 202~203년도 시행계획(안) 심의 추진 현황 개인정보 분쟁조정위원회 관련 현황 시행계획 수립 후속조치 계획 개인정보의 목적 외 이용 및 제3자 제공대장 관리현황 분석결과 정보통신망법 시행령 개정 관련 주요 동향 202년도 연차보고서 관련 개인정보 보호법 학술세미나 개최 계획 보고 캐나다 ICDPPC 집행회의 동향 한국장학재단 학자금 대출 회수를 위한 개인정보 제공 관련 심의요청 사전 보고 인터넷게임 셧다운제 시행 관련 쟁점 및 동향 금융권 개인 신용정보 수집 조회 보도 관련 사항 도로공사 위치정보 수집 판매 보도 관련 사항 서울 지하철 객실 내 CCTV 설치 관련사항 경품, 할인권을 통한 개인정보 불법수집 관련 병역정보제공 관련 의결건에 대한 일선 대학의 민원 제기사항 검토 보고 개인 의료정보보호법 제정안 추진상황 보고 중 고등학교의 전자학생증 발급 관련 청원사항 검토 보고 아동 등 지문등 정보 사전등록제 관련 민원 검토 보고 관련 법률 입법추진상황 보고 법령상 동의를 받는 방법 에 대한 문제점 검토 보고 본인 확인기관 지정 제도 관련 보고 개인정보 보호법 개정안 관련 보고 시행계획 추진상황 보고 자동차 보험 관련 개인정보 이용현황 검토결과 보고 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

86 제장 위원회 활동 72. 개인정보 제공 관련 요청 가. 시 군 CCTV 영상정보 연계를 위한 심의 요청 G도는 도청에서 방범, 주차관리 등의 목적으로 설 치 운영되는 도내 시 군 CCTV 영상정보를 소방목 적으로 도 소재 소방재난본부에 제공할 수 있는지에 대해 개인정보 보호법 제8조 제2항제5호에 따라 위원회에 심의를 요청하였다( ). 위원회는 소방재난본부에서 시 군의 영상정보 (CCTV)를 제공받아 소방 목적으로 활용하는 것은 안 내판에 해당 목적을 추가하여 CCTV영상정보를 연계 하는 것이 적절하다고 보고, 개인정보 보호법 제 8조 제2항 제5호에서 규정하고 있는 소관업무를 수 행할 수 없는 경우 로 보기 어렵다고 판단하여 기각하 였다. 나. 병역 관련 개인정보 제공을 위한 심의 요청 병무청은 병역 관련 개인정보를 대학의 휴 복학 업무 처리를 위해 각 대학에 제공하는 것이 가능한지 에 대해 개인정보 보호법 제8조제2항제5호에 따라 위원회에 심의를 요청하였다( ). 위원회는 대다수 대학에서 학생으로부터 관련서 류(휴 복학원, 입영통지서, 병적증명서 등)를 제출 받아 업무를 처리하고 있으며, 행정정보공동이용시 스템을 이용할 경우 병적사항 조회가 가능하므로 법 제8조제2항제5호에서 규정하고 있는 소관업무 를 수행할 수 없는 경우 에 해당하지 않는다고 판단하 여 기각하였다. 다. 학자금 대출 회수를 위한 개인정보 제 3자 제공 요청 한국장학재단은 한국장학재단 설립 등에 관한 법률 제50조제항제5호에 따라 학자금 지원업무 수행에 필요한 자료를 국민건강보험공단에 요청하 였으나, 국민건강보험공단은 개인정보 보호법 제8조제2항에서 규정하고 있는 정보주체의 이익을 부당하게 침해할 우려 가 있다는 등의 이유로 자료 제 공을 거부하였다. 이에 한국장학재단은 학자금 대출 회수를 위해 개인정보 보호법 제8조제2항제5호 에 의거 건강보험공단으로부터 직장정보를 제공받 는 것이 가능한지 여부를 위원회에 심의 요청하였다 ( ). 위원회는 한국장학재단이 한국장학재단 설립등 에 관한 법률 제50조제항제5호에 따라 국민건강 보험공단에게 제출 요청한 직장정보 는 개인정보 보호법 제8조 제2항에 해당하지 않는다고 판단하 여 기각하였다. 라. 교통영상정보 외부기관 연계 송출의 개인정보 보호법 저촉 여부 질의 S지방경찰청에서는 교통의 안전과 원활한 소통을 목적으로 처리하고 있는 교통영상정보를 외부기관 과 연계하는 것이 개인정보 보호법 에 저촉되는 지 질의하였다( ). 위원회는 교통영상정보에 개인정보가 가급적 포 함되지 않도록 해야 하며, 만약 개인정보가 포함되는 경우에는 외부기관 제공을 엄격하게 제한하도록 운 영지침을 개정하는 등의 관리적 보호조치 및 개인정 보가 포함된 교통영상정보가 일반에게 제공되거나 외부기관으로 송출되는 것을 자동으로 차단할 수 있

87 203 연차보고서 73 는 기술적 보호조치를 마련할 것을 권고하였다. 2. 개인정보 관련 법령의 해석 운용 가. 배달음식점의 개인정보 수집 및 이용 관련 안전행정부는 배달음식점에서 음식 배달이 완료 된 고객의 전화번호, 주소를 보관하는 경우에 고객의 동의를 받아야 하는지 여부에 대해 개인정보 보호 법 제8조 제항 제4호에 따라 위원회에 법령의 해 석을 요청하였다(202...). 위원회는 고객의 전화번호 및 주소는 개인정보 에 해당하며, 배달음식점이 주문 고객의 전화번호 및 주 소와 같은 개인정보를 수집하는 것은 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경 우 에 해당하나, 그러한 경우라도 그 수집 목적의 범 위에서 이용 하여야 한다. 배달음식점이 고객의 개인 정보(전화번호 및 주소)를 수집하는 목적은 해당 주 문의 배달에 한정되는 것이므로, 그 배달이 완료되었 다면, 그 수집 목적도 달성되었다고 보아야 할 것이 다. 이에따라 배달음식점에서 배달이 완료된 후에 해 당 개인정보를 계속해서 보유하고자 한다면 개인 정보 보호법 제5조 제2항에 따라 정보주체의 동의 를 받아야 할 것으로 해석하였다. 나. 개인정보 유출 통지제도 해석 및 운용의 적정성에 대한 심의 의결 위원회 조사 결과 개인정보의 유출 통지가 정보주 체에 대한 서비스 차원이나 유출사실을 알리는 정도 에 그치고 있음을 확인하였다. 이에 정보주체의 주요 권리보장 수단인 개인정보 유출통지제의 성공적 정 착을 위해 안전행정부장관과 방송통신위원회 위원 장에게 개인정보 보호법 시행 이후 유출사고의 경우 관련 통지 신고의무 불이행 관련 적법성 여부 를 판단하여 과태료 부과 등 필요한 조치를 취할 것을 권고하였다( ). 다. CCTV 영상정보의 제3자 제공 관련 법령해석 요청 G구는 지방자치단체가 통합관제센터 CCTV영상 정보를 수도방위사령부에 제공하는 것이 개인정보 보호법 제58조제항제2호에 의해 가능한지 여부 등에 대한 법령 해석을 요청하였다( ). 위원회는 지방자치단체가 수집한 CCTV의 영상정 보를 군부대에서 군사작전 및 재난대응 용도로 상시 사용할 수는 없으며, 법 제58조제항제2호에 따라 국 가안전보장과 관련된 정보분석을 목적으로 수집 또 는 제공 요청되는 개인정보 의 경우라도, 그 이용 목 적이 구체적 이고 명확한 경우에 한하여 제공되어야 한다고 해석하였다. 3. 제도 개선권고 및 의견제시 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 위원회는 개인정보 보호법 시행 이후 발생된 개인정보 유출사고에 대해 개인정보처리자들이 같 은 법 제34조제항 각호에서 규정하고 있는 사항을 구체적으로 정보주체에게 명확하게 통지하였는지를 조사하였다. 가. 중 고등학교 전자학생증 발급 관련 개선 의견 C사단법인은 중 고등학교에서 신분확인, 도서대 여, 교통카드 등의 서비스 제공을 위한 전자학생증 발

88 제장 위원회 활동 74 급 시 학생의 개인정보 침해가능성이 우려되므로 이 에 대해 실태파악을 통한 관련 정책의 개선을 위원회 에 요청하였다( ). 전국 5,465개 중 고등학교의 전자학생증 발급실 태 조사 결과, 상당수 학교가 위탁 시 문서에 목적 외 처리금지 등에 관한 내용을 누락하고, 일부 학교의 경 우 전자학생증 발급 업무 위탁내용과 수탁자를 공개 하지 않고 있으며, 수탁자 교육 및 관리 감독을 소홀 히 하고 있었다. 또한, 일부 전자학생증 발급업체의 경우 개인정보 처리방침을 수립 공개하지 않고 있 었다. 위원회는 개인정보 보호법 제26조제항 및 같은 법 시행령 제28조 등에 규정된 내용을 충실히 반 영하도록 할 것, 2위탁업무내용 및 수탁자를 정보주 체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 공 개하도록 할 것, 3수탁자 교육 및 감독을 철저히 하 도록 할 것, 4수탁업체의 개인정보 처리방침 수립 공개에 대한 지도 감독을 철저히 할 것, 5표준개인 정보처리 위탁계약을 사용할 것을 교육부장관에게 권고하였다. 6일과 5월 22일 두 차례에 걸쳐 구글에 질의서를 전 송 하였으며 방송통신위원회에서도 2월 28일 구글에 개선 권고를 하였다. 위원회에서도 월 30일 구글 방침통합의 개인정 보 보호법 및 정보통신망법 위반 여부 등을 검토하 기 위한 소위원회를 구성하였다. 2월 22일 개인정보 취급방침 통합과 관련된 질문 에 대한 구글의 답변을 듣는 것으로 시작하여 총2회 에 걸쳐 국내법 적용 여부, 최소수집 원칙 위반 여부, 파기 관련규정 위반, 동의절차 등에 대해 검토한 결과 개인정보 수집 이용의 목적을 포괄적으로 설정하 고 이를 근거로 과다한 개인정보를 수집할 수 있도록 하여 법 위반 소지가 있으며, 개인정보취급 방침 통합 을 통해 60여 개 서비스별로 각각 수집된 개인정보에 대해 일률적으로 동의를 구하면서 동의에 필요한 필 수고지 사항을 명확히 적시하지 않고 있는 등 동의 절 차 위반 소지가 있음을 파악하고 6월 일 의견표명 을 위한 최종안을 본 회의에 상정하여 의결하였다. 주식회사 구글의 개인정보 취급방침 통합에 대한 위원회의 결정문은 [표 2--3]과 같다. 나. 구글 통합서비스 정책과 관련한 개인 정보 취급방침 개선의견 다. 주민등록번호의 사용제한 규정 (정보통신망법) 관련 개선 의견 구글사가 202년 월 24일 자사 내 60여 개 서비스 사용자에 대한 개인정보 취급방침을 통합하여 시행 ( )하겠다고 공표하였으며, 이와 관련하여 많 은 논란이 있었다. 유럽연합(EU : European Union) 제29조 작업반 (Article 29 Working Party)의 위임을 받은 프랑스의 정 보와 자유에 관한 국가위원회(CNIL : Commission Nationale de I'nformatique et des Lovertes)는 구글 개 인정보 취급방침 통합에 대한 조사를 실시하여 3월 방송통신위원회는 인터넷상으로 주민등록번호수 집 및 이용을 원칙적으로 금지하고 본인확인기관으 로 지정을 받거나 법령에서 주민등록번호 수집 및 이 용이 불가피하여 방송통신위원회가 고시하는 경우 에는 예외적으로 허용하는 내용을 담은 정보통신망 법 개정안을 202년 8월 시행하였다. 이와 관련하여 J시민단체는 게시판에서의 주민등 록번호수집(본인확인) 절차가 위헌으로 결정되었음 에도 불구하고, 방송통신위원회가 본인확인기관을

89 203 연차보고서 75 표 2--3 구글 개인정보 취급방침 통합에 대한 위원회 결정문 주식회사 구글(이하 구글 이라고 함)은 개인정보 취급방침에 개인정보 수집목적을 포괄적으로 설정하고, 개인정보 수집 이용 등에 대해 사용자에게 선택권을 부여하지 않고 일괄적으로 동의를 구하고 있으며, 필요 이상의 기간 동안 개인정보를 보유할 수 있도록 함 으로써 결과적으로 개인정보의 과다수집과 오남용 소지가 있다. 이에 따라 위원회는 구글의 개인정보 수집 이용행위가 목적의 명확화 와 개인정보 최소수집 을 규정한 개인정보 보 호법 제3조, 제6조 및 정보통신망법 제23조와 개인정보 수집 이용 시 동의 를 규정한 개인정보 보호법 제5조, 제22조 및 정보 통신망법 제22조, 제26조의2 그리고 개인정보의 파기 를 규정한 개인정보 보호법 제2조, 제36조, 제37조 및 정보통신망법 제29 조, 제30조 위반 소지가 있다고 판단하여 구글의 개인정보 취급방침이 다음과 같이 개선되어야 한다는 의견을 표명하기로 하였다. 개인정보 수집 목적을 보다 명확하게 규정하고, 그 규정한 목적과 해당 서비스에 필요한 최소한의 개인정보를 수집 이용하도록 할 것 2 개인정보를 수집 당시 목적 과 다른 용도로 이용하거나 개인별 맞춤형 콘텐츠 제공 등 사용자의 개별적 선택권을 존중해야 하는 서비스에 대해서는 별도로 동의를 받도록 할 것 3 개인정보의 보유기간이 만료되거나 정보주체의 파기요청이 있으면 해당 개인정보를 지체 없이 파기한다는 원칙을 방침에 명시할 것 주요 현황 2 정책실적 및 성과 지정 (주민등록번호수집 허용)할 수 있도록 정보통 신망법을 개정한 것은 위헌결정에 위배되므로 폐지 되어야 하며, 개인정보유출 전력이 있는 이동통신사 를 본인확인기관으로 지정하고, 필요에 따라 방송통 신위원회가 고시로 주민등록번호 수집을 허용할 수 있도록 한 것은 부당하므로 관련 법조항에 대한 개선 의견을 의결하여 줄 것을 위원회에 요청하였다 ( ). 위원회 검토 결과 본인확인기관제도는 주민등록 번호 대체수단을 발급하여 일반 업체들이 무분별하 게 주민등록번호를 수집하지 못하도록 하기 위한 것 으로 위헌결정과는 무관하므로 폐지하는 것은 적절 치 않다고 판단하였으나, 정보통신망법 제22조 및 제 23조의2에 따를 때, 본인확인기관 등이 주민등록번 호를 수집할 시 이용자의 동의를 받지 않아도 될 여지 가 있는 점과 고시의 경우 법령이 아니므로 방송통신 위원회가 자의적으로 주민등록번호 수집을 허용할 우려가 있다고 판단하였다. 이에 위원회는 방송통신위원회에 본인확인기관 등이 주민등록번호를 수집할 때 정보주체의 동의를 받도록 명확하게 규정하도록 하고, 고시로 허용할 수 있는 기준을 대통령령에 구체화할 것을 권고하였다. 라. 주민등록번호 수집 이용 최소화 종합대책 심의 의결 안전행정부, 방송통신위원회, 금융위원회는 국민 의 소중한 개인정보인 주민등록번호를 보호하기 위 해 부처 합동으로 주민등록번호 신규 수집 이용 제 한 및 주민등록번호 데이터베이스(DB : Data Base)의 안전한 관리 등을 내용으로 하는 주민등록번호 수 집 이용 최소화 종합대책 을 마련하여 위원회에 심 의 의결을 요청하였다( ). 동 대책에는 주민등록번호 수집 이용, 관리, 침 해대응, 사후조치 4단계로 구분하여 각 단계별 위 험요소를 최소화하기 위한 대책이 마련되어 있으 며 위원회는 관련 부처, 전문가 검토 등을 거쳐 4월 9일 의결하였다. 종합대책의 상세한 내용은 연차 보고서 제2편 2장 2절 개인정보 체계 정비 부분에 수록하였다. 3 기관별 실적 및 계획 4 해외동향 부 록

90 제장 위원회 활동 76 제 3 절 국제교류 나. 아시아태평양 프라이버시 감독기구 포럼 (APPA) 위원회는 의 국제적 이슈에 능동적 으로 대응하기 위하여 [표 2--4]와 같이 관련 국제기구에 가입하고 관련 국제회의에 참석하 는 등 국제협력 활동도 적극적으로 추진하였다. 가. 국제프라이버시네트워크(GPEN) 경제협력개발기구(OECD : Organization for Economic Cooperation and Development) 회원국 주 도로 2009년 회원국 간 관련 이슈를 공 유하기 위해 온라인 게시판을 개설한 것을 계기로 활 동을 시작한 국제프라이버시네트워크(GPEN : Global Privacy Enforcement Network)는 202년 2월 현재 총 8개국 24개 기관이 회원으로 참여하고 있으 며, 위원회도 202년 월에 회원으로 가입하여 다른 회원국과 지속적으로 정보 교류를 추진 중에 있다. 2005년 뉴질랜드, 호주, 홍콩, 한국이 호주 뉴질 랜드 프라이버시 기구(PANZA : Privacy Agencies of New Zealand and Australia)를 보다 발전된 형태의 포 럼으로 운영하기 위해 구성한 아시아태평양 프라이 버시 감독기구 포럼(APPA : Asia Pacific Privacy Authorities)에는 202년 말 현재 7개국 4개 기관이 참 여하여 활동하고 있으며, 연 2회 포럼을 개최하고 있 다. 위원회는 202년 3월에 APPA 회원으로 가입하였 으며, 그 해 6월 37차 포럼과 2월 38차 포럼에 참가하 여 와 각국의 프라이버시 관련 법안 등 에 대해 정보와 의견을 교환하였다. 홍콩 위원회(PCPD : Office of the Privacy Commissioner for Personal Data) 주최로 홍콩 에서 개최된 37차 포럼에서는 회원국의 지난 6개월 간 활동내용과 각국의 법 정책 등 정보를 공유하는 자리를 가졌으며, 위원회는 개인정보 보호법 제 표 2--4 국제기구 가입 및 회의 참가 현황 국제협의회 등 가입현황 국제프라이버시네트워크(GPEN) : 아 태프라이버시기구회의(APPA) : 국제기구회의(ICDPPC) : 국제회의 참가 현황 ICDPPC집행부 회의( ~8. 캐나다) 제37차 APPA 포럼( ~6. 홍콩) 제34회 ICDPPC회의( ~26. 우루과이) 제38차 APPA 포럼( ~7. 미국) 그림 2--3 APPA(38차) 및 ICDPPC(34차) 회의 모습

91 203 연차보고서 77 정과 위원회의 설립배경 및 과정을 설명하고, 실태조 사 내용도 발표 하였다. 한국인터넷진흥원도 참석하 여 정보통신망법 개정 배경 및 과정을 설명하고 구글 의 새로운 정책에 대한 방송통신위원회의 대응을 설 명하였다. 이 포럼에서는 마카오 위원 회(Office for Personal Data Protection) 주최의 개인정 보보호 국제세미나도 함께 개최되었으며, 국가간 정 보이전과 규제에 대한 사례 와 공공이익과 프라이버 시 권리의 균형 에 대해 발표하고 토론을 진행하였 다. 38차 포럼은 2월에 미국에서 개최되었으며 각 회원국의 지난 6개월간 활동내용, 각 국의 개인정보 보호 관련법과 정책에 관한 정보를 공유하고 캐나다 프라이버시위원회(Office of the Privacy Commissioner) 와 홍콩 위원회가 관련 아젠다 발표 및 토론을 진행하였다. 다. 국제기구회의(ICDPPC) 202년 말 기준으로 회원국이 59개(94개 기관)인 국제기구회의(ICDPPC : International Conference of Data Protection and Privacy Commissioners)는 별도의 사무국이 없는 비상설 조 직으로 매년 정기회의를 주최하는 국가에서 홈페이 지를 운영하여 정보를 공유하는 방식으로 운영되고 있으며, 매년 회 정기총회를 개최하고 있다. 위원회 는 202년 5월 ICDPPC 집행회의(캐나다)에 참석하여 위원회 소개, 가입의사 전달, 캐나다 프라이버시위원 회 방문 등을 진행한 뒤 0월 제34회 총회(우루과이) 에서 ICDPPC 회원으로 가입하였다. 제34회 총회는 비공개회의 3일, 공개회의 2일 총 5박 6일간 진행되었 으며 주요 회의 내용은 [표 2--5]과 같다. 라. T-PD 28) 회의체 그 외에 98년 유럽연합의 를 위해 구 성된 T-PD 회의체는 유럽연합 47개국이 회원으로 가입 되어 있고 미국, 일본 등 6개국이 옵서버로 가입되어 있 으며, 위원회도 202년 0월 옵서버로 가입하였다. 향후에도 적극적인 국제 협력 활동을 통해 국제기 구 및 국가 간 협력을 활성화하여 체계 의 상호 운용성을 확보해 나갈 계획이며, 영향력 있는 국제기구의 가입 및 활동을 강화하고 아시아 주요국 등 개인정보의 유출 위험성이 높은 국가와 정부차원 에서의 공조 체계를 구축해갈 것이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 2--5 제34회 ICDPPC 총회 일자별 회의 내용 일자 0.22.(월) : 비공개회의 0.23.(화) : 공개회의 0.24.(수) : 공개회의 0.25.(목) : 비공개회의 0.26.(금) : 비공개회의 집행부(미국, 뉴질랜드, 네덜란드) 활동 보고 회원국 간 정보공유 시 비밀유지에 대한 토론 기타 논의사항 세부내용 프라이버시와 기술의 균형 : 정보사회의 최근 경향, 정보보호와 전자정부, 개방형 정부, E-건강 온라인상의 행동 마케팅 프라이버시 규제 모델 라틴아메리카에서의 스마트 데이터 회원, 옵저버 가입 승인 공공 및 사적 영역에서의 프로파일링 회원간 국제교류 활성화 논의 프라이버시의 미래 클라우드 컴퓨팅 부 록 28) 개인정보 처리 과정에서의 정보보호를 위한 자문위원회(Consultative committee of the convention for the protection of individuals with regard to automatic processing of personal data)

92 제3장 환경개선 및 수준제고 78

93 203 연차보고서 79 제 2 장 정책 및 제도 개선 주요 현황 2 정책실적 및 성과 제 절 관련 법령 개선 20년이 개인정보 보호법 및 하위 규정을 제정 하여 공공 민간부문을 망라한 원칙 과 처리 기준을 정립한 한 해였다면, 202년은 법의 본격 시행에 따라 보다 안정적으로 법 제도가 조기 정착될 수 있도록 법령정비 및 분야별 업종별 특성 을 반영한 가이드라인 등을 마련하여 제도적 기반 을 공고히 한 해였다고 할 수 있다.. 분야별 관계법령 정비 안전행정부는 개인정보 보호법 시행 후 고유식 별정보 및 민감정보에 대한 처리가 엄격해짐에 따 라, 법령상 사무 수행에 고유식별정보나 민감정보 가 꼭 필요한 세무 병역 법무 복지 분야 등 총 25개 부처 20개 대통령령을 202년 월에 일괄 개 정하여 개인정보 수집을 통한 업무 처리의 근거를 마련하였다. 아울러, 주민등록번호 등의 처리가 필요한 국가계 약, 다문화가족 지원 등의 업무에 대하여 하반기에 3 기관별 실적 및 계획 4 해외동향 부 록 표 2-2- 일괄개정된 법령(20개 대통령령) 중 주요 법령 법령명 국가를 당사자로 하는 계약에 관한 법률 시행령 전자정부법 시행령 부동산개발업의 관리 및 육성에 관한 법률 시행령 다문화가족지원법 시행령 중소기업창업지원법 시행령 자본시장과 금융투자업에 관한 법률 시행령 소관부처 기획재정부 안전행정부 국토교통부 여성가족부 중소기업청 금융위원회

94 제2장 정책 및 제도 개선 80 추가적으로 고유식별정보 및 민감정보 처리 근거 법 령 등의 정비를 추진하였다. 이를 위해 총 2개 부처 3개 법령의 개정소요를 제출받아 민간위원들로 구성된 주민등록번호처리 심의위원회를 개최하여 해당 업무 수행 시 고유식 별정보나 민감정보 처리에 대한 불가피성, 대체수단 적용가능성 등을 엄격하게 심사하여, 주민등록번호 사용의 불가피성이 없거나 다른 수단으로 대체가능 한 9개 법령을 제외한 9개 부처 22개 대통령령에 고 유식별정보 및 민감정보의 처리 근거를 마련하였다. 방송통신위원회는 개정된 정보통신망법 시행에 맞추어 정보통신망법 시행령 및 고시를 202년 8월 에 개정하여 개인정보처리시스템에 접속하는 개인 정보취급자 컴퓨터 등의 외부 인터넷 망 차단조치, 개인정보 유출사고 발생 시 통지 및 신고 관련 방 법 절차, 개인정보 이용내역 통지 대상 및 방법 등 을 신설하고, 위치정보의 보호 및 이용등에 관한 법 률 시행령 및 고시를 202년 월에 개정하여 위치 정보사업자의 허가심사 제출 서류를 간소화하고 위 치정보사업허가 관련 세부 심사 기준별 평가방법 등 을 마련하였다. 금융위원회는 202년 5월 전자금융거래법 시행 령을 개정하여 정보보호책임자(CISO : Chief Information Security Officer)의 자격요건을 규정함으로써 정보기술부문 보안을 총괄 책임지도록 하고, 전자 금융거래의 안전성 확보와 이용자 보호대책을 추진 하도록 하였다. 또한, 전자금융거래법 에서 정 보기술 부문 계획 수립 제출, 2전자금융 기반시설 취약점 분석평가 의무화, 3침해행위 금지 및 처벌, 4전자금융 보조업자 직접조사, 5금융회사 제재 강 화, 6해킹에 대한 금융회사 책임 강화 등을 내용으 로 하는 개정안을 국회에 제출하여 개정을 추진하고 있다. 뿐만 아니라, 기존 금융위원회 소관 분야에서 법 령상 근거 없이 주민등록번호 처리가 이루어졌던 일 부 업무에 대하여 공사채등록법 시행령, 금융산 업의 구조개선에 관한 법률 시행령, 자본시장과 금융투자업에 관한 법률 시행령, 특정금융거래정 보의 보고 및 이용 등에 관한 법률 시행령 개정으로 주민등록번호의 처리 근거를 마련하여 202년 0월 과 월에 입법예고를 하였다. 또한, 한-EU 자유무역협정(FTA : Free Trade Agreement)( 발효)에 따른 정보처리업무의 해외 위탁 및 데이터의 국외이전 허용에 대한 T/F를 운영하여 세부 이행방안 및 감독 방 안을 논의하였다. 이와 관련하여 203년도에는 개인 정보보호 및 관리 감독 강화 등을 고려한 FTA의 효 과적인 이행 방안 마련 및 협정 시행 이후 감독 방안 을 마련할 예정이다. 2. 분야별 업종별 가이드라인 마련 보급 개인정보 보호법 이 본격 시행됨에 따라 이에 대한 이해를 돕고 현장에서의 혼란을 최소화하기 위 하여 각 분야별 상황에 맞는 의 원칙과 기준을 정립할 필요성이 제기되었다. 이에 안전행 정부는 보건복지부, 교육부, 고용노동부, 방송통신 위원회와 T/F를 구성하여 인사 노무분야, 의료분 야, 교육 분야, 학원 분야, 안전한 쇼핑 및 물품 배송 을 위한 가이드라인을 마련 보급하 는 한편, 금융위원회 및 금융감독원과 함께 보험업 종 표준 개인정보처리 동의서식을 마련하였으며, 금 융 분야 가이드라인을 마련하는 작업 을 진행하고 있다.

95 203 연차보고서 8 금융위원회는 202년 월 금융회사 인력 및 예 산, 보안 강화대책을 담은 금융회사 정보기술(IT)부 문 보호업무 모범 규정 을 제정하여 전산실 등 보호 대책, 해킹 등 침해행위 방지대책, 내부통제 강화대 책, 외부 위탁에 관한 기준 등을 마련하였다. 또한, 금융회사의 업무추진에 가이 드를 제시하기 위하여 금융분야 가이 드라인 마련을 위한 T/F를 운영하고 있으며, 203년 에 이 가이드라인을 완성하여 금융회사에 전파할 예 정이다. 금융권의 불필요한 개인정보 수집 관행을 근절하기 위하여 금융감독원 금융협회와 함께 금 융권 개인정보 수집실태 제도개선 T/F를 구성, 금융 회사의 약관 및 개인정보처리 서식 등을 일제 조사 하여 개인정보를 최소한으로 수집하도록 하는 개선 방안을 마련 중에 있다. 금융 분야의 관련 정책의 발전을 위 하여 해외의 금융 분야 제도에 관한 연구조사를 지속적으로 실시하고 있으며, 중국에서 온라인 강화 법률( 시행) 및 최초의 국가표준( 시행)이 마 련됨에 따라 관련 자료를 수집 번역 전파하여 연 구하고 있다. 방송통신위원회에서도 정보시스템별 개인정보의 안전한 관리를 위해 개인정보처리시스템과 외부망 과의 망분리 등의 내용을 포함한 개인정보의 기술 적 관리적 보호조치 기준 해설서 증보판을 발간하 여 202년 9월에 보급하였다. 안전행정부는 자체적으로도 소상공인을 위한 소 상공인 개인정보처리 유형별 보호조치 가이드라인 과 개인정보의 암호화와 관련한 개인정보의 위험 도 분석기준, 개인정보 암호화 조치 안내서 를 마련 하였고, 개인영상정보의 안전한 활용과 사생활 침해 및 홈페이지에 대한 개인정보 노출을 최소화하기 위 한 공공 민간분야 영상정보처리기기 설치 운영 가이드라인 및 홈페이지 개인정보 노출방지 가이 드라인 을 개정하였다. 각 가이드라인의 주요내용은 다음과 같다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 가이드라인, 해설서 등 제(개)정 현황 제 목 법적 근거 제정(개정)일 비고 뉴미디어 서비스 가이드라인 법 제3조 안전행정부 공공 민간 기관 영상정보처리기기 설치 운영 가이드라인 법 제3조 (202.2.) 안전행정부 인사 노무분야 가이드라인 법 제2조 안전행정부-고용노동부 부 록 소상공인 개인정보처리 유형별 보호조치 가이드라인 법 제29조 안전행정부 의료기관 가이드라인 법 제2조 안전행정부-보건복지부 교육(학원 교습소)분야 가이드라인 법 제2조 안전행정부-교육부 개인정보 암호화 조치 안내서 법 제29조 안전행정부 홈페이지 개인정보 노출방지 가이드라인 법 제3조 (202.7.) 안전행정부 안전한 쇼핑 및 물품배송을 위한 수칙 법 제3조 방송통신위원회 개인정보의 기술적 관리적 보호조치 기준 해설서 방송통신위원회 고시 방송통신위원회 보험업종 표준 개인정보 처리 동의서식 안전행정부-금융위원회-금융감독원 가이드라인 안내서는 privacy.go.kr, 해설서는 kisa.or.kr에서 다운 가능

96 제2장 정책 및 제도 개선 82 가. 뉴미디어 서비스 가이드라인 클라우드 컴퓨팅 서비스(Cloud Computing Service), 소셜 미디어(Social Media) 등 뉴 미디어를 이용한 업무 처리 및 서비스 제공이 늘어남에 따라 이를 활용한 서비스 제공 시 준수해야 하는 사항과 이용자가 유의해야 하는 사항을 안내하고 있다. 나. 공공 민간분야 영상정보처리기기 설치 운영 가이드라인 영상정보 제공을 요청하는 경우 파기 예정일을 기재하여 신청하도록 하고, 제공 후 파기 등의 결 과를 회신하고 관련내용을 기록 관리하도록 하는 한편, 영상정보처리기기 설치 장소를 구체화하는 등 영상정보가 안전하게 활용되고 관리될 수 있도 록 일부 미비 사항을 보완하기 위하여 차 개정을 하였다. 다. 인사ㆍ노무분야 가이드라인 채용, 근로계약, 재직자 인사관리, 퇴직 등 인사 업 무 단계별 개인정보 처리 요령과 사례를 설명하고, 인사 노무 담당자가 반드시 준수해야 하는 사항과 관련 서식 및 법령을 소개하였다. 조치해야 하는 사항을 제시하여 프로그램 개발 시 의무사항을 준수할 수 있도록 하는 한편, 준수 사항 을 소상공인에게 안내할 수 있도록 하였다. 마. 의료기관 가이드라인 제정 및 사례집 병원, 의원, 한의원, 치과의원 등 각급 의료기관들 이 수집하는 개인정보 중 의료관계 법령에 따라 수 집하는 의료정보와 일반 개인정보를 분리하여 각 정 보의 처리과정에서 지켜야 할 원칙을 설명하였다. 이와 함께 에 대한 의료기 관들의 이해를 돕기 위하여 의료기관에서 많이 문의 한 개인정보 관련 질의사항들을 묶어 의료분야 개인 정보보호 상담 사례집을 발간하였다. 바. 교육(학원 교습소) 분야 가이드라인 학원 교습소에서 준수해야 하는 원칙 및 유의사항을 수강생, 강사 등 정보주체에 따라 설명하였고, 학원에서 CCTV 설치 운영 시 준수해야 하는 사항 등 업무 담당자들이 실무에 참고할 수 있는 사항들을 포함하였다. 라. 소상공인 개인정보처리 유형별 보호 조치 가이드라인 사. 개인정보 암호화 조치 안내서 및 개인 정보 위험도 분석기준 해설서 소상공인들이 개인정보에 대한 안전조치를 직접 하기 어렵다는 점을 감안하여 업무용 PC 및 웹에서 사용하는 고객관리 프로그램을 구현 제공하는 개 발업체, 프랜차이즈 본사 등이 를 위해 개인정보처리자가 고유식별정보, 비밀번호, 바이 오정보를 저장하거나 정보통신망을 통해 송ㆍ수신 하는 경우 적용해야 할 암호화 기준을 제시하고, 적용 방법 및 적용 사례를 안내한 개인정보 암호화 조치

97 203 연차보고서 83 안내서 를 발간하였다. 이와 함께 내부망에 고유식별정보를 저장하는 경 우 암호화 적용 여부 및 적용범위를 결정할 수 있도록 위험도 분석에 대한 기준을 설명한 개인정보 위험도 분석기준 및 해설서 도 발간하였다. 아. 홈페이지 개인정보 노출 방지 가이드 라인 개정 2008년에 제정하여 2차례 개정한 홈페이지 개인정 보 노출 방지 가이드라인 에 주요 노출 유형 및 조치 방법, 홈페이지 관리자 유의사항, 홈페이지 설계 개 발 시 유의사항 등을 추가하고, 민간 부분의 사례도 대폭 추가하는 등 전면 개정하여 민간의 활용도를 높 일 수 있도록 하였다. 자. 안전한 쇼핑 및 물품 배송을 위한 수칙 제정 안전행정부와 방송통신위원회는 안전한 쇼핑 및 택배 배송을 위해 판매자, 택배회사, 수취인이 각자 업무 처리를 함에 있어 지켜야 하는 수 칙을 업무처리 단계별로 설명한 안전한 쇼핑 및 물품 배송을 위한 수칙 을 발간하였다. 차. 개인정보의 기술적 관리적 보호조치 기준 해설서 발간 방송통신위원회는 정보통신망법 제28조 제항과 같은 법 시행령 제5조 제6항에 따른 개인정보의 기 술적 관리적 보호조치 기준 고시가 개정(202.8.) 됨에 따라 각 조항별 주안점과 구체적인 사례를 제시 하여 해석상 오해의 소지를 없애고, 올바른 이해를 통 해 사업자의 개인정보 보호조치 이행을 돕기위해 고 시 해설서를 발간하였다. 제 2 절 체계 정비. 범정부 종합대책 수립 추진 가. 주민등록번호 이용 실태 및 문제점 주민등록번호는 개인에 관한 정보 중 유일성, 불변 성으로 인해 세무 병역 복지 등 행정 업무뿐만 아 니라 금융 의료 복지 등 사회 전 분야에서 개인 식 별을 위한 기초 자료로 널리 활용되고 있다. 20년 개인정보 보호법 이 시행되어 주민등 록번호의 처리 요건이 강화되었으나, 주민등록번호 를 수집 이용하는 웹 사이트의 비율이 전체 웹 사이 트 중 92.5%(전체 32만 개 웹 사이트 중 29.5만 개)로 추정되는 등 주민등록번호 오 남용이 계속되고 있 다. 또한, SK컴즈(3,500만 건), 넥슨(,320만 건) 등 주 민등록번호를 포함한 개인정보의 해킹 및 유출사고 가 끊이지 않고 있고, 유출된 주민등록번호는 명의 도용, 스팸 발송, 보이스 피싱 등에 활용되어 국민들 의 불안감이 가중되는 등 사회 전체의 문제로 부각되 고 있다. 이에 따라 공공 민간분야, 온 오프라인 전 분야 에 걸쳐 주민등록번호 유출 및 오 남용으로 인한 피 해를 근절하기 위한 국가 차원의 근본적인 대책 마련 이 요구되어 왔다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

98 제2장 정책 및 제도 개선 84 그림 2-2- 주민등록번호 수집 이용 현황 및 문제점 <수집> 관행적 과다 수집 이용 <관리> 안전성 확보조치 <침해사고> 소관분야 혼재 대응체계 분산 <인식> 이용자ㆍ 사업자 인식부족 개인정보 침해 가능성 상존 및 효율적 침해 대응 곤란 나. 주민등록번호 수집 이용 최소화 종합대책 마련 정보 활용의 각 단계마다 필요한 실천과제를 계획하 고 있으며, 그 내용은 다음과 같다. ) 추진 경위 안전행정부, 방송통신위원회, 금융위원회는 범정 부적 차원에서 주민등록번호의 유출과 오 남용을 막기 위해 주민등록번호의 수집 이용 관리 등의 단계별 위험요소 최소화, 온 오프라인 전 분야의 주 민등록번호 사용 최소화 및 단계적 전환지원, 범정부 합동 대응 체계 마련 등을 내용으로 하는 주민등록번 호 수집 이용 최소화 종합대책 을 마련하여 202년 4월 0일 위원회의 심의 의결을 거 쳐, 20일 국무총리 주재 국가정책조정회의에 보고하 였다. 2) 주요 내용 이 종합대책은 주민등록번호 수집 이용 관 리 단계별 위험요소 최소화, 2온 오프라인 전 분야 의 주민등록번호 사용 최소화 및 단계적 전환 지원, 3범정부 합동 대응 체계 마련을 통한 대국민 신뢰성 확보를 기본방향으로 하고 있다. 이를 위해 개인정 보의 수집 이용, 관리, 침해대응, 사후조치 등 개인 () 수집 이용 단계 우선 주민등록번호의 수집 이용을 최소화하기 위해 주민등록번호 수집을 원칙적으로 금지하기로 하였다. 이를 위해 법령에 명확한 근거가 있거나 기 타 불가피한 경우 등 예외적으로만 주민등록번호의 수집 이용을 허용하는 한편, 기존에 주민등록번호 사용이 허용된 법령 및 공공기관의 민원 서식이나 민 간의 계약서 등에 대해서도 타당성을 전면 재검토하 여 주민등록번호를 생년월일로 대체하는 등 일제히 정비하기로 하였다. 이와 관련하여 주민등록번호 수집 이용 최소화 종합대책의 원활한 이행을 위해 202년 6월 전 부처 국장급 회의를 개최하여 주민등록번호 수집 이용 최소화 종합대책의 주요 내용과 추진 일정, 각 부처 이행 필요사항 등을 설명하고 적극적인 협조를 요청 하였다. 이와 함께, 주민등록번호를 사용하는 공공기관의 민원서식 중 주민등록번호를 꼭 사용하지 않아도 되 는 848건을 생년월일로 대체하였으며, 203년에도

99 203 연차보고서 건을 정비할 예정이다. 민간분야의 경우 2차례에 걸쳐 통신 금융 등 83개 업종 34개 협회 단체 및 사업자에 대한 조사를 통해 불필요하게 주민등록번 호를 요구하는 등 개인정보와 관련하여 개선이 필요 한 63종의 민간서식을 선정하였으며, 203년도까지 이에 대한 개선을 완료하고 주요 업종에 대한 표준 서 식을 마련할 계획이다. 또한, 법령에 따라 주민등록번호를 수집하는 경우 에도 주민등록번호를 사용하지 않고 본인을 확인할 수 있는 I-PIN, 공인인증서, 휴대폰번호 등 대체수단 제공을 의무화하고, 이를 위한 대체수단 도입 및 관련 시스템 전환에 필요한 기술지원을 하기로 하였다. 이 와 관련하여 예비군 홈페이지에 공공 I-PIN을 적용하 고 훈련 대상자들에게 가입을 홍보하는 등 회원 가입 시 주민등록번호를 수집하는 공공기관 웹 사이트 2,565개를 대상으로 I-PIN 보급을 완료하였다. 한 비상대응팀 을 신설하는 한편, 주민 등록번호 보호대책 추진 및 실태개선을 위한 주민등 록번호 보호 관계부처 협의회 를 구성 운영하기로 하였다. 또한, 개인정보 노출 모니터링을 중국 등 해외 사 이트까지 확대하고, 유출된 주민등록번호 삭제 및 유 출 사고의 원활한 조사를 위하여 중국 등과 국제협력 을 강화하기로 하였다. 이와 관련하여 대부분의 개인정보 해킹 사고가 중 국 측 인터넷 프로토콜(IP : Internet Protocol)을 통해 발생함에 따라 안전행정부와 방송통신위원회는 한- 중 인터넷 협의체인 제차 한-중 인터넷 원탁회의 에 참석하여 중국의 국가인터넷정보판공실과 개인정보 보호를 위한 정례회의 개최 및 핫라인 구축 등 인터넷 상에서의 를 위한 한 중 협력 방안에 대해 논의하였다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 (2) 관리 단계 관리 단계에서는 주민등록번호 DB를 안전하게 관 리하기 위해 관리자 PC를 인터넷 망과 분리하도록 공 공기관부터 단계적으로 의무화하는 한편, 웹 사이트 상 주민등록번호 게시 차단을 위한 S/W 도입을 의무 화하는 등 주민등록번호의 관리를 강화하기 위한 보 안 시스템을 구축하도록 하였다. 또한, 주민등록번호의 처리과정을 투명화하기 위 해 정보주체에게 주민등록번호의 활용 내역을 주기 적으로 통지하도록 하는 한편, 주민등록번호 처리를 재 위탁 하는 경우에 보호조치를 강화하도록 하였다. (3) 침해대응 단계 주민등록번호 침해에 대한 범정부 통합 대응체계 를 구축하기 위해 부처 공동으로 개인정보 침해사고 사전예방, 침해대응조치, 기술지원 등을 수행하기 위 (4) 사후조치 단계 사후조치 단계에서는 기업과 이용자들의 인식을 개선하기 위해 주민등록번호 유출 기업에 대해 매출 액의 %까지 과징금을 부과하고, 유출 기업의 최고 경영자(CEO : Chief Executive Officer)에게 직무정지 나 해임권고 등을 할 수 있도록 하는 한편, 개인정보 보호의 날을 지정하고, 를 위한 범국민 운동을 전개하여 교육과 홍보를 강화하기로 하였다. 이와 관련하여 주민등록번호 수집 법정주의, 주민 등록번호 유출 시 과징금 부과 및 CEO 징계 권고를 내용으로 하는 개인정보 보호법 개정안이 의원 입법( 황영철 의원 대표발의)으로 발의되 어 개정이 추진되고 있으며, 온라인 분야에서는 법령 에 의하지 않고는 주민등록번호를 수집할 수 없도록 정보통신망법 제23조의2(주민등록번호의 사용 제 한)를 개정하여 202년 8월 8일부터 시행하였다. 4 해외동향 부 록

100 제2장 정책 및 제도 개선 추진체계 강화 나. 정책협의회 구성 운영 가. 합동점검단 구성 그간 개인정보 침해사고 발생 시 각 기관별 개별 대응으로 관계기관 간 정보 공유 및 신속한 상황 전파 가 미흡하여 피해가 확산되는 사례가 종종 발생하였 다. 이에 안전행정부는 개인정보 침해 유출사고에 범정부 차원의 신속한 대응체계를 강화하기 위하여 202년 월에 총리 훈령인 합동점 검단의 구성 및 운영에 관한 규정 을 제정하고 [그림 2-2-2]와 같은 전담 조직인 합동점검단 을 202년부터 204년까지 2년간 한시 조직으로 신설 하였다. 합동점검단 은 안전행정부, 방송통 신위원회, 금융위원회, 경찰청 등 관련 주요기관의 전문 인력으로 구성되며, 예방관제반, 조 사점검반, 기술지원반의 3개 반(4명)으로 편성되어 개인정보 침해사고에 대한 사전 예방관제, 합동 조사 점검, 사후 기술지원 및 피해 확산 방지 등의 기능을 수행하게 된다. 또한, 관계기관과 긴밀히 협조하여 개인정보 침해 우려가 큰 금융 의료 교육 통신 등의 분야에 대 한 합동점검을 실시하여 개인정보의 오 남용을 조 기 근절하고 개선해 나갈 예정이다. 주민등록번호 수집 이용 최소화 종합대책의 원 활한 이행을 위해 202년 6월 7일 범부처 개인정보보 호 담당 국장급 회의를 개최하여 주민등록번호 수 집 이용 최소화 종합대책의 주요내용과 후속조치 사항, 주민등록번호 처리 법령 개정 가이드라인 및 추 진일정, 행정 서식 개선 추진현황 및 향후 계획을 설 명하고, 강화를 위한 부처별 역할 및 협 력 방안에 대해 논의하였다. 또한, 관계부처, 전문기관, 사업자 단체 등과 협력 체계 구축을 통해 분야별 수준 제고를 위하여 다량의 개인정보를 처리하는 교육, 의료, 노 동, 금융 분야 T/F를 구성 운영하였다([표 2-2-3]). T/ F를 통해 해당 분야의 관련 쟁점 및 개 선방안을 논의하는 한편, 분야별 가이 드라인을 마련하고, 관련 교육과정을 운영하였다. 제 3 절 국제협력 강화 가 주요 이슈로 떠오르면서 현재 세 계 각국은 기관을 설치하여 정보주체 그림 합동점검단 구성도 팀 장 예방관제반 조사점검반 기술지원반 침해 모니터링 및 상황전파 관계기관 단체와의 협력 실태점검 및 합동조사 제도개선 대책 마련 복구지원 및 피해확산 방지 기술지원 상담 및 안내

101 203 연차보고서 87 표 분야별 T/F 구성 현황 분 야 T/F 구성현황 교육분야 노동 분야 교육부(정보보호팀, 평생학습정책과, 서울시 및 경기도 교육청), 한국학원총연합회, 교습소총연합회, 한국정보화진흥원(NIA) 고용노동부(정보화기획팀, 규제개혁 법무담당관실), 한국정보화진흥원(NIA), 노무사, 변호사, HR컨설턴트 주요 현황 보건의료분야 금융 분야 보건복지부(정보화담당관, 보건의료정책과, 의료기관정책과), 심사평가원, 병원협회, 의사협회, 약사회, 한국정보화진흥원(NIA), 한국인터넷진흥원(KISA), 변호사 금융위원회(서민금융과), 금융감독원, 금융협회(전국은행연합회, 보험협회, 증권협회 등 0개), 한국인터넷진흥원(KISA) 의 를 위한 다양한 노력을 기울이고 있 으며, 우리나라도 202년 이전에는 안전행정부와 방 송통신위원회를 주축으로 국제협력활 동을 추진하여 왔다. 안전행정부에서는 20년 4월 에 GPEN에 가입하고 한 미FTA (20.5~6월), 아시 아태평양경제협력체(APEC : Asia-Pacific Economic Cooperation) 표준지침(20.7.~8.), 미 국 FATCA 29) (20.2.) 등에 따른 국내의 개인정보 보호법 적용방안을 제시하여 관련 국제 표준이나 국가별 기준을 마련할 때 우리나라 개인정보 보호법 저촉 여부 및 적합성 등 국내입장 을 표명하였으며, 방송통신위원회에서도 20년 6월 아시아 태평양 감독기구인 APPA 제 35차 회의를 제주도에서 개최하여 각국의 개인정보 보호 관련 이슈를 공유하고 글로벌 기업 대상 국가간 협력방안을 논의하였다. 202년에는 독립기구인 위원회가 국제 협회 및 기 구에 가입함으로써 본격적으로 국제협력 활동을 시 작하였다.. 국제기구와 협력 활동 강화 위원회는 202년 한 해 동안 주요 국 제 협회 및 기구에 가입하여 국내 정책 을 알리고 국제 이슈를 공유하기 위해 노력하였다. OECD회원국 주도로 구성된 GPEN에 월에 회원으 로 가입하여 관련 이슈를 공유하였으 며, APPA에도 3월에 회원으로 가입하여 6월 37차 포 럼과 2월 38차 포럼에 참석하였다. 또한, 202년 말 기준으로 회원국이 59개(94개 기 관)인 ICDPPC에는 0월 제34회 총회(우루과이)에서 회원으로 가입하였으며, 98년 유럽연합의 개인정 보보호를 위해 구성된 T-PD 회의체에도 0월 옵서버 자격으로 회원에 가입하였다. 30) 안전행정부는 5월 APEC 개인정보 국외이전 인증 기준 (CBPRs : Cross Border Privacy Rules system) 의 국 가간 운영 협의기구인 국경간 프라이버시 실행 협의 체(CPEA : Cross-border Privacy Enforcement Arrangement) 3) 에 가입하여 APEC 회원국 간의 개인정보 국 외이전 시 발생할 수 있는 피해구제, 수사공조 등 각 종 사안에 대하여 정부 간 협의할 수 있는 채널을 확 보하였으며, 글로벌 아웃소싱의 확대 등으로 실제 개 인정보를 처리하는 위탁자 또는 취급자(Data Processor)의 중요성이 확대됨에 따라 Data Processor 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 주 : 29) 해외계좌납세순응법(FATCA: Foreign Account Tax Compliance Act( 제정) 30) 자세한 내용은 제2편 장 위원회 활동 참조 3) 203년 4월 현재, APEC CPEA에는 8개국 22개 기관이 가입되어 있다. (

102 제2장 정책 및 제도 개선 88 인증체계방안 마련을 위한 APEC 내 워킹 그룹 (Working Group)에 참여 활동하고 있다([표 2-2-4]). 방송통신위원회에서는 구글 스트리트뷰(Street View), 개인정보 국외이전 등 글로벌 이슈에 대한 국 가 간 정보공유 및 공동대응을 위해 개인정보 관련 국 제기구 활동에 참여하여 왔으며, 6월에는 APPA의 37 차 포럼에 참여하여 개인정보 관련 정보 및 청소년을 위해 제작한 콘텐츠를 공유하고, 월 과 5월 두 차례에 걸쳐 APEC 내 워킹그 룹에도 참석하였다. 2. 국가간 협력 기반 강화 안전행정부는 국가간 정책 협력을 강화하고 글로벌 논의의 장을 마련하 기 위하여 202년 월에 아시아 주요국가의 개인정 보보호 책임자 및 전문가, 국제기구의 핵심 관련국 담 당자를 초빙하여 정보공유의 장을 마련하였다. 본 행 사는 전자정부 글로벌 포럼의 서브 트랙으로 진행되 었으며 APEC 등 국제기구 뿐만 아니라 중국 등 영향 력 높은 인근국가의 정책 전문가의 발 표와 토론으로 진행되었다. 또한, 국내의 개인정보보 호 제도를 홍보하기 위하여 안내 리플렛, 영문 개인 정보 보호법 및 시행령을 제작하여 국제기구 회의 시 해외 정부 정책 담당자 등에게 배포하였다. 3. 개인정보 국외이전 관련 연구 조사 개인정보주권 보호를 위한 정책 발굴을 위하여 우 선적으로 우리나라 기업의 개인정보 국외이전 현황 을 이해할 필요가 있다. 이에 따라 안전행정부에서는 개인정보 국외이전 관련 연구를 통해 항공여행, 금융 보험, 의료, 클라우드 서비스, 인터넷 소셜 서비스, 국내 글로벌 기업 등 총 7개 산업을 대상으로 산업별 국외이전 이슈와 실제기업에서 관리하고 있는 개인 정보 국외이전의 유형과 사례를 조사하여 개인정보 국외이전 형태를 유형화하였다. 또한, 시시각각으로 변화하고 있는 국제기구 및 국가별 동향에 대하여 주 기적인 모니터링을 실시하였으며 결과물로서 해외 주요국의 정책 동향 보고서 등을 발 간 배포하였다. 향후 본 조사를 토대로 국내 기업의 특성과 실정을 고려하여 해외로 이전되는 가이드라 인을 개발할 예정이며, 개인정보 국외이전에 필요한 처리기준을 마련하고 관련 사항의 제도적 근거를 확 보할 수 있도록 개인정보 보호법 및 시행령 등의 개정 및 제도개선 등을 통해 국제협력을 지속적으로 강화해 나갈 것이다. 표 Data Controller vs. Data Processor 구분 Data Controller Data Processor 주체 개인정보처리자 (또는 관리자) Data Controller를 대신하여 개인정보 업무를 처리하는 자 책임 관련 법 준수 Controller 요구사항 준수 의무 정보주체의 요구에 대한 대응 법 특별 조항에서 요구하지 않는 이상, Controller에게만 응답 의무

103 203 연차보고서 89 제 3 장 환경개선 및 수준제고 주요 현황 2 정책실적 및 성과 제 절 개인정보 침해사고 예방 강화. 웹 사이트 모니터링을 통한 선제적 대응 홈페이지를 통한 각종 서비스 제공은 온라인 민원 처리, 정보공개 활성화 등에 기여하고 국민의 편의 성을 증가시킨 반면, 일부 홈페이지의 경우에는 담 당자 또는 고객의 부주의나 홈페이지 설계 오류 등 으로 인해 주민등록번호 등 개인정보가 노출되는 사 례가 있어, 이러한 개인정보 유 노출 사고가 국회 나 언론에 번번히 지적되고 있다. 이에 방송통신위원회에서는 대국민 홈페이지 위 변조 사고, 개인정보 노출사고 등의 방지를 위 해 한국인터넷진흥원과 공동으로 개인정보 유 노 출 대응 시스템을 운영하여, 202년 한 해 동안 국 내 67,859개, 국외 7,545개 웹 사이트 페이지에 노출 된 개인정보를 삭제하고, 60여 개 P2P 사이트를 검 3 기관별 실적 및 계획 4 해외동향 부 록 색하여 월 평균 5.7개의 개인정보 노출 파일을 삭 제하였다. 금융회사들도 전자금융거래법 에 근거하여 개 인정보 등 전산 자료 보호대책을 수립 운용하고 있 으며 개인정보 유출 차단 시스템을 통한 개인정보 게시 차단 및 정기 모니터링을 월 회 실시하고 있 다. 금융위원회는 금융회사 홈페이지를 통한 개인 정보 유출사고의 실시간 탐지 대응을 위해 금융 정보공유 분석센터(ISAC : Information Sharing & Analysis Center) 연계를 확대하였으며 203년 3월 기 준 08개 기관으로 확대되어 전년 말 대비 34개 기관 이 증가하였다. 안전행정부도 개인정보 유 노출 사고에 신속히 대응하고 추가적인 피해를 방지하기 위해서 2006년 부터 공공기관 웹 사이트 및 구글 검색사이트를 대 상으로 주기적으로 모니터링을 실시하고 있으며, 노 출이 발견될 경우에는 해당기관에 노출된 개인정보 를 즉시 삭제토록 조치하고, 홈페이지 설계 오류 개 선 등 재발 방지를 위한 대책 시행을 요구하고 있다.

104 제3장 환경개선 및 수준제고 90 안전행정부는 모니터링 대상을 2006년도에 304개 4종으로 확대 운영하였다. 사이트에서 202년도에 0만여 개 사이트로 지속적 한편, 취약기관에 대해서는 재발 방지를 위한 방 으로 확대해왔다. 이러한 노력으로 전년도 대비 개인 문 교육을 실시하고 있으며, 노출 원인의 대부분이 정보 노출 페이지 수는 증가했지만, 페이지 당 개인 업무 담당자 부주의로 인한 것임을 감안하여 개인 정보 노출 건수는 현저히 감소하였으며, 노출비율32) 정보보호 교육 홍보를 지속적으로 실시하고 웹 또한, 2007년 0.% 에서 202년 0.07%로 대폭 감소 사이트 담당자를 위한 개인정보 노출방지 가이드 하였다.([표 2-3-]) 라인을 개정 보급하는 등 정보 유출에 적극 대처 기술적 측면에서 보면, 과거에는 외부 용역 등을 하고 있다. 통하여 모니터링을 실시하던 것을 200년 부터는 전 그러나 여전히 개인정보가 노출되고 있고 모니터 용 모니터링 시스템을 구축하여 공공기관 4만5천여 링 대상에 포함되지 않은 많은 사이트가 개인정보 개 사이트에 적용하였으며, 20년에는 일부 민간사 노출에 취약점을 갖고 있는 등 모니터링 사각지대가 업자 만여 개 사이트를 추가하였다. 202년에는 모 있어 모니터링 대상 확대가 요구된다. 이에, 203년 니터링 장비를 추가적으로 보강하여 협회, 비영리법 에는 공공 민간 분야에서 2만여 개 사이트로 점검 인 등 공공 민간 대상 0만여 개 사이트로 점검을 대상을 확대하고, 모니터링 장비도 추가적으로 보강 확대하였고, 점검유형도 주민등록번호, 여권번호, 할 예정이다. 운전면허번호 3종에서 외국인등록번호를 추가하여 그림 2-3- 웹 사이트 개인정보 모니터링 절차 웹 상에 노출된 개인정보 검색 개인정보 노출 분석 공공 민간기관 웹사이트 개인정보 노출 대응 상황실 대응 개인정보 노출 삭제 노출검색 정보 분석 삭제 요청 삭제 확인 노출사이트 담당자 확인 주 : 32) 노 출비율 = 노출 페이지 수/점검 횟수

105 203 연차보고서 9 표 2-3- 연도별 개인정보 모니터링 현황 노 출 현 황 연 도 점검 페이지 수 페이지수 노출비율 개인정보 노출건수 2007년 6, % 92, 년 24, % 3,684 주요 현황 2009년 69, % 23,83 200년 364, % 27,332 20년,074, % 79, 년,620,052, % 35, 개인정보 영향평가 및 환경개선 영 변경 등이 에 미치는 영향에 대하 여 사전에 조사 예측 검토하여 개선방안을 도출 가. 개인정보 영향평가 개요 하는 체계적인 절차이다. 개인정보 보호법 제33 조에 따르면 개인정보파일의 운용으로 인하여 정보 영향평가란 개인정보를 활용하는 새로운 정보시 주체의 개인정보 침해가 우려되는 경우에는 그 위험 스템의 도입이나 개인정보 취급이 수반되는 기존 정 요인의 분석과 개선사항 도출을 위한 평가를 수행하 보 시스템의 중대한 변경 시 동 시스템의 구축 운 도록 하고 있다. 2 정책실적 및 성과 3 기관별 실적 및 계획 그림 개인정보 영향평가 수행 절차 시스템 구 축 사업계획 분석설계 개발 테스트 운영 4 해외동향 영 향 평 가 사전준비단계 수행단계 이행단계 사업계획 작성 영향평가 기관선정 평가수행 계획수립 평가자료 수집 개인정보 흐름분석 개인정보 침해요인 분석 개선계획 수립 영향평가서 작성 이행 점검 평 가 절 차 영향평가 필요성 검토 사전평가 수행 (자율수행) 사업계획서 작성 (예산확보) 제안요청서 작성 사업발주 영향평가 기관선정 평가수행 계획수립 평가팀 구성 내부자료 분석 외부자료 분석 대상시스템 관련자료 분석 개인정보 처리업무 현황분석 개인정보 흐름표 작성 개인정보 흐름도 작성 시스템 구조도 작성 평가항목 작성 조치 현황파악 개인정보 침해 요인 도출 개인정보 위험도 산정 개선사항 도출 개선계획 수립 영향평가서 작성 보고서 제출 (안정행정부) 개선사항 반영점검 (테스트 단계) 부 록 수 행 연 도 Y- Y * Y- : 평가직전연도 Y : 평가수행연도 수 행 주 체 대상기관(공공기관) 영향평가 수행 사업자 영향평가 대상기관(업무협조 및 영향평가보고서 제출) 대상기관 (공공기관)

106 제3장 환경개선 및 수준제고 92 나. 202년 주요 추진성과 202년은 개인정보 보호법 이 시행된 이후 본격 적으로 영향평가를 수행한 첫 해로 개인정보 침해 요인을 사전에 분석하여 차단하였고, 영향평가 관련 담당자들에 대한 개인정보 영향평가의 인식을 제고 하였으며, 개인정보 영향평가 전문 교육 수행을 위 한 근거를 마련한 것과 우리나라 제도의 국제 표준 화를 위하여 노력한 것 등 크게 4가지를 주요성과로 볼 수 있다. 첫째, 개인정보 침해 요인을 사전에 도출하여 대 응책을 마련하였다. 202년 안전행정부에 접수된 보 고서를 기준으로 총 39건의 개인정보 영향평가 사업 을 진행하였으며, 약 2억 원의 예산을 투입하였다. 둘째, 공공기관 정보보호 인력을 대상으로 영향평 가에 대한 지속적인 교육을 실시해 업무담당자의 개 인정보 영향평가에 대한 인식 수준을 높였다. 공공 기관에서 업무를 담당하는 취급자를 대상으로 총 6회의 교육을 개설하여 322명의 이수생 을 배출하였으며 이를 통해 공공기관 업무 담당자의 영향평가에 대한 이해도를 제고하고, 실제 영향평가 사업 수행 시 우수한 품질의 영향평가 보고서를 작 성할 수 있는 기반을 마련하였다. 셋째, 개인정보 영향평가 품질 제고를 위해 영향 평가기관 소속 전문 인력에 대한 교육 실시의 제도 적 근거를 마련하였다. 개인정보 보호법 시행 직 후 영향평가를 수행할 수 있는 전문 인력이 부족하 여 영향평가 수행 결과물에 대한 우려가 존재하였 다. 이러한 문제를 해결하고 영향평가 결과물의 품 질 제고를 위해 안전행정부에서는 개인정보 영향평 가에 관한 고시 를 개정하여 영향평가 전문 교육기 관으로 한국정보화진흥원(NIA)을 지정하고, 영향평 가기관 소속 인력에 대하여 영향평가 전문 교육을 지속적으로 실시하도록 제도화하였다. 넷째, 우리나라에서 수행하고 있는 영향평가 방 법론이 국제표준이 될 수 있도록 국제표준기구(ISO : International Organization for Standardization)에 참 여하여 세계 표준화를 진행하였다. 영향평가 방법 론의 국제 표준화 관련 논의는 20년 0월에 ISO 스톡홀름 회의에서 최초로 진행되었고, 우리나라는 초기 회의부터 참여하여 노력하고 있다. 영향평가 방법론에 대한 최종 국제표준은 205년에 발표될 예정이다. 표 개인정보 영향평가 수행 현황( 현재) 발주기관 유형 사업수 예산(천원) (단위: 개, 천원) 중앙부처 5 452,884 지자체 8 25,494 정부투자 공공기관 5 487,39 기타 6,200 합계 39,26,77 표 개인정보 영향평가 교육 이수생 현황 (단위: 명) 교육차수 차 2차 3차 4차 5차 6차 합계 이수인원

107 203 연차보고서 개인정보파일 등록 및 관리 강화 가. 개인정보파일 등록 현황 개인정보파일이란 개인정보를 쉽게 검색할 수 있 도록 일정한 규칙에 따라 체계적으로 배열하거나 구 성한 개인정보의 집합물로 일반적으로 가나다 순, 발생의 시간 순 등으로 배열하여 개인정보를 체계적 으로 검색 및 열람을 할 수 있도록 작성된 파일을 말 한다. 일반적인 개인정보파일은 전자적 데이터베이 스로 구축되는 경우가 많으나, 민원 사무처리 관리 대장, 민원서류 발급 대장 등 문서 형태로 존재하는 경우도 다수 존재하며, 그 존재의 형태는 별도로 구 분하지 않는다. 공공기관은 업무 수행 과정에서 필연적으로 다량 의 개인정보를 취급하는 경우가 다수 발생하고 있으 며, 개인정보 보호법 에서는 다량의 개인정보를 취 급하는 공공기관에 의한 개인정보의 침해 및 오ㆍ남 용을 방지하기 위하여 공공기관이 운영하는 개인정 보파일을 안전행정부 장관에게 등록하고 공개하도 록 의무화하고 있다. 안전행정부는 202년 3월부터 4월까지 모든 공공 기관에서 보유하고 있는 개인정보파일에 대한 일제 정비를 실시하였으며, 전국적으로 공통 업무를 수행 하는 지방자치단체의 개인정보파일 등록 현황이 상 이한 점을 고려하여 202년 7월부터 9월까지 약 2개 월간 6개 광역지방자치단체와 공동으로 지방자치 단체 표준 개인정보파일 목록 을 마련하여, 표준 목 록을 기초로 202년 0월 지방자치단체 개인정보파 일 일제 정비를 실시하였다. 또한, 202년 월 46개 지방자치단체를 대상으로 상호 교차 점검을 실시하 여, 과다보유 중인 개인정보파일의 파기, 미등록 파 일의 등록, 등록된 파일의 현행화를 실시하였다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 국가행정기관 개인정보파일 등록현황 연도 총계 중앙행정 지방자치 교육기관 (단위 : 건) 4 해외동향 2006년 28, ,264 7, 년 92, ,960 50, 년 323,567 7,76 46,74 269, 년 375,44 4,883 78,928 29, 년 309,355 5,682 67, ,873 20년 26,725 9,796 89,033 62, 년 322,60 4,356 5,400 57,669 부 록 표 지방자치단체 개인정보파일 일제 정비 결과 구 분 정비 전 파일 수 정비내역 신규 등록 변경 파기 정비 후 파일 수 표준목록 적용 수 광역자치단체 4,728,043, ,02,687 기초자치단체 89,03 36,828 38,269 4,95 2,06 49,499 합계 93,83 37,87 39,680 5,674 26,028 5,86

108 제3장 환경개선 및 수준제고 94 표 년 국가행정기관 개인정보파일 등록 현황 구분 기관명 파일수 구분 기관명 파일수 소계 4,356 중 특허청 59 감사원 7 앙 해양경찰청 49 경찰청 6,260 행 정 행정안전부 62 고용노동부 383 기 행정중심복합도시건설청 8 공정거래위원회 9 관 환경부 67 관세청 258 소계 5,400 교육과학기술부 407 서울특별시 3,25 국가과학기술위원회 6 부산광역시 7,54 국가보훈처,042 대구광역시 5,02 국가인권위원회 인천광역시 7,07 국가정보원 광주광역시 4,936 국무총리실 58 지 대전광역시 3,655 국민권익위원회 8 방 울산광역시 3,7 국방부 32 자 경기도 22,83 국세청 9 치 강원도 8,636 국토해양부 625 단 충청북도 5,726 금융위원회 78 체 충청남도 2,607 중 기상청 5 전라북도 0,425 앙 기획재정부 43 전라남도 4,38 행 농림수산식품부 297 경상북도 3,64 농촌진흥청 29 경상남도 7,78 정 대검찰청 63 제주특별자치도,450 기 문화재청 22 세종특별자치시 500 관 문화체육관광부 45 소계 57,669 민주평화통일자문회의사무처 2 서울특별시교육청 6,40 방송통신위원회 60 부산광역시교육청 7,407 방위사업청 대구광역시교육청 5,384 법무부 36 인천광역시교육청 7,34 법제처 0 광주광역시교육청 3,367 병무청,2 대전광역시교육청 4,49 보건복지부 672 울산광역시교육청 2,965 산림청 593 교 경기도교육청 26,022 소방방재청 24 육 기 강원도교육청 8,90 식품의약품안정청 3 관 충청북도교육청 6,850 여성가족부 30 충청남도교육청 9,937 외교통상부 32 전라북도교육청 0,799 원자력안전위원회 28 전라남도교육청 9,4 조달청 2 경상북도교육청,68 중소기업청 84 경상남도교육청,27 지식경제부 523 제주특별자치도교육청 2,264 통계청 8 세종특별자치시교육청 429 통일부 3 기타(대학등) 3, 년 2월 당시의 기관 명칭 사용

109 203 연차보고서 95 나. 개인정보파일의 등록ㆍ공개 공공기관은 개인정보파일을 운용하는 경우 개인 정보 보호법 제32조에 따라 그 운용 사실을 안전행 정부 장관을 통하여 누구나 쉽게 열람할 수 있도록 공개하여야 한다. 다만, 공공기관 중 국회, 법원, 헌 법재판소, 중앙선거관리위원회는 각 기관의 행정규 칙에 따라 공개에 관한 사항을 정해야 한다. 개인정보파일의 등록 및 공개는 개인정보 보호 법 에서 정보주체인 국민이 자신에 관한 개인정보 가 어떤 공공기관에서 어떤 목적으로 운용하고 있는 지를 확인하고, 이를 통하여 개인정보 보호법 제 그림 개인정보파일 열람 등 요구절차 35조, 제36조, 제37조에서 규정하고 있는 열람 정 정ㆍ삭제 및 처리정지 등의 정보주체의 권리를 보장 하기 위한 정책이다. 안전행정부는 이를 위하여 각 공공기관의 개인 정보보호책임자 등이 개인정보파일의 등록 및 공개 를 손쉽게 처리할 수 있도록 개인정보파일 등록공 개 시스템 을 구축 운영하고 있으며, 일반 국민은 이를 통하여 각 기관에서 운용 중인 개인정보파일을 확인하고, 본인의 개인정보를 해당기관에 열람 요 청 할 수 있다. 이와 같은 개인정보파일 열람 등 요구 절차는 [그림 2-3-3]과 같다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 개인정보파일목록 검색 열람청구 정정 삭제, 처리정지 청구 4 해외동향 청구 주체 확인 및 개인정보 열람 범위 확인 청구 주체 확인 및 개인정보 정정 삭제, 처리정지 범위 확인 개인정보 열람 제한사항 확인 개인정보 정정 삭제, 처리정지 제한사항 확인 부 록 열람결정 통지 (허용/제한/연기) 열람결정 통지(거부) 정정 삭제, 처리정지 결과 통지 정정 삭제, 처리정지 제한사항 통지(거절, 타 법령 관련 사항 등) 열람

110 제3장 환경개선 및 수준제고 96 제 2 절 실태점검 및 개선. 현장점검 및 행정처분 개인정보 보호법 시행 이후 법 적용 대상이 민 간 영역까지 확대됨에 따라 개인정보 관리실태가 취 약한 분야 및 업종들에 대한 실태점검의 필요성이 급증하였다. 법 시행 초기 실태점검은 개인정보 침해 관련 언론보도 또는 신고 민원 등에 따라 주로 실시해 왔으나, 계도 기간이 끝나는 202년 3월 말부 터는 개인정보 관리실태가 취약한 업종에 대한 사전 모니터링을 통해 점검 대상을 선정하는 등 체계적인 점검을 기획 실시하였다. 우선 민간부문의 경우 국민들의 실생활과 밀접한 관련이 있는 업종 중 택배업, 백화점, 대형마트 등 유 통업 분야와 개인정보를 대량 보유하고 있는 보험업 분야를 대상으로, 관리방침 수립 및 운영, 기술적 보호조치의 적정성, 안전성 확보조치, 개인정보 처리업무 위 수탁절차의 적정성 등 의무 사항의 준수 여부에 대한 점검을 실시한 결과, 개인 정보 수집 시 필수사항 고지 누락, 안전조치의무 위 반, 업무 위탁 시 필수사항 미조치 등의 위반사항을 확인하였다. 또한, 대중교통에 설치된 CCTV에 대한 오 남용 실태점검을 위해 6개 지역 27개 대중교통 운수 업체 를 대상으로 점검을 실시하여 개인영상정보 처리방 침 수립 공개 의무 위반, 개인영상정보 열람 등 처 리기록 관리 위반 등의 위반사항을 확인하였다. 202년 월 합동점검단 출범을 계기로, 은행 권 CCTV 설치 운영(금융 분야), 교육기관 등의 반 복 대량 노출 실태(공공 교육 분야), 이동통신사 판매점 대리점의 전화 마케팅(방송통신분야), 의 료기관의 민감정보 관리(의료 복지 분야) 등 각 부 처 고유영역에 대한 보다 체계적인 개인정보 실태 점검을 수행할 수 있게 되었다. 또한, 합동점검단은 개인정보 침해사고 분석 및 전파는 물론, 노출조기경보시스템 운영을 통한 사전 그림 개인정보 관리실태 점검 개요 조사 및 점검 기획 점검 : 취약분야, 위험 업종 대상 중심 실시, 제도 개선 병행 (정기) 특별 점검 : 침해사고, 유출 신고 등 사고 원인조사 및 책임 규명 (수시) 합동점검단 현황 조사분석 업종별 개인정보처리현황 개인정보관리실태 개인정보 제공/활용현황 KISA, NIA, 리서치 등 모니터링 개인정보 유/노출현황 온라인 점검 (원격 진단/취약점 분석) 관계부처/기관 연계 침해사고, 민원 개인정보 침해신고, 민원 분쟁조정 신청 사고 발생, 언론 보도 등 경찰, KISA 등

111 203 연차보고서 97 표 실태점검 시 업종별 위반기관 수 및 위반비율 구 분 금융업 학원 협회/연맹 공공기관 운송업 의료업 기타 전체 점검기관 위반기관 주요 현황 위반비율 89.2% 80% 68% 66.2% 63% 52.4% 93.5% 82.5% 모니터링도 주기적으로 실시함으로써 사전 예방관 제 활동 강화에도 주력하였다. 202년의 경우 공공기관 및 일반 사업자뿐만 아 니라 구글링을 통한 개인정보 유출기업에 이르기까 지 총 47회 756개 기관을 대상으로 현장 또는 온라인 방식의 실태 점검을 실시한 결과, [표 2-3-7]에서 보는 바와 같이 총 44개 기관의 위반 사항에 대해 행정처 분을 실시하였고, 기 실시된 점검에서 확인된 나머 지 위반 사항에 대해서도 처분을 진행하고 있다. 203년에도 합동점검단 을 중심으 로 개인정보 불법 매매 유출 등 국민생활 불편, 사 생활 침해 유발 업종 및 대상에 대한 단속과 처벌을 강화하여 제도와 문화가 우리사회에 조기에 정착될 수 있도록 다각적인 노력을 병행하여 나갈 것이다. 2. 공공기관 관리수준 진단 전자정부서비스의 지속적인 발전과 정보공유, 개 인에 특화된 서비스 제공 등을 위해 개인정보의 관 리 및 활용 규모가 증가되면서 공공기관의 개인정보 보호에 대한 필요성도 계속 증가하고 있다. 공공기관은 중요 정보를 보유하고 있으며 국민들 에 대한 신뢰를 지키기 위해서 개인정보 보호법 에 따른 필수적인 조치사항 뿐 아니라 새로운 보호 기 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 년 공공기관 관리 수준 진단지표 분야 진단지표 가중치 전담조직, 전담인력 구성 및 운영 7 관리체계 구축 (40) 를 위한 예산의 책정 8 위탁업무에 따른 활동 7 교육 추진 9 부 록 보호대책 수립 및 시행 (30) 침해사고 대책 (30) 개인정보책임자의 역할 수행 9 개인정보 수집 및 이용 최소화 7 개인정보파일 등록 7 개인정보 영향평가 수행계획 수립 및 실적 9 개인정보 처리방침 수립 및 관리 7 개인정보 노출방지 및 자율 개선 0 개인정보 침해사고 대응절차 수립 8 개인정보처리시스템 접근기록 감사 2

112 제3장 환경개선 및 수준제고 98 술과 각종 권고 사항의 적용 등도 필요로 한다. 특히, 기관의 를 책임지는 개인정보 보호책임자(CPO)의 역할이 강조되면서 기관별로 관리체계를 구축하고 침해예방 및 점 검을 적극 수행하는 등 개인정보를 안전하게 관리하 는 것에 대한 중요성이 높아지고 있다. 이에 따라 202년의 공공기관 수준 진단은 개인정보 처리실태 중심의 진단에서 관리체 계 구축과 보호대책 및 침해사고 대책 등을 추진하 는 관리 중심으로 진단하는 체계로 개선되었다. 20년까지 개인정보 처리절차에 따라 3개 분야, 8개 지표, 48개 진단 항목을 진단하던 것을 관리체 계 중심으로 3개 분야, 2개 지표, 2개 진단항목으 로 축소하고 새로운 진단 지표 등을 처음 적용하는 것을 감안하여 진단 대상기관을 중앙행정기관과 6 개 시 도, 지방 공기업 등 88개 기관으로 축소하고 각 급 학교 및 교육청 등 교육기관은 교육부 주관으 로 별도 진단을 실시하였다. 새로운 관리수준진단 계획은 진단 지표에 대한 대 상 기관의 의견을 수렴(3월)하는 절차를 거쳐 대학 교수 등 전문가로 구성된 수준진단위원회에서 심의 후 6월에 최종 확정되었다. 수준 진단 계획과 수준 진단 수행을 위한 매뉴얼을 제작하여 대상 기관들에 배포하는 한편, 공공기관 순회 교육을 통해 담당자 교육도 실시하였다. 8월부터 실시한 관리수준진단은 기관별로 실적과 증빙자료를 등록한 후 전문가로 구성된 진단위원회 에서 검증과 평가를 수행하고 이의 신청을 거쳐 최 종 결과를 확정하는 순서로 진행하였다. 진단 방법도 20년에는 평가에 중점을 두고 대상 기관들을 방문하여 실사를 통해 실적을 확인한 반 면, 202년에는 온라인을 통한 진단을 중심으로 하 여 대상기관들의 평가부담을 줄였다. 진단 시 기관 방문을 축소한 대신 진단 결과에 따른 기관별 개선 현황 점검을 강화하고 소규모 지방 공기업 등 자율 적인 개선이 어려운 기관을 중심으로 방문 지원을 실시하는 등 현장의 개선에 중점을 두었다. 202년 관리 수준 진단 결과 조직 예산 등 관리 체계와 영향평가 관련 지표 등은 대부분의 기관에서 잘 관리되고 있는 것으로 나타났으나 위탁업무관리, 시스템 접근기록감사 등의 지표는 아직 개선이 필요 한 것으로 진단되었다. 기관별 결과를 보면 중앙부 처, 시 도는 체계를 구성하고 다양한 노력을 경주하는 등 관리수준을 갖춘 것으로 나타났 으나 경영이 어려운 소규모 공기업 등 지방 공기업 은 에 대한 인식이 부족하여 집중적인 개선이 필요한 것으로 나타났다. 관리수준진단 결과는 203년 월초 대상 기관들 에 통보되어 개선이 필요한 사항들을 조치하도록 한 후 203년 3월까지 개선 현황을 점검할 예정이다. 특 표 년 공공기관 관리 수준 진단절차 기관별 실적 등록 (8.6.~8.24.) 기관 담당자가 점검항목에 대한 실적과 증빙자료 등록 - 종합지원포털에서 등록 (intra.privacy.go.kr) 진단위원회 평가 (8.27.~9.7.) 진단위원회 구성 - 외부(8명), 전문기관(7명) 증빙자료 검증 및 평가 - 정량지표는 실적검증, 정성지표는 점수부여 이의신청 및 결과확정 (9.9.~.9.) 기관별 진단결과 확인 및 이의신청 (03개 기관) 이의신청에 대한 진단위원회 검토 및 결과확정

113 203 연차보고서 99 히, 중앙부처나 지방자치단체에 비해 관리 수준이 낮은 것으로 진단된 소규모 지방 공기업에 대해서는 직접 방문을 통해 위탁업무관리, 개인정보파일 등 록, 접속기록감사 등의 조치를 중점 지원하였다. 중앙행정기관, 시 도, 지방 공기업을 대상으로 실시한 관리 수준 진단과 별개로 온라인 상에서 개 인정보보호 업무단계별 조치 사항들을 자율적으로 진단할 수 있는 자가진단도 운영하여 모든 공공기관 과 교육기관까지 활용할 수 있도록 하였다. 자가진단은 법에서 요구하는 모든 조치 사항들을 망라하여 3개 분야, 6개 진단지표, 82개 진단항목으 로 구성되었고 자율적인 진단을 통해 실질적인 수준 향상으로 이어질 수 있도록 기관명을 입력하지 않고 무기명으로 수행할 수 있도록 하였다. 자가진단 실시 후에도 스스로 개선 조치가 어려운 공공기관과 학교 등은 컨설팅 및 상담을 신청할 수 있도록 하였고 202년에는 총 209개 기관의 신청을 받아 유선 및 현장방문 지원을 실시하였다. 203년에는 기존의 대상기관 외에 중앙부처 산하 공공기관과 기초 지방자치단체까지 시범기관을 선 정하여 관리수준진단을 확대할 계획이며 월 말까 지 진단을 완료하고 2월에는 진단 결과에 따른 개 선과 지원을 중점 추진할 계획이다. 아울러 그동안 공공기관 중심으로 운영된 온라인 자가 진단을 일반 사업자들도 적극 활용할 수 있도 록 범국민운동본부, CPO 포럼, 사업 자 협회 단체 등을 통해 확산해 나갈 예정이다. 객관적인 진단으로 활동 추진을 위 한 동기를 부여하고 상담 컨설팅을 강화함으로써 공공기관 및 사업자들의 수준을 지속 적으로 향상시킬 수 있을 것으로 기대한다. 제 3 절 기반 강화 및 기술지원. 공공 I-PIN 보급 및 이용 활성화 안전행정부는 인터넷 상에서 주민등록번호의 불 법적인 수집을 막고 주민등록번호의 유 노출을 사 전에 방지하기 위한 공공 I-PIN 서비스를 개발하여 2008년 8월부터 서비스를 시작하였다. 공공 I-PIN은 주민등록번호 대체 수단으로서 개인정보 보호법 제24조에 따라 웹 사이트 회원 가입 시 주민등록번 호를 수집하고 있는 2,5개 공공기관 웹 사이트에 서 적용하고 있다. 공공 I-PIN은 웹 사이트에서 주민등록번호를 사용 하지 않고 본인확인을 할 수 있는 무 료 서비스로서, 공공 I-PIN을 이용하면 주민등록번 호 유출로 인한 개인정보 침해를 방지할 수 있다. 노 출될 경우에도 변경이 불가능한 주민등록번호와 달 리, 언제든지 새로운 공공 I-PIN 발급 또는 기존 공공 I-PIN의 사용 중지가 가능하므로 개인정보 도용에 대한 위험이 감소하고, 공공 I-PIN을 이용하여 자신 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 표 공공 I-PIN 적용현황(누계) 구 분 2008년 2009년 200년 20년 202년 203년 공공 I-PIN 적용 웹사이트 20개 3,26개 3,979개 7,08개 2,355개 2,5개

114 제3장 환경개선 및 수준제고 00 이 회원 가입한 웹 사이트 목록을 확인할 수 있어 자 신의 개인정보를 안전하게 보호할 수 있다. 공공 I-PIN은 대한민국 국민이면 누구나 가입하 여 이용할 수 있으며, 가입은 공공 I-PIN 웹 사이트 ( 접속하여 본인 확인절차에 따 라 가입하거나, 웹 사이트 접속이 어려운 경우에는 가까운 읍 면사무소 또는 주민센터를 방문하여 가 입할 수도 있다. 2009년부터는 국내 거주 외국인을 대상으로 공공 I-PIN 가입 서비스를 제공하고 있으며, 200년에는 재외국민을 위한 가입 서비스를 제공하고 있다. 안 전행정부는 I-PIN 사용자의 이용 편의성 제고를 위 해 20년까지 방송통신위원회와 공동으로 I-PIN 인 증절차를 개선하였으며, 공공 I-PIN웹 사이트에 대한 웹 접근성 품질마크 인증을 획득하고 장애인 및 고 령자도 공공 I-PIN 서비스 이용 시 불편이 없도록 보 완하였다. 202년에는 국방부와 함께 공공 I-PIN 이용안내 리 플릿(37만 부)을 제작하여 전국 28개 예비군 훈련장 에 배포하였으며, 전국 323개 지역아동센터의 7,900 여 명 소외계층 아동을 대상으로 하는 IT 희망 나눔 운동을 통하여 공공 I-PIN 서비스를 소개하는 등 이 용 활성화를 위해 다각적인 홍보 활동을 수행하고 있다. 203년에는 공공 I-PIN을 언제 어디서든 누구나 쉽게 사용 가능하도록 편의성과 보편성을 지닌 서비 스로 만들어 나갈 계획이다. 이를 위해 소셜네트워 크서비스(SNS : Social Network Service) 홍보와 사용 자의 의견을 반영한 기능 개선, 보안 강화 등 지속적 인 개선 활동을 통해 주민등록번호 대체 수단으로서 명실상부한 대국민 서비스로 거듭날 계획이다. 2. 주민등록번호 클린센터 등 운영 안전행정부는 주민등록번호 유출로 인한 명의도 용 등 오 남용 피해를 줄이고, 인터넷 이용자가 주 민등록번호에 대한 자기결정권을 확보할 수 있도록 지원하기 위해 200년 7월부터 주민등록번호 클린 센터(이하 클린센터) 를 운영하고 있다. 그림 공공 I-PIN 서비스 구성도 사용자 내국인 홍길동 2 본인확인을 통한 ID/PW 부여 회원가입 공공 I-PIN 센터 데이터 상호연동 민간 I-PIN 제공 업체 국내거주외국인 재외국인 사용자 정보 제공 (개인식별번호, 생년월일 등) 회원가입 시 본인확인수단 인증서 주민등록정보 확인 3 공공 I-PIN에서 발급 받은 ID/PW를 이용해 I-PIN이 적용된 웹사이트에 서 회원가입 또는 게시판 글쓰기 등 서비스 이용 방문신청 외국인 등록번호(외국인) 여권정보(재외국인)

115 203 연차보고서 0 클린센터는 신용 평가사의 온라인 실명 확인 내역 을 기초로 이용자의 주민등록번호가 사용된 웹 사이 트를 확인해주는 이용내역 검색 서비스와 주민등록 번호 도용 의심 사이트에 대하여 회원 탈퇴(주민등 록번호 삭제)를 지원하는 서비스를 제공하고 있으 며 누구나 무료로 이용할 수 있다. 클린센터 홈페이지(clean.kisa.or.kr)에 접속하여 실명 확인 및 본인인증 절차를 거치면, 자신의 주민 등록번호를 이용하여 회원 가입한 웹 사이트, 실명 확인 서비스 이용내역 등을 확인할 수 있다. 회원 가 입된 웹 사이트 이용이 불필요할 경우에는 검색된 웹 사이트 주소 및 ID정보를 입력하여 편리하게 회 원 탈퇴 서비스를 받을 수 있다. 주민등록번호의 중요성에 대한 대국민 인식 제 고와 함께 클린센터의 서비스 이용현황은 민원 신 청 내역을 기준으로 200년 2만 9천여 건에서 202 년 40만 4천여 건으로 3배 이상 증가하였으며, 특히 20년에는 SK컴즈의 개인정보 대량 유출사고로 인 해 클린센터의 이용이 폭발적으로 증가되었음을 알 수 있다. 203년에는 클린센터 이용 신청을 위한 본인 확인 수단을 확대하고, 사용자가 관련 서비 스를 한 곳에서 해결할 수 있도록 종 합지원 포털과 연계할 예정이다. 이를 통해 사용자 는 주민등록번호 이용내역 조회 및 웹 사이트 회원 탈퇴 지원, 개인정보 침해신고, 개인정보 분쟁조정 등 다양한 민원 서비스를 종합지원 포 털 사이트를 통하여 쉽게 지원받을 수 있도록 하는 등 대국민의 편익 제고를 위해 지속적으로 개선해 나갈 계획이다. 방송통신위원회에서도 주민등록번호 수집 이용 관행으로 인한 피해를 근본적으로 방지하기 위하여 주민등록번호 수집 이용 제한 정책 안내서를 보급 하고 사업자 의견수렴 등을 위한 정책 토론회 및 설 명회를 개최(202.4.~9.)하였으며 202년 8월 8일부 터 시행된 인터넷 상 주민등록번호 수집 이용 제 한 정책 추진을 지원하기 위해, 5월 일 한국인터 넷진흥원 8청사 내에 인터넷 주민등록번호 클린 센터 를 개소했다. 국내 인터넷 서비스가 개시된 이 후 이용자의 주민등록번호를 관행적으로 활용해 온 행위가 금지됨에 따라 해당 사업자들을 대상으로 변 경된 정책에 대한 홍보 안내, 정책 및 기술에 대한 지 원을 실시하며 특히, 인력 예산 경험 등의 부족으 로 어려움을 겪고 있는 영세 중소 사업자를 우선적 으로 지원하기 위하여 개소하였으며, 주민등록번 호 수집 이용 제한 정책 안내, 2웹 사이트 주민등 록번호 수집 이용 현황 모니터링, 3웹 사이트 회 원 가입 시 주민등록번호 입력란 삭제 및 DB 변경을 위한 기술지원, 4주민등록번호를 대체할 수 있는 수단(I-PIN 등) 개발 보급 등 주민등록번호 수집 이용 제한 정책 이행을 위한 제도적 기술적 조치를 지원할 계획이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 표 2-3- 주민등록번호 클린센터 운영 현황 (단위 : 건) 연 도 홈페이지 접속자 수 주민등록번호 이용내역 확인 수 민원신청 내역 수 202년 2,929, , ,402 20년 0,863,259 3,65,960 43, 년 3,,59 745,688 29,250

116 제3장 환경개선 및 수준제고 기술지원센터 운영 20년 0월에 개소한 기술지원센 터는 개인정보 보호법 시행에 따라 법 제도 조기 정착 환경을 구축하고 개인정보 유출 및 오 남용 방지를 위해, 인력 예산 및 전문성 등이 부족한 소 상공인 중소 사업자를 대상으로 보호조치 솔루션 구축 지원, 컨설팅, 홈페이지 웹 취약점 점검 등 개인 정보보호 기술지원을 수행하고 있다. 202년에는 기술지원센터의 효과 적인 운영을 위해 사업자를 위한 기술지원 설명회를 개최하고 언론보도, SNS, 소상공인 관련협회 행사 현장 방문 등을 실시하여 인식 제고를 위한 적극적인 홍보 활동을 진행하였다. 202년 한 해 동안 2,4개 소상공인을 대상으로 총 4,488개의 백신을 무상으로 보급하고, 중소사업 자의 경우 기술지원 신청 업체를 대상으로 선정위원 회(총6차)를 통해 지원 대상 업체를 선정하여 총 67 개 업체를 대상으로 개인정보 보호조치 솔루션(방 화벽, 암호화 S/W, 보안서버 등) 의 도입 구축을 지 원하였다. 또한, 개인정보 보호법 의무 조치 사항에 대한 역량을 강화시키기 위해 자가진단 프로그램(www. privacy.go.kr에서 이용 가능)을 이용하여 안전성 확 보 조치 수준에 대한 자율적 진단 수행을 안내한 후, 사업자 업종별(의료 분야 동창회 비디오 대여 업 기업 인사 분야 등) 컨설팅 매뉴얼 제공과 함께 개인정보의 기술적 관리적 보호 조치 사항에 대한 온라인 및 현장방문 컨설팅을 실시하였다. 이와 함께 대부분의 개인정보처리자가 온라인을 통해 개인정보를 수집 이용함에 따라 홈페이지를 통한 개인정보 유출 사고 사전 방지를 위해 무료로 웹 취약점 점검을 수행하였다. 스스로 조치하기 어 려운 영세 사업자를 대상으로 웹 취약점 상용 점검 도구를 활용하여 무료로 원격 웹 취약점 점검을 지 원하고 점검 결과에 따른 결과 보고서를 제공하였으 며, 필요 시 조치 방법에 대한 컨설팅을 지원하였다. 개인정보처리자의 에 대한 인식 제 고 및 법 준수 역량을 스스로 강화하도록 유도하 기 위해 종합지원포털( go.kr) 사이버 교육 시스템과 연계하여 중소 사업자 대상 개인정보 처리시스템의 보호조치 방법 동영상 교육 및 온라인 강좌를 통한 무료 상시 교육 체계를 마련하여 보다 많은 사업자가 교육을 수강할 수 있 도록 하고 있다. 특히, 여력이 부족한 소상공인 창업 자를 대상으로 창업 단계부터 법 준수에 필요한 서 식 및 보호 조치 솔루션 지원 등을 통해 개인정보보 호 조치를 완료할 수 있도록 지원하고, 향후 개인정 보보호 조치 컨설팅 및 웹 취약점 무료 점검 등을 지 속적으로 확대해 나갈 계획이다. 안전행정부는 에 대한 범정부 차원 의 종합적인 서비스 제공, 정책 및 업 표 년 조치 지원 현황 대 상 내 용 계획 지원결과 소상공인 최소 필수 사항인 백신SW 무상 보급 4,000개 4,488개 중소사업자 보안서버, 방화벽 등 보호 조치 솔루션 구축 비용 지원 300개 67개 공통 웹 사이트 취약점 무료 점검 500개 58개 법 의무 조치 사항 이행 관련 현장 방문 등 컨설팅 - 425건

117 203 연차보고서 03 무의 체계적인 관리 지원을 위해 200년부터 개인 정보보호 종합지원포털( 구 축 운영하고 있다. 종합지원포털에서는 개인정보 관련 법 제도 지침 자료의 제공, 개인정보 민원접 수, 온라인 교육, 개인정보 처리방침 자동생성 등 정 보주체의 권리 및 개인정보처리자의 자율적 조치 능 력 제고를 위한 대국민 서비스를 제공하고 있으며, 개인정보 업무 관리와 정책 지원을 위해 개인정보파 일 관리, CCTV 및 영향평가 현황 관리, 개인정보 전 문 강사 연계 등 공공기관의 개인정보 업무를 지원 하고 있다. 향후에는 사용자별(개인, 사업자, 소상공인 등) 메 뉴 구성을 차별화하여 맞춤형 콘텐츠를 제공하고, 메인 화면의 UI 디자인도 개편하여 이용자 편의성을 제고할 계획이다. 또한, 범국가 차원에서 주민등록번호 미수집 전환 정책에 따라 고객관리 프로그램을 제공하고, 홈페이 지를 통해 주민등록번호를 수집하는 소상공인(고객 관리 프로그램, 웹 호스팅 등 이용업체) 등을 대상으 로 관행적인 주민등록번호 수집을 억제하고 주민등 록번호가 없는 체계로 전환할 수 있도록 주민등록번 호 삭제 지원을 추진할 예정이며, 사업자가 주민등 록번호를 사용하지 않고 사업을 지속할 수 있도록 주민등록번호 미수집 전환 안내서 를 개발하여 보급 할 예정이다. 제 4 절 정보주체 권리 보장. 정보주체의 권리행사 현황 기존에는 개인정보처리자가 개인정보를 수집 한 이후에는 정보주체가 본인의 정보에 대한 통제권을 주장할 수 없게 되는 경우가 대부분이었다. 이를 위 해 개인정보 보호법 제5장에 개인정보 열람 정 정 삭제 처리정지 등 정보주체의 권리를 보장하 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 그림 종합지원포털 서비스 구성도 개인정보 종합지원포털( 정보제공 개인정보 민원접수 부 록 안전행정부 법령, 지침, 교육자료 개인정보파일 목록 조회, FAQ 개인정보 열람 등 요구 개인정보 침해신고, 분쟁조정, 유출신고 공공기관/ 사업자 교육(현장, 사이버) 교육 수강 신청 접수 온라인 교육자료 제공 기술지원 기술지원센터 자가진단, 개인정보 처리방침 생성 국민

118 제3장 환경개선 및 수준제고 04 기 위한 조항을 포함하였다. 정보주체는 개인정보 처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있으며, 열람한 정보의 정정, 삭제, 처리정지 등의 요구를 하였을 때 개인정보처리자는 개인정보 보호법 에 명시되어 있는 특별한 사정이 없는 한 요구를 수용하여야 한 다. 또한, 이 법을 위반한 행위로 손해를 입을 경우 개인정보처리자에게 손해배상도 요구할 수 있도록 하였다. 실제 정보주체들이 이러한 권리를 얼마나 잘 행 사하고 있는지와 관련하여 정보주체를 대상으로 개인정보처리자에게 본인의 개인정보의 열람, 정 정, 삭제, 처리제한 등을 요청했던 경험이 있는가 에 대한 설문을 실시하였으며, 그 결과 조사대상의 24.35%가 그런 경험이 있다고 답하였다. 또한, 향후 권리보장과 관련된 요청 사유가 발생 할 경우 개인정보처리자에게 본인의 개인정보의 열 람, 정정, 삭제, 처리제한 등을 요청할 의향이 있는가 에 대한 질문에는 전체의 86.44%가 그렇다고 응답 하여 관심이 매우 높음을 알 수 있었다. 이를 위해 정부에서도 공공기관 개인정보 열람 창구 등을 마련해 정보주체의 개인정보 열람 신청이 편리하도록 하였으며, 개인정보침해 신고센터, 개인 정보 분쟁조정위원회를 운영하여 정보주체에 발생 한 피해를 보상받을 수 있도록 지원하고 있다. 2. 개인정보침해신고센터 운영 가. 개요 개인정보 보호법 제62조에 의거하여 운영중인 개인정보침해신고센터 33) (이하 신고센터)는 국민이 사업자, 공공기관 등을 대상으로 제기한 개인정보침 해와 관련된 신고의 접수와 상담을 수행하고, 신고 된 개인정보처리자의 법률 위반 여부를 조사하여, 표 개인정보의 열람, 정정, 삭제, 처리제한 요청 경험 여부 있다 없다 전체 성별 남자 84명 25.23% 249명 74.77% 333명 00% 여자 66명 23.32% 27명 76.68% 283명 00% 전체 50명 24.35% 466명 75.65% 66명 00% 출처 : 개인정보 보호법 시행 이후 변화 분석 및 개선방안 연구(위원회, 202) 표 요청사유가 발생할 경우 정보주체 권리 행사 의향 있다 없다 전체 성별 남자 % % % 여자 % % % 전체 % % 62 00% 출처 : 개인정보 보호법 시행 이후 변화 분석 및 개선방안 연구(위원회, 202) 주 : 33) 개인정보 보호법 제정 이전에는 민간부분은 정보통신망법, 공공부분은 공공기관의 에 관한 법률 을 근거로 침해신고센터를 설치 운영

119 203 연차보고서 05 그 결과를 관계부처에 통보하여 필요한 후속 조치가 이루어질 수 있도록 지원하는 업무 등을 수행하고 있으며, 신고센터의 주요업무는 [표 2-3-5]와 같다. 중앙행정기관이 모든 개인정보처리자에 대하여 직접 자료의 제출을 요구하는 등 조사를 실시하고 과태료 부과 징수 등의 업무를 수행하는 것은 과도 한 업무 부담과 행정의 비효율성을 초래하기 때문에 법률의 집행력 강화 및 효율적인 권한 행사를 위하 여 실태 조사, 자료 제출 요구 및 검사에 관한 업무 를 대통령령이 정하는 전문기관에 위탁하여 실시할 수 있도록 하였다. 이러한 법률( 개인정보 보호법 제63조 및 동법 시행령 제62조)의 취지에 따라 안전행정부 장관은 신고센터에 접수된 신고의 접수 처리를 위하여 자 료 제출 요구 및 검사 권한을 한국인터넷진흥원에 위임하였다. 표 개인정보침해신고센터 주요 업무 ( 개인정보 보호법 제62조 제3항) 개인정보처리와 관련한 신고의 접수ㆍ상담 (법 제62조 제3항 제호) 사실의 조사ㆍ확인 및 관계자의 의견 청취 (법 제62조 제3항 제2호) 상기(제호 및 제2호) 업무에 딸린 업무 (법 제62조 제3항 제3호) 개인정보침해 신고센터에 접수된 신고의 접수ㆍ처리 및 상담과 관련한 사항에 있어 법 제63조에 따른 자 료제출 요구 및 검사(시행령 제62조 제3항) 나. 신고민원 처리 절차 신고센터는 개인정보와 관련된 침해 신고가 들 어오면 우선 피신고인(사업자 또는 기관)에게 신고 한 내용과 관련하여 소명을 받는 절차를 가진다. 피 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 그림 개인정보 침해신고 민원처리 절차도 민원접수 4 해외동향 신고/상담 법령질의 구분 2 일반상담 상담 후 종결 3 분쟁조정 요구 신고접수 7 법령질의 검토의견 작성 4 분쟁조정 위원회이관 손해배상 요구 사실조사 8 6 답변 후 종결 5 관련부처 검토 부 록 법 위반 사실이 없는 경우 사실조사 결과보고서 작성 9 법 위반 사실이 있는 경우 관련부처 이관 0 형사고발(검찰, 경찰) 행정 처분 제도개선 권고 처분 결과 한국인터넷진흥원에 통지 종결(결과 통보) 2 관련부처역할

120 제3장 환경개선 및 수준제고 06 신고인이 제출한 소명자료와 신고인이 주장하는 신고내용 등을 검토하여 개인정보 보호법 또는 정보통신망법의 위반 사항이 있는지 여부를 파악 하게 된다. 이 과정에서 법률 위반 사항이 있으면, 사실 조사 결과 보고서를 작성하여 안전행정부 등 관계 기관에 행정처분 의뢰를 하게 되며, 법률 위반 사항이 없거 나 위반 정도가 경미한 경우에는 신고센터에서 상담 또는 고충처리를 통해 종결하게 된다. 신고인이 개인정보침해로 인한 정신적 경제적 피해를 입어 손해배상을 요구하는 경우에는 개인정 보 분쟁조정위원회로 이관하여 분쟁조정절차를 거 치게 된다. 신고센터의 민원처리 절차는 [그림 2-3-7] 과 같다. 표 개인정보침해신고센터 신고 상담 접수 현황 구 분 2007년 2008년 2009년 200년 20년 202년 신 고 ,39,788 2,556 2,058 상 담 25,8 38,823 33,028 53,044 9,659 64,743 합 계 25,965 39,8 35,67 54,832 22,25 66,80 표 개인정보 침해신고 상담 접수 유형 접 수 유 형 20년 202년 건수 비율 건수 비율 이용자의 동의 없는 개인정보 수집 관련,623.32% 3,507 2.% 개인정보 수집시 고지 또는 명시 의무 관련 % % 과도한 개인정보 수집 % % 목적 외 이용 또는 제3자 제공 관련,499.22% 2,96.3% 개인정보 취급자에 의한 훼손 침해 등 % % 개인정보 처리 위탁시 고지의무 % % 영업의 양수 등의 통지의무 % % 개인정보관리책임자 관련 % % 기술적 관리적 조치 미비 관련 0, % 3, % 수집 또는 제공받은 목적 달성 후 개인정보 미파기 % % 동의철회 열람 또는 정정 요구 관련 % % 동의철회, 열람 정정을 수집보다 쉽게 해야 할 조치 % % 아동의 개인정보 수집 % % 주민등록번호 등 타인 정보의 훼손 침해 도용 67, % 39, % 정보통신망법 적용대상 이외의 개인정보침해(신용정보침해 등) 38, % 2, % 합 계 22,25 00% 66,80 00%

121 203 연차보고서 07 다. 운영 성과 202년 한 해 동안 신고센터는 총 66,80건의 개 인정보 침해신고 상담 신청을 접수받아 처리하 였다. 이는 20년 접수된 22,25건과 비교할 때 36.48% 증가한 수치이며, 이용자의 개인정보에 대한 관심과 피해 구제 요구가 상당히 증가하였음을 보여 준다. 202년도에 가장 많이 접수된 유형은 주민등록 번호 등 타인정보의 훼손 침해 도용 으로서 총 39,724건이 접수되었다. 이는 아직도 우리 사회에 서 주민등록번호와 같은 타인 개인정보의 도용 사례 가 많이 발생함을 보여주고 있다. 이 외에 개인정보 안전성 확보 조치 관련 민원이 3,855건, 개인정보 수 집 관련 민원이 3,507건, 목적 외 이용 또는 제3자 제 공 관련 민원이 2,96건 접수된 것으로 나타났다. 또한, 접수 유형 중 정보통신망법 적용대상 이외 의 개인정보침해 는 38,72건(20년도)에서 2,95 건(202년도)으로 전년 대비 크게 감소하였다. 3. 개인정보 분쟁조정위원회 운영 개인정보 분쟁조정위원회(이하 분쟁조정위원회) 는 개인정보와 관련된 분쟁이 발생한 경우 당사자 간에 합리적이고 원만하게 분쟁을 해결하기 위하여 설립된 대안적 분쟁해결 기구로서, 정보통신망법 제 33조에 근거해 200년 2월 3일 발족하였으며, 20 년 9월 30일 개인정보 보호법 이 시행되면서 분쟁 조정위원회 설치에 대한 근거 법률이 개인정보 보 호법 으로 바뀌었다. 분쟁조정위원회는 개인정보, 즉 생존하는 개인에 관한 정보로서 성명 주민등록번호 등을 비롯하여 개인을 알아볼 수 있는 부호 문자 음향 및 영상 등의 정보 침해로 인한 분쟁이면 모두 조정 대상으 로 하고 있다. 특히 분쟁조정위원회는 현재의 개인 정보 보호법 에서 규율하고 있는 개인정보 침해 이 외에도 정보통신망법, 신용정보법, 의료법 및 민 법 등 관련 법률의 규정에 의한 개인정보 침해 등도 조정 대상에 포함시켰다. 202년 개인정보 피해구제 민원은 총 66,80건이 접수되었으며, 이 중 43건의 분쟁조정 신청이 접수 되었고, 이를 위해 분쟁조정위원회는 총 24회의 전 체 회의와 조정부 회의를 개최하였다. 202년 분쟁조정위원회에 접수된 분쟁 사건은 총 43건으로 20년 26건 대비 약 3% 증가하였으며, 개인정보 보호법 시행에 따라 20년 9월부터 분 쟁조정 대상에 포함된 공공기관 대상 분쟁조정 신청 은 20년 2건에서 2건으로 증가하였다. 또한, 분쟁 조정 결과 각하된 건수가 20년 건에서 202년에 는 47건으로 대폭 상승하였다. 202년 분쟁조정 사건을 유형별로 살펴보면, 전 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 표 개인정보 분쟁조정위원회 회의 실적 구 분 2008년 2009년 200년 20년 202년 위원회 개최 전체회의 조정부 회의 출처 : 202 개인정보분쟁조정 사례집(한국인터넷진흥원, 202)

122 제3장 환경개선 및 수준제고 08 체 43건 중 고지한 범위를 넘어선 이용 또는 제3자 제공 (76건, 53%) 및 동의 없는 개인정보 수집 (9건, 3%), 기술적 관리적 조치 미비 (7 건, 2%)가 가장 많은 유형으로 나타나고 있다. 고지한 범위를 넘어선 이용 또는 제3자 제공 은 지난 해 9건에서 76건으로 대폭 증가하였는데, 구 체적인 침해 내용을 살펴보면 고객의 전화번호, 이 메일 등을 동의 없이 홍보 목적으로 이용하거나, 보 험사나 온라인 쇼핑몰 등 제휴 업체에 제공한 사례 가 대부분이었다. 동의 없는 개인정보 수집 은 지난 해 2건에서 9 건으로 소폭 증가하였는데, 관련 사업자들은 온 오 프라인 상품권 이벤트, 설문조사, 제휴사 등을 통해 수집하였다고 주장하지만 동의절차 준수 여부에 대 한 입증 자료를 제출하지 못한 경우가 많았다. 기술적 관리적 조치 미비 의 경우 지난 해 76건에서 7건으로 감소하였는데, 사업자들 이 적절한 보호조치 없이 고객의 개인정보를 온라인 게시판 등을 통해 노출한 사례가 많았다. 위와 같이 개인정보의 무단수집, 목적 외 이용 및 표 개인정보 분쟁조정위원회 조정결정 현황 (단위 : 건) 구 분 20년 202년 조정 전 합의 2 32 위원회 분쟁조정 인용결정 조정성립 조정불성립 9 5 기각결정 각하결정 47 출처 : 202 개인정보분쟁조정 사례집(한국인터넷진흥원, 202) 합 계 표 ~202년 개인정보분쟁조정 접수 유형 분석 조정 신청 사유 합 계 동의 없는 개인정보 수집 2 9 개인정보 수집시 고지의무 불이행 - - 과도한 개인정보 수집 고지한 범위를 넘어선 이용 또는 제3자 제공 9 76 개인정보취급자에 의한 훼손 침해 누설 4 2 기술적 관리적 조치 미비 76 7 수집 또는 제공받은 목적 달성 후 개인정보 미파기 5 0 열람, 정정, 삭제 또는 처리정지 요구 불응 2 동의철회 열람 정정을 수집보다 쉽게 해야 할 조치 미이행 - 기타(개인정보 취급방침 수정요청 등) 7 6 출처 : 202 개인정보분쟁조정 사례집(한국인터넷진흥원, 202)

123 203 연차보고서 09 표 개인정보 분쟁조정위원회 조정결정 유형 구 분 20년 202년 (단위 : 건) 제도개선 2 제도개선 및 손해배상 3 26 손해배상 7 6 주요 현황 기각 및 각하 합계 05 출처 : 202 개인정보분쟁조정 사례집(한국인터넷진흥원, 202) 제3자 제공에 대한 분쟁조정 신청이 증가한 것은 20년 9월 개인정보 보호법 시행 이후 개인정보 보호에 대한 인식수준이 제고된 결과로 보인다. 즉, 일반국민들이 보이스피싱 등 2차 피해가 우려되는 개인정보 유출은 물론 개인정보 수집 및 이용 시 사 업자 및 공공기관이 적법한 절차를 준수하는지 여부 에도 관심을 가지게 된 것으로 분석된다. 분쟁조정위원회에 상정되어 심의한 건에 대한 분 쟁조정 성립률을 살펴보면, 202년 분쟁조정 건수 76건(제도개선 2건, 제도개선 및 손해배상 26건, 손 해배상 6건, 조정 전 합의 32건) 중 6건이 조정 성립 되어 조정 성립률은 80%로, 20년의 72%보다 증가 한 조정 성립률을 보이고 있다. [표 2-3-2]를 살펴보면 202년 분쟁조정위원회가 조정 전 합의 건을 제외한 심의건수 건 중 제도 개선을 결정한 건은 2건인데, 이는 피신청인의 법 위반 등 잘못은 인정되지만 정신적 피해를 인정하기 곤란한 경우 또는 신청인이 손해배상을 원하지 않 고 제도 개선만을 원하는 경우에 해당한다. 또한, 피 신청인에 대하여 제도 개선과 손해배상 지급 결정을 내린 건은 26건으로 위원회에서 신청인의 정신적 피 해 배상 및 피신청인의 를 위한 제도개 선이 필요하다고 내린 결정 건이 이에 해당한다. 손 해배상 결정만을 내린 건은 6건으로, 피신청인이 이 미 를 위한 필요한 조치를 다하였지만 신청인에 대한 손해배상 책임이 인정되는 경우에 해 당한다. 분쟁조정위원회는 이러한 침해행위로 실생활에 서 발생하는 국민 불편을 최소화하기 위해 분쟁조정 과정을 통해 사업자 및 공공기관에게 침해 재발방지 대책 마련을 지속적으로 권고하고 언론 등을 통해 관련 사례를 널리 홍보 전파할 예정이다. 또한, 주무부처인 위 원회와 안전행정부 등에 대표적인 침해 유형 및 사 례 등을 제공하고 취약 분야에 대한 집중적인 교육, 홍보, 실태점검 등을 건의하는 등 관계기관과 공동 의 노력을 펼쳐나갈 예정이다. 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

124 제3장 환경개선 및 수준제고 0

125 203 연차보고서 제 4 장 인식제고 주요 현황 2 정책실적 및 성과 제 절 교육 단체의 교육을 지원하는 등 특화된 교육을 실시하 였다. 3 기관별 실적 및 계획 안전행정부는 202년 3월 개인정보 보호법 본 격 시행에 맞추어 공공기관과 사업자들을 대상으로 권역별 순회 교육을 실시하면서 기관별 개인정보 취급자들에게도 자체 교육을 실시하도록 독려하여 개인정보 보호법 에 따른 필수 조치사항을 전파하 는데 주력하였다. 또한, 9월 이후에는 취약분야 및 주요 업종별로 맞춤형 교육을 실시하 고 자율기구인 협의회 를 통해 협회. 공공부문 교육실시 공공기관은 개인정보의 보유근거가 정보주체의 동의 보다 법에 의한 경우가 많기 때문에 개인정보파 일 등록 공개, 개인정보 영향평가, 영상정보처리기 기 설치 사전 의견수렴 등 민간분야에 비해 많은 의 무사항을 이행하여야 한다. 이에 따라 기관별 개인정 4 해외동향 부 록 표 2-4- 공공기관 교육실시 현황 교육 주관 총 계 20년 교육인원 (법 시행이후 ~ ) 202년 교육인원 정원대비 교육인원 총 계 826,73명 248,856명 577,875명 법 시행이후 현재 9.9% 안전행정부 주최교육 0,382명 4,095명 6,287명 기관별 자체교육 786,862명 23,940명 554,922명 중앙부처 지 자 체 69,035명 67,827명 80,990명 50,950명 438,045명 6,877명 공무원 교육기관 29,487명 2,82명 6,666명 국가직(62만)의 99.8% 지방직(28만)의 60.0%

126 제4장 인식제고 2 보보호 담당자에 대한 전문적인 교육과 개인정보취 급자 및 일반직원들에 대한 교육도 요구되고 있다. 이에 안전행정부는 기관별 담당자 들을 대상으로 2회에 걸친 권역별 순회 교육 및 전문 교육을 실시하는 한편 각 기관별로 직원들에 대한 인식 제고를 위해 교육을 실시하도록 독려하여 202 년에 577,875명이 교육을 이수할 수 있도록 하였다. 한편, 개인정보 보호법 이 제정된 20년부터 교 육을 이수한 인원은 총 826,73명으로 전체 공무원 의 9.9%가 개인정보 보호법 관련 교육을 받은 것 으로 나타났다. 가. 사이버 교육 실시 안전행정부는 중앙공무원교육원과 지방행정연수 원에 사이버 과정 을 개설하여 국가공 무원 및 지자체 공무원들이 손쉽게 교 육을 받을 수 있도록 했다. 의 개념과 중요성, 의 원칙과 업무 활용 방법에 대한 내용으로 구성된 이 과정은, 각각 0회에 걸쳐 운영되어 총 4,084명이 교육을 이수하였다. 나. 및 정보보안 컨퍼런스 개최 안전행정부는 정책과 신기술 공유 를 통한 의무 조치사항 이행을 지원하 기 위하여 202년 5월 안전행정부 주최, 한국소프트 웨어산업협회 주관으로 대한민국 컨 퍼런스를 개최하였다. 중앙부처, 지자체 및 공공기 관의 책임자와 담당자, 민간분야 개인 정보보호 담당자 등,500여 명이 참석한 컨퍼런스 는 체계 및 DB 암호화, 개인정보 유 그림 년 책임자(CPO)워크숍 노출 방지, CPO 워크숍의 세 개의 트랙으로 운영되 었다. 아울러 개인정보 침해 및 취약점에 대한 대책, 웹 사이트 를 위한 소프트웨어 및 하드 웨어 관련 제품 전시 시연도 함께 이루어졌다. 다. 순회교육 실시 안전행정부는 공공기관 담당자의 실무 역량 강화를 위하여 202년 총 2회의 순회 교 육을 실시하였다. 202년 2월 20일부터 28일까지 개 최된 교육은 의무 조치, 파일 관리, 영 향평가 등에 대한 4시간 교육으로 7개 권역 총 3,984 명이 이수하였으며, 7월 6일부터 23일까지 시행한 2차 교육은 기관별 자체 점검, 202년 개인정보 관리 수준 진단, 개인정보 위험도 분석 기 준 및 홈페이지 노출방지 조치 방법 등에 대한 3시간 교육으로 구성되었으며, 5개 권역,373명이 교육에 참석하였다. 라. 기관별 맞춤형 교육 실시 안전행정부는 공공기관 중 공사 공단 및 산하기 관 소속 담당자들을 대상으로 개인정

127 203 연차보고서 3 보보호 관련 주요 정책 및 침해사례, 개인정보의 안 전한 관리 방안에 대한 교육을 2회 실시하여 총 39 명이 교육을 이수하였다. 또한, 202년 7월에 실시 한 자체점검 결과에 따라 다수의 개인정보파일을 처리하거나, 고유식별정보 또는 민감정보 처리자, 기타 개선 필요자들을 대상으로 개인정보 취급자의 개인정보 관리 취약사례 및 개선조치 방법에 대한 맞춤형 특별교육을 실시하여 333명이 교육에 참여 하였다. 2. 민간부문 교육실시 가. 사업자 대상 교육 안전행정부에서는 202년 한 해 동안 민간부문 개 인정보보호 담당자를 대상으로 순회 교육, 분야별 전문 교육, 일반 교육 및 사이버 교육을 운영하였다. 법 시행에 따른 사업자가 준수해야 할 의무 조치 사 항에 대한 순회 교육은 3월 5일부터 23일까지 9개 권역에서 실시되어,696명이 교육을 수료하였다. 또한, 순회 교육과 더불어 충북, 강원, 대구 등 지역 별 상공회의소 등 사업자 단체 대표 및 임원과의 간 담회를 운영하여 조치 사항 전파 및 이행 협조를 논의하였다. 또한, 보건복지부, 고용노동부, 교육부 등 관계 기 관과 공동으로 마련한 의료, 고용, 교육 등 주요 분야 의 가이드라인에 대한 교육을 실시하 였다. 각 분야별 담당자들이 참여한 이 교육은 현업에 실질적인 도움을 주고자 분야별 가이드라인의 내용과 위반사례 공유를 중점으로 다 루었으며 총 5회 실시하여 487명이 참석하였다. 이 외에도 일반 사업자 대상으로 개인정보 보호법 의 이해 과정을 총 2회 실시하여 64명을 교육하였다. 집합교육 참석이 어려운 사업자 및 소상공인들을 위해 종합지원포털 사이버 교육도 운 영하여 202년 한 해 동안 58,34명이 교육을 수료하 였다. 특히, 개인정보 안전성 확보조치에 대한 개인 정보처리자의 이해를 돕고자 나안전과 함께하는 홈 페이지 개인정보 LOCK & 樂, 개인정보 안전성 확보 조치 과정을 신규 개발하여 202년 9월부터 교육 서 비스를 실시함으로써 큰 호응을 얻었다. 방송통신위원회도 포털(www. i-privacy.go.kr) 내 온라인 교육 시스 템을 통해 연중 사업자 교육을 진행하는 한편, 사업 자를 대상으로 기술적 관리적 역량 강화 교육(총 2회), 정보통신망법 신규제도에 대한 개인정보 관 리책임자 및 취급자 워크숍(총 회), 유관협회 회원 사 대상 주민등록번호 미사용 환경 관련 설명회(총 6회) 등을 개최하여 사업자의 인식 제고 및 역량 강 화에 주력하였다. 나. 협 단체 대상 교육 안전행정부는 중소 사업자 단체 및 협회의 자율 규제와 문화 정착을 위해 개인정보보 호 교육을 지원하였다. 교육 지원 사 업을 신청한 사업자 협회 단체를 대상으로 개인정 보보호협의회 주관 하에 협회 단체의 개인정보보 호 교육을 지원하였다. 그 결과 한국교습소총연합 회, 국제결혼중개업체 등 9개 협회 단체,88명 이 교육을 이수하였다. 다. 강사 교육 안전행정부는 기관 및 사업자 단체의 자율적인 개 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

128 제4장 인식제고 4 인정보보호 교육 실시를 위한 인적 인프라 구축으로 에 대한 지식과 현장 경험을 갖춘 개인 정보보호 전문 강사단을 운영하였다. 202년에는 총 5명에 대한 신규 강사 교육을 실시하여 80명의 강 사단을 확보하였고, 2회에 걸친 보수 교육을 통해 강 사들에게 최신 정책 및 동향, 분야별 가이드라인, 민 원사례 등을 전파하였다. 라. 개인정보 영향평가 실무교육 과정 운영 안전행정부는 영향평가 기준, 절차, 법제화 내용 교육 및 실습 교육을 공공기관 소속 개인정보 관련 자를 대상으로 실시하여 총 322명이 수료하였다. 또 한, 개인정보 보호법 제정에 따른 주요 법률 상의 요구 사항 등을 반영하여 교재를 보강하였다. 제 2 절 홍보. 개인정보 보호법 본격 시행에 따른 계도 및 홍보 론사에도 총 293회 기사를 게재하여 개인정보 보호 법 의 본격 시행을 알렸다. 또한, 시 군 구에서 운영하는 각종 홈페이지(367개) 팝업창을 통한 홍보 와 지방자치단체의 전광판에 49건의 광고를 내보냈 고 총 8만 장의 사업자 필수 조치 사항 안내 자료를 지역의 사업자들에게 배포하였다. 전광판 광고는 문화체육관광부와 협력을 통해 개인정보 보호법 이 본격 시행된 4월에도 한 달 동 안 전국 33개 지역에서 추가로 실시하였다. 이 외에도, 각 시 군 구별로 관내 사업자들과 간담회 및 교육을 실시하여 총 95회 만 6천 명에게 필수 조치 사항을 전파하기도 하였다. 이와 함께 3월부터 4월까지 온라인 포털(NAVER) 을 통해 민간과 공공의 우수사례를 공 모하고 일반 국민들의 참여를 유도하기 위해 개인정 보보호 관련 주요 상식을 묻는 퀴즈대회 등 이벤트 를 개최하였다. 이벤트에는 총 94,928명이 참여하였 고 우수사례는 52개 사례를 심사하여 건강보험심사 평가원 등 5개 기관과 사업자를 선정하고 5월 0일 개최된 컨퍼런스에서 시상과 함께 우 수사례를 발표하여 다른 사업자와 기관에 전파할 수 있도록 하였다. 2. 일반국민 대상 홍보 추진 안전행정부는 개인정보 보호법 의 본격 시행을 앞두고 202년 3월 20일부터 29일까지 0일간을 집 중 계도 기간으로 정하고 주요 일간지를 통한 광고 와 함께 230개 시 군 구와 협력하여 리플릿 등 홍 보 자료를 배포했으며 지역 언론사 및 온라인을 통 한 집중적인 홍보를 실시하였다. 서울신문 등 4개 주요 언론에 사업자 조치 사항과 소상공인 의무사항 등을 안내하고 전국의 지역 언 안전행정부는 사업자와 공공기관 등 개인정보처 리자에게 개인정보 보호법 의 시행과 그에 따른 필 수 조치 사항을 안내하는 데 중점을 두었던 홍보 방 향을 한 단계 확장하여 정보 주체인 일반 국민들에 대한 홍보도 함께 추진하였다. 먼저 202년 9월 추석을 맞이하여 자율기구인 범국민운동본부 소속 택배사, 백화점,

129 203 연차보고서 5 그림 대국민 홍보자료 3 기관별 실적 및 계획 2 정책실적 및 성과 주요 현황 4 해외동향 부 록 우체국 등 23개 회원사들과 함께 운송장 개인정보 파기하기 캠페인을 실시하였다. 개인정보가 수록된 택배 운송장을 함부로 방치하여 개인정보가 유출되 는 것을 방지하기 위해 택배물에 운송장과 함께 개 인정보를 파기하도록 안내문을 부착하도록 하였고 이를 통해 추석기간 동안 총 20만부의 안내문을 배 포하였다. 또한, 202년 8월부터 9월까지 국민 공감형 콘텐 츠 과제로 일반 국민들이 주의하고 지켜야 할 사항 들을 안내하는 홍보 동영상을 제작하였고 이를 홈페 이지에 게시하는 한편, 극장 광고 및 전광판 광고에 도 활용하였다. 극장광고는 202년 월 한 달 동안 전국의 주요극장 44개 상영관에서 총 8,347회 상영 하여 이벤트 행사 시 개인정보 제공 주의 및 택배 운 송장의 정보 파기 등 일반 국민들이 주의해야 할 사 항을 전달하고 경각심을 일깨워주었다. 한편, 한국방송광고공사에서도 를 주제로 선정하여 비밀번호 변경 등을 통해 개인정보 를 스스로 소중하게 지켜야 한다는 내용의 공익광고 그림 택배서비스 관련 홍보자료

130 제4장 인식제고 6 그림 대국민 홍보동영상 를 제작하여 TV와 라디오를 통해 2월 한 달 동안 방 영하였다. 방송통신위원회에서도 라디오 광고 종, TV 광 고 2종 등 주민등록번호 수집 이용 제한 정책 관련 홍보 콘텐츠를 개발하여 주간 케이블 TV 5개 채널 과 라디오 개 채널에 송출하고, 인기 웹툰 캐릭터를 활용한 온 오프라인 캠페인 홍보를 진행하였으며, 인터넷 이용자 대상 퀴즈 이벤트와 일반인 대상 웹 툰 공모전을 개최하여 국민들의 중요 성에 대한 인식을 높였다. 또한, 가 생 활 속에서 실천되도록 하기 위해 미취학 아동, 초 중 고등 학생 및 학부모, 일반인 등을 대상으로 이 용자 교육을 실시(총 0회)하였다. 제 3 절 자율규제 촉진 및 인식제고 인정보 처리 절차별로 의무적으로 이행해야 할 조 치들도 늘어났다. 를 우리사회의 문화 로 정착시키기 위해서는 이러한 의무 조치 사항들에 대해 행정기관에 의한 감시ㆍ감독으로는 한계가 있 을 수 밖에 없다. 따라서 개인정보처리자들이 스스 로 의무사항들을 지키고 점검할 수 있도록 사업자 협회 단체 등 자율적인 기구가 앞장서는 자율 규제 가 중요하게 대두되었다. 개인정보 보호법 에서도 이를 고려하여 제3조에 자율규제의 촉진 및 지원 에 대한 규정을 마련하였다. 여기에는 교육ㆍ홍보, 관련 단체 육성, 자율 규약의 제정ㆍ시행 지원 등의 사항뿐만아니라 인증마크 제도의 도 입ㆍ시행 지원에 대한 사항이 포함되어 있다. 202년에는 시민단체, 사업자단체, 공공기관 등 각계의 전문가들이 참여한 범국민 운 동본부 를 발족하여 각종 캠페인과 홍보 활동을 수 행하였고, 사업자 협회 단체를 통한 교육 지원, 민 간 분야 서식 개선도 추진하였다. 20년 9월 30일 개인정보 보호법 시행 이후 이 법을 준수해야 하는 개인정보처리자의 범위가 공공 과 민간 모두를 포함하게 되어 대폭 확대되었고 개. 사업자 협회 단체와의 협력을 통한 자율규제 활성화 202년 3월 개인정보 보호법 이 본격 시행되면

131 203 연차보고서 7 서 그동안 사업자 단체 중심으로 이루어지던 자율 활동을 한 단계 발전시키기 위해 소비자 단체 및 공 공기관까지 참여하는 자율기구인 범 국민 운동본부 가 출범하였다. 범국민 운동본부 는 소비자단체, 사 업자단체, 학계를 대표하는 공동대표를 포함하여 40 개 기관이 참여하였고 자율 규제 문화 정착을 위한 대국민 캠페인 및 교육 홍보를 주요 업무로 하였다. 3월29일 개최된 발대식에서는 민 관간 자율 규 제 협약 양해각서(MOU)를 체결하였는데 전국은행 연합회, 대한병원협회 등 업종별 협회 단체와 방송 통신위원회, 금융위원회, 보건복지부, 교육부, 안전 행정부 등이 협약에 참여하였다. 범국민 운동본부 는 8월 대학생 개 인정보보호지원단 을 구성하고 전국 50개 주요지역 의 0,238개 사업자들을 방문하여 필수 조치 사항을 안내하는 대국민 캠페인을 운영하였으며, 9월에는 추석을 맞이하여 주요 택배사들과 택배 운송장을 파 기하여 개인정보를 지키자는 캠페인도 실시하였다. 안전행정부는 지역의 사업자 협회 단체들이 적 극적으로 자율 개선 및 홍보 활동에 나설 수 있도록 3월에는 대구, 강원 등 5개 지역에서 지역상공회의 소, 요식업협회 등 33개 사업자 단체들과 권역별 간 그림 범국민 운동본부 발대식 담회를 개최하였고, 공무원과 전문기관 직원들이 지역 현장방문 지원단을 구성하여 전국 229개 시 군 구를 방문할 때도 335개 사업자 단체를 우선 방 문하는 등 협력을 강화하였다. 또한, 안전행정부는 사업자 자율기구인 개인정보 보호협의회 와 협력하여 협회 단체에 대한 교육 지 원도 추진하였다. 협의회 는 7월부터 월까지 한국교습소총연합회 등 9개 협회 단체 에서 교육을 개설하도록 독려하고 강사와 교재를 지 원하여,88명을 교육하였다. 이외에도 민간 분야에서 사용되는 개인정보 수집 서식을 파악하고 문제점을 분석하여 현장에서 개선 이 이루어질 수 있도록 지원하기 위해 한국CPO포럼 과 함께 9월부터 2월까지 전체 민간업종에서 사용하 는 개인정보 관련 서식을 수집하여 개선하는 사업을 추진하였다. 이를 통해 총 63종의 서식을 도출하고 문제점과 개선 사항을 발굴하여 협회 단체 및 서식 을 제출한 사업자들이 개선할 수 있도록 안내하였다. 은행연합회, 병원협회, 학원연합회 등 주요 업종 별 협회 단체들은 안전행정부, 금융위원회, 보건복 지부, 교육부 등 관련기관으로 구성된 T/F에 참여하 여 분야별 가이드라인을 마련하고 이를 전파하는 데 적극 참여하였다. 이처럼 202년은 개인정보 보호법 이 본격 시행 된 첫해로 범국민 운동본부 를 발족하고 정부와 협 회 단체 간의 협약을 체결하는 등 기반을 마련하고 사업자 단체들이 적극적인 활동을 펼칠 수 있도록 담당자들의 인식을 제고하는 데 주력하였다. 203년에는 보험, 병원 등 주요 업종부터 사업자 협회 단체들이 소관 사업자들에 대한 교육뿐 아니 라 실태 점검과 개선 지원 등 본격적인 자율규제 활 동도 펼칠 수 있도록 자율 규제 모델을 만들어갈 계 획이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

132 제4장 인식제고 8 2. 중소사업자 및 소상공인 대상 컨설팅 지원 안전행정부에서는 202년 3월 개인정보 보호법 이 본격 시행될 때까지 3개월간 국민생활과 밀접한 업종부터 컨설팅을 실시하였고 4월과 5월에는 전국의 소상공인을 방문하여 CCTV 안내판 및 필수 조치 사항을 제공하는 등 취약 분야에 대한 지원을 중점적으로 실시하였다. 중소 사업자 대상 컨설팅은 주요 업종별로 사업자들의 신청을 받아 방 문 컨설팅을 실시한 후 컨설팅 사례를 제작하여 동 종의 사업자들에게 전파하는 방식으로 진행하였다. 20년 월부터 2개월간 병원, 약국 등 0개 업 종 05개 사업자에 대한 컨설팅을 실시한 데 이어서 202년에도 월부터 3월까지 소매업, 대리운전 등 생활 밀착형 업종을 중심으로 7개 업종 62개 사업 자에 대한 컨설팅과 집중 계도를 실시하였다. 또한, 에 대한 인식이 부족하고 스 스로 조치 사항을 이행하기 어려운 소상공인을 위해 안전행정부, 지방자치단체, 한국정보화진흥원, 한국 인터넷진흥원의 직원 336명으로 전국의 소상공인을 직접 방문 지원하는 지역방문지원단 을 구성 운 영하였다. 지역방문지원단 은 202년 4월부터 5월까지 전국 229개 시 군 구에서 병원, 약국, 편의점 등 2,965 개 사업자를 방문하여 개인정보 보호법 필수 조치 사항과 CCTV 안내판을 배포하고 PC백신 무료 설치 등의 지원을 실시하였다. 지역 소상공인 등 취약 분야를 위한 지원과 캠 페인은 5월 이후에도 생활공감주부모니터단 (전 국 0,036명)을 통한 지역별 캠페인, 대학생 개인 정보보호 지원단 을 통한 소상공인 지원(50개 지역 0,238사업자) 등의 활동으로 이어져 사회 곳곳으로 에 대한 인식을 확산하는 데 기여하 였다. 특히, CCTV 안내판 설치는 이러한 직접적인 방문 계도와 함께 CCTV를 제조 설치 운영하는 업체와 의 협력도 이루어지면서 202년 3월 23%에 불과하 던 설치율을 9월에는 72.3%까지 끌어올리는 성과를 거두기도 하였다. 203년에도 수도권에 비해 상대적으로 교육 및 정 보 접근이 취약한 지역 소상공인과 중소 사업자를 위해 상공회의소, 주민센터 등에 지역거점 지원센터 를 구축 활용하여 맞춤 교육과 홍보 자료 제공, 컨 설팅 등의 지원을 지속적으로 추진할 계획이다. 3. 관리체계(PIMS) 인증제 운영 방송통신위원회는 기업의 개인정보 이용 확산에 따른 대량 개인정보 유출 사고가 증가함에 따라 기 업 스스로 자율적인 활동을 강화하 고, 제3의 기관으로부터 신뢰할 수 있는 보호 수준 의 검증을 위한 인증 필요성이 대두되어, 200년 개 인정보보호 관리체계(PIMS : Personal Information Management System) 인증제 를 도입하였다. 인증을 받고자 하는 기관은 인증 심사 신청을 하 고 인증서 발급을 받기까지 약 3개월의 기간이 소요 된다. 인증 심사는 기술 심사와 문서 심사로 구분되 며 심사 기준은 KISA-ISMS, ISO/IEC 2700, BS002 등 국내 외의 표준과 정보통신망법에 명시된 개인 정보보호 조치를 고려하여 국내 환경에 적합하도록 보완하여 개발하였으며 개인정보관리 과정, 개인정 보보호 대책 및 개인정보 수명주기 3개 분야의 9 개 통제 항목, 325개의 세부 점검 사항으로 구성되

133 203 연차보고서 9 표 년 PIMS 인증서 발급 현황 인증번호 업체(기관)명 인증범위 유효기간 PIMS 2-0 포워드 벤처스 엘엘씨, 한국지점 쿠팡서비스 ~ PIMS 2-00 SK마케팅앤컴퍼니(주) OK캐쉬백 서비스 ~ PIMS (주)LG전자 LG전자 고객 개인정보 관리체계 ~ 주요 현황 PIMS 주식회사 현대백화점 백화점 서비스 부문 ~ PIMS (주)Nplex 전사 ~ PIMS NTS(주)(NHN Technology Services(주)) 전사 ~ PIMS 한국보건복지정보개발원 보건기관통합정보서비스 ~ PIMS (주)우리홈쇼핑 홈쇼핑서비스(전사) ~ PIMS (주)씨앤앰 종합유선방송서비스(전사) ~ 정책실적 및 성과 PIMS 2-00 (주)엔씨소프트 온라인 게임 서비스(전사) ~ 출처 : 어 있다. 정보통신망법과 하위 법령 개정으로 개인정보보 호 관리체계 인증제도의 활성화 기반이 조성됨에 따라 정보통신서비스 제공자를 대상으로 최초심사 5건 및 사후심사 0건의 PIMS 인증 업무를 수행하 였다. 또한, 총 80명에게 PIMS 구축 및 운영 교육(7, 9월) 을 실시하는 한편, 심사원 양성교육을 통해 26명 의 심사원을 배출하였다. 특히, 202년에는 PIMS 국 제표준화 추진을 통해 국제전기통신연합 보안 분 야(ITU-T SG7 : International Telecommunications Union Telecommunication SG7)에 정보통신분 야에서의 를 위한 가이드라인 이 표 준안으로 채택되고, 국제표준화기구/국제전기 표준회의 합동기술위원회 연구 그룹27(ISO/IEC SC27 : International Organization for Standardization/ International Electrotechnical Commission SC27)에 개 인정보보호를 위한 가이드라인 과 ISO 2700과의 연 계방안 이 표준안으로 채택되는 성과를 이루었다. 3 기관별 실적 및 계획 4 해외동향 부 록

134

135 제 3 편 기관별 실적 및 계획 제 장 l 주요기관 제 2 장 l 국회 법원 헌법재판소 중앙선거관리위원회 제 3 장 l 행정부

136

137 203 연차보고서 23 제 장 주요기관 주요 현황 2 정책실적 및 성과 관련법 중 대표적인 것으로는 일 반법인 개인정보 보호법 과 개별법인 정보통신 망법, 신용정보법이 있으며, 이들 법의 소관 부처인 안전행정부, 방송통신위원회, 금융위원회가 각 분 야별 정책을 수립 추진하고 있다. 또한, 교육 및 의료분야와 같이 대량의 개인정보를 보유하고 있는 분야에 대한 를 위해서 교육부와 보건복지부에서도 다양한 정책을 추진 중 에 있으며, 46개 중앙행정기관은 각 부처가 수집 이용하고 있는 개인정보의 보호를 위하여 필요한 정책을 담은 시행계획을 수립하여 추진하고 있다. 본장의 제절에는 관련 주요 기관 인 안전행정부, 방송통신위원회, 금융위원회, 교육 부, 보건복지부의 202년 주요정책 실적과 계획을 수록하였으며, 2절과 3절에는 국회 법원 헌법재 판소 중앙선거관리위원회와 중앙행정기관, 지방 자치단체가 202년에 수행한 업무의 추진실적 등을 수록하였다. 제 절 안전행정부 3 기관별 실적 및 계획 4 해외동향 부 록. 개요 에 관한 일반법인 개인정보 보호 법 이 20년 9월 30일 시행되면서, 공공부문뿐만 아니라 민간부문까지 포함한 국가 전반의 개인정보 보호체계가 마련되었다. 이에 안전행정부는 개인 정보 보호법 이 안정적으로 연착륙될 수 있도록 법 시행일부터 6개월간( ~ ) 계도기 간을 두었으며, 에 대한 인식을 제고하 기 위해 공공기관과 민간사업자 등을 대상으로 지역 별 순회교육을 실시하는 등 다양한 방법으로 교육과 홍보를 실시하였다. 또한, 중소기업 영세 소상공 인에 대해서는 컨설팅 및 컴퓨터 바이러스 백신 무 료 보급 등을 통한 기술지원과 취약분 야에 대한 실태점검을 실시하는 등 개인정보 보호 법 의 조기정착을 위한 노력을 경주해왔다. 아울러 본부 소속기관 산하기관의 개인정보

138 제장 주요기관 24 보호를 강화하기 위해서 추진체계 정비, 개인정보 담당자 역량강화, 전 직원 인식 제고 등을 추진하여 주무부처로서 역할을 수행하였다. 또 한, 주민등록번호 수집 최소화를 위하여 상훈법 시행령 등 관계 법령도 정비하였으며, 개인정보 보호를 하나의 문화로 정착시키기 위해 공공 I-PIN 갖기 운동 캠페인을 전개하는 등 분위기 조성을 위 해 노력하였다. 2. 추진실적 202년에는 제도의 연착륙을 위해 [표 3--]에서 보는 바와 같이 법 제 도적 기반을 정비하고, 교육 홍보, 대국민 캠페인 및 소상공인 중소사업자 대상 기술지원 등의 활동 을 통해 에 대한 사회적 인식을 높이 는데 집중하였다. 그 결과, 202년 6월 국제사무용 소프트웨어 연합(BSA : Business Software Alliance) 의 평가에서 우리나라가 24개국 중 위를 차지하였다. 34) 또한, 지역의 영세 소상공인을 위해 현장방문 지 원단 을 구성하고, 필수조치사항 안내, 폐쇄회로 텔 레비젼(CCTV : closed-circuit television) 안내판 및 PC 백신 무료설치 등을 지원한 결과, 개인정보 보 호법 인지율 및 CCTV 안내판 설치율이 크게 증가 하였다. * 법 인지율(,005개 민간사업자 조사) : (202년 3월) 33.4% (202년 9월) 66.0% * CCTV 안내판 설치율(전국 약360만대 대비) : (202년 4월) 23.0% (202년 9월) 72.7% 가. 부내 강화 개인정보 보호법 의 본격적인 시행으로 개인 정보 수집을 위한 법적 근거가 요구됨에 따라, 공공 기관 등의 문서에서 개인 식별을 위한 수단으로 광 범위하게 사용되던 주민등록번호의 사용 최소화를 위하여 법 시행에 맞춰 시급한 조치가 필요한(주민 등록번호 요구서식) 관련 법령 일괄 개정을 추진하 여 43개 법령 및 56개 민원서식을 개정하였다. 부 내에서 취급하는 개인정보를 관련법규에 적합 하게 관리하기 위해 안전행정부 개인정보 보호지 침 (훈령 209호, )을 제정하여 지휘 감독 체계를 정립하였으며, 개인정보파일 등 록 공개 업무절차별 규정, 개인정보 유출 신고 절 차 및 의무화규정, 개인정보 파기절차 등을 기관내 부에 맞게 반영하였다. 본부 소속 산하기관에 대하여 적법한 절차에 따라 관리와 사용이 이루어지고 있는 지 실태를 점검하기 위해 대국민 공개대상 개인정 보파일 및 영상정보처리기기에 대한 일제조사를 실 시하여, 보유근거 기간, 제3자 제공 근거 등 적정 성 검토 및 정비를 통해 49개의 개인정보파일과 2,2대의 영상정보처리기기(CCTV)를 운영 관리 대상으로 분류하였다. 또한, 법적 의무조치사항의 이행점검 체크리스트를 만들어 자체점검하도록 조 치하였으며, 자체점검 후 그 결과에 따른 실태를 외 부전문가와 합동점검을 통하여 현장에서 조치가 가 능한 부분은 즉시 개선하였고, 조치에 시간이 필요 한 사항은 부서 및 기관에 별도로 통보하여 개선하 였다. 또한, 점검결과를 분석하여 제도개선이 필요 한 사항은 관련부서에 문제점 및 개선방안에 대한 주 : 34) 출처 : BSA글로벌 클라우드 컴퓨팅 채점표(BSA, 202.6)

139 203 연차보고서 25 의견을 전달하였다. 이러한 노력으로 전 부처를 대 상으로 실시한 202년 공공기관 관 리수준 진단 평가 에서 우수한 성과를 달성하였다. 부내 업무에서의 주민등록번호 사용제한을 위하 여 안전행정부 개인정보 보호지침에 책임관 승인 하에 주민등록번호를 보유하도록 반영 하였으며, 개인정보를 처리하는 정보시스템의 안전 성 확보를 위하여 암호화 조치, 주민등록번호 대체 수단 도입, 로그파일 생성 등 기술적 보호조치를 완 료하였다. 또한, 개 정보시스템에 대한 개인정보 영향평가를 실시하고 미흡한 점을 개선하는 등 개 인정보 보안강화를 지속적으로 추진하였다. 아울러 업무용 PC에 점검 툴을 이용하여 의 무점검을 실시하고 개인정보 사용이 필요한 파일에 대한 암호화 등의 조치를 취하였다. 이외에도 대국민 공개 홈페이지를 대상으로 개인 정보 유출 및 오 남용 사전 예방을 위해 경고문 안 내, 검색로봇 배제 등 홈페이지 노출방지 조치를 실 주요 현황 2 정책실적 및 성과 표 년 안전행정부 부내 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 추진체계 정비 민원서식 일괄 개정추진 - 주민등록번호 생년월일 개인정보 보호지침 제정 - 분야별 책임관 신설 및 추진체계 정비 민원서식 개정추진 : 43개 법령 및 56개 서식 안전행정부 개인정보 보호지침 제정(3월) 3 기관별 실적 및 계획 의무사항 이행점검 개인정보파일 및 영상정보처리기기(CCTV)의 의무사항 이행점검 및 미비사항 시정 보완 개인정보 처리실태 점검 개인정보파일 내용검토 및 재정비 보유근거 기간, 제3자 제공 근거 등 정비 < 개인정보파일 등록 현황 > 계 본부 소속기관 산하기관 비고 4 해외동향 49개 49개 36개 64개 시스템 운영 개인정보 노출 모니터링 강화 경고문 안내 등 홈페이지 노출 방지 조치 홈페이지(73개)에 대한 개인정보 노출 점검 주기적 실시 침해 예방 대책 수립 주민등록번호 사용제한을 위한 내부통제 방안 마련(3월) 개인정보 보유시스템 안전성 확보 조치 강화(3~2월) 개인정보 보호책임관 승인 하에 보유하도록 안전행정부지침(훈령) 반영 개인정보 처리시스템의 안전성 확보조치 예산 집행(65백만 원) 영향평가 대상 정보시스템에 대한 영향평가 수행(주민등록정보 등 개 시스템) 부 록 PC 개인정보 안전성 확보 툴을 이용한 PC별 개인정보 점검 의무 실시 담당자 업무역량 강화 담당, 전 직원 대상 맞춤형 교육 실시(4, 0월) 교육 홍보 인력확충 및 전문성 강화 개인정보파일 컨설팅 개인정보관리사 자격증(CPPG) 교육과정 운영 의무조치사항 이행 점검과 병행 실시(6~7월) 개인정보관리사 자격증(CPPG) 교육과정 운영(2회 실시) 교육과정 운영 중앙공무원교육원, 지방행정연수원에 사이버 교육 실시(0회 운영) 홍보강화 캠페인 전개 의 날 지정 운영 : 월 회 PC 점검 및 조치 등

140 제장 주요기관 26 시하였으며, 고유식별정보 및 계좌번호 등 개인정 보에 대한 노출 모니터링을 월 회 실시한 결과, 홈 페이지 개인정보 노출 사고가 발생하지 않았다. 개인정보담당자의 전문성 강화를 위해 개인정보 파일 담당, 소속 산하기관 담당, 전 직 원 대상 맞춤형 교육을 실시하였으며, 전문가 양성을 위해 개인정보관리사 자격증(CPPG : Certified Privacy Protection General) 교육과정을 2회 운영하였다. 또한, 중앙공무원교육원과 지방행정연 수원을 통해 사이버교육을 0회 실시하여 개인정보 보호 수준향상 및 중요성에 대한 인식을 제고하였다. 의 날을 지정하고 월회 업무용 PC 점검을 실시하여 분위기를 조성하고, 생활 속 문화 정착을 위하여 주민등 록번호 사용을 최소화하고 그 대체수단인 공공 I-PIN갖기 운동 을 전 직원대상으로 전개하였다. 아 울러 개인정보 인식 제고용 홍보스티커(개인정보 보호! 꼭 지켜야할 우리의 약속입니다)를 모든 개인 용 모니터에 부착하였다. 나. 법령 및 분야별 기준 개선 20년이 개인정보 보호법 이 시행된 원년이 라면, 202년은 법의 조기 정착을 위한 제도적 기반 을 공고히 한 해였다. 우선, 개인정보 보호법 제 9조 및 제0조에 따라 202년부터 204년까지 개인 정보보호 기본계획 과 202년 및 203년 시행계획 을 마련하였으며, 세무 병역 법무 복지 등 27개 부처에서 소관하고 있는 229개 대통령령을 일괄 개 정하여 업무 수행에 필요한 민감정보 및 고유식별 정보 처리 근거를 마련하였다. 또한, 주민등록번호 유출 및 오남용으로 인한 국 민의 불안감을 최소화하기 위해 방송통신위원회, 금융위원회와 함께 범국가적 차원에서 주민등록번 호 수집 이용 최소화 종합대책 을 마련하고, 4월 20일 국가정책조정회의에 보고하여 추진하고 있으 며 주요내용은 [표 3--2]와 같다. 다. 웹 사이트 모니터링을 통한 선제적 대응 안전행정부는 홈페이지에서 주민등록번호 노출 을 막기 위하여 200년 9월부터 개인정보 노출 조기 경보시스템 을 구축하여 운영 중이며, 개인정보가 노출된 기관에 대해 즉시 삭제토록 조치하여 웹 사 이트 상에서 개인정보가 노출되어 피해가 발생 되 는 사례가 없도록 적극 노력하고 있다. 특히, 202년에는 모니터링 대상을 기존의 공공 기 관의 5만여 웹 사이트에서 민간 협회 단체, 중소 사 업자까지 포함하여 총 0만여 웹 사이트로 확대하였 으며, 개인정보가 웹 사이트에 노출되는 것을 사 전에 예방하기 위하여 사이버 교육과정 개설, 가이드라인 배포, 그리고 노출기관을 대상으로 컨설팅 등을 실시 하였다. 이러한 노력의 결과로 200년 0.2%였던 노 출비율이 202년에는 0.07%로 감소하였다. 표 3--2 주민등록번호 수집 이용 최소화 종합대책 주요내용 (수집 이용 단계) 주민등록번호 수집 법정주의 도입, 대체수단제공 의무화 등 (관리 단계) 관리자 PC와 인터넷망 분리 의무화 등 (사후조치 단계) 범정부 통합대응체계 구축, 유출기업 과징금 부과, 대표자 징계권고 등

141 203 연차보고서 27 라. 취약분야 개인정보 보호조치 지원 안전행정부는 인력 예산 및 전문성이 부족한 소 상공인 중소기업에 대하여 암호화, PC용 백신 프 로그램 설치 등 개인정보 보호조치 이행을 지원하 기 위해 기술지원센터를 운영하고 있 다. 주요 지원내용으로 부동산, 학원 등 소상공인을 대상으로 4,488개의 PC용 백신을 무료로 보급하였 으며, 67개 중소사업자를 대상으로 방화벽 시스 템 암호화 솔루션 등 개인정보 보호조치에 필요한 솔루션 도입 비용을 지원하였다. 아울러 58개 소상 공인 중소사업자가 운영하는 개인정보 수집 웹 사 이트에 대한 취약점을 무상 점검하고, 개인정보보 호 법적 의무사항에 대한 기술적 관리적 보호조치 컨설팅을 무료로 지원하였다. 이 밖에도 소상공인이 주로 사용하는 프로그램 개발업체 웹호스팅사 인터넷 통신사 등 사업자 를 대상으로 간담회와 설명회를 개최하여 개인정보 처리자의 기술적 관리적 보호조치에 대한 자율적 조치 능력이 향상되도록 지원하였으며, 개인정보 위험도 기준 및 해설서(202.3.), 고객관리프로그 램의 보호조치 구현가이드 및 소상공인 개인정보 유형별 보호수칙(202.8.), 고유식별정보 등 개인 정보 암호화 조치 안내서(202.0.) 등을 마련하여 제공함으로써 개인정보 처리자가 손쉽게 보호조치 를 이행할 수 있도록 하였다. 마. 공공 I-PIN 보급 및 이용 활성화 공공 I-PIN 서비스는 인터넷상 개인 식별번호를 의미하며, 홈페이지 회원가입, 글쓰기 시 주민등록 번호를 사용하지 않고도 본인임을 확인할 수 있는 서비스로 개인정보 보호법 이 시 행됨에 따라 202년 3월부터 전 공공기관 서비스 도 입이 의무화 되었다. 이에 따라 원활한 서비스 제공 을 위해 공공 I-PIN시스템의 성능향상을 위한 인프 라를 확충하였으며, 웹 사이트에 회원가입 시 주민 등록번호를 수집하는 공공기관을 대상으로 공공 I-PIN 적용을 완료하였다. 또한, 공공 I-PIN 이용 활성화를 위해 250개 지역 아동센터 대상 I-PIN 교육자료 제공(정보소외계층 IT 희망 나눔 운동, ), 예비군교육 시 I-PIN 가 입 홍보자료 배포 및 예비군 홈페이지(www. yebigun.mil.kr)에 I-PIN 적용(28개 예비군 훈련장 37만부, 202.9~0) 등도 추진하였다. 바. 교육 홍보 강화 안전행정부는 민간분야 사업자를 위해 다양한 교 육을 실시하여 담당자들에 대한 전문성을 제고하였 다. 지역 사업자를 위해 9개 지역에서 순회교육 (,696명)을 실시하였고, 일반교육과정(2회, 64명), 인사노무 의료 교육 금융 등 주요 분야별 실무 교육과정(5회, 487명)을 운영하는 한편, 개인정보보 호포털에 4개의 사이버 교육과정을 개설하여 58,34명을 교육하였다. 이 외에도 민간부문의 자율 규제를 위해 협의회를 통해 민간 협 회 단체의 교육을 지원하여 20개 민 간단체의 직원,88명이 교육을 이수하였다. 공공분야에서도 담당자들의 인식 제고와 전문성 확보를 위해 권역별 순회교육(2회, 2개 지역 5,357 명), 취약자 특별교육(2회, 333명), 공사 공단 교육 (2회, 39명) 등을 실시하였다. 그 결과 공무원 정원 대비 약 9.9%(약 82만명)가 개인정보 보호법 시행 이후 교육을 이수한 것으로 나타났다. 더불어 개인정보책임자(CPO : Chief Privacy 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

142 제장 주요기관 28 Officer) 워크숍 및 컨퍼런스(5월)를 개최하여 에 대한 중요성을 인식하기 위해 정보를 공유하였으며, 전문강사 양성교육(2회, 80명)을 통해 교육인프라를 확충하 였다. 이 외에도, 공공 민간부문의 우수사례를 공모(4월)하여 그 결과를 공유하는 한 편, 대학생 토론대회(7월)를 개최하 여 개인정보의 이슈에 대한 토론의 장을 마련하였 으며, 국민 공감형 홍보 콘텐츠(동영상)를 제작 배 포하고 극장광고(월)도 실시하였다. 사. 자율규제 촉진 및 인식제고 안전행정부는 개인정보 보호법 시행 이후 계 도기간 중 소상공인, 중소사업자 등에 대한 교육 홍보를 통해 인식제고에 주력하였다. 202년 월부 터 3월까지 대리운전, 여행업 등 7개 국민생활 밀 착형 업종의 56개 사업자를 방문하여 개인정보 수 집서식 등의 개선을 지원하였고, 업종별 사례집을 발간하여 자율적인 조치사항 이행을 유도하였다. 4 월에는 안전행정부와 지자체 공무원,전문기관(한 국정보화진흥원, 한국인터넷진흥원) 직원 등 336명 으로 지원단을 구성하여 전국 229개 시 군 구의 지역 소상공인을 대상으로 직접 방문을 통한 현장 지도를 실시하였다. 이를 통해 전국 2,965개 사업 자 및 사업자 협회 단체를 방문하여 필수조치사항 을 전파하였고 CCTV 안내판 배포 및 무료PC백신 설치 등을 지원하였다. 또한, 민간의 자발적인 노력을 체 계화하고 구심체를 마련하기 위해 민간 자율규제 기구인 범국민 운동본부(이하 범국 본) 를 출범시켰다. 개인정보 보호법 제정 주 년인 202년 3월 29일, 포스트타워에서 개최된 범국 본 출범 행사에 사업자단체, 시민사회단체, 학계, 정 보보안업계 등 40여 개의 관련 기관 및 단체 에서 300여 명이 참여하였으며, 분야별 자율규제 문화 정 착을 위한 민 관 공동노력의 일환으로 관련 부처 와 분야별 주요 사업자단체 간 를 위 한 시범적 자율규제 협약 양해각서(MOU : Memorandum of Understanding)를 체결하였다. 자 율규제 협약의 주요내용은 관계 법령 교육 및 홍보, 처리현황 자율 점검 및 개선, 개인정보 처리안전성 확보를 위한 기술적 지 원 및 컨설팅 사업 등이다. 출범 이후 본격적인 활동에 나선 범국본은 대학생 지원단 을 구성하여 7월 20일부터 8월 9일까지 30일 간 서울, 부산 등 전국 50개 주요지역 을 대상으로 대국민 캠페인을 추진하였다. 지역별로 2명씩 총 00명으로 구성된 대학생 지 원단 은 생업으로 바빠서 개인정보 보호법 의 필 수 조치사항을 제대로 인지하지 못하였거나 실천하 기 어려운 소상공인의 사업장 0,238 곳을 직접 방문 하여 필수조치 사항 안내, CCTV 안내판 배포, PC용 무료백신 설치 등의 계도 지원 활동을 펼쳤다. 또한, 추석연휴로 택배서비스 활용이 많아지는 9 월에는 추석맞이 택배 수취인 캠페 인 을 추진하였다. 범국본 회원단체의 후원을 통해 택배 서비스 이용 시 요령 을 스티커 형태로 20만 부를 제작하였으며, 택배업체, 백화점, 농협, 우체국 등의 협력을 받아 전국으로 배송되는 택배 우편물에 이를 부착하였고, 안전행정부가 운 영하는 정보화마을 에서 택배 배송 시 상시적으로 이를 부착하도록 지원 협의하였다. 범국본은 앞으 로도 회원기관 단체 등과 긴밀히 협력하여 개인정 보보호 실천문화 확산을 위한 대국민 캠페인을 적 극 추진할 계획이다.

143 203 연차보고서 29 표 년 안전행정부 소관 분야 추진실적 분야 사업명 추진계획 주요실적 정책 및 제도 개선 법령 등 개선 추진체계 정비 법령 등 개선 분야별 기준 마련 범정부 종합대책 수립 추진 추진체계 강화 기본계획(월) 및 시행계획(4월) 수립 개인정보 관련 법령 일괄 개정(25개 부처 20개 법령, 월) 개인정보 관련 법령 일괄 추가 개정(9개 부처 22개 법령, 2월) 교육 노동 의료 금융 분야별 T/F 운영(5월~), 분야별 가이드라인 마련(7월~) 공공 민간 기관 CCTV 설치 운영 가이드라인(3월) 개인정보 암호화 조치 안내서(0월) 등 주민등록번호 수집 이용 최소화 종합대책 마련 시행 (안전행정부 방송통신위원회 금융위원회 합동, 4월~) 합동점검단 구성 운영(월~) - 안전행정부, 방송통신위원회, 경찰청, 금융위원회, 교육부, 보건복지부, 전문기관으로 구성 정책협의회 구성 운영(6월~) 주요 현황 2 정책실적 및 성과 개인정보 처리실태점검 웹 사이트 모니터링을 통한 선제적 대응 개인정보파일 등록 및 관리 강화 개인정보 노출 홈페이지 모니터링 강화 - 모니터링 대상 및 점검 유형 확대 - 홈페이지 개인정보 노출방지 가이드라인 개정(7월) 개인정보파일 관리 개선반 운영(시도, 전문기관 공동) - 지자체 개인정보파일 표준목록 마련(9월) - 지자체 개인정보파일 관리실태 교차점검 3 기관별 실적 및 계획 시스템 운영 실태점검 및 개선 기반 강화 및 기술지원 현장점검 및 행정처분 공공기관 관리수준 진단 취약분야 개인정보 보호조치 지원 개인정보 침해 예방 및 대응을 위한 개인정보 관리실 태점검 강화 - 범정부 합동점검단 발족 - 총 44개 기관 현장점검 및 위반사항 처분 중앙부처, 자자체, 지방공기업 등 88개 기관 대상 관리수준 진단 실시 및 개선 추진 지역 현장방문지원단, 기술지원센터 운영 등을 통한 소상공인 등 지원 - 백신 무상보급 : 4,488개 - 보안솔루션 비용 지원 : 67개 - 웹 사이트 취약점 점검 : 58건 - 컨설팅 : 425건 등 4 해외동향 공공 I-PIN 보급 및 이용 활성화 공공 I-PIN 이용 활성화를 위한 홍보 실시 정보주체 권리보장 정보주체 권리보장 SK컴즈 등 집단분쟁조정 신청 대응 및 처리 20년 분쟁조정사례집 발간 및 배포(5월) 부 록 교육 강화 교육 및 홍보 강화 공공 민간분야 순회교육, 컨퍼런스, TV 공익광고, 극장광고 등을 통한 계도 및 홍보 - 공공(6,287명), 민간(2,347명), 사이버(58,34명) 등 총 66,975명 교육 실시 교육 홍보 홍보강화 자율규제 촉진 및 인식제고 범국민운동본부 출범 운영 사업단체 등 40개 기관(3월~) 지역현장방문단 운영(4~5월) - 안전행정부 지자체 전문기관 등 336명 대학생 지원단 운영(7~8월) 추석맞이 소비자(택배 수취인) 캠페인 실시(9월)

144 제장 주요기관 향후계획 203년은 개인정보 보호법 시행 3년차로 단 순계도에서 과태료 부과 등 강력한 법 집행이 예상 됨에 따라 부내 강화를 위해 개인 정보 보호법 및 관련 각종 지침 제 개정사항을 반영한 이행점검 체크리스트를 고도화하여 각 부서 별 법적 의무조치사항 실태점검 및 미비사항을 컨 설팅 할 예정이다. 홈페이지 개인정보 노출 방지 강 화를 위한 자체진단시스템을 구축하여 실시간 모니 터링을 실시하고 인식제고 및 역량강 화를 위한 차별화된 맞춤형 교육과 기관별 순회교 육을 통해 내부교육 및 홍보를 지속적으로 추진할 것이다. 아울러 협회 단체 중심의 자율점검을 확대하는 등 민 관 협동으로 국민과 개인정보 처리자 스스로 개인정보를 안전하게 보호 할 수 있도록 개인정보보 호 문화 확산 을 지속적으로 전개해 나가는 한편, 과 다 불필요한 개인정보 수집과 무단 제공 관행 근절 을 위해 행정 민원서식, 통신 금융 쇼핑 등 주요 업종 계약서 서식 개선을 추진할 예정이다. 202년 3월 출범한 범정부 합동점 검단 이 중심이 되어 개인정보 불법 매매 유출 등 국민생활 불편, 사생활 침해 유발 업종 대상에 대 한 단속과 처벌을 강화하여 제도와 문화가 우리사회 전반에 조기 정착될 수 있도록 다 각적인 노력을 병행할 계획이다. 제 2 절 방송통신위원회. 개요 방송통신위원회는 부내 강화를 위 해 개인정보 처리시스템에서 수집 보유하고 있는 개인정보에 대한 체계적이고 종합적 관리 등 개인 정보보호 기반을 조성하고, 지침의 목 적에 부합된 방송통신위원회 자체의 정책수립 및 조직 운영을 위한 체계를 구축하였으며, 개인정보 이용과 제공에 대한 준수사항 이행확인 및 지도 감독 등을 통해 에 대한 중요성 인식 제고 및 개인정보 관리를 강화하였다. 또한, 정보통신분야는 해킹 등으로 인한 대규모 침해 발생 가능성 및 유출된 개인정보를 이용한 명의 도용, 스팸, 보이스피싱(Voice Phishing) 등으로 인한 2 3차 피해 가능성이 높아 가 무엇보 다 중요하다. 방송통신위원회는 안전하고 투명한 개 인정보보호 체계 구현을 목표로 관리 체계 정비, 기술 시스템적 보호 장치 강화, 교육 홍보 활성화를 통한 인식제고 활동을 꾸준히 펼치고 있다. 국민의 개인정보를 안전하게 보호하기 위해 정 보시스템을 이용한 개인정보 암호화 등 기술적 보호 조치 이외에도, 인식제고를 위한 사업자 및 일반인 대 상 교육, 홍보를 위한 캠 페인 공모전 개최 등도 함께 진행하였다. 2. 추진실적 가. 부내 강화

145 203 연차보고서 3 방송통신위원회는 방송통신사이버안전센터를 활 용하여 개인정보 처리시스템에 대한 24시간 관제를 실시하고 있으며, 특히 방송통신위원회 및 소속ㆍ유 관기관의 대국민 홈페이지에 대한 위ㆍ변조 모니터 링을 실시하였다. 개인정보 보호법 시행에 따른 법적 필수 조 치사항에 대한 관리체계 종합점검을 실시하여 체계의 적정성 및 정보주체 의 권리보장 등을 위하여 노력하였다. 아울러, 개인정보 관리 및 개인정보 취급자에 대 한 지속적인 관리감독 및 교육을 통하여 개인정보 보호 인식제고 및 개인정보 유출방지를 위해 적극 노력하였다. 나. 법령 개선 및 기준 정비 방송통신위원회는 정보통신망법을 개정( 시행)하여 정보통신서비스 제공자가 본인확인기관 이나 법령에서 허용하는 경우를 제외하고는 원칙적 으로 이용자의 주민등록번호를 수집 이용할 수 없 도록 하였다. 개정내용을 살펴보면, 인터넷 상 주민등록번호의 수집 이용 금지(기존의 수집정보는 까 지 파기), 개인정보 유출시 통지 신고(건 이상, 개인정보 보호법 에서는 만 명 이상의 개인정 보 유출시 신고), 장기간 서비스를 이용하지 않은 이 용자의 개인정보 파기(휴면기간 3년 이상의 개인정 보 대상), 개인정보 이용내역 통지(00만 명 이상 개 인정보 보유 대상, 연 회 이상) 등이 있다. 이외에도 개인정보 이용내역 통지제 절차 및 방법 에 대한 시행령(202.8.) 및 정보시스템별 개인정보 의 안전한 관리를 위한 개인정보의 기술적 관리적 보호조치 기준 해설서를 개정(202.9.)하였으며, 위치정보의 보호 및 이용등에 관한 법률 시행령 및 고시 개정(202..)을 통해 위치정보사업자의 허가 심사 제출 서류를 간소화하고, 위치정보 사업허가 세부심사기준별 평가방법 등도 마련하였다. 다. 국제협력 강화 및 국제기구 참여 방송통신위원회와 한국인터넷진흥원(KISA)은 개 인정보 국외이전 등 글로벌 이슈에 대한 국가 간 정 보공유 및 공동대응을 위해 개인정보 관련 국제기구 활동에 참여하였다. 202년 6월과 2월 두 차례에 걸 쳐 아시아태평양 감독기구(APPA : Asia Pacific Privacy Authorities)에 참여하여 회원국별 청소 년을 위해 제작한 콘텐츠와 개인정보 관련 법제도 및 사고대응 사례, 개인정보 침해동향, 국가 간 개인정보 피해규제 공동 대응 등 관련 정보 를 공유하였다. 세부 내용을 보면, 한국의 보호나라, 드림단, 인터 넷 윤리교실, 인터넷윤리교육정보서비스 등 청소년 을 위한 국내 콘텐츠 자료 및 관련 링크를 국외에 소 개하였으며, 개인정보 공동 대응의 일환으로 2월에 는 구글의 서비스 통합에 대한 APPA 회원국의 공동 서안을 구글에 전달하였다. 또한, 아시아 태평양 경제협력체(APEC : Asia- Pacific Economic Cooperation)와의 협 력체계 강화를 위해 월과 5월에는 APEC 개인정보 보호 워킹그룹(Working Group)에도 참석하였다. 라. 개인정보 유 노출 모니터링 강화 방송통신위원회는 대국민 홈페이지 위 변조, 개 인정보 유출 등 사이버 침해 및 개인정보의 노출을 방 지하고자 한국인터넷진흥원과 공동으로 상시 모니 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

146 제장 주요기관 32 터링을 실시하여 유출된 개인정보를 삭제 하고 있다. 2009년부터 운영 중인 개인정보 노출대응 시스템 은 주민등록번호 외에 계좌번호, 신용카드 번호 등 8 개 항목의 개인정보를 신속하게 검색하여 해당정보 가 노출되는 즉시 삭제하고 있는데, 202년 한 해 동안 국내에서는 총 73,679개 페이지를 검색하여 67,859개 페이지를 삭제하였으며, 국외의 경우에도 총 8,497개 페이지를 검색하여 7,545개 페이지를 삭제 하였다. 또한, 개인정보 노출검색 및 삭제 시스템으로 60 개 P2P 사이트를 검색하여 월평균 5.7개의 개인정 보 노출파일을 삭제하였다. 마. 주민등록번호 수집 이용 제도 개선 개정된 정보통신망법의 계도기간(203.2.)이 종 료되어 웹 사이트의 주민등록번호 미수집 전환지원 이 필요함에 따라 방송통신위원회는 주민등록번호 대체수단 보급, 영세사업자 기술지원 등 다양한 지 원방안을 추진해 왔다. 구체적으로 주민등록번호 수집 이용 제한 정책 안내서를 보급하고 사업자 의견수렴 등을 위해 202년 4월부터 9월까지 정책 토론회 및 설명회를 개최하였으며, 주민등록번호 사용제한정책 이행 지 원을 위한 인터넷 주민등록번호 클린센터를 5월에 개소하여 운영하고 있다. 주민등록번호 대체수단 보급 확대 및 영세사업자 기술지원 등의 목적으로 202년 한 해 동안 총 5,884 개 웹 사이트에 I-PIN 도입을 지원하였으며, 2월에 는 휴대폰 인증을 제공하는 사업자를 본인확인기관 으로 지정하여 주민등록번호 사용금지로 인한 이용 자의 불편을 해소하고자 하였다. 바. 관리체계 인증제도 운영 방송통신위원회는 대규모 개인정보 유출사고 예 방을 위해 관리체계(PIMS : Personal Information Management System) 인증제 활성화 기 반을 조성하였다. 정보통신서비스 제공자를 대상으 로 202년에 최초심사 5건, 사후심사 0건의 PIMS 인증 업무를 수행하였으며, 총 80명을 대상으로 PIMS 구축 및 운영 교육(7, 9월)을 실시하였다. 또한, 심사원 양성교육(6, 0월)을 통해 총 26명 의 심사원을 배출하였다. 특히, PIMS의 국제표준화 를 추진하여 국제전기통신연합 보안 분야(ITU-T SG7 : International Telecommunications Union Telecommunication SG7)에 정보통신분야의 개인 정보보호를 위한 가이드라인 이 표준안으로 채택되 었으며, 국제표준화기구/국제전기표준회의 합동기 술위원회 연구 그룹27(ISO/IEC SC27 : International Organization for Standardization/International Electrotechnical Commission SC27)에서 개인정보 보호를 위한 가이드라인 및 ISO 2700과의 연계방 안 등 관리체계 지침이 표준안 제안 으로 채택되는 성과를 이루었다. 사. 교육 및 홍보 방송통신위원회는 주민등록번호 수집 이용 제 한 정책 관련 라디오 광고 종, TV광고 2종의 홍보 콘텐츠를 개발하여 케이블TV 5개 채널 및 라디오 개 채널에 송출(2월)하였으며, 정보통신망법 개정 및 이용자 인식제고를 위해 인기 웹 툰 캐릭터를 활용한 온 오프라인 캠페인 홍보, 인 터넷 이용자 대상 퀴즈이벤트, 일반인 대상 웹툰 공 모전 등을 개최(9~0월)하였다. 포털( 사업자 온라인 교육 시스템도 연중 운영하고

147 203 연차보고서 33 표 년 방송통신위원회 추진실적 분야 사업명 추진계획 주요실적 정책 및 제도 개선 법령 등 개선 법령 개선 분야별 기준 정비 정보통신망법 시행령 고시 개정 및 시행(8월) 위치정보의 보호 및 이용 등에 관한 법률 시행령 고시 개정 및 시행 (월) 개인정보의 기술적 관리적 보호조치 기준 해설서 증보판 개발 및 보급 (9월) 추진체계 정비 유관 기관 등과의 협업체계구축 KT 등 개인정보 유출사고 신속 대응(연중) 주요 현황 국제협력 강화 및 국제기구 참여 개인정보 처리 실태점검 국제기구 활동을 통한 국제협력 강화 개인정보 유 노출 모니터링 강화 APPA(Asia Pacific Privacy Authorities) 참여(6, 2월) APEC(Asia- Pacific Economic Cooperation) 워킹그룹 참석(, 5월) 국내외 웹 사이트 개인정보 노출검색 및 삭제(연중) P2P를 통한 개인정보 노출검색 및 삭제(연중) 2 정책실적 및 성과 주민등록번호 수집 이용 제한 정책 안내서 보급 및 사업자 의견수렴 등을 위한 정책 토론회 설명회 개최(4~9월) 침해 예방 대책 수립 주민등록번호 수집 이용 제도 개선 개인정보 처리 안전성 확보 주민등록번호 수집 이용 제한 정책이행 지원을 위한 인터넷 주민등록 번호 클린센터 개소 및 운영(5월) 주민등록번호 미수집 전환 지원을 위한 대체수단 제공(연중) 대체수단 확대를 위한 휴대폰인증 본인확인기관 지정(2월) 개인정보 처리 안전성 확보 3 기관별 실적 및 계획 시스템 운영 관리체계 인증제 (PIMS) 운영 PIMS 관련 정보통신망법 하위법령 정비(8월) 정보통신서비스 제공자 대상 PIMS 인증 및 제도 개선(연중) PIMS 인증교육 및 홍보(연중) PIMS 국제 표준화 추진(연중) 취약점 점검 및 개인정보 유ㆍ노출 점검 대국민 홈페이지 취약점 점검 및 개인정보 유ㆍ노출 점검 실시 취약점 및 개인정보 노출 조치 4 해외동향 개인정보 안전성 강화 관리체계 종합점검 실시 개인정보 처리시스템에 대한 보안패치, 침입차단시스템 설치, 고유식별 정보 암호화 조치 등 기술적 조치 사항 점검 보완 정보주체 권리보장 정보주체 권리보장 개인정보 이용내역 통지제 절차 방법 관련 시행령 개정 및 시행(8월) 정보통신망법 해설서 증보판 개발 및 보급(9월) 교육 홍보 정보보호 교육 강화 홍보 강화 정보보호 담당자의 업무역량강 화와 침해사고 발생 시 신속한 정보공유와 대응능력 강화 위한 정보보호담당자 역량강화 실천문화 확산 직원들의 사이버 침해 및 개인정보 유출방지 등 정보보호 의식제고 활동 강화 주민등록번호 수집 이용 제한 정책 홍보 콘텐츠 제작 및 송출 정보통신망법 개정 내용 및 에 대한 이용자 인식제고 캠페인 공모전 개최(9~0월) 포털( 통한 사업자 온라인 교육(연중) 사업자 대상 기술적 관리적 역량 강화 교육(연중) 정보통신망법 신규제도에 대한 개인정보 관리책임자 및 취급자 워크숍 개최(2월, 총 회) 주민등록번호 미사용 환경을 위한 유관협회 회원사 대상 설명회 개최 (6~8월, 총 6회) 부 록 미래세대 의식 확산 미취학 아동, 초 중 고 학생 및 학부모, 일반인 등 이용자 교육(연중)

148 제장 주요기관 34 있으며, 사업자를 대상으로 기술적 관리적 역량 강화 교육(총 2회), 정보통신망법 신규제도에 대한 개인정보 관리책임자 및 취급자 워크숍(2월), 유관 협회 회원사 대상 주민등록번호 미사용 환경 관련 설명회를 개최(총 6회)하였다. 또한, 미취학 아동, 초 중 고등학생 및 학부모, 일반인 등을 대상으 로 이용자 교육을 총 0회 실시하는 등 의 중요성에 대한 이용자 인식제고 를 위해 노력하였다. 3. 향후계획 방송통신위원회는 부내 강화를 위 해 대국민 홈페이지 서비스에 대한 지속적인 취약 점 점검 및 조치를 통한 안정적 서비스 제공으로 대 민서비스 신뢰를 강화하도록 할 예정이며, 개인정 보보호 관리책임자 및 담당자 전문교 육을 통해 실제 개인정보 취급자의 인식을 제고하고 의 중요성을 알릴 것 이다. 또한, 내부 정보시스템에 대한 개인정보파일 의 진단, 격리, 암호화 등 서비스가 가능한 전문도구 도입 및 지속적인 안전성 점검과 모니터링을 실시 하여 방송통신위원회 정보시스템에 대한 개인정보 유출의 사전예방을 위해 최선을 다할 것이다. 정보통신분야의 강화 및 개정된 정보통신망법의 원활한 정착을 위해 웹 사이트의 주민등록번호 수집 이용 여부에 대한 모니터링 강 화 및 관련 정책 안내서 발간, 영세사업자 기술지원 등을 실시할 것이다. 국내외 P2P 웹 사이트를 통한 개인정보 노출검색 및 삭제 시스템을 상시 운영하 고, 개인정보를 보유한 정보시스템을 대상으로 개 인정보 유 노출 점검도 시행하며, 웹서비스 취약 점 보완조치 점검도 시행하고자 한다. 개인정보 관 련 글로벌 이슈에 대한 유기적 대응 및 국제협력 강 화를 위해 APPA, APEC, 국제기구회 의(ICDPPC : International Conference of Data Protection and Privacy Commissioners) 등 개인정보 보호 관련 국제기구에도 지속적으로 참여하는 한 편, 이용자 권리보장 및 불합리한 규제 완화 등을 위 한 법령 개정과 제도 연구도 진행할 것이다. 인식수준 제고를 위해 개인정보를 취급하는 개인정보 처리자 등 담당자뿐만 아니라 일반 국민을 대상으로 교육 및 홍보 도 확대 강화할 예정이다. 주민등록번호 수집 이용 제한 정책 관련 TV광고 및 이용자 자기정보보 호 실천역량 강화를 위한 캠페인 공모전 등을 주 기적으로 개최하는 한편, 영세사업자를 대상으로 한 무료 교육, 청소년을 위한 찾아가 는 교실 등을 운영하고 개인정보 담 당자의 역량 강화를 위해 관리책임자 교육을 전국적으로 실시할 계획이다. 아울러, ISO/IEC 및 ITU-T를 통한 PIMS의 국제 표 준화에 적극적으로 노력하고, 관리체 계 및 처리 시스템에 대한 기술적 조치사항 점검을 위해 방송통신위원회 자체적으로 관 리체계 종합점검 계획을 수립 시행할 예정이다. 또한, 본인확인기관 지정기준에 따른 정기점검 및 취약점 점검, 모의해킹 등 안전성 강화를 위해서도 노력할 것이다.

149 203 연차보고서 35 제 3 절 금융위원회. 개요 가. 의 필요성 정보보호정책이 강화되고 있다. 특히 금융 분야의 경우에는 전자금융거래법, 금융실명 거래 및 실명보장에 관한 법률, 신용정보법 등 다양한 법 률이 존재하고 있으며, 각 업권을 규율하는 법률에 도 자체적으로 개인정보와 관련한 조문들을 통하여 보호장치를 마련하고 있다. 주요 현황 금융 분야는 주민등록번호 등의 고유식별정보와 대출, 연체 등의 민감한 개인신용정보 이용을 전제 로 하고 있기 때문에 유출될 경우 직접적으로 정보 주체의 금전적 피해로 연결됨에 따라 정책 강화에 대한 사회적 요구가 증가하고 있다. 이러한 요구에 대응하여 금융당국은 전산시스템 의 보안을 지속적으로 강화하고, 개인정보 취급업 무에 대한 내부처리절차의 보안을 강화하며, 취급 자에 대한 교육 강화를 통해 윤리의식을 제고하는 등의 노력을 기울이고 있다. 뿐만 아니라, 관련 법 체계를 정비하는 등 강화를 위한 다 양한 정책을 실시하고 있다. 또한, 개인정보 처리시 스템과 개인정보파일 등에 대한 지속적인 점검을 통하여 금융위원회 내의 에도 만전을 기하고 있다. 금융위원회 내부의 개인정보 처리 안 전성 확보를 위하여 금융위원회 웹 사이트에 대하 여 웹 취약성 점검 및 정보보호 컨설팅을 실시하였 고, 금융위원회가 보유하고 있는 개인정보파일에 대한 위험도 분석을 실시하는 등 많 은 노력을 기울이고 있다. 나. 개인정보 이용 수집 현황 및 활용체계 에 대한 사회적 요구가 증가함에 따 라 의 일반법으로서의 지위를 가지는 개인정보 보호법 제정과 더불어 각 분야의 개인 2. 추진실적 가. 부내 강화 금융위원회는 202년 2월 금융위원회 정보시스 템에서 수집하여 처리하고 있는 고유식별번호에 대 한 체계의 적정성 및 유출 시 정보주 체의 권리 침해 정도를 분석하기 위하여 개인정보 보호 위험도 분석을 실시하였다. 위험도 분석의 기준에 따라 정책기반, 네트워크 기반, 데이터베이스(DB) 및 어플리케이션 기반, 웹 기반의 26개 항목에 대하여 점검 및 분석한 결과 개 인정보보호 정책 및 관리계획 수립, 정보시스템에 대한 접근권한 제어 및 모니터링 등 암호화에 상응 할 만한 충분한 보호조치가 이루어지고 있는 것으 로 판단되었다. 나. 신용정보주체 보호를 위한 법령 강화 신용정보회사의 경우는 신용정보법에 따라 허가 를 받아 충분한 법적 보안시스템을 갖추고 개인신 용정보를 취급하도록 하고 있다. 또한, 이 법에는 신 용정보의 구체적인 종류를 항목별로 명시하고, 신 용정보주체에게 불이익을 줄 수 있는 신용정보는 최장 5년 이내에 삭제하도록 규정하고 있으며, 이러 한 불이익 정보 삭제 규정을 근거로 신용정보업 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

150 제장 주요기관 36 감독규정 에서도 각 정보들의 보유 및 관리기간을 규정하고 있다. 금융분야의 경우는 개인정보 보호법 뿐만 아 니라 각 부문별로 개별법에 의하여 별도로 규제하고 있는 경우가 많다. 그러나 이렇게 여러 가지의 법이 하나의 행위를 규제하는 경우 다소 혼란이 야기되거 나 중복규제가 되는 경우가 발생하였다. 이렇게 개 인정보 보호법 과 기타 다른 법률들이 함께 적용되 는 부문에 대하여 업무처리의 혼란을 예방하고 명확 한 가이드라인을 제시하기 위한, 금융분야 개인정보 보호 가이드라인 을 마련 중에 있으며, 202년부터 T/ F를 구성하여 지속적으로 논의하여 203년 상반기에 는 가이드라인을 완료하고 배포할 예정이다. 뿐만 아니라, 금융위원회는 금융권의 불필요한 개인정보 수집관행을 근절하기 위하여 금융감독원, 금융협회와 함께 금융권 개인정보 수집실태 제도 개선 T/F 를 구축하여 운영하였으며, 이를 통하여 금 융회사의 약관 및 개인정보 처리서식 등을 일제히 조사하여 개인정보를 필요 최소한으로만 수집하 도록 개선방안을 마련 중에 있다. 다. 전자적 침해행위 예방을 위한 제도 보완 정부는 전자금융거래 과정에서 금융회사의 전산 사고 및 개인정보 유출을 방지하기 위하여 다방면 으로 노력해왔다. 먼저, 총임직원 수에서 IT인력 비 율이 5%가 되도록 권고하고, IT예산 중에서 보안예 산으로 7%를 배정하도록 권고하는 등 일정비율의 인력과 예산을 권고하여 금융회사 스스로 IT 보안역 량을 강화하도록 유도(202..)하였다. 또한, 전자 금융기반시설은 매년, 홈페이지는 매반기, IT부문 사업은 업무 적용 전에 취약점 분석 및 평가를 실시 하도록 지도하였다. 뿐만 아니라 금융회사 인력 및 예산, 보안강화 대 책 등을 담은 금융회사 정보기술(IT)부문 보호업무 모범규준 을 시행함으로써 전산실 등 보호대책, 해 킹 등 침해행위 방지대책이나 내부통제 강화대책, 외부위탁에 관한 기준 등을 지도하여 왔다. 마지막 으로, 보이스피싱 피해방지를 위한 공인인증서 사 용 절차를 강화하였다. 금융회사들이 공인인증서 재발급 및 사용 시 절차를 강화하도록 전자금융사 기예방 서비스 구축과 관련한 가이드라인을 마련 (202.6.)하였으며, 금융권의 개인정보 암호화 적용 실태를 파악하여 미흡한 부분에 대한 이행을 독려 하고, 금융회사 시스템 재개발 시에 고유식별번호 등 주요 개인정보에 대하여 암호화하는 방안을 적 극 도입하도록 독려할 예정이다. 라. 정보주체의 권리 보장 정부는 개인신용정보 수집 이용 관행 개선방 안 ( )에서 발표한 바와 같이 단기 연체정보 가 등록되기 전에 알림 기능을 강화하고, 신용정보 를 부당하게 이용하거나 개인정보 및 신용정보가 유출되는 등의 피해가 발생할 경우 본인 통지가 이 루어질 수 있도록 하는 방안을 시행할 예정이다. 또한, 현재 신용정보법 제 38조에 신용정보주체 가 본인의 신용정보를 열람하거나 오류정보를 정정 할 수 있도록 규정하고 있어 신용정보주체 스스로 자신의 신용정보를 관리할 수 있도록 법으로 권리 를 보장하고 있다. 3. 향후계획 가. 부내 강화

151 203 연차보고서 37 표 년 금융위원회 추진실적 분 야 사업명 추진계획 주요실적 정책 및 제도 개선 시스템 운영 법령 등 개선 보호기준 정비 협업체계 구축 개인정보 처리실태 점검 개인정보 파일 조사 침해 예방 대책 수립 전자금융거래법 개정 (202년 상반기) 각 금융업권별 감독규정의 개인정보 보호법 취지와 부합여부 검토(~203년) - 금융위 금감원 금융권 협회 참여 지침 마련 T/F 결성(202년 하반기) 금융권 협의회 운영 (202년 하반기) 기관별 담당자 핫라인 구축 활용 (202년 상반기) 개인정보 수집 보관 전수 조사 후, 개선방안 마련 - 금융업권별/거래 형태별 - 개인정보 최소수집토록 개선 질병 치료 정보, 사고정보 등 민감정보와 밀접한 보험정보 집중기관들에 대한 운영 실태점검 추진 (202년 상반기) 개인정보파일 실태점검(203년) 금융기관 및 전자금융업자의 안전성 확보의무 이행여부 점검 - 사고 발생 시 신속한 실태조사 실시 부내 개인정보 처리안전성 확보 전자금융거래법 시행령 개정(5월) - 정보보호책임자 임명 의무화 등 공공기관별 법령개정 수요 취합(7~8월) 주민등록번호 처리 근거법령 개정(0~월) 금융권 가이드라인 마련 을 위한 T/F 운영(0월~) 금융권 협의회 운영(6월) 금융권 담당자 간담회 개최(4월) 전 금융권 개인정보 수집 서식 전수조사 및 개선방안 논의(4월~) 금융위 산하기관에 대한 개인정보파일 일제정비(4월) 금융회사의 전산사고 및 개인정보 유출 방지 조치 - 일정비율의 인력과 예산을 권고하여 금융회사 스스로 IT 보안역량을 강화하도록 유도(월) - 전자금융기반시설은 매년, 홈페이지는 매반기, IT부문 사업은 업무 적용 전 취약점 분석 평가 실시 지도 공인인증서 사용 절차 강화 - 전자금융사기 예방서비스 구축 관련 가이드라인 마련(6월) 금융위원회 정보시스템에 대한 개인정보 위험도 분석 실시(2월) 금융위원회홈페이지 및 e-금융민원에 대한 정보보호 컨설팅 실시(8월) 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 개인정보 처리실태점검 금융위원회 정보시스템 및 개인정보 파일에 대한 정기점검 실시 정보시스템 및 개인정보 파일에 대한 정기점검 실시(2월) 개인정보 보유 노출 모니터링 강화 개인정보유출 차단시스템을 통한 개인정보 게시 차단 및 정기 모니터링 실시 매월 개인정보유출차단시스템을 통한 개인정보 게시 차단 및 정기 모니터링 정보주체 권리보장 개인정보파일 담당자 교육 실시(202년 상반기) - 정보주체 권리보장 중심 개인정보파일 담당자 교육(5월) 개인 신용정보 수집 이용 관행 개선을 위한 T/F 운영(202년 하반기) 부 록 유 노출 모니터링 강화 T/F에서 금융권 상시 모니터링 실시 개인정보 유출 등 침해사고 정보 실시간 수집(금융 ISAC과 연계) 교육 홍보 전문성 강화 홍보 강화 관계기관 주관 교육 참가 독려 산하기관의 교육실적 관리(202년 하반기) 정보보안진단의 날 개인정보자율 점검 등 (202년 하반기) 개인정보파일 담당자 교육(5월) 금융권 개인정보 인터넷 카페 활용(수시) 금융권 협회 등과 간담회를 통한 주민 등록번호 최소화 대책 등 전파(4월) 체크리스트 전파 및 사이버 교육 안내 (0월)

152 제장 주요기관 38 금융위원회에서 제공하는 대민서비스에 대한 고 유식별번호 수집의 최소화를 위하여 202년에 금융 위원회 홈페이지의 민원접수 시 실명인증 단계를 생략하였으며, 203년에는 금융민원홈페이지의 민 원접수 처리 과정에 대하여 실명인증만 실시하고 고유식별번호의 보유 및 사용 프로세스를 삭제할 예정이다. 이를 통해 불필요한 고유식별번호의 보 유 및 처리를 최소화함으로써 개인정보 유출사고를 원천적으로 방지하고 지속적인 안전성 점검 및 모 니터링을 통하여 금융위원회 정보시스템에 대한 개 인정보 유출의 사전예방에 최선을 다할 것이다. 나. 법령 등 개선 라. 침해 예방제도 보완 최근 금융 전반에 걸쳐 보이스피싱에 의한 피해 가 잇따라 발생함에 따라, 보이스피싱 피해방지를 위해 공인인증서 사용 절차가 강화된 전자금융사 기예방 서비스 를 비은행권에 시행(203.3.)하였고, 203년 하반기에는 이를 전 권역으로 확대하여 시 행하도록 지도할 예정이다. 또한, 금융권의 개인정보 암호화 적용실태를 파 악하고 미흡한 부분에 대한 이행을 독려(203.3.)한 바 있으며, 이를 토대로 금융회사 시스템 재개발 시 고유식별번호 등 주요 개인정보에 대하여 암호화하 는 방안을 적극 추진하도록 독려할 예정이다. 현재 전자금융거래 안정성을 도모하고 이용자를 보호하기 위한 전자금융거래법 개정안의 입법 노력을 기울이고 있다. 개정안의 주요내용은 정보 기술부문 계획을 수립 제출하도록 하고, 전자금융 기반시설의 취약점 분석평가를 의무화하며, 침해행 위 금지 및 처벌을 규정하는 것 등이다. 또한, 해킹 에 대한 금융회사 책임을 강화하는 등 금융회사에 대한 제재를 강화하고 있다. 동 개정안은 국회 계류 중에 있으며, 개정에 대비한 시행령 등 하위 규정 정 비안을 마련할 예정이다. 다. 주민등록번호 수집 이용제도 개선 정보통신망법이 본격 시행됨에 따라 온라인에서 주민등록번호를 대량으로 수집하고 있는 금융회사 에 대하여 방송통신위원회와 금융감독원 등은 합동 점검을 실시하였다(203.3.). 점검 결과를 바탕으로 금융회사의 주민등록번호 수집을 최소화할 수 있는 정책을 마련하여 추진할 예정이다. 제 4 절 교육부. 개요 교육부는 개인정보의 안전한 보호를 위하여 개 인정보 인식제고 및 역량강화 를 목표로 국민의 권 익을 보호하고 교육 관련업무 추진 시 개인정보 보호법 이행 준수를 위해 노력하고 있다. 특히 교육 분야에서 취급되는 개인정보는 규모가 방대하 고 업무의 종류도 다양하며 대상 범위가 유아교육 부터 평생교육까지 광범위하여 의 중 요성이 매우 큰 분야이다. 202년 기준 교육 관련 기관에서 보유하고 있는 개인정보파일 총 5만여 개가 종합지 원시스템에 등록되어 있다. 최근 웹 사이트 등에 개 인정보 유 노출에 따른 피해사례가 급증하고 유형

153 203 연차보고서 39 도 다양하게 나타남에 따라 개인정보파일들의 안전 하고 체계적인 관리가 필요하게 되었다. 이에 교육 부에서는 에 대한 교육 및 안전성 확보 조치를 위한 관리적 기술적 보완조치 등을 통해 보 안 강화조치를 지속적으로 추진하고 있으며 개인정 보보호 실태점검 및 지도방문, 개인정보 유 노출 방지 모니터링을 실시하였고, 교육부 및 소속 산하 기관 구성원들의 업무처리를 위한 질의 응답 사례 를 분석 정리한 개인정보 업무처리 사례집 을 발 간 배포하였다. 2. 추진실적 가. 교육부 소관 법령 일괄 개정 개인정보 보호법 제정 이후 교육부 소관 법령 중 고유식별정보 및 민감정보의 처리와 관련하여 법적 근거 마련을 위한 일부 법령 개정이 이루어졌 다. 관련된 서식에서 주민등록번호를 대체할 수 있 는 방안을 마련하여 개인정보 수집을 최소화하도록 개선하는 등 시 도 교육청별 40개 자치법규 및 조 례도 개정하였다. 나. 부내 시스템 강화 홈페이지의 개인정보 유 노출을 차단하고자 개 인정보 필터링 시스템을 구축하고, 업무 포털 및 맞 춤형 업무정보시스템의 개인정보 데이터베이스를 암호화하였고, 내부직원용 업무 단말기에 대한 개 인정보 유출 방지를 위해 백신관리시스템(VMS : Vaccine Management System)를 고도화하는 등 부 내 시스템을 강화하였다. 다. 정보시스템의 개인정보 보안성 강화 개인정보를 보유하고 있는 교육기관에 대하여 해 킹 등 불법적 개인정보 유 노출에 대비하고 인터넷 상에서 송 수신되는 개인정보를 보호하기 위해 보 안서버를 구축하였으며, I-PIN 이용 확산을 추진하여 주민등록번호의 사용을 최소화하는 노력을 하였다. 라. 교육 및 홍보 202년 교육부는 담당자 및 취급자 에 대한 교육을 확대하고자 정보보호 교육센터를 서울(고려대), 대전(충남대), 부산(부산대) 등 3개 권 역에 구축하여 총 5,44명의 집합교육과 7,79명의 사이버 원격 교육을 실시하였다. 특히 전문가 양성 을 위해 전문교육기관의 위탁교육(,300명)과 IT 관 련 특성화고등학교 학생대상 맞춤형 교육 및 현장 실습교육(562명)을 실시하였다. 또한, 교육기관을 대상으로 하는 컨퍼런스를 6월과 0 월 2회 개최하였으며, 총,68명이 참석하였다. 교육부는 미래세대에 대한 의식 확 산을 위해 초 중등학교 교과목에 를 포함한 정보통신 윤리 콘텐츠를 개발하여 초등학교 바른생활(2학년), 도덕(4~5학년), 실과(5~6학년), 중 학교 도덕(학년), 정보(~2학년), 기술가정(2학년), 고등학교 도덕(학년)교과목에 편성하였다. 에 대한 국민들의 관심을 높이기 위 해 교육부에서는 소속 산하 기관 홈페이지에 개인 정보보호 교육 동영상 및 홍보 영상물을 게재하도 록 유도하였다. 마. 소관분야 자율규제 촉진 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

154 제장 주요기관 40 교육부는 소관분야의 자율규제를 촉진하기 위해 한국학원총연합회, 한국교습소총연합회와 자율규 제 협약 양해각서(MOU : Memorandum of Understanding)를 체결(3, 6월)하였다. 협약에 따르 면 두 연합회는 관계 법령 교육 및 홍 보, 처리현황 자율 점검 및 개선, 개인 정보 처리안전성 확보를 위한 기술적 지원 및 컨설 팅, 정책 수립을 위한 제안 등을 위해 노력하며 교육부는 이의 수행에 필요한 사항을 기 관 상호 협의를 통해 지원하도록 되어있다. 또한, 교육부, 한국정보화진흥원(NIA), 교육청, 현장 및 법률전문가로 교육분야 T/F를 구성하여 개 인정보보호원칙과 처리 기준 등을 포함한 학원 및 교습소 가이드라인 을 작성하여 교육 기관, 학원 및 교습소 등에 배포(9월)하였다 표 년 교육부 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 추진체계 정비 법령 등 개선 조직 인력체계 구축 고유식별정보 및 민감정보 관련 법령개정 - 7개 교육청, 40개 자치법규 일괄개정 - 업무편람(종), 가이드라인(6종), 지침해설서(종) 제작, 사례집 (종) 보완 제작 교육기관 책임자 지정(20,784명) 및 실무담당자 협의회 구성 및 운영 유관기관 협업 체계 구축 유관기관과의 협업체계 구축 한국학원총연합회 및 한국교습소총연합회와 자율규제 업무협약 (MOU) 체결(3, 6월) 업무편람 및 가이드라인 발간 배포(2월) 시스템운영 개인정보 처리실태점검 침해 예방 대책 수립 개인정보 수집 서식 점검 정비 민 관 개인정보파일 실태조사 - 개인정보파일 등록현황 정비 - 컨설팅 실시 서식(08종) 및 개인정보파일(50,08개) 정비 교육기관 관리수준 진단(0월) 개인정보파일 등록현황 정비(5월) 등 실시 - 개인정보노출 점검(36개 기관) - 현장 점검 및 컨설팅 : 47개 기관 실시 주민등록번호 수집 제도 개선 대체 수단 I-PIN보급 : 7,878개 침해 예방 대책 수립 및 시스템 고도화 웹시스템 보안서버 구축 지원 및 보급 확대 - SSL : 9,498개, API :463개 고유식별정보 및 비밀번호 암호화(4,739개 기관) 정보주체 권리보장 정보주체 권리보장 각 기관 홈페이지 개인정보 처리방침 에 정보주체 권리보장 내용 게시 인력확충 및 전문성 강화 담당자 교육 강화 집합교육(5,44명), 사이버(7,79명), 전문기관 위탁교육(KISA,,300명) 등 교육 실시 컨퍼런스 개최(2회) 3개 권역에 정보보호 교육센터 구축 완료 교육 홍보 홍보강화 자율규제 문화 조성 및 실천문화 확산 자가 점검 체크리스트 활용 개인정보 클린 캠페인 실시 지정(매년 7월) 홈페이지에 주민등록번호 등 노출방지 홍보 배너 및 홍보용 리플릿 제작 배포 공공기관 I-PIN 도입 안내(202년 2월) 미래세대 의식 확산 초 중등학교 정보통신 윤리교육() 콘텐츠 개발 운영 사이버 가정학습 원격 교육 콘텐츠 운영

155 203 연차보고서 4 바. 실태점검 및 지도방문 교육부 소속 산하기관의 수준제 고 및 기관별 맞춤 방안을 제시하고자 개인정보보 호 관리수준 진단을 만 2,78개 기관 대상으로 실 시하고, 개인정보 노출점검시스템 점검결과 위반 사례가 지적된 47개 기관에 대해 현장 점검 및 컨설 팅을 통해 즉시 시정하여 개선토록 하였으며, 해당 위반사례 등은 유사 사례가 발생하지 않도록 각 기 관에 전파하였다. 처리 사례를 발굴하여 활용할 수 있도록 사례집을 보급할 예정이다. 또한, 에 대한 인식 제고를 위하여 교육 지원체계를 확대하고 개인정보 보호 전담인력 확보 및 조직 체계 정비를 통하여 전 문인력 양성을 위한 교육체계를 강화해 나갈 것이 다. 더불어 교육기관의 에 대한 선제 적 대응 및 인식 개선을 위해 개인정보 처리 실태 및 노출 점검을 확대 강화하고, 침해탐지 및 대응 등 안전성 확보를 위한 기술적 지원체계 도입을 단계 적으로 추진할 계획이다. 주요 현황 2 정책실적 및 성과 사. 개인정보 유 노출 모니터링 실시 홈페이지 해킹, 관리자의 부주의 등으로 인해 개인 정보가 유출될 가능성이 있어 교육부에서는 626개의 기관에 대한 웹 취약점 점검 및 36개 기관의 개인정 보 노출 점검 실시 등 예방 활동을 강화하는 한편 개 인정보 노출 기관에 대한 현장 점검을 실시하여 불필 요한 개인정보파일에 대한 파기를 요구하고 위험요 소에 대하여 보완하고 시정하도록 조치하였다. 아. 개인정보 업무처리 사례집 발간 배포 개인정보 처리와 관련하여 발생되는,000여 건의 사례들을 개인정보 보호법 및 교육 법령에 근거 하여 질의응답 형식으로 정리한 개인정보 업무처리 사례집 을 발간하여 657개 기관에 배포하였다. 3. 향후계획 교육부는 소속 산하기관들에 대한 개인정보 보 호지침을 제정하고, 업무편람 및 분야별 가이드라 인을 제작하여 준수하도록 하는 한편, 다양한 업무 제 5 절 보건복지부. 개요 보건복지부는 국민의 건강과 복지를 지원하기 위 하여 사회복지통합관리망(행복e음) 등 다양한 정보 시스템을 구축 운영하고 있으며, 대량의 개인정보 를 처리하고 있다. 202년에는 협의회 구성 운영과 개인정보 보호법 관련 법 제도, 지침 및 서식의 정비를 적극적으로 수행하였다. 또한, 실태점검 및 개인정보 유출사 고 예방을 위한 통합관제활동을 통하여 개인정보보 호 역량을 강화할 뿐 아니라 궁극적으로 정책 수혜자 인 국민의 권익 보호를 위하여 만전을 기하고 있다. 2. 추진실적 가. 보건복지부 소관 법령 일괄개정 3 기관별 실적 및 계획 4 해외동향 부 록

156 제장 주요기관 42 개인정보 보호법 시행에 따라 민감정보 및 고 유식별정보 수집에 대한 법적근거 마련을 위해 202년 상반기에 보건복지부 소관 4개의 법령을 개정하였다. 주민등록번호 수집 이용 최소화 종 합대책 발표(202.4.)이후 보건복지부 소관 법률 (89개) 및 하위법령(58개)을 대상으로 개인정보 수 집 및 처리에 관하여 법령일괄개정 현황조사를 실 시하였고, 법전문가 및 소관부서 업무담당자 의견 을 거쳐 203년에 국민영양관리법 등 총 0개 법령을 추가 개정할 예정이다. 나. 협의회 구성 및 운영 보건복지부는 보건복지부 기본지 침 제0조에 의거 보건복지부 소관분야의 개인정 보보호업무에 대한 원활한 정책결정을 위하여 개 인정보보호 협의회 를 구성하여 운영하고 있다. 개 인정보보호협의회 는 위원장, 위원 및 간사로 구성 표 년 보건복지부 추진실적 분야 사업명 추진계획 추진실적 관련 법령 등 정비 개인정보 수집 근거법령 점검 및 관련법령 일괄개정 정책 및 제도 개선 법령 등 개선 추진체계 정비 기준 정비 협업체계 구축 기본지침과 개인정보 통합관제센터 운영규정 제정(월), 개인정보 처리방침 개정 및 홈페이지 공개(, 3, 9월) 보건복지부 및 처리에 관한 가이드라인 작성(3월) 등 추진 유관기관 등과의 협업체계 구축 - 협의회 구성 운영(6, 월) - 실무협의회 구성 운영(4, 7월) 등 조직 인력체계 구축 203년 소요정원 명(6급) 반영(8월) 서식 점검 및 정비 개인정보수집 서식 등 점검 정비 시스템 운영 개인정보 처리실태점검 침해 예방 대책 수립 개인정보파일 실태조사 유 노출 모니터링 강화 주민등록번호 수집이용 제도개선 처리 안전성 확보 개인정보파일 실태점검 실시(9월) 개인정보 유 노출 모니터링 강화 - 보건복지 개인정보통합관제시스템 구축 운영(매년) 및 개선 - 홈페이지 개인정보 노출점검시스템 구축(0월) - 보건기관통합정보시스템 상시모니터링시스템 구축(2월) 주민등록번호 수집이용 제도개선 - 홈페이지를 통한 개인정보 수집사례 현황 조사(9~0월) - 202년 운영자회의 개최(7월) 개인정보 처리 안전성 확보 - 필수조치사항 일제 자체검검 실시(6월) 정보주체 권리보장 정보주체 권리보장 처리방침 제 개정(, 9월) 및 홈페이지 공개 - 개인정보 열람청구권, 처리정지권, 정정 삭제권 등 규정화 추진 - 정보주체 권리보장 관련조항의 산하기관 지침 개정 교육 홍보 인력확충 및 전문성 강화 교육 자율규제 문화조성 매년 기관별 교육 계획 수립(202년 5월) 및 실적 관리(연말) - 책임자, 담당자, 취급자 등 교육(0월) - 국공립병원 대상 교육 실시(0월) - 담당자 교육 이수 의무화 : 년 2회 이상 또는 7시간 의무 이수 범국민운동본부 발대식 및 민 관 자율규제 협약(MOU) 체결(3월) 홍보강화 분야별 홍보 강화 의료기관 가이드라인 발간(9월) 202년 실태점검 및 정보보호 컨설팅 사업을 통한 홍보물 제작 (월)

157 203 연차보고서 43 되며, 보건복지부 책임자를 위원장으 로 하고 본부 내 분야별 책임관 또는 소속 산하기 관의 책임자를 위원으로 하여 총 6명 으로 구성되어 있다. 202년에는 6월과 월에 협의 회를 개최하여 시행계획, 주민등록번 호 수집 이용 최소화 종합 대책, 202년 개인정보 보호 실태점검 현황 및 홈페이지 개인정보 노출점 검 운영계획 등의 정보공유 및 의견을 수렴하였다. 다. 개인정보 통합 관제센터 운영 보건복지부는 200년부터 개인정보 통합 관제시 스템 을 운영하여 개인정보를 보유하고 있는 주요 정보시스템을 대상으로 개인정보 유출 및 오 남용 방지를 위한 관제활동을 추진하고 있으며, 20년 에는 기존 7개 기관 5개 시스템을 대상으로 운영하 던 것을 7개 기관 35개 시스템으로 확대하여 운영하 고 있다. 관제센터에서는 보건복지분야 개인정보를 통합 관제하고, 홈페이지 개인정보 노출 점검도 실 시하고 있으며 관련 정보공유 및 업 무지원도 담당하고 있다. 특히 대국민 서비스를 목적으로 운영하고 있는 본부 및 소속 산하기관 등 34개 기관 408개 홈페이 지를 대상으로 홈페이지 개인정보 노출점검시스템 운영을 통하여 주민등록번호 등 개인정보를 주기적 으로 검색하여 노출 발견 즉시 삭제조치를 수행함 으로써 홈페이지 개인정보 노출에 선제적 대응 및 피해 최소화를 위한 노력을 하고 있으며, 개인정보 노출 유형에 관한 조치사항 및 향후 대책 마련에 관 한 정보를 공유함으로써 관리적 기술적 개인정보 보호 조치를 강화하고 있다. 라. 교육 및 홍보 강화 보건복지부에서는 매년 기관별 교육 계획을 수립 (202.5.)하여 연말에 추진실적을 취합 관리하고 있으며 202년에는 개인정보 책임자 담당자 취 급자 및 국 공립병원을 대상으로 교육을 실시(0 월) 하였다. 또한, 9월에는 보건복지부와 안전행정 부가 공동으로 의료기관 가이드라인 을 개발하여 보급하였다. 가이드라인은 개인정보 처 리원칙 및 처리단계별 조치 요령과 환자의 개인정보 보호를 중심으로 작성되었으며, 이를 환자 이외의 정보주체에 대한 개인정보 처리기준을 제시하고 다 양한 의료기관의 유형을 반영하기 위한 추가 개정작 업을 진행하여 203년 중에 배포할 예정이다. 3. 향후계획 보건복지부는 203년에는 개인정보 침해 예방 및 탐지를 위한 인프라 강화에 주안점을 둘 것이다. 개 인정보 및 중요문서 보안을 위한 암호화솔루션 도 입, 주민등록번호 대체수단 강구 및 개인정보 영향 평가를 실시하고자 한다. 202년에 발간하였던 보 건복지 분야 가이드라인 을 의료 및 복지 분야로 세분화하여 의료기관, 약국 및 사회복 지시설에서 활용할 수 있는 영역별 가이드라인 을 발간 배포할 것이다. 204년에도 보건복지부는 관리체 계 확립을 추진 목표로 하여, 개인정보 침해사고 예 방 및 대비를 위한 개인정보통합관제 활동을 확대 해나갈 예정이며, 협의회의 효율적인 운영지원을 위해 운영자협의체를 적극 활성화할 계 획이다. 또한, 매년 추진하고 있는 실 태점검의 내실화 및 각 기관별 관리수준 향상을 위 한 역량강화 방안을 모색하고자 한다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

158

159 203 연차보고서 45 제 2 장 국회 법원 헌법재판소 중앙선거관리위원회 주요 현황 2 정책실적 및 성과 제 절 국회. 개요 국회사무처는 개인정보의 무분별한 수집과 유 출ㆍ오용ㆍ남용으로부터 사생활의 비밀과 같은 개 인의 존엄과 가치를 보호하기 위해 개인정보 데이 터베이스를 암호화하는 등 에 필요한 기술적ㆍ관리적ㆍ물리적 조치를 수행하고 있다. 향 후 국회사무처는 에 관한 규칙을 정비 하고, 내부적인 점검 및 교육을 병행하여 각 개인의 소중한 정보를 안전하게 다루는 분위기가 조성될 수 있도록 지속적으로 노력할 예정이다. 2. 추진실적 가. 전자문서시스템 개선 3 기관별 실적 및 계획 4 해외동향 부 록 국회의원 및 국회 직원들이 사용하는 국회전자문 서시스템을 개선하여 기존의 주민등록번호 로그인 방식 이외에 국회메일 ID 및 행정전자서명을 이용 한 로그인 방식을 추가하였다. 나. 국회 채용시스템 기능 개선 국회채용시스템 기능 개선 사업을 수행하면서 기 존 채용시스템의 기능을 강화하기 위 한 개선작업을 실시하였다. 우선, 회원가입 및 응시 원서 접수 시 개인 PC와 서버 간의 전송구간에서의 데이터 암호화는 물론, 저장되는 주요 개인정보 데 이터베이스를 암호화하여 개인정보의 유출시 피해 를 최소화하도록 하였다. 또한, 실명확인을 공공 I-PIN을 사용하는 인증 또는 안심 실명인증 방식으 로 개선하였으며, 고유 식별정보인 주민등록번호를 이용하지 않아도 ID 또는 공인인증서를 이용하여 채용시스템에 로그인 할 수 있도록 하였다.

160 제2장 국회 법원 헌법재판소 중앙선거관리위원회 46 다. 국회 정보보호 강화 사업 정보보호 강화 사업을 통해 사용자 PC부터 웹 서 버 구간에 전송구간 암호화 기술인 SSL(Secure Socket Layer)을 적용하고, 보안 프로그램을 주기적 으로 갱신ㆍ점검하는 등 개인정보 안전성을 제고하 기 위한 기술적 보안조치를 강화하였다. 3. 향후계획 대체할 것이다. 또한, 데이터베이스 내의 주민등록 번호ㆍ전화번호 등 개인정보 및 사용자 PC와 서버 간 전송데이터를 암호화하고, 데이터 접근권한에 대한 통제 강화 등을 통해 개인정보 보안 체계를 보 다 강화할 계획이다. 제 2 절 법원 가. 관련 법령 제정 추진. 개요 국회사무처는 국회 에 관한 규 칙 과 국회 개인정보 보호지침 제정을 추진하고 있다. 국회 에 관한 규칙 에는 개인정보 보호법 상 국회에 위임하고 있는 사항과 개인정보 보호법 의 시행을 위하여 필요한 사항 을 규정할 예정이며, 국회 개인정보 보호지침 에는 개인정보 처리자가 준수하여야 하는 개인정보 처 리에 관한 기준, 영상정보처리기기 설치ㆍ운영, 개 인정보파일 공개ㆍ관리 등에 관한 세부사항을 규정 할 계획이다. 나. 의정자료전자유통시스템 기능 개선 의정자료전자유통시스템의 개인정보 데이터베 이스 암호화 및 개인정보 삭제기능 추가를 위한 개 선 사업을 추진할 계획이다. 다. 인적자원시스템 기능 개선 인적자원시스템 기능 개선 사업을 추진하여, 인 사 기준데이터를 주민등록번호에서 별도 사원 ID로 20년 9월부터 개인정보 보호법 시행과 더 불어 의 중요성에 대한 인식이 높아짐 에 따라, 사법부 내에서 운영 중인 각 정보시스템에 대하여 개인정보 관리체계의 적정성 여부와 실태를 점검하고, 이에 따른 후속조치로 를 위한 다양한 노력을 기울이고 있다. 2. 추진실적 가. 개인정보 침해사고 대응체계 강화 사법부는 스마트 기기 확산, 클라우드 컴퓨팅 활 용 확산 등 컴퓨팅 환경 변화에 따른 개인정보 침해 가능성에 적극적으로 대처하기 위하여 개인정보보 호 체계를 더욱 강화하였고, 차원에 서 주요 대민서비스에 대하여 자동화 툴을 이용하 여 개인정보 노출 점검 체계를 완비하였다. 나. 개인정보영향평가 수행

161 203 연차보고서 47 개인정보 보호법 제 33조와 법원 개인정보 보호에 관한 규칙 제 8조에 따라, 사법부는 202년 2월 3일 기준으로 대민서비스를 포함한 사법시스 템 9종, 등기시스템 3종, 가족시스템 종에 대한 개 인정보 영향평가를 실시하여 개인정보 수집 저 장 사용 제공 및 폐기 프로세스의 적정성을 점검 하였으며, 개인정보 침해가 우려되는 영역에 대하 여 위험요인을 분석하고 개선사항을 도출한 후 이 를 정보시스템에 반영하였다. 다. 주민등록번호 대체수단 적용 개인정보 수집 및 이용을 최소화하여 개인정보 침해사고가 발생하지 않도록 202년 3월 재판사무 및 등기 대국민서비스에 대하여 주민등록번호 대체 수단(공공 I-PIN)을 적용하였다. 라. 대국민시스템에 대한 보안강화 위를 결정하고, 관리체계에 대한 적 정성 분석과 개선방안 수립을 진행할 것이다. 또한, 시스템별 개인정보 처리 단계별로 보호대책의 적 정성을 분석하고 개선사항을 도출 할 것이다. 나. 관련 내부 규정 정비 203년 4월에는 개인정보 보호법 제 2조 제 3항, 법원 에 관한 규칙 제 0조에 따라 법원이 준수하여야 하는 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정한 법원 개인정보 보호 지침 을 제정하였다. 아울러, 개인정보 보호법 에서 대법원 규칙에 위임하고 있는 사항과 그 시행 에 관하여 필요한 사항을 규정하고 있는 법원 개 인정보보호에 관한 규칙 을 일부 개정할 예정이 며, 이러한 규정 정비를 통하여 업무 를 체계적으로 수행할 계획이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 202년에 전자가족관계등록시스템과 전자공탁 시스템을 개발하면서 데이터베이스 암호화 솔루션 을 도입하여 개인정보에 대한 암호화 처리를 함으 로써 대국민시스템의 개인정보에 대한 안전성을 확 보하였다. 3. 향후계획 다. 교육 시행 사법부 구성원을 대상으로 개인정보 노출사고 사례, 컴퓨터 사용 시 개인정보를 보호하기위해 지 켜야 할 사항, 요령 등을 지속적으로 교육하여 에 대한 사법부 구성원의 의 식을 제고할 예정이다. 4 해외동향 부 록 가. 개인정보 영향평가 확대 실시 사법부에서 운영하고 있는 주요 내부 업무시스 템 47종에 대한 개인정보 영향평가 사업을 203년 5 월부터 9월까지 진행할 예정이다. 이 사업을 통하여 정보시스템별로 개인정보 암호화 적용 여부 및 범 라. 대국민서비스에 대한 개인정보 안전성 확보 대국민서비스에 대한 기술적 보호조치, 물리적 보호조치, 처리방침 적용현황 등의 점검을 통해 보안 취약점을 파악하고 보완하여 사

162 제2장 국회 법원 헌법재판소 중앙선거관리위원회 48 법부의 개인정보 관리 체계에 대한 대외적 안전성 과 신뢰성을 제고할 예정이다. 마. 관리체계 인증 획득 기반 마련 한, 외부의 전문기관의 기술적 협력 및 자문 등을 통해 개인정보에 대한 안전조치를 강 구하였으며, 정보주체의 권리보장에 대한 다양한 절차를 구체화함으로써 정보주체의 자기정보접근 성과 관리권을 강화하였다. 국가 관리체계 통제항목을 기준으 로 사법부 정보시스템에 대한 관리현 황을 분석하여 추가적인 보호대책 및 적용방안을 수립할 예정이다. 이를 통해 한국인터넷진흥원의 국가 PIMS 획득을 위한 기반을 마련하고, 개인정보 의 침해 가능성을 최소화할 계획이다. 제 3 절 헌법재판소. 개요 202년에 헌법재판소는 개인정보 보호법 제 정 취지에 맞추어 수집된 개인정보를 안전하게 관 리 보호하기 위한 재판소 체계정비, 개인정보취급자의 전문역량 강화, 개인정보 침해 예방을 위한 관리적 기술적 물리적 안전조치 강 화, 정보주체의 권리보장을 위한 절차 마련 등 개인 정보보호를 위한 기본 인프라 구축에 중점을 두어 세부사업을 추진하였다. 이를 위해 우선 를 위한 헌법재판 소 규칙 지침 정비 및 를 위한 관리 계획 마련 등을 통하여 제도 운영의 기반을 구축한 후, 헌법재판소 개인정보취급자의 의 식 강화를 위한 교육 및 홍보 활동을 강화하였다. 또 2. 추진실적 가. 관련 법체계 정비 202년 7월에 헌법재판소 개인정보 보호규 칙 을 제정하여 강화를 위한 기본 틀을 마련한 후, 이를 근거로 202년~204년 개인 정보보호 기본계획 및 202년~203년 개인정보보 호 시행계획 을 수립하여 연도별 추진사업 내용을 구체화하였다. 이와 함께 6월에는 헌법재판소 공 무원 규칙,월에는 헌법재판소 심판규칙, 2월에는 헌법재판소 보안업무규칙 을 개정하 여 정보주체를 대상으로 한 고유식별정보 민감정 보의 수집 및 처리근거를 마련하였다. 또한, 월에는 헌법재판소 개인정보 보호지침 을 제정하여 헌법재판소 개인정보 보호규칙 에 서 위임한 사항을 구체화하였다. 2월에는 헌법재 판소 내부관리계획 을 수립함으로써 의 관리적 기술적 물리적 안전조 치 강화를 위한 관리방안을 구체적으로 규정하였 다. 아울러, 2월에 영상정보처리기기 운영 관리 방침을 포함한 헌법재판소 개인정보 처리방침 을 수립하여 헌법재판소 홈페이지에 공개함으로써 헌 법재판소의 개인정보의 수집 관리 처리 기준을 일반 국민들에게 공개하였다. 나. 개인보호역량 강화

163 203 연차보고서 49 헌법재판소 개인정보취급자의 업무전문성 제고 를 위해 헌법재판소 개인정보취급자를 대상으로 한 제도 운영 관련 교육을 실시하여 개인 정보보호 관련법령의 세부내용 및 개인정보 수집 관리 처리절차 등을 상세히 소개함으로써 개인정 보보호취급자의 역량을 강화하였다. 또한, 안전행정부가 주관하는 와 관련 된 현장 교육과 사이버 교육을 이수하는 등 헌법재 판소 업무 주관부서 담당자의 역량 제 고를 위해 노력하였다. 그리고 헌법재판소에 상주 하는 외주업체 직원들을 대상으로 홈페이지 개인 정보 노출방지 가이드라인 을 배포하여 보안 및 준 수사항을 지킬 수 있도록 조치하였으며, 전문 교육 을 실시하여 제도의 이해도와 자율적 인 보안점검 의식을 강화하였다. 다. 개인정보 침해 예방 헌법재판소 내 개인정보를 포함하고 있는 수기 문서를 점검하고 정보시스템의 보안취약점 점검을 실시하여 개별 부서에서 보유 관리 중인 정보주체 의 고유식별정보 및 민감정보 중 불필요한 자료는 삭제하였다. 아울러, 민감한 개인의 고유식별정보 등이 담긴 데이터베이스에 암호화 솔루션을 적용하 여 관리함으로써 보안의 수준을 기존보다 향상시켰 다. 또한, 점검목록에 대한 자율진단 을 실시하여 개인정보취급자의 의식 을 제고하고, 발견된 미비점과 문제점 등을 분석하 여 향후 계획수립 등을 위한 정책 참 고자료로 활용할 수 있도록 하였다. 라. 정보주체 권리 보장 헌법재판소에 설치된 CCTV를 일반 국민들과 방 문객들이 쉽게 알아볼 수 있도록 정문, 현관 안내데 스크, 민원실, 도서관 등 주요장소에 CCTV 설치 안 내판을 설치하였다. 그리고 제도 안내 리플릿을 제작하여 민원실에 상시 비치함으로써 국 민들이 제도에 대해 쉽게 이해할 수 있도록 하였다. 또한, 9월부터 헌법재판소 개인정보 보호제도 관련 홈페이지를 구축 운영하여 헌법재 판소 개인정보 처리방침 을 게재하였다. 아울러 개 인정보보호 관련규정, 개인정보 열람 요구 안내 및 개인정보 열람청구 신청서 등 각종 서식, 헌법재판 소에서 보유 관리 중인 개인정보 파일목록 등을 함께 공개함으로써 국민들이 헌법재판소의 개인정 보 수집 처리 관리 현황을 쉽게 이해하고 필요한 경우에는 법령상 보장된 정보주체의 권리를 행사할 수 있도록 조치하였다. 마. 관리적 기술적 물리적 안전조치 개인정보 유출 방지 소프트웨어 및 데이터베이 스 접근제어 소프트웨어를 운영하여 수집 처리 관리하고 있는 개인정보의 해킹 및 유출을 사전에 방지하고 있다. 그리고 헌법재판소 홈페이지 가입 시 필요했던 주민등록번호를 공공 I-PIN으로 대체 함으로써 개인정보의 수집 초기단계부터 민감한 개 인정보 수집을 최소화할 수 있도록 하였다. 또한, 안 전행정부의 개인정보 노출 조기경보시스템을 통한 헌법재판소 홈페이지 상시점검 및 기술적인 안전조 치를 강화함으로써 해킹과 같은 불법적인 정보 접 근에 적극적으로 대응하였다. 아울러 데이터 센터 등에 지문인식 출입관리 통제시스템을 도입하여 외 부인의 불법적인 출입을 원천적으로 통제하였으며, 개인정보 처리 시스템 운영 점검을 실시하는 등 관 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

164 제2장 국회 법원 헌법재판소 중앙선거관리위원회 50 리적 기술적 물리적 안전조치를 통한 개인정보 보호에 만전을 기하였다. 3. 향후계획 헌법재판소는 203년에도 개인정보처리의 안전 성 확보를 위하여 개인정보 처리현황 파악을 위한 자체 감사와 목록 점검을 통한 자율 진단을 지속적으로 시행할 것이다. 그리고 헌법재 판소 정보통신시스템의 관련 취약점 점검사업을 실시하여 취약점 발견 시 적극적으로 보완하고 시정함으로써 수준을 강화 해 나갈 계획이다. 또한, 204년에는 업무 전담인력 을 확보하고 전문기관의 연구 교 육 홍보 및 기술개발 서비스를 연계 활용함으로 써 업무의 전문성을 강화하고 개인정 보보호 수준을 높여 나가는 데 중점을 둘 계획이다. 향후 개인정보의 안전성 확보조치뿐만 아니라 정보주체의 권리 보장 정책을 강화하여 국민에게 신뢰 받는 선거행정을 수행할 것이다. 2. 추진실적 가. 법령체계 완비 개인정보 보호법 에서 선거관리위원회에 제 정을 위임한 사항 및 그 시행을 위해 필요한 사항을 정하기 위하여 선거관리위원회 에 관한 규칙 ( )을 제정하였고, 법 및 규칙 에서 위임한 사항과 개인정보 처리자가 준수하여야 하는 세부사항을 정하기 위한 선거관리위원회 개인 정보 보호 지침 ( ), 선거관리위원회 개인 정보 처리방침 ( ) 등을 제정하여 선거관리 위원회의 법령체계를 완비하였다. 나. 기본계획 및 시행계획 수립 제 4 절 중앙선거관리위원회. 개요 중앙선거관리위원회는 개인의 존엄과 가치를 구 현하기 위하여 선거권자 및 후보자 등에 대한 개인정 보보호 조치를 지속적으로 시행하여 왔다. 선거관 리위원회 에 관한 규칙 제정 등을 통 해 에 관한 법 제도적 기반을 마련하 였으며, 기본계획을 수립하여 장기적 이고 체계적인 정책을 시행하고 있다. 및 정보주체의 권익보장을 위한 비전을 설정하고 장기적이고 체계적인 개인정보보 호 정책을 시행하기 위하여 202~204년 개인정보 보호 기본계획 을 수립하였다. 또한, 기반 확립과 개인정보의 안 전한 관리 및 정보주체의 권익보장을 위한 203년 시행계획 을 수립하여 선거권자와 후 보자 등의 를 위하여 노력하고 있다. 다. 자율진단 수행 개인정보 보호법 에 따른 조치사항 이행여부 를 점검하기 위하여 선거관리위원회의 개인정보 처

165 203 연차보고서 5 리시스템을 대상으로 자율진단을 수 행하였으며, 수행 결과를 토대로 취약점에 대한 개 선조치를 실시하였다. 주요 현황 라. 안전성 확보조치 시행 정보통신망을 통한 불법적인 접근 및 침해사고 를 방지하기 위하여 개인정보 처리시스템 등에 서 버보안 솔루션 및 PC 통합관리 솔루션 등을 도입하 였다. 또한, 데이터베이스 암호화를 추진하여 개인 정보의 불법적인 노출 및 위 변조를 예방하였으며 PC 등에 저장된 개인정보를 검출하여 암호화하기 위한 개인정보 유출 방지 시스템 도입을 추진하였 다. 그리고 악성 프로그램을 통한 개인정보 침해사 고를 방지하기 위하여 선거관리위원회 바이러스 방 역시스템을 정비하였다. 2 정책실적 및 성과 3 기관별 실적 및 계획 3. 향후계획 중앙선거관리위원회는 향후 203년 개인정보보 호 시행계획 을 토대로 기반 구축을 완료하고 제도 안정화를 추진할 예정이다. 이를 위하여 개인정보 처리의 근거가 되는 개별 법령을 정비하여 개인정보 수집 근거를 명확히 하 고 관련 서식을 정비할 것이며, 개인정보 처리 및 개 인정보 위탁처리의 실태점검을 통하여 개인정보를 안전하게 관리할 것이다. 또한, 관리적 기술적 물리적인 개인정보 안전성 확보 조치를 지속적으로 추진할 것이다. 아울러, 과도한 개인정보 수집 방지대책을 마련 하고 개인정보 등록 및 공개 체계를 확립하여 선거 인 및 후보자 등의 자기정보통제권 보장을 위하여 노력할 것이다. 4 해외동향 부 록

166

167 203 연차보고서 53 제 3 장 행정부 2 정책실적 및 성과 주요 현황 제 절 중앙행정기관 가. 감사원 개인정보 보호지침 제정 3 기관별 실적 및 계획 감사원. 개요 감사원은 민원처리, 심사청구처리, 자체감사기 구 대상 교육과정 운영 업무 등을 수행하기 위하여 개인정보를 수집 이용하고 있으며, 공공기관에서 수집한 개인정보를 감사원법 등에 따라 해당 기관으로부터 제공받아 감사업무에 활용하고 있다. 이에 감사원에서는 개인정보를 안전하게 처리하기 위하여 감사원 개인정보 보호지침 을 제정 시행 하는 등 의 일반 원칙을 정립하여 이 를 준수하고 있다. 감사원에서 취급 관리하는 개인정보의 처리 기 준, 유출 방지를 위한 예방조치, 정보주체의 권리 보 장 등을 내용으로 개인정보 보호법 에서 정한 바에 따라 감사원 개인정보 보호지침 (훈령)을 제정 하였다. 나. 추진체계 정비 감사원 및 소속기관에서 기관별 책 임자 및 담당자를 지정하기 위한 근거를 감사원 개 인정보 보호지침 에 마련하고, 총괄 책임자인 감사 원 본원의 책임자를 중심으로 개인정 보보호 추진체계를 유지하며 관련 제도 등의 개선 사항을 지속적으로 협의하고 있다. 4 해외동향 부 록 2. 추진실적 다. 교육 실시

168 제3장 행정부 54 담당자와 개인정보취급자의 개인 정보보호에 대한 이해를 돕기 위하여 개인정보를 처 리하면서 준수하여야 할 사항 등을 중심으로 구성한 개인정보 보호법 해설 자료를 게시하였으며, 전 문가 초청 세미나를 개최하고 직무교육과정을 개설 하는 등 에 관한 교육을 실시하였다. 라. 개인정보 유출 방지 모니터링 실시 감사원 IT보안 강화와 관련하여 개인정보 등을 포함한 감사 자료에 암호를 설정한 후 보안USB를 사용하도록 전 부서에 시달하였고, 업무망 방화벽( 분기) 및 보조기억장치 정보유출방지시스템(매월) 에 대하여 지속적으로 정기점검을 실시하고 있다. 3. 향후계획 감사원 개인정보 보호지침 시행 초기 발생할 수 있는 문제점과 개인정보 보호법 등 관련 법령 개정 여부를 지속적으로 모니터링 하여 필요 시 그 결과를 반영하는 등 관련 규정을 정비할 계획이다. 또한, 개인정보취급자가 개인정보 열람, 정정 삭 제, 처리정지 요구 등 민원 사항을 적정하게 처리하 여 정보주체의 권리를 보장할 수 있도록 교육을 실 시하고, 전 직원이 에 대한 인식을 제 고할 수 있도록 지속적으로 홍보할 계획이다. 국무조정실 국무총리비서실. 개요 표 년 감사원 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 추진체계 정비 감사원 개인정보 보호지침 제정 필요성 검토 영상정보처리기기 운영 관리 방침 마련 총괄 책임자 지정 및 추진체계 정비 감사원 개인정보 보호지침 (훈령) 제정(2월) 영상정보처리기기 운영 관리 방침 마련(3월) 책임자 및 담당자 지정(2월) 분야별 책임자 지정(8월) 공익감사청구 관련 서식 변경 등 추진 공익감사청구서식에 고유식별정보 처리 동의 항목 추가(2월) 시스템 운영 개인정보 처리실태점검 개인정보파일 실태조사 종합지원시스템에 개인정보파일 등록 관리(5월) 개인정보 유 노출 방지 모니터링 실시 감사활동 관련 모니터링 실시(연 6회) 전산파일에 암호 설정 후 보안USB 저장 보안USB 사용 관련 지시사항 시달(2월) 침해 예방 대책 수립 정보주체 권리보장 를 위한 정보화시스템 운영 기술 지원 정보주체 권리보장 개인정보 노출 차단시스템 등 구축 운영(2월) 감사원 개인정보 보호지침 에 정보주체 권리보장 내용 반영(2월) 교육 홍보 교육 강화 교육 실시계획 수립 및 실적 관리 지식관리시스템에 교육자료 게재(2월) 전문가 초청 세미나 개최(총 5회) 담당자 및 취급자 사이버교육(8월) IT활용감사 직무교육에 과정 개설(2월)

169 203 연차보고서 55 국무조정실 국무총리비서실(당시 국무총리실) 은 규제개선, 조세심판 등 소관업무 수행에 필요한 최소한의 개인정보를 안전하게 취급하고 있고, 자 체 개인정보 보호지침 제정(안) 마련을 통한 개인 정보 보호기반을 구축하였다. 또한, 정기적으로 개 인정보파일 보유현황 전수조사를 실시하는 등 적극 적인 활동을 통해 환경 변화에 능동적으로 대처하고 있다. 2. 추진실적 가. 정보보호 중 장기 전략계획 수립 정보보호 중 장기 전략계획 을 통해 개인정보보 호 환경 및 현황 분석, 제도적 관리적 물리적 기 술적 보호조치 실시 등 의 청사진을 마 련하고 실천 방안을 도출하였으며, 특히 소관 웹 사 주요 현황 2 정책실적 및 성과 표 년 국무조정실 국무총리비서실 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 개인정보 보호지침 제정 유관기관 등과의 협업 체계 정비 개인정보 처리 서식 점검 정비 개인정보 보호지침 제정안 마련 처리 서식 조사 및 표준 서식 마련 개인정보 보호지침 제정안 마련 완료 처리 서식 조사 및 표준서식 마련 완료 3 기관별 실적 및 계획 개인정보파일 운영실태 조사 개인정보파일 운영실태 조사 운영실태 조사 완료 시스템 운영 개인정보 유출 노출 모니터링 강화 주민등록번호 수집 이용 제도 개선 출연연구기관 개인정보 노출차단 S/W 도입 고유 식별정보 민감 정보 수집 지속 억제 개인정보 노출차단 S/W 도입(5개 기관) 고유 식별정보 민감 정보 수집 지속 억제 4 해외동향 개인정보 처리 안전성 확보 망간자료전송시스템 도입 정보보호 중 장기 전략계획 수립 망간자료전송시스템도입 완료 정보보호 중 장기 전략 계획 수립 완료 개인정보 업무담당자 교육 강화 개인정보 취급자 내 외부 교육 개인정보 담당자 외부 교육 개인정보 취급자 내 외부 교육 참석 개인정보 담당자 외부 교육 참석 교육 홍보 직원 정보보호교육 내실화 전 직원대상 교육 전 직원대상 교육 실시 부 록 실천문화 확산 매월 PC에 개인정보 저장유무 점검 매월 PC에 개인정보 저장유무 점검 실시 표 년 관리수준 진단 결과 구분 200년 20년 202년 국무총리실(현 국무조정실 국무총리비서실) 96.7점(우수) 95.38점(우수) 97.40점(우수) 행정기관 평균 95.2점 94.62점 94.66점

170 제3장 행정부 56 이트의 자체 모의해킹을 통해 개인정보를 포함한 중 요정보의 저장 및 전송의 안전성을 확인하였다. 나. 공공기관 관리수준 진단 국무조정실 및 국무총리비서실은 매년 적극적인 활동 수행의 결과로 202년 공공기관 관리수준 진단 결과 97.40점(중앙부 처 평균 94.66)을 받았다. 특히, 202년에는 총 2개 진단지표 중 6개 지표에서 만점을 받아 20년에 이 어 우수기관 으로 선정되었다.[표 3-3-3] 특히, 개인정보처리의 안전성 확보를 위한 개인 정보보호 솔루션 도입 등 기술적 기반 고도화 추진 을 병행하는 한편, 담당자 및 취급자 의 전문성을 제고하고 전 직원의 의 식개선과 함께 실천문화를 확산하는 등 정보주체 권리보호에 만전을 다할 계획이다. 법제처. 개요 3. 향후계획 203년 2월 새정부 조직개편에 따라 국무총리실 조직이 국무조정실, 국무총리비서실로 분리되었고, 국무조정실에서 국무총리비서실의 업무를 포함하여 수행하게 됨에 따라 양 기관을 통 합하는 개인정보 보호지침 을 제정하고 개인정보가 포함된 전자정보 보호등급 분류기준을 마련하는 등 국무조정실 및 국무총리비서실에서 보유중인 개인 정보를 체계적으로 관리해 나갈 계획이다. 또한, 직원 PC의 개인정보 무단유출을 방지하기 위 한 내부정보 유출방지시스템을 도입하고, 국무조정 실 산하기관인 경제인문사회연구회와 그 소속기관 (26개 연구기관)의 담당자 및 취급자를 구성원으로 하는 협의회 를 구성하여 유관기관과 적극적인 협력체계를 구축할 예정이다. 204년에는 자체 개인정보 보호지침에서 정의하 는 활동의 세부적인 업무처리 절차를 마련하고, 협의회 활동에 개인정보 보호책임자를 참여시키는 등 활동을 강화해 나갈 예정이다. 법제처는 계도기간이 끝나고 202년 3월 29일부 터 개인정보 보호법 이 본격 시행됨에 따라 개 인정보보호를 위한 여러 정책들을 추진하고 있다. 개인정보 데이터베이스를 암호화하고 불필요한 개 인정보파일을 파기하는 등 개인정보를 보호하기 위 한 기술적 관리적 물리적 조치들을 수행하였다. 최근 민간분야 웹 사이트 및 정보시스템에 대한 사이버 해킹으로 다량의 개인정보가 유 노출된 사 건을 거울삼아 법제처의 웹 사이트 및 정보시스템 에 대한 활동을 적극 추진하였다. 2. 추진실적 가. 소관법령 정비 및 제도개선 법제처 소관법령을 점검하여 개인정보가 포함된 4개의 소관법령 중 2개 법령을 개정하였으며, 적법 한 개인정보 수집 이용 방안, 개인정보 제공 위 탁 방안, 사이버 침해사고 대응절차 등을 주요내용 으로 하는 내부관리계획 을 제정하고 시행하였다.

171 203 연차보고서 57 나. 기술적 관리적 보호조치 강화 법제처 웹페이지(국가법령정보센터, 어린이 법제 관, 생활법령정보, 법제 포털시스템)의 개인정보파일 을 국가용 암호화 모듈의 알고리즘을 적용하여 데이 터베이스를 암호화하고, 개인정보 필터 시스템을 도 입하는 등 강화 사업을 수행하였다. 다. 관련 교육 홍보 개인정보 보호법 이 시행됨에 따라 법의 주 요내용, 업무 처리 시 유의사항 등에 대하여 자체 교 육을 실시하고 관련 동영상자료 등 교육 홍보 자 료를 게시하였다. 3. 향후계획 법제처는 보유하고 있는 개인정보파일의 유 노 출 및 해킹 등의 개인정보 침해사고를 방지하고 개인 정보를 보호하기 위하여 보호지침 및 내부관리계획 등 관련 정책 및 제도를 지속적으로 보완 할 계획이다. 또한, 개인정보의 안전성 확보를 위하여 개인정 보 유출 차단, 표시제한 및 중요문서 암 복호화 솔 루션 등의 기술적 보호조치 강화 사업을 추진할 예 주요 현황 2 정책실적 및 성과 표 년 법제처 추진실적 분야 사업명 추진계획 추진실적 3 기관별 실적 및 계획 정책 수립 내부관리계획 수립 처리방침 작성 내부관리 계획 수립 처리방침 작성 내부관리계획 최초작성(5월) 침해사고대응절차, 개인정보파일 목록 등 갱신(7월) 개인정보 처리방침을 홈페이지를 통해 공개(5월) - 종합지원 포털에서 제공 개인정보수집 서식 등 점검 정비 법령정비 개인정보파일 정비 개인정보 수집 서식 점검 개인정보파일 정비 개인정보 수집 서식 등 점검 정비(9월) - 소관 법령서식 점검 - 필요한 최소 개인정보만 수집하도록 서식 개선 불필요한 개인정보파일 정비 4 해외동향 개인정보 유 노출 모니터링 강화 보안장비 도입 개인정보 필터 도입 개인PC에 존재하는 개인정보파일을 검색하여 암호화 또는 격리 개인정보 모니터링 웹페이지 개인정보 모니터링 확대 모니터링 대상을 모든 웹 사이트로 확대 - 월 회 이상 유 노출 모니터링 - 웹페이지 등록시 개인정보 포함여부 확인 부 록 개인정보 처리 안정성 확보 암호화 사업 시스템 보안 점검 개인정보파일 암호화 사업 수행 대민서비스 정보보호 컨설팅 주민등록번호, 비밀번호를 암호화 알고리즘 적용 대민서비스 정보보호 컨설팅 수행(0월) - 안전행정부에서 시행하는 보안 수준 실태점검 - 보안관리 및 운영실태 등의 문제점 파악 후 개선 교육 및 홍보 책임자 및 취급자 교육 홍보강화 업무 담당자 교육 홍보 업무담당자 교육 강화 - 전 직원 및 용역사업자 대상 교육(4월) - 신입직원 대상 교육(8월) 홍보 강화 - 내부 포탈 시스템에 관련 동영상, 교육 홍보 자료 게시

172 제3장 행정부 58 정이며, 소관 웹페이지의 개인정보 노출 모니터링 을 강화할 계획이다. 이와 더불어, 전 직원 대상으로 교 육 및 해킹메일 통제 악성코드 감염 방지 교육등을 실시할 것이며, 개인정보 보호법 법령 및 지침 을 이해하기 쉽도록 자료로 제작 배포하는 등 직원 의 의식을 고취시켜 나갈 예정이다. 수 보유하고 있으며, 각종 법률에 따라 개인정보를 타기관에 제공하고 있는 실정이다. 따라서 국가보 훈처는 정보주체자인 국가유공자 및 국가보훈대상 자의 가 매우 중요하다는 것을 인식하 고 개인정보 수집 및 이용 관련 민원신청서식 등을 점검하여 개선조치하였으며, 전 소속기관에 대하여 개인정보 처리실태를 점검하고 교육을 실시하였다. 국가보훈처. 개요 국가보훈처와 그 소속기관은 국가유공자 등 국 가보훈대상자의 장애등급, 질병 등 민감정보를 다 2. 추진실적 가. 고유식별정보 및 민감정보 처리근거 마련 고유식별정보 및 민감정보 처리근거 마련을 위 해 국가보훈처 소관 법령 9개를 개정하여 처리근거 를 마련하였다. 표 년 국가보훈처 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 추진체계 정비 법령 등 개선 표준 개인정보파일 목록 지정 조직 인력체계 구축 - 전담조직 신설 추진 고유식별정보, 민감정보 관련 법령정비(월) 개인정보 파일목록(46개) 지정 및 전파(4월) 개인정보 처리방침 등 개정(, 8월) 업무협의회 구성(8월) 유관기관과 신고 협조체계 구축 인력증원 : 6급 명 개인정보 처리실태 점검 개인정보 수집 서식 등 점검 정비 개인정보파일 실태조사 실시 민원신청 서식점검 및 개선(6월) 개인정보 수집 최소화 추진(연중) 202년 성과관리계획에 반영(4월) 시스템 운영 침해 예방 대책 수립 주민등록번호 수집 이용 제도 개선 개인정보 처리안전성 확보 주민등록번호 대신 생년월일 개선(6건) 망분리, DB암호화 등 추진(2월) 개인정보 유 노출 모니터링 강화 정보주체 권리보장 정보주체 권리보장 개인정보 내부관리계획 및 개인정보 처리방침 을 통한 정 보주체 권리보장 내용 안내(2월) 교육 홍보 인력확충 및 전문성 강화 홍보강화 담당자 교육 강화 책임자 등 역량강화 개인정보 관련 자격증 취득권장 실천문화 확산 교육 계획 수립(2월) 및 교육(총 3,408명) 보훈직무과정 과목개설 - 보훈연구원 총4회 실시 내부관리계획에 자격증 취득사항 반영(월) 실천문화 교육 업무포탈의 개인정보 실천 관련 정보 게시 - 27회 게시(조회 744명)

173 203 연차보고서 59 나. 정보화운영규정 및 개인정보 처리방침 개정 20년 9월 30일 개인정보 보호법 이 시행됨 에 따라 정보화운영규정 과 개인정보 처리방침을 개정하여 새로운 법에 맞게 개인정보 수집 및 이용, 제공에 따른 준수사항, 안전성 확보조치, 침해대응 등을 반영하였으며 이를 홈페이지에 공개하였다. 다. 개인정보 수집 이용 최소화 202년 4월 20일에 열린 국가정책조정회의에서 확정된 주민등록번호 수집 이용 최소화 종합대책 의 추진과제에 따라 불필요한 주민등록번호 수집항 목을 생년월일로 대체하여 최소한의 개인정보를 수 집하도록 하였고, 지방자치단체에서 요구하는 참전 명예수당 대상자 명단도 주민등록번호, 계좌번호를 제외한 최소한의 개인정보를 제공하도록 하였다. 라. 교육 실시 체자의 권익보장 등을 위하여 처본부(연 3회)와 전 체 소속기관(32개)과 산하기관(3개)에 대하여 개인 정보 처리실태를 점검하였으며, 점검 후 지적사항 266건에 대하여 개선 조치하였다. 3. 향후계획 법령에 의하여 개인정보를 수집하는 서식 등을 파악하여 최소한의 개인정보를 수집하도록 개선할 계획이며, 개인정보파일 목록을 재정비하여 새로 지정할 예정이다. 개인정보 처리자가 업무처리 과 정에서 개인정보 보호법 을 위반하지 않도록 지 속적인 점검과 교육을 실시하고 개인정보를 처리하 는 위탁 용역사업 추진 시 추후 수탁자에 대한 관 리 감독과 관리현황 점검 등을 철저히 하여 개인 정보가 유출되지 않도록 사전에 노력할 계획이다. 국가보훈처 전체 소속기관 및 산하기관의 개인정보 보호 관리 감독을 위한 인력보강을 위해 관계기관 에 소요정원을 요구하는 등 조직체계 의 완성을 위해 노력할 것이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 국가보훈처는 개인정보취급자가 새롭게 개정된 개인정보 보호법 을 위반하지 않도록 하기 위하 여 외부강사 초빙과 함께 보훈연수원 직무교육과정 에 강의를 개설하여 교육을 실시함은 물론, 처본부 및 각 소속기관에 개인정보 처리관리 실태를 점검한 후 개인정보취급자에게 개인정보 보호법 위반사례 등에 대하여 교육을 실시하였다. 마. 개인정보 처리실태점검 등 국가보훈처는 개인정보취급자의 개인정보 보 호법 위반 사전방지, 개인정보 유출방지, 정보주 식품의약품안전처. 개요 식품의약품안전처(당시 식품의약품안전청)는 를 위한 제도적, 관리적, 기술적 보호 체계를 수립하여 매년 추진하고 있으며, 정보주체 의 권리를 보장 보호하기 위해 법령 근거가 있는 경우 등 불가피한 경우를 제외하고 주민등록번호 수집 이용을 원칙적으로 제한하고 있다. 특히, 202년에는 식품의약품안전처가 보유중인 개인정 부 록

174 제3장 행정부 60 보파일들을 보호하기 위해 개인정보차단시스템 설 치, 주민등록번호 등 고유식별정보의 암호화 적용, 업무용 PC내 개인정보검색시스템 구축, 식 의약 품 종합정보서비스시스템(KIFDA : Korea Internet Food & Drug Administration)의 개인정보 영향평가 실시 등 더욱 강화된 보호체계를 마련하였다. 2. 추진실적 가. 세부지침 고도화 20년에 수립하였던 식품의약품안전처 개인정 보보호 세부지침 에 민감정보의 처리 등 4개 항목 을 추가하고, 9개 항목을 수정하였다. 나. 추진체계 정비 개인정보 보유부서에 분야별 책임관과 담당자를 지정하여 자율운영이 가능하도록 추진 체계를 정비하였으며, 전문성 강화를 위해 관계부처에 전담인력 명을 보강 요청하였다. 다. 주민등록번호 등 고유식별정보 암호화 적용 개인정보파일들을 보호하기 위해 주민등록번호 등 고유식별정보의 DB암호화와 비밀번호의 일방 향 암호화를 적용하였다. 라. 업무용 PC내 개인정보검색시스템 구축 직원들이 권한 없이 개인정보를 수집하거나 과다 하게 보유중인 업무용 PC(업무망)에 대해서는 개인 표 년 식품의약품안전처 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 개인정보 처리세부지침 등 고도화 4개 항목 추가 등 지침 보완 법령 등 개선 법령 서식 개선 관련규정 제 개정 시 서식 검토 추진체계 정비 전담인력 확충 관계기관에 전담인력 요청(명) 개인정보 처리실태점검 개인 PC내 개인정보를 검색 및 암호화 시스템 구축 CCTV 운영실태점검 개인정보파일 조사 개인 PC 개인정보검색시스템 구축 소속기관의 CCTV 운영실태점검 개인정보파일 현황 조사 시스템 운영 고유식별정보 암호화 주민등록번호 등 고유식별정보 및 패스워드 암호화 완료 개인정보 침해 예방 개인정보 영향평가 신규 홈페이지 비회원제 운영 유도 비밀번호 변경 주기 관리 식 의약품 종합정보서비스(KIFDA) 시스템 영향평가 신규 홈페이지 비회원제 운영 유도 비밀번호 변경 주기 관리 실시 식 의약품 종합정보서비스(KIFDA) 시스템 영향평가 실시 교육 홍보 직장교육 전 직원 대상 교육 2회 시행 전 직원 대상 교육 2회 시행 온라인 교육 직장교육 미 참여자 교육 시행 직장교육 미 참여자에 대한 동영상 시청 교육 실시

175 203 연차보고서 6 정보를 쉽게 관리할 수 있는 개인정보검색시스템을 구축하였으며, 이를 이용하여 과다하게 보유한 개인 정보파일 등을 쉽게 검색하여 삭제하고, 지속적인 활 용이 필요한 경우에는 암호화 후 보관하도록 하였다. 마. 비밀번호 작성규칙 적용강화 정보 안전성 확보조치 강화를 위해 기 구축된 개인 정보 처리시스템을 지속적으로 운영하고, 개인정보 접근로그 분석시스템, 문서유출방지솔루션(의료기 기분야)을 구축하여 개인정보의 안전성을 확보하 는 데 최선을 다할 계획이다. 주요 현황 개인정보의 안전성 확보조치 기준(행안부 고시 제 20-43호) 에서 요구하는비밀번호 작성 기준 에 따라 20년에 수립한 식품의약품안전처 개인정 보보호 세부지침 을 변경하고 적용을 강화하였다. 바. 개인정보의 영향평가 실시 KIFDA의 개인정보 영향평가를 실시하고, 그 결 과에 포함되어 있는 취약점 및 침해요인 등을 개선 하여 개인정보의 안전성을 확보하였다. 사. 교육을 통한 인식 제고 식품의약품안전처는 교육 계획 을 수립하고 업무특성 등을 감안하여 본부 및 소속기 관별, 개인정보 처리책임자 및 취급자별로 나누어 외부강사 초청, 기관별 순회, 집합교육, 사이버 교육 등 다양한 방식으로 교육을 실시하였다. 3. 향후계획 식품의약품안전처는 체계를 구축 한 이후에도 본부 및 소속기관의 개인정보 처리실 태를 지속적으로 점검하고 정보주체의 권리보장을 위해 개인정보침해신고센터 를 온라인 운영에서 오 프라인까지 확장하여 운영할 계획이다. 또한, 개인 공정거래위원회. 개요 공정거래위원회는 개인정보 보호법 시행 이 후 공정거래위원회 업무의 특성상 개인정보를 다루 어야하는 독점규제 및 공정거래에 관한 법률 ( 이하 공정거래법) 및 가맹사업거래 공정화에 관 한 법률 (이하 가맹사업법) 분야의 법령을 개정하 였다. 그리고 점점 더 증가하는 업무 를 담당할 전문 인력을 충원하고, 주민등록번호 수 집 이용 최소화를 위해 법 위반 사건조사 서식 등 의 주민등록번호를 생년월일로 대체하였으며, 정보 시스템도 개편하는 등 를 위해 법규 및 제도 등을 정비하였다. 2. 추진실적 가. 서식정비 및 전담인력 확보 주요 업무인 불공정거래행위 등 사건조사와 관 련된 각종 신고서 및 서식 등을 점검 정비하여 사건처리절차규칙 의 법 위반 사건 신고서 서식 0종 중 법령상 수집근거가 없는 4개 신고서의 주민 등록번호를 생년월일로 대체하였고, 기업결합 신 고요령 의 기업결합 관련 서식 5종의 주민등록번호 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

176 제3장 행정부 62 를 생년월일로 대체하는 등 개인정보 처리실태를 점검하여 정비하였다. 개인정보 보호법 시행에 따라 기본계획의 수립, 시행계획의 작성, 안전성 조치의 확보, 개인정보 유 노출 모니터링 및 교육 등 내부적으 로 처리해야 할 각종 관련 업무를 담 당할 인력에 대한 충원 필요성을 내부 조직담당 부 서와 관계부처에 지속적으로 요구하여 실무인력 명을 충원하기로 확정하였다. 나. 시스템 운영 침해 예방대책 수립의 일환으로 운영 중인 정보 시스템을 대상으로 광주통합전산센터가 실시한 웹 모의침투결과에서 나타난 취약점에 대한 보완조치 와 20년 국가정보원의 정보보안 관리실태평가에 서 나타난 보안 취약점에 대한 보완조치를 완료하 였으며 공정거래위원회 홈페이지 및 관리자 페이지 에 나타난 보안 취약점들을 수정하였다. 또한, 정보주체 권리보장의 일환으로 대표 홈페 이지에 공정거래위원회의 개인정보 처리방침을 게 시하고 안내창구를 개설하였다. 다. 교육 및 홍보시스템 운영 에 대한 이해 증진과 업무처리의 편의를 돕고자 전 직원을 대상으로 상 하반기로 나누어 교육을 실시하였으며, 개인정 보보호 담당자의 전문성 확보를 위하여 안전행정부 가 주관하는 워크숍에 참석하였다. 공정거래위원회 내부 업무포탈시스템인 Thinfair 시스템에 의 필요성 및 인식강화를 위 해 주기적으로 공지하는 등 홍보를 강화하였다. 3. 향후계획 표 년 공정거래위원회 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령정비 등 추진체계 정비 개인정보 수집서식 점검 정비 - 주민등록번호 수집 이용 최소화 추진 조직 인력체계 구축 주민등록번호 수집 이용 개선방안 마련 및 후속조치 실행 - 법위반 사건조사 서식 및 기업결합 관련 서식 등의 주민등록 번호 입력사항을 생년월일로 대체(0월) 인력 증원 - 203년 소요정원에 6급, 명 충원 확정(월) 시스템 운영 침해 예방 대책 수립 정보주체 권리보장 정보시스템 취약점 점검 정보주체 권리보장 웹 사이트 취약점 점검 및 조치 - 웹 모의침투 훈련의 결과에 나타난 취약점 등 조치(8월) 개인정보 처리방침 게재를 통해 정보주체 권리보장 내용 안내 - 공정위 대표 홈페이지에 개인정보 처리방침 안내 및 창구 개설(8월) 교육 홍보 인력확충 및 전문성 강화 업무담당자 교육 강화 - 교육 계획 수립 및 진행 교육 계획 수립 및 추진 - 교육 계획 수립(3월) 및 시행(연 2회 이상) - 외부기관 워크샵 참석(5월) 홍보강화 홍보강화 직원대상 교육 및 업무시스템 공지(상시)

177 203 연차보고서 년에는 불공정거래행위 등 사건조사 시 필요 한 사건처리 가이드 를 마련하여 조사 과정에서 다루게 될 개인정보에 대한 처리방법을 제 공할 것이며, 소비자상담센터에 대한 개인정보 영향 평가와 개인정보 열람기록관리시스템을 구축하여 개인정보 관리를 보다 더 안전하게 할 계획이다. 또 한, 전 직원을 대상으로 지속적인 교 육을 실시하는 등 제반 보호조치들을 지속적으로 추 진하여 에 만전을 기할 계획이다. 국민권익위원회. 개요 국민권익위원회는 국민의 기본 생활과 관련된 다양한 고충민원의 처리 및 불합리한 행정제도의 개선 등을 위해 구축 운영하고 있는 청렴신문고( 부패방지ㆍ공익신고시스템), 국민신문고, 0콜센 터, 온라인 행정심판시스템의 를 위하 여 다양한 활동을 수행하였다. 2. 추진실적 가. 제도 정책 및 제도 개선 국민권익위원회 정보보호 규정 을 새롭게 개 정하여 개인정보의 최소수집과 체계적인 관리가 되 도록 하였다. 이외에도 기존의 국민권익위원회 훈령 을 보강하여 책임관, 담당자, 취급자의 역할을 분명히 하였다. 또한, 개인정보 내 부관리 계획 을 수립하여 정보시스템 사용자 및 개 인정보취급자가 개인정보를 다루는 업무에 활용할 수 있도록 단계별 업무 매뉴얼을 작 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 년 국민원익위원회 추진실적 사업분야 사업명 추진계획 추진실적 4 해외동향 정책 및 제도 개선 법령 정비 추진체계 정비 법령 등 개선 조직 인력체계 구축 정보보호 규정 개정(0월) 개인정보 내부관리계획 수립(7월) 개인정보 수집 서식 등 점검 정비(8월) - 소관 법령서식 점검(5, 6, 8월) - 개인정보 수집 서식 사용 지도점검 조직 및 운영 인력체계정비(월) - 부서별 담당자 지정 - 업무협의회 운영 - 책임자 및 취급자 역할 강화 부 록 시스템 운영 시스템 점검 개인정보 처리 실태점검 개인정보파일 관리실태점검 - 개인정보 노출 점검(매월) - 접근권한 관리실태점검(분기별) 침해 예방 대책 수립 주민등록번호 수집 이용 제도 개선 고유 식별번호 대체수단 도입(5월) - 주민등록번호 대체수단 사용여부 점검 - 온라인행정심판시스템 I-PIN 도입 교육 홍보 업무 전문성 강화 업무담당자 교육 강화 교육 계획 수립 및 진행 - 전 직원 교육(8월) - 분임 담당자 교육(4, 5월) - 신규 직원에 대한 교육 실시(2, 4, 6, 2월) 홍보 강화 실천문화 확산 홈페이지와 업무망에 상시 홍보

178 제3장 행정부 64 성 배포 하였다. 이외에도 개인정보 처리방침 을 제정하여 업무 홈페이지 등에 게시하였다. 또한, 각 부서에서 수집하고 있는 개인정보에 대 하여 합법성과 최소화 원칙 준수를 위하여 개인정 보 수집의 근거 법령 및 수집항목, 보유기간 등 개인 정보수집 서식을 일제 정비하였다. 특히 청렴신문 고시스템에서 신규로 수집하는 개인정보의 보호를 위하여 정보보호실무협의회에서 논의하여 보유근 거를 명확히 하고 수집항목을 최소화하였다. 나. 시스템 운영 개인정보의 노출을 방지하기 위하여 개인정보노 출 점검시스템을 활용하여 개인정보 노출을 정기적 으로 점검 보완하였고, 정보시스템에 접근권한 관 리 현황을 주기적으로 점검하여 부당한 사용 및 비 인가자의 정보시스템 접근을 사전에 차단하여 개인 정보 유출을 사전에 예방하였다. 그리고 온라인행 정심판시스템에 공공 I-PIN을 이용한 실명인증 체 계를 도입하여 개인정보 수집 이용을 개선하고 이 용자의 선택권을 확장하였다. 다. 교육 및 홍보 개인정보 유출 사고의 대부분이 개인정보취급자 의 부주의 또는 실수에 의한 것임을 감안하여 전 직 원, 전입 및 신규 임용 직원, 개인정보담당자 등 대 상별로 차별화된 교육을 실시하여 국 민권익위원회 직원의 업무 능력 향상 을 도모하였다. 업무의 중요성을 전 직원에게 주지시키기 위하여 국민권익위원회 인트 라넷에 수칙을 상시 게시하였으며, 국민권익위원회 홈페이지를 이용하는 국민에게도 정보주체로서의 권리를 보장받을 수 있도록 개인정 보보호 수칙을 배너로 공지하여 기반 조성에 기여하였다. 3. 향후계획 203년 상반기 중에는 정보시스템 내 개인정보파 일 외에 업무용 PC내 개인정보 파일의 존재 유무를 파악하여 개인정보의 안전한 관리 및 업무상 필요한 개인정보 파일의 보유를 최소화하기 위하여 개인정 보파일 관리시스템을 도입 운영할 계획이다. 또한, 보유 활용 중인 개인정보파일의 안전성 을 확보하고 정보주체의 권익을 보호하기 위하여 향후 온라인 행정심판 허브 시스템 과 국민신문고 시스템 의 개인정보 영향평가를 실시하고, 미비점 을 보완하여 보다 안전한 개인정보 관리 체계를 구 축할 예정이다. 기획재정부. 개요 개인정보를 안전하게 수집 및 관리를 하기 위해 개인정보 처리시스템에 대한 관리적 기술적 물 리적 보안조치를 수행하고 있으며, 주민등록번호 수집을 최소화하기 위해 법정 민원서식에 대한 개 정을 추진 중이다. 또한, 소속 산하기관을 대상으 로 매년 관리실태점검을 실시하는 한 편, 개인정보 유 노출 대책의 적정성에 대해 평가 하여 제도적, 기술적 취약부분을 발굴 개선하는데 최선을 다하고 있다.

179 203 연차보고서 추진실적 가. 개인정보 정책 및 제도 개선 고유식별정보와 민감정보의 수집에 대한 법적 근거 마련을 위해 202년 월부터 203년 월까지 총 8개의 법률 시행령 시행규칙을 개정하고, 주 민등록번호 수집을 최소화하기 위해 법정 민원서식 중 생년월일로 대체 가능한 업무를 검토하여 202 년 3월 대체계획(총75건의 민원서식 개정)을 수립 하였으며, 203년 내에 개정을 완료할 예정이다. 나. 시스템 운영 202년부터는 재정경제 사이버안전센터( 개소)가 정보보호활동과 더불어 개인정보 유 노출 예방을 위한 모니터링도 병행 실시토록 하였 으며, 전 직원 PC에 개인정보관리솔루션을 설치하 여 개인정보 보유현황 점검 및 암호화 조치 등이 가 능토록 하였다. 다. 교육 홍보 홈페이지 운영자 및 개인정보 처리시스템 담당 자 대상으로 개인정보추진협의회를 구성하여 개인 정보보호 정책과 동향에 대한 정보를 공유하였다. 그리고 홈페이지 개발자 대상으로 교 육을 실시하여 개발 및 유지보수 담당 외부 직원도 에 대한 인식을 제고하였으며 전 직원 대상으로는 동영상교육과 집합교육을 실시하였다. 3. 향후계획 법정 민원서식 개정계획에 따라 203년 중으로 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 년 기획재정부 추진실적 분야 사업명 추진계획 추진실적 4 해외동향 정책 및 제도 개선 법령 등 개선 개인정보 관련 법령정비 고유식별정보 처리근거 마련을 위한 3개 시행령 일괄 개정(0~2월) 개인정보 처리근거마련을 위한 5개 부령(시행규칙) 개정 (6월) 시스템 운영 개인정보 처리실태점검 침해 예방 대책 수립 개인정보파일 실태조사 및 등록현황 정비 개인정보 유 노출 모니터링 법정 민원서식 개정 추진 개인정보영향평가 실시 개인정보파일 실태조사 - 개인정보파일 일제조사(3, 5, 8월) - 개인정보파일 등록현황 현장점검(4월) 홈페이지를 대상으로 개인정보 노출점검 - 재정경제 사이버안전센터에서 관제 실시 주민등록번호를 생년월일로 대체하기 위한 계획수립 추진(3월) 영향평가 실시 : 정보시스템 3종 - 디지털예산회계시스템, 차세대 외환정보시스템, 카드 발급시스템 등 부 록 교육 홍보 인력확충 및 전문성 강화 홍보강화 담당자 교육 전 직원 대상 인식제고 교육 교육 계획 수립(2월) 및 교육 - 홈페이지 운영자 대상 협의회 운영을 통한 전문교육 실시(5, 6월) - 개발자 대상 침해사고 예방교육(6, 7월) 담당자 대상 교육(7월) - 동영상교육 실시(연중) - 보안 교육(8월)

180 제3장 행정부 66 서식 상의 주민등록번호를 생년월일로 대체할 예정 이며, 담당자 및 처리자에 대한 전문 교육(자격증 취득과정 등)을 통해 개인정보 관리의 효율성과 안전성을 강화할 계획이다. 이와 더불어 추가적인 솔루션(필터링시스템, 암 호화 솔루션 등) 도입, 개인정보 위탁사업자 및 산하 공공기관에 대한 현장점검 실시 등을 통해 취약부 분을 지속적으로 발굴 개선해 나갈 계획이다. 24시간 보안 관제를 실시하는 등 관리적 기술적 보호조치를 강화하고 있다. 또한, 외교부는 정보주 체의 권리와 이익을 보호하기 위해 보유 중인 개인 정보에 대한 처리 실태를 점검 조사하고 개인정보 취급자의 의식 수준 향상을 위한 교 육과 대책을 강화하고 있다. 2. 추진실적 외교부 가. 개인정보 보호지침 제정 및 소관 부서 직제화. 개요 외교부(당시 외교통상부)는 개인정보를 체계적 으로 관리하기 위해 개인정보 보호지침을 마련하 고, 관련 제도를 정비하는 한편, 개인정보 침해 예방 을 위해 외교정보통신망과 외교정보시스템에 대한 개인정보 처리 기준을 규정한 개인정보 보호지 침을 제정하고, 부내 정책 협의회의 구성 및 운영에 관한 근거를 마련해 에 대한 부서 간 정보 공유 및 협업 체계를 구축 하 였다. 또한, 외교정보보안담당관실이 정식 직제화 됨에 따라 외교부 본부와 소속기관에 대한 개인정 표 년 외교부 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 지침 제정 외교부 지침 제정 세부 기준안 마련(8월) 조직강화 소관부서 직제화 외교정보보안담당관실 정식 직제화(2월) 서식정비 개인정보 수집 서식 등 점검 정비 소관 법령서식 및 임의서식 정비(7월) 개인정보파일 운영실태조사 개인정보파일 운영실태 조사 개인정보파일 등록현황 정비(9월) 시스템 운영 침해 예방 대책 수립 개인정보 유 노출 모니터링 개인정보 취급 단말기 보안 강화 수집 이용 개선 개인정보 수집 이용 개선 웹 사이트 I-PIN 도입 외교사이버안전센터에서 204개 홈페이지 모니터링 실시 (매월) 행정전자서명(GPKI) 인증 방식 적용(9월) 정보주체 권리보장 정보주체 권리보장 개인정보 처리방침을 통해 정보주체 권리보장 내용 안내 (3월) 교육 홍보 인력확충 및 전문성 강화 홍보강화 업무담당자 교육 강화 의식 제고 교육 계획 수립(2월) 및 시행(연 2회 이상) 홍보물 게시 배포 등으로 의식 제고(0월)

181 203 연차보고서 67 보보호 정책 수립 시행 및 지도 감독 등의 개인 정보보호 업무 전반을 담당하는 과( 課 )급 부서로서 의 위상이 강화되었다. 나. 서식정비 및 개인정보파일 운영실태 조사 각종 행사 및 서비스 신청 등의 목적으로 사용되 고 있는 개인정보 수집 서식을 정비하여 개인정 보 보호법 에 따라 정보주체의 동의를 받아 개인 정보를 수집 이용하도록 하였다. 또한, 보유중인 개인정보파일의 운영근거, 보유기간, 보유항목 및 정보주체 동의 등에 대한 사항을 검토 개선하고, 개인정보파일에 대한 법적 의무 조치사항 이행 실 태 등을 점검하였다. 다. 침해 예방 대책 수립 개인정보 침해사고를 예방하기 위해 외교사이버 안전센터를 통해 외교정보통신망과 외교정보시스 템에 대한 24시간 사이버 보안관제와 개인정보 유 노출 모니터링을 실시하였으며, 개인정보 등록 차단 소프트웨어의 설치 대상 홈페이지를 확대해 인터넷을 통한 개인정보 노출을 차단하였다. 또한, 개인정보취급자의 개인정보 처리시스템 접근 절차 를 ID와 비밀번호 방식에서 행정전자서명 인증 방 식으로 변경해 개인정보 접근 보안을 강화하였다. 라. 정보주체의 권리 보장과 홍보 강화 정보주체의 권리를 안내하는 홍보물과 민원 신 청 양식 등을 일반국민이 쉽게 접근할 수 있도록 홈 페이지에 공개하여 법에 따른 정보주체의 권리를 보장하고자 하였다. 또한, 관계 기관에서 제작한 개 인정보보호 홍보물을 재외공관에 배포하고, 개인 정보 보호법 시행에 따른 유의사항 등을 안내하 여 재외국민의 개인정보가 안전하게 보호될 수 있 도록 하였다. 3. 향후계획 외교부는 202년에 마련한 개인정보 보호지침 의 운용과정에서 나타난 미흡점을 보완 개선하는 한편, 동 지침의 적용 범위를 산하기관까지 확대할 예정이다. 아울러, 본부와 소속기관 및 산하기관 개 인정보보호 담당자 간의 정책협의체를 구성하여 기 관 간 협업 체계를 구축하고 체계적인 개인정보보 호 정책을 수립 시행할 예정이다. 또한, 202년 관리수준 진단 결과 공공기관의 공통 개선사항으로 지적된 위탁업무에 대한 관리를 강화하기 위해 정보시스템 유지보수 직원에 대한 교육을 강화하고, 서비 스 수준 협약서 에 항목을 추가하는 등 유지보수 업체에 대한 관리 감독 을 대폭 강화할 예정이다. 특히 203년에는 재외공관을 위한 개인정보보 호 매뉴얼 을 제작하여 배포하고, 재외국민을 대상 으로 를 위한 유의사항과 정보주체의 권리 등을 안내하는 등 재외국민의 의식 향상에도 노력할 것이다. 또한, 직원이 사무실 에 보관하고 있는 개인정보 문서와 저장매체 등을 일제히 조사해 불필요한 개인정보를 물리적으로 파 기하는 클린 오피스 캠페인 을 실시하여 직원 개개 인의 의식을 강화하고 개인정보의 유 출 가능성도 차단할 예정이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

182 제3장 행정부 68 통일부. 개요 운영에 대한 안정화 와 상시 모니터링 시스템의 효 율적인 운영, 204년에는 제도 및 시 스템의 고도화 를 설정하여 추진 할 계획이다. 통일부는 2008년 0월에 통일부 기본지침 을 제정 운영하면서 활동 을 본격적으로 시작하였다. 이러한 노력의 결과로 2008년에는 관리수준 진단 우수기관 (평균92.86)으로 평가를 받기도 하였다. 개인정보 보호법 시행에 따라 법적 의무사 항 준수 및 활동을 적극 추진하기 위 하여 연도별 목표를 설정하여 추진하고 있다. 202 년의 목표는 제도 및 시스템 측면에서 기반구축 으 로 설정하여 업무를 추진하였으며 203년은 제도 2. 추진실적 가. 세부추진 계획 수립 조직변경 및 인사이동으로 책임자 (CPO), 분야별책임관, 담당자, 개인정 보취급자를 재지정하는 등 조직을 구 성 운영하고 202년의 활동에 대한 구체적인 계획을 /4분기에 수립하여 운영하였다. 표 년 통일부 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 단계적 법령 등 제 개정 북한자료센터홈페이지 회원정보 수집 및 관리 고유 식별정보 이용 업무 관련 법령 개정 완료 - 남북교류협력에 관한 법률 등 5건, 주민등록번호를 삭제 또는 생년월일로 대체(0건) 홈페이지 회원가입시 개인정보 수집 동의 절차 확보 개인정보 수집근거 마련 개성공단RFID 온라인시스템 출입신청시스템 약관 개정으로 개인정보 수집 근거 마련 개인정보 처리실태점검 개인정보 유 노출 모니터링 강화 개인정보 상시 모니터링시스템 구축 홈페이지 구글 크롤링 검사기법 사용, 구글 진단 실시 등 이산가족홈페이지 모니터링 실시(4회) 등 시스템 운영 침해 예방 대책 수립 북한이탈주민종합관리시스템 기능개선 기능 강화 - 전자서명인증(PKI) - 주민등록번호 노출차단 - 주민등록번호 대체 수단 적용 등 DB 암호화 등 개인정보 열람 출력기록 확인기능 구축 보안인프라 강화 주민등록번호 노출차단 : 총 37건 차단 주민등록번호 대체수단 강구 및 적용 DB자료 암호화를 위한 보안 솔루션 도입 비밀번호 변경주기 및 변경 임계값 적용 대량 개인정보 다운로드 시 개인정보 취급에 대한 경고 메시지 출력기능 등 직원교육 집합교육(2월), 순회교육(2월) 실시 교육 홍보 전문성 강화 유지보수업체 직원 교육 중요 자료 취급 주의(연 2회) 산하기관 및 관계기관 교육 북한이탈주민 정보취급 보안성 강화 홍보 강화 홍보 이산가족 를 위한 행동강령 작성 배포 등

183 203 연차보고서 69 나. 개인정보 처리실태점검 및 유 노출 강화 개인정보 처리현황을 6월부터 월까지 6개월간 전수조사하여 개인정보 처리실태를 면밀히 파악하 고, 보완해야할 사항을 컨설팅하여 조사결과에 반 영하여 업무에 활용할 수 있도록 하였다. 대표홈페 이지 등 7개 개인정보 처리시스템에 접속로그를 모 니터링 및 관리할 수 있도록 하고, 개인정보파일의 개인별 관리와 동시에 전체 상황을 파악할 수 있도 록 개인정보 상시 모니터링 시스템을 202년 월 에 구축하였다. 또한, 남북교류협력시스템 등 3개의 시스템에 대 해 개인정보 영향평가를 통해 취약점의 보완조치를 하는 등 많은 노력을 하였다. 다. 교육 실시 정보시스템의 자료를 취급하는 외주용역업체에 대한 교육을 2월에 실시하였으며, 개 인정보 처리시스템 담당자에 대한 전문교육도 6월 과 2월, 2차례 실시하였다. 또한, 전 직원을 대상으 로 개인정보 보호법 의 업무적용을 원활히 할 수 있도록 2월 한 달간 7회에 걸쳐 실 국별, 소속 기관별로 순회교육을 실시하였다. 3. 향후계획 은 203년 7월까지 제정 또는 수정 보완할 계획이 다. 컨설팅 및 영향평가를 통하여 203년 월까지는 개인정보 실태점검을 완료할 예 정이다. 전 직원 대상의 교육은 5월과 7월, 개인정보취급자 대상 전문교육은 7월에 실시 할 계획이다. 204년에는 법령 제 개정시 개인정보 보호 법 준수 여부를 엄격하게 검토하고, 특히 북한이탈 주민 정보관리규정의 운용 실태를 파악 보완하는 등 개인정보가 안전하게 관리될 수 있도록 할 것이다. 법무부. 개요 법무부는 안전하고 신뢰받는 환경 을 조성하기 위하여 202년에 기본계 획, 시행계획, 내부관리계획, 교육 계획, 지침 등을 마련하였고, 각 PC에 경고문 설치, 개 인정보보호 화면보호기 설치 등을 통해 개인정보보 호 인식을 확산하고 경각심을 고취하였다. 또한, 소 속기관 산하기관 위탁업체에 대한 실태점검과 책임자(CPO), 담당자 및 취급자 등에 대한 교육도 실시하였다. 2. 추진실적 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 통일부는 203년 수행해야할 상세 계획을 새정부 출범에 따른 조직변동 및 인사발령, 인사이동 등을 고려하여 203년 5월 중 수립하고, 자가진단을 203년 5~6월 중에 수행 하여 개선사항은 9월까지 보완할 예정이다. 그리고 통일부 개인정보 보호지침 과 처리방침 가. 정책 및 제도개선 법무부의 개인정보 보호지침 을 훈령(제 849호, )으로 제정하였으며, 여기에는 개인정보 의 처리기준, 개인정보 침해 예방조치 등에 관한 세

184 제3장 행정부 70 부적인 사항을 규정하고 있다. 나. 추진체계 정비 시행계획 수립 추진에 대한 의견 을 수렴하고 효율적인 추진체계 구축을 위해 법무 부 개인정보 처리시스템을 운용하는 부서의 장 또 는 사무관으로 구성된 협의체 를 구성 하고 회의를 개최하였다. 또한, 법무부 정보시스템 의 강화체계를 수립하기 위해 외부 컨설팅을 통해 진단을 실시하였다. 다. 202년 실태점검 실시 법무부 내 각급 기관의 개인정보 처리 과정에 대 한 점검 및 개선을 위해 법무부 자체 점검반을 구성 하여 실태점검을 실시하고 불필요한 개인정보 보유 등 미흡사항에 대해 지적하였으며, 기관장의 개인 정보보호에 대한 관심과 안전한 보호를 위한 관리 감독 등을 촉구하였다. 또한, 정보화사업을 진행하 였거나 진행하고 있는 용역업체를 대상으로 개인정 보 유출 가능성 여부 등에 대한 실태점검도 하였다. 라. 202년 관리수준 진단 공공기관의 수준을 높이기 위해 안전행정부에서 실시하는 202년 관 리수준 진단 결과, 전담조직 확보, 예 산책정, 교육 등에서 우수한 평가를 받았으며 서식 및 제도개선 등 개인정보 수집 및 이 용 최소화를 위한 적극적인 활동이 필요한 것으로 평가(결과 )되었다. 마. 개인정보 침해 예방 대책 수립 표 년 법무부 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 추진체계 정비 법령 등 개선 추진체계 구축 개인정보시스템 체계 강화 법무부 개인정보 보호지침 제정(월) 국적법시행령 등 6개 근거법령 일괄정비 협의체 구성(월) 및 운영 정보시스템 강화체계 수립(0월) 개인정보 처리실태점검 소속기관 산하기관 실태점검 - 개인정보 안전성 확보조치 등 외부용역업체 실태점검 소속기관 산하기관 실태점검 실시 - 총9개 기관 실태점검(5,0월) 및 조치 외부용역업체 실태점검 실시 시스템 운영 침해 예방 대책 수립 주민등록번호 수집 이용 개선 - 주민등록번호 대체수단 안내 등 공공 I-PIN 의무도입 안내(2월) 주민등록번호 수집 관련 서식정비(7종, 8월) 정보주체 권리 보장 정보주체 권리 보장 기존 개인정보 처리방침 내용 수정(3월) 교육 홍보 지속적 교육 실시 홍보강화 교육 계획 수립 법무연수원 교육과목 편성 - 교육과목 편성 인식 제고 자체 교육 계획 수립여부 점검 및 교육 실시 - 집합교육(3월), 순회교육(2월) 등 신규직원 대상교육 : 총 0회(강의) PC에 경고문 설치(월) 워크숍 및 컨퍼런스 참가 독려

185 203 연차보고서 7 주민등록번호 수집 이용을 개선하기 위한 대책 으로 웹 사이트에 공공 I-PIN 도입을 의무화하도록 안내하였고, 주민등록번호 수집 최소화 조치로 총 7 개 서식에서 주민등록번호 대신 생년월일로 대체하 여 개인정보 수집을 최소화하는 조치를 강구하였다. 바. 교육 실시 202년 교육 계획을 수립하여 본 부직원에 대한 집합교육 및 소속기관 직원에 대한 순회교육, 자체교육을 실시하였다. 법무부 교육연 수기관인 법무연수원에 교육과목을 개설하여 총 0회에 걸쳐 신규공무원 등에게 교육 을 실시하였다. 사. 정보주체 권리보장 및 홍보 강화 홈페이지에 개인정보 처리방침을 게시하여 정보 주체의 권리 보장을 안내하였으며, 새로 제정 시행 된 개인정보 보호법 을 홍보하고 전반적인 인식 을 제고하기 위해 전 직원 PC에 경고 문과 관련 화면보호기를 설치하였다. 3. 향후계획 법무부 및 소속기관의 개인정보 처리 과정에서 의 개인정보 침해사고를 방지하고 국민의 자기정보 결정권을 보호하기 위하여 개인정보 보호지침 및 내부관리계획을 개정할 계획이다. 추 진체계를 강화하기 위하여 203년부터 개인정보보 호협의체 회의를 분기별로 실시할 예정이며, 개인 정보보호 실태점검 대상 기관수를 보다 확대하는 등 법무 행정에 있어서 의 효율적 실 행을 위해 노력할 계획이다. 국방부. 개요 국방부는 국민과 군의 를 위해 개인정보 보호법 에 따른 시행계획을 수립하여 체 계적인 보호 활동을 실시하고 있다. 202년에는 개 인정보보호를 위해 내부 지침 등 제도를 정비하고 데이터베이스 암호화 및 접속기록 관리체계 마련 등 법에서 요구하는 기술적 보호 기반을 구축하였 다. 또한, 개인정보 영향평가를 실시하고 각 군 기 관의 개인정보 처리 실태를 대대적으로 점검하여 그 결과를 바탕으로 개선 사항을 도출하였다. 그 외 주민등록번호 수집을 최소화하기 위해 I-PIN, 생년 월일 등 대체수단을 마련하였으며 교 육도 지속적으로 실시하였다. 2. 추진실적 가. 국방개인정보 보호지침 수립 홍보 202년 4월에 전군에 적용되는 국방개인정보보 호 관리지침 을 수립하여 각 군 및 기관에 배포하고 국방일보 및 일간 신문에 보도하였다. 나. 주민등록번호 수집 최소화를 위한 수집 이용 실태 조사 및 개선 안전행정부의 주민등록번호 수집이용 최소화 종 합 대책 에 따라 각 군 기관을 대상으로 주민등록번 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

186 제3장 행정부 72 호 수집 이용실태를 조사하여 대체가능한 경우 생 년월일 등으로 대체하여 주민등록번호 수집비율이 54.7%(995/89)에서 34.4%(626/89)로 낮아졌다. 다. 주민등록번호 수집 관련 법령 개정 202년 2월에 국방부 및 그 소속청 소관 비영 리법인의 설립 및 감독에 관한 규칙 등 법령 서식 20건에 대해 주민등록번호를 생년월일로 대체하였 으며, 군인사법 시행령 과 군인복지기본법 시 행령 에 주민등록번호 수집 근거를 마련하였다. 라. 개인정보 처리안전성 확보를 위한 기술적 조치 암호화를 추진하였고, 접근통제 및 접속기록 보관 및 위조 변조 방지를 위한 제품을 도입하였다. 또 한, SSL인증서 적용 가이드를 수립하여 개인정보의 송 수신암호화를 진행하였다. 그리고 업무PC에 저장된 개인정보파일 점검을 위한 소프트웨어를 각 군 기관에 도입하였다. 마. 개인정보 영향평가 실시 전문 평가기관을 통해 국방동원정보체계에 대한 개인정보 영향평가를 실시하여 개선방안을 도출하 고 필요 사항에 대해 이행조치 하였다. 바. 개인정보 처리실태점검 각 군 기관의 36개 개인정보 처리시스템에 있 는 고유식별정보 및 비밀번호 데이터베이스에 대해 개인정보파일 372개를 대상으로 개인정보 처리 단계별 관리 실태를 점검하고, 미흡한 사항을 즉각 표 년 국방부 추진실적 분야 사업명 추진 계획 추진실적 정책 및 제도 개선 규정 및 제도 개선 추진체계 정비 제도 개선 유관기관 등과의 협업체계 구축 조직 인력체계 구축 국방 관리지침 제정(4월) 국방정보화업무훈령 개정안 제출(8월) 군인복지기본법, 군인사법 시행령 개정(2월) 국가보안연구원, 기무사 등과 협업체계 구축 책임자 및 담당자 지정 연구기반 구축 개인정보 보호분야 발전계획 수립 실태점검 및 개선과제도출(월) 개인정보 처리실태점검 개인정보 수집서식 등 점검 정비 개인정보파일 실태조사 개인정보 유 노출 모니터링 강화 서식 일괄 개정 추진(0월) 실태점검 및 결과에 따른 개선과제 보완 노출 모니터링(분기별) 시스템 운영 침해 예방 대책 수립 주민등록번호 수집 이용 제도 개선 개인정보 처리 안전성 확보 침해 예방 제도 보완 주민등록번호 대체수단 사용여부 점검(3월) 개인정보 처리시스템 실태점검 및 보완추진(4월) 영향평가 실시 및 개선(5~7월) 개인정보 유출 대응 매뉴얼 작성(0월) 정보주체 권리보장 정보주체 권리보장 개인정보 처리방침 을 통한 정보주체 권리보장 내용 안내(3월) 교육 홍보 전문성 강화 자율규제문화조성 자체 집합 교육 실시 매월 사이버 보안진단의 날 에 개인정보 관리 및 예방활동 실시 공문, 게시판, 보도자료를 통해 홍보 교육 계획 수립(2월) 및 진행(연 2회 이상) 매월 사이버 보안진단의 날 에 개인정보 관리 및 예방활동 실시 공문, 게시판, 보도자료를 통해 홍보 실시

187 203 연차보고서 73 조치하였으며, 영향평가 대상이 아닌 개인정보 처 리시스템 5개에 대해서는 안전행정부에서 만든 개인정보 위험도 분석 기준 을 바탕으로 분석을 실 시하여 조치가 필요한 부분을 개선하였다. 사. 각 군 및 소속기관에 대한 관리수준 진단 실시 안전행정부의 공공기관 관리수준 진단 매뉴얼 을 활용하여 각 군과 소속기관에 대한 관리수준 진단을 실시하여 개선사항 을 도출하였다. 아. 교육 및 홍보 실시 국방 관리지침 에 따라 개인정보취 급자 및 담당자 등을 대상으로 5월과 0월에 개인정 보보호 교육을 실시하고 매월 셋째 주 금요일에 실 시하는 사이버보안 진단의 날 에 점 검리스트를 배포하여 자체점검 및 침해 예방 활동 을 실시하였다. 그 밖에 각 군 기관에 적용되는 개 인정보 침해사고 예방 및 대응 매뉴얼 을 수립하여 배포하였다. 3. 향후계획 국방부는 202년에 마련된 국방 제 도를 바탕으로 내부관리계획을 수립하여 체계적이 고 안정적으로 관리적 기술적 보호 조치를 취할 것 이다. 자체적으로는 전 직원 교육과 대상자별 세부 교육 계획을 수립 실시하여 인식을 높이고 실무자들의 역량을 강화할 예 정이다. 또한, 개인정보 영향평가 대상 시스템에 대 한 평가를 실시하고, 웹 방화벽, 개인정보 모니터링 시스템 등을 도입할 예정이다. 그 밖에 최근 수집 이용하고 있는 개인정보파일을 조사하고 개인정보 보호실태 파악 및 점검을 위하여 내부적으로 합동 점검단을 구성하여 현장 실태점검을 실시하고 미흡 한 사항을 보완하여 제도를 개선해 나갈 것이다. 문화체육관광부. 개요 개인정보 보호법 및 시행령, 규칙 등이 시행 됨에 따라, 문화체육관광부는 본부, 소속기관 및 산 하 공공기관에서 수집 보유하고 있는 개인정보를 보호하기 위하여 연차별 마스터플랜 을 수립, 시행하고 있다. 2. 추진실적 가. 문화부 소관 법령 및 추진 체계 정비 문화체육관광부에서는 개인정보 보호지침 제정 (202.2월) 및 문화체육관광부 영상정보처리기기 운영관리방침 을 제정(202.2월)하였다. 더불어 문 화체육관광부 소관으로 개정이 필요한 법률을 지속 발굴 조치하였다. 또한, 조직개편 또는 인사이동에 따른 본부, 소속기관 및 산하 공공기관의 개인정보 보호 조직 및 인력체계를 재정비 현행화 하는 등 에 만전을 기하였다. 나. 개인정보 보유 및 처리실태점검 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

188 제3장 행정부 74 문화체육관광부 본부, 소속기관 및 산하 공공기 관에서 보유하고 있는 개인정보 현황을 파악(총 389 개 파일,,27만건)하여, 203년에 강화를 위한 정보보호사업 예산편성 및 204년 문 화체육관광부 시행계획 수립 자료로 활용하였다. 또한, 본부, 소속 및 산하 공공기관의 수준 제고 및 기관별 개선방안을 제 시하기 위해 각 기관을 방문하여 총 3개 분야 2개 진단지표에 의거 수준을 진단한 후 개선방안을 제시하였다. 였으며, 고유식별정보 암호화(2개 시스템), 주민등 록번호 대체수단 도입(0개 시스템), 접속기록 보관 (28개 시스템) 등의 기술적 보호조치를 완료하였다. 또한, 문화체육관광부 소관 홈페이지 및 구글 내 개 인정보 유 노출 여부를 검색, 조치하기 위한 점검시 스템을 구축 운영하고 있으며, 해당 기관의 노출기 록 등은 문화정보화 업무평가 점수에 반영하여 재발 되지 않도록 관리체계를 강화하였다. 라. 교육 및 홍보 강화 다. 개인정보 침해 예방대책 수립 및 정보 주체 권리보장 문화체육관광부는 에 대한 기술적 보호조치를 위하여 본부 총괄 개인정보 영향평가 및 강화사업을 추진하였다. 총 4개 기관 5개 개인정보 처리시스템에 대한 영 향평가 실시 및 관리실태점검, 예방활동을 지원하 본부 및 소속기관, 산하 공공기관의 개인정보취급 자를 대상으로 개인정보 보호법 준수를 위한 보 안인식 제고 및 개인정보 영향평가 수행에 따른 주요 침해요인별 방안 등을 내용으로 교육을 실시하였으 며 전 직원을 대상으로 인식 제고를 위 한 교육도 실시하였다. 또한, 매월 일을 문화체육관 광부 의 날 로 지정하여 전 직원을 대상 으로 를 위한 홍보를 실시하고 있다. 표 년 문화체육관광부 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 관련 법령 등 개선 추진체계 정비 유관기관과 협업체계 구축 조직 인력체계 구축 개인정보 보호지침 제정(2월) 영상정보처리기기 운영관리방침 제정(2월) 체계 확립 및 재정비 전담인력 확보 추진(6급 명) : 중기계획 시스템 운영 개인정보 처리실태점검 개인정보 수집서식 정비 개인정보파일 실태조사 등 개인정보파일 일제정비(4~5월) 현장방문 및 필수조치사항 점검(6~8월) 영향평가(6 ~ 월) 개인정보파일 전수조사(9~0월) 침해 예방 대책 수립 개인정보 처리 안전성 확보 고유식별정보 암호화, 대체수단 도입 등 정보주체 권리보장 정보주체 요구사항 조치 정보주체 요구사항 조치 현황통보(안전행정부) 교육 홍보 인력확충 및 전문성 강화 홍보강화 업무담당자 교육 강화 자격증 제도 활성화 자율규제 및 실천문화 확산 분야별 홍보강화 자체 교육 및 전문과정 교육 이수 사이버안전센터 정보보호 전담인력 확충 시 개인정보 보호 관련 자격증 보유자 우대 의 날 지정 홍보(매월 일) 온라인 노출 주민등록번호 삭제 등 수시 홍보

189 203 연차보고서 75 마. 관리수준 진단 평가 문화체육관광부는 안전행정부에서 실시한 202 년 관리수준 진단 에서 97.65점의 평 가점수를 획득하였다. 에서 안전하게 개인정보를 관리ㆍ운영할 수 있는 기초를 마련하여 202년에는 정책 및 제도 개선 등의 업무를 추진하였다. 2. 추진실적 주요 현황 3. 향후계획 문화체육관광부는 체계강화를 위 하여 203년 3분기에는 전담인력 명 을 충원할 계획이며, 향후 전담조직 및 인력의 증원 을 지속적으로 요청할 예정이다. 또한, 본부, 소속 및 산하 공공기관에서 예산 및 인력 등의 사유로 개 인정보 영향평가 및 기술적 보호조치를 체계적으로 추진하지 못함에 따라 본부에서 체계 강화사업을 총괄 추진할 계획이다. 구체적으로 총 3 개 기관 4개 개인정보 처리시스템에 대한 영향평가 실시 및 관리실태점검, 예방활동을 지원하고, 고유 식별정보 암호화(2개 시스템), 비밀번호 암호화(8개 시스템), 주민등록번호 대체수단도입(2개 시스템), 접속기록 보관(6개 시스템) 등 기술적 보호조치를 완료할 예정이다. 농림축산식품부. 개요 농림축산식품부(당시 농림수산식품부)는 농 업ㆍ축산업ㆍ식품분야 업무수행으로 생성되는 개 인정보파일을 보호하기 위해 농림축산식품부 개인 정보 보호지침 (20..)을 제정하고, 내부관리계 획을 수립하는 등 관리적 기술적 물리적인 부분 가. 정책 및 제도 개선 를 위해 20년 월에 이미 개인 정보 보호지침 및 내부관리계획을 수립하였다. 202년에는 소관 4개 법령에 고유식별정보 수집 근거조항을 마련하고, 민원서식에 대해서는 30개 시행령의 70개 서식에 있는 주민등록번호를 생년 월일로 대체하였다. 정책의 통합적 추진을 위해 농림 축산검역본부, 국립농산물품질관리원, 국립종자원 등 20개 소속(산하)기관과 업무협의회를 구성 운 영하고 있으며 유관기관과의 신고 및 협조체계를 구축하였다. 나. 시스템 운영 오프라인 개인정보파일 및 개인정보 보유시스템 의 안전성 확보 현황을 점검하고 개선조치를 하였 으며, PC내 개인정보 관리시스템을 구축하여 개인 정보파일 정리 및 암호화 접근통제 등 기술적 안 전성 확보를 위하여 노력하였다. 농림축산식품부 홈페이지 등 39개 웹 사이트상 에서 고유식별정보 대신 I-PIN 등 대체수단 적용여 부와 개인정보파일 현황을 점검하여 미등록된 54개 개인정보파일을 추가 등록하는 등 개인정보파일 관 리를 강화하였다. 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

190 제3장 행정부 76 다. 교육ㆍ홍보 직원들의 의식제고를 위해 농식품 공무원교육원을 통해 교육 계획을 수 립ㆍ추진하여, 사이버교육 2회에 279명, 집합교육 3 회에 95명을 교육하였고, 관리수준 진단을 실시하여 나타난 개인정보 취급 시 미흡사 항에 대해 직원교육을 실시하는 등 교육 및 홍보를 추진하였다. 3. 향후계획 정부조직 개편으로 인해 소관법령이 일부 변경 됨에 따라 개인정보 보호법 과 상충여부를 점검 하고, 내부 개인정보 보호지침 및 관리계획 수정을 203년 중에 추진할 계획이다. 또한, 개인정보파일 변경여부 및 관리실태를 파악하여 개선하고, 고유 식별정보 5만건 이상을 보유하는 개인정보파일 등 영향평가 의무대상에 대해 개인정보 영향평가를 추 진하고 있다. 온ㆍ오프라인 상에서 수집하는 개인정보파일에 대해 관리적 기술적 물리적 안전성 확보 현황을 점검하여 미흡 사항에 대해 개선 조치하고, 웹 사이트 표 년 농림축산식품부 추진실적 분야 사업명 추진계획 추진실적 법령개선 등 법령에 개인정보 수집근거 점검 개인정보파일 보유기간 검토 법령 4개에 고유식별정보, 민감정보 수집근거 반영(월) 개인정보파일 정비(6월) 정책 및 제도 개선 보호기준 정비 개인정보 보호지침 수립 및 보완 개인정보 보호지침(20년말 및 내부관리계획 수립) 협업체계 구축 유관기관과 신고 및 협조체계 구축 정책수립, 처리실태 감독 및 침해발생 시 대책 마련 등을 위해 유관기관과 협조체계 구축 조직 인력체계 구축 협의회 구성 운영 업무협의회 구성 운영 개인정보 수집 서식 등 점검 소관 법령서식 점검 시행규칙 30종의 민원서식 70종 개정(8월) 개인정보파일 실태조사 컨설팅 실시 개인정보파일 등록 현황 정비 개인정보파일 실태조사 및 컨설팅을 통한 개선 개인정보파일 현황파악(2~5월) 및 추가 등록 개인정보 모니터링 강화 개인정보 통합관리체계 구축 웹 사이트에서의 개인정보 노출 모니터링 및 차단 PC내 개인정보관리 시스템 구축(2월) 시스템 운영 주민등록번호 수집 이용 제도 개선 대체수단 사용여부 점검 고유식별정보 수집 항목 정비 30개 시행규칙의 70개 서식에 대해 주민등록번호를 생년월일로 대체(8월) 웹 사이트에서 대체수단 사용여부 점검(6월) 개인정보 처리 안전성 확보 안전성 확보현황 점검(온/오프라인 병행) 관리수준 진단 컨설팅 개인정보 안전성 확보현황 점검(6월) 및 개선조치(2월) - 오프라인의 경우는 별도 점검(5월) 관리수준 진단 컨설팅 실시(5월) 정보주체 권리보장 홈페이지에 정보주체 권리보장 내용 안내 개인정보 보호지침에 정보주체 권리보장 반영 - 대표 홈페이지에 정보주체 권리보장 내용 안내 교육 홍보 교육 강화 실천문화 확산 교육 계획 수립 및 추진 개인정보 보호법 이해와 위반사례 등 교육 및 홍보 농식품공무원교육원을 통한 직원 교육 추진 담당자 및 취급자 교육(4월) 컨설팅의 결과를 기반으로 본부, 소속기관 교육

191 203 연차보고서 77 에 대해서도 주민등록번호의 대체수단을 적용할 수 있도록 하였으며 영상정보처리기기 운영현황을 점 검하고 정보주체의 권리보장 안내 등을 지도 점검 할 계획이다. 또한, 농식품공무원교육원을 통해 직원 대상 교육과 관리수준 진단 후 도출된 위반사례를 전파하는 등 개인정보보 호 관련 교육도 지속적으로 강화해 나갈 계획이다. 산업통상자원부. 개요 산업통상자원부(당시 지식경제부)는 운영 중인 산업 통상 자원 분야의 대국민 서비스용 웹 사이 트에 개인정보 침해 위협에 대비하여 체계를 정립하고, 역량을 강화해 나 가고 있다. 202년에는 소관 분야의 개인정보 수집 근거 법령 정비와 개인정보 보호지침 제정, 개인정 보의 안전성 확보를 위한 조치 등을 수행하였다. 향 후에도 개인정보 침해에 대한 대응력과 개인정보보 호 체계를 강화하는 한편 개인정보에 관한 의식 수 준을 높일 수 있도록 노력할 계획이다. 2. 추진실적 가. 법령 등 개선 본부 및 소속기관 산하기관이 업 무에 활용할 수 있도록 산업통상자원부 개인정보 보호지침 과 내부관리 계획을 2월에 제정하였다. 또 한, 고유식별정보를 수집하고 있는 2개 시행령과 9 개 시행규칙에 대해 개정 작업을 완료하여 개인정 보 수집근거를 마련하였고, 개인정보 수집을 최소 화하도록 서식도 변경하였다. 나. 추진체계 정비 본부 및 소속기관 산하기관의 담 당자간 연락체계를 구축하여 공지사항을 전달하고 관련 정보를 공유하고 있다. 또한, 책 임자와 담당자를 대상으로 법령 및 사고사례 등에 대한 교육을 실시하는 등 개인정보 보호 역량 강화를 위해 노력하고 있다. 다. 개인정보 처리 실태점검 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 년 산업통상자원부 추진실적 분야 사업명 추진계획 추진실적 부 록 정책 및 제도 개선 시스템 운영 법령 등 개선 개인정보 관련 법령 개정 산업통상자원부 개인정보 보호지침 제정 시행령(2개) 및 시행규칙(9개)을 개정하여 개인 정보 수집 근거마련 개인정보 보호지침 및 내부관리계획 수립 추진체계 정비 개인정보 담당자 연락체계 구축 소속기관 산하기관 연락체계 구축 개인정보 처리실태점검 침해 예방 대책 수립 수집실태 조사 및 서식정비 개인정보파일 및 영상정보처리기기 보유 실태조사 주민등록번호 대체수단 적용 유출방지 솔루션 도입 개인정보 수집실태조사와 서식정비 개정보파일 및 영상정보처리기기 보유 실태조사 공공 I-PIN 도입 : 27개 사이트 DB암호화, 보안서버 적용 등 교육 홍보 인력확충 및 전문성 강화 교육 본부 및 소속기관 산하기관 대상 교육

192 제3장 행정부 78 민원서식, 약관 등을 통해 관행적으로 수집되고 있는 개인정보 수집 실태를 일제 조사하여 정비하 였다. 개인PC에 보유하고 있는 개인정보파일에 대 한 전수조사를 실시하여 불필요한 파일 등을 삭제 하였고, 산업통상자원부 및 소속기관 산하기관의 개인정보파일과 영상정보처리기기 실태를 점검하 여 종합지원포털에 등록하였다. 라. 침해 예방 대책 수립 홈페이지 27개에 대하여 회원가입 시에 주민등록 번호 대신 공공 I-PIN을 활용하도록하여 시스템을 개 선하였으며, 광업정보시스템 등의 개인정보 데이터 베이스를 암호화하여 안전성을 강화하였다. 또한, 홈 페이지 등의 게시판에 개인정보 노출을 자동적으로 차단하는 필터링 시스템을 도입하여 운영하고 있다. 3. 향후계획 산업통상자원부는 소관 법령을 조사하여 개인정 보 수집 근거를 마련하고, 개인정보 수집을 최소화 하도록 서식을 변경하는 등의 개정 작업을 지속적 으로 추진할 계획이다. 또한, 기관별 부서별로 책 임자 담당자 취급자의 역할 및 책임을 명확히 하 도록 개인정보 보호지침을 개정할 계획이다. 아울러 본부 및 소속기관 산하기관 간 개인정 보보호책임자 협의회를 구성 운영하여 개인정보 침해 사고 등에 대한 공동대응 체계를 구축해 나갈 것이며, 해당체계가 제대로 가동되는지에 대한 모 의훈련을 실시하여 개인정보 침해 사고에 대비해 나갈 것이다. 또한, 개인정보 오 남용 방지를 위해 개인정보 접속기록 관리 시스템을 도입하는 등 개 인정보 안전성 확보 조치를 강화할 계획이다. 고용노동부. 개요 고용노동부는 고용 노동 분야 소관 부처로서 근로기준법, 고용보험법 등 소관법령에 따라 경제활동 인구 대다수의 개인정보를 처리하므로 보 유 중인 개인정보 유출사고가 발생할 경우 사회적 파 장이 커질 수 있어, 가 특히 중요하다. 이에, 고용노동부는 처리 중인 개인정보의 보호 를 위해 매년 계획에 따른 개인정보 보호 정책 및 제도개선, 시스템 운영, 교육 및 홍보 사업을 추진하고 있다. 2. 추진실적 가. 법령 등 개선 고용노동부는 202년에 소관 법령 중 23개 법령 에 고유식별정보 또는 민감정보의 처리 근거를 마련 하였고, 관계 법령의 기준에 따라 영상정보처리기기 운영지침, 내부관리계획, 개인정보 처리방침 등을 제정 또는 조직개편 내용에 맞게 수정 보완하였다. 또한, 사업장에서 개인정보 보호법 준수를 위해 필요한 인사ㆍ노무 분야 가이드라인 을 안전행정부와 공동 제작ㆍ발간하여 배부하였다. 나. 추진체계 정비 관련 정보공유 등을 위해 업무 협 의회 를 구성 운영하고, 효율적으로 개인정보 노 출 탐지와 조치를 위해 소속ㆍ산하기관과 고용노동 사이버안전센터 간에 협업체계를 구축하고 역할을

193 203 연차보고서 79 구분하였으며, 별도의 업무담당자를 지정하여 업무를 수행토록 하였다. 다. 개인정보 처리실태점검 시행령 2개의 서식 55종 및 예규 2개의 서식 2종 에서 수집하고 있는 주민등록번호를 생년월일로 개 정하고, 운용 중인 개인정보파일 중 신규ㆍ변경 및 폐지되는 현황을 조사하여 정비하였다. 또한, 고용 노동 사이버안전센터를 활용한 참가기관간에 통합 모니터링 체계를 구축하여 관할 사이트를 대상으로 개인정보 노출 모니터링도 실시하였다. 라. 침해 예방 대책 수립 홈페이지를 비회원제로 운영함을 원칙으로 하 며, 불가피한 경우는 공공 I-PIN을 사용하도록 하였 으며, 안전성 확보 조치 등 관련사항을 점검하여 미 흡사항을 보완하였다. 마. 정보주체 권리보장 개인정보 정보주체의 권리를 개인정보 처리방침 에 명시하여 홈페이지에 공개 하였으며, 개인정보 침해사고가 발생할 경우에 정보주체에게 신속하게 유출사실을 통지하기 위해 유출 통지 절차를 내부 관리계획에 마련하여 시행하고 있다. 바. 전문성 및 홍보 강화 인식 제고를 위해 전 직원을 대상 으로 교육을 실시하고, Q&A게시판 운영, 자료집을 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 년 고용노동부 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 추진체계 정비 소관 법령 등 개선 기준 정비 협업체계 구축 조직 인력체계 구축 고유식별정보 처리 근거 마련(월) 내부관리계획 수정 보완(4, 7월) 인사 노무분야 개인정보 가이드라인 발간 (7월) 업무협의회 구성 운영(4월) 사이버안전센터와 소속 산하기관 간 역할조정(년중) 업무 담당자 지정(4월) 4 해외동향 개인정보 처리실태점검 서식 개선 법령 2개에 따른 서식 55종과 예규 서식 5종 정비 개인정보파일 정비 개인정보파일 현황 조사 및 정비(3, 5월) 유 노출모니터링 강화 개인정보 통합 모니터링 체계 구축 부 록 시스템 운영 침해 예방 대책 수 립 주민등록번호 수집 이용 제도 개선 안전성 확보 조치 각종 홈페이지 비회원제 또는 I-PIN으로 전환 조치(2월) 주민등록번호 수집 민원서식 정비(~0월) 소속ㆍ산하기관 안전성 확보 조치 점검(7, 9월) PC 개인정보 관리시스템 시범 운영(8월) 정보주체 권리보장 정보주체 권리 보장 정보주체의 권리사항을 홈페이지 공개(~2월), 개인정보 유출 통지제 운영(4월) 교육 홍보 전문성 강화 담당자 교육 강화 전 직원을 대상으로 총 8회 교육 실시(~9월) 홍보강화 인식 확산 각종 매체를 통한 홍보(3~5월) 가이드라인 공개 및 사업장 배포(7월) 민원실에 포스터 부착(5월)

194 제3장 행정부 80 배포하는 등 홍보를 실시하였다. 또한, 민원실에 개 인정보보호 포스터를 부착하여 국민에게 개인정보 보호의 중요성을 알렸다. 역량을 강화해 나갈 계획이다. 2. 추진실적 3. 향후계획 가. 내부 법령 및 관련 규정 제 개정 고용노동부 소관 업무 수행 효율성 향상을 위해 고용노동부 개인정보 보호지침 을 제 정하고, 개인정보 침해사고에 신속하게 대응하기 위해 (가칭)개인정보 침해 대응 TF팀 을 구성하여 운영할 계획이다. 202년에는 법령 위주의 서식을 개선하였고, 203년에는 각종 행정규칙이나 업무매 뉴얼 중심으로 불필요한 개인정보 수집을 근절하도 록 정비하고, 개인정보 영향평가도 관련시스템을 대상으로 실시하여 문제점을 개선할 계획이다. 이 외에도 정보주체 권리 요구별 절차서 보급, 교육 강 화, Q&A 자료집 발간할 계획이다. 환경부. 개요 환경부는 개인정보의 적법한 수집 및 이용, 안전 한 관리, 파기 등 개인정보 보호법 상의 주요내용 을 준수하기 위하여 노력을 하고 있다. 법령의 주요 내용 홍보, 정보시스템상의 주요정보 암호화 등 기술 적 보호조치 수행, 개인정보 침해사고 대응 및 복구지 침 제정 등 관리체계를 정비하였다. 앞으로 컨설팅을 통해 환경부의 관리체계를 효율적으로 구축하고, 지 능화, 고도화되는 침해사고 및 강화되는 법적인 규 제 등 환경변화에 대응할 수 있도록 주민등록번호의 수집 이용 최소화를 위해 금 강수계 물관리 및 주민지원 등에 관한 법률 시행규 칙 등 22개 법령의 232종 서식에서 주민등록번호 를 생년월일로 대체하도록 개정하였다. 그리고 개 인정보 유 노출 등 개인정보 침해사고에 대비하여 환경부 개인정보 침해사고 대응 및 복구지침 을 제정하고 담당자 교육을 실시하였다. 나. 개인정보파일 일제정비 및 개인정보 관리실태점검 환경부 본부 및 소속기관, 산하기관에서 수집 운영하고 있는 개인정보파일에 대한 전수조사를 실 시하여 미등록된 파일 등록, 기등록된 파일 중 미비 한 항목을 보완하고 불필요한 파일은 파기하는 등 일제정비를 실시하였다. 또한, 직원의 업무용 PC 내 개인정보 보유실태를 상 하반기에 두 차례 점검하 고, 불필요한 개인정보 파일을 삭제하였다. 다. 정보시스템 안전성 확보조치 시행 환경부에서 운영 중인 웹 사이트를 대상으로 공 공 I-PIN 적용실태를 점검하고 보완조치를 하여 이 용자의 선택권과 편의성을 확대하였다. 또한, 홈페 이지점검 보안서버를 적용하여 네트워크 전송구간 에서의 개인정보의 유 노출을 사전 차단하였다. 그리고 웹 사이트에 노출된 개인정보를 자동으로

195 203 연차보고서 8 진단할 수 있는 장비를 도입하여 취약점을 진단하 고 보완하여 업무의 효율성 향상 및 보안사고 예방 기능을 강화하였다. 한편, 저장매체 상에 기록된 데 이터를 영구 삭제하는 장비를 도입하여 정보시스템 저장매체 불용 시 업무정보와 개인정보가 외부로 유 노출되지 않도록 차단하였다. 3. 향후계획 203년에는 소관법령과 개인정보 내부관리계 획, 개인정보 처리방침 등도 개인정보 업무처리 프 로세스에 맞게 현행화를 추진하는 한편, 개인정보 보호 실무협의회 및 워크숍 등을 활용하여 개인정 보보호 업무 관련 정보의 공유를 활성화하고, 개인 정보 침해사고에 대비한 기관 간 대응체계를 재정 비하여 침해사고로 인한 피해를 최소화하는데 지속 적으로 노력할 계획이다. 이 외에도 전 직원의 개인정보파일 수집 이용 실 태를 조사하여 불필요한 파일은 삭제 조치하고, 저장 된 파일은 암호화하는 등 안전성을 보강할 계획이다. 아울러, 직원을 대상으로 와 관련된 주 요내용을 책자 및 뉴스레터 형태로 제작 배포, 홈페 이지 공지 등 지속적인 홍보를 통하여 실천문화 확산 노력을 계속해 나갈 것이다. 국토교통부. 개요 국토교통부(당시 국토해양부)는 개인정보의 수 집 유출 오용 남용으로부터 사생활의 비밀 등 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 년 환경부 추진실적 분야 사업명 추진계획 추진실적 4 해외동향 정책 및 제도 개선 법령 등 개선 추진체계 정비 법령 등 개선 - 수집 서식 등 점검 정비 업무협의회 구성 조직 인력체계 구축 법령 및 서식 일괄정비(, 7월) - 고유식별정보 수집근거 및 수집 이용 최소화 개인정보 보호지침 및 개인정보 내부관리 계획 수립(2월) 유관기관 등과의 협업체계 구축 - 실무협의회 구성 운영(7월) 전문인력 확보(7월) 시스템 운영 개인정보 처리실태 점검 침해 예방 대책 수 립 민 관 개인정보파일 실태조사 - 개인정보 컨설팅, 영향평가 등 개인정보 유 노출 모니터링 주민등록번호 수집 이용 제도 개선 개인정보파일 보유실태점검(9월) 개인 PC 내 개인정보 보유실태점검(6월) 불법유출 개인정보 이용실태 조사 개인정보 유 노출 모니터링 강화 주민등록번호 대체수단(I-PIN) 활용점검 및 보완(4월) 고유식별정보, 비밀번호, 바이오정보에 대한 암호화 등 안전조치(~2월) 부 록 정보주체 권리보장 정보주체 권리보장 온라인을 통한 개인정보 수집시 정보주체의 권리에 대한 공지 페이지 제공 (8월) 교육 홍보 전문성 강화 담당자 교육 강화 담당자 대상으로 교육(8, 0월) 전 직원대상 개인정보 및 정보보안 교육 실시(6월) 홍보강화 실천문화 확산 업무포털에 개인정보법 주요내용 을 제공해 의 중요성 홍보

196 제3장 행정부 82 을 보호함으로써 국민의 권리와 이익 증진에 기여 하고 개인의 존엄과 가치를 구현하기 위해 매년 개 인정보보호 시행계획을 수립 시행하고 있다. 이에 202년 시행계획을 수립 시행한 내용은 국토교통 부 관련 법령 정비, 보안관제센터 운 영, 전 직원 교육 등 체 계 정립 제도 안정화에 기여하였다. 2. 추진실적 가. 정책 및 제도 개선 국토교통부는 202년에 세부지침 을 마련하고, 관리계획과 개인정보 처리방침을 제 정 시행하였다. 또한, 개인정보 보호법 제 23조 및 제 24조에 따라 공공기관이 개인의 민간정보 및 고유식별정보 를 처리하기 위해서는 개인의 동의나 법령상 근거 가 필요한 바, 법령상 근거가 미비했던 부동산투 자회사법 시행령, 건설기계관리법 시행령 등 7개 시행령에 대해 주민등록번호 등이 포함된 자료 근거 마련을 위해 개정하였다. 이외에도 정보보안 담당자 인이 업무를 겸직하고 있어 업무의 전문성과 효율성에 어려움이 있어 업무 분 장을 구체적으로 명확히 하기 위해 노력하였다. 나. 시스템 운영 202년 3월부터 8개월간 국토교통부 소속 산하 기관(5개 기관)을 방문하여 개인정보파일 현황, 처 리 및 이용 실태 등을 파악하는 한편, 관리적 기술 적 물리적 보호조치 등 관리체계 상의 문제점도 점 검하여 이후 미흡한 부분은 보완토록 조치하였다. 국토교통부의 대국민 서비스가 증가하여 국토 교통 관련 웹 사이트가 지속적으로 신설되고 있으 나, 관리 소홀이나 직원 부주의 등으로 웹 사이트에 개인정보 노출이 근절되지 않아 보안사고 발생이 우려되었다. 이에 국토교통 사이버안전센터에서는 본부 및 소속 산하기관의 웹 사이트(총 2개 사이 트)를 대상으로 개인정보(주민등록번호) 노출 점검 을 24시간 실시하고 노출 발견 시 각 기관에 신속히 알려 조치하였다. 표 년 국토교통부 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 관련법령 개정 총 7개 법령에 주민등록번호 수집 근거 마련 국토교통부 개인정보 세부지침 전부개정, 개인정보 내부관리계획, 처리방침 제정 시행 시스템 운영 침해 예방 대책 수립 안전성 확보 조치 보안관제센터운영 개인정보 암호화 회원정보 개인정보 노출 사전 차단 점검 항만운영정보시스템 개인정보 암호화 적용 홈페이지에서 회원제 폐지 및 회원정보 삭제 교육 홍보 전문성 강화 교육 및 홍보 책임자, 담당자 및 전 직원 대상 분야별 교육 실시

197 203 연차보고서 83 다. 교육 홍보 해 노력할 계획이다. 가 포함된 최신 정보보안동향의 공 유 등을 위해 국토교통 정보화 책임관 협의회 를 구 성 운영하였다. 이와는 별도로 3월에는 개인정보 보호 제도 변경 사항 공유와 에 대한 인식 제고를 위해 전 직원 대상으로 교육을 실시하 였으며 각 소속기관에서도 자체교육을 실시하여 총 7개 기관에서 55,337명이 교육을 이수하였다. 하지 만 업무담당자의 잦은 변경과 타 업 무와의 겸직에 따른 업무 전문성이 낮은 문제점이 있어 전담인력 확보가 과제로 남아 있다. 3. 향후계획 203년에는 정부 조직개편 내용을 반영하여 개 인정보보호 세부지침, 관리계획 및 처리방침을 정 비하고 소속 산하기관의 개인정보파일 및 영상정 보처리기기의 현황 파악을 통해 각 기관에 알맞은 관리계획을 정비토록하고 실태조사 를 통해 개인정보 처리의 안전성을 확보하는 등 제 도의 안정화를 추진할 것이다. 더불어 와 관련된 실무현안 및 공 동대응 방안 모색을 위해 국토교통 정보화책임관 협의회를 매년 회 이상 개최하여 정책추진현황 및 우수사례 발표하고 발전방안에 대한 분임토의를 진행할 것이다. 또한, 개인정보 유출 예방, 영향평가 실시계획 수 립, 개인정보 통합관리체계 구축을 위한 컨설팅 추 진등을 통해 를 위한 문제점을 발굴하 고 개선하기 위해 노력할 것이며, 담 당자 책임자 교육과 위반 사례 등의 정보를 공유하는 등 인식 제고를 위 여성가족부. 개요 여성가족부는 202년 시행계획 을 세워 기준을 정비하고 각 분야별 제 도적 기술적 보호대책을 수립하여 추진하였다. 이 를 토대로 본부 및 산하기관에 대한 실태점검 을 하였으며 인식제고 및 실천문화 확산을 위한 직원별 맞춤교육 실시와 온 오프라인 홍보를 실시하여 사각 지대 최소화를 위한 노력을 기울이고 있다. 2. 추진실적 가. 정책 및 제도 개선 여성가족부는 소관하고 있는 24개 법령에 대해 개 인정보 수집 처리 와 관련한 개정 검토를 실시하여 아이돌봄지원법 에 고유식별정보 처리의 근거를 마련하고, 여성발전기본법 시행령 을 비롯한 4개 시행령의 2개 서식에 대해 주민등록번호 요구서식 을 생년월일 요구서식으로 전환하였다. 또한, 여성가 족부가 수집 및 보유하는 개인정보에 대한 체계적인 관리 보호를 위해 내부관리계획을 수립하였고 개인정보의 처리단계별 관리 요령, 개인 정보 침해사고 대응체계 등을 명시한 여성가족부 개 인정보 보호지침 을 제정 시행하였다. 나. 시스템 운영 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

198 제3장 행정부 84 여성가족부와 산하기관이 보유한 개인정보파일 에 대하여 개인정보파일의 운영근거, 보유기간 및 수집항목 등을 검토 개선하고, 담당자 현행화 등 일제정비를 실시하였다. 개인정보를 처리하는 웹 사이트 5개의 보다 효율적인 및 관 리를 위해 개인정보 사전차단 시스템 및 개인정보 노출 모니터링 시스템 을 구축 운영하였으며, 개 인정보 유 노출에 대한 모니터링을 강화하기 위해 주 회 구글 검색을 실시하여 문제점이 발견되는 즉 시 신속하게 조치하였다. 또한, 개인정보의 안전성 확보조치 기준에 따라 e새일시스템 및 아이돌보미 웹 사이트 의 개인정보를 암호화하였다. 특히, 대규 모 개인정보를 처리하는 위민넷, 성범죄자알림e, 청소년활동통합관리시스템, e새일시스템 등 4개 웹 사이트에 대해 개인정보 영향평가를 실시하여 개인정보 침해요인을 사전에 도출, 개선하여 개인 정보 안전성을 높였다. 자의 전문성을 제고하기 위해 담당자 대상 교육을 연중 총 6회 실시하였고, 전 직원을 대상으로 하는 교육을 연 2회 실시하는 등 에 대한 기 관 전체의 공감대 형성 및 인식의 저변 확대를 위해 노력하였다. 또한, 개인정보 오 남용 피해방지 0 계명 을 웹 사이트에 게시하여 정보주체 스스로가 개인정보를 지킬 수 있도록 하였다. 라. 산하기관 실태점검 안전행정부의 실태점검에 준하여 여성가족부 3개 산하기관에 대해 관리 체계, 기술적 보호조치 등의 분야별 체크리스트(점검 항목)를 활용하여 실태점검을 실시하고 점검결과가 미흡한 분야에 대해서는 개선 보완하도록 하였다. 3. 향후계획 다. 교육 및 홍보 강화 개인정보를 실제로 처리하는 개인정보 업무담당 여성가족부는 강화를 통한 대국민 신뢰성을 제고하기 위해 204년 시 행계획 을 수립하여 분야별로 실천하고 소관 법령 표 년 여성가족부 추진실적 분야 사업명 추진계획 추진실적 개인정보 처리실태점검 수집 서식 정비 개인정보파일 정비 유 노출 모니터링 강화 법령에서 운영하고 있는 서식 정비(월) 개인정보파일 실태조사 및 정비(8월) 개인정보 유 노출 모니터링 강화(주회) 시스템 운영 침해 예방 대책 수립 시스템 자체점검 암호화솔루션 도입 개인정보영향평가 개인정보 처리시스템 자체점검 실시(3월) 개인정보 암호화 솔루션 도입(2월) 시스템(5종) 개인정보영향평가 실시(7월) 정보주체 권리보장 개인정보 처리방침에 정보주체 권리항목 반영 개인정보 처리방침에 정보주체 권리를 반영하여 웹 사이트에 공개(2월) 교육 홍보 교육 및 전문성 강화 교육 담당자 교육 교육(2회) 개인정보 처리담당자 교육(6회) 홍보강화 개인정보취급자 대상 캠페인 실시 개인정보취급자 대상 캠페인 실시(연중)

199 203 연차보고서 85 뿐만 아니라 개인정보를 수집하는 행정규칙 서식에 대해서도 관련법령에 부합하도록 지속적으로 정비 해 나갈 것이다. 특히 정책을 일관성 있고 체계적으로 추진하기 위해 204년에 개인정 보보호 중장기 계획 을 마련할 예정이다. 국세청. 개요 국세청은 국세의 부과, 징수 및 환급 등 법령에서 정한 소관 업무의 수행을 위하여 납세자의 신고, 납 부자료 등 개인정보를 처리하고 있으며, 수집된 개 인정보를 활용하여 납세자가 편리하게 신고 납부 할 수 있도록 홈택스, 현금영수증, 연말정산간소화 등의 각종 인터넷 대민서비스를 제공하고 있다. 국세청은 를 위한 시행계획을 매년 수립 시행하고 있으며, 이에 따라 고유식별정보와 민감정보 처리근거 법령 마련, 해킹 등 각종 사이버 공 격으로부터 개인정보를 안전하게 보호하기 위해 개인 정보 처리실태점검을 통한 개인정보 수집이 불필요한 서식 정비, 홈택스 현금영수증 등 대민서비스 회원 가입 시 공공 I-PIN과 같은 주민등록번호 대체 수단 도 입 등 다양한 대책을 추진하고 있다. 2. 추진실적 가. 세법에 고유식별정보 등 처리근거 마련 개인정보 보호법 에 부합되도록 202년 월 국세기본법 시행령 과 과세자료 제출 및 관리 에 관한 법률 시행령 을 개정하여 건강정보 등 민 감정보와 고유식별정보 처리근거를 마련하였으며, 국세청 훈령인 조사사무처리규정 등을 개정하여 불 필요한 주민등록번호 수집을 지양하고 각종 서식에 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 년 국세청 추진실적 4 해외동향 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 추진체계 정비 고유식별정보 등 처리근거 마련 소관 훈령의 서식 점검 정비 조직 인력체계 구축 국세기본법 시행령 및 과세자료의 제출 및 관리에 관한 법률 시행령 에 고유식별정보와 민감정보 처리근거 마련(월) 업무규정 5종에 주민등록번호를 생년월일로 전환 차세대 국세행정 시스템 추진단에 정보보안 전담인력 2명을 배치(2월) 인력 인 충원 : 사이버 보안담당(8월) 부 록 시스템 운영 개인정보 처리실태점검 침해 예방 대책 수립 개인정보파일 등록 실태점검 및 개선 유 노출 모니터링 강화 주민등록번호 수집 이용 제도 개선(대체수단 활용) 개인정보파일 등록현황 정비(4월) 외부용역업체 보안관리 실태점검(총 4회) 홈택스 등 대민서비스에 주민등록번호 등 개인정보 유 노출 여부를 수시 점검 각종 홈페이지에 공공 I-PIN, 공인인증서 등 주민등록번호 대체수단 도입 (3월) 정보주체 권리보장 정보주체 권리보장 홈페이지 등에 개인정보 열람 정정 삭제 처리정지 등 정보주체 권리보장 내용안내(3월) 교육 홍보 전문성 강화 담당자 교육 교육 계획 수립(2월) 및 교육 실시(9월) - 전 직원 순회교육(9월) 및 온라인 평가(월) 홍보강화 홍보 실시 대민서비스 홈페이지에 홍보 동영상 게시(8월)

200 제3장 행정부 86 생년월일을 기재하도록 개선하였다. 또한, 한 페 루 등 조세조약에 개인정보에 대한 비밀유지 조항 을 포함하는 등 국제 수준에 부합하는 개인정보보 호 체계로 관련 규정을 정비하고 있다. 나. 조직 인력 확충 최근에 만연하고 있는 신종사기 수법인 파밍, 피 싱 등의 공격으로부터 정보시스템을 보호하고 개인 정보 탈취에 대비하기 위하여 백신시스템, 방화벽, 침입탐지시스템 등 각종 보안장비를 설치 운영하 고 있다. 또한, 국세청 사이버안전센터에서 24시간 365일 소관 정보시스템을 모니터링 하고 있고, 205 년 개통을 목표로 진행 중인 차세대 국세행정시스 템 에도 정보보호 전담인력 2명을 배치하여 개인정 보 영향평가 실시 등 및 시스템 보안 을 강화하도록 하고 있다. 개인정보 유출사고를 예방하기 위한 선제적 노 력의 일환으로 교육 계획을 수립하여 전 직원을 대상으로 업무담당자별 맞춤식 교육을 실시하였다. 그 내용은 개인정보시스템 운영자는 외부 교육기관 및 안전행정부 주관 전문교육에 참 여했으며, 책임자 담당자는 국세청 본청 주관의 순회교육에 참여토록 하였다. 이와 별 도로 국세공무원 교육원 교과과정 편성 시 반드시 과정을 편성토록 하여 연중 상시 교 육을 하고 있으며, 교육 효과를 높이기 위하여 전 직 원을 대상으로 온라인 보안평가를 실시하고 있다. 개인정보 관련 홍보를 강화하기 위해 국세청 홈 페이지, 홈택스 등 인터넷 대민사이트에 개인정보 보호 관련 동영상 등 홍보물을 게시하고 있으며, 연 말정산 교육, 세법 상담교실 등 납세자를 대상으로 한 교육시간에 항목을 포함해 홍보를 강화하였다. 다. 시스템 운영 3. 향후계획 개인정보파일 등록내용을 점검하여 미등록 파일 을 등록(7개 9개)하여 종합지원 포털 에 공개하였다. 외부용역 직원을 통한 개인정 보 유출을 방지하기 위해 보안관리 실태를 점검하 여 보안 미비점을 지속적으로 개선하고 있다. 또한, 홈페이지의 개인정보 처리방침에 개인정 보 열람 정정 삭제 처리정지 등 정보주체 권리 보장 내용을 포함시켜 공개하고 있으며, 각종 홈페 이지에 공공I-PIN, 공인인증서 등을 사용하여 주민 등록번호를 대체토록 하는 등 에 최선 을 다하고 있다. 라. 교육 홍보 국세청은 최근 지능화 대량화되고 있는 사이버 공격 등 보안 침해사고를 예방하기 위하여 국세청 사 이버안전센터 요원을 202년의 6명에서 203년에는 8명으로 증원하여 모니터링을 강화하고, 외부전문가 에 의한 보안취약점 컨설팅을 실시하여 정보시스템 의 취약점을 지속적으로 개선할 예정이다. 이와 더불 어 방화벽 등 보안시스템의 개선에도 노력할 것이다. 한편, 시스템 보안만으로는 개인정보 유출 및 오 남용을 완벽하게 방지할 수 없으므로 보안의식 강화를 위한 노력을 계속 할 것이다. 이에 따라 모든 직원을 대상으로 지속적인 보안교육 실시와 교육 효 과를 높이기 위한 온라인 평가를 매 분기마다 실시 할 계획이며, 외부 용역사 직원 보안강화를 위한 보안교

201 203 연차보고서 87 육 및 보안실태점검도 주기적으로 시행 할 예정이다. 또한, 현재 업무망과 인터넷망 PC 간의 자료전송 의 수단으로 보안USB를 사용하고 있으나, USB 사 용에 따른 악성코드 감염 위험성을 원천적으로 제 거하기 위하여 203년 2월 업무망 인터넷망 PC 간 자료전송시스템 을 구축 완료하여 본청부터 시범운 영 한 후 일선 세무서로 확대 운영 할 예정이다. 마지막으로 개인정보 유출통지제도, 개인정보 열 람청구 정정 삭제 처리정지 등을 반영한 국세 청 세부지침 을 마련하여 정보주체의 실질적인 권리 보장이 될 수 있도록 하는 등 개인정 보보호 활동을 지속적으로 실천해 나갈 계획이다. 관세청. 개요 관세청은 수출입 통관 및 자유무역협정(FTA : Free Trade Agreement), 종합인증 우수업체(AEO : Authorized Economic Operator), 개인용품통관, 관 세의 분석 분류, 과세의 징수 및 환급 등 통관과 관 세행정업무를 수행함에 있어 의 안정 된 운영을 위해 관리적 기술적 물리적 보안조치 등을 202년에도 시행하였다. 주요 현황 2 정책실적 및 성과 표 년 관세청 추진실적 분야 사업명 추진계획 추진실적 3 기관별 실적 및 계획 정책 및 제도 개선 법령 등 개선 추진체계 정비 관련 법령 등 개선 협의체 구성 운영 비상연락체계 확립 전담조직(팀) 구성 관세법 등 6개 소관법령 및 지침 정비 - 개인정보 처리방침 재정비 - 영상정보처리기기 운영방침 제정 협의체 구성 유관부처와의 비상연락체계 확립 관련 자격증 소지 인력 2명 배치 4 해외동향 개인정보 처리실태점검 개인정보 수집 서식 점검 정비 개인정보파일 실태조사 주민등록번호 수집 서식 개정 - 개인정보파일(205개) 정비 및 등록 - PC내 개인정보 점검 - 미흡사항(5건) 시정조치 시스템 운영 침해 예방 대책 수립 시스템 고도화 사이버 대응 지능형 모의훈련 장비 도입 - PC 비정상 행위 모니터링 관제 - 네트워크 및 PC 취약점 관리 도구 도입 부 록 정보주체 권리보장 정보주체 자기정보 권리 강화 정보주체 자기정보 열람 시 신속한 처리 교육 홍보 인력확충 및 전문성 강화 홍보강화 담당자 및 전 직원 교육 강화 내부직원 대상 홍보 강화 담당자 교육 이수(47시간) 일반직원 교육이수(5,96회,.회/인) 관세국경관리연수원에 교육 프로그램 개설운영 (4개 과정) 의 날 지정 : 매월 셋째 수요일 - 사이버보안 진단의 날 과 연계 지식경영포털에 수칙 공지 공문서 상단에 홍보문구 삽입 등

202 제3장 행정부 추진실적 가. 개인정보 유출 방지를 위한 침해 예방 대책 수립 및 고도화 관세청은 PC에 저장된 개인정보 등 중요정보 유 출방지를 위해 구축한 통합보안서비스시스템의 고 도화 및 정착화 등을 추진하고 있다. 202년에는 차 세대 지능형 보안서비스 인프라 조성, 보안서비스 환경 검증 및 분석 시스템 도입 등 를 위한 시스템의 점검 및 보강 사업을 수행하였다. 또 한, 사용자 PC 취약점 점검 시스템을 도입하여 개인 PC의 보안 상태 통합 관리가 가능하게 되었다. 호 관련 정보의 공유 및 업무 효율성을 제고할 계획이 다. 또한, 전문자격을 갖춘 인력 확보를 통한 전문성 강화, 개인정보 노출 모니터링 시스템의 성능개선, 개인정보 처리시스템 위탁운영 사업자에 대한 관리와 감독 강화 등을 추진하고자 한다. 더 나아가 205년 까지는 현 시스템을 전면 개편 하는 4세대 국가관세종합정보망 시스템 구축시에 는 전 영역에 대하여 개인정보 암호화, 접근제어 및 감사 등의 수행이 가능하도록 관련 시스템을 구축 할 계획이며, 관세국경관리연수원에 교육 프로그램을 개설하여 담당자 등의 교육을 확 대할 예정이다. 나. 개인정보 영향평가 수행 조달청 관세청은 개인정보 보호법 에 따른 개인정보 유출 방지를 위해 관세행정시스템에 대한 개인정보 보호 정책 조직 등 8개 분야에 대해 개인정보 영 향평가 수행기관으로부터 개인정보 영향평가를 진 행하였으며, 그 결과 개인정보 영향평가 기준 이행 율이 평균 93.%로 관리체계가 적절 히 수립 이행되고 있음을 평가 받았다. 이로 인해 개인정보 유출 사전 예방으로 신뢰받는 정보시스템 을 운영 할 수 있게 되었으며, 보완 사항에 대해서는 연차별 조치 계획을 수립 시행하여 침해사고 및 정보유출을 사전에 예방할 수 있도록 하였다. 3. 향후계획 관세청은 주민등록번호 등의 수집을 최소화하기 위해 행정규칙 서식을 개정할 계획이다. 관련 부처 및 전문기관과 협력체계를 구성 운영하여 개인정보보. 개요 조달청은 정부조달의 효율성과 투명성 제고를 위해 2002년부터 정부조달의 단일창구인 국가종합 전자조달시스템을 구축하여 운영 중에 있다. 공공 기관과 민간기업 간의 거래를 온라인으로 처리하는 시스템특성 상 거래상대자의 실명인증 등을 위해 많은 개인정보를 수집 관리하고 있으며, 민간 기 업의 정부조달 참여 편익 제공을 위해 조달업체 등 록정보에 대하여 자체 전자조달시스템을 운영하는 20개 기관에 시스템 연계를 통해 제공하고 있다. 이와 같은 환경에서 개인정보 보호법 이 시 행되어 조달청은 202년에 보유하고 있는 개인정보 에 대한 법적근거를 마련하고, 주민등록번호 등 고 유식별정보 암호화 적용 등 기술적 보호조치를 강 화하였다. 향후 개인정보 취급과 관련된 미비사항 의 주기적인 점검과 보완을 통하여 개인정보시스템

203 203 연차보고서 89 의 안정성을 강화할 계획이다. 2. 추진실적 가. 정책 및 제도 개선 국가를 당사자로 하는 계약에 관한 법률 시행 령 의 개인정보의 수집 제 3자 제공 근거 규정 마 련을 위해 202년 하반기부터 관련 시행령 일괄개 정을 추진하여 203년 월에 완료하였다. 또한, 전자조달 이용 및 촉진에 관한 법률 도 개정을 추 진하여 이를 203년 월에 완료하였다. 내부규정으 로 조달청 정보보안세부지침(훈령) 에 개인정보보 호책임자의 역할을 명확히 하였다. 각종 민원서식 및 개인정보 처리서식도 점검하여 불필요한 개인정 보 요구서식을 재정비하였다. 나. 시스템 운영 웹서비스용 소스 프로그램 분석 툴을 6월에 도입 하여 개발단계에서 위험 요소를 제거하고 있다. 또 한, 개인정보를 취급 관리하는 관리자 PC의 보안 성 강화를 위해, 업무망 PC의 접속통제 솔루션을 2 월부터 활용하고 있다. 이외에 웹 사이트 개인정보 노출 점검 및 필터링 솔루션, 고유식별정보(주민등 록번호, 외국인등록번호 등) 암호화 솔루션 등을 도 입하여 기술적 보호조치를 강화하였다. 3. 향후계획 203년에는 기 구축된 체계 및 보 호시스템의 안정화 및 고도화를 목표로 자체 개인 정보보호 세부지침을 제정 시행하고, 조달 관련 정보시스템과 연계되어 있는 유관기관과의 협력을 강화할 계획이다. 204년에는 의무화되는 개인정보 영향평가를 실 시하고, 이 결과를 토대로 미비점을 보완하여 각종 개인정보시스템의 보호 수준을 강화할 예정이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 년 조달청 추진실적 사업분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령개정 내부 지침 관련 법령개정 내부 관리지침 등 제정 고유식별정보의 처리 근거 마련 - 국가계약법 개정(~203..) - 전자조달법 개정(~203.3.) 개인정보 처리지침 마련(2월) 위탁운영 및 정보화 사업에 개인정보 관련 법 이행 항목명시(5월) 부 록 시스템 운영 교육 홍보 개인정보파일 개인정보파일 점검 및 등록 개인정보파일 등록 및 공개(2건) 고유식별정보 암호화 암호화 완료(3~9월) 솔루션 도입 개인정보파일 자동 검색 시스템 도입(월) 및 운영 전담조직 확보 조직 인력 보강 전담인력 소요정원 명 확보(2월)

204 제3장 행정부 90 통계청. 개요 통계청은 개인정보 보호법 체계에 맞추어 철저한 로 신뢰받는 통계행정 구현 의 비전을 가지고 통계청이 보유하는 개인정보를 보다 체계적이고 기술적으로 관리하기 위해 관련제도 정 비를 통한 체계 정립, 개인정보 침해 예방 및 대응 강화 그리고 정보보호 인프라 확충을 통한 기술적 보호조치 강화를 추진하고 있다. 2. 추진실적 가. 개인정보 수집 서식 등 점검 정비 각 부서의 개인정보 수집현황 및 관련 지침을 파 악하고 각종 개인정보 수집서식을 검토하기 위하여 각 부서별 담당자 회의를 실시(7월) 하였으며, 개인정보 보호법 이행실태점검을 위 하여 필수 조치사항에 대한 일제 자 체점검을 실시(7월)하였다. 나. 개인정보파일 실태조사 개인정보 관리실태 현황을 파악하기 위하여 모 든 정보시스템(PC, 서버 등)에 대한 개인정보 보유 현황 조사를 실시(5월)하였으며, 보다 체계적인 개 인정보 관리를 위해 각 부서별로 실 무 담당자를 지정하여 운영하고 있다. 표 년 통계청 추진실적 분야 사업명 추진계획 추진실적 법령 등 개선 개인정보 보호지침 제정 통계청 개인정보 보호지침 제정(예규 제 83호, ) 정책 및 제도 개선 추진체계 정비 비상연락 체계구축 전담인력 확보 유관기관 담당자 간의 협업체계 구축을 위한 개인정보침해 대응 체계도 작성(4월) 다양한 전담인력 확보를 위한 노력 시행 - 중기인력운영계획 수립 시 전담인력 반영(3월) - 자체 조직진단에 전담인력 충원 요청(4월) - 유동정원제 정원 증원 요구(8월) 등 시스템 운영 개인정보 처리 실태점검 침해 예방 대책 수립 개인정보관리 실태조사 업무서식 정비 등 개인정보 노출 모니터링 중요정보 암호화 개인정보 관리실태 현황조사(5월) 개인정보 수집현황 및 관련지침 파악(7월) - 서식검토를 위한 담당자 회의 등 사이버보안관제센터를 통한 모니터링 실시 - 개인정보 노출 스캐닝시스템 운영 점검 DB 암호화 등 물리적 기술적 조치완료(8월) 키보드 해킹방지 툴 도입 키보드해킹 방지 솔루션 도입(4월) 교육 홍보 전문성 강화 취급자 교육 정례화 개인정보취급자 등 전 직원 교육 실시(2, 9월) 개인정보책임자 및 담당자의 전문교육 등 개인정보책임자의 CPO 컨퍼런스 참석(5월) 담당자의 실무 교육이수(3월) 개인정보취급자 및 각 부서 담당자 교육 실시(6월) 홍보 강화 전 직원 대상 인식제고 개인정보 보호법 계도기간 종료 안내(3월)

205 203 연차보고서 9 다. 개인정보 유 노출 모니터링 강화 웹 사이트 상 개인정보 노출에 대한 모니터링을 강화하기 위하여 통계청 사이버보안관제센터를 통 한 개인정보 노출 스캐닝시스템 운영 및 일일점검 등 상시 모니터링을 실시하고 있으며 이에 대한 현 황 보고(매월)를 하고 있다. 라. 개인정보 처리 안전성 확보 또한, 직원의 PC내에 보관되어 있는 주민등록번호 등 고유식별정보의 안전성 확보를 위한 PC용 개인정 보관리 솔루션을 도입하여 관리자에 의한 중앙통제 를 통해 개인정보를 통합 관리하여 유출 사고에 대비 할 것이며, 홈페이지 등 대민서비스 게시판을 통한 개 인정보 유 노출의 사전 차단을 위한 웹 사이트 주민 등록번호 차단 시스템을 도입하여 웹 사이트를 통한 개인정보 유 노출을 원천 차단함으로써 개인정보 에 대한 관리적 물리적 보안을 강화할 것이다. 주요 현황 2 정책실적 및 성과 개인정보 관리대상 시스템(7개)에 대한 키보드 해킹 방지 솔루션을 도입(4월)하여 운영하고 있으 며, 모든 정보시스템의 고유식별정보, 비밀번호 등 중요정보 저장 시 암호화 적용을 완료(8월)하였다. 3.향후계획 203년에 통계법 에 따라 수집되는 개인정보 는 일반법인 개인정보 보호법 이 아닌 개별법인 통계법 의 적용을 따르고 있는데, 이는 통계가 국가는 물론 민간에서도 각종 의사결정을 하는데 기본적인 데이터로 활용되고 있는 공공재로서의 역 할을 수행하고 있고 경제 사회 발전의 기초가 되 고 있기 때문이며, 시의적절하고 정확한 통계의 작 성은 매우 중요하기 때문이다. 한편, 통계법 에 서의 에 대한 기준은 제 33조(비밀의 보호)와 제 34조(통계종사자의 의무)에 명시된 통 계작성 목적 외 사용금지 로서 와 통 계 활용가치와의 균형, 합리적 규제, 통계생산의 전 문성 등을 고려하여, 현재 통계자료의 비밀보호 를 위해 시행되고 있는 세부적인 내부 규정 및 지침에 대한 기준 근거를 상위 법령에 명시하기 위한 관련 법령의 개정 검토를 진행할 예정이다. 대검찰청. 개요 검찰은 범죄수사, 공소제기 및 유지 등의 업무를 위해 처리하고 있는 개인정보를 안전하게 보호 관 리하고 개인정보 유출을 예방하기 위하여 지속적으 로 노력하고 있다. 최근 급증하고 있는 APT공격 등 사이버 위협으로부터 검찰 정보시스템을 안전하게 보호하기 위하여 24시간 365일 보안관제 및 종합 분 석기능을 갖춘 사이버안전센터를 202년 구축 운 영하였다. 203년에는 전국 검찰청의 개인정보 관 리실태점검 및 개인정보 접근권한 관리를 재정비하 는 등 강화를 위해 노력할 계획이다. 2. 추진실적 가. 정책 및 제도 개선 체계 정립을 위하여 대검찰청 개 인정보보호 기본지침 및 대검찰청 개인정보 처리 방침, 대검찰청 영상정보처리기기 운영 관리지 3 기관별 실적 및 계획 4 해외동향 부 록

206 제3장 행정부 92 침 등 개인정보 관련 내부 지침을 정비하였다. 또 한, 개인정보 수집 서식에 동의 양식을 추가 하는 등 개인정보 수집 관련 양식을 개인정보 보호법 에 따라 변경하였다. 스템(KICS) 등 주요 검찰 정보시스템에서 보유하고 있는 개인정보의 침해를 사전에 예방하고, 침해 위 험요소를 점검하기 위한 개인정보 영향평가를 실시 하는 등 검찰 정보시스템의 안전성을 강화하였다. 나. 시스템 운영 3. 향후계획 검찰 홈페이지 내 개인정보 노출 방지를 위해 고 유식별정보에 대한 검색 및 자체 모니터링을 실시 하고 있으며, 사이버안전센터를 구축하여 24시간 보안 관제를 실시하고 있다. 또한, 형사사법정보시 업무용 PC에 보관하고 있는 주민등록번호 등 고 유식별정보를 암호화하여, 저장된 자료가 유출되더 라도 개인정보의 안전성 확보를 위한 조치를 추진 하고있다. 그리고 검찰업무의 개인정보 처리와 관 표 년 대검찰청 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 관련 법령 개선 내부 규정 정비 가이드라인 마련 대검찰청 기본지침 및 개인정보 처리방침 개정 시행계획 및 세부추진계획 수립 개인정보 수집 이용 제공시 정보주체의 동의획득 방법 전파 개인정보 취급업무 위탁 계약 관련 필수 조치사항 전파 추진 체계 전담인력 확충 대검찰청 전담직원 명 추가 개인정보 처리 실태점검 서식 점검 정비 개인정보파일 조사 청사 방문증 교부 시 개인정보 수집 동의서 등 서식 및 지침 개정 개인정보 처리시스템 사용현황 전수조사 실시 개인정보파일 보유현황 일제정비 실시(2회) 개인정보 관리 실태점검 및 관리수준 진단 등 시스템 운영 개인정보 유 노출 모니터링 강화 개인정보 영향평가 홈페이지에서 검색항목에 고유식별정보를 추가하여 모니터링 개인정보를 포함하고 있는 자료의 접근 권한 점검 및 강화 주요 검찰 정보시스템을 대상으로 개인정보 영향평가 실시 침해 예방 대책 안전성 확보 개인정보 처리 안전성 확보여부 현황 조사 업무용 PC(인터넷 PC 포함)에 필요한 예산 확보 형사사법정보시스템(KICS) 안전성 확보를 위한 조치 DNA 정보 암호화 등 신원확인정보 DB 시스템 고도화 추진 출입통제시스템 등 4종 시스템의 바이오정보, 고유식별정보의 암호화 영상정보처리기기 안내판 설치 및 개인영상정보 저장기간 설정(30일) 교육 홍보 전문성 강화 홍보 강화 교육 강화 홍보 강화 전 직원 대상 교육 연 2회 실시 담당자 및 관리자를 위한 맞춤형 집합교육(2회) 실시 책임자를 위한 맞춤형 교육 컨텐츠 활용 교육 실시 주요시스템의 개인정보 조회 화면에 경고 문구 게시 청사의 엘리베이터 및 안내판에 를 위해 꼭 지켜야할 사항에 대한 홍보물 부착 등

207 203 연차보고서 93 련한 구체적인 가이드라인이나 지침을 마련하고, 203년 실태점검 및 이행점검 결과를 반영하여 점 검 지표 및 평가방법의 개선을 추진해 나갈 것이다. 또한, 기술적 제도적 보호 조치를 통한 개인정보 보호 수준 향상, 감사 및 지적사항에 대한 사후관리 등의 업무를 전담할 조직 구성을 추 진하고자 한다. 204년에는 내부직원에 의한 중요 정보의 유출 을 사전에 탐지하고 예방하기 위해 종합적인 개인 정보 유출 예방 체계를 구축할 예정이다. 병무청. 개요 병무청은 개인정보 보호법 등 관련 규정에 따라 기술적 관리적 물리적 보호조치 등을 통하 여 처리하고 있는 개인정보를 완벽하게 보호하고자 노력하고 있다. 이를 위해 인터넷 구간 및 인터넷과 업무망의 중간 지점(DMZ)에 저장하는 주민등록번 호를 암호화 하고, 직원의 정보보호 의식 제고를 위 하여 정보보호 자가진단을 실시하였고 정기적인 개 인정보보호 교육을 시행하였다. 또한, 내부 훈령을 개정하고 본청과 전 소속기관을 대상으로 개인정보 보호 지도 점검도 실시하였다. 2. 추진실적 가. 202년 우수사례 공모전 우수상 수상 병무청은 2008년에 종합계획을 수 립하여 7개의 아젠다, 33개의 추진과제를 202년까 지 지속적으로 추진하였다. 특히, 주민등록번호 대 신 병무청 고유의 병적번호 제도를 도입하여 사용 하고, 기관 성과 평가항목에 분야를 반영하는 등 정보보호를 위한 전사적 노력을 하였 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 년 병무청 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법 체계 정비 내부 규정 정비 병역법 서식 정비 관련 규정 개정 시행규칙 서식 개정 : 42종 - 법령 개정 시 규정 반영 협 조요청(월) 규정 전부 개정(6월) - 병무행정정보 관리규정 개정 - 홈페이지 관리 운영규정 개정 부 록 시스템 운영 지도점검 지도 점검 개인정보파일 점검 처리 실태점검 및 결과의 성과 관리에 반영 개인정보파일 일제 정비(4~5월) 개인정보 모니터링 개인정보 모니터링 홈페이지 개인정보 모니터링 개인정보 DB 암호화 등 고유 식별정보 암호화 및 수집 최소화 방안강구 인터넷 및 DMZ 구간 DB 암호화 자료전송시스템 암호화 등 교육 홍보 교육 교육 강화 교육 강화(연 2회)

208 제3장 행정부 94 으며, 이러한 노력이 우수사례로 선정되는 등 관련 평가에서 우수상을 수상하였다. 나. 개인정보 유 노출 사고 Zero 化 달성 홈페이지의 민원서비스에 공인인증서를 적용하는 등 개인정보 노출을 사전에 차단하고, 본청 및 전 소속 기관의 망 분리 운영, 보안 USB 사용 강화, 워터마킹 도 입 등 인프라를 개선하였다. 그 결과 202년에는 개인정보의 유 노출이 발견되지 않았다. 다. 법령 및 내부 관리규정 정비 병역자료(개인정보)보호를 위한 제도적 장치를 마련하기 위하여 관련 법령과 규정을 참고하여 202년 6월에 병무청 훈령인 병무청 관리규정 을 개정하였다. 라. 대국민서비스 구간의 DB 암호화 병무행정 업무과정에서 수집한 개인정보를 저 장 관리 이용 시 개인정보취급자의 부주의한 실 수 또는 외부 공격자(해커)의 공격 등으로 개인정보 가 유출되었을 경우, 그 주요내용을 식별하여 사용 할 수 없도록 하기 위한 암호화 저장이 요구되어 대 국민서비스 영역의 메일서버와 개인정보 사전 차단 시스템 및 사후 모니터링시스템에 저장되는 주민등 록번호를 암호화하였다. 토리지를 경유하는 정보화 업무환경을 구축하였다. 이는 공유 스토리지와 연계 서버 간 광채널을 이용하 여 자료를 전송함으로써 빠른 속도와 대용량 파일의 전송도 보장하게 되었다. 또한, 사용자 전송 이용 화 면을 메일함 형태로 구성함으로써 간편하고 편리하 게 하였으며, 사용자 본인 확인 방법도 인증서를 등록 하여 사용하게 함으로써 안전성도 함께 확보하였다. 3. 향후계획 병역법 시행규칙 및 내부 규정에 의해 관리되는 서식 또는 명부에 대한 전수조사를 실시하여 주민 등록번호 사용 현황을 관리하고, 보유기간을 규정 에 반영하는 등의 정비 작업을 지속적으로 추진할 계획이다. 또한, 에 관한 처리 실태를 성과지 표로 선정한 후 전 부서 공통지표로 관리하여 모든 직원의 관심을 제고하고, 정보보호 자가진단 및 지 속적인 교육을 통하여 역량을 강화하 였다. 그리고 홈페이지에 게시되는 개인정보에 대 한 사전차단 및 사후 모니터링 및 업무망에 대한 개 인정보 영향평가를 실시하여 개인정보에 대한 침해 위험요인을 분석하여 개선사항을 도출, 필요 시 주 민등록번호 및 여권번호에 대한 암호화를 추진하는 등 를 위해 최선을 다할 계획이다. 방위사업청 마. 망간 PC 자료전송 시스템 구축. 개요 병무청은 물리적 망분리 원칙을 고수하면서 편리 한 자료전송체계를 구축하기 위하여 중간에 공유 스 방위사업청에서는 20년 9월 시행된 개인정 보 보호법 에 준하여 방위력 개선사업 수행 중 획

209 203 연차보고서 95 득하게 되는 개인정보를 효과적으로 보호하기 위해 노력하고 있다. 방위사업청은 방산업체 등 일반국 민의 개인정보 규정 및 제도 개선, 시 스템 운영, 교육 홍보 등 세 가지 측 면에서 관리하고 있으며, 각 부문의 업무가 유기적 으로 이루어지도록 하였다. 2. 추진 성과 가. 개인정보 관련사항을 청 정보화 규정에 상세 반영 방위사업청은 202년 정보화 업무 처리규정 제정 시, 종전 관련규정에 단일조항으로 일부만 포함되어 있던 개인정보 관련 사항을 독립된 장 에서 구체적으 로 기술하였다. 특히 개인정보취급자의 임무 및 처리 에 관한 사항을 자세히 설명하는 등 8개 조항으로 확 대하였다. 또한, 개인정보의 기술적 보안대책을 명시 함으로써 의 실효성을 강화하였다. 나. 개인정보 처리실태 등 점검 개인정보 수집 저장 등의 현황조사를 통해 출연 기관 관련시스템에 있는 주민등록번호를 과학기술 인등록번호 로 대체했다. 방위사업청의 개인정보파 일에 관해 반기 회 실태조사를 실시하였고, 보유기 간 경과, 처리목적 달성 등으로 불필요한 개인정보 파일 7건을 파기했다. 20년과 비교하여 202년에 보유자료 내용이 현저하게 바뀐 개인정보 파일은 수 시로 수정하였으며, 개인정보 유 노출여부 모니터 링을 지속적으로 실시하는 등 대민 서비스 체계에 대한 개인정보 유출을 효율적으로 차단했다. 다. 유관부서 등과 협조 체계구축 청 내 보안부서와 협의체를 구성하여 3월, 6월, 9 월 총3회에 걸쳐 현황에 관해 점검하 였다. 출연기관과는 8월에 각 기관별 개인정보 파일 에 개인정보 영향평가 및 관련 규정 준수에 관한 의 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 년 방위사업청 추진실적 분야 사업명 추진계획 추진실적 계획수립 및 제도개선 법령 등 개선 추진체계 정비 부분 구체화 - 관련 법령을 반영한 청 업무 절차 명시 소관부서와 관련 협의체 구성 추진 등 - 일반 보안감사와 병행 실시 새 정보화규정에 상세 반영 - 개인정보부문을 독립된 장 으로 기술( ) 청내 보안부서와 함께 연 3회 현황 파악 - 출연기관과 개인정보법령 준수 방안 등 토의(8월) 부 록 시스템 운영 개인정보 처리실태 점검 반기회 개인정보파일 실태점검 등 - 개인정보 유출 현황 파악 포함 불필요한 개인정보파일 정리(7건) - 개인정보파일 수정(보유자료변경) - 개인정보 유 노출 모니터링 실시 (수시) 침해 예방 대책 수립 개인정보취급 안전성 확보 보유중인 개인정보파일에 대한 암호화(주민,비밀번호)조치 완료 - 국방전자조달 등 3개 파일 정보주체 권리보장 새 정보화규정에 개인정보 민원처리에 관한 절차 명시 개인정보파일 열람, 정정 등 절차 규정 - 관련근거에 따른 명시 교육 인력확충 및 전문성 강화 업무담당자 교육 강화 등 - 청 직원 정보화 교육 병행 부문 교육 등 - 청 사이버교육과정(,600명 수강) - 개인정보관리사 자격증 취득(2명)

210 제3장 행정부 96 견을 교환했다. 사. 교육 라. 고유식별번호 이용 최소화 추진 업무분야별 주민등록번호 수집 이용 제공 현 황 조사를 실시하였고 주민등록번호 처리근거가 명시적으로 존재하지 않는 사항 에 대해 안전행정 부와 협의하였다. 청 문서에 포함될 수 있는 주민등 록번호가 고유식별번호에 해당하는 것임을 각 부서 에 전파시켰으며, 입찰참가 신청서에 주민등록번호 를 대신하여 생년월일을 기입하도록 하는 등 고유 식별번호를 대체하는 수단 도입에 관해 본격적으로 검토하기 시작했다. 마. 개인정보 처리안전성 확보 방위사업청이 보유하고 있는 개인정보파일 중 국방전자조달 등 3개 시스템의 암호화 조치(주민등 록번호, 비밀번호)를 완료하였다. 자격 있는 업무처 리자에게만 접근권한을 부여했고 입 출력 및 수정 사항, 파일별 담당자별 데이터 접근내역 등의 로 그기록은 일정기간 보관토록 하였다. 바이러스 차 단, 침입방지 및 탐지 등을 활용해 해킹 등 불법적인 접근도 차단하였다. 책임자(CPO)는 안전행정부가 주 최하는 교육(CPO워크숍 등)에, 담당 자 및 취급자는 지방행정연수원이 주최하는 개인정 보 전문교육에 참석하는 등 관련자의 업무 전문성을 제고하기 위해 노력했다. 청 내 직원 의 인식 제고를 위한 노력을 병행한 결과, 202년에는 3개 사이버 교육과정에,600명이 수강하였다. 아. 전문인력 확보 202년에는 5급 공무원을 청 및 관 리 담당자로 지정하였고, 업무 관련자 2명은 개인정 보관리사(CPPG) 자격증을 취득하였다. 자. 202년 관리수준 진단 안전행정부에서 실시한 202년 공공기관의 개인 정보보호 관리수준 진단 결과, 방위사업청은 점을 획득하였다. 이 점수는 전체기관 평균 89.23점, 중앙부처 평균 94.66점을 상회하는 것이다. 특히 방 위사업청은 5년 연속 우수 기관으로 인정받았다. 바. 정보주체의 권리보장 3. 향후계획 개인정보 처리방침을 홈페이지에 명시했고 수시 로 최신화 하였다. 또한, 정보주체가 개인정보파일 을 열람하고 정정 삭제를 청구하고자 할 때의 절 차를 명시하였으며 권익 침해구제 방법과 개인정 보 민원접수 및 침해사항의 신고절차 를 안내했다. 방위사업청은 정보화 업무 처리 규정 중 개인정 보보호 부문의 202~203년 적용실태를 검토한 후 개정이 필요한 부분을 처리할 것이다. 직원이 업무 상 개인정보를 취급하는 경우 부당한 제 3자 제공 및 이용, 유출 등의 사례가 발생하지 않도록 사전에 차 단할 수 있는 시스템을 구축하기 위해 관련부처에

211 203 연차보고서 97 필요한 예산을 요청할 예정이다. 이 사업은 외부고객 또는 직원정보를 개인 PC에 저장하는 것을 제한하는 것을 포함하고 있다. 한국 인터넷진흥원 및 개인정보 보안업체와의 간담회를 연 2회 개최함으로써 에 관한 최신 동 향을 적절하게 파악하고자 한다. 위 업체들과의 회 의에서 민과 관의 수준 차이 및 통상 업무에서 차지하는 비중도 검토할 것이다. 지금까지는 외부고객의 에 초점을 맞추었는데 204년에는 직원정보보호에도 보다 관 심을 가질 것이다. 아울러 직원의 자기정보에 대한 청구사항을 명확히 해야 할 필요가 있다. 방위사업 청은 수기문서에 보관 중인 개인정보도 포함한 청 전체의 개인정보를 포괄하여 처리함으로써 개인정 보를 더욱 더 충실하게 보호할 예정이다. 경찰청. 개요 경찰청은 모범기관을 목표로 경찰 업무 특성을 고려한 소관 법령의 필요사안을 반영하 여 개정하고, 내부관리계획의 수립, 지속적인 현장점검과 이행실태 확인 등 안정적인 개 인정보보호 제도 정착을 위해 노력하였다. 그리고 국민의 개인정보침해 방지를 위해 개인정보 처리시 스템에 대한 접근권한을 최소화하는 등 개인정보 관 리체계를 강화하기 위해 지속적으로 노력하고 있다. 2. 추진실적 가. 민감정보 및 고유식별정보 처리근거 법령 일괄 개정 시행 경찰청은 치안업무 수행을 위해 민감정보 및 고 유식별정보 처리가 반드시 필요한 소관 법령을 일 괄 개정하여 시행하였고, 지방청별 개인정보 내부 관리계획을 수립하여 일관성 있는 추 진체계를 확립하였다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 년 경찰청 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 소관법령 일제정비 개인정보 처리방침 정비 4개 소관법령 일괄 시행(월) 개인정보 처리방침 정비(3월) 부 록 시스템 운영 개인정보 처리실태점검 침해 예방 대책 수립 개인정보파일 일제 정비 개인정보 유출 대응지침 수립 개인정보 수집서식 자율개선 개인정보 영향평가 실시 목적 달성 개인정보 파기(4월) 홈페이지 노출 개인정보 차단(상시) 개인정보 유출 대응체계 강화(7월) 주민등록번호 수집 서식 정비(9월) 영향평가 수행 및 보완(, 3, 8월) 정보주체 권리보장 온라인조회 접근제한 개선 개인정보 조회 관리감독 강화(0월) 교육 홍보 역량 강화 순회교육 개인정보 유출사고 대응방안 교육 권역별 순회교육 : 담당자(4~5월) 개인정보 유출 대응체계 강화(7월) 홍보 추진 홍보 위반사례 교육 및 인식제고(5월)

212 제3장 행정부 98 나. 개인정보파일 관리 및 처리실태 현장점검 국민의 개인정보는 꼭 필요한 경우에만 적법하 게 수집하고 안전하게 관리한다는 원칙에 따라 수 집 필요성과 보유기간의 적절성을 재검토하고 경찰 관서에 대한 현장점검을 통해 공통으로 수집중인 개인정보파일 표준화를 위해 지속적으로 노력하고 있으며, 보유기간 경과 및 필요치 않은 개인정보파 일을 파기하는 등 경찰청이 보유하는 개인정보를 최소화하기 위해 노력하고 있다. 다. 정보주체 권리보장 및 개인정보 침해 예방 개인정보 유출사고 대응지침을 수립하여 유출사 고에 대한 대응체계를 강화하였고, 경찰관서 홈페 이지 게시판에 개인정보(고유식별정보)가 등록되 는 경우 이를 실시간으로 감지하여 마스킹(Masking) 처리 및 경고문구로 알려주는 개인정보 노출 방지 시스템을 구축 운영하여 민원인 또는 관리자의 부 주의로 인한 노출사례가 없도록 노력하였다. 개인별 업무용PC에 저장된 개인정보파일의 검 색 일괄삭제 암호화 처리가 가능한 개인정보파 일관리 프로그램을 운영하여 업무 중 처리하는 국 민의 개인정보를 안전하게 관리하고 있다. 특히, 신 규 또는 확대 구축되는 개인정보 처리시스템에 대 해서는 영향평가를 실시하여 개인정보 안전성 확보 조치 기준에 따른 개인정보의 안전성을 강화하고 전산망을 통한 유출 방지를 위해 노력하였다. 라. 교육 홍보를 통한 인식 제고 위해 경찰교육기관(경찰교육원, 수사연수원 등)에 전문 과정을 운영하고 있고, 지방경 찰학교 교육과정에 교과목을 추가하 였으며 교육 홍보를 위한 자체 시스 템을 구축하여 직원들의 인식 제고와 실천문화 확산을 위해 힘쓰고 있다. 3. 향후계획 경찰청은 국민의 생활과 밀접하고 다양한 개인정 보를 관리하고 있으므로 온라인조회시스템 사용권 한 최소화와 일선 현장의 조회내역 확인 검증을 강 화하여 침해를 예방하고, 지속적인 현장점검과 개인 정보보호 관리수준 진단을 통해 도출되는 문제점을 분석 개선하여 개인정보 관리체계 정착 및 국민의 를 위해 지속적으로 노력할 것이다. 소방방재청. 개요 소방방재청은 개인정보의 안전한 관리와 국민의 개인정보에 대한 권리 보장을 위하여 기관에서 취 급하는 를 위한 관리적 기술적 보호 대책을 수립하였으며, 의 중요성을 인 식하여 개인정보 침해 예방, 교육 등 수준을 향상하기 위한 다양한 노력을 기울였다. 2. 추진실적 일선 현장 경찰관의 역량 강화를 가. 법령 및 행정서식 정비

213 203 연차보고서 99 소방방재청은 민원서식 및 행정서식에서 관행적 으로 불필요하게 수집하는 주민등록번호에 대하여 일제 조사를 실시한 결과, 20개 서식에서 주민등록 번호를 수집하는 것을 확인하였으며, 이중 주민등 록번호가 반드시 필요하지 않는 92개 서식(약 46%) 에서 주민등록번호를 삭제하여 개인정보의 오 남 용 및 유출 가능성을 최소화 하였다. 나. 개인정보파일 정비 및 의무사항 이행점검 운영 중인 개인정보파일 등록 정보의 적정성 확 인을 위해 연 2회 이상 개인정보파일 정비를 하였 다. 또한, 안전행정부의 점검표를 이용하여 개인정 보 취급 대상별로 주기적인 점검 및 현장 점검을 실 시하였으며, 그 결과 발견된 미비점에 대해서는 보 완 조치하여 수준을 향상시켰다. 다. 기술적 보호조치 강화 소방방재청은 기관 대표 홈페이지 및 업무용 PC 내 개인정보를 보호하기 위한 시스템 을 202년 6월에 도입 활용하고 있다. 그 결과 홈 페이지에는 주민등록번호 등 개인정보 등록이 차단 되어 있으며, 업무용PC에는 개인정보 유출 방지 및 유출 위험 등을 주기적으로 검사하고 있다. 아울러, 관계기관의 정보보호 기준에 따라 개인정보 처리시 스템에 대한 접근권한 관리, 개인정보 접속기록 분 석, 홈페이지 취약점 점검 활동을 주기적으로 수행 하여 개인정보를 취급하는 시스템의 안전한 관리를 위하여 만전을 기하고 있다. 라. 교육 홍보 강화 소방방재청은 202년에 전 직원 및 관련 실무자 를 대상으로 소집 교육을 5회를 실시하였으며, 기관 포털 시스템에 교육 및 홍보자료를 게시하여 개인정보를 취급할 경우 규 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 년 소방방재청 추진실적 4 해외동향 분야 사업명 추진계획 추진실적 추진체계 강화 실무 협의회 강화 인력 확충 추진 실무협의회 개최(3, 7월) 전담인력 충원요청(8월) 제도적 대책 법령 및 행정서식 정비 지침 보완 법령 정비 및 서식 개선 내부관리계획 보완 주민등록번호 수집 최소화 추진(5, 8월) - 행정서식 92종을 대상으로 추진 내부관리계획 개정(7월) 부 록 시스템 운영 개인정보파일 정비 등 기술적 보호조치 강화 개인정보파일 정비 개인정보파일 정비 실시(3, 9월) 의무사항 이행 점검 홈페이지 등의 체계 도입 및 개선 주민등록번호 대체수단 활성화 의무사항 자가점검 - 표준 점검표 활용 점검(3월), 자체점검(6월~) 홈페이지 시스템 도입(6월) 업무용PC 시스템 도입(6월) 홈페이지 담당자 대상 주민등록번호 대체 수단 활성화 교육 (0월) 전 직원, 담당자 등 교육 교육 홍보 교육 홍보 강화 관련 지침, FAQ 등 안내 자료 배포 전체 직원 대상 교육(3월) 개인정보 처리실무자 대상 교육(6월) 관련 자료 게시 및 안내

214 제3장 행정부 200 정을 준수하도록 안내하였다. 문화재청 3. 향후계획. 개요 소방방재청은 개인정보 보호법 의 계도기간 이 경과한 202년부터 수준 제고를 위해 많은 노력을 하였다. 203년에도 개인정보보 호제도의 정착과 개인정보 침해 예방을 위하여 관 리적 기술적 보호대책을 꾸준히 실행할 계획이다. 그 주요내용은 소방방재청의 소속기관 및 산하 기관의 향상을 위하여 방문 및 지도 활동, 건의사항 수렴, 를 위한 지원 등 이다. 이외에도 조직 및 인력 확대, 실 무자 및 직원의 교육 확대, 주민등록번호의 유 노 출 피해 최소화를 위한 대체 수단(I-PIN, 공인인증 서, 휴대폰 인증) 도입 확대, 개인정보 영향평가 등 을 추진할 계획이다. 문화재청은 문화재를 체계적으로 보존 관리하 여 국민들에게 좀 더 가까이 다가가기 위해 문화재 전문가 및 문화재 지킴이 등 문화재 업무 관계자의 다양한 개인정보를 수집 이용하고 있다. 이와 관련하여 문화재청 소관 현업기관이 많은 개인정보나 영상장치(CCTV)등을 처리 관리 운 용하고 있어, 이들 기관이 개인정보 보호법 을 준수 할 수 있도록 조치하고 있다. 관 련 자체 지침 등의 제 개정을 통해 문화재청 고객 들이 좀 더 안심하고 문화재 보존 및 관리 활동을 수 행함과 동시에 개인정보를 침해당하지 않도록 개인 정보보호업무를 강화해 나가고 있다. 표 년 문화재청 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 추진체계 정비 관련 지침 제 개정 조직 및 인력체계 정비 고도 보존 및 육성에 관한 특별법 시행령 등 소관법령의 서식정비(3월) 자체 관련 규정 정비 소관 개인정보 관련 조직 재정비 실무협의회 구성 운영 개인정보 처리 실태점검 개인정보 관리실태 현황조사 관련 업무서식 정비 개인정보 관리실태점검(7월) 미사용(유휴) 홈페이지 일제정비(3월) 개인정보 수집 서식에 대한 점검 시스템 운영 침해 예방 대책 수립 및 시행 법적 준수사항 점검 컨설팅 시스템 도입 및 운영 등 개인정보 보호법 등 법적의무 사항 준수 컨설팅 실시(2월) 공공 I-PIN 등 대체수단 도입 운영 개인정보 유 노출 방지시스템 도입 운영 정보주체 권리보장 정보주체 권리 보장 개인정보 처리방침에 개인정보 관련 열람청구, 정정 삭제 권 등의 보장 내용반영 교육 홍보 전문성 강화 및 교육 실시 담당자 교육 실시 중요성 및 이해 확산 담당자의 전문기관 교육 이수 실무담당자 대상 교육(2, 7월) 중요성 및 법 준수사항에 대한 전 직원 교육 실시(0월)

215 203 연차보고서 추진실적 다. 교육 실시 가. 정책 및 제도 개선 문화재청은 20년 개인정보 보호법 시행에 따라 고도 보존 및 육성에 관한 특별법 등 관련 법 시행령을 개정하였으며, 202년에는 개인정보보 호 관련 규정을 재정비하였다. 홈페이지 내의 개인 정보 처리방침도 현실에 맞게 개정하였으며, 소속 기관에서 운영하고 있는 영상처리장치(CCTV) 설치 운영규정도 변경된 내용을 토대로 각 소관기관의 현실을 반영하여 개정하였다. 아울러 각 기관 부서 별 담당자, 업무별 취급자를 재조사 하여 3개 기관 0명의 취급자를 현행화 하였으며, 문화재청이 보유하고 있는 개인정보 보유현황도 재 조사하였다. 나. 활동 및 시스템 운영 개인정보 유출사고 사전예방 및 보유 개인정보 의 안전한 관리를 위하여 개인정보 처리에 따른 필 수 사항 준수여부, 안전성 확보조치 여부, 영상정보 처리기기(CCTV)운영 실태 등을 점검하여 문제점을 개선하였다. 또한, 미사용중인 유휴 홈페이지는 일 제 정비하고, 개인정보 유 노출 방지시스템을 도 입하여 개인정보 노출여부를 상시 점검을 하고 있 다. 소관 6개 홈페이지에 공공 I-PIN을 설치하여 주 민등록번호를 대체하였다. 법적 의무사항 준수를 위하여 개인정보접속기록 보관시스템을 개발하여 현업에 적용하였고, 개인정보 데이터베이스 자료의 보안시스템도 구축하였다. 또한, 컨 설팅을 실시하여 취약점을 도출하였으며 이에대해 단계적인 조치 방안을 마련하여 추진하고 있다. 담당자는 전문성 강화를 위하여 전문 교육기관의 실무 역량과정 등의 교육을 이수하였다. 또한, 전 직원을 대상으로 개인 정보보호의 중요성 및 개인정보업무 처리 시 유의 사항, 위반 시 처벌 내용 등을 주지시키기 위한 교육 을 실시하였다. 3. 향후계획 문화재청은 의 체계적 관리 등 한 차원 높은 체계를 마련하기 위하여 개인정보 인증제도 을 도입하는 등 새로운 목표를 설정 추진할 계획이다. 203년에는 자체 기본지침을 제정 하는 등 관련 제도를 정비해 나가는 한편 소속 산 하기관도 관련 규정 등이 조속히 정 비될 수 있도록 지속적인 감독과 점검을 실시해 나 갈 계획이다. 아울러 담당자가 추진 체계 및 비상대응 체계의 실효성을 재점검, 개인정 보 담당자 간 협력체계 활성화, 교육확대, 개인정보 전담인력 확보 등을 추진할 예정이다. 농촌진흥청. 개요 농촌진흥청은 인터넷을 이용한 농업기술정보 서 비스 이용 고객이 확대됨에 따라 2004년부터 비밀번 호 암호화 저장, 네트워크 구간 암호화(SSL) 및 PC보 안관리 솔루션을 도입하여 내PC에 저장된 중요정보 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

216 제3장 행정부 202 를 암호화할 수 있는 기반구축을 200년에 완료하였 으며, 202년에 이들 시스템을 점검 보완하였다. 또한, 202년에는 연구 개발 성과의 사용 또는 출 원중인 직무발명의 사용과 관련하여 고유식별정보를 처리할 수 있는 근거 마련을 위해 농촌진흥법 시행 령 을 개정하였으며, 관련 훈령, 규칙, 지침 등에 포 함된 서식들 중 고유식별정보를 생년월일로 대체하 거나 삭제하고, 수집 이용 동의서 등을 개정하였다. 2. 추진실적 가. 훈령 지침 등 업무서식 및 관련지침 개정 농촌진흥사업 관련 훈령, 고시 등에 포함된 업무 서식 중에서 주민등록번호를 수집하는 서식 25개를 주민등록번호를 생년월일로 변경하였으며, 홈페이 지에는 정보주체 권리보장 내용 등이 포함된 개인 정보 처리방침, 영상정보처리기기 운영방침 을 게 재하고 공개하였다. 나. 시스템 운영 회원정보를 수집하는 20개 홈페이지 운영시스템 에는 관련 정보 암호화, 송신 정보 암호화(SSL), 공공 I-PIN 등을 점검 보완하여 개인정보의 보호를 한 층 강화하였다. 홈페이지를 통한 개인정보 유출사 고를 방지하기 위한 실시간 모니터링 시스템 정책 적용, 사이버안전센터 일일보고에 개인정보 침해점 표 년 농촌진흥청 추진실적 분야 사업명 추진계획 추진실적 자체 법령개선 각종 훈령, 고시,규칙 개정 소관 훈령 고시 규칙 개정(건) 정책 및 제도 개선 기준 정비 추진체계 정비 관련 지침 방침 개정보완 관련 자체협의회 구성 운영 정책 수립 개인정보 처리방침 작성 및 게시 영상정보처리기기 운영관리 방침작성 및 게시(4월) 책임관 및 담당자 지정 영상정보처리기기 관리책임자 및 담당자 지정 개인정보파일 등 실태점검 법령서식 및 민원서식 점검개선 개인정보파일 등 실태조사 개인정보수집 서식 등 점검 정비(25개 양식) 개인정보 처리실태점검(8월~) 시스템 운영 침해 예방 대책 수립 주민등록번호 수집 이용 제도 개선 개인정보 처리 안전성 확보 홈페이지 개인정보수집 동의 개선 주민등록번호를 생년월일 대체(25개 양식) 재해복구모의훈련에 개인정보 유출사고 포함 훈련 실시 개인정보 유 노출 모니터링 강화(상시) 취약점 수시점검 : 시스템, 통신구간 등 개발자의 운영 업무망 접근제한 홈페이지(4개)에 공공 I-PIN 활용 정보주체권리 보장 정보 주체 권리보장 개인정보 처리방침 에 열람청구권, 정정 삭제 등 권리보장 내용 포함 비회원 글쓰기 게시판에 개인정보수집 이용 동의 포함 등 교육 홍보 인력확충 및 전문성 강화 홍보강화 업무 담당자 교육 강화 홍보강화 사이버 교육 : 전 직원 전문가 초청 교육 : 담당자 등 사이버보안 및 개인정보 점검의 날 운영 농업과학지식포탈 게시판에 개인정보 이슈전달 및 의견게시

217 203 연차보고서 203 검 추가, 자체 재해복구 훈련에 개인정보침해 분야 추가 등을 추진 하였으며 침해 대응 시 담당자의 역 할과 보고체계도 점검하였다. 다. 사이버 교육 실시 중앙공무원 교육훈련시스템에서 제공하고 있는 콘텐츠 김책임과 함께하는 따라하기 를 공동 활용 협약을 통해 제공받아 전 직원을 대상 으로 연 2회에 걸쳐 교육하였다. 이 교육에는 차(5 월)에 88명, 2차(9월)에 975명(89.8%이수) 등 총,856명이 이수하였다. 라. 개인정보파일 점검의 날 운영 내 외부 고객의 개인정보에 대해 직원들이 스 스로 안전한 보호조치를 할 수 있도록 매월 세 번째 주 수요일을 사이버 보안진단의 날 과 개인정보 파일 점검의 날 을 병행 지정하여 운영하고 있다. 3. 향후계획 203년에는 훈령, 고시 등에 포함된 양식을 검토 하여 주민등록번호 수집 대체여부를 재검토 하고, 개인정보 유출사고에 신속한 대응을 위한 개인정 보 침해사고 대응 지침 을 작성할 예정이며, 개인정 보보호 관련 자체 협의회 구성 운영을 통해 농촌 진흥청 훈령, 지침 등에 수집되는 개인정보 항목의 적절성 등을 검토할 것이다. 업무 전담자를 중심으로 체계적인 개인정보 실태점검 및 모니터링 체계를 구축하고, 사이버 안전센터 운영 사업을 대상으로 전자정부 정 보보호관리체계(G-ISMS : Government Information Security Management System) 컨설팅을 실시하며, 담당자 역량 강화를 위한 민간 전문 기관 교육 수강도 지속 추진할 예정 이다. 204년에는 직무수행 중 수집되는 개인정보에 대한 수집 이용 가이드를 작성하고, 농촌진흥 사 업 종합관리시스템(ATIS : Agriculture science Technology Information System)을 대상으로 한 개 인정보 영향평가, 본청 소속기관(4개기관) 산하 기관(개기관)을 대상으로 개인정보파일 안전성 보 호조치 이행 실태점검 등을 실시하여 활동을 체계적, 지속적으로 추진할 것이다. 산림청. 개요 산림청은 자연휴양림정보시스템 등 23개 정보시 스템 등에서 수집 이용하는 개인정보의 보호를 위 하여 관련 법령의 개선과 기술적 보완, 관리적ㆍ물 리적 조치 등을 추진하고 있다. 개인정보 유출 방지 를 위하여 PC 개인정보 암호화 프로그램을 도입하 고, 법령 관련 부서와 함께 소관법령 내 주민등록번 호의 수집을 최소화하였다. 2. 추진실적 가. 제도 개선 및 업무수행 체계 구축 를 위해 산림청 개인정보 보호지침 을 제정하고, 개인정보 취급자가 스스로 경각심을 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

218 제3장 행정부 204 갖고 에 관심을 기울일 수 있도록 지침 상에 규정을 위반할 경우의 벌칙을 명문화하였으며, 소관 국유림의 경영 및 관리에 관한 법률 시행규 칙 등 7개 시행규칙 260종의 법령서식을 검토하여 주민등록번호가 필요한 4개 서식을 제외하고 주민 등록번호를 생년월일로 대체토록 하였다. 산림청의 책임자, 담당자, 취급자 지정을 완료하고, 정보시스템, CCTV, 수기문서 등 세부적인 담당자도 지정하였으며 취급자의 업무영 역에 따라 접근권한을 제한하였다. 또한, 침해사고 등 비상 시를 대비하여 유관기관과의 협업체계 구 축과 산림청 개인정보 침해사고 대응 절차서 를 마 련하여 관련기관 간 비상연락 체계도 갖추었다. 나. 개인정보파일 안전성 강화 PC용 개인정보 암호화 프로그램을 도입하여 PC 에서 편집, 복사되는 개인정보파일을 실시간으로 감시 또는 자동 암호화하고, 개인정보 사용 이력을 관리자가 모니터링하는 등 개인정보 안전성을 강화 하였다. 또한, 불필요한 자료는 파기하고 보관할 자 료는 암호화하는 등 취급자 스스로가 개인정보를 보호할 수 있도록 하였다. 또한, 정보보호 컨설팅 사 업을 실시하여 개인정보 관리체계에 대한 전반적인 점검을 실시하였으며, 위협 요인을 최소화하기 위하여 산림청 중 장기 마스터플랜(202년~205년)을 수립하고, 개인정보 보호의 객관적인 검증을 위하여 전자정부 정보보 호관리체계 인증(G-ISMS)을 받았다. 대량의 개인정 보를 보유하고 있는 자연휴양림정보시스템 등 2개 시스템은 영향평가를 실시하고, 미흡한 사항은 개 선ㆍ보완하였다. 산림청의 산불 감시 및 청사 관리 표 년 산림청 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 규정, 지침 등 정비 자체 훈령 등 개선 조직 인력체계 구축 조직ㆍ인력체계 구축 지침 제정 추진(7월) 매뉴얼 제작ㆍ보급(5월) 관리 체계 정비(5월) - 협의회 구성 추진체계 정비 유관기관 등과의 협업체계 구축 협업 체계 구축(5월) 등 서식 점검 및 개선 개인정보 수집 서식 등 점검 정비 고유식별정보 수집 서식 변경(9월~) 개인정보 현황조사 개인정보파일 운영 현황 조사 영상정보처리기 처리실태점검 개인정보파일 보유현황 조사 영상정보처리기 실태점검(407개) 및 조치 개인정보 시스템 등 운영 개인정보 안전성 강화 개인정보 유 노출 모니터링 실시 개인정보 암호화 프로그램 도입 자율진단 및 관리수준 진단 웹 사이트(20개) 취약점 점검 및 모니터링 실시 PC 개인정보 암호화 프로그램(CAPP) 도입 자율진단 및 관리수준 진단(3~5월) 컨설팅 및 영향평가 마스터플랜 수립 (202년 하반기~205년) 마스터플랜 수립 개인정보영향평가 추진(5~9월) 정보주체 권리보장 정보 주체 권리보장 대책 수립 개인정보 열람창구 운영(3월) 및 개인정보 처리방침에 권리보장 사항 포함 교육 홍보 교육 강화 홍보 강화 전문성 강화 홍보 강화 전 직원 교육 실시 산림교육원에 교육 프로그램 개설ㆍ운영 상시학습 교육 이수시간 지정 권고 의 날 지정 운영 캐치프레이즈를 활용한 대ㆍ내외 홍보

219 203 연차보고서 205 용 CCTV를 전수 조사하여 안내판 설치 등 법정 사 항을 이행하였으며, 홈페이지에 영상정보처리기기 운영ㆍ관리 방침 및 산림청 소관 전국 CCTV 내역을 공개하였다. 다. 교육 및 홍보 책임자(CPO)는 5시간, CPO보좌 관 2시간, 담당사무관 44시간, 총괄담당자 47시간 등 총 2,78명이 자체교육, 강사 초빙교육, 사이버교 육 등의 교육을 이수하였으며, 컨퍼 런스에도 참여하여 관련 정보도 수집 활용하였다. 3. 향후계획 산림청 개인정보 보호지침 을 재검토하여 관련 법령과 상이한 부분 등은 보완 할 계획이다. 개인정 보 유 노출 모니터링 대상을 확대하고, 유 노출 대응을 위한 모의훈련을 실시하며, 202년 8월에 작 성한 산림청 개인정보 침해사고 대응 절차서 를 활 용할 계획이다. 개설하는 웹 사이트(백두대간수목 원)를 비회원제로 운영하여 개인정보의 수집을 최 소화하고, 현재 주민등록번호를 생년월일+성별로 대체하도록 운영방안이 마련된 시스템에 대해서는 203년 내에 대체를 완료할 계획이다. 또한, 소속기관 개인정보 취급자의 인식을 높이 기 위하여 교육 이수시간(CPO 7시간, 총괄 담당 20시간, 과별 담당자 0시간 등)을 지정하 였고, 산림청 전국의 직원을 대상으로 소속기관의 각 기능에 맞게 찾아가는 맞춤형 교육을 실시하며, 산하기관과 단체도 함께 교육에 참여하도록 지도할 계획이다. 중소기업청. 개요 중소기업청은 중소기업 지원과 관련하여 생성되 는 개인정보의 보호를 위해 203년 시행계획을 수립하고 벤처기업에관한특별조치 법 시행규칙 등 법령 정비, 중소기업청 개인정보 보호지침 제정, 시스템 구축, 개인정 보보호 전담 인력 확보, 교육 강화 등 기반 구축과 체제정비를 추진하였다. 2. 추진실적 가. 개인보호 정책 및 제도 개선 벤처기업육성에관한특별조치법 시행규칙 및 중소기업창업지원법 시행규칙 의 4개 서식 과 중소기업청 훈령 등 행정규칙 상의 2개 서식을 개정했으며 중소기업청이 수집 보유하는 개인정 보에 대한 체계적인 관리를 위해 내 부관리계획을 수립하였고 개인정보 처리단계별 관 리, 개인정보 침해사고 대응체계 등을 명시한 중소 기업청 개인정보 보호지침을 제정 시행하였다. 나. 시스템 운영 중소기업청(개 지방청 포함)과 3개 국립공고 가 보유한 모든 컴퓨터에 개인정보 검출 솔루션을 설치하고 매월 첫째주 목요일을 중소기업청 개인 정보보호의 날 로 지정하여 개인정보 보유 파일을 찾아낸 후 암호화 또는 삭제하도록 하고 있다. 홈페 이지 및 중소기업 정책 정보망에 서버필터를 설치 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

220 제3장 행정부 206 하여 개인정보가 노출되지 않도록 관리하고 있고 정보망 인증방식도 실명인증 외에 공공 I-PIN 인증 방식을 제공함으로써 개인정보 침해 예방과 처리 안정성 확보를 위해 노력하고 있다. 또한, 중소기업 청 소관 38개 정보망에 개인정보 처리방침을 게시 하여 정보주체의 권리를 철저히 보장하고 있다. 함한 전 직원에 대해 교육을 실시(총 5회, 60명)하 였으며, 전담 인력을 확보(203년 상 반기 배치 예정)하여 보다 체계적으로 개인정보보 호 업무를 추진할 수 있는 기반을 마련하였다. 라. 컨설팅 수행 다. 교육 및 인력확충 에 대한 인식을 확산하고 업무 담 당자의 전문성을 강화하기 위해 202년 개인정보보 호교육 계획을 수립하고 책임자를 포 중소기업청의 효율적인 를 위해 8 개 산하기관에 대해 관리체계, 시스 템 운영 등에 대한 관리수준 진단을 실시하고 문제점을 도출하여 개선 보완하도록 컨 설팅을 실시하였다. 표 년 중소기업청 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 소관 법령 등 개정 개인정보수집서식 점검 정비 내부 업무처리 지침정비 협업체계 구축 개인정보 수집근거 법령마련(4종) 개정(월) 소관 28개 행정규칙의 54개 서식정비 추진(9월) - 54개 중 2개 서식 정비완료(202년 말) 내부관리계획 수립(월) 개인정보 침해 사고 대응계획 수립(8월) 개인정보 보호지침 제정(8월) 안전행정부(광주통합전산센터) 등과 협조체제 구축 자체 협의체 구성 운영(5월) 추진체계 정비 조직 인력체계 구축 관리 체계를 4단계로 세분화(2월) - 책임자, 처리 책임자, 담당자, 취급자 전담인력 확보(6급, 명) 실태조사 개인정보파일 실태조사 개인정보파일 실태조사 및 등록 변경 파기 조치(4월) 시스템 운영 침해 예방 대책 수립 주민등록번호 수집 이용 제도 개선 개인정보 안정성 확보 웹 사이트에 공공 I-PIN 인증 방식 제공(월) 수집 주민등록번호 DB의 암호화 조치(0월) 산하기관 관리수준 진단 및 컨설팅(7월) PC내 개인정보 검출 솔루션 설치 운용(6월) 개인정보의 유 노출 방지 필터 구축 운용(월) 정보주체 권리보장 정보 주체 권리보장 정보주체의 열람 정정 삭제 처리정지 등 권리보장 내용을 개인정보 처리방침 에 공개(2월) 교육 홍보 전문성 강화 홍보 강화 교육 실천문화 확산 교육 계획 수립(8월) 책임자, 담당자 및 취급자 대상 교육(총 5회) 의 날 지정 운영 사례집 등 게시

221 203 연차보고서 향후계획 중소기업청은 수준 향상을 위해 204년 시행계획을 수립하고 소관 법 령이나 행정서식이 법에 부합되도록 지속적으로 정비할 것이다. 개인정보 유 노출 방 지를 위해 구축한 각종 시스템 운영 을 활성화하고 국립공고, 산하기관 등이 개인정보 보호 업무를 효율적으로 추진할 수 있도록 가이드 라인을 개발 배포하는 등 교육도 강 화해 나갈 것이다. 특허청. 개요 특허청은 관리체계 개선과 개인 정보보호 관리수준 진단 준비와 수검을 통해 개인 정보보호 수준 향상을 위해 노력하고 있으며, 이와 관련된 다양한 활동 및 사업을 추진하고 있다. 홈페 이지에 I-PIN을 도입하여 온라인으로 주민등록번호 를 수집하지 않고 있으며, 업무 담당 자의 전문성 강화를 위해 담당자 전문 교육 및 전 직 원 대상 교육을 실시하는 등 일련의 강화 활동을 통해 기술적인 부분과 관리적인 부분의 보호 조치를 하고 있다. 2. 추진실적 가. 특허정보검색서비스(KIPRIS) 개인정보 수집 절차 개선 대국민을 대상으로 특허, 실용, 디자인, 상표, 해 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 년 특허청 추진실적 분야 사업명 추진계획 추진실적 4 해외동향 정책 및 제도 개선 시스템 운영 법령 등 개선 추진체계 정비 개인정보 처리실태점검 법령 등 개선 분야별 기준 정비 유관기관 등과의 협업체계 구축 조직 인력체계 구축 개인정보 수집 서식 등 점검 정비 개인정보 유 노출 모니터링 강화 고유식별정보 처리 근거규정 마련(월) 개인정보 보호지침 개정 추진(6월) 내부 운영 협의회 구성(4월) 전문 인력 확충 지원요청(안전행정부) 담당 및 처리부서 역할정비 개인정보 수집 서식 재점검 및 정비 추진 - 민원서식 34종 정비(9월) - 개인정보파일 정비(2회, 3, 5월) 노출점검 솔루션 도입(2월) 및 모니터링 - 웹 취약점 점검SW 업그레이드 등 부 록 침해 예방 대책 수립 개인정보 처리 안정성 확보 주민등록번호 수집이용 제도 개선 홈페이지 회원가입 절차 변경(8월) 정보보호시스템 지속 운영(연중) 기간 경과 주민등록번호 등 파기(8월) 교육 홍보 전문성 강화 업무담당자 교육 강화 책임자 및 담당자 전문교육(2회, 5, 0월) 홍보강화 실천문화 확산 전 직원 대상 온 오프 라인 교육(0월) 의 날 운영(매월) 내부 보안정책(개인정보 포함)설명회 개최(8월)

222 제3장 행정부 208 외특허 등에 대한 지식재산권의 검색 및 정보를 제 공하는 특허정보검색서비스(Korea Intellectual Property Rights Information Service)에는 주민등록번호 및 이 메일, 주소, 전화번호 등의 개인정보가 포함되어 있 었다. 이러한 개인정보의 수집 활용을 최소화 하 도록 개인정보 처리방침을 개정하고, 업무에 활용 하지 않는 주민등록번호 및 주소 정보를 폐기하였 으며, 회원가입 시 주민등록번호를 수집하지 않도 록 절차를 개선하였다. 또한, 게시판 운영방식의 변 경을 통해 불필요한 정보(주민등록번호, 업체명, 사 업자번호 등)에 대한 수집을 제한함으로써 개인정 보 관리 대상을 대폭 축소하였다. 나. 개인정보 유 노출 모니터링 강화 특허청에서는 전문 도구를 활용해 특허청 및 산하 기관에서 운영하는 홈페이지를 대상으로 매월 개인 정보 점검 및 분기별 웹 취약점을 점검하여 보완하고 있다. 기존에 운영하던 도구의 일부 문제점을 개선하 기 위해 웹 취약점 점검도구 및 개인정보 필터링 도구 를 202년에 신규 도입 또는 고도화하였다. 다. 법령 정비 및 서식 개선 3. 향후계획 정책 및 제도개선과 관련하여 202년의 연장선상에서 산하기관의 소관규정을 개 정하고 특허분야 개인정보 처리특성을 반영한 보호 기준을 제시할 계획이다. 개인정보 영향평가도 실 시하여 개인정보 침해요인을 분석하고 개선점을 도 출할 계획이며, 203년 하반기에는 개인정보 관리 수준 진단을 받아 전반적인 관리체계를 돌아볼 예 정이다. 또한, 산하기관의 수준 향상 을 위하여 산하기관에 대한 개인정보 관리수준 진 단을 별도로 실시할 계획이다. 시스템운영과 관련하여 개인정보 파일의 주기적 검토, 특허청 및 산하기관 웹 사이트 대상 개인정보 유 노출여부 지속 점검, 신규 구축 정보화시스템 대상 취약점 2차 검증, 산하기관 회원 가입시 고유식별번호 수집 제외 등의 사업을 검토 하고 있다. 또한 교육 및 홍보와 관련 하여 내부직원 인식제고를 위한 교육 실시, 개인정 보담당자 전문교육 실시, 매월 의 날 실시를 운영할 예정이다. 이러한 상시 개인정보보 호 활동을 통해 특허고객의 개인정보를 안전하게 관리하고 보호할 계획이다. 민감정보 및 고유식별정보의 처리근거 마련을 위해 특허권 등의 등록령 시행규칙, 특허료 등의 징수규칙 등 소관분야 법령을 개정하였으며, 주민등록번호를 기재하도록 되어 있던 서식 20여 종(권리이전등록신청서, 말소등록신청서 등), 주소 를 기재하도록 되어 있는 서식 6종(권리이전등록 신청서, 실시권(사용권)설정등록신청서 등)을 개정 함으로써 개인정보의 수집을 최소화하는 활동을 지 속적으로 진행하고 있다. 기상청. 개요 기상청은 시행계획 을 수립하고 개인정보 보호지침 을 제정하여 전 직원이 이에 따 라 업무를 수행하고 있다. 또한, 수집한 개인정보의 안전성 확보를 위해 202년에 개인정보 데이터베이

223 203 연차보고서 209 스 암호화, 홈페이지 개인정보 유출 사전 차단시스 템 도입, 업무용 컴퓨터에 PC문서 보안 프로그램 확 대 배포, 원격접근통제시스템 기능 강화 및 자료 중계시스템 구축 등을 추진하였다. 2. 추진실적 가. 정책 및 제도 개선 기상청은 내부 개인정보 처리자가 지켜야할 개 인정보의 수집 이용, 안전성 확보 조치 등 개인 정보 보호법 에 입각한 의무 조치사항 등을 규정 하고, 기상업무에 적합한 개인정보 처리기준을 명 표 년 기상청 추진실적 시한 기상청 개인정보 보호지침 을 202년 4월 제정 하여 시행해 오고 있다. 또한, 개인정보 보호법 에 따라 주민등록번 호 수집 이용 최소화를 위한 관련 법령 서식 정 비로 기상관측표준화법 시행규칙 서식 및 기 상산업진흥법 시행규칙 서식 등 8종에 대한 주민 등록번호를 생년월일로 전면 개정하고, 기상청 홈 페이지 운영지침 의 에 대한 규정을 강화하여 202년 4월 개정하였다. 나. 관리 체계 강화 개인정보 처리시스템의 보안을 강화하기 위한 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 법령 및 제도 등 개선 개인정보 보호지침(4월) 및 내부관리계획(8월) 제정 개인정보 수집 서식 정비 기상산업진흥법 시행규칙 등 서식 개정(5, 2월) 전담인력 확충 전담인력 충원 예정(203년, 인) 4 해외동향 개인정보 실태조사 개인정보파일 및 영상정보처리기기 관리실태 조사 (3, 5월) 개인정보 처리 실태점검 유 노출 방지체계 강화 홈페이지 개인정보 노출 상시 점검(주회) 및 개인정보 사전 차단 필터링 시 스템 운영(0월) 웹 취약점 점검 및 개선 웹 취약점 분기 회 점검(홈페이지 및 정보시스템) 시스템 운영 침해 예방 대책 수립 개인정보 안전성 확보 홈페이지 및 정보시스템 침해 예방 활동 강화 - 사이버관제 대응 및 사전예방 조치(침해사고:0건) 체계 강화 사업 완료(2월) 사용자 PC 백신프로그램 도입(월) 부 록 정보주체 권리 보장 정보 주체 권리보장 개인정보 처리방침에 정보주체의 권리 및 행사방법을 구체적으로 명시(월) 개인정보의 열람, 정정 삭제 및 처리정지 요청에 대한 처리절차를 전 직원에 교육(7월) 교육 홍보 교육 강화 교육 담당자 전문성 강화 전 직원 교육 실시(7월) 소속기관 담당자 교육(3월) 담당자 전문기관 교육 이수(2회) 홍보 강화 실천문화 확산 동영상 제작 베포(4월): 매뉴얼 주요정책에 대한 홍보(4월)

224 제3장 행정부 20 사업을 202년 2월 완료하였다. 이 사업에서 주요 개인정보 처리시스템의 데이터베이스를 암호화하 였으며, 홈페이지의 게시판 등에 개인정보 입력 시 탐지 차단하는 기능을 도입하였다. 또한, PC문서관리프로그램(DRM : Digital Rights Management])을 202년 전 직원 업무용 컴퓨터에 확대 배포하였으며, 기상청 내 서버에 원격 접속 시 접속 권한 강화 및 비인가자에 대한 접근을 통제 하기 위한 원격접근통제시스템의 기능을 업그레이 드하고, 업무망과 인터넷망 간의 자료 전송시스템 을 구축하였다. 다. 개인정보 처리실태점검 및 유 노출 모니터링 기상청은 매년 기상청 정보보안 감사와 함께 개 인정보 처리실태점검을 실시하고 있으며, 202년에 도 전 부서 및 소속기관에 대한 개인정보파일 및 영 상정보처리기기 관리 실태를 점검하여 현황 및 문 제점을 파악하고 개선방안을 마련하였다. 대표 홈페이지의 개인정보 유 노출 현황을 상 시 점검하고 있으며, 대표 홈페이지 등 대국민서비 스 홈페이지 총 64개와 시스템 총 2대에 대한 웹 취 약점을 분기별로 점검하여 취약점을 개선하였다. 라. 교육 홍보 전 부서 및 소속기관 대상으로 교 육을 실시하여 에 대한 인식을 제고하 였으며, 기상청 매뉴얼 동영상을 제 작 배포하고 내부 인트라넷 정보보호 게시판을 통 해 관련 자료를 수시로 등재하여 기상청에 개인정 보보호 실천문화를 확산시켰다. 3. 향후계획 기상청은 203년 체계 안정화를 위해 개인정보 관리 체계 진단 개선 및 개인정보 시스템 관리 고도화를 추진할 예정이다. 외부 개인 정보보호 전문가로 부터 기상청 지침 의 적합성을 진단받아 모호한 부분을 명확히 하고 개인정보 보호법 에 위배되는 항목 및 규정되지 않은 사항을 개정 신설할 것이다. 또한, 개인정보 수집 동의의 표준 양식을 활용하고, 고유식별정보 가 포함된 서식도 점검 개선할 것이다. 개인정보 파일 점검, 영상정보처리기기 운영의 적정성 등을 검토하여 보호 기준 정립, 홈페이지에 대한 웹 취약 점 점검, 개인정보 위험도 분석 등을 실시하여 개인 정보의 안전성을 강화할 것이다. 행정중심복합도시건설청. 개요 행정중심복합도시건설청(이하 행복청)은 언제 발생할지 모를 개인정보 침해 사고에 대비하여 더 욱 더 강화된 제도적, 관리적, 기술적 보호대책을 추 진하고 있다. 이를 위해 202년에는 기반구축, 203 년 제도 안정화, 204년 보호수준 제고 를 연도별 추진목표로 설정하여 법 원칙에 따른 보호수준 제 고 및 시스템 기반구축, 고도화 등을 통해 를 강화 할 수 있도록 단계별 추 진 방안을 마련하여 행복청의 를 구현 하고자 노력하고 있다. 2. 추진실적

225 203 연차보고서 2 가. 정책 및 제도 개선 행복청은 개인정보 처리실태조사를 통해 개선이 필요한 사항의 이행을 위해 훈령 제정과 개인정보 처리방침 을 변경하여 고시하고, 침해사고 방지를 위해 사이버안전대책을 수립하는 등 정책 및 제도 개선을 추진하였다. 또한, 유관기관과 의 협력체계 구축을 위해 중요 전산장비를 대전통 합전산센터로 이전하여 운영 관리하고 있다. 나. 시스템 운영 행복청은 개인정보 수집 서식 개선, 개인정보파 일 조사, 개인정보 유 노출 모니터링, 개인정보 수 집 최소화를 위한 홈페이지 주민등록번호 수집방식 개선 등을 수행하여 불필요한 개인정보는 수집하지 않도록 하고 있으며, 정보보안 및 를 위해 좀비PC 자동탐지 제거, 개인정보 노출방지 시스템을 구축하여 운영하고 있다. 다. 교육 홍보 교육을 위해 개인정보 전문가를 초 빙하여 전 직원을 대상으로 교육을 실시 하고 있으며, 생활 수칙 및 필수 이행사 항 등을 주 회 내부 전산망을 통해 직원들에게 안내하 는 등 개인정보 보호법 위반사례가 발생하지 않도 록 교육 및 홍보에도 계속적으로 노력하고 있다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 년 행정중심복합도시건설청 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 개인정보 처리지침 등 개선 유관기관 협업체계 구축 사이버안전대책 수립 등 개인정보 처리실태 조사하여 훈령 및 운영체제 개선(5월) 개인정보 수집서식 정비(4개) 침해사고 예방을 위해 사이버 안전대책 수립(7월) 전산장비 대전통합전산센터로 이전(2월) 4 해외동향 개인정보 수집서식 개선 개인정보 수집서식 등 정비 민원서식 및 개인정보 수집서식 개선(3개) 홈페이지 주민등록번호 등 회원정보 수집 중단(8월) 시스템 운영 개인정보 처리실태점검 개인정보 처리 안전성 확보 개인정보 처리실태점검 개인정보보안 시스템 도입 미등록 개인정보파일 조사(5월) 및 추가 등록(5건) 개인정보 처리실태 및 조치사항 이행여부 점검(7월) 문서유출방지 및 좀비PC탐지 차단시스템 도입(6월) 망분리 추진 : 업무망과 인터넷망 분리(2월) 홈페이지에 불필요한 자료 게시 여부 모니터링(4회) 부 록 정보주체 권리보장 정보주체권리 개인정보의 열람, 정정 삭제 및 처리정지 요청 등에 대한 권리를 홈페이지에 게시 교육 홍보 교육 강화 실천문화 확산 (홍보) 자체 및 전문 기관교육 등 주요내용 안내 전 직원 대상 교육 실시(4.2) 정보보호 솔루션 참가 및 전문교육 이수(2회) 전문자격증 취득 과정 안내 내부 망에 개인정보 보호법 주요내용 게시 - 개인정보 보호법 위반사례 및 생활수칙

226 제3장 행정부 향후계획 해양경찰청 행복청은 개인정보 처리지침 및 개인정보 처리 방침 등 관련 지침 정비 등 선제적 활동으로 개인정 보보호 수준의 향상을 도모하고, 개인정보가 분 실 도난 유출 변조 훼손되지 아니하도록 정 보통신망에의 불법접근 및 침해사고 방지를 위한 시스템을 설치 운영하는 등 안전성 제고를 위한 노력을 계속적으로 추진 할 것이다. 뿐만 아니라 개인정보 유출로 인한 각종 경제 적 사회적 손실을 사전에 예방함으로써 국가기관 의 신뢰도를 향상시키고 개인정보 수집 이용 등 처리실태를 조사하여 규정 운용 상 미흡한 부분을 정비하는 한편, 개인정보 취급자를 포함한 전 직원 을 대상으로 및 정보보안 교육을 실 시하여 개인정보 유 노출을 사전 차단할 수 있도 록 에 만전을 기할 것이다.. 개요 해양경찰청은 국민 속의 해양경찰 이라는 이미 지를 실천하고자 개인정보 관리 및 보호기준을 제 시한 규정인 내부관리계획 을 수립하 였으며, 200년 망분리 사업 완료를 통해 안정적인 내부업무 수행과 실시간 현장 민원, 대외업무 처리 에 개인정보 안전성을 확보하였다. 또한, 202년에 는 홈페이지 내 개인정보 유 노출에 대하여 실시 간 모니터링을 실시, 업무 담당자 교 육을 강화하였고 개인정보 전담인력 확보를 위해 적극적으로 노력하였다. 2. 추진실적 표 년 해양경찰청 추진실적 사업분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 각종 규칙개정 개인정보 정책수립 개인정보 관련 규정 마련 추진체계 정비 전담인력 확보 해양경찰청 규칙(203.2.) 영상정보처리기기 관리 규칙 마련(월) 개인정보 내부관리계획 수립(2월) 202년 개인정보 교육 계획 수립 (2월) 전담인력 소요 반영하여 전담 인 확보 - 203년 소요정원 및 중기인력 운영계획 등 개인정보 관리실태 조사 개인정보파일 현황파악 및 개선사항 도출(5월) 개인정보파일 정비(6월) 및 서식검토(8월) 시스템 운영 개인정보 처리실태 및 관 리 점검 등 강화사업 추진 공공 I-PIN 도입 및 개인정보 암호화(2월) 영역별 보안 수준 점검 홈페이지, 수상레저종합정보, 해양환경교실 등 취약점 점검 (0월) 교육 홍보 전문성 강화 담당자 교육 공공기관 특별교육교육(3월) 개인정보책임자의 CPO 컨퍼런스 참석(5월) 전문 교육 정보통신 보안전문 분야 위탁교육(9월, 총 명) 교육 (전 직원) 학습의 날 및 내부 보안지도 방문시 실시 사이버교육 등 수강(매월) : 총 3,03명 수강

227 203 연차보고서 23 가. 정책 및 제도 개선 기준을 강화하기 위하여 개인정 보보호 규칙 을 개정하였으며, 이 규칙에는 해양 경찰청 및 소속기관 책임자를 각각 명 시하여 해양경찰청 업무수행이 체계 적으로 이루어지도록 하였다. 그리고 영상정보처리 기기 관리 규칙 개정, 홈페이지에 개인정보 처리방 침 을 변경 게시 하였으며, 전담인력 명을 확보하 여 보다 체계적인 업무수행을 가능하게 하였다. 나. 시스템 보안 강화 개인PC 보안강화를 위한 좀비PC 탐지 및 제거 시 스템을 202년 월부터 도입하고, 대표 홈페이지 및 민원 관련 홈페이지 취약점 점검 및 개인정보 유 노출 탐지 등을 상시 실시하고 있다. 개인정보 를 수집하는 모든 정보시스템에 주민등록번호 수집 대체수단으로 공공 I-PIN을 적용하였으며, 개인정 보 수집 필요성이 없는 정보시스템에 대해서는 회 원가입 절차를 삭제하였다. 다. 개인정보파일 일제정비 202년 6월까지 부속기관 및 소속기관을 대상으 로 개인정보 파일의 운영 현황을 전수조사하여 수 집 근거를 확인하였고 파일의 등록 및 변경, 파기 등 의 작업을 실시하였다. 또한, 보안감사를 통하여 개 인정보파일 보유현황, 개인정보파일 등록 및 삭제 관리 실태 등을 점검하였다. 해양경찰청은 본청 및 소속기관 직원들에게 개 인정보보호의 중요성 및 전문성을 향상시키기 위해 서 교육 계획을 수립하여 안전행정부 에서 실시한 전문교육 및 순회교육 참여, 학습의 날 또는 내부 보안지도 방문 시 교육을 실시하였다. 또한, 전 직원을 대상으로 사이버강의 를 권장하여 개인정보 업무처리 및 관리에 개인 정보 보호법 위반사례가 발생하지 않도록 하였으 며, 담당자 명을 대상으로 정보보 안 전문가 양성과정을 위탁 교육으로 실시하는 등 교육을 강화하였다. 매월 셋째주 수요일을 사이버보안 진단의 날 로 지정하여 운영하는 등 자발적인 개인정보파일 줄이 기 운동이 정착되도록 하였다. 3. 향후계획 해양경찰청은 203년 창설 60주년을 맞이하여 안전한 바다, 행복한 국민 이라는 목표처럼 체계적 으로 개인정보가 안전하게 관리 될 수 있도록 개인 정보유출을 방지하기 위한 자체 보안관제 센터를 구축 운영하여 국가기관의 주요 정보자산 보호 및 미래 사이버전을 대비할 것이다. 204년에는 소속기관까지 사이버보안 관제센터 를 확대 운영할 수 있는 환경을 마련하여 개인정 보를 포함한 정보보안정책을 강화할 것이다. 모든 직원을 대상으로 PC개인정보 암호화를 추진하는 한편, 지속적으로 교육을 실시하여 인식제고 및 전문성을 향상시킬 계획이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 라. 교육 및 홍보

228 제3장 행정부 24 국가인권위원회 2. 추진실적. 개요 가. 관련 대외활동 강화 국가인권위원회는 모든 개인이 갖는 불가침의 기본적 인권을 보호하고 그 수준을 향상시킴으로써 인간으로서의 존엄과 가치를 구현하고 민주적 기본 질서의 확립에 이바지함 을 목적으로 및 정보인권에 대한 지대한 관심을 가지고 해당 업 무를 지속적으로 추진해 왔다. 대내적으로는 개인정보 처리 규정 및 서식 정비, 조직 구성, 정책 및 제 도 개선, 개인정보 데이터베이스 암호화 등을 통해 를 강화하기 위한 기반을 구축하였다. 대외적으로는 사회전반에 대한 문화 가 조성될 수 있도록 관련 각종 토론 회 및 실태조사 등을 실시하였다. 국가인권위원회는 개인정보 보호법 에 따른 및 정보인권의 증진을 위하여 각종 개 인정보보호 관련 토론회를 실시하였으며, 인권침해 소지가 있는 교실 내 CCTV 설치행위에 관한 의견을 표명 하는 등 총 5회의 토론회에 참석하여 다양한 대 외활동을 하였다. 또한, 정보기술과 수사기법 발달 에 기인한 사이버 수사 및 디지털 증거수집에 대한 및 정보인권 측면에서 실태조사와 대 안을 논의 하였으며, 사이버 수사 시 개인정보 및 통 신자료 제공 실제 사례와 현황을 파악하고 관련 주 요 이슈를 공유하는 등 대외 활동을 하였다. 나. 법 원칙에 따른 보호기반 마련 표 년 국가인원위원회 추진실적 분야 사업명 추진계획 추진실적 정책 및 제도 개선 법령 등 개선 추진체계 정비 법령 등 개선 조직 인력체계 구축 - 책임자 역할강화 법령 등 개선 - 법적 근거 및 지침 제정(월) - 개인정보파일 보유기간 검토(2월) 조직 인력체계 구축 - 책임자 역할강화(0월) 시스템 운영 개인정보 처리실태점검 침해 예방 대책 수립 개인정보 수집 서식 등 점검 정비 - 소관 법령서식 점검 - 수집서식 사용 지도점검 고유식별번호 수집 이용 제도개선 - 자체 개인정보 보호지침 - 관리자PC 보안성 강화 개인정보 수집 서식 등 점검 정비 - 소관 법령서식 점검(월) - 개인정보 수집서식사용 지도점검(2월) 고유식별번호 수집 이용 제도개선 - 자체 개인정보 보호지침마련(2월) - 관리자PC 보안성 강화(2월) 교육 홍보 전문성 강화 직원대상 교육 강화 직원대상 교육 강화 - 신입직원 교육(2회) - 직원대상 사이버교육 실시(연중)

229 203 연차보고서 25 국가인권위원회는 개인정보 보호법 에 따른 관리적 기술적 물리적 안전성 확보조치를 위해 개인정보 처리규정이 포함된 시행령을 개정하고 관 련 규정 및 서식을 정비하였다. 특히 개인정보 처리 단계별 의무 조치사항을 안정적으로 수행하기 위해 개인정보 처리담당자를 지정하여 활 동을 강화하였으며, 조직을 구성하여 정책 및 제도 개선을 위한 활동 기반 을 마련하였다. 다. 체계적인 시스템 인프라 구축 국가인권위원회는 개인정보 처리시스템의 개인 정보 유출방지를 위해 시스템, 데이터베이스, 네트워 크를 포함하는 시스템을 구성하여 체 계적이고 안정적인 인프라를 구축하 였다. 특히 개인정보 저장시스템의 접근제어와 데이 터베이스의 암호화 등을 통해 원천적으로 개인정보 유출을 방지할 수 있는 시스템을 구성하였으며, 개인 정보 데이터 송 수신 구간을 암호화하여 네트워크 또한, 강화하였다. 3. 향후계획 국가인권위원회는 개인정보 보호법 이 정착 할 수 있도록 국가기관 및 공공기관, 그리고 기업 등 을 위한 대외 활동(토론회, 권고, 의견표명, 실태조 사 등)을 수행할 예정이며, 인권위 내부에 마련된 개 인정보보호 시행계획에 따라 개인정보의 관리적 기술적 물리적 보호조치를 강화할 예정이다. 우선 제도 정착을 위한 관리체계를 지속적 으로 개선하고 도입된 시스템의 안정 화에 주력할 계획이다. 또한, 국가인권위원회 직원 의 의식함양을 위해 PC 개인정보 필 터시스템을 통한 모니터링 및 관리를 지속적으로 수행하고 앞으로도 시스템 구축 확대 등의 활동을 강화할 예정이다. 제 2 절 지방자치단체 서울특별시 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 라. 교육 및 홍보. 개요 국가인권위원회는 개인정보 보호법 이 요구 하는 의무사항 및 정보주체의 권리보장, 업무처리 시 유의사항을 규정한 개인정보 처리지침 등의 세 부사항을 직원들에게 공지하고 관련 교육을 실시하 였다. 신입 직원의 경우는 교육을 분 기별로 실시하였으며, 또한, 전 직원을 대상으로 인 트라넷을 통한 온라인 교육을 연중 수행할 수 있는 체계를 마련하였다. 서울특별시는 20년에 수립한 서울시 개인정 보보호 강화 종합대책 에 따라 연차적으로 개인정 보 관리체계 및 기술적 관리적 보호조치를 강화함 으로써 안전한 개인정보 처리환경을 조성하고 개인 정보 유출 사고 발생 시 체계적인 대응으로 피해 확 산을 방지하기 위한 개인정보 유출 대응 매뉴얼 을 제정하는 등 시민의 권리 이익 증진을 위하여 노 력하였다. 부 록

230 제3장 행정부 추진실적 가. 개인정보 유출 대응 매뉴얼 제정 서울특별시는 개인정보 보호법 제 34조, 시행 령 제39조 및 제40조에 따라 개인정보의 유출 시 법 적 요건을 준수하며 신속하고 체계적인 대응으로 시 민의 피해 확산을 방지하고자 개인정보 유출 대응 매뉴얼 을 제정하였다. 매뉴얼에는 상황 발생 시 개 인정보보호책임자, 분야별 책임자, 보호 담당자의 역할 등을 기술하였으며, 개인정보 유출 대응센터 운 영에 관한 사항과 기타 관리적 절차를 규정하였다. 나. 개인정보의 영향평가 실시 서울특별시에서 운영 중인 개인정보 처리시스템 의 안전성 확보를 위해 종합민원관리시스템, 서울 일자리플러스센터 전산망, 서울도서관 정보서비스 플랫폼 구축, 9지령정보시스템, 종합재난관리시 스템, 서울특별시 대표 홈페이지, 상수도사업본부 사이버고객센터, 요금관리 등 8개 시스템에 대하여 개인정보 영향평가를 실시하였다. 이를 통해 개인 정보 처리 시 단계별 보호조치의 적정성, 관리체계 적정성, 취약점 및 침해요인 등을 진단하고 그에 따 른 개선방안을 제시함으로써 개인정보 처리의 안전 성을 향상시켰다. 다. 개인정보 관리실태점검 실시 서울특별시 본청 6개 부서, 8개 사업소, 4개 자치 구, 4개 투자 출연기관 등 총 32개 기관(부서)를 대 상으로 202년 5월부터 8월까지 개인정보 관리실태 및 의무사항 이행여부에 대하여 현장 점검을 실시하 였고, 서울특별시에서 운영하는 98개 홈페이지를 대상으로 주민등록번호 수집 및 대체수단 적용여부, 보안서버 적용 및 인증서 만료 여부 등을 원격으로 점검하여 즉시 조치 가능한 사항은 현장 조치하고 미흡한 사항에 대하여 개선조치를 권고하였다. 라. 업무용 PC내 개인정보 안전조치 강화 업무용 PC에 저장되어 있는 주민등록번호, 외국 인등록번호, 운전면허등록번호 등의 개인정보를 탐 지할 수 있는 PC 개인정보 암호화프로그램 을 활용 하여 본청 PC 4,00대를 대상으로 202년 4월부터 6 월까지 총 4차에 걸쳐 관리실태점검을 실시하였다. 이를 통해 불필요한 자료는 완전 삭제하고 업무상 필요한 파일은 암호화하여 보관하도록 함으로써 업 무용 PC내 개인정보의 안전성을 강화하였다. 마. 개인정보 유 노출 모니터링 및 필터링 시스템 운영 서울특별시는 전 기관(자치구, 투자 출연기관 포함)에서 운영하는 420여 개 홈페이지에 대하여 개 인정보 노출 여부를 상시 모니터링하고 있다. 또한, 본청 및 소속기관에서 운영하는 홈페이지 중 게시 판이 있는 32개 홈페이지에는 업무담당자나 이용 자의 부주의로 인한 개인정보 등재를 예방하고자 개인정보 필터링시스템을 상시 운영하고 있다. 바. 교육 실시 서울특별시 본청, 소속기관 및 산하기관, 자치구 의 담당자, 홈페이지 및 CCTV 운영자, 취급자 등을 대상으로 인식 및 전문

231 203 연차보고서 27 성을 향상시키고자 202년 서울시 교육 계획 을 수립 시행하였다. 주요 교육내용으 로는 개인정보 보호법 및 업무 처리 시 유의사 항, 침해사례 및 처벌 규정, 기술적 관리적 안전조 치 방법, 위험도 분석 방법 등이 있다. 또한, 인재개 발원 및 데이터센터에서도 전문교육 과정(사이버교육 포함), 전문가초빙강연, 신규자 승진자에 대한 소양교육 등을 통해 총 3,625명을 교육하였다. 3. 향후계획 앞으로도 서울특별시는 개인정보의 안전성 강화 및 수집 이용 보유 최소화를 위한 노력을 강화해 나갈 계획이다. 개인정보 영향평가 및 관리실태점 검을 매년 실시함은 물론 점검의 실효성을 높이기 위하여 202년 영향평가 및 관리실태점검 시 도출 되었던 개선사항의 반영 여부를 확인하는 이행 점 검도 함께 실시할 예정이다. 또한, 업무용 PC 개인정보 암호화프로그램을 사 업소까지 확대 보급하고 민원담당자 및 개인정보 위 수탁자에 대한 교육을 강화할 예정이다. 부산광역시. 개요 부산광역시는 정부의 안심 사회 구현 정책을 적극 지원하고, 시민의 개인정보를 안 전하게 보호하기 위하여 개인정보의 수집, 이용, 제 공 등 처리 단계별 보호대책에 따라 철저히 관리하 고 있다. 특히, 수집된 개인정보는 목적 외 용도로 사용되지 않도록 관리하고 저장된 개인정보파일은 기술적 관리적 보호대책에 따라 안전성 확보를 위 한 조치를 적극적으로 추진하였다. 2. 추진실적 가. 내부관리계획 등 수립 부산광역시는 보유 중인 개인정보의 안전한 관 리를 위하여 책임자, 개인정보 책임자 및 취급자를 지정하여, 의무와 책임을 부여하고, 개 인정보 수집에서 처리 및 파기에 이르기까지 개인 정보가 안전하게 관리될 수 있도록 내부관리계획을 수립하여 시행중이다. 또한, 법적 의무사항 등을 명 시한 개인정보 처리방침을 수립하였으며, 방침을 개정하는 경우 홈페이지를 통하여 공지하고 있다. 나. 개인정보 시스템 보안 강화 업무분야별 관리책임자를 지정하여 개인정보 처 리시스템에 대한 접근권한을 최소화하기 위하여 업 무 담당자의 업무에 따라 적절하게 차등 부여하고, 담 당자의 전보 또는 퇴직 등 인사이동 발생 시 지체 없이 접근권한을 변경 또는 말소하고 있으며, 개인정보취 급자별로 한 개의 사용자 계정을 발급하고 이를 다른 개인정보취급자가 같이 사용하지 않도록 하고 있다. 개인정보취급자가 정보통신망을 통해 외부에서 개인정보 처리시스템에 접속하려는 경우 가상사설 망을 통한 안전한 접속수단을 적용중이며, 개인정 보가 포함된 데이터를 안전하게 암호화하여 전송하 고 있고, 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유 설정 등을 통하여 외부에 유출되지 않도 록 조치중이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

232 제3장 행정부 28 서버 접근권한관리시스템과 DB접근제어시스템 도 도입하여 서버접속 통제 및 로그기록 관리와 접 근권한 관리 등 개인정보를 철저히 관리하고 있다. 다. 개인정보 수집 최소화 및 모니터링 실시 대표 홈페이지, 시정 홈페이지 등에서 과다하게 수집된 개인정보를 최소한으로 줄이고, 중복 가입 을 막기 위해 69개 시정 홈페이지를 통합하여 통합 ID를 발급하였으며, 회원정보 수집을 최소화 하였 다. 특히 회원가입 프로세스 중 주민등록번호를 수 집하지 않고 있으며, 대표 홈페이지 및 산하기관 홈 페이지를 대상으로 개인정보 필터링 시스템을 2중 화 시스템으로 보강하여 홈페이지 사용자가 부주의 하게 올리는 글이나 첨부파일에 개인정보가 포함되 어 있을 경우 게시를 금지하여 개인정보가 홈페이 지에 게시되지 않도록 운영하고 있다. 라. 업무용 PC 개인정보 유출 방지를 위하여 기술적 조치의 일 환으로 보안 USB 시스템 도입과 함께 업무용 PC에 개인정보검색시스템을 운영하고, 하드디스크 (HDD) 등에 저장된 전산자료 파괴 시, 복구가 불가 능 하도록 물리적으로 완전 파기하는 저장매체 파 기 장비를 구입하여 타 기관(부서)에서도 사용 할 수 있도록 공동 활용하고 있다. 마. 교육 및 홍보 자체교육을 3회에 걸쳐 738명에게 실 시하여 개인정보를 취급하면서 유의해야 할 사항이 나, 개인정보 관리 요령 등 개인정보취급자에게 개인 정보 수집에서 처리, 파기에 이르기까지 실무중심의 교육을 실시하고, 특히 중앙부처의 관 련 세미나 및 컨퍼런스 등에도 635명이 참여하였다. 개인정보 보호법 시행에 따른 다양한 의무 조치 사항에 대해 이행에 차질이 없도록 전 부서에 전파하고 이행 실태 및 계획 조사를 실시하고, 공간 정보시스템 등 시스템별 조치 계획을 수립하여 체 계적이고 전체적인 법 이행에 앞장섰다. 또한, 매달 일을 의 날 로 지정 운영하여 개인 정보보호 진단표를 제작, 자체진단을 실시하였으며 업무용 PC내 개인정보 검색 시스템에 대하여 관리 서버에서 강제 검사를 시행함으로써 개인정보 검출 및 관리를 수행하고 있다. 3. 향후계획 정보통신망을 통한 개인정보 처리시스템의 불법 적인 접근 및 침해사고를 방지하고 컴퓨터 바이러 스 등에 의한 개인정보 유출 및 훼손을 막기 위해 개 인정보 처리시스템에 대하여 기술적 안전성을 추가 확보할 계획이다. 서버별, 사용자별 시스템 접근 권한 및 사용자 명 령어를 작업자별로 통제하고 접속자 정보와 작업중 인 내역의 실시간 조회, 작업 내역을 기록하고 관리 하는 시스템을 도입해 운영하였다. 업무용 컴퓨터 에 고유식별정보를 처리하는 경우 암호화하여 저장 및 검출할 수 있는 소프트웨어를 설치하여 방치된 개인정보파일의 관리 및 암호화로 외부 유출 사고 를 미연에 방지하고자 한다. 또한, 보안 USB 관리시스템을 새로 도입할 계획이 며 관련 법령 및 지침 등의 변동사항 발 생 시 즉시 내부관리 계획 및 처리방침 등을 수정 관리 하여 구민의 에 만전을 기하고자 한다.

233 203 연차보고서 29 대구광역시. 개요 대구광역시는 개인정보 보호법 에서 규정하 고 있는 각종 의무사항을 이행하고, 시에서 보유 관리하고 있는 개인정보를 안전하게 보호하고자 내 부 관리계획을 수립하였으며 홈페이지 개인정보 유 노출 방지를 위해 공공 I-PIN도입, 암호화 등의 기술적 안전조치를 하였다. 또한, PC내 개인정보파 일의 안전한 관리를 위해 암호화시스템을 도입하는 등 체계적인 정책을 추진하였다. 2. 추진실적 가. 개인정보 내부 관리계획 수립 대구시는 체계적이고 전사적인 활 동을 위해 내부규정인 대구시 개인정보 내부 관리 계획 을 수립하였다. 내부 관리계획에는 개인정보 보호책임자의 의무와 책임, 개인정보의 처리단계별 기술적 관리적 안전조치, 교육, 개 인정보 침해대응 및 피해 구제 등을 포함하고 있다. 나. 홈페이지 개인정보 유 노출 방지 계획 수립 시행 홈페이지에 개인정보의 유 노출 방지를 위한 계획을 수립하여 적극 추진하였다. 개인정보 노출 차단시스템에 등록되지 않은 웹서버를 전수 조사하 여 개인정보 등록 시 차단되도록 적용하였으며, 2009년 이전의 게시판 자료들을 일괄 삭제하고, 불 필요한 자료들을 정비하였다. 회원가입 시 수집하 는 항목을 재검토하여 불필요한 항목은 수집을 중 단하고 삭제하여 개인정보 수집을 최소화 하기 위 해 노력하였다. 또한, 홈페이지의 조 치 강화를 위해 공공I-PIN을 도입하고 웹 사이트별 개인정보 처리방침을 수립 공개하였으며 비밀번 호 저장 전송 시 암호화하여 개인정보가 노출되지 않도록 안전조치를 확실히 하였다. 다. 교육 실시 법의 본격 시행 전 개인정보 취급자들을 대상으 로 개인정보에 관한 교육을 실시하고 법적 의무사 항을 알려 조치토록 하였고, 7월에는 전문강사를 초 빙하여 개인정보 왜 중요한가? 라는 주제로 전 직 원 대상 교육을 실시하였다. 이 교육을 통해 사생활 의 비밀을 보장함으로써 개인의 존엄과 가치를 구 현하기 위한 법의 취지를 잘 알리고 개인정보의 중 요성에 대한 인식을 제고하였다. 뿐만 아니라 개인 정보 홍보 동영상 교육과 사이버 교육을 통해 법이 규정한 의무 조치사항을 쉽게 이해시키고, 실생활 과 밀접한 에 대한 인식을 새롭게 하 고자 노력하였다. 라. 필수조치사항 자체점검 개인정보 처리시스템 관리 부서 및 사업소(3개) 를 대상으로 필수조치사항 이행여부 를 점검하여 가 조기정착 되도록 하였 다. 홈페이지 공공 I-PIN도입, 개인정보 처리방침 수 립 공개, CCTV 안내판 설치, 시스템 로그관리 등 기술적 물리적 안전조치 여부를 현장 점검하고, 점검결과 미비점은 개선 보완하여 개인정보 관리 수준 제고에 기여하였다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

234 제3장 행정부 220 마. PC 개인정보 암호화시스템 도입 업무용 PC에 보관되는 개인정보 파일을 안전하 게 관리하기 위하여 PC개인정보 암호화시스템 을 도입 구축하였다. 고유식별번호를 포함하는 파일 을 검색하여 영구 삭제 또는 암호화하여 보관함으 로써 개인정보 유 노출에 대비하고 개인정보가 악 용되는 것을 사전 예방하였다. 매월 회 시스템 관 리자가 전 직원 PC의 개인정보파일을 일괄로 검색 하고 그 결과를 부서별로 통보하여 를 독려하는 등 개인정보파일의 능동적인 안전한 관리 를 위해 지속적으로 노력하였다. 바. 개인정보파일 일제정비 및 관리실태 교차점검 자치단체가 공통적으로 관리하는 개인정보파일 의 표준목록을 마련하고, 확정된 표준목록을 참고하 여 파일명, 보유기간, 운영목적, 법률에 의한 운영근 거, 개인정보항목 등의 자료를 정비하고 현행화하였 다. 또한, 경북과 대구가 개인정보파일 관리실태 교 차점검을 실시하여 표준목록 정비현황과 미등록 개 인정보파일 존재 여부, 보유기간 경과파일 파기 여 부, 홈페이지 개인정보 처리방침의 게시 내용 충족 여부 등을 점검하고 미비점을 보완토록 권고하였다. 3. 향후계획 소상공인과 지역주민을 대상으로 소양교육 및 홍보활동을 담당할 지역거점센터를 지 정하여 대국민 인식제고 및 확산전파 에 주력할 계획이다. 또한, 내부적으로는 개인정보 처리시스템 접근권한 관리절차와 침해사고 대응절 차를 수립하여 개인정보 유 노출시 신속하게 대응 하기 위한 관리체계를 구축할 것이며 주민등록번호 수집 최소화 방안을 강구하고 특히, 대구시에서 제 정한 조례 규칙의 주민등록번호 요구서식을 조사 하여 생년월일로 개정을 추진할 계획이다. 인천광역시. 개요 인천광역시에서는 개인정보를 안전하게 보호 및 관리함으로써 시민의 권리와 이익을 증진하고자 안 전하고 투명한 를 통한 신뢰받는 스마 트 사이버 인천 구축 을 목표로 개인정보 보호법 에서 규정하고 있는 관리적 기술적 물리적 안전 성 확보조치 등 각종 의무사항 이행을 통하여 효과적 인 업무를 추진하고자 노력하였다. 2. 추진실적 가. 추진계획 수립 시행 인천광역시에서 처리하는 개인정보가 분실 도 난 유출 변조 또는 훼손 되지 않도록 체계적이고 안전하게 관리하기 위해 202년 추진 계획을 수립하여 시행하였다. 추진계 획은 관리강화, 기술 시스템적 보호 장치 강화, CCTV 관리강화, 교육 및 홍보 분야로 이 루어져 있다. 나. 개인정보 관리 및 개인정보파일현황 조사

235 203 연차보고서 년 6월부터 8월까지 시 본청 및 사업소, 직속 기관 등 전 기관을 대상으로 개인정보 목적 외 제공, 열람 및 정정, 침해사고, 개인정보 책임관 지정현황, 담당자 지정 등 개인정보 관리현황을 조사하였으 며, 조사결과는 효과적인 업무 추진 을 위한 기초자료로 활용하였다. 아울러, 개인정보 보호법 제 32조(개인정보 파일 등록 및 공개)에 따라 총 6,870개의 개인정보파 일을 종합지원시스템( privacy.go.kr)에 등록, 변경, 파기 등 일제 정비함으 로써 인천광역시 보유 개인정보 파일목록 열람이 가능하게 하였으며, 정보주체가 처리정지 및 삭제 요구를 할 수 있는 기회를 제공하였다. 이번 전수 조사에서는 기 등록된 개인정보 파일 의 파일명, 보유목적, 보유근거 등 5개 항목에 대한 변경사항을 조사 및 수정 보완하였으며, 신규파일 은 추가하고 보유기간이 만료된 파일은 파기하는 등 개인정보파일 현행화를 추진하였다. 다. 개인정보 처리방침 정비 개인정보 보호법 제 30조에 따라 개인정보 의 안전한 보호 관리를 위하여 개인정보 처리방침 을 수정 보완하여 202년 8월에 홈페이지에 공개 하였다. 개인정보 처리방침의 정비내용으로는 개인 정보의 처리목적, 처리 및 보유기간, 개인정보의 제 3자 제공에 관한 사항, 개인정보 처리의 위탁에 관 한 사항 등이 있으며, 이와 더불어 산하기관의 개인 정보 처리방침 수립에 대한 점검도 실시하였다. 라. 개인정보 유 노출 상시 모니터링 및 개인정보 침해신고 센터 운영 인천광역시 대표 홈페이지 등 모든 웹 사이트에 대해 개인정보필터링시스템을 이용하여 게시판 등 에 개인정보가 유 노출 되지 않도록 상시 모니터링 을 실시하여 지속적으로 관리하고 있다. 직원들에 대해서도 개인정보의 유 노출 시 피해사례, 위반 시 처벌규정 등의 지속적인 교육을 실시하고 안전행 정부에서 제작 배포한 화면보호기 를 설치하는 등 사전 예방 활동을 중점 추진하였다. 또한, 개인정보 침해 시 정보주체의 권리를 보장 하기 위해 대표 홈페이지내 개인정보침해신고센터 를 지속적으로 운영하고 있다. 마. 교육 실시 인식 제고 및 전문성 강화를 위하 여 202년 교육 계획을 수립하고 개 인정보보호책임자, 담당자, 취급자 및 일반직원을 대상으로 컨퍼런스, 순회교육, 개인 정보보호 전문과정, 사이버교육 등을 실시하였다. 또한, 동영상으로 제작한 교육 자료를 활용, 공무 원 및 공사 공단 등 소속기관의 직원을 대상으로 e- 온라인 교육 과정을 운영하여 개인 정보보호의 필요성, 관련 법제도, 관리방법, 기술적 보호조치 등의 이해와 실행력 제고를 위한 노력을 기울였다. 3. 향후계획 개인정보 처리 과정에서의 유 노출, 해킹 등 개 인정보 침해사고를 방지하고 안전하고 체계적인 관 리를 위하여 내부관리계획 수립 및 개인정보 처리 방침 정비 등 관련 제도를 지속적으 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

236 제3장 행정부 222 로 정비할 계획이다. 또한, 매년 시행계획을 마련하여 개인정보처리, 보유현황 조사, 유 노출 모니터링, 실태점검, 교육 실시, 개인정보 처리시스템 안전성 확보조치 등을 추진하고, 솔루션 도 입 등 를 위한 시스템을 강화하여 개 인정보 보호에 취약한 부분이 생기지 않도록 지속 적으로 관리를 강화할 예정이다. 광주광역시. 개요 광주광역시에서는 안전하고 신뢰받는 개인정보 보호 종합시책을 수립하여 체계적인 관리체계를 마련하고 분야별 책임자를 지정하여 그 역할을 강화하였다. 특히, 매월 셋째주 수요일을 개 인정보보호의 날 로 지정하고 의 중요 성에 대한 인식을 제고하여 전 직원에게 개인정보보 호의 경각심을 부여하였으며, 개인정보의 기술적 관리적 안전조치 강화 및 실태조사 실 시, 교육 실시, 웹 사이트상 개인정보 보호 강화, 개인정보 침해대응 및 피해구제 활성화 등 와 관련한 다양한 시책을 추진하였다. 2. 추진실적 가. 정책 및 방침 수립 개인정보 보호법 전면시행( )에 따 른 체계적인 관리를 위한 광주광역시 개인정보 내부관리 계획 및 개인정보 처리방침수립 (202.2.), 개인정보 유 노출 사고 대응 지침서 수 립(202.8.) 시행 등으로 개인정보의 안전한 이 용 관리 기반을 구축하였다. 나. PC 솔루션(PC스캔) 도입 업무용PC 내에 개인정보가 포함된 문서의 유출 을 사전에 예방하고 개인정보를 효과적으로 관리하 고자 202년 8월에 PC 솔루션(PC스 캔)을 도입하여 0월부터 본격 운영에 들어갔다. 본 시스템이 PC내 개인정보가 포함된 문서를 자동 검색하여 삭제, 암호화 저장 등 처리를 함으로써 개인 정보의 유출과 노출을 사전에 방지하고 개인정보보 호 관련 각종 사고를 미연에 방지할 수 있도록 하였다. 다. 개인정보파일 일제정비 실시 광주광역시가 보유하고 있는 개인정보파일에 대 하여 202년 2월에 고유식별정보 보유시스템 7종( 암호화조치대상)에 대한 DB암호화를 수행하고 업 무용 PC에 대한 개인정보의 삭제 및 암호화 조치를 완료하여 개인정보 유출사고에 대비하는 등 개인정 보보호 체계를 강화하였다. 라. 의무사항 위반사례 안내 및 필수조치 사항 자체 지도 점검실시 전 부서의 법적 필수조치사항 이행여부에 대한 지도 점검 및 개선이 필요하여 필수 조치사항 자체 지도 점검을 상 하반기에 각 회 씩 실시하여 법 위반사례가 발생하지 않도록 하였 으며 부서별 자체점검 결과 미흡사항에 대해서는 개선조치 할 수 있도록 하였다.

237 203 연차보고서 223 마. 교육 실시 새로운 개인정보 보호법 의 주요내용과 개인 정보보호를 위한 의무 이행사항에 대한 숙지와 대 처를 위하여 전 직원을 대상으로 자체교육(3,453명) 을 실시함으로써 직원의 인식을 제고 시키는 계기를 마련하였다. 바. 의 날 및 사이버 보안 진단의 날 운영 부서 DB서버에 대한 암호화 및 접근제어시스템 확 대구축 등 다양한 보호활동을 통해 보유중인 개인 정보를 더욱 안전하게 보호하기 위한 노력과 개인 정보 보유량을 최소화하기 위한 시책을 추진함과 동시에 개인정보 보호법 의무사항 준수를 위해 전 직원 대상으로 교육을 강화 하는 등 지속적으로 노력할 것이다. 대전광역시 주요 현황 2 정책실적 및 성과 개인정보취급자의 에 대한 인식을 높이고 업무용 PC를 각종 바이러스 및 외부 유출 요 인으로부터 보호하기 위하여 매월 셋째주 수요일을 의 날 및 사이버 보안 진단의 날 로 지 정 운영하여 전 직원이 및 업무용 PC의 보안관리에 대한 인식제고 등 의 중요성과 경각심 등을 강조하고 있다. 사. DB접근제어 시스템 구축 외부에서 접근이 용이한 웹서버나 개인정보를 보유하고 있는 시 대표 홈페이지 등 3종의 시스템에 대하여 202년 2월에 DB 접근제어시스템을 도 입 설치하여 개인정보 보유시스템에 접속한 사용 자에 대한 접근 이력관리 및 개인정보의 유출방지 등을 통해서 개인정보 유 노출 관련 문제를 사전 에 차단하기 위한 시스템을 마련하였다. 3. 향후계획 광주광역시에서는 203년에도 자 체 지도 점검실시, 업무용 PC의 개인정보를 현업. 개요 대전시는 최근 개인정보의 새로운 영역이 확대 되고 침해 위험도가 증가함에 따라, 강화 및 개인정보 안전성 확보를 위한 내부 관리계 획을 수립하여 시행하였다. 또한, 개인정보 노출 및 유출사고 예방을 위해 교육을 강화하 였고, 업무용 PC 개인정보파일 검출 및 관리체계를 도입하여 운영하고 있으며, 체계적인 정책 적용으로 개인정보 보안사고 사전예방에 만전 을 기하고 있다. 2. 추진실적 가. 개인정보 내부 관리계획 수립 개인정보 보호법 제 29조 및 동법시행령 제 30조에 따라 시에서 처리하는 개인정보가 분실 도 난 유출 변조 또는 훼손되지 아니하도록, 202년 월 대전광역시 개인정보 내부 관리계획을 수립하 여 시행하였다. 3 기관별 실적 및 계획 4 해외동향 부 록

238 제3장 행정부 224 나. 교육 실시 3. 향후계획 대전광역시 인재개발원 교과목 편성 시 개인정보 보호 교육 2시간을 반영(3개 과목)하였으며 총 970 명에 대하여 교육을 실시하였다. 202 년 2월에는 대전시청 대강당에서 시 자치구 공 사 공단에 근무하는 공직자 59명을 대상으로 개 인정보보호 전문 강사를 초빙하여 전 반에 관하여 2시간 동안 직장교육을 실시하였다. 대전시는 203년에도 교육 강화, PC 개인정보 암호화 시스템 운영, 의 날 운영, 개인정보 영향평가 실시 등 다양한 개인정 보보호 활동을 통해 개인정보 보유량을 최소화 하 고, 에 취약한 부분이 생기지 않도록 관리활동을 강화할 계획이다. 다. 의 날 지정 운영 울산광역시 매월 첫째 날(휴일시 익일)을 의 날 로 지정 운영하여 PC의 폴더 및 파일공유 금지, PC USB에 개인정보파일 보유여부 점검 및 삭제, 중요 문서는 노출에 대비하여 파일암호 설정, 홈페 이지에 자료 게재 시 개인정보 수록여부 확인 등 개 인정보보호에 대한 주요내용을 시도행정 포털시스 템 팝업창에 게시하고, 전 직원에게 의 중요성을 알리는 등 를 몸소 실천 할 수 있도록 하였다. 라. PC 개인정보 암호화 솔루션 도입 운영 개인정보 보호법 제 29조(안전조치의무) 이 행을 위해 PC내에 보유하고 있는 개인정보에 대한 암호화 프로그램(Privacy-i)을 202년 0월에 도입하 여, 시 본청 및 사업소에 있는 약 3,500여 대의 PC에 설치하여 운영하고 있다. 암호화 프로그램의 주요 기능은 개인정보파일 암호화 저장 및 삭제, 주민등 록번호 등 개인식별정보 검출, 장기간 보유한 개인 정보파일 추이 분석, 개인정보 보유대장 작성 및 보 유현황 보고서 작성 기능 등이 있다.. 개요 울산광역시는 통합보안관제센터를 통하여 개인 정보 유 노출 모니터링을 상시적으로 실시하였으 며, 개인정보취급자 보안의식 제고를 위하여 교육 및 홍보에 적극적인 활동을 추진하였다. 또한, 시 및 각 산하기관, 구 군별 개인정보 관리실태점검 및 개인정보파일 일제정비를 통하여 불필요한 개인정 보 보유에 따른 침해사고가 발생하지 않도록 사전 에 방지를 하였다. 2. 추진실적 가. 통합보안관제센터 및 개인정보 노출 차단시스템 운영 울산광역시에서 구축 운영하고 있는 통합보안 관제센터 를 통하여 본청, 사업소 및 구 군에서 운 영하고 있는 정보시스템과 PC에 대하여 연중 상시 모니터링을 하고 외부 침입을 방지 탐지하여 디도 스(DDos : Distributed Denial of Service) 등의 사이버

239 203 연차보고서 225 침해사고 대응 및 내부정보 유출을 원천 차단하였 다. 또한, 주요 홈페이지에 개인정보 노출차단시스 템을 설치 운영하면서 게시물 및 첨부파일에 대한 개인정보를 사전 필터링하여 개인정보가 유 노출 되지 않도록 실시간 감시 차단함으로써 개인정보를 안전하게 관리하고 침해사고를 사전에 방지하였다. 나. 개인정보 관리실태점검 관리수준 진단을 개선하고 미비점 을 보완하기 위해 본청 전 부서, 사업소 산하기관 및 구 군 등을 대상으로 법적 필수 조 치사항 관리실태점검을 실시하였다. 실태점검 시 개인정보 처리방침 수립, 개인정보 처리시스템 기 술적 안정성 보호조치 사항, 개인정보 수집 동의 법 적 절차 준수, 개인정보파일 등록 및 파기 여부 등을 자체 점검하여 미흡한 부분을 개선하는 등 개인정 보 관리에 총력을 기울였다. 다. 개인정보 교육 실시 개인정보를 직접 다루는 부서별 개인정보 취급 자 및 담당자에 대하여 전 부서, 사업 소, 산하기관 및 구 군 직원(308명)을 대상으로 개인정보 보호법 의 필요성, 중요내용, CCTV설치 및 관리, 법적 필수조치 사항 등을 교육하였다. 자치 단체 및 공공기관에서 개인정보 법적 의무 조치사 항을 이행하여 시민들의 소중한 개인정보를 보다 안전하게 보호할 수 있는 계기가 되었으며, 직원들 의 개인정보 보호 인식 수준을 제고하였다. 라. 개인정보파일 일제 정비 울산광역시 전 부서, 사업소 산하기관 및 구 군 등에서 보유 관리하고 있는 개인정보파일에 대한 일제정비 계획을 수립, 전수조사를 실시하여 신규 등 록 및 변경, 파기 조치를 통해 목록을 재정비하였다. 또한, 개인정보 보호법 제 32조(개인정보파일 등 록 및 공개)에 따라 개인정보종합지원시스템(www. privacy.go.kr)에 개인정보파일 등록 및 변경, 파기조 치를 완료함으로써 정보주체가 울산광역시에서 보 유한 개인정보파일 목록 열람이 가능하게 하였으며, 처리정지 및 삭제 요구를 할 수 있는 기회를 제공함으 로써 개인정보 처리에 관한 투명성을 높였다. 마. 의 날 지정 운영 및 홍보 매월 일을 의 날 로 지정하여 행정 포털(원클릭울산) 팝업창에 컴퓨터 암호설정 및 화 면보호기 설정, 중요문서 암호화, 외부기관에서 개 인정보 요구 시 사용처 및 근거확인 등을 하도록 내 용을 게시하고 공지사항 란에 개인정보 보호법 주요내용 게시 및 청사 엘리베이터 모니터에 동영 상 홍보영상물 상시 상영을 실시하는 등 전 직원에 게 의 실천 및 중요성을 강조하였다. 바. 학습맵 코너 마련 행정포털(원클릭울산)에 학습맵 코너를 마련하여 사이버 교육과정 서 비스(열린공부방, 자율학습), 전문교 육교재(공공기관 알아두기, 개인정 보 보호의 이해와 해설), 관련 동영상 (알고 지키자!, CCTV 개인영상정보 이해하기) 및 그 밖에 관련 매뉴얼 및 참고자료(공공기관 홈페이지 개인정보 노출방지 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

240 제3장 행정부 226 가이드라인, 개인정보관리 업무 매뉴얼 등)를 게재 하여 직원들이 수시로 열람하고 숙지하여 개인정보 에 대한 전문성을 높여 개인정보에 만전을 기할 수 있도록 하였다. 정보 유출사고를 미연에 방지하기 위한 노력을 지 속적으로 하고 있다. 2. 추진실적 3. 향후계획 가. 경기도 조례 제정 조직을 적극적으로 활용하여 체계 적인 활동을 펼쳐나갈 계획이다. 개 인정보 위탁업무에 따른 활동 강화, 공무원 및 민간 분야 교육 홍보 활동 확대를 통한 인식 제고, 정기 적인 개인정보 파일정비, 개인정보 처리방침 및 내 부관리계획 개정, 개인정보 침해대응 절차 마련 및 침해사고 모의 훈련 등을 실시하여 활동을 추진해 나갈 것이다. 또한, 개인정보 수집 서 식 개선을 통하여 개인정보 수집을 최소화하고, 개 인정보 유출 차단시스템 운영 강화 및 PC 내 개인정 보 보유 0%를 목표로 추진해 나갈 계획이다. 경기도. 개요 경기도는 보유하고 있는 도민들의 개인정보에 대하여 법령에 따라 안전한 관리체계를 수립하여 수행중이며, 개인정보의 관리적, 기술적, 물리적 보 호조치를 강화하는 조치사항으로, 202년에 경기 도 조례 및 경기도 내부관리계획을 수립하였고, 업무용PC 개인정보 암호화 솔루션 도 입, 개인정보 영향평가 컨설팅 실시 및 직원들을 대 상으로 정기적인 교육을 실시함으로 써 직원들의 의식 수준을 높여 개인 경기도는 개인정보 보호법 의 제정에 따라 개 인정보 관리적 조치로 경기도 조례 를 202년 5월에 재정 공포하였다. 조례에 경기도 개 인정보보호책임자와 담당자의 지정, 심의위원회, 집단소송 대응을 위한 보 험가입 등을 규정하여 개인정보의 수집 유출 오 남용으로부터 사생활의 비밀 등을 보호함으로 써 도민의 권리와 이익을 증진하려 노력하였다. 나. 경기도 개인정보 내부 관리계획 수립 경기도는 개인정보 보호법 제 29조(안전조 치의무) 및 동법 시행령 제 30조(개인정보의 안전성 확보조치)에 의해서 개인정보 내부 관리계획을 수 립(20.0월) 개정(202.2월)하여 경기도 내부 관리 체계, 조직의 역할 및 책임, 개인정보 처리단계 별 관리 계획, 개인정보의 기술적 보호 조치, 정보주 체의 권리보장, 영상처리기기 관리 계획, 개인정보 보호 교육, 개인정보 침해대응 및 피해구제에 대한 적법하고 안전한 관리체계를 수립함으로써 개인정 보의 관리적 조치를 강화하였다. 다. 개인정보 암호화 솔루션 구축 사업 경기도는 202년에 개인정보의 기술적 보호 대 책으로 개인정보 암호화 솔루션 구축 사업을 추진

241 203 연차보고서 227 하여, 업무용 PC내 개인정보를 검출하여 암호화하 는 PC 솔루션 구축과 홈페이지 개인 정보 DB 암호화 구축, 초과근무시스템 내 바이오 정 보 암호화 구축, 외청 홈페이지 개인정보 노출 차단 시스템 구축, 을 통한 개인정보의 유출을 방지 하기위하여 메일필터 솔루션 구축 및 개인정보 영 향평가 컨설팅을 실시하였다. 라. 개인정보파일 일제정비 경기도는 ~ 0.5. 사이에 경기도가 보 유한 개인정보 파일을 일제 점검 하여 개인정보 파일 명, 보유목적, 보유근거, 보유개인정보 등을 정비하여 종합지원시스템( go.kr)에 변경등록, 추가등록 및 삭제 등을 실시해서 정보주체가 보유한 개인정보파일 목록 열람, 개인정 보 처리정지 및 삭제요구를 할 수 있도록 제공하였다. 마. 교육 실시 경기도는 202년 3월과 9월에 개인정보취급자 및 담당자, CCTV관리 담당자, 수탁업 체 유지보수업체 및 일반직원을 대상으로 개인 정보보호법 의 주요내용, 개인정보 침해사례, 개 인정보 보호법 처리 단계별 수행 방법에 대한 교육 을 실시하여 의식 수준을 제고하였다. 3. 향후계획 경기도는 203년에 개인정보 유출대응 지침 을 수립하여 개인정보 유출에 따른 피해 확산 및 추가 유출을 효과적으로 방지하고, 개인정보 유출사고에 따른 민사 사고에 대비하여 배상 책임보험에 가입하 고, 첨단화된 다양한 사이버위협에 대응하기 위해 예방위주 방어를 위한 모니터링 체계 구축 및 본청, 직속기관, 도의회, 사업소 및 도내 중소기업을 대상 으로 하는 교육을 실시할 계획이다. 마지막으로, 업무용PC에 저장된 개인정보 파일 을 전수 조사하여 불필요하거나 이미 보유목적을 달성한 개인정보 파일은 모두 삭제조치 및 점검하 고, 개인정보 처리실태 및 CCTV운영 실태점검, 홈 페이지 점검을 정기적으로 실시하여 개인정보 처리 에 위법사례가 발생하지 않도록 예방활동을 지속적 으로 할 계획이다. 강원도. 개요 강원도는 개인정보 안전관리계획( )을 세워 개인정보의 관리체계를 확립하였으며, 이에 따라 개인정보파일 재정비 및 개인정보 관리실태점 검, 개인정보의 기술적 보호조치 등을 추진하였고, 담당자 및 취급자를 대상으로 내부교 육 등을 통해 인식 제고에 힘썼다. 또한, 웹 사이트 보안취약점 점검 조치 및 공공 I-PIN을 도입하여 홈페이지를 통한 개인정보 노출 을 예방하였고, 사이버통합보안관제센터 를 운영 하여 강원도 내부 시스템 및 PC에 대한 사이버 침해 에 대응하고, PC 시스템 및 DB 접근 제어시스템을 도입함으로써 내부정보 유출 차단을 위해 노력하고 있다. 2. 추진 성과 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

242 제3장 행정부 228 가. 교육 실시 제고에 기여하였다. 본청 내 실과 및 사업소와 시군, 공공기관(교육청 포함)의 담당자, 취급자 272명이 참석 한 가운데 전문강사를 통한 교육을 실시함으로써 개 인정보 처리단계별 의무 조치사항 및 관리적 기술 적 물리적 안전성 확보조치 등을 숙지 및 이행토록 하였다( ). 또한, PC 시스템 의 도입과 함께 본청 실과소별 보안담당자를 대상으 로 교육을 실시( )하여 개 인정보의 철저한 관리를 위한 인식 제고에 힘썼다. 나. 개인정보파일 일제정비 강원도 본청 및 시군에서 보유 관리하고 있는 총 7,822개의 개인정보파일 등록 및 변경, 파기조치 를 완료함으로써 국민들이 강원도 내에서 보유하는 개인정보파일 목록을 열람할 수 있게 하였으며, 처 리정지 및 삭제요구를 할 수 있는 기회를 제공하였 다. 또한, 운영 중인 개인정보파일에 대한 개인정보 처리방침을 개인정보 보호법 제 30조에 따라 변 경 수립하여 홈페이지 등에 공개하도록 조치하였다. 라. 사이버통합보안관제센터 운영 2008~2009년까지 2단계에 걸쳐 구축하여 운영 중인 사이버통합보안관제센터 는 도 시군 900여 대 정보시스템과 2만여대의 업무용 PC에 대하여 사 이버침해 대응, 정보자원 관리, 내부정보 유출 차단 을 수행함으로써 해킹이나 악성코드 등을 통한 개 인정보의 외부유출 방지에 기여하고 있다. 202년 사이버침해 위협 보안관제 현황은 탐지 건수 2만 9,39건, 침해 및 대응건수 7만 7,406건 으로 일일 평균 3,094건이 탐지되고 있으며, 방화벽 등 정보보호시스템을 이용하여 차단ㆍ대응 하였다. 위협탐지/차단 비율을 보면 자료유출 시도 55%, 단순침입 시도 28%, 서비스 거부공격 9% 등 전체의 92%가 내부정보 유출을 위한 사이버 위협으로 나타 나고 있으나 위협정보를 분석하여 방화벽 침입탐지 시스템(IPS) 등으로 차단 및 대응함으로서 내부 개 인정보 및 행정 정보의 유출을 방지하였다. 마. 기술적 보호조치 강화 다. 개인정보 관리실태점검 관리수준 진단 개선 보완을 위해 각 부서 및 사업소, 직속기관을 대상으로 정기적인( 연 2회) 현장 관리 실태점검을 실시하였다. 개인정 보 처리방침 수립, 개인정보 처리시스템 운영현황 및 기술적 안전성 확보조치사항 확인, 개인정보파 일 등록 및 삭제 관리대장 작성 등을 점검하여 개인 정보보호 의무 조치사항의 미흡한 부분을 개선 보 완하고 개인정보취급자의 의무사항 숙지 및 인식 본청 업무망에서 사용하는 업무용 PC에 보유한 를 위해 PC 시스템을 도입하고 운영( )하였으며, 개인정보 처 리시스템 DB의 보호조치로 DB 접근제어시스템을 도입(202.2)하였다. 이를 통해 개인정보 검출 및 암호화 등 기술적 보호체계를 확립하고 로그기록 보관 등 안전성 확보조치를 강화하였다. 바. 웹 사이트 보안취약점 점검

243 203 연차보고서 229 강원도에서는 해킹 등 외부침입에 대비해 국제 웹 보안 표준기구(OWASP : The Open Web Application Security Project) TOP 0(0대 보안취약점)을 바탕으 로 보안취약점 점검을 실시하였다. 도 및 시 군에서 운영 관리 중인 02개 웹 사이트를 대상으로 점검 결과 도출된 취약점 개선을 통해 해킹 또는 개인정보 침해사고 방지를 위하여 노력하고 있다. 3. 향후계획 개인정보 보호법 이 시행됨( )에 따 라 강화된 개인정보 안전성 확보조치 의무를 준수 하여 강원도에서 보유하고 있는 개인정보를 안전하 게 처리하고 도민의 권리를 보장하기 위하여 최선 의 노력을 다할 것이다. 개인정보의 관리적 보호조치로써 강원도 개인 정보 안전관리계획 을 기초로 하여 개인정보 처리 단계별 의무 조치사항 및 내부 교육, 관리 실태점검 등을 지속적으로 추진 및 개선 시행하여 보다 안전 한 개인정보 관리체계 확립에 힘쓸 예정이다. 개인정보시스템의 기술적 관리적 보호조치를 수시로 점검 보완하고, 추후에 에 취 약한 부분이 생기지 않도록 지속적으로 교육 점검 할 계획이다. 충청북도. 개요 개인정보 보호법 이 시행 되었음에도 불구하 고 개인정보에 대한 침해사고가 지속적으로 발생하 여 전 직원이 항상 개인정보 오 남용 및 유출 방지 를 위한 보안 의식을 강화하고자 전방위적 홍보와 교육을 추진하고 있다. 2. 추진실적 가. 교육 전 직원을 대상으로 한 집합교육과 케이블 TV를 통한 교육을 실시했고 개인정보 보호법 에 대한 전 직원 교육과 도의회 방송시스템을 이용하여 전 직원 시청각 교육을 실시하였으며 행사 시 대기시 간 등을 활용한 틈새교육을 실시하였다. 또한, 한국 인터넷진흥원의 전문가를 초빙, 전 직원에 대한 집 합교육도 실시하였다. 나. 개인정보 보호법 홍보 개인정보 보호법 의 전방위적 홍보를 위하여 관리자급이상 공무원,000명에게는 마우스 패드를 특별 제작 보급하여 0대 수칙과 개인정보 보호법 시행으로 달라지는 점 등을 수 시로 접할 수 있게 하여 결재과정에서 다시 한 번 개 인정보보호에 대한 검토를 할 수 있게 하였다. 주요내용을 보면 0대 수칙으로는 개인정보 처리방침 및 이용약관 꼼꼼히 살피기, 비 밀번호는 문자와 숫자로 8자 이상, 회원가입은 주민 등록번호대신 I-PIN을 사용하는 등 정부와 공공기관 에서 강조하는 내용으로 구성되었고 개인정보 보 호법 시행으로 규율대상이 공공과 민간부문을 통 합한 전 국민으로 변하였고, 보호범위 측면에서는 컴퓨터 등으로 처리되는 개인정보 파일에서 종이문 서에 기록된 정보까지도 포함된다는 것이 달라졌다. 고유식별정보 처리 부문에는 인터넷 상에서 주 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

244 제3장 행정부 230 민등록번호 이외의 회원가입 방법 제공 의무화로 대상이 확대된 점, 영상정보처리기기 부문에서는 공개된 장소에 설치 운영되는 CCTV와 민간부문까 지 규제 대상이 확대된 점, 텔레마케팅 부문에서는 개인정보를 마케팅에 사용 시 정보주체가 알기 쉽 도록 고지하고 동의를 얻어야 한다는 점과 개인정 보파일 관리부문에서도 공공기관이 개인정보파일 보유시 안전행정부에 등록하고 안전행정부장관은 등록사항을 공개하도록 달라진 점 등을 상세히 기 술하여 보급하였다. 또한, 표어를 제 작하여 업무용 PC모니터에 표어를 부착하여, 항상 를 생활화 할 수 있도록 하였다. 우리 도를 방문하는 민원인에게 를 위하여 각 사무실 출입문에 0대 수 칙 스티커를 제작하여 개인정보의 중요성을 홍보하 였다. 0대 수칙은 민원인들 입장에 서 쉽게 작성하여 게시하였는데 그 내용으로는 윈 도우즈 보안패치 자동업데이트 설정하기, 바이러스 백신 프로그램 실행하기, 윈도우즈 로그인 패스워 드 8자 이상 설정하기(영문 숫자조합), 패스워드는 3개월마다 변경하기, 인터넷에서 받은 파일 바이러 스 검사하기, 출처가 불분명한 메일 바로 삭제하기, 개인정보가 포함된 문서 PC에 저장하지 않기, 인터 넷 상에서 개인 및 금융정보 알려주지 않기, 중요문 서 파일 암호 설정하고 백업 생활화하기, 개인정보 가 포함된 문서는 비공개 설정하기 등이 있다. 다. 책임자 지정 및 산하기관 시달 개인정보 보호법 시행으로 책 임자를 지정하고 개인정보 처리방침을 제정하여 홈 페이지에 게시하는 한편 산하 전 기관으로 개인 정보 보호법 시행에 따라 조치하여야 할 사항을 시달하여 조치토록 하였으며, 내부 관리계획을 수 립하여 체계적으로 를 보호하기 위해 업무를 추진해 나가고 있다. 3. 향후계획 첫째, 개인정보 보호법 의 조기 정착과 국민 의 소중한 를 위하여 교육과 홍보를 지속적으로 추진해 나갈 계획이며 구체적으로는 개인정보 보호법 시행에 따른 주요내용과 이행사 항에 대한 자료를 공람하여 전 직원이 공유토록 할 것이다. 둘째, 법 의무 위반사례를 전파하고 도 산하 전 기관에서 개인정보 자가진단을 실시하여 미비한 기관에 대해서는 의무사항 이행실태 를 점검하고 내부직원을 대상으로 교 육과 대 도민 홍보를 지속적으로 실시할 계획이다. 충청남도. 개요 충청남도는 개인정보 보호법 의 본격 시행에 대비, 개인정보의 안전한 처리 및 도민의 권리와 이 익 증진을 중점으로 정책을 추진하였 다. 이를 위해 법에서 의미하는 적법하고 안전한 정 보보호 관리체계 수립은 물론, 관리적 기술적 물 리적 안전성 확보를 위한 다각적인 노력을 하였으 며, 신청사로의 통합정보센터 이전과 사이버 침해 사고 예방 강화를 위한 사이버 침해대응센터 를 구 축 하였다. 이는 안전하고 투명하게 개인정보를 보 호하고 각종 위협으로부터의 침해사고 예방을 위한

245 203 연차보고서 23 정보보호 관리체계 구축의 일환이다. 2. 추진실적 가. 정책수립 시행 강화된 개인정보 보호법 의 효율적 추진을 위하여 책임자와 담당자를 지정하여 정보보안 및 업무를 총괄하고, 부서 별 개인정보 취급자 등이 개인정보 처리 시 준수하 여야 할 사항들을 나열한 내부 관리계획 과 개인정 보 처리방침 을 개정하였다. 그리고 보유하고 있는 개인정보의 안전한 관리와 개인정보 처리 시 내 외부 침해사고로부터 정보보호 활동을 위한 절차 적 관리적 차원의 정책 마련으로 관리자의 관심을 이끌어 내었다. 나. 교육 및 홍보 실시 소속 공무원 및 산하기관 임직원들을 대상으로 전문가를 초청하여 개인정보 노출방지 및 대응 방 안 에 대한 특강을 실시하였다. 직무과정으로는 공 무원교육원에서 기본과정 이상 운영 시 개인정보보 호 및 정보보안 교육 실시를 의무화하였고, 전문과 정으로 사이버교육을 개설하여 개인정보취급자 (277명)에 대한 교육을 실시하였다. 또한, 도 행정정 보시스템의 행정포털에 정보보호자료실 게시판을 운영하여 법 제도 홍보 영상물 및 정보보호 가이 드라인 기준 등을 상시 게시하였다. 다. 개인정보파일 일제정비 도 본청 및 시군에서 보유 관리하고 있는 개인 정보 파일에 대한 누락분에 대하여 신규 등록하고, 기존 파일은 변경 등록하여 현행화 하였으며, 이용 기간이 지났거나 처리목적이 달성된 경우는 파기조 치를 하는 등 목록을 표준 목록으로 재정비 하였다. 안전행정부에서 지원하는 개인정보종합지원시 스템을 통해 개인정보파일 및 CCTV 현황 등을 등록 하여 실시간 열람이 가능토록 하였으며, 정보주체 가 우리도에서 보유한 개인정보 목록을 열람한 후 처리 정지 및 삭제 요구할 수 있는 권리를 제공함으 로써 개인정보 처리에 관한 투명성을 갖추었다. 라. 관리수준 진단 실시 안전행정부에서 2개 지표 2개 항목(4개 정성지 표, 8개 정량지표)에 대하여 관리수준 진단 자율점검과 현장진단을 실시한 결과 우리도의 자율진단은 96.5점으로 매우 우수한 성적(지자체 평균 93.9점)으로 나타났으며, 정보화사업 위탁 수 행이나 재 위탁 제한에 대한 지적 등이 차후 개선 항 목으로 진단되었다. 관리수준 진단의 실시를 통해 우리도가 운영하고 있는 관리 실태를 가늠해 봄으로써 취약한 부분에 대하 여 보완하고 수준 제고를 위한 계기로 삼았다. 또한, 수준 향상을 위하여 법제도 의무사항 준수 여부에 대한 지도점검과 개인정보에 대한 영 향평가 실시, 고유식별정보 및 민감정보에 대한 DB 암호화를 지속 추진하는 등 개인정보 안전성 확보 조치를 한층 더 강화 하였다. 마. 사이버침해대응센터 보안관제 운영 지능화 고도화 되고 있는 사이버위협에 신속하 게 대응하기 위하여 충청남도 사이버침해대응센터 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

246 제3장 행정부 232 를 구축하였고, 24시간 상시 근무체계(2인 3교대)를 유지하여 사이버 보안관제를 운영하고 있다. 주요 정보통신시설에 대한 24시간 감시체계와 내 외부 접속자에 대한 보안강화를 통해 각종 해킹 악성코 드 등을 실시간 탐지 차단하여 사이버 위협에 적 극 대응하였다. 그리고 주요 사이트에 대한 게시물 과 첨부파일의 사전 필터링과 지속적인 모니터링 실시, 금지어 게시 및 유해사이트 차단 등을 통해 행정정보와 정보자산에 대한 안전하고 투명한 행정 서비스를 제공 하였다. 또한, 우리도 대표 홈페이지 (충남넷)를 비롯하여 주요 사이트에 대한 취약점 점 검 및 개선을 통하여 해킹 DDoS 등의 침해사고 사 전 예방과 정보보안 강화에 주력하였다. 전라북도. 개요 개인정보를 안전하게 보호 및 관리함으로써 국 민의 권리와 이익을 증진하고자 개인정보 보호 법 에서 규정하고 있는 관리적 기술적 물리적 안전성 확보 조치 등 각종 의무사항 이행을 통하여 효과적인 업무를 추진하고자 지속적 으로 노력하였다. 2. 추진실적 가. 202년 관리계획 수립 시행 3. 향후계획 개인정보 보호법 정착을 위하여 개인정보 처리 단계별 필수 이행사항 준수와 개인정보 처리 방침 개정 및 개인정보 내부 관리계획 을 수립 하는 등 한 차원 높은 에 주력하고 있다. 개 인정보보호도 중요하지만 수집되는 개인정보를 최 소화 하는 것이 정책의 최선이라는 판단 아래 도내 조례 및 규칙 등의 행정서식에서 요 구하는 개인식별정보에 대하여 주민등록번호를 생 년월일로 변경하거나 수집을 제한하도록 법제도 정 비를 시행할 예정이다. 그리고 보유하고 있는 개인 정보에 대하여는 안정성 확보 조치 차원에서 개인 정보 DB 암호화 를 추진할 계획이다. 또한, 정보주 체자의 의식 제고를 위하여 지속적으 로 홍보해 나갈 예정이다. 전라북도에서 처리하는 개인정보가 분실 도 난 유출 변조 또는 훼손 등이 되지 않도록 체계 적이고 안전하게 관리하기 위해 202년 개인정보 관리계획 을 수립(202.3.)하여 시행하였다. 개인정 보 관리계획 은 책임자의 의무와 책 임, 기술 관리적 안전조치, 개인정보 현황 관리, 개 인정보보호 교육, 개인정보 침해대응 및 구제 분야 로 이루어져 있다. 나. 개인정보 관리 및 개인정보파일 현황 조사 202년 5월에는 도 본청 및 사업소, 직속기관 등 전 기관을 대상으로 개인정보 목적 외 제공, 열람 및 정정, 침해사고, 개인정보 책임관 지정현황, 담당자 지정 등 개인정보 관리현황 조사를 하였고, 조사결 과 자료는 효과적인 업무 추진을 위 한 기초 자료로 활용하였다. 202년 6월부터 7월까지는 개인정보 보호법

247 203 연차보고서 233 제 32조(개인정보파일 등록 및 공개)에 따라 총,825개의 개인정보파일을 개인정보종합지원시 스템( 등록, 변경, 파기 하는 등 일제 정비를 완료함으로써 전라북도에서 보유하는 개인정보파일 목록의 열람이 가능하게 하 였으며, 처리정지 및 삭제요구를 할 수 있는 기회를 제공하였다. 전수 조사에서는 기 등록된 개인정보 파일의 파일명, 보유목적, 보유근거 등 5개 항목에 대한 변경사항을 조사 및 수정 보완 하였으며, 신 규파일은 추가하고 보유기간이 만료된 파일은 파기 하는 등 개인정보파일 현행화를 추진하였다. 다. 홈페이지 내 개인정보 유 노출 상시 모니터링 및 개인정보침해신고센터 운영 전라북도 대표 홈페이지 등 모든 웹 사이트에 대 해 개인정보 필터링시스템을 이용하여 게시판 등에 개인정보가 유 노출되지 않도록 상시 모니터링을 실시하여 지속적으로 관리하고 있다. 직원들에 대 해서도 개인정보의 유 노출 시 피해사례, 위반 시 처벌규정 등을 지속적으로 교육시키고 안전행정부 에서 제작 배포한 화면보호기를 설 치하는 등 개인정보가 유 노출되지 않도록 사전 예방 활동을 중점으로 추진하였다. 또한, 개인정보 침해 시 정보주체의 권리를 보장 하기 위해 대표 홈페이지 내 개인정보침해신고센 터 를 운영하고 있다. 라. 공무원 교육 실시 문과정, 사이버교육 등을 통해 개인 정보 보호 책임자, 담당자, 취급자 및 모든 직원을 대상으로 교육을 실시하였다. 또한, 동영상으로 제작한 교육 자료를 활용하고, 도민정보알리미 를 통해 도민들에게도 개인정보보 호의 필요성, 관련 법제도, 관리방법, 기술적 보호조 치 등의 이해를 위한 노력을 기울였다. 마. PC용 솔루션 도입 전라북도에서는 PC에 보관 중인 를 위해 개인정보 암호화 솔루션인 개인정보탐색기 를 도입하여 본청 및 사업소 등 전 직원의 PC에 설치하 였으며, 문서 작성 시 개인정보를 탐색하여 암호화 하거나 개인정보를 알아볼 수 없는 형태로 처리하여 강화를 위해 지속적으로 노력하였다. 3. 향후계획 개인정보 처리 과정에서의 유 노출, 해킹 등 개 인정보 침해사고를 방지하고 안전하고 체계적인 관 리를 위하여 개인정보 처리방침 정비 등 개인정보 보호 관련 제도를 지속적으로 정비할 계획이다. 또한, 매년 시행계획을 마련하여 개인정보처리, 보유현황 조사, 유 노출 모니터링, 실태점검, 교육, 개인정보 처리시스템 안전성 확보 조치 등을 추진하고, PC 를 위한 관리 를 지속적으로 관리를 강화할 예정이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 인식 제고 및 전문성 강화를 위하 여 202년 교육 계획을 수립하고 개 인정보보호 컨퍼런스, 순회교육, 전 전라남도. 개요

248 제3장 행정부 234 전라남도는 정보 주체의 권한 강화를 위해 개인 정보보호 체계 및 처리 단계별 개인정보의 관리 보호와 다각적인 활동 등을 통해 개 인정보 보호에 만전을 기하고 있다. 또한, 공공기관의 업무 담당자나 취급자의 인식 부족 등으로 개인정보 무단 활용 및 유출 등 개인정보 침해사고가 발생하지 않도록 도 시 군 산하기관 업무담당자 및 취급자의 역 량 향상을 위하여 교육, 홍보, 지도 점검 등을 추진 하고 있다. 또한, 공공기관 및 소상공인 중소기업까지 개 인정보보호 홍보활동 대상을 확대하여 개인정보에 대한 인식 개선을 위해 노력하고 있다. 2. 추진실적 전라남도에서는 개인정보의 유출 등 보안 취약점 으로부터 사전예방 대응조치 방안을 제시하고 개 인정보 담당자의 업무 역량을 향상시켜 정보주체의 권리보장 강화에 최선을 다하고 있다. 내부적으로 202년 추진계획 과 전라남도 개인정보 내부관리 계획, 전라남도 개인 정보 처리방침 을 수립 게시하여 책 임자 및 각 실과 부서장을 분야별 책임자로 지정, 개 인정보 취급자에게 개인정보를 체계적으로 관리 운영토록 하였다. 도 및 22개 전 시 군, 공사기관 등을 대상으로 개 인정보 관리실태점검 및 개인정보 취급자의 비밀번 호 변경, 접근권한의 주기적인 확인 점검, 취급자 변경시 업무 권한 말소 변경 등을 즉각적으로 시 행토록 하여 업무 목적 외 열람, 불법 유출이 되지 않 도록 자체 점검 및 관리체제 강화 활 동을 펼쳤다. 개인정보의 안전성 확보 조치를 위하여 전체 3,300 대의 업무용 PC 내 시스템을 구축, 개 인정보 보유 여부를 상시 점검하여 개인정보 파일을 격리 삭제 또는 암호화함으로써 개인정보가 분 실 도난 유출 변조 훼손되지 않도록 기술적 보 호조치를 실시하여 사전 예방활동을 강화하였다. 침입차단시스템을 서비스구간(DMZ구간)에 설 치하여 업무망과 분리하여 운영하고 있으며, 시스 템실 등 개인정보 처리구역에 물리적 보안장치를 설치 운영하고 상용 웹하드, P2P, 메신저 등 비인가 프로그램 접속 차단, PC 해킹탐지차단시스템 웹 방화벽 구축 및 백신프로그램 서버보안 솔루션 (SSL 등) 설치 운영, 보안 USB 활용(암호화 등) 및 반 출입시 이력관리 강화, 개인정보 이용내역 기 록(Log) 및 정기적인 분석 보고와 백업을 의무화하 여 개인정보 유출 책임 소재를 파악하는 등 사전 예 방 대응에 총체적인 노력을 가하고 있다. 또한, 정보주체의 인식 변화, 새로운 기술 환경, 그 리고 개인정보 취급분야 확대에 따른 개인정보 업무 담당자의 인식 개선과 업무 역량의 중요성을 인지하 여 개인정보 교육 및 홍보활동을 연중 추진하였다. 도청 및 22개 시 군 개인정보를 취급하는 책임 자 및 담당자, 읍 면 동에서 실질적으로 주민의 개인정보를 다루는 민원 공무원 800여명을 대상으 로 내부교육을 실시하였다. 시 군에서도 취급자 및 이 통장 대상 개인정 보보호 교육 실시, 매월 주민 반상회 등을 통한 개인 정보 보호설명 홍보 리플릿 배포로 에 대한 중요성 인식 제고, 개인이 설치한 CCTV 운 영실태 파악을 위한 읍 면 동 현장 방문 및 안내 판 부착 등 다각적인 홍보 교육활동 을 추진하였다. 전라남도 공무원교육원 교육과정에 정보보호

249 203 연차보고서 235 및 교육 집합 과정 및 사이버과정 을 신설 운영하였고 공무원 신규자반 과정과 6급 중견간부 양성과정 등 장기 교육과정에 개인정보 보호과목을 의무적으로 추가하여 개인정 보 보안의식 함양에 적극 대처하고 있다. 아울러 실천문화 확산을 위하여 개인정보 보호법 지침 고시 해설 책자를 200 부 발간하여 도 내 실 과 소 및 전 시 군에 배 포 홍보하였으며, 연중 개인정보 안전성 확보 및 의무 조치사항, 법률 규정 사항 등을 안내하여 전 직 원들이 개인정보의 중요성을 인식 실천할 수 있도 록 총체적인 노력을 가하였다. 3. 향후계획 203년에는 개인정보 관리체계 및 개인정보 유 노출 예방 대응 역량 강화, 교 육 홍보 확대 실시, 자치단체 법정 의무사항 이행 등을 철저히 점검하여 에 대한 저변 확산 및 심도있는 활동을 전략적으로 추진할 계획이다. 개인정보 사전협의제를 활성화하고 도에서 운영 하는 개인정보 처리시스템 내 DB 암호화 솔루션을 구축하는 등 개인정보 유 노출 사전 예방 대응, 안전성을 지속적으로 강화할 계획이다. 전라남도 사이버침해대응센터와 연계하여 상시 취약점 분석 대응 및 지속적 장비 보강, 주민등록번 호를 대체하는 I-PIN 서비스 의무화를 실시하는 등 의 예방 기능 및 개인정보 침해사고 대응과 피해구 제 강화에도 체계적인 처리절차를 마련, 신속하게 대응할 수 있도록 체계를 정비하고 있다. 또한, 최근 이슈화되고 있는 개인영상정보에 대 해서도 전라남도 폐쇄회로 텔레비전(CCTV) 설치 운영규정 정비를 통해, 개인영상정보의 안전성 확보 및 보호활동도 확대할 예정이다. 앞으로도 전 실과 직속기관 사업소 및 시 군 등을 대상으로 책임자, 분야별 책임 자, 취급자 재정비 및 역할 강화, 교육훈련기관 등을 연계한 교육 프로그램 개설 운영으로 개인정보보 호 협업 체계를 구축하고 지속적인 개인정보 처리 실태점검 및 주민등록번호 유 노출 상시 모니터 링, 주민등록번호 수집 이용 최소화 대책 마련, 안 전성 확보 조치 등을 통해 사전 침해 예방 및 대응 강 화에 집중하고 개인정보 보호법 이 조기 정착될 수 있도록 분야별 홍보 등을 통해 의 식 확산과 에 최선을 다할 계획이다. 경상북도. 개요 국민의 를 위하여 제정된 개인정 보 보호법 이 전면 시행됨에 따라 개인정보에 대 한 인식을 새롭게 하고 기관 내에서 조치할 관리적 측면 및 기술적 조치를 취하여 공공기관에서 보유 한 개인정보에 대한 안정성을 확보하고자 하였다. 2. 추진실적 가. 202년 내부관리계획 및 처리방침 수립 를 위한 체계적인 대책을 수립하여 도민의 권익을 보호하고 개인정보유출을 사전에 방 지하는 등 수준을 향상하고자, 개인 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

250 제3장 행정부 236 정보 관리체계 정비, 관리현황에 대한 점검실시, 교 육 계획 등을 포함하여 202년 개인정보 내부관리 계획을 수립하였다. 나. 교육 참석 및 실시 개인정보 보호법 시행에 따라 중앙기관에서 실시한 지방자치단체 담당자 교육 및 컨퍼런스 등 에 참석하여 개인정보 보호법 주요내용 및 정책 방향 등에 대해 숙지하고 법 시행에 따라 기관 내부 에서 필요한 개인정보 안전성 확보조치 사항에 대 한 준비를 하였다. 또한, 경상북도 자체교육 계획을 수립하여 소속 직원 및 산하기관 담당자를 대상으로 교육을 실시하여, 정보화 시대에서 개인정보의 중 요성과 개인정보 오 남용으로 인한 피해사례를 알 려 개인정보에 대한 인식을 제고하고, 개인정보보 호담당자를 대상으로 개인정보파일 관리 및 기술적 보호장치를 마련하도록 하였다. 다. CCTV 운영실태 관리 및 사전 협의제도 운영 화 시스템을 도입하였다. 업무용 개인 PC에 개인정보 암호화 시스템을 도 입하고 개인정보를 실시간 탐색하여 개인정보 노출 위험 조기 차단 및 PC내 개인정보파일 보안관리로 개인정보를 보호하고 있으며, 개인정보를 처리하는 도와 산하기관의 개인정보의 수집 이용 제한, 안 전성 확보 조치 등 자체점검 계획 수립, 법적 필수 조 치사항을 점검하여 개선조치 하였다. 또한, 사용자별 이용 업무를 고려하여 정보의 대 상별, 지역 관할별, 취급자별, 업무관리 범위별 등으 로 접근 권한을 설정하고, 입 출력 및 수정사항, 자 료 열람사항 등 데이터 접근내역 등을 로그로 기록 하여 오 남용 사고를 예방하였다. 3. 향후계획 지역주민 지역사업자들이 인식 제고 및 필수 조치 이행을 위하여 대상별 교육 상 담 컨설팅 방문 등을 종합지원 할 수 있는 개인 정보보호 지원센터 를 구축 운영하는 등 향후에도 를 위해 지속적으로 노력할 것이다. 도내 설치된 CCTV에 대한 운영현황 조사 및 보 안성을 검토하여, CCTV에 의한 개인정보가 보호될 수 있도록 방안을 마련하였다. 경상남도. 개요 라. 를 위한 기술적 방안 마련 개인정보 보호법 제 29조, 안전성확보조치 기준고시 제 7조(개인정보암호화)에서 명시한 개인 정보를 위한 안전조치 의무를 수행하기 위하여 정 보보호기술을 적용한 업무용 PC 에 개인정보 암호 경상남도는 지능화 첨단화 되고 있는 악성코드, 해킹 등 각종 사이버테러와 개인정보 오남용 으로 인한 개인정보 유출 사고에 능동적으로 대응하기 위 하여 기관에서 처리하는 개인정보에 대한 관리적 기술적 안전조치 이행에 적극 노력하고 있다.

251 203 연차보고서 추진실적 다. 개인정보 처리실태 관리 강화 가. 추진체계 정비 업무를 체계적으로 추진하기 위하 여 기관의 책임자 를 지정하여 기관 내 개인정보 처리전반에 대한 지도 감독을 총괄하 고 있으며, 부서의 장을 분야별 책임 자 로 지정하여 부서별 직원이 처리하는 개인정보 보호업무 전반에 대하여 총괄하는 역할을 수행하도 록 하고 있다. 또한, 개인정보 처리 업무를 담당하는 직원을 개인정보 취급자로 지정하고, 법률이 정하 고 있는 역할과 의무를 담은 개인정보 보안서약서 를 작성하여 개인정보 처리 시 안전한 보호조치와 함께 법적 의무사항을 이행할 수 있도록 하고 있다. 나. 관련 법령 등 제도 개선 경상남도 개인정보 내부관리계획을 수립하고 전 직원 공지를 통해 내부직원이 시행할 수 있도록 하 고, 개인정보 수집부터 파기까지 전 과정에 대한 내 용을 담은 개인정보 처리방침을 수립하여 정보주체 가 언제든지 내용을 볼 수 있도록 홈페이지를 통해 공개하고 있다. 개인정보 열람 민원 등 정보주체 권리보장을 위해 경상남도 제증명 등 수수료 징수조례 개정(202.2.) 을 추진하여 개인정보 열람민원 신청 시 개인정보취 급자가 처리할 수 있는 근거를 마련하였다. 조례에 근거하거나 내부지침에 의해 개인정보를 처리하는 경우 주민등록번호를 생년월일로 변경하 는 등 필요한 최소한의 개인정보만을 수집하도록 하 기 위해 개인정보 처리현황 조사 및 개인정보파일 정비 시 조례 및 지침 내 서식 정비를 병행하였다. 개인정보 처리 전반에 대한 이행 조치를 독려하기 위해 개인정보 처리시스템 기술적 보호 조치 및 의무 사항 안내, 위탁 업무에 따른 조치, 개 인정보 처리시스템 접속 기록 관리 철저, 개인정보( 주민등록번호 등) 수집 이용 시 준수사항 전달 등 주요 이행사항에 대해 전 직원에게 전파하였다. 개인정보 처리의 투명성과 적정성을 확보하기 위 해 개인정보파일 대장 일제정비와 지자체 개인정보 파일 표준화 정비, 시도 간 교차 점검을 실시하여 개 인정보파일 등록의무 준수를 위해 노력하였고, 개인 정보 처리실태점검 및 처리 현황 조사와 웹 사이트 개인정보 안전성 확보조치 이행 점검을 통해 미비사 항을 개선 조치하여 처리 실태를 강화하였다. 개인정보 침해사고 예방을 위하여 시스템과 업 무용 PC, 종이서류에 대한 부문별 보호조치 이행 점 검을 실시하였다. 시스템 부문으로는 비밀번호의 안전한 작성 규칙 준수, 저장 및 전송 구간 암호화, 접속로그 보관 및 분석, 접근권한 관리, 보안프로그 램 설치 및 최신보안패치 여부를 확인하였다. 업무 용 PC는 보안취약점 분석 시스템과 개인정보 검출 프로그램을 도입하여 PC 내 취약점을 개선하고, PC 에 저장 관리하는 개인정보에 대해 불필요한 파일 완전삭제, 보존파일 암호화로 보호조치를 이행하였 다. 종이서류의 경우 지속 보유해야하는 파일은 시 건 장치가 있는 캐비닛에 별도 보관하고, 불필요 파 일은 파쇄기 등 복구 불가능한 방법을 이용하여 즉 시 파기 조치하고 있다. 라. 전문성 강화 업무담당자 및 취급자를 대상으로 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

252 제3장 행정부 238 집합교육을 3회 실시하여 법 내용 및 필수 이행사항 을 전달하였고, 교육전문기관을 통해 집합교육과정 과 일반교육 내 특별교육과정의 추가, 사이버 교육 과정으로 교육 형태를 다양하게 구성 하여 직원의 역량 강화를 위해 힘썼다. 또한, 개인정보 보호법 계도기간 만료와 함 께 법의 정착화를 위하여 홈페이지, SNS를 통하여 법 안내를 실시하였으며, 공공기관 및 사업자가 꼭 준수해야 하는 사항에 대하여 리플릿, 포스터 제작 배부 및 도정안내 TV, 신문, 도정뉴스 등을 통해 홍 보를 실시하였다. 특히, 사업자를 대상으로 집합교 육과 함께 사업장을 찾아가는 홍보방식으로 법의 정착화를 위한 홍보에 힘을 쏟았다. 3. 향후계획 제주특별자치도는 기존 공공기관의 개인정보 보호에 관한 법률 로 관리되던 개인정보를 새롭게 제정된 개인정보 보호법 기준에 맞게 운영하기 위해 다각적인 노력을 하고 있으며, 기관에서 다루 는 개인정보의 오 남용을 방지하기 위하여 자체 개인정보 내부관리계획을 수립하여 운영하고 있다. 도에서 보유 중인 개인정보는 민원인의 신청 또 는 고유업무 추진을 위하여 수집된 개인정보와 홈 페이지 서비스를 위한 회원정보가 있으며, 이러한 자료는 정보시스템이나 각종 문서 및 수기대장 형 태로 관리되고 있다. 도에서는 정보시스템의 안전 한 관리를 위하여 해당업무 담당자 또는 해당부서 로의 접근권한을 제한하여 운영 관리하고 있으며, 부서별로 책임자 및 담당자를 지정하 여 운영하고 있다. 경상남도는 203년에도 수준제고 를 위하여 직원을 대상으로 자체 교육 및 교육훈련 기관 연계 교육을 추진하고, 분위기 조성을 위하여 홍보 동영상 상영 및 매주 목요일 내 PC 개인정보 지키기 운동 을 실시할 계획이다. 또 한, 개인정보의 안전성 확보를 위하여 개인정보보 호를 위한 시스템을 구축 운영하고 관리적 기술 적 의무사항 이행점검을 통하여 개인정보 처리실태 에 대한 보호조치를 강화함으로써 도민의 개인정보 를 안전하게 처리하는 경상남도가 되기 위해 지속 적으로 노력할 것이다. 2. 추진실적 가. 교육 실시 직원들의 개인정보 보호법 에 대한 이해제고 를 위하여 업무담당자를 대상으로 집 합(순회, 자체)교육이나 사이버교육에 참석하도록 유도하는 등 교육을 강화하였으며, 정보시스템 유 지보수업체 직원에 대해서도 시스템 유지보수 시행 중 개인정보 취급관리에 대한 교육을 실시하였다. 나. 이행 실태점검 제주특별자치도. 개요 부서 및 기관을 대상으로 20년말 실시한 개 인정보 보호법 이행 실태 자체 점검 결과에 따라 개인정보파일 보유부서에서 필요한 의무조치 사항 안내와 관련 규정을 준수할 수 있는 방안을 제시하

253 203 연차보고서 239 는 등 법위반 사례가 발생하지 않도록 조치하였다. 다. 시스템 운영강화 운영중인 개인정보 처리시스템의 자료 보호를 위하여 각종 보안장비(DDos탐지, 침입차단, 침입 방지, 웹방화벽, 개인정보 노출 진단툴 등)를 설치하 여 운영하고 있으며, 개인정보의 안전한 관리를 위 하여 데이터베이스 접근제어, 암호화 시스템, 로그 분석시스템 등을 설치하여 운영해 오고 있다. 또한, 업무용 컴퓨터에 고유식별정보가 포함된 파일을 저장하지 않도록 하고 있으며, 저장된 고유 식별정보는 암호화 저장하도록 관리하고 있다. 그리고, 도 산하 행정기관 및 행정시에서 운영되 는 홈페이지의 회원정보를 통합 운영관리하여 개인 정보보호의 효율성을 높였으며, 홈페이지 회원 가 입 시 주민등록번호를 수집하지 않고, 공공 I-PIN을 이용한 회원가입 유도를 통해 인터넷상에서 주민등 록번호를 사용하지 않고도 본인임을 확인할 수 있 도록 운영하고 있다. 라. 영상정보처리기기 각 부서 기능별로 분산 운영중인 영상정보처리 기기(이하 CCTV)에 대하여 통합 연계 하여 CCTV 통합관제센터를 구축, 개인영상정보 관리 강화의 기틀을 마련하였다. 모든 CCTV 영상정보를 암호화하여 전송 보관 하고 외부 해킹, DDoS 공격 등 각종 사이버침해에 대비하기 위한 정보보호시스템을 구축하였으며, 센 터 전 구역을 보호구역 으로 설정하여 인가자 외 출 입을 제한하여 영상정보 유출을 제한하고 있다. 또 한, 영상정보 백업 시 얼굴 모자이크 기능을 적용하 고, 및 사생활 침해 방지를 위한 주변 지역 구역 블럭 킹 기능도 적용하고 있다. 3. 향후계획 제주특별자치도에서는 정기적인 개인정보 보 호법 이행 실태점검과 개인정보검출 및 개인정보 암호화 솔루션을 도입하여 업무를 통해 수집된 개 인정보가 외부로 유출되지 않도록 지속적으로 관리 해 나갈 계획이다. 또한, 설치 운영하는 영상정보처리기기에 대하 여 개인정보 보호법 및 표준 개인정보 보호지침 의 준수 여부에 대한 지속적인 점검 및 교육을 통하 여 개인영상정보 유출 및 오 남용 방지를 위하여 최선의 노력을 기울일 것이다. 향후 제주특별자치도와 교육청, 경찰청 등 관련 기관이 참여하는 CCTV운영 실무협의회를 구성 운영하여 CCTV가 주민의 생명과 재산을 보호하고 사생활 침해를 방지 하는 데 활용될 수 있도록 제도 적 운영 기반을 마련할 계획이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

254

255 제 4 편 해외동향 제 장 l 국제기구 협의체 제 2 장 l 유럽 제 3 장 l 미주 제 4 장 l 아시아 및 호주

256

257 202 연차보고서 243 제 장 국제기구 협의체 주요 현황 2 정책실적 및 성과 개인정보 보호법 제4조에는 수 준을 향상시키고 해외에서 처리되고 있거나 해외로 유출된 내국인의 개인정보를 보호하기 위해 정부가 노력해야 한다고 규정하고 있다. 는 국제적으로 체결되는 양자 다 자간 협정의 큰 이슈가 되고 있다. 우리나라가 해외 의 데이터 센터 국제기구 다국적 기업 유치, 자유 무역협정(FTA : Free Trade Agreement) 및 글로벌 기 업으로서 해외영업 등을 하기 위해서는 국제사회의 신뢰를 얻는 것이 중요하기 때문에 관 련 국제 이슈를 적극 발굴하고 선도해 나갈 필요가 있다. 먼저 이 장에서는 와 관련된 활동 을 하고 있는 국제기구들을 살펴보고자 한다. 이 러한 국제기구들은 관련 추진원칙 에 따라 경제협력개발기구(OECD : Organization for Economic Cooperation and Development) 기반의 국 3 기관별 실적 및 계획 4 해외동향 부 록 총 론 제기구 와 유럽평의회(COE : Council of Europe) 기 반의 국제기구 로 나뉜다. OECD 기반의 국제기구 는 OECD 8원칙을 기반으로 하며, 아시아태평양경 제협력체(APEC : Asia-Pacific Economic Cooperation) 와 국제프라이버시네트워크(GPEN : Global Privacy Enforcement Network) 등이 이에 해당하고, COE 기 반의 국제기구에는 유럽연합(EU : European Union) 의 제29조 작업반(Article 29 Working Party)이 있다. 이외에도 국제기구회의(ICDPPC : International Conference of Data Protection and Privacy Commissioners)와 같이 국가별 개인정보보 호 감독기관(DPA : Data Protection Authority) 등이 참 여하는 국제기구가 있으며, 정책과 관 련된 논의의 장으로 활용되고 있다. [표 4--]에는 개 인정보보호 관련 국제기구의 주요 활동과 기능 및 202년 한 해 동안의 주요 동향을 수록하였으며, 이 들 내용을 중심으로 본장을 구성하였다.

258 제장 국제기구 협의체 개요 244 표 4-- 관련 국제기구의 주요 활동 및 기능 명 칭 경제협력개발기구 (OECD : Organization for Economic Cooperation and Development) 정보통신정책위원회 (ICCP : Information Communications and Computer Policy) 국제연합 (UN : United Nations) 주요활동 및 기능 980년에 이사회 권고의 형식으로 프라이버시 보호와 개인정보의 국제유통에 대한 가이 드라인 을 채택 202 주요동향: 프라이버시 가이드라인 수정 검토 OECD ICCP WPISP(Working Party on Information Security and Privacy) - ICCP는 정보통신 시장 개방, 프라이버시 보호 등을 논의 - WPISP는 ICCP 산하의 실무 작업반의 하나로 와 프라이버시 관련 업무를 담당 990년 전산 처리된 개인정보파일의 규율에 관한 지침 을 채택 유럽연합 (EU : European Union) 제29조 작업반 (Article 29 working party) 98년 유럽이사회는 개인정보의 자동화 처리에 관계되는 개인의 보호에 관한 조약 을 채택 995년 0월에 EU 의회와 이사회가 공동으로 개인데이터의 처리와 자유로운 유통에 관한 개인정보지침 을 채택 202 주요동향: 프로파일링에 관한 우루과이 선언 규칙 개혁 추진 제29조 실무작업반 - EU의 개인정보 보호지침에 따라 996년 발족되었으며, 독립적인 자문위원회(작업반)로서 관련 자문, 의견조율, 의사결정 등의 역할을 수행 유럽평의회 (COE : Council of Europe) 유럽 평의회는 98년 개인정보의 자동처리와 관련된 개인의 보호에 관한 협약 (Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data, ETS No. 08)을 채택, 999년에 일부 개정 이후 200년에는 감독기구와 국가 간 데이터 흐름에 관한 에 대한 부가 의정서 (Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows, ETS No. 8)를 채택 202 주요동향: 'Convention 08'개정안 작업 추진 아시아태평양경제협력체 (APEC : Asia-Pacific Economic Cooperation) 전자상거래운영그룹 (ECSG : Electronic Commerce Steering Group) 국제프라이버시네트워크 (GPEN : Global Privacy Enforcement Network) 2003년부터 OECD 개인정보 보호지침 과 유사한 APEC 프라이버시 보호 원칙 의 제정을 준비하여 2004년 월 APEC 장관회의에서 최종승인 202 주요동향: CBPRs 절차 확정 APEC ECSG - APEC 분과 연구 작업반으로 국가 간 개인정보 이전 인증체계 (CBPRs, Cross- Border Privacy Rules) 등 논의 OECD 권고에 따라 미국 주도로 설립된 국제기구로 회원국 간 개인정보 이슈와 경험 등을 공유하고 국가 간 협력 강화를 위한 활동 전개(미국, 캐나다, 호주, 독일, 프랑스, 한국 등 2개국 27개 감독기관 참여, 기준) 국제기구회의 (ICDPPC : International Conference of Data Protection and Privacy Commissioners) 아시아태평양 프라이버시 감독기구 포럼 (APPA : Asia Pacific Privacy Authorities) 국제 기관(Data Protection Authority) 협의체로서 보호기구 간 협력방안 모색 및 주요 이슈를 결의문 형태로 발표 EU 기관 간 정보교류를 위한 회의로 출발하였으나 200년부터 참여 범위를 EU 외로 확대 (독일, 프랑스, 한국 등 59개국 94개 기관이 정회원으로 참여, 202년 월 기준) 202 주요동향: APEC의 CBPRs와 EU의 BCR 연계방안 검토 IWGDPT(International Working Group on Data Protection in Telecommunications) - 정보통신 분야의 개인정보, 프라이버시 보호 관련 법제 현황 및 기술과제를 논의하는 연구 그룹 (독일, 캐나다, 한국 등 40개국 60개 보호기구 참여) - ICDPPC의 에 대한 이슈를 실질적으로 다룸 아시아 태평양 지역의 기관 간 프라이버시 이슈 및 대응 방안을 논의하는 포럼 (한국, 호주, 뉴질랜드, 캐나다, 홍콩 등 7개국 개 보호기구 참여, 일본, 마카오는 참관)

259 202 연차보고서 245 제 절 경제협력개발기구 (OECD). 주요동향 OECD는 에 관하여 각국의 규제와 보호 방식이 상이함에 따라 개인정보의 국제적 유통 을 원활하게 하기 위하여 법 제도를 조정하게 되었다. 이에 따라 977년 비엔나에서 국제 데이터 유통과 프라이버시 보호에 관한 국제 심포지 엄을 개최하고, 공적부문 및 사적부문에서의 국제 데 이터 유통에 대한 실태 및 문제점을 조 사하여 기본지침을 제시하였다. 980년 9월에는 프라이버시 보호와 개인정보의 국제유통에 대한 가이드라인에 관한 이사회 권고 (이 하 OECD 가이드라인)를 채택하였고, OECD 가이들 인은 를 위한 기본원칙과 기준으로서 세계적으로 인정받고 있다. 이 가이드라인은 8가지 기본원칙( 수집제한의 원칙, 2 정보 정 확성의 원칙, 3 목적 명시의 원칙, 4 이용 제한의 원칙, 5 안전성 확보의 원칙, 6 공개의 원칙, 7 개인 참가의 원 칙, 8 책임의 원칙) 35) 을 규정하고 있는데, 이 개인정보 보호 기본원칙은 UN 가이드라인이나 EU 지침을 비 롯하여 각국의 개인정보 보호 법제에 큰 영향을 끼쳤 다. 또한, 법적 강제력은 갖고 있지 않으나 개인정보 수집 및 관리에 관한 국제사회의 의견을 반영한 것으 로 회원국이 준수해야 할 일반적인 가이드라인(지 침)을 규정한 데 의의가 있다. OECD는 캐나다 오타와에서 OECD 전자상거래 각 료급 회의를 998년 0월에 개최하여 범세계적 네트 워크상의 프라이버시 보호에 관한 각료선언 (이하 998년 각료선언)을 채택하였다. 여기서 980년에 제 정된 OECD 가이드라인 이 인터넷 프라이버시 보호 의 기본임을 확인하고, 각국 정부와 민간이 네트워크 환경에서 효율적인 프라이버시 보호를 위한 조치를 취할 것을 촉구하였다. 999년 3월에 OECD의 정보통 신정책위원회(ICCP : Information Communications and Computer Policy)는 범세계적 네트워크상에서 OECD 가이드라인 을 실행하고 집행할 프라이버시 보호 도구 및 제도의 목록(인벤토리) (이하 999년 인 벤토리)을 발표하는 등 998년 각료 선언에서 명시한 일련의 조치들에 대하여 구체적인 활동을 하였다. 2008년 6월 OECD 서울 장관회의에서는 변화하는 기술, 시장, 소비자의 행동 및 증가하는 디지털 아이 덴티티의 중요성을 반영하여 OECD 가이드라인 을 재검토(Review)할 필요성이 제기되었다. 이에 따라 200년 2월에 OECD 정보보호작업반에서 가이드라 인 검토에 대한 토론이 이루어졌다 주요 추진사항 가. OECD 가이드라인 수정 검토 OECD ICCP에서는 980년에 제정된 OECD 가이드 라인에 대해 5년마다 갱신여부를 재검토하기로 하였 으나, 지난 2007년에는 개정하지 않기로 결정한 바 있 다. 한편, 202년 6월 ICCP에서 회원국들을 대상으로 실시한 설문조사 결과, 전반적인 개정은 필요 없으나 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 총 론 주 : 35) Collection limitation 2 Data Quality 3 Purpose specification 4 Use limitation 5 Security safeguards 6 Openness 7 Individual participation 8 Accountability

260 제장 국제기구 협의체 개요 246 변화된 정보통신기술(ICT : Information & Communication Technology) 및 환경을 반영할 필요가 있는 것 으로 조사되었다. 사무국은 현재 05명의 전문가 그 룹을 구성하여 온라인에서 관련 보고서를 공유해 OECD 가이드라인을 수정하고 있으며, 회원국의 적 극적인 참여를 요청하고 있다. 나. 개인의료정보 2차 사용에 관한 공동회의 개최 OECD 정보보호작업반(WPISP : Working Party on Information Security and Privacy)과 보건의료품질지 표(HCQI : Health Care Quality Indicators) 전문가 그룹 대표는 202년 5월 개인의료정보 2차 사용에 관한 공 동회의를 개최하고, 이에 대한 결과를 공유하였다. 회의에서는 정보의 목록화 및 환자의 동의, 정보 접근 성, 품질, 지수의 차이, 개인의료정보에 대한 설문조 사 등이 언급되었으며, 프라이버시를 기반으로 포괄 적인 접근의 필요성을 강조하였다. 제 2 절 유럽 평의회(COE). 주요동향 유럽 평의회(COE)는 960년대 초부터 개인정보의 불공정한 수집과 처리를 방지하기 위한 구체적인 원 칙과 규범의 기본 골격을 마련하고자 973년과 974 년에 민간부분과 공공부문의 자동화된 데이터뱅크 에서 를 위한 원칙을 마련하는 결의 (73)22와 (74)29를 각각 채택하였으며, 98년에는 개 인정보의 자동처리와 관련된 개인의 보호에 관한 협 약(Convention 08 : Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (ETS No. 08)) 을 제정하였다. Convention 08 은 정부 및 기업의 개인정보 처리 과정에서 발생하는 프라이버시 침해 위협을 최소화 하고, 개인의 자유와 권리를 보호하는 것을 목적으로 한다(Article ). Convention 08 의 당사국들은 자국 영토 내 모든 사람의 개인정보에 대해 협약 상의 원칙들을 이행하 기 위해서 각 국의 국내법 상 필요한 조치를 취해야 하며 협약 당사국들은 자국 영토에서 협약 당사국 영 토를 매개로 하여 협약 비당사국 영토로 개인정보가 이동할 때, 예외적인 경우를 제외하고는 그러한 이동 을 방해해서는 안된다(Article 2.3.(a)). 이후 200년 3월에 Convention 08 의 개정 작업을 시작하여. 202년에는 20년에 있었던 공개 자문 및 유럽 각국의 제안을 바탕으로 개정안 작업을 추진 중 에 있으며, 정보통신 기술의 변화에 따른 프라이버시 보호의 변화에 대한 내용을 반영하고 있다. 유럽 평의회 Convention 08 의 주요 개정 내용으 로는 새로운 정보통신기술의 사용과 더불어 프라이 버시의 변화에 대한 대응, Convention 08 의 후속조 치 메커니즘 강화, Convention 08 의 원칙은 지속하 되 더 구체적인 권고안과 가이드라인으로의 보완, EU의 법적 프레임워크와의 일관성과 상호 운용성, 기술적 중립성 확립 등이 있다. 한편 유럽 평의회는 를 위한 독립적 인 감독기구의 설치와 국경 간 데이터 이전을 규율하 기 위해 200년 감독기구와 국가 간 데이터 흐름에 관한 에 대한 부가 의정서(Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of

261 202 연차보고서 247 Personal Data, regarding supervisory authorities and transborder data flows, ETS No. 8) (이하 Additional Convention 8)를 제정하였다. Additional Convention 8 에는 독립적인 감독기구가 있어야 개인정보 보호가 효율적으로 이루어질 수 있다고 명시되어 있 어 각 당사국은 동 협약에 따라 원칙들이 제대로 이행 되고 있는지 관리 감독하기 위한 독립적인 감독기 구를 설치해야 한다. 또한, Additional Convention 8 제2조는 국경 간 데이터 이전에 대해 규율하고 있는 데, 동 협약 제2조의 제항(Article 2.)에 따르면, 각 당 사국은 개인정보가 동 협약의 비당사국이나 가입하 지 않은 조직으로 이전될 때, 오직 개인정보를 제공받 는 당사자가 해당 개인정보 이전에 대한 적절한 수준 의 보호를 제공할 때에만 그러한 이전을 허용해야 한 다고 규정하고 있다 년 주요 추진 사항 가. Convention 08 관련 국가별 추진 현황 202년에는 아르메니아가 Convention 08 을 발효 하였으며, 203년에는 우루과이가 동 협약을 발효하 였다. 그 내용은 [표 4--2]와 같다. 나. Convention 08 개정안 작업 유럽 평의회는 최근 Convention 08 의 개정안 작 업을 추진 중이며, 본 개정안 작업의 목표는 다음과 같다. 첫째, Convention 08 의 이행 조치를 위한 수행 메커니즘을 강화하는 것, 둘째, Convention 08 의 원 칙은 보존하되, 이에 따른 권고안과 가이드라인을 통 해 더욱 구체적인 이행방안을 마련하는 것, 셋째, Convention 08 의 글로벌 적용 가능성을 통해 세계 적인 표준으로 확대하는 것 등이다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 4--2 유럽평의회 Convention 08 관련 국가별 추진 현황 구 분 아르메니아 우루과이 조약 발효 (Date of Entry into Force of the Instrument) 비준 (Date of Ratification) 부 록 당사국 발효 (Date of Entry into Force in respect of each Party) 비회원국 가입 (Date of Accession*) * 동 협약 제23조는 비회원국의 가입에 대해 명시하고 있는데, 동 협약이 발효된 후 유럽 평의회 각료 위원회(the Committee of Ministers of the Council of Europe)는 유럽 평의회 비회원국을 가입하도록 초청할 수 있다. 총 론 출처: 유렵평의회 Secretariat General Tr./08-92~08-95

262 제장 국제기구 협의체 개요 248 제 3 절 아시아태평양경제 협력체(APEC). 주요동향 APEC은 역내 회원국의 를 통해 소비 자의 신뢰를 제고하고, 이를 바탕으로 전자상거래를 촉진하고자 하는 목적으로 프라이버시 프레임워크 (APF : APEC Privacy Framework)를 2005년에 개발하 였다. 이는 아시아-태평양 지역의 기업이나 조직들이 개인정보의 수집과 이용에 관한 단일 접근법을 취하 도록 하려는 취지로 작성되어 있으며, APF에서 제시 하고 있는 개인정보 국외이전에 대한 원칙은 [표 4-- 3]과 같다. 한편 APEC은 역내 안전한 개인정보 이전을 위하 여 지난 2006년부터 개인정보 국외이전 인증기준 (CBPRs : Cross Border Privacy Rules system) 체계를 마 련하고 이행을 추진 중이다. CBPRs이란 회원국 간 안 전한 개인정보 이전을 지원하기 위한 글로벌 인증(Certification) 프로그램으로서 국외이전 시 피해구제, 수사공조, 회원국 내에서 인증체계를 적용하고 평가를 실시하는 책임기관의 임명과 해임 의 역할을 수행하는 국가간 집행 약정 (CPEA : Cross-border Privacy Enforcement Arrangement)에 기반하고 있다. APEC은 회원국에 개 이상의 기관이 CPEA에 가입 하도록 권고하고 있으며, 회원국 내 책임기관은 2개 이상 지정이 가능하도록 하였으며, 역내 안전한 개인 정보 국외이전을 위한 이행절차로서 4단계 운영과정 을 마련하였다. 4단계 운영과정은 자가진단, 준수평 가, 인증, 집행의 단계로 구성되어 있으며 그 세부 내 용은 [표 4--4]와 같다. 본 4단계 집행과정을 구체화하기 위하여 2007년부 터 20년까지 9개의 방향성을 제시하는 프로젝트 (Pathfinder Project)를 추진하였으며 202년 APEC 전 자상거래운영그룹(ECSG : Electronic Commerce Steering Group) 차 회의(모스크바, 2월)에서 그 결과 가 최종 승인되었다 년 주요 추진 사항 가. CBPRs 절차 확정 운영 본격화 표 4--3 APEC Privacy Framework 피해예방: 개인의 합법적인 프라이버시 보호 권리를 존중하여 그러한 정보가 오용되지 않도록 필요한 조치를 취해야 한다. 2 고지: 개인정보처리자는 개인정보와 관련된 관행 및 정책을 정보주체에게 명료하고 알기 쉽게 설명해야 한다. 3 정보의 수집 제한: 개인정보 수집은 그 목적에 국한되어야 하고, 그러한 정보 수집은 합법적이고 공정한 방법으로 이루어져야 한다. 4 개인정보의 이용: 수집된 개인정보는 당초의 수집 목적이나 그와 관련된 업무를 이행하는 데 사용되어야 한다. 5 선택: 개인정보의 수집 활용 및 공개 여부를 본인이 선택할 수 있어야 하며, 명료하고 쉽게 이해되며 접근 가능한 메커니즘을 제공해야 한다. 6 무결성: 개인정보는 정확하고 완벽해야 하며 활용 목적 상 필요한 범위 내에서 가장 최신 정보를 유지해야 한다. 7 보안조치: 개인정보처리자는 보관 중인 정보를 분실하거나 비인가자의 접근, 파괴, 활용, 조작 또는 공개 등의 위험으로부터 보호하기 위하여 적절한 보안조치를 취해야 한다. 8 열람 및 수정: 개인정보처리자는 정보주체로 하여금 자신의 개인정보를 보유하고 있는지 여부를 확인해줄 수 있어야 하며 열람과 수정에 대한 기회를 주어야 한다. 9 책임: 개인정보처리자는 상기 원칙의 실행 방안을 준수할 책임이 있다. 출처: Privacy Framework(APEC, 2005)

263 202 연차보고서 249 표 4--4 APEC CBPRs 이행절차의 4단계 운영과정 운영과정 세부 내용 단계 (자기진단-Self Assessment) 2단계 (준수평가-Compliance Review) 기업은 APEC에서 제공하는 수준 진단 질문지(50개 항목)로 스스로의 수준을 자가진단하는 단계 단계 수준 자가진단을 이행한 기업이 실제 질문지 항목을 준수하고 있는지 책임 기관이 검증하는 단계 책임기관(Accountability Agent)은 각 국가의 감독기관(Data Privacy Authority)의 추천을 통해 지정 주요 현황 3단계 (인증-Recognition) 4단계 (집행-Enforcement) 출처: 상반기 해외정책동향(한국정보화진흥원, 202) 책임기관은 2단계 준수평가를 통과한 기업이 APEC 내에서 자유롭게 개인정보를 이전할 수 있는 수준임을 인증하는 단계 책임기관의 인증을 받은 기업의 명단을 APEC 홈페이지에 등재 3단계의 원활한 이행 및 개인정보 침해 관련 민원 발생 시 피해구제 등 국가 간 협력을 위한 CPEA 구성 집행하는 단계 2 정책실적 및 성과 APEC에서는 Pathfinder Project와 관련하여, CBPRs 인증체계에 참여할 국가를 모집하기 위한 노력을 기 울이고 있으며, 운영기반을 강화하고 실효성 확보를 위하여 마이크로소프트사를 통한 웹사이트 개발을 진행 중이다. 또한, EU의 다국적 기업을 대상으로 하 는 개인정보 국외이전 인증규칙인 개인정보 보호에 관한 기업내규(BCR : Binding Corporate Rules)36)와 연계될 수 있는 방안을 검토하고 있으며 각종 심포지 엄 개최 등을 통해 CBPRs의 확산을 꾀하고 있다. 나. CBPRs와 BCR의 연계 방안 검토 203년 월 인도네시아 자카르타에서 개최된 APEC ECSG 데이터보호 서브그룹(DPS : Data Privacy Sub-Group) 회의 내에서 APEC CBPRs - EU BCR 워킹 그룹 회의가 열렸다. APEC 담당자들과 EU의 제29조 작업반이 APEC CBPRs과 EU BCR의 연계를 통하여 유럽과 아시아-태평양 지역 전체에서 개인정보를 이 전할 수 있는 통합된 국경 간 체계(Cross-border System)를 만드는 것에 대해 논의하였다. EU 측에서 는 프랑스 정보처리 및 자유에 관한 국가위원회(CNIL : Commission Nationale de I' informatique et des Libertes ), 유럽위원회(European Commission), 유럽 데이터 보호 감독관(European Data Protection Supervisor) 등이 참여했으며, APEC 측에서는 캐나다, 중국, 대만, 일본, 한국 등 0개국이 참여하였다. APEC의 CBPRs와 EU의 BCR은 회사에서 개인정보 를 국가 간에 이전할 때, 회사의 내부 정책이 이전되는 개인정보를 보호할 수 있도록 하는 규정이라는 점에 서 매우 유사하다. 그러나 CBPRs는 아시아-태평양 지 역 내에서의 데이터 전송으로 제한하는 반면, BCR은 EU지역 내에서의 데이터 전송은 물론 EU역외의 제3 국 이전까지 포함하고 있다는 점에서 차이가 있다. 이번 회의에서는 두 가지 인증체계의 공식 문서를 비교하고, 미국 상무부에서 적용범위, 법적구속력, 책임성, 법적의무, 실행조건 등에 대한 공통점과 차 이점을 설명하였다. 주요 의견으로는 APEC의 개인 정보보호 원칙과 EU 지침(Directive)간에 법적 정신의 차이와 책임성 이행방법 차이 등이 존재한다는 것이 며, 자세한 내용은 [표 4--5]와 같다. 3 기관별 실적 및 계획 4 해외동향 부 록 총 론 주 : 36) EU의 개인정보 보호지침(Directive 95/46/EC) 제29조에 따라 설치된 실무작업반이 개발한 개인정보 국외이전 관련 제도로서 주로 APEC의 CBPRs와 비교대상으로 함께 언급됨

264 제장 국제기구 협의체 개요 250 표 4--5 CBPRs-BCR 비교 구분 APEC CBPRs EU BCR 적용범위 구속력 (Bindingness) 책임성 (Accountability) 수범자 실행조건 차이점 원칙적으로 국외 제3자 제공에 기반 개인정보 포함해 모든 거래에 적용 가능 산하조직범위, 정보유형, 관할범위 등에 의한 제한 가능 대내적 구속력 : 인증기업 내부 또는 인증기업과 제3자 간 대외적 구속력 : 책임기관 및 PEA로부터 인증 * 인증기관은 법 또는 계약을 통해 요구사항 실행 가능해야 함 * PEA는 실행을 위한 법적 근거 필요 프라이버시 관행 평가 및 책임기관으로부터 인증 내부관행(교육, 보안)뿐만 아니라 외부관행(분쟁해결장치) 포함 CBPRs 인증을 받은 조직(entity) * 정보 이전 후에도 계속 의무를 부담. 인증받은 조직은 불만처리를 위한 담당자 및 연락처 정보 보유 필요 책임기관은 분쟁해결체계 보유 필요 회원국은 CBPRs 효력발생을 위한 법제 보유 민감 정보 규정 없음 '공공 활용 정보'에는 미적용 공개적으로 사용 가능한 정보에는 미적용 관할권외에서는 데이터 삭제에 대한 의무가 없음 책임기관을 통한 Review process 통해 추가적 정보교환 가능 EU의 다국적 기업을 대상으로 한 국외이전에 기반 그룹 내 계열사가 소재하는 EU 역외의 모든 지역으로 확장 가능 산하조직, 정보유형 등 조정 가능 * 관할범위 조정은 불가 대내적 구속력 : 모든 참여 기업 간 (Agreement, 각서 등) 대외적 구속력 : 정보주체는 감독기구 및 법정 등에 불만제기 가능 (이 경우 증거 제시는 처리자의 몫) BCR을 완전히 충족, 감독기구가 검증 내부직원대상 적절한 교육체계 불만처리 프로세스 불만처리, 법 준수를 위한 프라이버시 보호 위원회 간 네트워크 EU 내 해당 기업, 일반적으로 EU 본사 또는 위임 받은 계열사 * BCR 위반 기업 상대로 고소 가능 정보를 이전한 양 당사자간 양벌규정 인증조직은 불만처리 위한 담당자 및 연락처 정보 보유 필요 정보주체는 사법부 또는 감독기구에 권리행사 및 보상요구 가능 감독기구 또는 사법부는 자국법에 따라 BCR 준수 판단 (인증은 감독기구가 수행) 기업 간 협력 의무 민감 정보 규정 있음 공공부문에도 포함 공개적으로 사용 가능한 정보에 대한 정의가 없음 관할권 외에서도 데이터 삭제 적용 가능 Review process 보다는 정보주체로부터 소송제기 이번 회의를 통하여 두 체계 간의 법률적 근거의 차 이, 이행방법의 차이 등이 존재함을 확인하였으며, 추후 추가적인 작업을 통해 보다 구체적인 분석과 설 명을 더하여 이러한 차이를 기업에 어떻게 제공할지 에 대한 절차와 표준을 논의할 예정이다. 다. 데이터 처리자(Data Processor)를 위한 CBPRs 인증 개발 착수 202년 5월에 열린 APEC ECSG 회의에서 데이터 처리자 인증을 위한 체계 마련과 이행을 위한 논의를 진행하였다. 본 회의에서는 아웃소싱 등의 확대로 수 탁기관의 역할이 중요해짐에 따라 데이터 처리자에 대한 평가체계의 마련과 데이터 관리자(Data Controller)의 권리를 보장하고, 개인정보 처리에 대 한 전반적인 사이클에 안전한 플랫폼을 보장하기 위 하여 데이터 처리자를 위한 인증의 필요성을 제시하 였다. 회의의 주요내용은 데이터 처리자를 위한 구체적 인 평가 기준 마련을 위한 처리자의 범위, 평가기준, 이행방안 등이 논의되었다. 차후 203년부터 워킹그 룹 운영을 추진할 예정이며, 국내에서는 한국정보화

265 202 연차보고서 25 진흥원을 중심으로 연구반을 구성하여 해당 연구에 참여할 예정이다. 제 4 절 국제 기구회의(ICDPPC). 주요 동향 국제기구회의(ICDPPC)는 개인정보 보호를 위한 각국의 개인정보 감독기관 연합체이다. ICDPPC의 규정에 의하면, 각국의 감 독기관(Data Protection Authorities, DPAs)들이 개인정 보보호 기능을 수행함에 있어 필요한 정도의 자율성 과 독립성을 확보하여야 한다 고 되어 있어, 이들 기 구가 독립적으로 그 직무를 수행할 수 있는 법률적 실질적인 권한을 가져야 함을 규정하고 있다. ICDPPC는 국제적으로 이슈가 되고 있는 개인정보보 호 논의에 대해 결의안을 제안하고, 매년 하반기(9월 ~2월 사이) 정기 회의를 개최하여 이에 대한 채택 여 부를 결정하는 등 를 위해 계속 노력하 고 있다. 또한, 국제 워킹그룹(IWGDPT : International Working Group on Data Protection in Telecommunications)을 통해 각 국의 정보통신 및 미 디어 분야에서의 와 프라이버시 이슈 관련 법제 현황 및 기술 과제에 대해 논의하고 있으 며, 회의는 매년 2회 개최되고 있다 년 주요 추진 사항 최근 ICDPPC에서는 여러 가지 이슈들에 대한 논 의가 이루어지고 있다. 첫째, 디지털화된 데이터는 복사, 공유 등이 가능하며 디지털 정보는 영구 삭제가 어려운 점에 대하여 개인정보 주체가 자기 정보 삭제 를 요구할 수 있는 잊혀질 권리(Right to be forgotten) 에 대한 문제가 제기되었다. 구글의 경우 잊혀질 권 리 는 표현의 자유를 침해하는 검열이 될 수 있음을 강조하고 있어 이처럼 표현의 자유를 우선시하는 미 국 글로벌 기업들과 잊혀질 권리 의 공식적인 인정을 지지하는 유럽 국가의 입장이 상충되고 있다. 둘째, 빅 데이터(Big Data) 가 비즈니스 마케팅 등에 이용되 고 개인정보 침해 문제가 야기되면서 산업 발전을 위 한 빅 데이터 이용과 간 균형에 대한 논 의가 있었다. 셋째, 기술이 발전함에 따라 여러 나라 의 다양한 법 제도, 지침이 만들어지고 적용되어 개 인정보 정의가 복잡해지면서 개인식별 가능 정보에 대한 기준 제정의 필요성도 제기되고 있다. 이에 따라 202년 0월, 우루과이에서 개최된 제34 차 ICDPPC 총회에서는 20년부터 진행되어온 빅 데 이터 논의를 발전시켜 프로파일링을 핵심 의제로 선 정하였다. 대규모 정보수집과 빅 데이터 기반의 대용 량 데이터베이스 분석은 에너지 효율화, 공공안전을 위하여 상당히 중요하나, 정보의 질에 관한 책임 부재 등이 의 위험 요소로 작용할 수 있음을 언급하고 이러한 문제를 극복하기 위하여 202년 회 의에서 [표 4--6]과 같이 프로파일링 8원칙을 제시하 였다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 총 론

266 제장 국제기구 협의체 개요 252 표 4--6 ICDPPC의 프로파일링 8원칙. 프로파일링의 투명성을 보장하기 위하여 프로파일이 수집되는 방법, 사용 목적 등을 공지해야 함 2. 프로파일링은 필요성 확인, 2 프로파일 기초정보 및 프로파일 가정(Assumption) 확인, 3 실제 프로파일 적용방법 결정의 3단계로 운영해야 함 3. 프로파일과 이행 알고리즘을 지속적으로 확인(Continuous validation)해야 함 4. 프로파일링은 전자동으로 실행되어서는 안 되며, 자동화로 인한 판단 오류로 인해 개인에게 부당한 피해가 가지 않도록 조정해야 함 5. 프로파일 생성자와 이용자가 동일해서는 안 되며, 정보의 과다수집과 목적 외 이용에 대한 남용을 방지하기 위하여 프로 파일을 생성하는데 이용된 정보와 그 정보 실제 적용 사이의 균형을 유지해야 함 6. 프로파일의 실제 적용단계에서 프로파일과 그 결과에 대해서 개인이 이의를 제기할 수 있는 권리를 보장해야 함 7. 감독기구는 공공 민간 분야의 프로파일링 활동을 감독 감시하기에 충분한 지식과 집행력을 가져야 함 8. 감독기구는 정부가 공공 및 민간 데이터베이스에 접근하려는 경우, 이러한 정부계획을 관리 감독할 수 있어야 함 출처: 한국정보화진흥원, 203. 제 5 절 아시아태평양 프라이버시 감독기구 포럼(APPA). 주요 동향 2005년 제24차 회의에서는 아시아태평양 프라이 버시 감독기구 포럼(APPA : Asia Pacific Privacy Authorities) 참여 자격을 뉴질랜드 프라이버시위원회 (Office of the Privacy Commissioner)가 작성한 아시아 태평양 프라이버시 감독기구 포럼 구성 선언문 (Statement of Objectives) 초안을 바탕으로 논의하였 다. 그 결과 프라이버시 보호 위원회 등 프라이버시 관련 감독기구 내지 프라이버시 관련 법 제정 또는 기 구 마련을 준비하고 있는 아시아태평양 지역 국가에 참여 자격을 부여하기로 하였다. 우리나라는 2008년 6월 제29차 회의를 방송통신위 원회와 한국인터넷진흥원 주관으로 인터넷 신뢰와 라는 주제로 주최하였으며, 2009년 6월 홍콩에서 개최된 제3차 회의에서는 각국의 개인정 보보호 법 제도 및 기술동향, 비즈니스 사례 등을 공 유하고 주요 프라이버시 이슈에 대해 토론하였다. 또한, 20년 6월 제35차 APPA 회의에서 미국 연방 거래위원회(FTC : Federal Trade Commission)는 이슈 가 되었던 스트리트뷰, 구글 버즈 등의 제작사인 구 글사에 대하여 향후 20년간 감사를 실시할 예정임을 발표하였으며, 소니(플레이스테이션 네트워크(Play Station Network)와 큐리오시티(Qriocity) 온라인 서비 스) 유출 사고와 관련하여 회원국들은 개인정보 보 호법 위반 사항은 없으나 국가 간 협력을 통해 글로 벌 기업을 대상으로 하는 제재가 필요함에 동의하였 다. 또한, 글로벌 소셜네트워크서비스(SNS : Social Network Service) 기업의 서비스 이용량이 늘어남에 따라 정부의 SNS 효율적 이용 및 관련 이슈에 대한 의견 공유도 이루어졌다 년 주요 추진 사항 가. APPA 회의 개최 ) 제37차 APPA 포럼

267 202 연차보고서 년 6월 4일부터 6월 5일까지 홍콩에서 열린 제37차 APPA 포럼에서는 다양한 국가 간 정책, 교육, 법 집행 등과 관련된 이슈에 대해 토의하고 협의하였 으며, 주요 이슈는 [표 4--7]과 같다. 특히 스마트폰 애플리케이션이 에 미치는 영향 및 이슈에 대해서도 논의하였으며 안드 로이드와 애플 앱스토어에서 이용되는 00만개 이상 의 애플리케이션들이 프라이버시 보호수준을 검증 하는 체계를 갖추지 않고 있는 것에 대한 해결책으로 표 4--7 제37차 APPA 포럼 주요내용 글로벌 프라이버시 보호 정책 시행 국제기구회의(ICDPPC) 진행 상황 202 프라이버시 인식 주간 구글의 새로운 프라이버시 정책 공공 레지스터에 있는 정보 스마트폰 애플리케이션 피해를 당한 정보주체의 법적 지원 직접 마케팅 활동의 규제 기타 열린 토론 출처: 표 4--8 제37차 APPA 포럼 참여 국가 및 대표 호주, 위원회 캐나다, 프라이버시위원회 홍콩, 위원회 한국, 위원회 한국, 한국인터넷진흥원 멕시코, 정보 접근 및 데이터 보호 연방 사무소, 호주 뉴사우스웨일즈, 정보프라이버시위원회 뉴질랜드, 프라이버시위원회 호주 노던 테리토리, 정보위원회 미국, 연방거래위원회 호주, 빅토리아주 프라이버시위원회 일본, 소비자보호청, 사무소* 중국, 마카오 위원회* 포르투갈, 정보보호위원회* 안전한 애플리케이션 이용에 관한 교육과 애플리케 이션 개발자 가이드라인, 애플리케이션 인증 시스템 도입 등이 대안으로 제시하였다. 또한, 관련 직거래 시장 규제에 대해서는 유출 사고 재발을 막기 위해 직거래 시장에서의 개인정보 이용 중단 및 재이용에 대해 법적 항목을 강화하는 것에 대한 논의 도 있었다. 그 밖에도 글로벌 프라이버시 보호 정책 시행, 구글 개인정보 취급 통합정책, 관련 국제기구 및 국제회의 이슈, 최근 국가 간 개인 정보보호 및 협력 동향, 정보주체의 피해 구제에 대한 법적 지원, 개인정보 침해 기업에 대한 공개제도 현황 등에 대한 논의가 이루어졌다. 제37차 APPA 포럼 회 의에 참석한 각 국가의 대표는 [표 4--8]과 같다. 2) 제38차 APPA 포럼 202년 2월 3일부터 4일까지 미국 캘리포니아주 샌프란시스코에서 제38차 APPA 포럼이 열렸다. 미국 FTC 주최로 열린 제38차 APPA 회의에서 협의가 이루 어진 주요내용은 [표 4--9]와 같이 정리할 수 있다. 이 회의에서는 정보 국외 이전 이슈 및 데이터 침 해사실 통지 제도(Data Breach Notifications)와 관련된 법, 최근에 강화된 캘리포니아의 개인정보 침해 통지 법령 등도 논의하였다. 이 외에도 글로벌 프라이버시 발전과 규제, 프라이버시와 기술 워킹그룹 보고서 등 이 논의되었다. 표 4--9 제38차 APPA 포럼 주요내용 개인정보 침해 통지제도 글로벌 정책 개발 및 집행 개인정보 및 프라이버시 보호 감독관 국제회의에 대한 업데이트 203 프라이버시 인식 주간 프라이버시 및 보호기술 워킹 그룹 보고서 국경 간 상호 운용성 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 총 론 * 비회원 국가의 참여 기관 출처: 출처:

268 제장 국제기구 협의체 개요 254 APPA의 차기 회의는 뉴질랜드에서 203년 7월에 열릴 계획이고, APEC 집행 워크숍과 함께 개최할 예 정이다. 제38차 APPA 포럼 회의에 참석한 각 국가의 대표는 [표 4--0]과 같다. 표 4--0 제38차 APPA 포럼 참여 국가 및 대표 호주, 위원회 호주, 빅토리아주 프라이버시위원회 캐나다, 브리티시 컬럼비아 정보 및 프라이버시위원회 홍콩, 위원회 한국, 위원회 한국, 한국인터넷진흥원 중국, 마카오 위원회 멕시코, 정보 접근 및 데이터 보호 연방 사무소, 뉴질랜드, 프라이버시위원회 미국, 연방거래위원회 미국, 캘리포니아주 검찰청* 일본, 소비자보호청, 사무소* * 비회원 국가의 참여 기관 출처: 나. SNS 이용에 대한 국가별 설문조사 결과 발표 APPA는 202년 SNS 이용에 대한 국가별 설문 조사 결과를 발표하였다. 총 0개 문항에 대한 응답결과는 [표 4--] ~ [표 4--20]과 같다. SNS를 이용한 경험이 있다고 한 응답자의 비율 이 가장 높은 국가는 중국이었으며, 가장 낮은 국가는 뉴질랜드/호주로 조사되었다. 한국은 응답자의 90% 이상이 SNS를 이용한 경험이 있다고 응답하였다. 표 4-- SNS의 이용경험 정도 국가 예 아니오 합 계 한 국 93% 7% 00% 뉴질랜드/ 호주 82% 8% 00% 중 국 94% 6% 00% 멕시코 83% 7% 00% 출처: 상반기 해외정책동향(한국정보화진흥원, 202) 2 한국은 친구들과 대화 수단으로 SNS를 이용한 다는 응답자가 38%로 가장 높게 나타났으며, 사업 홍 보 수단으로 이용한다는 응답자 비율은 %로 가장 낮게 나타났다. 뉴질랜드/호주의 경우 역시 친구들 과 대화 수단으로 SNS를 이용한다는 응답자가 3%로 가장 높게 나타났으며, 한국은 가족들과의 대화 수단 이 3%인 반면, 뉴질랜드/호주는 27%로 나타나 비교 적 높은 수치를 보였다. 중국도 친구들과 대화 수단 으로 SNS를 이용한다는 응답자가 3%로 가장 높게 나타났으며, 멕시코는 위의 세 국가와는 다르게 가족 들과의 대화 수단으로 SNS를 이용한다는 응답자의 비율이 25%로 가장 높게 나타났다. 표 4--2 SNS의 이용 목적 이용목적 한 국 뉴질랜드/ 호주 중 국 멕시코 친구들과의 대화 수단 3% 27% 8% 25% 가족과의 대화 수단 38% 3% 3% 8% 새로운 사람을 만나기 위한 수단 관심사가 같은 사람들과 대화 수단 8% 3% 0% 6% 20% 8% 5% 4% 사업 홍보 % 2% % 4% 합 계 00% 00% 00% 00% 출처: 상반기 해외정책동향(한국정보화진흥원, 202)

269 202 연차보고서 SNS 이용 시 자신의 개인정보를 공개하고 있는 지 여부에 대해 그렇다고 응답한 비율은 뉴질랜드/호 주가 83%로 가장 높은 비율을 나타냈고, 멕시코가 6%로 가장 낮은 비율을 기록했다. 한편, 해당 기능 에 대해 정확히 인지하지 못하고 있는 경우는 멕시코 가 25%로 가장 높은 비율을 기록했다. 표 4--3 SNS 이용 시 관련 개인정보 항목별 공개 및 비공개 설정 방법 인지 여부 국가 예 아니오 정확히 모름 합 계 한 국 68% 2% 20% 00% 뉴질랜드/ 호주 83% 5% 2% 00% 중 국 78% 0% 2% 00% 멕시코 6% 4% 25% 00% 출처: 상반기 해외정책동향(한국정보화진흥원, 202) 4 SNS를 이용할 때 사용자가 자신의 개인정보 공 개설정을 변경해 본 경험이 있는지에 대해 뉴질랜드/ 호주 응답자들의 88%가 그렇다 고 응답하여 조사 대 상국 중에서 가장 높은 비율을 나타냈다. 반면, 멕시 코는 아니오 라는 응답자가 26%였으며, 이는 조사 대상국 중 가장 낮은 수치였다. 5 개인정보의 공개는 조사 대상국 모두, 잘 아는 사람에게만 공개하는 비율이 가장 높게 나타났으며, 특히 중국은 74%로 그 비율이 가장 높았다. 뉴질랜 드/호주는 그룹마다 공개 설정을 다르게 지정하는 응 답자의 비율이 조사 대상국 중 가장 높게 나타났으며, 모두에게 공개하는 비율이 가장 높게 나타난 국가는 한국으로 조사되었다. 표 4--5 SNS에서의 개인정보 공개 범위 공개 범위 6 SNS에서 제공하는 개인정보 취급 방침을 읽은 응답자의 비율이 가장 높은 국가는 한국으로 조사되 었다. 반면, 뉴질랜드/호주는 59%로 가장 낮은 비율 을 기록하였다. 한 국 뉴질랜드/ 호주 중 국 멕시코 모두에게 공개 3% 4% 7% 9% 잘 아는 사람에게만 공개 그룹마다 공개 설정 지정 공개 설정 방법 모름 67% 64% 74% 70% 3% 27% 5% 3% 7% 5% 4% 8% 합 계 00% 00% 00% 00% 출처: 상반기 해외정책동향(한국정보화진흥원, 202) 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 4--4 SNS 이용 시 개인정보 공개설정 변경경험 여부 국가ㅁㅁㅇㄴㅇ 국가 예 아니오 합 계 한 국 8% 9% 00% 뉴질랜드/ 호주 88% 2% 00% 중 국 86% 4% 00% 멕시코 74% 26% 00% 출처: 상반기 해외정책동향(한국정보화진흥원, 202) 표 4--6 SNS에서 제공하는 개인정보 취급 방침을 읽은 경험 여부 국가 예 아니오 합 계 한 국 72% 28% 00% 뉴질랜드/호주 59% 4% 00% 중 국 69% 3% 00% 멕시코 63% 37% 00% 출처: 상반기 해외정책동향(한국정보화진흥원, 202) 부 록 총 론

270 제장 국제기구 협의체 개요 SNS에서 사용자가 동의한 정보 이용 목적 이외 에 다른 용도로 정보가 이용될 경우 해당 서비스 사용 을 중단할 것인지에 대해 대부분 응답자들은 예 라 고 응답하였다. 중국은 중단을 고려해보겠다는 응답 자 비율이 60%로 가장 높게 나타났으며, 멕시코는 서 비스 사용을 중단하겠다는 응답자의 비율이 74%로 가장 높게 조사되었다. 표 4--7 SNS에서 동의한 이용 목적 외 이용 시 서비스 중단 결정 여부 국가 예 아니오 고려해 보겠음 8 SNS가 사용자의 인터넷 방문 기록을 추적하여 해당 사용자의 관심사에 맞는 온라인 광고를 전달하 는 서비스를 제공하는 것에 대해 한국 응답자들의 37%가 전혀 신경 쓰지 않는다고 응답하였고, 이는 조 사대상국 중에서 가장 높은 비율이다. 반면, 중국은 4%가 매우 불편하다고 응답하였으며, 이는 조사 대 상국 중에서 가장 높은 비율로 조사되었다. 합 계 한 국 55% 2% 43% 00% 뉴질랜드/호주 56% 3% 4% 00% 중 국 34% 6% 60% 00% 멕시코 74% 6% 20% 00% 출처: 상반기 해외정책동향(한국정보화진흥원, 202) 표 4--8 소셜 네트워크 서비스 사이트가 당신의 인터넷 방문 기록 추적 후 관심사에 맞는 온라인 광고 전달에 대한 의견(: 전혀 신경 쓰지 않음 ~ 5: 매우 불편함) 국가 한 국 뉴질랜드/호주 중 국 멕시코 37% 8% 3% 7% 9 응답자들은 SNS에서 자신의 아이디어를 해킹 및 도용당한 경험이 있는지 여부에 대해 대부분 아니 라고 응답하였고, 일부응답자는 예 라고 응답하였으 며, 그 비율은 한국이 4%로 가장 높게 나타났다. 0 주변 사람의 SNS에서 자신의 정보 또는 사진을 표 4--9 SNS 아이디를 해킹 및 도용당한 경험 여부 국가 예 아니오 정확히 모름 볼 때 불편함을 느끼는지 여부에 대해 예 라고 응답 한 사람의 비율과 아니오 라고 응답한 사람의 비율 이 대체로 비슷하게 나타났다. 특히 멕시코는 2% 차 이를 보였으며, 가장 많은 차이를 보인 국가는 중국으 로 예 라고 응답한 사람의 비율은 58%였다. 합 계 한 국 4% 66% 20% 00% 뉴질랜드/호주 8% 77% 5% 00% 중 국 7% 53% 40% 00% 멕시코 9% 65% 26% 00% 출처: 상반기 해외정책동향(한국정보화진흥원, 202) 표 주변 사람의 SNS에서 당신의 정보 또는 사진을 볼 때 불편함 여부 국가 예 아니오 합 계 한 국 53% 47% 00% 뉴질랜드/호주 45% 55% 00% 중 국 58% 42% 00% 멕시코 49% 5% 00% 출처: 상반기 해외정책동향(한국정보화진흥원, 202) 2 % 9% % 2% 3 26% 32% 23% 35% 4 24% 23% 22% 22% 5 2% 8% 4% 24% 합 계 00% 00% 00% 00% 출처: 상반기 해외정책동향(한국정보화진흥원, 202)

271 202 연차보고서 257 제 6 절 국제프라이버시 네트워크(GPEN). 주요 동향 GPEN은 APEC, ICDPPC, OECD 등 국제기구에서 국가 간 프라이버시 법 집행에 대하여 공동 협력 필요 성이 요구됨에 따라, 2007년 6월 OECD 주도로 프라 이버시 집행기관의 비공식 네트워크 설립을 촉진하 면서 시작되었다. 200년에 2개국의 대표자들이 참 여한 가운데 프랑스(파리)에서 초기 회의를 개최하 였고, 202년 현재 총 2개국, 27개 기관이 참여하고 있으며, 한국에서는 위원회, 안전행정 부, 한국인터넷진흥원이 회원기관으로 참여 중이다. GPEN은 각국 감독기관 간 프라이 버시 관련법 집행 협력을 용이하게 하기 위한 것으로 법 집행은 참가국의 자율적인 협력에 기반을 두어 수 행된다. 또한, 집행 이슈, 동향 및 경험 에 대한 정보와 국제적 상호 협력에 관한 우수 사례를 공유하고, 개인정보 보호법 집행의 상호 협력과 관련하여 현실적 측면들에 대해 논의한다. 그리고 개 인정보 집행기관과의 연락망 구축으로 특정 개인정 보 문제에 대한 효과적인 국제 협력을 도모하고 관련 교육 및 지원활동 참여, 개인정보 분야 관련 단체와 의 대화에 중점을 두고 있다. 최근 GPEN은 활동 지원과 정보 공유, 교육 등을 위 해 200년에 개발하여 운영 중이던 웹사이트를 개선 하였다. 주요 개선사항으로는 회원국 간 최근 이슈 공유를 위한 게시판과 연락망을 구축하고 직접 메시 지를 보낼 수 있는 절차를 마련한 것과 효과적인 의견 공유를 위하여 협력 관련 이슈와 관련 이슈를 분리하여 게시판을 운영하고 있다 년 주요 추진 사항 202년 5월 GPEN은 개인정보의 국외이전 관련 협 력조사, 국제기구간 협력체제 관리 등을 위한 활동계 획을 개정하였으며, 주요내용은 [표 4--2]과 같다. 202년에는 GPEN의 웹 사이트의 연계성과 확장 성을 강화해야 한다는 주장이 제기되었다. 예를들 어, ICDPPC가 국제 감독기구로 위상 을 지속하고 있는데 반해 지속성 있는 웹 사이트가 없으므로 GPEN 웹 사이트를 정보 공유 및 전자적 의 사결정 지원 등의 수단으로 활용하자는 의견이 제안 되었다. 또한, 웹 사이트 수준을 단순한 정보공유 외 에 관련 비디오 컨퍼런스 등을 수시로 개최할 수 있는 채널로 확장하려는 논의가 있었다. GPEN 웹 사이트 확장 논의는 ICDPPC 집행위원회와 의 지속적인 논의 후에 확장 범위와 주요내용을 결정 할 예정이다. 표 4--2 GPEN Action Plan 협력 목표 활동 계획 관련 이슈, 트렌드, 경험 등의 정보 교환 법집행 실행 노하우, 교육 홍보 방안 등의 공통사항 공유 집행기관 간 참여와 지식교환 촉진 쌍방 또는 다자간 협력에 유용한 정책방안 마련 제도의 실행 이슈, 트렌드 및 경험 공유를 위한 컨퍼런스 및 세미나 개최 효과적인 조사수행과 실행전략 수립을 위한 방안 제시 국외이전과 관련된 협력 조사 지원 국제기구, 타 네트워크와의 협력 체계 관리 프라이버시와 데이터 보안에 관한 교육 및 홍보 참가국 간의 협력 도모를 위한 컨설팅 지원(필요시 국가방문) 출처: 상반기 해외정책동향(한국정보화진흥원, 202) 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 총 론

272 제장 개요 258

273 202 연차보고서 259 제 2 장 유 럽 주요 현황 3 기관별 실적 및 계획 2 정책실적 및 성과 유럽은 일반 데이터 보호 규칙(General Data Protection Regulation) 을 202년 월에 발표하는 등 의 강화를 위한 노력을 202년부터 본 격 추진 중에 있으며, 주요내용은 [표 4-2-]과 같다. 표 4-2- 유럽의 202년 주요동향 EC, 일반 데이터 보호 규칙(General Data Protection Regulation) 제안 EC, 클라우드 컴퓨팅 가이드라인 발표 영국 정보위원회, 데이터 익명화 실행규칙 제정 프랑스, 프라이버시 세금 도입 검토 프랑스 CNIL, 클라우드 컴퓨팅 서비스 사용에 대한 권고 사항 발표 제 절 유럽연합 (EU). 주요 동향 유럽연합(EU)의 법원(Source of law)은 크게 일차 적 법원(Primary sources)과 이차적 법원(Secondary 표 EU의 관련 규범체계 구분 헌장 조약 (협약) 지침 규범명 Charter of Fundamental Rights of the European Union Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows DIRECTIVE 95/46/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 24 October 995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data DIRECTIVE 2002/58/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 2 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector DIRECTIVE 2006/24/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 5 March 2006 on the retention of data generated or processed in connection with the provision of publicly available electronic communications services or of public communications networks and amending Directive 2002/58/EC 4 해외동향 부 록 총 론 출처: 임종인 외, 주요 국가의 동향조사(한국정보보호진 흥원, 2009)

274 제장 제2장 유럽 개요 260 sources)으로 나누어 볼 수 있다. 일차적 법원은, EU 를 창설하고 존속시키는 여러가지 조약을 말하며, 이 차적 법원은 규칙(Regulation), 지침(Directive), 결정 (Decision), 권고(Recommendation), 의견(Opinion) 등 유럽연합의 입법기구가 발하는 법규범을 말한다. 이 외에도 유럽 사법재판소의 판결 또는 해석을 통 해 확립된 판례법, 법의 일반원칙 등이 불문법원으로 인정된다([표 4-2-2] 참조). EU는 그동안 기본적으로 헌장, 조약, 지침을 통해 에 대한 기본적인 틀을 제공해 왔으며, 이를 바탕으로 집행위원회나 유럽의회에서 각 회원 국이 개별법으로 법률을 제정하고 시 행하도록 해왔다 주요 추진 사항 가. EU의 패키지 개혁안 추진 동향 시대의 변화에 따라 프라이버시 침해 가능성이 급 증하였고, 개별 회원국마다 각기 다른 방식으로 법을 집행함에 따라 법적 불확실성의 문제가 야기되었다. 이에 EU는 단일 법령안(Single set of Rules)을 통해 불 확실성을 제거하여 기업의 비즈니스를 용이하게 하 고자 패키지 개혁안을 마련하였다. EU의 패키지 개혁안은 크게 두 가지 로 구성된다. 첫째, 995년에 제정된 개인정보지침 (Data Protection Directive)을 폐지하고, EU의 데이터 규제에 관한 프레임 워크로 기능하는 규칙 (Regulation)을 신설하는 것이고, 둘째, 2008년의 결정 (Framework decision) 2008/977/JHA을 폐지하고, 형 사 범죄의 원활한 조사 및 기소를 위해 회원국의 사법 당국 간 정보교환과 협력을 목적으로 한 지침 (Directive)을 신설하는 것이다. 먼저 EU에서는 202년 월 EU 지침(Directive) (95/46/EC)를 대체할 수 있는 보다 강력한 일반 데 이터 보호 규칙(General Data Protection Regulation) 을 제정하는 방안을 제안하였다. 해당 규칙의 구체적 표 EU 패키지 개혁안의 구체적 내용 주요내용 제도적 측면 수준 강화 기업에 대한 포괄적 의무 부과 EU 규제의 역외 적용 법위반 행위 제재 강화 출처: 한국정보화진흥원, 203. 세부 내용 27개 회원국에 대해 동일한 규제를 직접 시행 27개 회원국에 독립된 데이터 보호 규제기관을 설치하고, 기업의 주된 사무소가 소재한 국가의 기관이 감독권을 행사 데이터 수집 처리 시 사전 동의 획득 의무 잊혀질 권리(Right to be forgotten) 보장 데이터 이동성(Data portability) 보장 250인 이상 고용 기업은 정보보호관(Data Protection Officer)을 두어야 하고, 모든 정보처리에 대한 기록 유지 의무를 부과, 데이터 안전 요건 실행 및 정보처리에 앞서 정보보호 영향 평가 실시 의무를 부과 데이터 유출이나 심각한 데이터 보호의무 위반 시 24시간 이내 감독 당국에 통지하도록 함 기업이 EU 지역 밖에서 개인 데이터를 처리하는 경우에도 EU 규제가 적용되며, 적용 기준은 EU에 재화나 용역을 공급하거나 유럽 시민의 행태를 모니터링 하는 기업(data controller)에도 EU규제가 적용됨 EU 시민은 기업이 EU 밖에 있더라도 자국 당국에 법 위반 행위를 신고할 수 있고 자국 법원에 소를 제기할 수 있음 중대한 위반행위는 백만 유로 또는 기업의 전 세계 매출액의 2%까지 과징금이 부과될 수 있음 덜 심각한 위반행위는 25만 유로 또는 매출액의 0.5%까지 사용자에게 정보를 제공하지 않거나 정정되지 않은 데이터를 사용하는 경우 50만 유로 또는 매출액의 %까지 과징금이 부과됨

275 202 연차보고서 26 인 내용은 [표 4-2-3]과 같다. 다음으로 202년 월 논의된 지침(Directive)안의 주요내용은 다음과 같다. 형사 범죄와 관련된 경찰 과 사법당국에게 일반적 데이터 보호원칙과 규칙을 제공하고, 경찰과 다른 법집행기관에 의한 데이터 오 남용을 방지해야 한다. 또한, 경찰이 상호 정보 교환을 용이하게 할 수 있도록 함으로써 범죄에 더욱 효과적으로 대처할 수 있도록 하는 내용을 포함하고 있다. 한편 203년 월에는 유럽의회가 EU 집행위원회 의 규제 개혁안에 대하여 개정안을 발표하였다. 독일 의 Jan Philipp Albrecht 보고관이 25쪽짜리 법 개정 제안서를 통해 EU 집행위가 제안한 규칙(Regulation) 에 대한 350여 개의 개정사항을 발표하였으며, 그리 스의 Dimitrios Droutsas 보고관이 EU 집행위가 제안 한 지침(Directive)안에 대한 개정안을 발표하였다. 203년 EU 일반 데이터 보호 규칙에 대한 의회 개정 사항의 세부내용은 [표 4-2-4]와 같다. 203년 논의된 유럽의회의 지침(Directive)안의 주 요내용은 다음과 같다. 일반적 데이터 보호 원칙과 주요 현황 2 정책실적 및 성과 표 EU General Data Protection Regulation(안)에 대한 의회 개정사항 (203..) 주요내용 One-stopshop의 제한 유럽데이터 보호기구에 강력한 권한 부여 EU 집행위의 위임입법 권한 대폭 축소 이용자 권리의 강화 잊혀질 권리의 적용제한 및 용어변경 기업에 대한 고양된 책임 DPO 임명의무화 대상의 확대 법위반 제재 강화 유럽 외 국가로의 데이터 이전 역외 적용 범위의 확대 출처: 한국정보화진흥원, 203. 세부 내용 여러 국가에 관련된 사안의 경우 Lead 감독기관은 다른 나라 당국과 원활한 협조를 위한 단일의 접촉기관(Single contact point)으로만 기능하도록 역할을 축소함 유럽데이터보호기구(European Data Protection Board)에 회원국 규제 당국을 기속하는 강력한 권한을 부여한바, Lead Authority와 관련국 규제 당국 간 합의가 이루어지지 않는 경우 동 기구가 EU 수준에서 구속력 있는 결정을 내릴 수 있도록 함 집행위 안은 세부규칙이 필요한 경우 긴 입법절차를 거치지 않고 집행위가 바로 위임입법권(Commission empowerments 또는 Acts)을 행사할 수 있도록 하고 있으나, 의회 개정안은 다수 하위법령이 생성되지 않도록 Regulation에 보다 세부적인 규정들을 담고 추가 규정이 필요한 경우 집행위가 아닌 EDPD가 세부규칙을 정하도록 함 이용자 권리를 강화하기 위해 기업들에게 익명(Pseudonymous and anonymous)의 데이터 사용을 권장 데이터를 처리할 때 이용자들에게 이해하기 쉽고 명확한 언어로 명시적 동의를 구하도록 구체적으로 규정 민감한 데이터, 위치 데이터, 나이 등 신상 데이터 및 개인에게 불리한 영향을 끼칠 데이터 등의 처리는 어떠한 경우에도 사전 동의가 필요하고 매우 예외적 상황에서만 정당한 이익(Legitimate interest) 개념을 적용 사전 동의가 있더라도 시장 지배적 지위에 있는 사업자에게는 개인정보 처리에 추가적인 근거 요구 신원정보 수집(Profiling)은 원칙적으로 금지하고 개인 동의하에 예외적 상황에서만 허용하며 수집된 고객정보에 프로필의 존재, 수집방법 등에 대한 통지의무 부과 등 Right to be forgotten(잊혀질 권리) 을 Right to erasure and to be forgotten(삭제시키고 잊혀질 권리) 으로 용어를 변경하고, 표현의 자유(freedom for expression)와의 균형을 도모함 Data protection by design and by default 라는 개념을 도입하여 개인 데이터를 직접 처리하지 않는 하드웨어와 소프트웨어 제조업자에게도 프라이버시에 적합하게 제품을 디자인하도록 의무를 부과(제23조). 대용량의 개인정보를 처리하는 기업에 대해 영향평가(Impact assessments) 수행을 의무화함 데이터보호 담당관 지명 의무화 대상을 기업의 크기(집행위 안은 250인 이상의 근로자를 고용한 데이터보유회사 또는 처리회사임)가 아니라 데이터 처리량 즉, 년에 500명 이상의 개인 데이터를 처리하는 법인으로 대상을 확대함 전 세계 연매출액의 2%까지 과징금을 부과할 수 있도록 하고, 과징금 제재 대상의 범위도 넓힘 집행위 안은 미국과의 Safe Harbor Framework를 유지하는 것이었으나, 의회 안은 법 시행 2년 후 현행의 모든 표준계약조항의 효력을 종료시키는 등 데이터의 유럽 지역 외 이전에 제한을 가함 집행위 안에서 더 나아가 무상으로 유럽시민에게 재화나 용역 제공을 목표로 하는 경우(A company aims at offering its goods or services to individuals in the EU)도 포함시키는 한편, 역외 사업자에 의해 유럽 시민의 행태를 인터넷 트랙킹 등을 통해 모니터하거나 유럽 시민들의 데이터를 수집하고 처리하는 행위도 규제 대상에 포함시킴 3 기관별 실적 및 계획 4 해외동향 부 록 총 론

276 제장 제2장 유럽 개요 262 형사 제재 시 경찰과 사법부 간 협력에 관한 준칙을 규정할 지침(Directive)과 관련하여 보고받은 동 규제 를 국내는 물론 데이터의 국경 간 이전 시에도 적용하 려는 집행위의 제안에 동의하였다. 개정안은 또한, 개별국 데이터 보호 당국에 보다 강력한 법 집행 권한 과 함께 초 국경 사건에서 상호 협력 의무를 부과함을 명시하고 있다. 나. 데이터 처리자(Data Processor)를 위한 기업규칙(BCRs) 개발 제29조 작업반은 데이터 처리자(Data Processor)가 개인정보 국외 이전 시 준수해야 할 BCRs를 개발하였 다. 그동안 EU에는 국가 간 아웃소싱으로 발생되는 개인정보의 국외 이전 다양성과 복잡성에 대한 문제 점이 대두되고 있었다. 방대한 고객정보가 이전됨에 따라 보통 수백에서 수천 건의 계약서가 필요하며 각 지역 데이터 보호 규제기관의 허가를 받아야 하므로 기업 측에는 큰 부담으로 작용하고 있었다. 이에 따 라 기존 데이터 관리자(Data Controller)와 공통으로 적용되는 내용에 데이터 처리자에게만 해당하는 내 용을 추가하였으며, 이는 203년 월부터 적용된다. [표 4-2-5]는 BCRs에 추가된 내용을 보여주고 있다. 다. 클라우드 컴퓨팅 가이드라인 발표 유럽 집행위원회(EC : European Commission)는 202년 7월 Digital Agenda에서 클라우드 컴퓨팅 시장 의 잠재력을 예상하고 클라우드 컴퓨팅 서비스 제공 자, 업계 전문가 등이 포함된 워킹그룹(working group)을 구성, 프라이버시 보호 추진방향을 포함한 컴퓨팅 전략을 준비하였다. 또한, 프라이버시 자문기 구인 제29조 작업반의 지침을 바탕으로 클라우드 컴 퓨팅의 프라이버시 보안과 관련한 가이드라인 및 권 고사항을 발표하였다. 제 2 절 영국. 주요 동향 영국은 를 위해 998년에 정보보호 법(Data Protection Act 998) 을 제정 시행하고 있 는데 이 법의 목적은 개인과 관련된 정보의 취득, 유 지, 사용, 공개 등의 활동을 포괄하는 새로운 개인정 보 처리 규범을 수립하는 것이다. 총 6장 75조로 구성 표 데이터 수탁처리자의 준수사항 기존(데이터관리자[Controller]와 공동적용) 관련 구성원과 근로자의 임무 명확화 조직 개체와 개별 구성원의 연계성 확보 유출의 위험이 있는 데이터 관리자와 계약을 맺는 EU 회원국의 의무 부과 자체 조사결과 접근 허용, 또는 데이터 보호 책임기관(DPAs : Data Protection Authorities)의 조사 허가할 것 BCRs의 범위에 대한 설명 제공 BCRs가 EU 법과 관련된 개인 데이터 주체에게만 해당하는지, 그 그룹에서 처리되는 모든 개인데이터에 해당하는지 지정 투명성, 공평성, 한계의 목적, 데이터 품질, 보안, 정보주체의 권리 포함할 것 출처: 하반기 해외정책동향(한국정보화진흥원, 202) 신규(데이터 처리자[Processor]에게만 적용) 파산 등으로 데이터 처리자가 소멸할 경우, 정보주체의 권 익 보호 수탁 처리자의 웹 사이트에 BCRs 공지 DPAs로부터 조사를 받을 의무, 조사된 결과에 대한 조언의 준수 의무 DPAs의 요구사항 또는 정보주체의 불만사항 등을 포함하여 법률에 제시된 사항과 관련하여 데이터 수탁처리자 및 하위 수탁처리자에게 데이터관리자를 지원하는 의무가 포함됨 계약 등의 변경으로 인해 처리 과정의 변화가 불가피할 경우 데이터 처리자에게 사전 공지 의무

277 202 연차보고서 263 되어 있으며, 주요내용으로는 정보주체 및 기타인의 권리, 정보관리자의 의무, 정보보호 원칙 등이 있다. 영국은 984년부터 정보보호등록관(Data Protection Registrar)을 설치하여 자국 내에서 이루어지는 모 든 개인정보 처리행위를 사전 등록함으로써 개인정 보를 보호했으며, 998년에 전면 개정된 정보보호 법 에 따라 정보위원회(ICO : Information Commissioner's Office)로 명칭이 변경되어 오늘날에 이르고 있다. 정보위원회 위원은 영국 여왕이 임명하고 임기 는 5년임을 부칙 제5조에서 규정하고 있으며, 일반 사 업자에 의한 개인정보 처리나 정부 부처 등 공공기관 에 의한 개인정보 처리가 올바르게 이루어지고 있는 지 감시하고 규율하는 역할을 한다. ICO에서는 입법 행위, 정책시행, 정보관리자의 등록, 기업 감사 자 문 자체 평가, 분쟁 조정, 모니터링, 국제적 임무 등 의 역할을 수행하고 있다 년 주요 추진 사항 가. 영국 ICO, 데이터 익명화 실행 규칙 제시 ICO는 202년 월 데이터 익명화에 대한 실행 규 칙(Code of Practice) 및 사례 연구(Good Practice)를 제 공할 익명화 네트워크(Anonymization Network)를 발 표하였다. ICO는 정보보호법 을 기반으로 실행 규칙을 제시하였으며, 익명화 : 개인정보 위험관리 규약 (Anonymization : Managing data protection risk code of practice)이라는 이름으로 발간되었다. 해당 문서에서 ICO는 익명화된 개인 데이터는 더 이상 개 인정보로 취급되지 않는다고 밝히고 있다. 개인정보 를 재식별(Re-identify)하기 위해 익명화된 데이터가 제3자가 제공한 정보와 결합될 수 있는지 여부가 기 술적인 주요 이슈였으며, 재식별 위험을 평가하는 데 있어 ICO는 Motivated Intruder 테스트를 사용하도록 권고하고 있다. Motivated Intruder 테스트란 데이터 자원에 접근할 수 있고 사전 지식은 없지만, 데이터 식별을 원하는 자가 조사 기법으로 데이터를 재식별 화 할 수 있는지 여부를 테스트하는 것이다. 그러나 해당 문서는 데이터 재식별의 위험과 민감도 정도에 따른 데이터 사용 제한에 대한 명확한 기준을 제시하 지 않고 있다. 또한, 데이터 익명화에 대해 정보 보호 활동에 따른 개인의 동의가 요구되지 않으나, 기관은 프라이버시 정책에 데이터 익명화 가능성에 대해 언 급해야 할 필요가 있다. 만일 기관이 재식별을 통해 개인정보를 수집한다면 해당 기관은 관련 정보를 제 공하고 동의서를 받아야 한다. ICO는 익명화 실행 규칙과 함께 익명화 네트워 크 (Anonymization Network)37)를 오픈하고 온라인 사용자에게 데이터 보호 규정 및 가이드라인 변경에 대한 정보를 제공할 예정이다. 나. 각종 가이드라인 발표 ICO는 최근 와 관련된 여러 가이드 라인을 발표하였다. 우선 202년 2월, 정보보호 법 및 프라이버시 및 전자통신 규칙 (Privacy and Electronic Communications Regulation)의 위반행 위에 대한 제제 조치로 벌금을 부과할 때 기준이 되는 지침을 개정하였으며, 202년 8월 정보보호법 에 따른 개인정보 파기 의무이행을 위하여 개인정보파 기 지침 (Guidance on the Deletion of Personal Data) 을 발표하였다. 또한, 최근 개정된 EU 개인정보 보호 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 총 론 주 : 37)

278 제장 제2장 유럽 개요 264 지침(Directive)에 사업자들이 쿠키 형태로 웹 사이트 방문자의 정보를 자신의 컴퓨터에 저장하거나 불러 올 때 방문자 동의를 받도록 함에 따라, 사업자들이 새로운 쿠키 규정에 따를 수 있도록 관련 의무 사항을 이행할 수 있는 단계들을 설명하는 안내서를 마련하 였다. 또 202년 0월에는 클라우드 서비스를 위한 새 로운 계약을 검토하거나 현재 계약의 적절성을 판단 하는 계약 감사를 실시할 때 참고할 수 있는 클라우 드 컴퓨팅 가이드라인 (Guidance on Cloud Computing) 을 발표하였다. 제 3 절 프랑스. 주요 동향 보화의 진전에 따라 여러 번의 개정을 거쳤으며 이 법 은 공정하고 적법한 수집 처리, 수집 목적의 특정, 정보의 정확성 완전성, 민감 정보의 수집 제한, 처 리에 대한 본인 동의, 안전 보호 관리 의무, 본인 접근 권 등의 개인정보 취급에 관한 규정을 두고 있고, 민 간 공공부문 모두에 적용되고 있다. 프랑스의 정보처리법의 운영은 독립행정위원회 인 CNIL이 수행(법 조)하며, 이 위원회의 권한 행사 에 있어 어떤 기관의 지휘도 받지 않는다고 법 제2조 에 규정되어 있다. CNIL은 재판관 6명, 국회의원 4명, 경제사회평의회위원 2명, 상하원장이 임명하는 IT 전 문가 2명, 수상이 임명하는 전문가 3명 등 총 7명의 위원으로 구성되고, 임기는 5년이며 0년을 넘을 수 없다. 사무국에서는 50명의 직원이 근무하고 있으 며, 본부는 파리에 있다. 프랑스는 974년 월 8일자 명령을 통하여 법무부 산하에 정보위원회를 설치하여 정보처리기술의 발전 에 따른 개인의 사생활과 개인적 공적 자유의 침해 를 방지하고 이를 보호할 수 있는 사항을 구체적으로 마련하도록 지시하였다. 이에 따라 975년 6월 27일 에 보고서를 대통령에게 제출하였으며 이 보고서에 는 를 위하여 독립된 기관을 설치하여 정보시스템의 감독을 실시하고, 공공기관의 시스템 설치에 대한 사전 허가제를 실시하며, 정보 당사자인 개인에게는 자기의 정보에 대하여 접근권을 인정할 것 등이 제시되었다. 정부는 이러한 정보위원회의 보 고서를 토대로 마련된 법률안을 976년 8월 9일에 국 민의회에 상정하였고 이 법안은 부분적인 수정을 거 쳐 978년 월 6일 정보처리 축적 및 자유에 관한 법 (이하 정보처리법)이 제정되기에 이르렀다. 이후 정보처리법은 를 강화하고 정 년 주요 추진 사항 가. 개인정보 유출 통지 의무 지침 마련 프랑스는 202년 5월, EU 개인정보 보호지침 (Directive)의 유출 통지 요구 사항에 대한 내용을 반 영하여 자국의 정보처리법(Data Protection Act) 제34 조를 개정하였다. 개정된 법률에 따르면 데이터 침해 (Data breach)란, 보안체계에 반하는 유출로서 공공 분야 전자통신서비스의 제공과 관련하여 처리되는 개인정보 처리 시 발생할 수 있는 사고나 불법적인 파 괴, 손실, 변조, 권한 없는 접근 또는 제공을 의미하고 있다. 상기의 유출 사고가 발생하는 경우 서비스 제 공자는 사고 발생 경위와 해당 법에 따라 지정된 사항 들을 컴퓨터 사용 및 자유위원회(CNIL)에 서면으로 통지해야 한다. 다만 해당 정보주체들에게 반드시 통

279 202 연차보고서 265 지해야 할 의무는 없으며, 개인 데이터의 손상이나 프 표 클라우드 컴퓨팅 서비스 사용에 대한 권고 사항 라이버시가 침해되었을 경우에만 정보 주체에게 통 보하되, 본 사항에 대한 결정은 CNIL에서 심의한다. 통신 서비스 제공자가 해당 정보주체에게 통보하지 않도록 결정된 경우, 암호화 등 적절한 보호조치가 수 행되었는지 여부에 대해서는 CNIL에 통보해야 한다. 이와 같은 사항을 위반한 경우 프랑스 범죄 조항 제 항에 의거 5년의 징역 또는 30만 프랑의 벌 금에 처해질 수 있다. 나. 클라우드 컴퓨팅 서비스 사용에 대한 권 고 사항 발표 202년 6월 25일, 프랑스의 CNIL은 클라우드 컴퓨 팅 서비스 사용에 대한 권고 사항을 발표하였다. 프랑스 내에서 클라우드 컴퓨팅 서비스를 사용하 고 있는 기업들이 늘어나면서 법률과 위험 관리 측면 에서 많은 이슈가 발생하고 있어, CNIL은 20년 말 부터 클라우드 컴퓨팅 관련 연구 과제를 시작하였으 며, 공공의견 수렴(Public consultation) 등의 과정을 통하여 권고 사항을 발표하였다. 클라우드 컴퓨팅 서비스를 사용하는 기업들이 관 련 의무를 이해하고, 데이터를 안전하게 보호할 수 있도록 하는 CNIL의 권고 사항은 5가지가 있다. 클라 우드에서 처리되는 데이터와 프로세스 식별, 보안에 대한 법적ㆍ기술적 요구사항 정의, 보안 대책 식별, 클라우드 서비스 종류 선택, 적절한 클라우드 서비스 제공업체 선택 등 5가지 권고 사항에 대한 내용은 [표 4-2-6]과 같다. 클라우드 내에서 처리되는 데이터와 각 프로세스를 식별하여야 한다. 특히, 각각의 프로세스에 대해서 개인정보, 민감정보, 회사 기밀정보 등 주의 구분해서 처리되어야 할 데이터를 식별해야 한다. 보안에 대한 법적, 기술적 요구 사항으로 법적 제약으로는 데이터의 저장 위치, 보안 및 기밀성 보장 등이 있으며, 현실적 제약으로는 가용성, 기술적 제약으로는 기존 시스템과의 호환성 등이 있다. 위험 분석 실시를 통하여 필요한 보안 대책을 식별한다. 고려하여야 할 주요 위험은 클라우드 내에서의 프로세스 관련 통제 권한 감소, 클라우드 컴퓨팅 공급자에 대한 기술적 의존도 증가, 제3자에게 데이터 노출 위험 가능성 등이 있다. 기업에 적합한 클라우드 종류를 선택한다. 클라우드는 제공하는 서비스 방식에 따라 SaaS(Software as a Service), PaaS(Platform as a Service), IaaS(Infrastructure as a Service)로 분류되며, 구축 방식에 따라 Public, Private, Hybrid로 분류할 수 있다. 위에서 정의한 요구 사항을 충족하는 범위에서 적절한 클라우드 서비스 제공 업체를 선택한다. 클라우드 서비스 제공 업체의 법적 자격을 확인하고, 제공 업체에서 처리된 데이터에 대한 보호 수준을 평가하여 적합한 업체를 선택할 수 있다. 출처: Recommendations for companies planning to use Cloud computing services(cnil, 202) 다. 프라이버시 세금 검토 203년 월, 프랑스 재무부(French Ministry of Finance)가 기업들이 고객 오 남용에 대해 프라이버시 세금을 내야 한다는 제안서를 발표 하였다. 이 제안서의 세부적인 내용은 고객의 정보가 오 남용되거나 침해 사고 등으로 유출되었을 경우, 과실 정도에 따라 징계성 세금을 지불하게 하고, 고객 정보보호를 위하여 규정 이상의 조치를 취하고 있는 기업에 대해서는 인센티브를 주는 방법을 고려해야 한다고 하고 있다. 의회는 이러한 아이디어가 매우 혁신적인 제안이 기는 하지만 현실적으로 불가능하다고 보는 한편, 프 랑스 정부가 세금을 걷기 위해 회사의 인터넷 등을 감 시할 경우, 이러한 기술이 개인의 프라이버시를 위협 할 수 있다는 등의 내용에 대해 논의하고 있다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 총 론

280 제장 제2장 유럽 개요 266 제 4 절 독일. 주요 동향 독일의 Hessen 주에서는 970년에 이미 정보보호 법률을 제정하였는데, 이는 에 관한 세 계에서 가장 오래된 입법으로 평가되고 있다. 이후 연 방 차원에서 977년 월 27일에 정보처리에 있어서 개인에 관한 정보의 남용방지에 관한 법률 (Bundesdatenschutzgesetz) (이하 연방정보보호법) 을 제정하였으며, 이 법은 수차례 개정되어 990년 2 월 20일에 제조물책임법, 소비자금융법 을 하 나로 통합하는 등 전면 개정이 이루어졌다. 그리고 200년 5월 8일, 200년 6월 26일, 200년 2월 3일에 는 EU 개인정보 보호지침(Directive)에 따라서 이 법 의 개정이 이루어졌다. 이후 독일은 개인정보 보호법제의 현대화 방안을 마련하기 위해 독일연방 내무부에서 정보보호법제 의 문제점을 분석하여 개선 방안을 포함한 개인정보 보호의 포괄법인 연방정보보호법을 200년 2월 20 일에 제정하였다. 2005년 6월 3일에는 연방정보접근규율에 관한 법 률(Informationsfreiheitsgesetz) (이하 정보자유법)을 제정하였고 2006년 월 일 시행하였다. 이 법률을 통 해 전제 조건 없이 연방기관이 갖고 있는 정보에 접근 할 권리가 인정되었다. 정보자유법의 제정에 따라 연 방정보보호위원회(BfD : Bundesbeauftragte für den Datenschutz)는 정보 자유를 위한 과제를 추가로 담당 하게 되었는데, 이를 반영하여 2006년 월 5일 연방 정보보호법을 개정하여 연방정보보호위원회가 정보 보호와 정보의 자유에 관한 연방위원회(Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit)(이하 연방위원회) 로 명칭이 변경되었다 년 주요 추진 사항 가. 디지털 지리정보 접근에 관한 연방법 개정안 발효 독일 정부는 202년 5월, 디지털 지리정보 접근 에 관한 연방법 (Geodatenzugangsgesetz) 개정안을 국회에 제출하였고, 개정안은 국회를 통과하여 발효 되었다. 디지털 지리정보 접근에 관한 연방법 은 2007년에 제정되어 발효되었는데, 국가 지리 정보 인 프라 구축에 관한 사항뿐만 아니라 지리정보, 지리정 보서비스와 그러한 정보를 관리하고 있는 기관으로 메타 정보에 대한 접근 및 환경에 영향을 주는 정보와 서비스의 이용에 관한 사항을 규정하고 있다. 법 개 정으로 지리 정보의 사용 요건 등이 삭제되면서 지리 정보와 독일연방정부가 보유하고 있는 메타 정보의 자유로운 이용이 포괄적으로 허용되어 민간 영역에 서 영리목적으로도 사용이 가능하게 되었다. 나. 각종 가이드라인 발표 연방위원회는 202년 7월, EU 제29조 작업반의 클 라우드 컴퓨팅에 관한 견해(Opinion 05/202 on Cloud Computing)에 기초하여 독일 및 EU의 정보 보호법 에 따른 클라우드 컴퓨팅 서비스 공급 및 이 용 방법을 권고하였다. 또한, 독일 연방 네트워크청 (Bundesnetzagentur)은 202년 9월, 통신사를 위한 트 래픽 데이터 보유 가이드라인을 발표하였으며, 독일 의 기술적 관리적 정보보호 소위원회는 202년 월, IT 시스템을 공유하는 경우 자동화된 정보 처리에 필요한 기술적 관리적 분리에 관한 가이드라인을 발표하였다.

281 202 연차보고서 267 제 3 장 미 주 2 정책실적 및 성과 주요 현황 북미 지역인 미국과 캐나다는 공공과 민간 양쪽을 포괄 규제하는 법제를 채택하지 않고 있다. 미국은 공공영역은 프라이버시법(Privacy Act) 등을 적용하고 민간영역은 특정 영역이나 업종별로 마련된 개별법을 적용하는 방식을 채택하고 있으며, 캐나다는 공공과 민간부문을 별개의 법률로 규제하 는 방식으로 관리하고 있다. 북미지역의 202년 주요 동향은 [표 4-3-]과 같 으며 본 장에서는 이들을 중심으로 관련 자료를 수 집 정리하였다. 중남미 여러 국가에서도 개인정 보 보호법 의 제 개정 움직임이 있었으며 자세한 내용은 3절에서 다루었다. 제 절 미국. 주요 동향 미국의 와 관련되는 법체계는 포괄 적인 법제, 즉 옴니버스(Omnibus) 법제 방식이 아 닌 특정 영역이나 업종별로 마련된 개별법에 규제를 받는 부문별 법제방식을 취하고 있으며, 일반적으 로 허가 없이 수집된 개인정보라 하더라도 그 정보 를 입력한 자가 저장 사용할 권리를 가진다고 간주 하고 있다. 미국의 법제는 전반적으로 정보이용의 효율성과 이익이 개인의 자기결정권보 다 중요하게 평가된다고 볼 수 있다. 3 기관별 실적 및 계획 4 해외동향 부 록 표 4-3- 북미지역의 202년 주요동향 총 론 미국 백악관, 소비자 권리 장전 발표 미국, 어린이 온라인 프라이버시 보호법 (Children s Online Privacy Protection Act, COPPA)개정안 의회 통과 미국 캘리포니아 주 의회, 위치 프라이버시 법안 통과 캐나다 온타리오 주, 빅 데이터 시대의 Privacy by Design 준수사항 제시

282 제장 제3장 미주 개요 268 공공부문의 법은 연방기관으로부터 개인의 사생 활을 보호하고 연방기관이 갖고 있는 본인 관련 기 록에 접근할 권리를 해당 개인에게 부여하였고, 국 가기관들에게는 첫째, 관련되고 필요한 개인정보만 을 저장하고, 둘째, 정보주체로부터 가능한 한 직접 수집하고, 셋째, 정확하고 완전하게 기록을 보존하 며, 넷째, 기록의 안전을 도모하기 위한 행정적, 기술 적 보호 대책 수립을 요구하고 있다. 민간 부문은 개별법과 판례법 또는 자율 규제에 의한 규제로 구분되지만, 대부분이 자율 규제나 자 기통제가 기본이다. 이들 법규에서는 주로 법과 개 인정보의 보호목적, 법의 적용 범위, 대상 사업자를 대상으로 하는 정보의 범위, 규제의 내용, 정보 주체 의 권리내용, 감독 및 등록제도, 적용 제외 등을 규정 하고 있다([표 4-3-2] 참조). 미국의 시스템에서 가장 중요한 특 징은 정보보호(통제)기관이 없다는 것이다. 이에 따 라 공공부문에서는 개별 정부기관장이 연방프라 이버시법 집행에 관하여 책임을 지고 연방프라 이버시법 의 이행에 관한 감독은 대통령 관할 하에 있는 관리예산실(OMB : Office of Management and Budget)이 부분적으로 담당한다. 이에 따라 OMB와 의회의 상임위원회나 법원은 이러한 행정기관의 실 무를 제한적으로 감독하는 역할만을 담당한다. 다음으로 민간부문에서는 소비자 보호 관련 직 무와 권한을 갖고 있는 독립기관인 연방거래위원회 (FTC)가 소비자의 프라이버시 보호 관점에서 정보 보호 직무를 담당한다. FTC는 개인정보의 수집, 저장, 사용 및 폐기를 포 함하는 개인정보 수명주기 전반을 보호하고 있다. 표 미국의 관련 법제현황 분 야 법 제 공공부문 프라이버시법 (Privacy Act, 974) 정보공개법 (Freedom of Information Act, 974) 프라이버시보호법 (Privacy Protection Act, 980) 컴퓨터의 정보조합과 프라이버시보호법 (Computer Matching and Privacy Protection Act, 988) 전자정부법 (E-Government Act, 2002) 운전자프라이버시보호법 (Driver s Privacy Protection Act, 994) 금융 통신 공정신용보고법 (Fair Credit Reporting Act, 970) 공정 정확한 신용거래법 (Fair and Accurate Credit Transactions Act, 2003) 금융프라이버시권법 (Right to Financial Privacy Act, 978) 금융서비스현대화법 (Gramm-Leach-Bliley Act, 999) 케이블 통신정책법 (Cable Communications Policy Act, 984) 전자통신 프라이버시법 (Electronic Communications Privacy Act, 986) 전기통신법 (Telecommunications Act, 996) 민간 부문 교육 가정교육권 및 프라이버시법 (Family Education Rights and Privacy Act, 974) 의료 의료보험의 상호운용성 및 설명책임에 관한 법률 (Health Insurance Portability and Accountability Act, 996) 비디오감시 비디오 프라이버시 보호법 (Video Privacy Protection Act 988) 근로자정보 근로자 기록보호법 (Employee Polygraph Protection Act, 988) 아동정보 어린이 온라인 프라이버시 보호법 (Children's Online Privacy Protection Act, 998) 기타 컴퓨터 사기 남용법 (Computer Fraud and Abuse Act, 986) 출처: 법제와 CCTV관련 규정 및 문제점 개선방안(한국법제연구원, 2007)

283 202 연차보고서 269 FTC는 대통령이 지명하고 의회가 승인하는 5명의 위원으로 구성되며, 각 위원의 임기는 7년이다. FTC 는 기업의 개인정보 취급에 관한 부정 감시, 금융 관 련의 개인정보에 관한 프라이버시 통지 규칙의 실시 등의 직무를 수행한다. 또한, 소비자의 프라이버시 보호에 대한 감독 권한을 가지고 있으며, FTC의 소 비자 보호국은 부정 기만적 관행에서 소비자를 보 호하는 역할을 담당한다 년 주요 추진 사항 가. 연방정부 표 소비자 프라이버시 권리장전 7원칙 ) 백악관, 소비자 프라이버시 권리장전 발표 온라인 기반의 시장 활동은 컴퓨터 클라우드, 위 치 기반 서비스 등을 중심으로 미국 경제의 선구 자 역할을 하고 있으며, 경제적 이익의 지속적인 유 지를 위해 소비자 기술 네트워크에 대한 신뢰 확보 가 매우 중요하다. 이러한 신뢰 확보와 온라인상 개 인 프라이버시 보호를 위해 202년 2월 미국 백악 관에서는 소비자 프라이버시 권리장전 (Consumer Privacy Bill of Rights)을 발표했다. 소비자 프라이버시 권리장전에서는 970년대 제 정된 공정정보 실행원칙 (Fair Information Practice Principles, FIPPs)을 새롭게 개선하여 온라인상에 소 비자 프라이버시 보호를 위한 7대 원칙을 제시하고 있다. 소비자는 개인정보 수집 기관의 수집 정보 유 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 자기정보통제권 (Individual Control) 투명성 (Transparency) - 소비자는 개인정보 수집기관의 수집정보 유형 및 이용방법 등에 관한 통제권을 행사할 수 있으며, 기업은 소비자가 쉽게 이용하고 접근할 수 있는 서비스를 제공하되, 개인정보의 수집 및 이용에 관해 선택할 수 있도록 지원하여야 함 - 최근에는 사생활 보호기능을 강화하는 추적금지(Do Not Track) 기술을 통해 소비자가 자신의 개인정보를 통제할 수 있도록 지원 - 소비자는 및 보안실무에 관한 정보를 알 권리가 있으며, 기업은 소비자가 수집하는 정보, 필요성, 이용방법, 삭제 등에 관한 설명 제공 - 기업 사생활 보호 관련 서비스의 소비자 접근을 높이기 위해 구독이 용이 하고 효과적인 방법을 제공하여야 함 4 해외동향 맥락성 존중 (Respect for Context) - 소비자는 기업의 개인정보 수집 이용 공개과정에서 일관된 맥락에서 이루어지도록 기대할 권리가 있으며, 기업은 소비자에게 사전 공지한 방식으로 정보를 활용하되, 개인정보 공개를 최소화해야 함 - 만약 기업이 개인정보를 목적 외로 이용하거나 공개할 경우 투명성 및 개인통제권의 침해로 간주하여 사건 발생 즉시 기업을 고발할 수 있음 보안 (Security) 접근 및 정확성 (Access and Accuracy) - 소비자는 자신의 개인정보가 안전하고 신뢰할 수 있는 수준의 보안이 이루어지도록 요구할 권리가 있으며, 기업은 개인정보의 무단 접근 이용 파괴 수정 공개 등을 방지할 보안대책을 수립하여야 함 - 소비자는 데이터의 민감도 위험도를 고려하여 적절한 방법과 이용 가능한 형태로 개인정보에 접근 및 수정을 할 수 있는 권리가 있으며, 기업은 합리적인 방법을 통해 개인정보를 보유 및 관리할 의무가 있음 - 기업은 소비자가 자신의 개인정보 수정 삭제 제한을 요구할 때, 사전에 수집한 소비자의 개인정보에 접근할 수 있도록 해야 함 부 록 최소한의 수집 (Focused Collection) - 소비자는 특정기업의 개인정보 수집 및 보유에 관해 합리적 제한을 할 수 있으며, 기업은 소비자정보보호법 하에 기업의 목적달성을 위한 최소한의 개인정보를 수집해야 하며, 목적달성한 개인정보는 안전하게 삭제하여야 함 책임 (Accountability) - 소비자는 기업이 소비자 개인정보 인권선언을 준수하며, 소비자의 개인정보를 적절한 방법으로 처리하도록 할 권리가 있으며, 기업은 정부와 소비자가 해당 개념의 권리를 시행할 수 있도록 할 책임을 지님 - 기업은 개인정보 침해사고가 발생하면, 책임(Accountability) 의 개념에 따라 계약상의 의무를 다하지 못하였기 때문에 법적 처벌을 받음 총 론 출처: 상반기 해외정책동향(한국정보화진흥원, 202)

284 제장 제3장 미주 개요 270 형 및 이용 방법 등에 관한 통제권을 행사할 수 있는 자기정보통제권(Individual Control)을 가지고 있으 며, 및 보안 실무에 관한 정보에 대해 알 권리(투명성, Transparency)가 있고, 기업의 개인 정보 수집 이용 공개과정에서 일관된 맥락으로 이루어지도록 기대할 수 있는 맥락성 존중(Respect for Context)의 권리가 있다. 또한, 자신의 개인정보 가 안전하고 신뢰할 수 있는 수준의 보안이 이루어 지도록 요구할 보안(Security)의 권리, 데이터의 민감 도 위험도를 고려하여 적절한 방법과 이용 가능한 형태로 개인정보에 접근 및 수정을 할 수 있는 접근 및 정확성(Access and Accuracy)의 권리, 특정기업의 개인정보 수집 및 보유에 관해 합리적 제한을 할 수 있는 최소한의 수집(Focused Collection) 권리가 있으 며, 마지막으로 기업이 소비자 개인정보 인권선언을 준수하며 소비자의 개인정보를 적절한 방법으로 처 리하도록 할 책임(Accountability)의 권리가 있다. 세 부적인 내용은 [표 4-3-3]과 같다. 특히, 자기정보통제권(Individual Control)에서 언 급된 추적금지(DNT : Do Not Track) 기술은 광고주 의 온라인 웹 추적(Web tracking)으로부터 개인정보 를 보호하기 위한 메커니즘이다. 이용자가 웹을 통 해서 정보를 송 수신할 때 헤더에는 사용자가 이용 하고 있는 웹 브라우저, 사용자 컴퓨터의 언어 설정, 그 외 기술적 세부 정보들을 포함하고 있다. DNT 기 술을 통하여 이 헤더에 컴퓨터 언어로 '추적하지 마 라'는 의사표시의 간단한 명령문을 추가로 포함시킬 수 있다. DNT는 선도적인 대부분의 웹 사이트에서 는 자발적인 규약으로 적용되고 있으며, DNT를 준 수하지 않는 웹 사이트를 보안 블랙리스트에 등록시 키는 방법 등으로 DNT를 준수토록 하여야 한다. 2) 어린이 온라인 프라이버시 보호법 (COPPA) 개정 3세 미만 어린이의 를 위한 어린 이 온라인 프라이버시 보호법(COPPA : Children s Online Privacy Protection Act) 이 2000년 4월 2일 발 효되었다. COPPA는 3세 미만의 어린이와 관련된 서비스를 제공하는 모든 웹 사이트에 적용되며, 3 세 미만 어린이의 를 위해 온라인 서비 스 운영자는 적절한 절차를 수립하고 유지하도록 의 무화하고 있다. 페이스북이 어린이 대상 인터넷 서비스를 강화하 면서 어린이의 사생활 침해 문제에 대한 사회적 관 심도 커지고 있지만, COPPA는 그동안 급격하게 발 전한 인터넷 및 광고 시장의 현실을 반영하지 못하 고 있다는 비판을 받아 왔다. 미국 연방거래위원회 (FTC)는 이러한 문제를 해결하고 모바일 환경 및 신 기술에 효율적으로 대응하기 위한 COPPA로 개정 했으며, 개정된 COPPA는 203년 7월 일부터 발효 된다. COPPA의 주요내용은 [표 4-3-4]와 같다. 우선, 어 린이 개인정보를 수집할 경우 개인정보 활용에 대한 명백하고 이해하기 쉬운 정책을 공지하고, 어린이 로부터 정보 수집 시 부모의 동의를 받아야 한다. 또 한, 부모에게는 어린이 정보 활용 동의 선택권과 어 린이 개인정보 검토 및 삭제권을 부여한다. 그리고 어린이 정보의 제3자 제공은 금지하며, 어린이 개인 정보에 대한 기밀성, 보안성, 무결성이 유지되어야 한다. 개정된 COPPA는 2000년 법안이 발효되었을 당시 다루지 못했던 최신 정보통신 기술에 대한 프라이버 시 침해 위험도를 감소시킬 것이며, COPPA 규정 적 용 범위를 모바일 환경까지 확대했다. 그리고 인터 넷 광고 사업자를 비롯한 제3자는 사전에 3세 미

285 202 연차보고서 27 만 어린이의 보호자로부터 동의를 얻지 않은 이상 어떠한 형태의 개인정보도 수집할 수 없다. COPPA 의 주요개정 내용은 다음 [표 4-3-5]와 같다. 3) 소셜 네트워킹 온라인 보호법 제안 미국 하원은 202년 4월 27일 고용 조건으로 구직 자 및 근로자에게 소셜 미디어 계정의 비밀번호 제 공 요구를 금지하는 소셜 네트워킹 온라인 보호 법 (Social Networking Online Protection Act)을 교 육 노동위원회(Committee on Education and the Workforce)에 제안하였다. 동 법안에 따르면, 고용 주는 근로자 또는 입사 지원자의 개인 전자우편 계 정 또는 소셜 네트워크 계정에 접근하기 위하여 사 용자 ID, 비밀번호 또는 기타 수단을 요구할 수 없으 며, 교육 기관은 학생 또는 지원자에게 개인 전자우 편 및 소셜 네트워크 계정의 ID, 비밀번호 및 기타 접 근 수단을 요구해서는 안된다. 미국 일리노이주는 202년 8월 일 고용주가 근로 자 또는 입사지원자 채용 절차의 일환으로 페이스 북 ID와 비밀번호를 요구하는 것을 금지하는 법안을 통과시켰으며, 이는 메릴랜드주, 델라웨어주에 이 어 세 번째이다. 캘리포니아주도 유사법을 심의 중 이며, 미시건주 및 뉴저지주 등도 법안을 마련하고 있어 최소한 5개 주가 소셜 네트워킹 온라인 보호 주요 현황 2 정책실적 및 성과 표 COPPA의 주요내용 COPPA는 3세 미만 어린이의 개인정보를 온라인으로 수집하는 행위에 대해 엄격히 제한하고 있는 법률로 2000년 4월 2일 발효됨 2 3세 미만의 어린이와 직접적으로 관련된 서비스를 제공하는 상업적 웹 사이트 운영자뿐만 아니라 모든 일반인을 대상으로 서비 스를 제공하더라도 3세 미만의 어린이로부터 개인정보를 수집하는 모든 웹 사이트에 적용 3 어린이로부터 개인정보를 수집하는 어린이 대상의 웹 사이트나 온라인서비스 운영자, 또는 어린이로부터 개인정보를 수집하고 있다는 것을 실제로 인지하고 있는 웹 사이트나 온라인 서비스 운영자는 어린이로부터 어떤 정보를 수집하는지, 그 정보를 어떻게 이용하는지, 그리고 해당 정보에 대한 운영자의 공개 관행에 관하여 웹 사이트에 고지해야 함 4 어린이로부터 개인정보 수집, 그 정보의 이용 또는 공개에 대하여 입증 가능한 부모의 동의를 얻도록 함 5 어린이의 게임 참여, 어린이에게 상품 제공 또는 기타 어린이를 대상으로 하는 활동에 참여하는 데 필요한 적정 수준 이상의 개인 정보를 공개하도록 하는 조건 설정 금지 6 어린이로부터 수집된 개인정보 기밀, 보안 및 원상태 보호를 위하여 해당 웹 사이트나 온라인서비스 운영자로 하여금 적절한 절차를 수립하고 유지하도록 의무화 7 동의가 필요하지 않은 경우 - 어린이로부터 수집된 온라인 접촉 정보가 단지 어린이의 특정 요청에 대하여 일회성으로 회답하는 데 이용될 뿐 해당 어린이에게 재접촉하는 데 이용되지 않으며, 운영자가 해당 정보를 검색 가능한 형태로 보유하고 있지 않은 경우 - 부모나 어린이의 이름 또는 온라인 접촉 정보 요청이 단지 부모의 동의를 구하거나 법에 따른 고지 사항을 제공하기 위한 목적에 이용되며, 부모의 동의를 구하지 않았다면 적정 기간 후에 운영자가 해당 정보를 검색 가능한 형태로 보유하지 않은 경우 - 해당 웹 사이트나 온라인 서비스의 운영자가 웹 사이트의 보안 및 보전, 사법절차에 응하기 위한 경우 또는 다른 법률에 따라 허용된 범위 내에서 수사 기관 또는 공공 안전과 관련된 사건 조사를 위하여 정보를 제공하는 경우 3 기관별 실적 및 계획 4 해외동향 부 록 출처: 해외법제동향(한국정보화진흥원, 202) 표 COPPA 주요개정 내용 COPPA 규정 적용 범위를 모바일 환경으로 확대 2 개인정보 처리자는 부모 동의를 얻기 위해 간소화되고 자발적이며 투명한 승인 절차 제시 필요 3 플러그인을 통해 동의 없이 개인정보를 수집하는 웹 사이트, 모바일 앱 등의 취약점 보완 4 IP 주소 및 모바일 기기 ID 등에서 사용되는 각종 식별자도 본래 법의 적용대상에 포함 5 어린이 개인정보의 사용 요건, 데이터 보관 및 폐기 절차 강화 총 론 출처: 해외법제동향(한국정보화진흥원, 202)

286 제장 제3장 미주 개요 272 법 을 정비하고 있는 것으로 추정된다. 소셜 네트워킹 온라인 보호법 은 친기업적이면 서 친프라이버시적이라는 평가를 받고 있으며, 동 법을 통해 비밀번호로 보호되는 디지털 콘텐츠의 감독 의무 경감과 같이 기업과 학교를 법적 책임으 로부터 보호해주는 효과도 있을 것으로 기대된다. 작업장에서 프라이버시 보호를 소셜 미디어 계정까 지 확대한 것은 연방 및 주 차원에서 고용인의 프라 이버시를 강화하려는 경향이 지속되고 있음을 시사 한다. 4) 무인항공기 프라이버시 및 투명성 법 제안 무인 항공기 기술 발달과 가격 인하로 무인 항공 기 사용이 증가할 것으로 예측되는 가운데 이에 대 한 개인의 프라이버시 보호 정책이 미흡하다는 지 적에 따라 미국은 관련 법안 마련에 노력하고 있 다. 202년 8월, 공화당 의원인 Ed Markey는 교통 부 장관과 함께 무인항공기 프라이버시 및 투명 성 법(Drone Aircraft Privacy and Transparency Act of 202) 를 제안하였다. 해당 법안은 무인 항공기가 프라이버시에 미치는 영향도 조사, 무인 항공기 시 스템을 국가 항공기 시스템 범위로 통합하는 문제, 데이터 수집에 필요한 조건 및 절차, 데이터 수집의 최소화 및 모니터링을 위한 절차, 무인 항공기 인증 및 면허제도 강화, 무인항공기 사용에 대한 영장의 필요조건 등에 대한 내용을 포함하고 있다. 이와는 별도로 국제무인기시스템협회(AUSVSI : Association for Unmanned Vehicle System International)와 국제 경찰청장 협회(International Association of Chiefs of Police)는 프라이버시 보호에 관련된 무인항공기 행 동강령 및 가이드라인을 제시한 바 있다. 나. 주정부 ) 캘리포니아주 의회, 위치 프라이버시법 통과 202년 8월 22일, 캘리포니아주 의회는 사건 용의 자 휴대전화의 위치 데이터 수집 시 사전 영장을 요 구토록 하는 위치 프라이버시법(Location Privacy Act of 202 (SB-434)) 을 의결하였다. 위치 프라이 버시법 의 주요내용을 살펴보면 [표 4-3-6]과 같다. 그러나, 20년 캘리포니아 주지사 Jerry Brown 이 위치 프라이버시법 과 비슷한 법안에 거부권 을 행사한 적이 있어 이번 법안을 통과시킬지가 주 목되며 또한, 미국 무선산업협회(CTIA : Cellular Telecommunications Industry Association)에서 위치 표 위치 프라이버시법 주요내용 전자기기상의 위치 데이터를 수집하기 위해 사전 영장을 필요로 함 2 영장 기간은 30일로 제한하며 판사의 허가 하에 추가 30일 연장 가능 3 다음과 같은 상황에서는 영장 없이 위치 데이터 수집 가능 - 응급 전화에 대한 대응 - 휴대기기의 소유자와 사용자가 다를 때, 소유자로부터 승인 - 만약 사용자가 사망했거나 실종 시, 법적 대리인이나 친척으로부터 동의 - 응급상황에 사용자가 죽음이나 부상과 같이 생명에 위협을 느끼는 상황이라고 판단 시 4 48시간 이내 응급상황하에 위치 데이터 획득에 대한 보고서를 제출 출처: 하반기 해외정책동향(한국정보화진흥원, 202)

287 202 연차보고서 273 추적 데이터를 법 집행기구에 제출하는 데 따른 업 무 부담이 예상돼 해당 법안을 반대하고 있다. 2) 캘리포니아 모바일 플랫폼 운영사와 개인 정보보호 정책 합의 퓨리서치센터(Pew Research Center)의 최근 조사 결과에 의하면, 인기 응용프로그램 30개 중 22개는 개인정보의 수집 항목을 파악하지 못하며, 개인정보 이용에 관한 공지도 없는 것으로 나타났다. 이에 따라 캘리포니아 주는 스마트 폰 등 모바일 기기의 보급이 확대됨에 따라 모바일 응용 프로그램 에서 개인정보 수집 및 이용에 관한 규정의 필요성 을 느끼고, 202년 2월 주요 6개 모바일 응용 프로그 램 플랫폼 운영사(Apple, Google, RIM, Amazon, HP, MS)와 캘리포니아 온라인 개인정보 보호법(COPPA : California s Online Privacy Protection Act) 에 합의하 였다. 6개 회사는 도합 95% 이상의 시장 점유율 보유하 고 있기 때문에, 해당 법률은 플랫폼 제공자뿐만 아 니라 앱 개발자까지 효력을 미칠 것으로 기대되고 있다. COPPA는 모바일 응용 프로그램을 통한 개인 정보의 수집 공지와 투명성을 위한 최소한의 기준을 제시하고 있으며, COPPA는 주 법이긴 하나 인터넷 특성상 해당 6개 회사를 통해 제공되는 모든 모바일 응용 프로그램에 효력 발생이 전망된다. 본 법률에 제시된 준수사항은 [표 4-3-7]과 같다. 제 2 절 캐나다. 주요 동향 캐나다는 와 관련하여 공공부문을 포괄하고 연방 정부 기관을 대상으로 하는 프라이 버시 보호법(Privacy Act) 이 있고, 민간부문을 포괄 하는 법으로는 및 전자문서법(PIPED : Personal Information Protection and Electronic Documents Act)(이하 전자문서법) 을 제정 시행 중이며, 개별법으로는 은행법 이 있다. 전자문서법은 OECD 가이드라인 에 기초하여 개인정보에 대한 취급 원칙을 규정하고 있다. 이 법은 캐나다 규격 협회(CSA : Canadian Standard Association)가 만든 에 관한 모델 코드 를 법률의 별표에 제시하고 있다. 그 내용은 책임, 목적의 특정, 통지와 동의, 수집 제한, 이용 공개 보유기간의 제한, 정확성, 안전관리 조치, 정보공개, 정보 주체의 접근, 이의 제기 등이다. 프라이버시 보호법, 전자문서법에 따르면 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 표 캘리포니아 온라인 개인정보 보호법 에 제시된 준수사항 캘리포니아 온라인 개인정보 보호법 에 제시된 준수사항 웹 사이트 및 온라인 서비스 운영자가 개인정보 수집 시 개인정보에 해당하는 범위(Category)를 이용자에게 고지하고 제3자 제고 시에도 고지해야함 2 이용자가 웹 사이트 및 온라인 서비스에 등록된 기준 개인정보를 수정할 때 운영자는 특정 절차가 있을 경우 이를 설명하여야 함 3 웹 사이트 및 온라인 서비스 운영자는 정책에 중대한 변동(Material change)이 발생할 경우 이용자에게 이를 공지 하여야 함 총 론 출처: 하반기 해외정책동향(한국정보화진흥원, 202)

288 제장 제3장 미주 개요 274 캐나다의 개인정보 감독기관은 독립 기관으로 서 캐나다 프라이버시위원회(Office of the Privacy Commissioner of Canada) 의 설치를 규정하고 있 다. 이 기관의 주된 업무와 권한은 고충의 처리 조 사, 법의 준수 감시 감사, 개인정보 영향평가(PIA : Privacy Impact Assessment)에 관한 조언 등이 있고, 프라이버시와 관련하여 의회의 조언이나 법률 검토 를 위한 법 정책 분석, 프라이버시에 관한 권리나 의무에 대한 이해 촉진, 정보보호를 위한 국제 협력 등이 있다. 캐나다에는 민간부문의 불만 처리도 프라이버시 위원회가 담당하기 때문에 민간부문을 위한 별도의 기구는 없다 년 주요 추진 사항 가. 온타리오주, 빅 데이터 시대 Privacy by Design 준수사항 제시 설계 단계에서의 사생활 보호 원칙 (Privacy by Design)은 프라이버시 준수 시스템을 개발하기 위 한 표준으로 국제적인 인정을 받고 있으며, 효과적 인 프라이버시 보호를 위한 프레임 워크로써 활용 되고 있다. 캐나다의 온타리오주는 202년 5월 빅 데이터 시대에 프라이버시를 보다 효율적으로 보호 하기 위해 Privacy by Design 의 개념을 적용한 설계 방안을 제시하였다. 온타리오주는 센스 메이킹 시 스템에 Privacy by Design 을 적용하여 [표 4-3-8]에서 보는 바와 같이 총 7가지로 구성된 설계 원칙을 도 출하였다. 나. 프라이버시 관련 인프라 구축 및 유지 지침 마련 캐나다 프라이버시위원회는 202년 4월, 조직 내 프라이버시 관리 인프라를 통해 프라이버시 관련 쟁점의 지속적인 관리를 도모하기 위하여 [표 ]에서 보는 바와 같이 프라이버시 관리 체계 구 축 지침(Getting Accountability Right with a Privacy Management Program) 을 마련했다. 이 가이드는 Privacy by design 을 준비 중인 조직 및 기관에 안정적이며 실용적인 틀을 제공할 것이 표 센스 메이킹 시스템에 적용한 Privacy by Design 원칙 원 칙 FULL ATTRIBUTION DATA TETHERING ANALYSIS ON ANONYMIZED DATA TEMPER-RESISTANT AUDIT LOGS FALSE NEGATIVE FAVORING METHODS SELF-CORRECTING FALSE POSITIVES INFORMATION TRANSFER ACCOUNTING 세부 내용 모든 데이터의 기록 출처, 시간, 장소를 확인할 것 레코드 시스템에서 발생하는 변경, 삭제는 실시간으로 매우 빠르게 계산할 것 분석된 정보를 공유하기 전에 익명성을 확보할 것 DB 관리자조차도 변경할 수 없을 만큼 조작 방지에 대한 기능을 명확히 할 것 부정 오류와 관계된 기능은 다른 시스템과 연동에서 매우 중요하므로 반드시 확인할 것 주기적인 평가와 함께 제시될 수 있는 요구사항은 실시간으로 수정될 것 2차 전송 시 정보 주체의 요청(수정, 이관 등)에 충분히 대응할 수 있도록 데이터의 흐름을 파악하고 있을 것 출처: 상반기 해외정책동향(한국정보화진흥원, 202)

289 202 연차보고서 275 며, 포괄적인 프라이버시 프로그램 마련에 점차 높 은 관심을 기울이고 있는 해외 주요국에 영향을 줄 것으로 전망한다. 다. 모바일 앱 개발 가이드라인 마련 캐나다 프라이버시위원회는 202년 0월, 모바 표 프라이버시 관리체계 구축 지침의 주요내용 일 어플리케이션에 관한 합동 가이드라인(Seizing Opportunity: Good Privacy Practices for Developing Mobile App)을 발표했다. 가이드라인은 민간 부문에 서의 모바일 앱 개발에 적용되는 원칙 과 전자문서법에 따른 프라이버시 원칙을 설명하고 있다. [표 4-3-0]은 가이드라인의 주요내용이다. 주요 현황 2 정책실적 및 성과 프라이버시 존중 문화를 배양할 조직 내 거버넌스(Governance) 구축 경영진의 참여, 프라이버시 준수의 책임을 질 프라이버시 담당관의 임명, 개인정보를 사용하는 모든 조직 주요 기능에 프라이버시 보호를 보장하기 위한 프라이버시 팀 구축, 조직 내부 통제 절차에 프라이버시 보고 메커니즘(mechanism)반영 2 거버넌스 구조에서 정한 내용의 조직 내 구현을 보장하기 위하여 프로그램 통제 체계 마련 개인정보 보유 현황 조사 실시(개인정보의 수집, 사용, 보관, 폐기, 개인정보의 접근, 개인정보의 보안과 관계된 정책의 수립, 위험 산정 조사 실시, 직원들의 교육과 훈련, 위반 및 사고 관리 계획 수립, 개인들에게 프라이버시 권리를 알리기 위한 절차 개발 등) 3 프로그램의 지속적인 효과, 준수, 책임을 보장할 수 있도록 지속적인 프로그램 관리 필요 감독 및 검토 계획 마련, 개인정보 데이터베이스의 갱신, 필요 시 정책의 수정, 프라이버시 및 보안 평가의 즉각적인 실시, 교육 및 훈련 프로그램의 검토 및 수정, 서비스제공자와 체결한 계약의 검토 및 조율, 프라이버시 활동에 대한 외부와의 의사소통 등 3 기관별 실적 및 계획 출처: 해외법제동향(한국정보화진흥원, 202) 4 해외동향 표 가이드라인의 주요내용 <모바일 앱 개발 가이드라인> 정보의 계층화: 프라이버시 공개의 단계는 하이퍼링크를 통해 상세정보를 알 수 있도록 하는 아이콘, 라벨 그리고 이미지들이다. 2 프라이버시 대시보드 : 프라이버시에 관한 사용자의 행위를 촉진하고, 그러한 선택의 결과를 설명하는 툴 제공 3 색상과 소리: 결정의 중요성 및 정보의 민감성에 따른 색상과 소리의 조절 4 사용자 통지 및 동의 시기 - 사용자가 앱의 프라이버시 정책을 별도로 검색하도록 해서는 안 됨 - 사용자는 다운로드 전에 명확하고 편리하게 정보를 제공받을 필요는 없으나, 다운로드 전 충분한 고지가 있어야 함 - 동의는 정보가 수집되는 시점에 실시간으로 이루어져야 하며, 이를 통해 즉각적으로 사용자가 선택할 수 있어야 함 부 록 <개인정보 수집 및 활용에 관한 가이드라인> 소리, 위치, 움직임 : 기기의 위치 및 움직임 센서로부터 얻어지는 소리와 정보 수집에는 명시적 동의가 필요하며, 해당 앱의 기능과 직접적인 관련이 있어야 함 2 카메라 : 기기의 카메라 작동에는 사용자의 허가가 필요함 3 기기 식별자 : 앱은 그 기능상 필수불가결 한 것이 아닌 한 특정 기기 식별자 정보의 수집을 요구하는 방법으로 설계되어선 안 됨 4 제3자의 정보 : 제3자에 관한 정보는 동의 없이 수집할 수 없음 총 론 출처: 해외법제동향(한국정보화진흥원, 202)

290 제장 제3장 미주 개요 276 제 3 절 중남미 지역 국가. 멕시코 멕시코는 97년 제정된 헌법 제6조에 따라 개 인이나 가족 관련 기록문서의 불가침 및 통신비밀이 보장되어 있다. 개인정보 보호법(Ley Federal de Protección de Datos Personales en Posesión de Particulares) 과 관련 해서는 포괄적인 관련법은 없지만, 행정 부문에 대 한 투명성과 정부의 공적정보에 대한 접근권한에 관한 연방법(Federal Law of Transparency and Access to Public Government Information) 이 2002년에 제정 되었다. 이는 공공정보에 대한 접근권한에 관한 규 정이 명시되어 있고, 행정기관이 보유하는 개인정보 에 대한 동의 및 목적 명확화의 원칙, 정보 주체의 접 근권한, 수정 권한 보장 등 개인정보 취급 규칙을 정 하고 있다. 민간부문에서는 민법, 지적재산권, 소비자보호법, 은행 및 세금에 관한 일련의 법률 등을 통해 개인정보를 보호하고 있다. 20년 2월, 멕시코 내무부는 200년 발효된 개 인정보 보호법 의 이행을 위한 규정 (the Regulation of the Data Protection Law) 을 제정 하였으며, 법의 적용 범위, 개인정보 처리의 정의, 정 보처리자의 역할을 명시하였다. 규정은 20년 2월 22일 발효 되었다. 개정안의 내용은 클라우드 컴퓨팅을 위한 세부화 된 규정과 서비스를 제공하는 정보 처리자들을 위한 상세한 계약 조건 및 보안 요구 사항 등을 명시하고 있다. 한편, 멕시코 경제부 장관과 연방공공정보공개 청(IFAI : Federal Institute for Access to Information and Data Protection)는 체계, 조치, 자율규제의 올바른 발전을 위한 기준 (Parameters for the correct development of the mechanisms, measures and self-regulation schemes on personal data protection)이라는 제목의 문서에 합의하였다. 이는 개인정보를 개인 혹은 기업이 가지고 있는 방 안에 대한 개인정보 보호법 의 규제를 보완한 것이 다. IFAI는 멕시코의 은행 및 병원 연합 등과 함께 이 문서를 체결하였고 연방 정부의 노력으로 IFAI의 내 부 규제 권한은 더욱 강화되었다. 2. 브라질 브라질 의회는 시민 헌법 이라 불리는 새로운 헌 법 을 988년에 제정하였는데, 여기에 개인이 자 신의 데이터를 보유해야 한다(You should have the data) 는 뜻의 헤이비아스 데이터(Habeas Data)'를 헌법 상 권리의 하나로서 명시하였다. 997년에 는 헤이비아스 데이터 절차 관리법(Regulatory Law of the Habeas Data Proceeding) 을 제정하여 헤이비 아스 데이터의 자세한 취급 절차 및 정의를 규정하 고 있다. 최근 프라이버시 법률 제정에 대한 논의가 증가 하고 있어 국립 의회(National Congress)는 정보보 호를 다루는 여러 법안을 재검토하고 있으며, 행정 부(Executive Branch)는 검토를 위해 20년 8월 24 일 의회(Congress)에 특정 정보보호 및 기타 인터넷 관련 사항을 위한 법에 대해 새로운 제안을 발표했 다. 또한, 202년 브라질 의회에서 제안된 인터넷 민 간 규제 프레임워크(Marco Civil da Internet. Cultural Digital) 에서는 사용자의 권리와 책임, 중립성의 원

291 202 연차보고서 277 칙 등을 포함한 인터넷 이용자 권리장전을 규정하고 있다. 현재 브라질에는 를 위한 독립된 감독기구는 없으며, 정보기관의 하나인 정보보호 통신부(DISC: Department of Information Security and Communication)에서 정보보호 및 통신 관련 법 령 검토와 정책을 시행하고 있다. 이 정보보호통신 부의 하부조직인 컴퓨터 응급조치팀(Government computer Emergency Response Team) 이 연방 행정 분야에서 정보보호 관련 긴급사태에 대응하는 업무 를 수행하고 있다. 3. 칠레 칠레는 라틴 아메리카에서 최초로 개인정보 보 호법 을 제정한 나라이며, 999년 0월 28일에 개인 정보보호를 위한 포괄법으로 사생활 보호에 관한 법률(Law for the Protection of Private Life) 을 제정 시행하고 있다. 이 법은 공공과 민간부문의 개인정 보 처리 및 이용에 적용되며, 정보주체의 접근, 수정 등의 권리에 관한 규정도 포함하고 있다. 또한, 이 법에서는 금융, 상업, 은행 정보의 이용 및 정부기관 정보 이용에 관한 특별한 규정을 두고 있으며, 개인 정보 데이터베이스 관리가 공공, 개인, 단체에 의해 법률에 따라 다뤄지고 있다. 이 법은 에 관한 법으로 개인정보 수 집, 관리 전송 및 저장 등의 내용을 다루고 있으며 인 터넷에서의 수집 및 저장에 적용되고 있다. 데이터 국제 전송과 관련하여 칠레에는 별도의 법률이 없으 며, 에 관한 법률은 아직 논란과 비판 의 대상이기 때문에 효력이 없다. 곤살로 아레나스(Gonzalo Arenas)의원을 비롯 한 독립민주연합당(UDI : Partido Union Democrata Independiente)의 의원 0명은, 인터넷 포털 및 소셜 네트워크 사업자는 소비자의 요청 시 적법하지 않게 보유하고 있는 개인정보를 삭제해야 한다는 내용의 개인정보 보호법 제9.628호의 개정안을 202년 3 월 28일 제출했다. 개정안에 따르면 인터넷의 사용이 확산되면서 사 생활 보호와 같은 기본적인 권리의 보호조차 위협받 고 있다는 것이다. 이 같은 관점에서 법안은 유럽과 미국 등에서 논의가 한창인 소위 잊혀질 권리 를 장 려하고 있다. 즉 페이스북 등 인터넷 업체들은 적법 한 사유 없이 개인정보를 노출하는 경우 즉시 그리고 완전히 개인정보를 삭제하여야 한다. 개정안은 심의 절차를 위해 하원의 헌법위원회에 회부되었다. 4. 페루 페루는 20년 7월 3일 개인정보 보호법(The Peruvian Law) 을 제정하였다. 이 법은 기본적으로 공개 비공개로 관리되는 모든 개인정보에 적용 되지만 개인이나 가족의 필요에 의해 생성된 정보 는 적용되지 않는다. 또한, 본 법안은 개인정보 수 집가나 처리자가 준수해야 하는 다음과 같은 8가지 기본 원칙을 기반으로 하였다: 적법성(Legality) 2 동의(Consent) 3 목적(Purpose) 4 비례성 (Proportionality) 5 품질(Quality) 6보안성(Security) 7 자원의 활용(Availability of resource) 8 적절한 보 호 수준(Adequate level of protection). 현재 페루의 법무인권부(MINJUSDH : El ministro de Justicia y Derechos Humanos)는 기관(ANPDP : El jefe de la Autoridad Nacional de Protección de Datos Personales)을 통하여 개인정보 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록 총 론

292 제장 제3장 미주 개요 278 보호법 제29733호의 규칙 제정 절차를 진행하고 있 다. 이 법은 개인정보의 이용을 보호하여 국민의 권 리를 보장하는 것을 목적으로 한다. 202년 9월 22일 최종 개정 법안이 시행되었으며 개정된 내용은 전자 서명 사용을 위한 허가 조항, 개인정보취급방침 내 용, 국가 간 상호 거래를 위한 계약 조항 및 클라우드 컴퓨팅 서비스 제공자를 위한 세부적인 요구 사항들 이 포함되어 있다. 한편 ANPDP는 스페인의 기관인 스 페인 왕립 AEPD(Agencia Española de Protección de Datos)와의 협력협정 비준을 위한 준비를 하고 있다. 양측은 협정에 따라 에 대한 정보 기 술을 교류하게 되며 스페인 AEPD와의 기술 교류로 ANPDP는 최고 수준의 기술력을 갖추게 될 것이라 고 전망하고 있다. 단순히 통신의 수단으로만 보고 있으며 클라우드 컴 퓨팅과 인터넷을 이용하여 개인정보를 전송 혹은 저 장하는 것을 금지하고 있음을 뜻한다. 사실 콜롬비 아의 법적용은 소셜 네트워크의 개인정보나 약력 정 보와 같이 공개된 개인정보까지 확장될 수 있기 때 문에 인터넷 세상에서는 의미가 없어 쇠퇴하는 법률 이라 말할 수 있다. 202년 0월에는 통지와 동의 요건, 아동 데이터 처리를 위한 특별 규정, 유럽식의 데이터 주체 권 리, 등록 요건 및 국가 간 데이터 전송 제한 등의 조 항을 포함하는 정보보호법(Introducing General Provisions for Personal Data Protection) 을 제정하고 시행하였다. 본 법안은 콜롬비아 영토 내 대상자에 게 적용되며 그 외 지역에서 활동하는 데이터 처리 자나 서비스 제공자는 국제법과 협약에 근거한 콜롬 비아 법안을 적용받는다. 5. 콜롬비아 콜롬비아는 헌법 제5조에서 프라이버시를 기본 적 인권의 하나로 인정하였다. 그 내용으로 개인에 게는 그 개인과 가족의 프라이버시와 명예권이 있으 며, 공공 부문 또는 민간 부문을 불문하고 개인은 수 집된 자기정보에 접근할 수 있고, 갱신 수정할 수 있는 권리를 가진다. 이후 997년에는 헤이비아스 데이터 규정을 추가하기 위한 개정이 이루어졌다. 콜롬비아는 현재 개인정보의 권리가 Habeas data 라는 이름으로 헌법에 명시 되어 있으며, 국제 데이 터 전송에 관한 모델은 보호 무역의 형태를 띄고 있 다. 따라서 유럽 어느 국가에서도 찾아보지 못할 만 큼 엄격하게 통제하고 있다. 또한, 인터넷상에서는 공공정보를 제외한 개인정보는 가용하지 않는다고 헌법에서 명시하고 있다. 이러한 조항은 인터넷을 6. 아르헨티나 아르헨티나는 994년 헌법 개정 시에 브라질 헌법 의 헤이비아스 데이터 를 자국에 적합하도록 도입하 고, 2000년에는 EU 지침과 헌법 제43조를 기반으로 개인정보 보호법(Law for the Protection of Personal Data) 을 제정하였으며, 여기에는 를 위한 사법적 구제 제도가 마련되어 있다. 개인정보를 보호하기 위해서 아르헨티나는 다른 나라로의 데이터 이전뿐 아니라 절차, 안전성, 수정, 접근에서의 목적, 데이터 질, 비례 원칙, 투명도 등 다양한 조항을 만들었으나 사법부와 경찰의 합동수 사, 대 테러리스트, 의료 정보의 교환, 은행 및 주식 거래와 연관된 부분, 인터넷과 관련한 권리나 특별 한 규칙은 담고 있지 않다.

293 202 연차보고서 코스타리카 코스타리카의 법안은 20년 9월 5일 처음으로 발효 되었으며 공공기관 및 민간 기 업 모두에 적용된다. 이 법은 정보보호 권리보장 을 위한 내용을 담고 있으며, 위원회 (Prodhab : Data Protection Agency of the People) 개 인정보보호 및 관리를 위한 책임성, 법 준수를 위한 보장과 규칙의 실행 등을 포함하고 있다. 개인정보 보호위원회는 공식적으로 202년 7월 5일 설립되었 으며 법안의 적용을 위한 실무적인 작 업을 진행하고 있다. 한편 기업들은 203년 7월 5일 까지 개인정보 보호법 을 준수하고 있다는 명백한 근거를 위원회에 제시하여야 한다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 총 론 부 록 4 해외동향

294 제장 제3장 북미 개요 280

295 202 연차보고서 28 제 4 장 아시아 및 호주 주요 현황 3 기관별 실적 및 계획 4 해외동향 부 록 총 론 2 정책실적 및 성과 202년에는 아시아 지역의 정책에 큰 변화가 있었다. 필리핀과 싱가포르는 최초로 데 이터 프라이버시 법 을 제정하였으며 말레이시아 는 몇 년간 수정 과정을 거친 후 포괄적인 데이터 프 라이버시 법안을 시행할 예정이고, 대만은 정보보호 법안을 개정하였다. 대부분의 아시아 국가들이 개인 정보 처리를 위한 제한된 조건이나 법적 조건을 마 련하는 EU 법과 같은 접근법을 사용하고 있으나, 최 근 국가별 환경과 상황에 맞게 법안을 제정하거나 개정하는 방향으로 나아가고 있는 추세 이다. 호주에서는 프라이버시 보호법(Privacy Act) 을 개정하였으며, 아시아 주요 국가 및 호주의 최근 정책 동향에 대한 자세한 내용은 다음 과 같다. 제 절 일본. 주요 동향 일본 정부는 공공부문의 를 위해 988년 2월 행정기관이 보유하는 전자계산기처 리에 관한 개인정보의 보호에 관한 법률 을 제정 공포하였다. 그 후 2003년 5월에 개인정보의 보호 에 관한 법률 (이하 개인정보 보호법)이 제정되면서 행정기관이 보유한 개인정보에 관한 법률 (이하 행 정기관의 개인정보 보호법)로 명칭이 변경되었다. 일본의 개인정보 보호법은 크게 공공 및 민간에 공통으로 적용되는 부분과 민간사업자의 의무를 정 한 부분으로 구성되어 있다. 이 법은 2003년 5월에

296 제장 제4장 아시아 및 호주개요 282 제정 공포되어 일부 시행되었고 2005년 4월부터 전면 시행되었다. 일본은 일반법 차원의 개인정보 보호법을 기반으 로 민간부문에서 22개 분야에 35개의 가이드라인 이 작성되었으며, 각 영역의 개인정보 취급사업자는 해당 분야의 가이드라인에 따라 개인 정보보호 정책을 수행하도록 하고 있다. 일본이 채 택한 원칙은 크게 수집제한의 원칙, 이용제한의 원칙, 개인 참여의 원칙, 적정 관리의 원 칙, 책임 명확화의 원칙 을 들 수 있다. 일본의 개인 정보보호 관련 법 체계는 다음 [그림 4-4-]과 같다. 일본의 개인정보 보호법은 6개의 장과 부칙으로 구성되어 있으며, 59개 조문으로 되어 있다. 제장부 터 제3장까지는 공공과 민간부문을 총괄하는 부분 이라고 할 수 있으며 제4장에서 제6장은 민간부문에 대하여 규정하고 있다. 또한, 민간부문에서 개인정 보 보호법 외에 각 사업 분야를 지도하는 주무부처 에서 각 사업 분야에서 다루어지는 개인정보의 내용 이나, 성격, 이용 방법 등을 고려하여 개별적으로 그 분야의 실정에 맞는 가이드라인을 마련하여 시행하 그림 4-4- 일본의 관련 법 체계 개인정보를 취급하는 사업자의 의무 등 (제4장~제6장 *) 사업분야별 가이드라인 민간부문 기본법제 기본이념 국가 및 지방 공공단체의 책무 시책 기본 방침의 책정 등 (제장~제3장 *) 국가 행정 기관 (법률) *2 독립 행정 법인 등 (법률) * 에 관한 법률 *2 행정기관이 보유한 개인정보 보호에 관한 법률 *3 독립행정법인 등이 보유한 에 관한 법률 *4 각 지방공공단체에서 제정된 조례 출처: KISO저널 202여름호 vol7(한국인터넷자율정책기구, 202) *3 공적부문 지방 공공 단체 등 (조례) *4 고 있다. 공공부문에 대하여는 별도의 법령에 따라 개인정 보의 보호를 도모하고 있다. 우선 행정기관이 보유 하고 있는 법률은 행정기관이 개인정 보를 취급할 경우 엄격한 의무사항을 정하고 있으 며, 독립행정법인 등이 보유한 에 관 한 법률은 앞의 행정기관이 보유하고 있는 개인정보 보호에 관한 법률과 유사하지만, 규제대상이 정부의 행정기관과 독립행정법인이라는 점에서 차이가 있 다. 마지막으로 각 지방 공공단체에 의해 제정된 개 인정보보호 조례도 이에 해당한다. 일본은 와 관련하여 별도의 독립감 독기관이 없으며, 내각부와 총무성에서 관련 제도를 추진하고 있다. 내각부는 공공 민간부문을 총괄하 여 일본 전체를 대상으로 제도를 시행 하며, 국민생활심의회 소속으로 부회 및 정보공개 심사회를 두고 있다. 반 면 총무성은 행정기관 및 독립행정법인 등에 대한 를 담당하고 있고, 중앙행정기관은 행 정관리국에서 업무를 관장하고 있으며, 지방은 자치 행정국에서 담당하고 있다 년 주요 추진 사항 가. My Number 제도 도입 의결 최근 일본 정부는 202년 2월 국민에게 번호를 할 당해 납세 실적과 연금 등의 정보를 관리하기 위한 공통 번호 제도를 도입하는 개인식별번호법(안)(주 민등록번호법(안)) 을 국무회의에서 의결하였다. 동 법안에 따라 도입되는 개인 식별 번호 제도는 My Number 로 명명될 예정이며 사회 복지와 조세 징수

297 202 연차보고서 283 를 더욱 효율적으로 만들 것으로 예상되고 있으며 동 법안의 주요내용은 다음과 같다. 첫째, 별도의 관리체계를 통해 모든 일본인은 자리 이상의 ID 번호가 부여되며 한 번 사용된 숫자 는 재사용이 불가능하다. My Number 시스템 도입 을 위하여 다른 ID 번호로 My Number 를 연결하는 정보 네트워크를 마련할 계획이며 My Portal 이라는 가칭 PIN 시스템인 전용인터넷 포탈을 만들 계획이 다. 둘째, 동 법안은 개인정보의 보호를 고려하여 행 정조직 등을 감시하는 제3의 기관 설치나 정보유출 및 누설에 대한 벌칙을 포함하고 있다. 즉, 정부로부 터 독립된 개인번호정보보호위원회 를 설립하여 검 사 권한 등의 임무를 부여하고 있으며, 정보를 누설 한 행정 직원들에게는 최고 4년 이하의 징역, 또는 200만 엔 이하의 벌금을 부과하도록 규정하고 있다. My Number 제도 도입을 통해 행정의 효율화와 같 은 효과를 가져 올 수 있으나 처리되는 개인정보가 충분히 보호받을 수 있을 것인가에 대한 우려의 목 소리가 커 제도가 제대로 시행되기까지 많은 논란이 예상된다. 일본은 204년 6월 번호를 교부하기 시작 하여 205년 월에 제도를 운영코자 하고 있다. [그 림 4-4-2]는 My Number 제도의 운영 프로세스를 나 타낸다. 제 2 절 중국. 주요 동향 중국에는 와 관련된 약 40건의 법률 을 비롯하여 30여 건의 법규, 약 200건의 규정이 있 다. 여기에는 인터넷정보 규정, 의료정보 규정, 개인 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 그림 My Number 제도 운영 프로세스 4 해외동향 카드 뒷면 ID번호 카드와 개인 ID번호 출생 : (년, 월, 일) 이름 : X X X 성별 : 남성 주소 : 신주쿠 도쿄시... 개인 ID 번호의 알림 : 카드제공(선택사항) 지방자치단체 세무서 부 록 ID 번호 요청 "My Potal" 에서 통합관리 정보를 제공하는 네트워크 시스템 My Number로 연결 정부부처 A에 의한 ID 번호 관리 정부부처 B에 의한 ID 번호 관리 총 론 출처:한국정보화진흥원, 상반기 해외정책동향, 202.

298 제장 제4장 아시아 및 호주개요 284 정보 관리방법 등에 대한 규범도 포함되어 있다. 개 인정보에 관한 법률 법규의 수는 많지만, 내용을 보면 여러 법률이 산재되어 있을 뿐만 아니라 보호 수준도 낮은 편이어서 관련법의 제정이 필요한 실정 이다. 하지만 아직 에 대한 통일적인 입법은 이루어지지 못하고 있다. 다만, 2009년 3월 중화인민공화국 형법개정안 제7조를 통해, 심각한 개인정보 침해행위를 범죄로 규정하면서 의 중요성을 인식하는 실 질적인 계기를 마련한 바 있다. 중국은 를 위한 독립 감독기관이 없 으며, 공업신식화부( 工業, 信息化部 ), 공안부( 公安部 ), 국가통계국( 國家統計局 ), 상무부( 商務部 ) 등에 서 주관하고 있다. 각 기관은 직속 전문 관할부처를 설립하여 영역별로 를 담당하고 있다 년 주요 추진 사항 가. 인터넷정보서비스 시장질서 규제에 관한 규정 발효 중국에서 202년 3월 5일에 인터넷정보서비스 시장질서 규제에 관한 규정 (이하 규정) 이 발효되 었다. 또한, 20년 말 다수의 중국 인터넷 업체가 사 용자 이름, 전화번호 등 개인정보를 허가 없이 공개 하거나 불법적으로 판매한 일련의 사실이 밝혀지면 서 입법 노력이 전개되었다. 규정은 공청회를 위해 공개된 인터넷정보서비스 시장질서 감독 및 관리 초안과 인터넷정보서비스 관리규정 의 핵심 규정을 하나의 법으로 통합하였 다. 규정은 중국 내 인터넷 서비스 제공업체의 경쟁 관련 활동 및 인터넷 사용자 보호를 강화하는 것을 주된 목적으로 한다. 또한, 규정은 소비자에게 자신 의 정보가 처리되는 방식에 있어 투명성과 통제력을 부여하고, 규정 위반이 공업신식화부에 보고되도록 한다. 규정의 내용은 [표 4-4-]과 같다. 표 4-4- 규정 주요내용. 개인정보란 특정 사용자를 독립적으로 식별할 수 있는 정보 및 다른 정보와 결합되어 특정 사용자를 식별할 수 있는 정보를 의미한다. 2. 인터넷서비스 제공자는 다른 법에서 달리 정하고 있지 않은 한 동의 없이 사용자에 관한 개인데이터를 수집하거나 다른 이에게 전송할 수 없다. 3. 정보 수집 시, 정보 수집 처리 방식, 내용, 목적을 분명하게 알려야 한다. 4. 서비스 제공에 불필요한 개인정보 수집 금지 및 목적 외 사용을 금지한다. 5. 팝업 광고, 기타 정보성 창을 허용할 경우, 소비자가 해당 윈도우를 닫거나 빠져나갈 수 있도록 눈에 쉽게 띄는 기능적 표식 제공 의무가 있다. 6. 시스템보안보호를 강화하고, 소비자가 업로드한 정보를 보호하며, 소비자가 업로드한 정보의 사용, 변경, 삭제가 가능하도록 해야 한다. 7. 사용자들이 소프트웨어를 실행 저장 설치하도록 하는 속임수를 사용하거나, 왜곡된 정보의 제공, 강제적인 방법으로 사용을 종용 해서는 안 된다. 8. 소프트웨어 제거 후 코드를 남겨두거나 불필요한 파일을 보유하는 것을 금지한다. 9. 사용자 동의 없이 사용자 브라우저 설정 또는 세팅 변경을 금지한다. 0. 다른 인터넷서비스업체의 합법적인 권리나 이익을 침해하는 것을 금지한다.. 개인정보를 적절한 방법으로 보관해야 하며, 정보의 공개로 발생될 피해를 최소화하기 위한 조치를 취해야 한다. 2. 불법적인 정보공개를 산업정보기술부에 보고하여야 하며, 관련된 어떠한 조사에도 협조하여야 한다. 3. 규정 위반 시 시정경고 및 만 위안 ~ 3만 위안의 벌금이 부과된다. 출처: 상반기 해외정책동향(한국정보화진흥원, 202)

299 202 연차보고서 285 제 3 절 호주. 주요 동향 호주는 를 위한 독립 감독기관으로 서 연방 프라이버시위원회 가 있었으나, 연방 정부 의 정보 관리에 대해 전략적 역할을 담당하는 상위 기관인, 위원회(OAIC : Office of the Australian Information Commissioner) 가 200년 월 에 설치되었다. 총 3명의 위원 중 명이 를 전담하 며, 주된 직무와 권한은 프라이버시 보호법(Privacy Act) 의 집행에 관한 조언, 개인의 프라이버시를 보 호하기 위한 조사, 프라이버시 보호법 의 준수 감 시, 불평 처리, 프라이버시 규약의 인가 폐지 등을 들 수 있다. 민간단체로는 인터넷 이용자의 자유와 권리를 위 한 활동을 하는 호주 전자프론티어(EFA : Electronic Frontiers Australia)가 994년에 설립되었고, 호주 의 국민 ID 카드시스템 도입의 반대 목적으로 설 립된 호주 프라이버시재단(APF : Australian Privacy Foundation)도 있다. 한편, 호주는 2002년 호주 안보첩보조직 (테러 대책)법(Australian Security Intelligence Organisation(Terrorism) Act 2002) 에 근거하여 테 러 대책을 마련하고 있으며, 세계 각국과 마찬가지 로 테러 대책에 앞서 범죄 조사를 위해 DNA 데이 터베이스 구축 활용을 위한 크라임트랙 프로젝트 (CrimeTrac Project) 를 998년부터 추진하였다. 이 프 로젝트는 호주의 각 관할부에서 운용되고 있는 각 데이터베이스의 정보 공유를 촉진하여 법 집행기관 에 의한 범죄의 발견 억제를 지원하는 것이 목적이 다. 개인정보를 대규모로 수집 공유하는 것은 법 집행의 효율성을 확보할 수 있지만, 에 관한 다양한 문제 역시 지적되고 있다 년 주요 추진 사항 가. 프라이버시보호법 수정안 의결 호주 국내 외 프라이버시 이슈 증가와 IT 기술 발달 속도의 급증에도 호주의 프라이버시 보호법 이 적절하게 대처하지 못하자 2008년 호주 법안 개 정위원회(ALRC : Australian Law Reform Commission) 주요 현황 부 록 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 프라이버시 보호법 개정안(Privacy Amendment(Enhancing Privacy Protection) Bill 202) 주요내용 공공기관과 일반기업에 독립적으로 적용되는 프라이버시 원칙이 APPs(Australian Privacy Principles)로 통일 2 국외 이전 확대에 따라 해외에 기반을 둔 클라우드 서비스 제공자의 데이터 해외 전송에 관한 의무 규정과 프라이버시 위반 시 책임 내용 포함 3 다이렉트 마케팅 시, 특정 요건이 갖춰질 경우에만 고객정보 수집 가능 4 프라이버시 정책의 적극적인 관리와 정기적인 정책 준수 확인 요구 5 신용평가보고서 제공 시 정보에 대한 개정 6 호주 정보위원회(Australian Information Commissioner)의 권한 강화 및 벌금 집행권 부여 총 론 출처: 한국정보화진흥원, 하반기 해외정책동향(한국정보화진흥원, 202)

300 제장 제4장 아시아 및 호주개요 286 에서 관련된 개선안을 권고하였다. 기존의 프라 이버시 보호법 (Privacy Act of 998)을 28개월 동안 연구 및 조사하여 74장 295개의 권고안이 담긴 호 주 법률 개혁위원회 보고서(ALRC : Australian Law Reform Commission Report 08) 를 정부에 제출하였 고 정부는 이 중 97개를 받아들였다. 또한, 호주 정부는 프라이버시 보호법 개 정안인 프라이버시 보호법 개정안(Privacy Amendment(Enhancing Privacy Protection) Bill 202) 을 호주 의회에 제출하였으며 주요내용은 [표 4-4-2] 와 같다. 상기 법안은 202년 월 29일 승인되었고 204년 3월부터 공공기관 및 민간 사업자에게 발효될 예정 이며 개정안이 통과되면서 호주 정보 감독원의 권한 이 확대될 전망이다. 제 4 절 기타. 싱가포르, 개인정보 보호법 발효 싱가포르 입법부는 202년 0월 개인정보 보호 법(PDPA : Personal Data Protection Act 202) 를 승 인하였고, 싱가포르의 모든 민간 기업에 203년 월 부터 법적 효력이 발생한다. 개인정보 보호법 의 주요내용은 다음과 같다. 총괄기구로 개인데이터보호위원회를 설립하고, 감독 집행 처벌의 권한을 부여한다. 개인정보보 호 감독관(DPO : Data Protection Officer)을 지정해 모 든 기업은 최소한 한 명의 데이터 보호 관리자를 두 어 PDPA 준수 여부를 확인한다. 데이터 운영자는 데 이터 주체에게 개인 데이터를 수집, 사용, 제공하는 목적을 밝히고 동의를 요청해야 한다. 기업이 개인 정보보호를 위해 갖추어야 할 일반적인 의무사항을 명시하고 데이터 수집 목적에 따라 더 이상 사용되 지 않을 경우 즉시 폐기하여 보안을 유지해야 한다. 정보주체의 요청이 있을 때에는 기업이 관리 통제 표 싱가폴, 개인정보 보호법 주요내용. 모든 기업은 최소한 한 명 이상의 데이터 보호 관리자를 두고 PDPA 준수 여부를 확인하여야 한다. 2. 데이터 운영자는 데이터 주체에게 개인 데이터 수집, 사용, 제공 목적을 밝히고 동의를 요청하여야 한다. 3. 기업이 를 위해 갖추어야 할 일반적인 의무 사항을 명시하고 데이터 수집 목적에 따라 더 이상 사용되지 않을 경우 즉시 폐기하여야 한다. 4. 정보주체의 요청 시, 기업이 관리 통제하고 있는 개인정보를 제공해야 하며, 정보주체는 본인의 정보 수정과 삭제에 대한 권리를 보유한다. 5. 일반적으로 PDPA의 요구수준에 상응한 수준인 경우에만 국외 전송이 가능하다. 다만, 현재 국외 이전과 관련하여 PDPA의 상세한 규정과 범위가 정해져 있지 않다. 6. PDPA 위반 시, 최고 USD 8천의 벌금과 3년 이하의 징역이 선고될 수 있으며, 개인데이터보호위원회는 최고 USD 8십만의 벌금을 부과할 수 있는 권한을 갖고 있다. 출처: 하반기 해외정책동향(한국정보화진흥원, 202)

301 202 연차보고서 287 하고 있는 개인정보를 제공하고, 정보주체는 본인의 정보 수정과 삭제 요청 권리 또한 보유하고 있어야 한다. 일반적으로 PDPA의 요구수준에 상응한 수준 인 경우에만 국외 전송이 가능하다. PDPA 위반 시, 최고 8,000 USD의 벌금과 3년 이하의 징역이 선고되 고, 개인데이터보호위원회에 최고 8십만 USD의 벌 금을 부과할 수 있는 권한이 부여된다. 해당 법의 주 요내용은 [표 4-4-3]과 같다. 2. 홍콩, 개인정보 보호법 개정안 채택 홍콩은 202년 7월 개인정보 보호법 개정안(The Personal Data (Privacy) Amendment Ordinance 202) 을 채택하였다. 대부분의 개정 내용은 202년 0월 에 발효되었으나 다이렉트 마케팅 부분은 203년 상반기에 발효된다. 이 개정안에서는 다이렉트 마 케팅의 개인정보 사용에 대해 더욱 상세하게 규정 하고 있으며, 데이터 보호 원칙과 과징금, 개인정보 보호위원회(Office of the Privacy Commissioner for Personal Data)의 권한을 강화하고 있다. 3. 대만, 개인정보 보호법 시행규칙 발효 컴퓨터 상 개인정보 보호법(Computer Processed Personal Data Protection Act 995) 이 개인정보 보 호법 시행규칙(Enforcement Rules of the Personal Data Protection Act) 로 개정되어 202년 0월부터 발효가 되었다. 개정된 법에서는 개인정보범위가 모 든 공공기관 및 민간기업 그리고 모든 업종으로 확 대되었으며, 개인의 의료 관련 정보보호 내용을 포 함하고 있다. 또한, 개인정보를 사용하고자 하는 정 보 수집자는 개정 법안 발효 후 일 년 내에 정보주체 로부터 동의를 받아야 한다. 4. 필리핀, 프라이버시법 발효 필리핀에서는 202년 9월 프라이버시법(Data Privacy Act of 202) 가 발효되어 법 집행이 시작되 었으며 90일 이내에 세부 규례를 마련할 예정이었 다. 해당 법은 공공기관 및 민간기업에서 다루는 모 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 표 필리핀, 프라이버시법(Data Privacy Act of 202) 주요내용. 모든 데이터 처리자는 반드시 한 명 이상의 데이터 보호 관리자(Data Protection Officer: DPO)를 임명하여야 한다. 2. 개인정보 수집, 처리, 공유, 개인정보 접근 권한, 개인정보관리 책임자 연락처 정보를 공개하여야 하며, 제3자에게 개인정보 처리 및 제공 시 동의가 필요하다. 3. 를 위해 합리적이고 적절한 조직적, 물리적, 기술적 보호조치를 마련할 필요가 있다. 4. 개인에게 자신의 정보에 접근하여 수정하고 변경할 수 있는 권한을 부여해야 한다. 5. 개인정보 국외 이전의 경우 국내에서의 이전 조건과 동일한 법 적용을 받는다. 6. 민감 정보와 관련하여 위법사항 발생 시, 즉시 국가 프라이버시 위원회와 피해자에게 관련 내용을 통지하여야 한다. 7. 해당 법 위반 시 최소 6개월에서 최고 6년의 징역을 선고받을 수 있으며, 최소 만 2천 USD에서 최대 2만 USD의 벌금을 부과받을 수 있다. 부 록 총 론 출처: 하반기 해외정책동향(한국정보화진흥원, 202)

302 제장 제4장 아시아 및 호주개요 288 든 개인정보가 적용대상이 되며, 제외국적 거주자 정보, 자금세탁방지법에 따라 요구되는 개인정보, 공공업무 수행을 위해 필요한 정보 등은 예외로 두 고 있다. 해당 법의 주요내용은 [표 4-4-4]와 같다. 5. 말레이시아, 개인정보 보호법 발효 2009년에 제안된 개인정보 보호법(Personal Data Protection Act) 은 200년 의회의 승인을 받아 203 년 월부터 발효되었다. 해당 법은 말레이시아 내에 서 처리되거나, 국외에서 처리되었지만 말레이시아 내에서 추가적인 처리가 필요한 모든 개인 정보가 적용대상이 되며, 주요내용은 다음과 같다. 첫째, 데이터 처리자의 고지 및 동의의 의무에 관 해 명시하고 있다. 데이터 처리자는 개인정보 수집 과 처리에 대해 공지해야 하고 개인정보 처리를 위 해서는 정보주체의 동의가 필요하다. 둘째, 데이터 보관자의 보안 및 유지 의무에 대해 명시하고 있다. 개인정보를 보관하는 주체는 개인정 보의 분실, 오용, 조작, 유출, 수정, 폐기 및 개인정보 에 대한 비인가 된 접근으로부터 보호하기 위해 적 절한 보호 절차를 마련해야 하고 불필요한 장기 데 이터의 보관은 금지된다. 셋째, 접근 및 수정권에 대해 명시한다. 정보주체 는 자신의 정보에 대해 열람하고 수정할 수 있는 권 한이 있다. 넷째, 국외 이전에 대해 명시하고 있다. 개인정보 의 국외 이전을 위해서는 정보통신문화부 장관의 승 인이 필요하며, 정보 이전에 대한 사전 동의 및 계약 요건 등에 관해서는 예외 사항으로써 별도로 규정하 고 있다. 다섯째, 독립된 총괄기구 설립에 대해 명시하고 있다. 위원회(Personal Data Protection Commissioner)를 설립하여 법 준수 여부를 감독, 조 사, 관찰하고 관계부처 집행에 관련해 자문역할을 수행한다. 여섯째, 개인정보 처리등록에 대해 명시한다. 조 직 유형에 따라 개인정보 처리에 대한 등록을 의무 화하고 공공분야 기관은 개인정보처리에 대한 자격 을 획득해야만 관련 업무가 가능하다. 마지막으로, 처벌규정을 명시하고 있다. 개인정 보 보호법 을 위반하는 경우 형사 처리 및 벌금이 부 과될 수 있다. 위반 시 최고 십 6만 4천 USD의 벌금, 혹은 2년의 징역을 선고받을 수 있다.

303 부 록 204 부처별 시행계획(요약)

304 시행계획 290

305 203 연차보고서 29 감사원 주요 현황 현황 및 목표 (소관법령) 감사원법, 공공감사에 관한 법률 등 2개 법률 (개인정보현황) 민원관리부 심사청구 접수 현황 교육생 등록부 등 개인정보파일(7개) 등록 관리, CCTV 7대 보유 관리 (추진목표) 기반구축(202년), 제도 안정화(203년), 보호수준 제고(204년) 주요 추진계획 2 정책실적 및 성과. 법 제도 개선 (법령 등 개정) 개인정보 보호법 등 관련 법령의 개선사항을 지속적으로 모니터링 하여 소관 법령 지침 등 개정 검토 (추진체계 정비) 책임자 지정 등 추진체계 유지 및 역할 확립 2. 시스템 운영 (처리실태 점검) 개인정보파일 보유기간 적정성 검토, 개인정보파일 변경사항에 대한 관리 철저, 204년도 보안업무 추진계획 수립 및 이행실태 점검, 개인정보 처리 관련 상시 모니터링 체계 유지 (침해 예방대책) 차세대 e-감사시스템의 보안 강화 - 업무자료 암호화, 접근 통제 및 기록관리, 키보드 보안 솔루션 이중화 및 지문인식 등 사용자 인증 강화 (정보주체 권리보장) 개인정보취급자를 대상으로 개인정보 열람, 정정 삭제, 처리 정지 요구 등 절차에 대한 교육 실시 3 기관별 실적 및 계획 4 해외동향 3. 교육 홍보 (전문성 강화) 개인정보 처리실태 점검, 보안감사 결과 등에 대한 전 직원 대상 교육 실시, 책임자 및 담당자 등의 감사교육원 및 외부기관 개설 강좌 등 의무적 교육 이수 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 부 록 203년 (확정) 204년 (요구) 70만원 - 차세대 e-감사시스템 구축 229만원 - 차세대 e-감사시스템 구축 백만원 백만원

306 204 부처별 시행계획 292 방송통신위원회 현황 및 목표 (소관법률) 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 위치정보의 보호 및 이용 등에 관한 법률 (개인정보현황) 방송통신서비스 민원(300,000건) (추진목표) 방문자 만명 이상 웹사이트 주민등록번호 미수집 우선전환, 개인정보 침해사고 예방을 위한 개인정보관리 실태점검 강화 등 주요 추진계획. 정책 및 제도 개선 (법령 등 개정) 관리지침 개정, 주민등록번호 수집 제한 등 개정 정보통신망법 및 시행령 이행여부 점검 (추진체계 정비) 개인정보 침해사고 신속 대응체계 운영, 전담 인력 확충 (국제협력 강화 및 국제기구 참여) APPA 참여, APEC내 개인정보 관련 워킹그룹 참여 2. 시스템 운영 (처리실태 점검) 법적 필수조치사항 자체점검, 개인정보파일 전수조사 및 현황공개 (개인정보 유 노출 모니터링 강화) 국내외 웹사이트 개인정보 노출검색 및 삭제, P2P를 통한 개인정보 노출검색 및 삭제 (침해예방 대책 수립) 웹사이트 주민등록번호 수집 이용여부 모니터링, 인터넷 주민번호 클린센터 운영 및 영세 사업자 기술지원, 방통위 자체 관리체계 종합점검, 대국민 홈페이지 개인정보 유 노출 점검, 개인정보 보호 관리체계(PIMS) 인증 심사, PIMS 인증 관련 제도 마련 및 활성화 추진 (정보주체 권리보장) 개인정보 이용내역 통지제 등 이행 미흡 사업자 개선 유도 및 개선권고 미이행 사업자 대상 행정지도 등 3. 교육 홍보 (전문성 강화) 실무자 전문교육, 방송통신위원회 전 직원 대상 교육 (홍보 강화) 주민등록번호 수집 이용 제한 정책 대국민 TV광고, 이용자 자기정보보호 실천역량 강화 캠페인 공모전 개최 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) - 7,358백만원 - 강화 - 안전한 위치정보 이용환경 조성 - 7,358백만원 204년 (요구) - 7,903백만원 - 강화 - 안전한 위치정보 이용환경 조성 - 7,903백만원

307 203 연차보고서 293 국무조정실 국무총리비서실 주요 현황 현황 및 목표 (소관법령) 행정규제기본법, 정부업무평가 기본법 등 5개(법률 4, 시행령 ) (개인정보 현황) 우편 민원대장, 규제건의, 정책고객파일 등 개인정보파일 7개, CCTV 2대 보유(산하기관) (추진목표) 기반구축(202년), 제도안정화(203년), 보호수준 제고(204년) 주요 추진계획 2 정책실적 및 성과. 정책 및 제도 개선 ( 규정 제정) 국무조정실 및 국무총리비서실 지침 제정 후 활동의 세부 적용절차 마련 (유관기관과의 협의체계 정비) 책임자 대상 협의회 운영 2. 시스템 운영 (개인정보 처리 서식 등 점검 정비) 개인정보처리 서식 전수 조사 (개인정보파일 운영실태 조사) 개인정보파일 운영현황 자체점검 운영실태 현장조사 실시 (개인정보 유 노출 모니터링 강화) 검색엔진을 통한 개인정보 노출 정기점검 실시 (주민등록번호 수집 이용 제도개선) 고유식별정보 및 민감정보 수집 지속 억제 (개인정보 처리 안전성 확보) 정보시스템 H/W 통합로그관리를 통한 서버 감시체계 강화 및 출력물로 인한 개인정보 유출 추적 방지 등 보안 강화 3 기관별 실적 및 계획 4 해외동향 3. 교육 홍보 (업무담당자 교육 강화) 담당자 및 취급자에 대한 교육 실시 (실천문화 확산) 실천문화 확산을 위한 홍보방안 마련 4. 소요 예산 부 록 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) - 234백만원 - 정보보호시스템 PMS 망관리솔루션 유지보수, 백신구입 정보보호체계 강화 - 내부정보유출방지시스템 - 234백만원 204년 (확정) - 296백만원 - 정보보호시스템 PMS 망관리솔루션 유지보수, 백신 갱신 구입 - NTP서버 침입방지시스템(IPS) 통합로그관리시스템 구축 - 출력물 보안솔루션 확대 - 솔루션 도입 - 296백만원

308 204 부처별 시행계획 294 법제처 현황 및 목표 (소관법률) 법제처소관 비영리법인의 설립 및 감독에 관한 규칙, 국민법제관의 구성 및 운영에 관한 규정 등 4개 법률 (개인정보현황) 법령입안시스템, 국가법령정보센터, PCRM 관리 등 0개 개인정보파일 (추진목표) 인식 수준 제고 및 자율규제 정착 주요 추진계획. 정책 및 제도 개선 (추진체계 정비) 실무자가 책임과 역할을 명확히 인식하고 업무를 수행할 수 있도록 실무자 협의회 주기적으로 실시, 높은 수준의 요구에 부응하기 위해 안전행정부에 전담인력 증원 요구 2. 시스템 운영 (처리실태 점검) 개인정보 오ㆍ남용 방지를 위하여 주기적인 조사 실시, 등록한 정보의 적정성 확인 및 보유기간 경과파일 삭제, 개인정보 필터 운영 활성화, 정보시스템 모니터링 실시 계속, 안전행정부 개인정보 노출 조기경보시스템 활용 (침해 예방 대책) 대민서비스 정보보호 컨설팅을 지속 추진하여 새롭게 발생할 수 있는 보안 약점 보완, 신규 정보화 사업 추진 시 소프트웨어 개발보안을 의무화 (정보주체 권리보장) 개인정보 처리방침 갱신, 개인정보 파기 3. 교육 홍보 (전문성 강화) 전체 직원대상 교육, 개인정보 업무담당자 및 보안담당자 대상 교육, 담당자 교육 (홍보 강화) 자격증 취득 권장 4. 소요 예산 구분 203년 (확정) 204년 (요구) 정보보호 예산 - - 정보화 예산 순수 예산 482백만원 - 개인정보시스템 유지보수 - 입법 시스템 구축 - 교육 및 홍보 0백만원 - 개인정보시스템 유지보수 - 교육 및 홍보 - 자격증 취득 지원 비정보화예산 합계 - 482백만원 - 0백만원

309 203 연차보고서 295 국가보훈처 주요 현황 현황 및 목표 (소관법률) 국가보훈 기본법, 독립유공자 예우에 관한 법률 등 8개 법률 (개인정보현황) 독립유공자 포상자 명단(주민등록번호), 제대군인 인적DB(주민등록번호), 국립묘지 안장 신청자DB (생년월일) 등 개인정보파일,080개(,56,330명), CCTV,730대(산하기관 포함) 보유 관리 (추진목표) 기반구축(202년), 제도 안정화(203년), 보호수준 제고(204년) 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 민원신청서 서식 조사, 개인정보파일 목록 재정비, 의료분야(한국보훈복지의료공단) 개인정보파일 관리 기준 매뉴얼 작성 계획 수립 (추진체제 정비) 책임자 협의체 구성(3명)으로 협의체계 구축 및 본부 내 협의회 구성, 개인정보 전담인력 본부배치 및 추가인력 요구 3 기관별 실적 및 계획 2. 시스템 운영 (실태점검 강화) 개인정보 수집 항목 등 서식 개선 점검 및 서식개정, 개인정보파일 미파기 및 미등록 실태조사, 소속기관 포함 실태점검 실시, 대국민 웹사이트(6개) 개인정보 유출차단시스템 설치 완료, 서버 내 시스템 구축 등 (침해예방) 홈페이지(4개) 회원가입 시 주민등록번호 대체수단 예산 반영 및 대체수단 개선완료, 사이버 침해사고 자체대응훈련 및 정보보안 컨설팅 실시 (정보주체 권리보장) 자기정보 열람권 등에 대하여 정보주체자의 권리보장이 반영될 수 있도록 민원사무처리 세칙에 반영 4 해외동향 3. 교육 홍보 (인력 전문성 강화) 소속기관 및 산하기관 점검 결과 위반사례를 중심으로 제작하여 교육 실시 - 보훈연구원에 신규자 채용 교육과정 정규과목에 신규 개설 (홍보 강화) 업무포탈 게시판 및 홈페이지 등을 통한 홍보 업무포탈 게시판에 위반사례 등을 게재하거나 팝업창 등을 통한 실천 캠페인 - 개인정보 포스터 제작 및 침해 사례집 발간을 통하여 홍보 부 록 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) - 200백만원 - 관련 소요예산 - 200백만원 204년 (요구) - 400백만원 - 관련 소요예산 - 400백만원

310 204 부처별 시행계획 296 식품의약품안전처 현황 및 목표 (소관법률) 식품위생법, 약사법 등 3개 법률 (개인정보현황) 식의약품종합정보 등 개인정보파일 2종, CCTV 39대 운영 관리 중 (추진목표) 기반구축(202년), 제도안정화(203년), 보호수준 제고(204년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 소관법령 상 개인정보 수집 이용 현황조사 및 분석을 통해 주민등록번호를 생년월일로 대체하는 등 서식개선과 법령 정비 시행 (추진체계 정비) 기관(안전행정부 등)과 업무 관련부처(보건복지부, 농림축산식품부) 대상으로 협력체 계 구축 및 비상연락망 유지, 본부, 소속 산하기관( 실무담당자)으로 구성된 협의체 상시 운영, 처 승격에 따른 조직변동을 반영한 담당자 등 조직 체계 현행화 2. 시스템 운영 (처리실태 점검) 소속 및 산하기관 개인정보 처리 실태 및 CCTV 관리현황 지도 점검, 개인정보 유 노출 모니터링 실시 (침해 예방 대책) 업무PC용 개인정보 및 정보보안 감사솔루션 설치 운영, 농축수산물안전국 신설에 따라 개인정보 영향평가 대상여부를 판단하여 영향평가 계획수립 및 예산확보, 실제사례를 적용한 침해사고 매뉴얼 제작 및 모의훈련 실시 (정보주체 권리보장) 온 오프라인 개인정보 침해신고센터 지속적 운영, DB분석을 통한 잊혀질 권리 보장 을 위한 개인정보 보유기간 등 조사 3. 교육 홍보 (전문성 강화) 담당자 교육실시(연회 이상) 및 전직원 대상 온라인 집합교육 실시, 개인정보처리 담당자의 전문성 강화를 위해 안전행정부 및 KISA 온라인 교육 수료 유도 (홍보 강화) 및 정보보안 수칙을 기입한 마우스패드 등 제작 배포 4. 소요 예산 구분 203년 (확정) 204년 (요구) 정보보호 예산 304백만원 5,74백만원 정보화 예산 순수 예산 278백만원 - 정보보호 및 체계 컨설팅 사업 - 솔루션 구축 330백만원 - 정보보호 및 컨설팅 고도화 - 솔루션 추가구축 비정보화예산 합계 - 582백만원 - 5,504백만원

311 203 연차보고서 297 공정거래위원회 주요 현황 현황 및 목표 (소관법률) 독점규제 및 공정거래에 관한 법률, 소비자기본법 등 2개 법률 (개인정보현황) 정보공개서 등록신청서, 모니터링 회원 등 개인정보파일 7개 보유 (추진목표) 기본계획 및 추진전략 수립(202년), 기반구축(203년), 제도안정화(204년) 주요 추진계획 2 정책실적 및 성과. 정책 및 제도 개선 (법령 등 개선) 소비자 상담센터 지침 및 개인정보파일 관리 지침 제정 (추진체계 정비) - 산하기관 개인정보처리시스템의 지속적인 점검 및 교육 등 실시 - 기본계획 및 시행계획 수립, 안정성 확보조치 점검 등을 전담할 인력(5급 명) 증원 지속 추진 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 공정위 및 한국 소비자원이 운영하는 각종 홈페이지에 개인정보 점검 툴 운영 (침해 예방 대책) 소비자 상담센터 관련 출력물에 대한 이력관리 시스템 구축, 상담처리 관련 가이드 라인 마련 3. 교육 홍보 4 해외동향 (전문성 강화) 직원에 대한 교육(연2회 이상) 및 개인정보 책임자 외부 워크숍 컨퍼런스 참가 추진 (홍보강화) 내부 업무포탈 공지 및 주기적인 교육을 통한 인식 전환 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 부 록 203년 (확정) 520백만원 - 정보화기반확충 30백만원 - 개인정보 노출진단 - DB보안 - 서버보안 - 키보드보안 - 공인인증솔루션 - 개인정보열람기록관리시스템 - 830백만원 204년 (요구) 83백만원 - 유지보수 20백만원 - 유지보수 - 03백만원

312 204 부처별 시행계획 298 금융위원회 현황 및 목표 (소관법률) 은행법 등 40개 (개인정보현황) 개인정보파일(4개, 6,794건) 및 CCTV(0대) 보유 관리 (추진목표) 기반조성(202년), 제도안정화(203년), 보호수준 제고(204년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 금융위 금감원이 금융회사에 대한 정기 부분 검사 시 준수여부 직접 검사 감독 추진 (중복규제 방지), FTA에 따른 국외이전 금융정보 등에 대한 실효적 감독 수행 및 미비점 지속 보완, 금융권 개인정보 수집실태 제도개선을 위한 TF 운영 및 금융분야 가이드라인 마련 보완 (추진체계 정비) 금융권개인정보협의회 및 금융회사별 담당자 핫라인 운영 활성화, 해외 금융분야 제도 연구, 전담인력 확보 추진 2. 시스템 운영 (처리실태 점검) 개인정보수집을 최소화하도록 지속적 지도 감독, 금융위, 금융기관의 정보시스템 및 개인정보 파일 정기점검 (침해 예방 대책) 개인정보유출차단시스템을 통한 개인정보 게시 차단 및 정기 모니터링 실시, 가이드 라인에 따른 주민등록번호 수집 이용실태 점검 및 개선 (정보주체 권리보장) 개인정보 유출 통지제도 운영실태 점검 및 미비점 개선지도 3. 교육 홍보 (전문성 강화) 실무담당자의 교육수요를 반영하여 관련 연간 교육계획 수립 및 시행, 금융회사가 개인정보를 위탁한 비금융 민간 제휴업체로 교육 확대방안 추진 (홍보 강화) 금융소비자의 제도 이해를 높이기 위하여 홍보캠페인, 금융아카데미, 대학교 순회교육 등을 통하여 의식확산 4. 소요 예산 구분 203년 (확정) 204년 (요구) 정보보호 예산 70백만원 - 금융위 정보시스템 운영 20백만원 - 금융위 정보시스템 운영 정보화 예산 순수 예산 54백만원 - 금융위 민원시스템 개선 43백만원 - 금융위 정보시스템 운영 비정보화예산 30백만원 - 홈페이지 정보보안 개선 30백만원 - 홈페이지 정보보안 개선 합계 54백만원 93백만원

313 203 연차보고서 299 국민권익위원회 주요 현황 현황 및 목표 (소관법령) 부패방지 및 국민권익위원회 설치과 운영에 관한 법률, 공익신고자 보호법, 행정심판법 등 8개 법령 (개인정보 보유현황) 국민신문고, 0콜 상담이력, 부패신고자, 행동강령 위반자, 행정심판사건원장 등 총 8개 파일, CCTV 64대 (추진목표) 수준 제고를 위한 시스템의 고도화 및 행정기관 간 공동 활용 업무시스템의 방안 강구 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 ( 기준정비) 관련 법령 개정 시 훈령, 방침 정비 (추진체계 정비) 개인정보파일 운영부서 및 부서별 담당자 지정 (정보보안실무협의회 운영) 정보보안실무협의회를 활용하여 개인정보 현안 사항 협의 3 기관별 실적 및 계획 2. 시스템 운영 (실태 점검) 개인정보파일 전수조사 실시 및 운영 실태 이용 실태 점검 (유 노출 모니터링 강화) 매월 개인정보처리시스템에서 개인정보 노출 여부 자체 모니터링 실시, 개인정보 노출 방지 시스템 설치 및 운영 (주민등록번호의 수집 이용 개선) 고유식별정보 처리의 필요성 전면 재검토 및 행정기관 간 공동 활용 업무시스템의 방안 마련 (개인정보처리 안전성 확보) 정보시스템 통합 접근관리 시스템 도입 및 정보보호 프로그램 운영 내실화 (정보주체 권리보장) 개인정보파일의 보유기간 재검토, 개인정보 유효 기간제 도입 4 해외동향 3. 교육 홍보 (교육강화) 직원교육실시 및 관련 자격증 취득 독려 (홍보강화) 위원회 홈페이지와 인트라넷에 상시 홍보체계 운영, 국민신문고시스템 및 0정부민원 안내 콜센터 홍보 시 내용을 추가하여 홍보물 제작 배포 부 록 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) - 32백만원 - 환경 구축 - DB 암호화 솔루션 - 국민신문고 채팅시스템 암호화 - 32백만원 204년 (요구) - 00백만원 - 개인정보 노출 모니터링 시스템, 정보시스템 통합 접근관리시스템 구축 - 00백만원

314 204 부처별 시행계획 300 원자력안전위원회 현황 및 목표 (소관법률) 원자력안전위원회의 설치 및 운영에 관한 법률 등 7개 법률 (개인정보현황) 원자력안전기술정보회의 참석자 등 개인정보파일 28개, CCTV 28대 운영 관리 중 (추진목표) 기반구축(202년), 제도 안정화(203년), 보호수준 제고(204년) 주요 추진계획(안). 정책 및 제도 개선 (법령 등 개선) 법령서식 개선안을 반영하여 법령 제 개정 추진, 제정된 개인정보 처리방침 개정 필요성 검토 및 필요시 개정 추진 (추진체계 정비) 원자력안전분야 개인정보 보호협의회 운영(연2회), 담당 인력에 대한 전문교육 실시 및 분기별 실적 검토(연4회) 2. 시스템 운영 (처리실태 점검) 보유기간 경과 여부 등 개인정보파일 보유 현황 점검 및 정비(반기 회 이상). CCTV운영 실태조사( 반기 회 이상), 종합포털 활용 개인정보 자가 진단 실시, 개인정보유출방지시스템 로그 분석 및 대책 마련 (침해 예방 대책) I-PIN등 개인인증 대체수단 사용 적극 권장, 산하기관 내부자료유출방지시스템 도입 및 개인정보 보호 관리체계 점검 실시 (정보주체 권리보장) 한국원자력안전기술원 및 통제기술원에 대하여 개인정보 정보주체의 권리강화를 위한 개인정보 보호가이드 마련 및 홍보 3. 교육 홍보 (전문성 강화) 전문교육 연간 이수시간 지정 및 사이버교육 이수여부 분기별 실적 조사, 전 직원 대상 정보보안 및 교육 실시 (홍보 강화) 개인정보 처리방침 개정 및 현행화 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 204년 (요구) 00백만원 - 정보보호시스템 도입 및 기능개선 50백만원 - 개인정보 노출진단, 개인정보 유출방지 솔루션 - 50백만원

315 203 연차보고서 30 미래창조과학부 주요 현황 현황 및 목표 (소관법률) 과학기술기본법, 국가정보화 기본법, 정보통신기반 보호법 등 6개 법률 (개인정보현황) 정보통신기술자 경력관리(60,000건), 국가 R&D 참여인력 정보(90,000건), 우편물 접수 및 배달업 무(285,599,000건) 등 472,296,72건 (추진목표) 협력체계 구축, 관리 기술적 보호조치 세부기준 마련, 정보화 사업 추진 시 부문을 최우선 고려 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 정비 (소관법령 정비) 개인정보 수집 등의 처리근거 마련이 필요한 법령 일괄 개정 추진 ( 지침 제정) 개인정보 수집 이용 제공시 개인정보수집 동의 절차, 방법, 시기, 파기절차 등에 관한 세부적인 절차를 지침에 반영 ( 추진계획 수립) 소속 산하기관 추진계획 수립 시행 3 기관별 실적 및 계획 2. 관리체계 강화 (관리체계 정비) 책임자(정책기획관), 실무 책임자(정보화담당관) 지정 운영 (전담조직 인력 체계 정비) 부내 전담인력 확충 요구, 소속 산하기관에 대해서도 전담 인력을 확보하도록 조치 ( 협의회) 본부 및 소속 산하기관 협의회 구성 운영 4 해외동향 3. 개인정보처리 시스템 보안강화 (실태점검) 개인정보 파일보유 시스템보안성 확보 여부 등 기술적 보안관리실태 점검 (개인정보처리시스템 통신, DB 및 접근제어 강화) 키보드 해킹방지프로그램 설치, 전송구간 암호화, 바이러스 백신 업그레이드 등 보호조치 고도화 (개인정보 유 노출 모니터링 강화) 웹사이트 자료 게재 시 개인정보 포함 여부 자동진단 프로그램 도입 확대 추진, 웹페이지 개인정보 필터링 솔루션 도입 부 록 4. 교육 홍보 강화 (전문성 강화) 개인정보처리담당자 및 취급자 전문교육 이수 (홍보) 의 날 지정, 정책안내 및 중요성 인지를 위한 팝업창 게시 5. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 204년 (요구) - 300백만원 - 영향평가 - 개인정보처리시스템 취약점 점검 및 수준 강화(본부) - 300백만원

316 204 부처별 시행계획 302 기획재정부 현황 및 목표 (소관법률) 국가를 당사자로 하는 계약에 관한 법률 등 65개 법률 (개인정보현황) 디지털예산회계시스템 사용자정보 거래처정보 등 개인정보파일 2개, CCTV 2대 운영 관리 중 (추진목표) 기반구축(202년), 보호역량 강화(203년), 보호체계 확립(204년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 디지털예산회계시스템 등 개인정보처리시스템의 개인정보 수집 이용 최소화를 위한 관계 법령 및 업무프로세스 검토 개선 (추진체계 정비) 본부 산하기관 대응체계 점검 모의연습 및 협의회 공동개최, 사이버안전센터에 전문가 충원 및 개인정보 유 노출 관제 (연구기반 구축) 개인정보 관리 및 유 노출 대응체계 등 정보보호 이슈 및 동향 논의를 위한 본부 산하기관 참여 정보화포럼의 운영 내실화 2. 시스템 운영 (처리실태 점검) 개인정보의 최소 수집을 위한 민원서식 점검 및 개정, 산하기관 서식개정 추진 지도점검, 개인정보 유 노출 상시 모니터링 및 시스템 보강 및 고도화 (침해 예방 대책) 주민등록번호 수집 최소화 및 대체방안 지속 검토, 디지털예산회계시스템의 개인정보 처리 상시 감시체계 구축 및 산하기관의 암호화 등 유출방지체계 적정성 점검 (정보주체 권리보장) 본부 및 산하기관 개인정보 유출통지제 실태 점검 및 정보 주체 권리보장 처리절차 검토 3. 교육 홍보 개인정보 취급자 및 전 직원 개인정보 교육 필수 이수시간 지정 및 성과평가에 개인정보 반영 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 2,905백만원 - 보안관제, 정보보호 컨설팅, 정보보호시스템 도입 - 보안장비 유지보수 등 93백만원 - 개인정보필터링 및 암호화 솔루션 도입 - 교육 및 협의회 운영 백만원 - 개인정보 실태점검 2,999백만원 204년 (요구) 2,68백만원 - 보안관제, 정보보호 컨설팅, 정보보호시스템 도입 - 보안장비 유지보수 등 862백만원 - 시스템 고도화 및 운영 안정화 - 컨설팅, 교육 등 백만원 - 개인정보 실태점검 3,03백만원

317 203 연차보고서 303 교육부 주요 현황 현황 및 목표 (소관법률) 고등교육법, 교육공무원법 등 85개 법률 (개인정보현황) 나이스, 대학 학사정보 시스템 등에 49,843개 개인정보파일 및 시 도 교육청, 대학교 등에 38,945개 CCTV 보유, 책임자 20,762명 (추진목표) 기반구축(202년), 제도안정화(203년), 보호수준제고(204년) 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 정보시스템 사용환경(모바일 등) 변화에 따른 개인정보 수집 이용에 관한 제도 개선, 업무편람 사례집 가이드라인 수정 보완 (추진체계 강화) 책임자 워크숍 및 실무자협의회 운영 등 유관기관과의 협조체계 강화, 개인정보노출 예방 점검 및 컨설팅을 위한 자체 점검단 운영 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 개인정보 수집 최소화를 위한 지속적 관리 감독, 정보보안감사 시 개인정보 등록 관리, CCTV 관리실태 등 적정성 점검, 열람 정정 동의 등 정보주체 권리보장 실태점검 (침해 예방 대책) 고유식별정보 수집 이용 최소화를 위해 각 급 학교 홈페이지를 시 도 교육청에서 통합 운영 유도, 홈페이지 회원가입시 주민등록번호 대체수단 사용하도록 지도, 망 분리 인프라 환경을 산하기관까지 확대 구축 권장 4 해외동향 3. 교육 홍보 (전문성 강화) 수준별(일반/전문) 및 직무별(교원/일반) 맞춤형 교육과정 개발 운영, 교원연수시 필수과정 편성, 정보보호 전문교육기관 3개센터 운영, 정보보호 특성화고 학생 실습(기업체 견학, 보안제품 실습 등) 추진 등 (홍보강화) 개인정보 점검의 날 확대 시행, 교육기관 클린 캠페인 실시, 미래세대 정보윤리 교육 확산을 위한 초 중 고 정보통신 윤리 원격교육 운영 부 록 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 4,806백만원 - 교육정보보호사업 2,734백만원 - 교육기관 개인정보 정책지원(가이드라인, 지침개발 등) - 보안서버 및 전자서명 보급 - 교육기관 개인정보노출점검 등 - 7,540백만원 204년 (요구) 6,55백만원 - 교육정보보호사업 3,082백만원 - 교육기관 개인정보 정책지원(가이드라인, 지침개발 등) - 보안서버 및 전자서명 보급 - 교육기관 개인정보노출점검 - 원격콘텐츠개발 - 교육기관 교육강화 - 9,237백만원

318 204 부처별 시행계획 304 외교부 현황 및 목표 (소관법률) 여권법, 재외국민등록법, 해외이주법, 재외공관 공증법 등 (개인정보현황) 여권발급신청파일, 재외국민등록, 재외공관공증, 영사민원상담파일 등 개인정보파일 9개, CCTV 66대 운영 관리 중 (추진목표) 정보주체 및 개인정보취급자 인식 제고와 재외국민 대상 홍보 강화 등을 통한 제도 정착 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 외교부 훈령인 지침 운용과정을 보완하고 적용대상을 산하기관으로 확대, 외교부 내부 관리뿐만 아니라 소관분야의 업무의 규격화 효율화 추구 (추진체계 정비) 개인정보 이용 제공의 사전협조 체계 구축, 명의 전담인력 충원 2. 시스템 운영 (처리실태 점검) 개인정보 수집 서식 등 점검 정비, 개인정보파일 실태조사, 개인정보 유 노출 모니터링 강화 (침해 예방 대책) 주민등록번호 수집 이용 제도 개선, 개인정보 처리 안전성 확보, 여권 신청 전자 서명제를 도입 (정보주체 권리보장) 개인정보보유기간 설정 및 처리과정 공개 추진 3. 교육 홍보 (전문성 강화) 교육 관련 정규과목 편성, 업무 매뉴얼 제공, 전용 게시판 개설 및 관련 자격증 취득을 위한 교육 위탁 지원 (홍보 강화) 주재국 홈페이지를 통하여 에 대한 위상을 홍보하여 국가적 신뢰도 향상, 클린 오피스 (Clean Office) 캠페인 실시 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) - 260백만원 - 개인정보 점검 S/W 추가 도입 - 여권신청 전자서명제 - 여권 바이오정보 보호 S/W - 개인정보영향평가 - 전문 교육 강사 및 사업 추진비 - 260백만원 204년 (요구) - 250백만원 - 여권신청 전자서명제(확대) - 개인정보영향평가 - 전문 강사 및 교재 제작비, 클린 오피스 운영 - 250백만원

319 203 연차보고서 305 통일부 주요 현황 현황 및 목표 (소관법률) 남북교류협력에 관한 법률, 남북 이산가족 생사확인 및 교류 촉진에 관한 법률 등 0개 법률 (개인정보현황) 남북교류협력시스템, 이산가족정보통합시스템, 사이버통일교육시스템 등 개인정보처리시스템 8개 (추진목표) 제도 및 시스템 고도화, 정보주체 및 처리자 인식제고, 개인정보 처리 실태점검 체계 구축, 자율규제 체계 구축 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 법령 제 개정 시 개인정보 보호법 준수 여부 엄격 검토 (추진체계 정비) 유관기관의 북한이탈주민 개인정보 처리 현황 정비, 관련 부처 및 부서와 협조 네트워크 구축, 전담인력 확보 추진 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 개인정보 수집 서식 등 점검 정비, 민 관 개인정보파일 관리실태 확인, 불법 유출된 개인정보 이용 실태 점검, 개인정보 종합관리시스템 및 백업시스템 구축 (침해 예방 대책) 북한 이탈주민 주민등록번호 미기재 원칙 규정 마련 배포, 망 분리가 되지 않은 북한 이탈주민 관리 시스템 보안성 강화 (정보주체 권리보장) PCRM 휴면계정 개인정보 파기 조치 4 해외동향 3. 교육 홍보 (전문성 강화) 개인정보취급자 관리자 전문교육 실시, 직원 자체교육 실시 (홍보 강화) 가이드라인 제시, 이산가족 를 위한 행동강령 작성 배포, 콘텐츠 전파, 용역업체 직원 대상 교육 부 록 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) - 350백만원 - 북한 이탈주민 종합관리시스템 보안인프라 강화, 개인정보영향평가 - 350백만원 204년 (요구) -,98백만원 - 실태점검 - 북한 이탈주민 종합관리시스템 보안인프라 강화, 종합관리시스템 - 남북교류협력시스템 2년 영향평가 결과 이행 -,98백만원

320 204 부처별 시행계획 306 법무부 현황 및 목표 (소관법령) 공증인법, 변호사법, 형사사법절차 전자화 촉진법, 치료감호법, 보호소년 등의 처우에 관한 법률 등 327개 (개인정보현황) 5개 개인정보파일(등록 대상 8, 비등록 대상 33개) 보유, CCTV 2,370대 보유 관리 (추진목표) 기반구축(202년), 제도 정착(203년), 수준 제고(204년) 주요 추진계획. 법 제도 개선 (법령 서식 등 제도정비) 개인정보 처리근거 누락 법령 및 규정, 서식 등 정비, 주민등록번호 수집 이용 최소화를 위한 법령 개정 또는 대체수단 검토 등 (추진체계 구축) 본부 및 소속기관 협의체 운영, 안전행정부 등 유관기관과의 공조체계 강화 (전담인력 확충) 전담인력 확보를 위해 중기 인력운영계획 반영 등 2. 시스템 운영 (처리실태 점검) 단계별, 주기적 개인정보 처리 실태점검 체계 강화 (침해 예방대책) 개인정보 노출 모니터링 상시화 및 관리절차 강화, 개인정보 노출 사전 차단 필터링 시스템 도입, 노출 차단 및 재발방지대책 수립 (정보주체 권리보장) 개인정보 열람 정정 처리정지 요구 등 정보주체의 권리행사 절차 간소화, 정보주체의 권리요구에 신속 정확한 처리, 개인정보시스템 접근권한 최소화, 개인정보 침해사고 대응계획 수립 등 3. 교육 홍보 (전문성 강화) 본부 및 소속 기관별 교육 계획 수립 시행, CPPG(개인정보관리사) 등 자격증 취득 지원방안 마련 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 204년 (요구) 2,0백만원 - 암호화, 대체수단, 위 변조 방지 등 3,389백만원 - 암호화, 대체수단, 위 변조 방지 등 - - 2,0백만원 - - 3,389백만원

321 203 연차보고서 307 국방부 주요 현황 현황 및 목표 (소관법률) 군인연금법, 군무원인사법, 방위사업법 등 42개 법률 (개인정보현황) 군인연금 수급권자, 군무원 채용시험 지원자, 국방부 정책 고객 등 개인정보파일 40개, CCTV 6대 운영 관리 중 (추진목표) 관리적 기술적 기반구축(202년), 제도운영의 안정화 및 기반강화(203년), 보호수준 제고(204년) 주요 추진계획 2 정책실적 및 성과. 정책 및 제도 개선 (법령 등 개선) 주민등록번호수집 규정 점검 후 대체수단 또는 근거법령 마련, 국방 분야의 실무 지침서 보완, 개인정보 보호법 및 국방부훈령 개선사항 검토 (추진체계 정비) 관련기관과 협의회 개최, 자문 연구, 전담인력 신설, 인력 검토, 담당자 교육 자격증 획득 독려 (국제협력 및 R&D지원) 한/호주 ICT포럼을 통해 관련 이슈 정보 교환, 국가보안기술연구소, 고려대학교 정보보호대학원과 협조하여 연구 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 개인정보 수집 서식 일제 점검 및 개선, 조치 이행사항 및 해당 기관의 담당자 점검, 국방부의 합동 현장점검, 권고 및 상벌 조치, 개인정보 노출 유출에 대한 상시 모니터링 (침해 예방 대책) 주민등록번호 수집 이용 서식 점검 후 법적 근거 또는 대체수단 마련, 개인정보 영향평가 실시, 기관별 내부관리계획 수립 이행, 안전성 확보 기술 적용, 개인정보 침해사고 예방 및 대응 매뉴얼 보완 (정보주체 권리보장) 실태 점검, 홈페이지 가입 정보에 대하여 2년 보유기간 도입 4 해외동향 3. 교육 홍보 (전문성 강화) 업무담당자 취급자를 대상으로 필수 교육과정 개발 (홍보 강화) 중요 개인정보파일 취급자 교육 실시, 주간 을 지정하여 전 직원 교육 실시, 국방일보에 관련 자료 배포 부 록 4. 소요 예산 구분 203년 (확정) 204년 (요구) 정보보호 예산 2,023백만원 -통합정보보호체계 구축 -출입통제체계 구축 등 23,096백만원 -비밀관리체계 구축 -사이버관제정보통합체계 구축 등 정보화 예산 순수 예산,784백만원 - 솔루션 도입 (인트라넷/인터넷) 265백만원 - 개인정보 암호화 솔루션 도입 및 유지보수 비정보화예산 합계 - 22,807백만원 - 23,334백만원

322 204 부처별 시행계획 308 안전행정부 현황 및 목표 (소관법률) 개인정보 보호법, 공공기록물 관리에 관한 법률, 전자정부법 등 26개 법률 (개인정보현황) 공직자윤리정보, 정보공개시스템 회원관리, 교육훈련생관리 등 개인정보파일 85개, CCTV 2,2대 운영 관리 중 (추진목표) 민간 자율규제 정착 및 인식제고, 기술개발 강화 및 연구개발 확충, 국제공조 및 협력과제 선도 주요 추진계획. 민간 자율규제 정착 및 전문성 강화 (민 관 기반의 자율규제, 홍보강화) 민간 주요업종 개인정보 수집서식 개선지원, 실천문화 확산을 위한 행사 및 이벤트 추진, 맞춤형 홍보물 제작 및 배포, 언론 및 광고매체를 통한 체계적인 홍보 등 (현장중심의 맞춤형 교육) 지역교육 거점지원센터 확대, 공공 교육기관과 교육 협력체계 강화, 소양교육과정 개설, CPO교육 의무화 및 유관단체 자율교육 지원, 분야별 전문교육 과정 운영 등 - 안전행정부 내부 담당자 대상 맞춤형 교육, 컨설팅 실시, 교육원의 교육과정 운영 등 (전문인력 양성 및 인증마크제 운영) 전문 자격제도 도입 추진, 인증제 확산 및 인증기관 확대 2. 연구개발 및 기술지원 활성화 (정부 3.0 구현을 위한 제도연구) 빅데이터 활성화를 위한 기술기반 마련 및 정보주체 권리보장 방안연구, 실태파악을 위한 설문조사 및 시사점 도출, 포럼 운영 (주민등록번호 미수집 전환 기술지원) 주민등록번호 삭제 및 대체수단 도입지원 강화, 소상공인 개인정보 보호조치 지원확대 3. 국제공조 및 협력과제 선도 (국외이전 정책수립) 개인정보 국외이전 위험관리지도 개발, 국외이전 제도개선을 위한 법령개정 추진 (국외이전 공조체제 강화) APEC ECSG(DPS)ㆍCPEA, ICDPPC 등 이슈 논의, 국가 간 협업 참여 4. 침해 유출사고 예방 및 선제적 대응 (취약분야 실태점검 및 제도개선) 개인정보 다량수집 고위험 분야 선정 및 기획점검 실시, 언론보도 및 민원신고 등 특별점검 실시 (기관 내 보안강화) 보안 미비사항에 대한 중점 점검, 개인정보 파일 점검 및 신규파일 발굴 (범정부 모니터링 협력체계 강화) 모니터링 확대(중소 사업자 홈페이지), 대량 및 반복노출 기관 대상 현장점검 실시, 노출방지 가이드라인 개정 및 취약분야 컨설팅 실시

323 203 연차보고서 침해관련 국민 권익구제 강화 (상담 및 신고체계 고도화) 상담 및 신고처리체계 고도화(8 신고센터), 상담인력 증원 및 전문성 강화, 주요 침해 신고 상담사례 홍보 (분쟁조정제도 실효성 제고 및 권리보장 절차 간소화) 분쟁조정제도 운영개선 및 홍보강화, 정보주체 권리행사 절차 개선 주요 현황 6. 환경변화 대비 법체계 선진화 (규제 합리화 및 제도개선) 개인정보 보호법 개정에 따른 하위법령 및 표준지침 개정(주민등록번호 수집 이용 최소화), 개인정보 보호법 개정안 마련(개인정보 개방 공유, 불법수집 매매근절, 규제 합리화 등) (기관 내 제도개선) 개인정보관련 법령, 규정 개정 등 환경변화에 따른 부내 지침 개정 (범정부 협업체계 강화) 합동점검단 운영 및 취약분야 사전점검, 관계부처 및 민간전문가 협의체 구성 운영 2 정책실적 및 성과 7. 소요 예산 구분 204년 (요구) 정보보호 예산 - 정보화 예산 순수 예산 9,238백만원 - 개인정보 유출 및 오남용 방지 - 개인정보 보호법 의무사항 이행점검 - 개인정보 영향평가 등 비정보화예산 합계 - 9,238백만원 3 기관별 실적 및 계획 부 록 4 해외동향

324 204 부처별 시행계획 30 문화체육관광부 현황 및 목표 (소관법률) 문화산업진흥 기본법, 관광진흥법 등 5개 법률 (개인정보현황) 대한체육회 선수등록정보(주민등록번호), 게임물등급위원회 등 개인정보파일 389개(전자:352, 비전자:37), CCTV 2,062대 운영 관리 중 (추진목표) 기반구축(202년), 보호체계개선 및 강화(203년), 관리체계 고도화(204년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 실 국별 소관 법령, 훈령 등 관련 개정사항 지속 발굴 (추진체계 정비) 체계 재정비(연2회), 범정부협의체 참여 2. 시스템 운영 (처리실태 점검) 자체 개인정보 실태점검 실시, 수준진단 및 분야별 상세현황 조사, 홈페이지 상 개인 정보 유 노출 상시 모니터링 및 접속기록 정기점검 분석 (침해 예방 대책) 위탁업체 관리 계획 수립 및 감독 강화, 주민등록DB와 연결된 PC 망분리 권고, 기관 내 개인정보 보호강화 및 영향평가 사업 추진을 위한 관리적 대책수립 (정보주체 권리보장) 개인정보파일 일제정비(연회), 정보주체의 개인정보 정정 삭제 처리정지 요구사항 조치 3. 교육 홍보 (전문성 강화) 자체 교육실시(연2회) 및 사이버안전센터를 통한 온라인 집합교육 실시, 관련 자격증 취득 독려 및 홍보 (홍보 강화) 온라인 상 노출된 주민등록번호 및 불필요한 개인정보 삭제를 위한 홍보 실시, 자체 의 날 (매월 일) 지정 홍보 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 645백만원,080백만원 - 개인정보 강화시스템 도입 - 개인정보 영향평가, 기술적조치 -,725백만원 204년 (요구) 400백만원 224백만원 - 개인정보 강화시스템 유지관리 - 개인정보 영향평가, 기술적 조치 - 624백만원

325 203 연차보고서 3 농림축산식품부 주요 현황 현황 및 목표 (소관법률) 농지법, 농어업 농어촌 및 식품산업 기본법 등 56개(이 중 20개는 해양수상부 공통 등) 법률 (개인정보현황) 농업경영체등록 사업현황, 농업경영컨설팅 인증업체 관리 등 개인정보파일 255개, CCTV 4,82대 운영 관리 중 (추진목표) 기반구축(202년), 제도 안정화(203년), 보호수준 제고(204년) 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 각종 민원서식 현황 조사 및 개인정보 보호법 위반여부 점검, 법령 개정 및 개인정보 수집 동의 양 식 구성 등 업무 절차 개선 (추진체계 정비) 본부 및 소속기관 정보시스템 유지보수 등 위탁운영에 대한 방안 등 협의, 자문인력 및 개인정보 노출 모니터링 인력 확보 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 본부 및 소속기관 민원서식, 개인정보파일 관련 실태조사 실시, 개인정보취급자에 대한 개인정보 유 노출 관리 교육 실시 등 (침해예방 대책 수립) 소관 웹사이트 주민등록번호 수집현황 및 대체수단 적용현황 실태조사, 고유식별정보 사용 민원서식 및 웹사이트 대상 주민등록번호 대체 추진, 개인정보 컨설팅을 통한 온라인 및 오프라인 수집 개인정보 안전성 확보현황 점검 및 개선 (정보주체 권리보장) 개인정보 처리 홈페이지에 개인정보 처리방침 및 정보주체 권리보장 안내문구 현황 조사, 온 오프라인상 정보주체 개인정보 권리보장 현황 점검 4 해외동향 3. 교육 홍보 (전문성 강화) 담당자 및 취급자 등 교육 실시, 교육 실적을 부서 및 기관별 평가에 반영, 전문 자격증 취득 지원 (홍보 강화) 연수원에서 교육과정 운영 시 과목을 추가 부 록 4. 소요 예산 구분 203년 (확정) 204년 (요구) 정보보호 예산 49백만원 - 사이버안전센터 운영 - 정보보호 장비 도입 394백만원 - 사이버안전센터 운영 - 정보보호 장비 도입 정보화 예산 순수 예산 비정보화예산 합계 백만원 75 백만원 - 컨설팅 등 - 469백만원

326 204 부처별 시행계획 32 산업통상자원부 현황 및 목표 (소관법률) 경제자유구역의 지정 및 운영에 관한 특별법 등 2개 법령 (개인정보현황) 국가표준인증 종합정보센터 회원, 사이버 교육회원 등 개인정보파일 87개, CCTV 20,307대 운영 관리 중 (추진목표) 산업 통상 자원분야의 체계 마련 및 역량 강화 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 주민등록번호 수집 근거 마련 및 서식 등 개정을 위한 조사 추진 (추진체계 정비) 본부 및 산하기관 책임자 협의회 구성 운영 및 한국인터넷진흥원 개인정보 노출 조기경보시스템 연계를 통한 협력체계 구축 2. 시스템 운영 (처리실태 점검) 산업통상자원부 사이버안전센터를 구축하여 개인정보 유 노출 상시 모니터링(소속 산하기관 30 여개 사이트) (침해 예방 대책) 공인인증, I-PIN 등 대체수단을 활용, 안전성 확보 - 개인정보취급자 관리자 등 개인정보 접근기록 관리시스템 도입, 개인정보취급자 등의 민간정보 활용을 모니터링 할 수 있도록 개인정보 오 남용 관리시스템 도입 등 (정보주체 권리보장) 권리보장을 위한 가이드라인 마련, 민원접수 및 통지에 관한 업무 수행을 위한 시스템 도입 추진 3. 교육 홍보 (전문성 강화) 산업통상자원부 소관 7개 시스템에 대해 자체점검 및 조치사항 교육 - 정보화사업의 기술평가 점수에 관련 자격자 참여여부에 대해 가점부여 추진, 산하 공공기관의 담당자 및 취급자에 대해 순회교육 추진 (홍보 강화) 자율규제기관 발굴 지정 및 자율규제 협약 체결 및 그에 따른 재정지원 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 204년 (요구) 550백만원 - 정보보호솔루션 구축 등 250백만원 - 개인정보 오 남용 관리시스템 도입 등 - 800백만원

327 203 연차보고서 33 보건복지부 주요 현황 현황 및 목표 (소관법률) 감염병의 예방 및 관리에 관한 법률 등 89개법률 (개인정보현황) 본부 20개 파일(장사관련 정보 등), 소속기관 48개 파일(정신전문요원 수련과정 수련생정보 등) 등 648개 파일 및 영상정보처리기기 2,55대 설치 운영 중 (추진목표) 내부역량강화(202년), 인프라강화(203년), 관리체계확립(204년) 주요 추진계획 2 정책실적 및 성과. 정책 및 제도 개선 (법령 등 개선) 보건복지부 기본지침 개정, 보건복지부분야 업무편람 및 가이드라인 개 발/배포 (추진체계 정비) 보건복지부 개인정보 통합관제센터 업무공유방 운영 활성화, 보건복지부 협의회 및 운영자회의 개최 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 개인정보 수집 서식 등 점검 및 개선, 불필요한 개인정보파일 파기 및 개인정보파일 등록 현행화 (침해 예방) 홈페이지 개인정보 노출점검시스템 운영확대 및 고도화, 영향평가 및 위험도분석 결과 지속적 관리, 홈페이지 개인정보 노출차단 솔루션 적용(건보공단) (정보주체 권리보장) 개인정보 처리방침 현행화, 정보주체 권리보장 관련 조항에 대한 산하기관 지침개정 반영여부 점검, 정보주체의 열람청구권, 처리정지권 등을 보장하기 위한 대책강구 4 해외동향 3. 교육 홍보 (전문성 강화) 책임자, 담당자, 취급자 등 대상별 교육 실시, 기관별 교육계획 수립 및 추진실적 관리 (홍보 강화) 분야별 가이드라인 제작 및 배포, 위탁기관 대상으로 필수조치사항 등에 관 한 교육실시 부 록 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 204년 (요구) 722백만원 - 개인정보 통합관제센터 운영 745백만원 - 개인정보 통합관제센터 운영 286백만원 - 실태점검 706백만원 - 실태점검 - 실태점검 지원시스템 구축 40백만원 - 보건복지분야 업무편람 및 가이드라인 개발 / 배포 40백만원 - 보건복지분야 업무편람 및 가이드라인 개발 / 배포,048백만원,49백만원

328 204 부처별 시행계획 34 고용노동부 현황 및 목표 (소관법률) 근로기준법, 고용보험법 등 39개 법률 (개인정보현황) 임금피크제 지원금(주민등록번호), 구직관리(장애정보) 등 개인정보파일 373개, CCTV 2,50대 운영 관리 중 (추진목표) 고도화(민간 부문 인식제고, 전문인력 양성, 제도 개선 발굴) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 고용노동부 소관 법령 훈령 검토 및 개정, 인사노무 가이드라인 최신화 및 준수 지도 (추진체계 정비) 고용노동 사이버안전센터 협업체계, 업무협의회 활성, 전담인력 확충 추진 2. 시스템 운영 (처리실태 점검) 개인정보 서식개선, 개인정보파일 실태조사, 고용노동 사이버안전센터 개인정보 유 노출 상시 모니터링, CCTV운영 현황 실태조사 등 (침해 예방 대책) 개인정보 관련 내부 민원서식 등 지속 점검, 개인정보 영향평가 실시(전자민원시스템), 소속기관 안전성 확보 조치 점검 실시 (정보주체 권리보장) 정보주체 자기정보 권리 요구별 절차서 운영 3. 교육 홍보 (전문성 강화) 고용노동부 직무교육과정에 과정 신설, 고용노동부 및 일선기관 교육 실시 (홍보 강화) 민간 사업장 설명시 가이드라인 준수 홍보 등 인식 확산 4. 소요 예산 구분 203년 (확정) 204년 (요구) 정보보호 예산 정보화 예산,654백만원 - 사이버안전센터 보안관제 위탁운영(노출 진단) 2,05백만원 - 사이버안전센터 보안관제 위탁운영(노출진단) 순수 예산 26백만원 - 개인정보 영향평가, PC용 개인정보 검색 암호화 솔루션 350백만원 - 개인정보 영향평가 - 개인정보 검색, 암호화 솔루션 비정보화예산 합계 -,780백만원 - 2,455백만원

329 203 연차보고서 35 환경부 주요 현황 현황 및 목표 (소관법령) 환경정책기본법, 환경분쟁 조정법 등 52개(개인정보 관련 8개) (개인정보현황) 감시원 선발(주소, 연락처), 지원금 지급(주민등록번호) 등 개인정보파일 42개(6,227,722명), CCTV 569대(공개 49, 비공개 78) 보유 관리 (추진목표) 기반구축(202년), 제도안정화(203년), 보호수준 제고(204년) 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 (법령 등 개정) 개인정보 처리 현황 재검토 및 법령 등 개정 추진, 개인정보 내부관리계획, 개인정보 처리방침 등 현행화 (추진체계 정비) 유관기관 협업체계 구축, 전담인력 확보 충원 등 업무수행체계 정립 2. 시스템 운영 (처리실태 점검) 서식 점검, 소속기관(공공기관)에 대한 개인정보파일 실태조사, 소속기관 홈페이지에 대한 개인정보 유 노출 모니터링 실시(분기) (침해 예방 대책) 접속기록 보관 및 위변조 방지 등 기술적 보안 조치 강화, 출력물 관리 프로그램, 암호화 솔루션 등 도입 운영, 유사시 대비 모의훈련 실시 등 (정보주체 권리보장) 개인정보 침해 대응 및 피해구제 절차 안내, 관련 내부관리계획 및 방침 현행화 3 기관별 실적 및 계획 4 해외동향 3. 교육 홍보 (전문성 강화) 업무담당자 전문교육, 전 직원 대상 보안교육 실시, 업무매뉴얼 현행화 (홍보 강화) 환경관련 협회 단체 실태조사 및 지원방안 마련, 우수사례 소개, 관련 뉴스레터 제작 배포 4. 소요 예산 부 록 구분 203년 (확정) 204년 (요구) 정보보호 예산,539백만원 - 보안센터 및 정보시스템 운영,226백만원 - 보안센터 및 정보시스템 운영 등 정보화 예산 순수 예산 66백만원 - 개인정보시스템 유지보수, 교육 등 566백만원 - 영향평가, 컨설팅, 시스템 구축 등 비정보화예산 합계 -,605백만원 -,792백만원

330 204 부처별 시행계획 36 국토교통부 현황 및 목표 (소관법률) 주택법, 자동차관리법 등 448개 법률(법32, 시행령45, 부령7) (개인정보현황) 건설업등록 정보관리대장(주민등록번호), 건설공사대장(주민등록번호) 등 개인정보파일 4건(4억 2만 건), CCTV 2,585대 보유 관리 (추진목표) 보호체계정립(203년), 제도안정화(204년), 보호수준제고(205년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 개인정보 세부지침, 관리계획, 처리방침 제정 시행(월) (추진체계 정비) 본부 소속기관 산하단체 공유 및 상호교류를 위한 정보화책임관 협의회 구성 운영, 업무추진을 위한 전담인력(5급 명, 7급 명)확보 추진 2. 시스템 운영 (처리실태 점검) 본부 소속기관 산하기관 등 5개 기관을 대상으로 개인정보파일 및 서식에 대한 실태조사 실시 (침해 예방 대책) 주민등록번호 수집 이용 적합성 분석 및 관리절차 체계 정립 등 개인정보 유출예방, 영향평가 실시 계획 수립, 민간분야 검토 실시 (정보주체 권리보장) 개인정보 침해 신고창구 지정 운영을 통해 민원접수 처리(열람, 정정, 삭제 및 처리정지 요구 처리)권리보장 강화 3. 교육 홍보 (전문성 강화) 책임자 담당자 전문교육 실시와 본부 및 소속기관 직원 교육 실시를 통한 전문성 제고 (홍보 강화) 인식 제고를 위한 자체 교육 실시 및 개인정보 캠페인 운동 등 의 날 운영 추진 4. 소요 예산 구분 203년 (확정) 204년 (요구) 정보보호 예산 850백만원 - 컨설팅(50백만원) - 사이버안전센터운영(700백만원) 정보화 예산 902백만원 - 사이버안전센터운영(700백만원) - 좀비PC 탐지 및 개인정보점검 및 차단시스템 도입(202백만원) 비정보화예산 합계 순수 예산 백만원 백만원

331 203 연차보고서 37 여성가족부 주요 현황 현황 및 목표 (소관법률) 가족친화 사회환경의 조성 촉진에 관한 법률 등 22개 법률 (개인정보현황) - 본부 2개 파일(위민넷 웹사이트회원 등), 산하기관 개 파일(한국청소년활동진흥원 9개, 한국청 소년상담복지개발원 2개) 등 32개 개인정보파일 보유 (추진목표) 기본체계정립(202년), 보호역량강화(203년), 보호수준제고(204년) 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 여성가족부 개인정보 처리관련 규정 및 내부관리계획 개정, 개인정보 처리 단계별 보호조치 매뉴얼 작성 (추진체계 정비) 실무협의회 개최 정례화, 실무협의회 운영 및 역할에 관한 사항을 내부지침에 반영 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 개인정보파일 실태점검 체크리스트 개발, 개인정보처리지침에 실태점검을 반기별로 정례화하는 내용 반영, 산하기관 및 민간 개인정보파일 실태점검 (침해 예방 대책) 개인정보 보호법 의무조치 이행사항 자체 점검, 본부 및 산하기관의 개인정보 보호수준 실태점검 실시 (정보주체 권리보장) 개인정보 보호센터 설치운영, 개인정보 유효기간제(잊혀질 권리) 도입 4 해외동향 3. 교육 홍보 (전문성 강화) 담당자 및 취급자 0시간 이상 교육 이수 의무화, 책임자, 개인정보처리 책임자 회 이상 전문교육 의무참석, 산하기관에 연간 교육실적을 기관평가에 반영 (홍보 강화) 국제결혼중개업자 대상 홍보 리플렛 배부 부 록 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) - 60백만원 - 실태점검 - 영향평가 - 60백만원 204년 (요구) - 540백만원 - 중장기 계획수립 - 개인정보 유 노출 솔루션 도입 - 홍보물 인쇄비 - 540백만원

332 204 부처별 시행계획 38 해양수산부 현황 및 목표 (소관법률) 선원법, 수산업법 등 65개 법률 (개인정보현황) 선원관리(주민등록번호), 선박등록파일(주민등록번호) 등 개인정보파일 223개, CCTV,376대를 운영 관리 중 (추진목표) 보호체계정립(202년), 제도안정화(203년), 보호수준제고(204년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 법령에 부합하지 않는 소관 법령 지침 상의 관련 규정 개정, 개인정보 수집 이용 최소화 및 관련 법령 지침 개정 (추진체계 정비) 해양수산 정보화책임관 협의회 개최, 관리체계 확립 및 모니터링 체계 강화, 개인정 보보호 전담인력 확보 지속적 추진 2. 시스템 운영 (처리실태 점검) 대상 기관에 대한 연도별 실태 점검 계획 수립 시행, 사이버안전센터 모니터링 강화 및 PC 개인정보관리 솔루션 도입 (침해 예방 대책) 처리기간 경과 자료의 삭제관리 등 지속적인 개선 처리, PC개인정보점검시스템 도입, 안전성 확보 컨설팅 추진 (정보주체 권리보장) 권익침해 구제 및 행정심판 청구에 대해 홈페이지 안내 3. 교육 홍보 (전문성 강화) 개인정보취급자 수시 정기적 보안교육 실시, 직원 교육, 업무 담당자에 대해 자격증제도 안내 (홍보 강화) 개인정보침해(위반) 사례집 발간 및 전파, 의 날 운영, 사용기간 만료 및 불필요하게 유통 되는 개인정보 삭제 운동 실시 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 204년 (요구) 600백만원 - 사이버안전센터 운영 390백만원 - 컨설팅 실시 - PC 개인정보점검시스템 도입 - 개인정보 노출탐지 - 990백만원

333 203 연차보고서 39 국세청 주요 현황 현황 및 목표 (소관법률) 국세기본법, 국세징수법 등 9개 법률 (개인정보현황) 부가가치세, 소득세, 사업자등록, 연말정산간소화 파일 등 개인정보파일 9개, CCTV,456대 운영 관리 중 (추진목표) 기반구축(202년), 역량강화(203년), 체계 안정화(204년) 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 법령 제 개정 시 자율검토 및 주기적 사후점검 추진, 국제수준에 부합하는 법 체계 정비 지속 추진 (추진체계 정비) 유관기관과 유기적 협력체계 유지 및 본청 소속기관 간 개인정보 침해 대응훈련 주기적 실시 (국제협력 및 R&D지원) 국가 간 교환정보 보안문제 신속 대응을 위한 OECD 국제회의 참여 등 국제협력 강화 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 개인정보 수집 서식 및 개인정보파일 관리실태의 지속 점검 및 정비, 외부 위탁업체 보안실태 관리 감독 강화를 위해 사업 수행부서 및 총괄 감독부서의 지속적인 교육 및 점검 실시(연중) (침해 예방 대책) 대민서비스 신규 구축 시 공공 I-PIN 도입 등 주민등록번호 수집 이용 최소화 추진, 취약점 진단 및 관리수준 자율진단을 통한 취약점 개선 (정보주체 권리보장) 정보주체 권리보장 전국 순회교육 및 권리보장 여부 자율진단 4 해외동향 3. 교육 홍보 (전문성 강화) 담당자, 취급자 등 맞춤식 교육, 단문메세지 발송 및 온라인 평가 등 실효성 있는 교육계획 수립 및 실시 (홍보 강화) 민원상담 등 납세자 상대 대면업무를 적극 활용 개인정보의 중요성 및 정보주체 권리 적극 홍보 부 록 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 5,30백만원 - 보안운영체계 증설 - 통합계정관리 고도화 등 3,702백만원 - 고유식별정보 암호화 - 로그관리 고도화 - 보안취약점 진단 등 - 9,02백만원 204년 (요구),742백만원 - 보안관제 운영 - PC 방화벽 고도화 등,579백만원 - 게시판 필터링 고도화 - 보안취약점 진단 등 - 3,32백만원

334 204 부처별 시행계획 320 관세청 현황 및 목표 (소관법률) 관세법 등 6개 법률 (개인정보현황) 입출항보고(여권번호), 보세화물(여권번호), 차량관리(주민등록번호) 등 개인정보파일 258개(28백만 건), CCTV,67대를 운영 관리 중 (추진목표) 기반구축(202년), 제도 안정화(203년), 보호수준 제고(204년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 법령 및 지침 등의 주민등록번호 수집 서식 정비(생년월일로 대체), 개인정보 처리방침 주기적 수정 보완 (추진체계 정비) 국가관세종합정보망운영연합회 등 유관기관과 협력체계 구축, 관리 감독을 위한 전문인력 확보 2. 시스템 운영 (처리실태 점검) 유관기관, 개인정보 처리 서식 및 관리실태 점검, 주민등록번호 불법 이용 실태 점검, 개인정보 유 노출 방지를 위한 모니터링 실시 (침해 예방 대책) 법령 규칙 등에서 주민등록번호 수집 필요성 전면 재검토, 개인정보 처리 접근로그 감사 등 관리 강화, 영향평가 수행, 사이버 대응 지능형 모의훈련 등 (정보주체 권리보장) 개인정보 유출통지제도 운영, 개인정보 무단 열람 방지를 위한 직원 교육 홍보 3. 교육 홍보 (전문성 강화) 교육 프로그램 확대 개설 운영, 전문 자격증 보유 인력 정보보호 업무 등 적극 활용 (홍보 강화) 유관기관 자율 실태점검 및 컨설팅 실시, 공모전(표어 포스터 UCC 등) 실시, 개인정보 침해사고 사례집 등 발간 배포 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 643백만원 - 차세대 통합 보안 서비스 환경 구축(분석 및 설계) - 정보보호시스템 유지보수 200백만원 - 차세대 통합 보안 서비스 환경 구축(분석 및 설계) - 정보보호시스템 유지보수 - 843백만원 204년 (요구) 2,52백만원 - 차세대 통합 보안 서비스 환경 구축 - 정보보호시스템 유지보수 300백만원 - 차세대 통합 보안 서비스 환경 구축(상세화) - 정보보호시스템 유지보수 - 2,452백만원

335 203 연차보고서 32 조달청 주요 현황 현황 및 목표 (소관법률) 국가를 당사자로 하는 계약에 관한 법률, 전자조달의 이용 및 촉진에 관한 법률 (개인정보현황) 조달업체 등록정보 등 4개 개인정보파일(약 26만 건)과 8개 지방청에서 시설관리 및 방범용으로 CCTV 04대를 운영 관리 중 (추진목표) 기반구축(202), 제도안정화(203), 보호수준 제고(204) 2 정책실적 및 성과 주요 추진계획(안). 정책 및 제도 개선 (법령 등 개선) 개인정보 영향평가 실시에 따른 개인정보 취급절차 개선, 홈페이지 개인정보 처리규정 개정 및 최신화 (추진체계 정비) 정보제공 기관 대상으로 비상대응체계 모의훈련 실시 및 미비점 보완, 개인정보취급자 등을 대상으로 침해사고대비 모의훈련 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 개인정보처리 시스템 및 관리자 PC 등을 정보보안감사시스템과 연동하여 실시간 관제, 본청 및 지방청의 민원서식 및 업무상 수집하고 있는 모든 개인정보파일에 대한 관리실태 점검 (침해 예방 대책) 주민등록번호 수집 필요성 재검토 및 대체수단 확대, 개인정보 영향평가 예산 확보 후 나라장터 시스템 영향평가 실시 (정보주체 권리보장) 개인정보 수집 시 이용기간 명시 등 유효기간제 도입, 개인정보 유출통지제도 마련, 상시운영, 미비점 개선 4 해외동향 3. 교육 홍보 (전문성 강화) 전문과정 교육이수 지원 및 전문자격증 취득자를 담당 직원으로 지정 (홍보 강화) 조달업체 및 수요기관을 대상으로 에 대한 자율규약 등을 홍보 부 록 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 657백만원 - 정보보호수준 제고 50백만원 - 하도급관리시스템 개인정보 영향평가 3백만원 70백만원 204년 (요구) 69백만원 - 정보보호수준 제고 50백만원 - 나라장터 개인정보영향평가 3백만원 222백만원

336 204 부처별 시행계획 322 통계청 현황 및 목표 (소관법률) 통계법 (기획재정부 소관) (개인정보현황) 통계청 및 통계교육원홈페이지 등 총 7건, CCTV 25대 보유 (추진목표) 기반구축(202년), 제도안정화(203년), 보호수준제고(204년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 통계법 내 통계자료의 비밀 보호 에 대한 명확한 상세기준 설정 추진 (추진체계 정비) 개인정보 유 노출 등 비상상황 발생에 대비하여 협업체계 및 비상연락망 구축 등, 관제센터 내 전문인력 확보 및 모니터링 분석 대응에 관한 월간보고 실시 2. 시스템 운영 (처리실태 점검) 개인정보 수집 최소화를 위한 관련 기준 수립, 주요 웹사이트 개인정보 보호법 이행 실태 점검, 처리실태 자체점검 계획 수립(관리실태 현황, 청 실정에 맞는 진단지표 개발 등) 및 현황조사 실시 (침해 예방 대책) 고유식별정보 보유 현황 파악 및 관리, 개인정보 접속기록 보관 및 위변조 방지 시스템 도입 운용 3. 교육 홍보 (전문성 강화) 개인정보책임자 처리자의 전문교육 이수, 자격증 취득 지원 등 (홍보 강화) 의 날 운영(매월 셋째 주 수요일) 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 479백만원 35백만원 - PC용 개인정보 관리 솔루션 도입 - 개인정보 웹 필터링 시스템 구축 - 794백만원 204년 (요구),074백만원 300백만원 - 개인정보 접속기록 관리 시스템 구축 -,374백만원

337 203 연차보고서 323 대검찰청 주요 현황 현황 및 목표 (소관법률) 디엔에이신원확인정보의 이용 및 보호에 관한 법률 (개 법률) (개인정보현황) 검찰전자신문 회원 명단, 정책고객서비스 회원 명단, 검찰 블로그 기자단 명단 등 개인정보파일 4개, CCTV 9대 운영 관리 중 (추진목표) 기반구축(202년), 제도안정화(203년), 보호수준제고(204년) 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 개인정보 접근권한 재정비 및 기준 마련, 해당 가이드라인 작성 배포, 개인정보 수집 보관 파기 기준 및 절차 마련 (추진체계 정비) 개인정보 전담조직 감사전담팀 구성, 협업 사후관리 강화 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 개인정보파일에 대한 보유 필요성 재검토 및 필요시 근거마련, 개인정보파일 실태 및 이행 점검, 개인정보파일 보유현황 업데이트를 위한 전수조사 실시, 전국 검찰청을 대상으로 종합적 개인정보 유출예방체계 구축 추진 (침해 예방 대책) 노출 개인정보에 대한 즉각 삭제, 검찰 e-pros시스템 KICS시스템 영상정보시스템 검찰통계 시스템의 DB암호화, 검찰양형시스템의 DB보안 사업, 검찰통계시스템, 출입통제시스템에 대한 개인정보영향평가 추진 (정보주체 권리보장) 내부규정 민원처리지침 재정비, 유출통지제도 개선방안 검토 4 해외동향 3. 교육 홍보 (전문성 강화) 교육 콘텐츠 자체 제작, 책임자 담당자 취급자에 대한 교육 추진, 담당자의 자격증 취득 지원, 전문자격증 보유 인력을 담당자로 활용 (홍보 강화) 검찰 업무특성에 맞는 내부 직원용 홍보 컨텐츠 자체 제작 활용 추진 부 록 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) - 380백만원 - PC 솔루션 구매 - 380백만원 204년 (요구) - 4,226백만원 - 개인정보 유출예방 체계 구축 - 검찰양형DB 암호화 및 개인정보 노출진단 - KICS시스템, 영상정보시스템 암호화 - 검찰 e-pros시스템 DB암호화 - 출입통제시스템 영향평가 및 기능개선 - 검찰통계시스템 영향평가 및 DB 암호화 - 4,226백만원

338 204 부처별 시행계획 324 병무청 현황 및 목표 (소관법률) 병역법, 공직자 등의 병역사항 신고 및 공개에 관한 법률 (개인정보현황) 병역사항 신고 및 공개 파일 등 개인정보파일,096개, CCTV 372대 보유 관리 (추진목표) 관련 규정 준수로 개인정보 유 노출로부터 완벽 보호, 개인정보취급자의 인식 제고 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 현행 법령을 개인정보 보호법 기준으로 조정 및 개선 (추진체계 정비) 병무청 내부 협의체 구성 및 관련 전담인력 증원 요구 (R&D지원) 개인정보 영향평가 시 개인정보 흐름 분석 및 가이드라인 작성 추진 2. 시스템 운영 (처리실태 점검) 개인정보 영향평가 사업 추진 시 개인정보파일 관련 업무처리 표준안 작성 (침해 예방 대책) 개인정보가 최소한으로 수집되도록 관련 규정 개정 및 업무망 시스템 암호화 추진 (정보주체 권리보장) 정보주체 권리보장을 위한 제도의 상시 운영 3. 교육 홍보 (전문성 강화) 본청 및 소속기관의 내부 교육을 실시하고 전문성을 갖춘 직원의 경우 순환 보직을 자제 (홍보 강화) 홍보 콘텐츠 제작 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) - 0백만원 - 개인정보검색 소프트웨어 구입 6백만원 - 출장비 6백만원 204년 (요구) - 50백만원 - 영향평가 7백만원 - 출장비 57백만원

339 203 연차보고서 325 방위사업청 주요 현황 현황 및 목표 (소관법률) 방위사업법, 군수품관리법 등 7개 (시행령 8개, 시행규칙 5개) (개인정보현황) 국방전자조달 민원사무처리 고객지원센터 등 76,585명 개인정보파일, CCTV 보유현황은 현황 기재 불가 (추진목표) 제도 개선, 개인정보파일 실태조사 및 분석, 담당자 워크숍 개최 등 전문성 강화 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 정보화업무처리규정 개정 (추진체계 정비) 유관기관과의 상시 협의체 구성 운영, 담당자 및 처리자의 관련 자격증 취득 의무화, 성과관리 부문 가점 부여 3 기관별 실적 및 계획 2. 시스템 운영 (서식 정비) 청 발주사업의 제안요청서 등 민원관련 문서를 포함한 개인정보수집 서식 개선 (개인정보파일 실태조사) 개인정보파일의 변경사항, 모니터링 결과 등 관리 유지 개선 (모니터링 강화) 개인정보 관리실태(부서별, 시스템별) 분석 3. 교육 홍보 4 해외동향 (전문성 강화) 현황 점검을 위한 워크숍 개최, 개인정보 담당자 및 처리자의 외부기관 전문교육 참석 (홍보 강화) 자체 설문조사 및 평가를 통한 직원의 개인정보관련 자율준수 정도 점검 및 분석 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 부 록 203년 (확정) 2,02백만원 - 시스템 정비비용 - 보안관제 인력비용 - 2,02백만원 204년 (요구) 2,072백만원 - 시스템 정비비용 - 보안관제 인력비용 - 2,072백만원

340 204 부처별 시행계획 326 경찰청 현황 및 목표 (소관법률) 경범죄 처벌법, 경찰법, 도로교통법 등 23개 법률 (개인정보현황) 뉴스레터 고객명부, 운전면허정보, 모범운전자회 명부 등 개인정보파일 36개, CCTV 26,000여 대 운영 관리 중 (추진목표) 보호체계 및 기반 구축(202년), 보호체계 안정화, 처리실태 조사 및 개선(203년), 정보주체 인식 제고와 문화정착(204년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 자체 예규 개정 추진, 소관 법령 및 규칙에 대해 개인정보 침해 가능성을 분기마다 모니터링하여 문제점 있는 경우 적극적으로 개정 추진 (추진체계 정비) 최소 계( 係 )단위 전담조직을 구성하여 정책 총괄 및 전국 경찰관서 및 전 직원 관리 감독, 안전행정부 및 기획재정부 상대로 중기 인력운영계획 제출 및 소요정원 필요성 적극 설득하여 204년 정원확보 추진 2. 시스템 운영 (처리실태 점검) 개인정보 수집 서식 등 점검 정비, 개인정보파일 전수조사 실시, 상시적 개인정보 유 노출 모니터링 강화 (침해 예방 대책) 주민등록번호 수집 이용 제도 개선, 개인정보 처리 안전성 확보, 영향평가 수행 (정보주체 권리보장) 권한 없는 자의 개인정보 무단열람 방지를 통해 정보주체 권리보장 추진 3. 교육 홍보 (전문성 강화) 전문교육, 순회교육, 직무교육, 사이버교육 실시 (홍보 강화) 캠페인 전개 등을 통하여 에 대한 관심 유발 및 인식 제고, 처리단계별 체크리스트 배포를 통해 필수 조치사항 숙지 4. 소요 예산 구분 203년 (확정) 204년 (요구) 정보보호 예산,03백만원 - 교육통합시스템 구축 - 지방청 홈페이지 통합 구축 3,4백만원 - 경찰대학 정보화 시스템 통합 구축 - 지방청 홈페이지 통합 구축 정보화 예산 순수 예산 60백만원 - 영향평가 수행 비정보화예산 합계 -,073백만원 289백만원 - 3,700백만원

341 203 연차보고서 327 소방방재청 주요 현황 현황 및 목표 (소관법률) 소방기본법, 자연재해대책법, 9 구조 구급에 관한 법률, 풍수해보험법, 재해구호법, 재난 및 안전관리기본법 등 83개 (개인정보현황) 9인터넷신고자, 재난징후정보 제보자, 화재조사 관계자, U안심콜 신청자 정보 등 24개 파일, CCTV 82대 (추진목표) 기반 구축(202년), 제도 안정화(203년), 보호수준 제고(204년) 2 정책실적 및 성과 주요 추진계획. 제도적 대책 (조직 인력 체계 강화) 소속 산하기관 협업체계 강화 (내부 지침 개선) 소방방재청 종합 매뉴얼 제작 보급 3 기관별 실적 및 계획 2. 처리실태 점검 (의무사항 이행 점검) 주기적 점검 실시, 소속 산하기관 점검 강화 (개인정보파일 정비) 개인정보파일 안내 및 정비 3. 침해예방 대책 4 해외동향 (개인정보 수집 이용 제도 개선) 개인정보처리시스템 주민등록번호 사용 최소화 추진 (개인정보 처리 안전성 확보) 개인정보 영향평가에 따른 개선 계획 이행, 신규 정보화 사업 개인정보 영향평가 실시, 시스템 기능 개선 추진 4. 정보주체 권리보장 교육 및 홍보 (정보주체 권리보장) 정보주체 열람권 등 권리보장 현황 파악 및 개선 (교육 및 홍보) 우수 정보보안 전담인력 양성, 대상별 준수해야 할 사항을 정리한 홍보자료 안내 부 록 5. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) - 240백만원 - 개인정보 영향평가 추진 - 정보보호시스템 유지보수 - 보안SW구매(백신, 윈도우 등) 시스템 기능개선 - 240백만원 204년 (요구) - 290백만원 - 개인정보 영향평가 추진 - 정보보호시스템 유지보수 - 보안SW구매(백신, 윈도우 등) 시스템 기능개선 - 290백만원

342 204 부처별 시행계획 328 문화재청 현황 및 목표 (소관법률) 문화재보호법, 문화재수리 등에 관한 법률 등 6개 법률 (개인정보현황) 중요무형문화재 전승자(주민등록번호, 휴대전화), 매장문화종사자(주민등록번호) 등 8건(90,878명), CCTV,078대(소속기관 포함) 보유 관리 (추진목표) 기반구축(202년), 제도 안정화(203년), 보호수준 제고(204년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 문화재청 관련 규정(지침) 정비 및 현행화 (추진체계 정비) 개인정보 관련 주요부처(안행부, 방통위 등) 및 전문기관 비상연락체계 재정비, 소속 및 산하기관의 개인정보 전담인력 확보 요청 2. 시스템 운영 (실태점검 강화) 전 부서, 소속 산하기관 개인정보파일, 영상정보처리기기 현황 조사, 일제정비 추진, 실태조사 결과 미비점 개선 및 보완 (침해예방) 법령 행정규칙 등 서식을 통해 수집하는 주민등록번호 처리 필요성 전면 재검토(본청 및 소속 산하기관), 위 변조 방지장치(DRM 등), 소속기관 DB 접근제어 시스템 등 도입, 국가인증 (개인)정보보호체계(ISMS, PIMS) 인증 추진 (정보주체 권리보장) 개인정보 유출통지 제도 운영 및 직원 교육 홍보 3. 교육 홍보 (인력 전문성 강화) 교육과정을 문화재청 기본교육과정에 정규과목으로 편성 및 소속 산하기관 자체 교육계획 수립 현황 수립 (홍보 강화) 인식제고를 위한 교육 및 워크숍 정례화 추진 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 96백만원 - 정보보호시스템 유지 (32,000천원) - DB접근통제시스템 설치 및 운영(64,000천원) 58백만원 - 보안프로그램 설치 운영 백만원 204년 (요구) 42백만원 - 보안프로그램 설치 운영 (0,000천원) - 정보보호시스템 유지보수(32,000천원) 452백만원 - 국가인증(개인)정보보호체계인증(20,000천원) - 접속기록의 보관 위변조 방지(60,000천원) - DB접근통제 시스템 설치 및 운영(92,000천원) 백만원

343 203 연차보고서 329 농촌진흥청 주요 현황 현황 및 목표 (소관법률) 농촌진흥법, 한국4에이치활동 지원법 등 2개 법률 (개인정보현황) 농촌진흥사업 종합관리시스템, 농약 영업 등록대장 등 개인정보파일 30개, CCTV 337대 운영 관리 중 (추진목표) 기반구축(202년), 제도 안정화(203년), 보호수준 제고(204년) 주요 추진계획 2 정책실적 및 성과. 정책 및 제도 개선 (법령 등 개선) 소속기관 및 산하기관의 개인정보 수집 및 이용, 제공 등 개인정보 보호법 위반 사항 검토 및 개정, 각종 지침, 고시, 행정업무처리 규정 등 개선, 사이버영농교육시스템, 개인PC에 보관중인 가이드 등 작성 (추진체계 정비) 외부전문가, 유관기관 인력으로 개인정보 문제 해결사 알쏭달쏭 협의체 구성, 개인정보처리시스템 유형별 개인정보관리 사례집 발간 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 업무관련 각종 서식 및 농촌현장 동향조사, 기술보급 및 실증시험 대상자 선정 등에 수집되는 개인정보 항목 점검, 개인정보 관리인증 및 개인정보 영향평가 추진, 개인정보 유 노출 관리 및 자동 모니터링 실시 (침해예방 대책 수립) 주민등록번호를 수집하는 5개의 개인정보 파일에 대한 주민등록번호 대체수단 활용방안 검토, 사이버영농교육시스템을 대상으로 관리체계 인증 (정보주체 권리보장) 개인정보 보존기간이 경과한 회원에게 메일 또는 SMS를 통해 회원유지 여부를 확인할 수 있는 시스템 설계, 개인정보 침해사고 매뉴얼 개정 4 해외동향 3. 교육 홍보 (전문성 강화) 농촌인적자원개발센터 교육과정에 교육 과정 개설 (홍보 강화) 부서 중심으로 비 암호화된 개인정보 찾아주기 캠페인 추진 부 록 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 0백만원 - 정보시스템 노후장비 교체 및 고도화 8백만원 - 개인정보 필터링 등 고도화 - 9백만원 204년 (요구) 29백만원 - 스마트정보화 보안제품 도입 8백만원 - PIMS 인증 - 개인정보 영향평가 - 자격증 취득지원 - 47백만원

344 204 부처별 시행계획 330 산림청 현황 및 목표 (소관법령) 산림기본법, 산림보호법 등 49개 법률(법률8, 시행령6, 부령5) (개인정보현황) 휴양림이용(결제), 지도원등록, 국유지임대 등의 목적으로 개인정보파일 46개(2,638,404건), CCTV 453대(공개 450, 비공개 3) 보유 관리 (추진목표) 기반구축(202년), 제도안정화(203년), 보호수준 제고(204년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개정) 법령, 지침 등 개정 시 불필요한 개인정보가 수집되지 않도록 법무담당관실과 협의하고, 산하기관 방침 지침 등 개선 (추진체계 정비) 업무를 정보통계담당관실에서 총괄, 외부 기관과 협업체계 구축, 전담조직 확보(산하기관 포함) 2. 시스템 운영 (처리실태 점검) 실태점검 정기화, 산하기관 개인정보파일(PC포함) 실태조사, 유 노출 모니터링 강화 (침해 예방 대책) 시스템 접근권한 제한 및 차등 부여, 보안프로그램 설치 운영, 접속기록 보관 및 위변조 방지, CCTV 관리지침 개선 및 관리체계 개선, 유사시 대비 모의훈련 실시 (정보주체 권리보장) 개인정보 열람창구 운영, 홈페이지 안내 등 3. 교육 홍보 (전문성 강화) 업무담당자 전문교육, 전 직원 대상 보안교육 실시, 산림교육원에 교육프로그램 개설 등 (홍보 강화) 의 날(매월 일) 지정 운영, 캐치프레이즈(시행 공문 하단에 게재)를 활용한 대 내외 홍보, 내부 포털에 개인정보 관심도 현황 표시 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 7,974백만원 - 정보시스템 운영 등 345백만원 - 등 - 8,39백만원 204년 (요구) 2,339백만원 - 정보시스템 운영 등 287백만원 - 개인정보 영향평가 등 - 2,626백만원

345 203 연차보고서 33 중소기업청 주요 현황 현황 및 목표 (소관법률) 중소기업진흥에 관한 법률, 중소기업협동조합법, 중소기업기본법, 중소기업창업 지원법 등 42개 법령 (개인정보현황) 제휴/해피보너스카드 고객정보, 경영개선 소상공인교육 신청자 및 수료생 명단 등 개인정보파일 84개, CCTV 30대 운영 관리 중 (추진목표) 제도 안정화 및 수준 제고(산하기관 체계 강화, 담당자 전문성 강화) 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 조직개편에 따른 이관된 소관법령 위주로 법령 훈령 검토 및 개정 및 가이드라인 보완 개선 추진 (추진체계 정비) 업무협의회 운영 활성화, 산하기관 등 개선 컨설팅 추진 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 개인정보 서식점검, 개인정보파일 실태조사, 유 노출 모니터링 강화 등(중기청 홈페이지 등 38개 정보망에 웹필터, 서버필터 및 PC필터 운영 활성화) (침해 예방 대책) 행정규칙내 서식의 개인정보 보호법 부합여부 검토 및 정비 추진, 정보망의 개인정보 수집에 따른 SSL보안 적용, 공공 I-PIN 제공여부 등 점검 조치 (정보주체 권리보장) 홈페이지 등에 개인정보 처리방침 및 정보주체 권리보장 안내문구 실태조사 및 담당자 교육 4 해외동향 3. 교육 홍보 (전문성 강화) 전문성 확보를 위해 개인정보보보호 자격증 취득 지원, 산하기관 개인정보 취급자 교육 실시 (홍보 강화) 의 날 지정 및 홈페이지에 공공기관 개인정보 침해사고 등 이슈사항과 관련 학습 자료 및 퀴즈 게시 부 록 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 204년 (요구) 450백만원 - 정보보안 및 솔루션 구입 04백만원 - 컨설팅 사업 - 워터마크 솔루션 구축 - 교육 - 554백만원

346 204 부처별 시행계획 332 특허청 현황 및 목표 (소관법률) 특허법, 발명진흥법 등 9개 법률 (개인정보현황) 출원인 정보, 발명자 정보, 변리사 정보 등 개인정보처리파일 개, CCTV 47대 운영 관리 중 (추진목표) 기반구축(202년), 제도 안정화(203년), 보호수준 제고(204년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 훈령 내부관리계획을 검토 및 보완, 특허행정분야 가이드라인 작성 배포, 개인정보 처리 위탁사업에 대한 보호기준 준수 여부 점검 (추진체계 정비) 운영협의회 지속 운영, 특허청 산하기관 개인정보 유출사고 통합 대응훈련 실시, 개인 정보보호 업무 전담인력 확충 지속 추진, 특허청 및 산하기관 업무담당자의 관련 자격증 취득 독려 2. 시스템 운영 (처리실태 점검) 서식 제 개정시 보안성 검토를 받도록 특허청 내부 업무절차 수립, 개인정보파일 현황 지속 관리, 개인정보 통합 모니터링 체계 구축 모니터링 주체 주기 방법 대상사이트(시스템) 추진시기 특허청 (보안관제) 월 분기 (침해예방 대책 수립) 업무담당자가 PC에 PC개인정보관리 솔루션 도입, 인터넷PC에 내부자료유출방지시스템 도입 (정보주체 권리보장) 개인정보 열람 요구 처리 절차서 마련, 소관 개인정보에 대한 유출사고가 발생할 경우 정보주체 에게 유출사고를 통지하는 절차 마련 개인정보 노출점검툴 웹취약점 점검툴 특허청 홈페이지 및 소속 산하기관 홈페이지 204.~2월 3. 교육 홍보 (전문성 강화) 교육 지속적으로 추진 (홍보 강화) 매월 의 날 운영, 특허청 자체 보안정책 설명회 실시, 특허보안세미나 주제 발표 및 홈페이지 게재 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 2,293백만원 - 사이버안전센터 운영 - 정보보호 장비 도입 - 2,293백만원 204년 (요구) 2,027백만원 - 특허넷 보안운영 75백만원 - PC개인정보관리도구 도입 - 2,02백만원

347 203 연차보고서 333 기상청 주요 현황 현황 및 목표 (소관법률) 기상법, 기상산업진흥법, 기상관측표준화법 등 3개 법률 (개인정보현황) 기상청 홈페이지 회원(휴대폰번호), 기상민원회원(휴대폰번호, 이메일주소) 등 9개 개인정보파일 8만여 건, CCTV 604대(산하기관 포함) 운영 관리 (추진목표) 개인정보 기반구축(202년), 관리 체계 안정화(203년), 보호수준 제고(204년) 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 기상청 소관법령, 업무규정 등 각종 서식상의 개인정보 처리근거 검토 후 개정, 기상청 지침 재정비 (추진체제 정비) 전담인력 확충 추진, 실무협의회 구성 및 유관부처와 협력 강화 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 주민등록번호 등 불필요한 개인정보를 수집하는 민원서식(8종)에 대한 개정 추진, 개인정보파일(9개) 및 영상정보처리기기(234대)에 대한 실태 조사 등 (침해 예방 대책) 개인정보 수준 진단, 개인정보를 처리하는 주요시스템에 대한 위험도 분석, 전송 및 저장 구간 암호화 현황 상시모니터링, 인터넷망 PC 자료 저장 방지 시스템 운영 및 공인인증마크 획득 추진을 위한 사전 준비 (정보주체 권리보장) 정보주체자의 권리보장에 대한 점검 및 이용자의 휴면이용기간 경과 시 개인정보 파기 제도 도입 4 해외동향 3. 교육 홍보 (전문성 강화) 분야별 담당자, 일반 직원 등 대상별 교육 실시 및 기상청 사이버 과정에 과목 개설, 신규채용 및 승진자 교육과정에 정규과목 편성, 운영 현황 및 사고 사례 조사분석 사례집 제작 배포 (홍보 강화) 기상청 홈보간행물 하늘사랑 에 캠페인 홍보글 게재 등을 통하여 개인정보 캠페인 전개 부 록 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 809백만원 - 바이러스 방역체계 유지 - 보안관제시스템 - 정보보호관리체계 5백만원 - 체계 수준진단 - 860백만원 204년 (요구) 893백만원 - 203년 정보보호 사업 지속 추진 200백만원 - 개인정보 PC 보안 관리 강화 -,093백만원

348 204 부처별 시행계획 334 행정중심복합도시건설청 현황 및 목표 (소관법률) 행정중심복합도시건설을 위한 특별법 등 4개(법, 시행령 2, 부령 ) (개인정보현황) 정책고객(생년월일, 전화번호), 주민 취업희망자(주민등록번호) 등 총 8개의 개인정보파일(32,996건)과 CCTV는 보유 운영하지 않음 (추진목표) 기반구축(202~203년), 제도안정화(204년), 보호수준 제고(205년) 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 훈령 지침 등 규정이 법령에 부합 여부 조사, 자체 매뉴얼 발간 (추진체계 정비) 개인정보처리시스템을 통합전산센터(대전)에 이관 관리 등 협력체계 구축, 전담인력 명 우선 확보 추진, 장기적으로 2명까지 확충 2. 시스템 운영 (처리실태 점검) 개인정보 수집 서식의 필요성 등 점검 및 관행적 수집 근절, 개인정보파일 관리실태 조사, 개인정보 유 노출 모니터링, 개인정보 처리 실태조사 (침해 예방 대책) 부서별 주민등록번호 처리 필요성 전면 재검토, 메일, 메신저 등 개인정보 유통상황 실시간 감시 (개인정보 감시 시스템) (정보주체 권리보장) 정보주체 권한 보장을 위한 내부규정 개정 3. 교육 홍보 (전문성 강화) 실무자 교육훈련기관의 교육 프로그램 참여, 자체 교육 실시, 전문 자격증 보유인력을 개인정보 보호업무 담당자로 배치 (홍보 강화) 내부 업무포털 및 홈페이지 등에 캠페인 시행 등 4. 소요 예산 구분 정보보호 예산 정보화 예산 순수 예산 비정보화예산 합계 203년 (확정) 46백만원 - 정보보안 강화 38백만원 - 소스코드형상관리시스템 도입 - 홈페이지 맥넷DB 업그레이드 - 84백만원 204년 (요구) 50백만원 - 업무시스템 개편 - 정보보안 강화,054백만원 - 업무시스템 개편 - 개인정보감시시스템 도입 -,204백만원

349 203 연차보고서 335 해양경찰청 주요 현황 현황 및 목표 (소관법률) 수난구호법, 수상레저안전법 등 22개 법률(법5, 시행령6, 부령) (개인정보현황) 선박출입항정보(주민등록번호), 수상레저정보(주민등록번호) 등 개인정보파일 0건(약 86만 건), CCTV 본청 89대(공개 78, 비공개 ), 소속기관,774대 보유 관리 (추진목표) 기반구축(203년), 제도안정화(204년), 보호수준제고(205년) 2 정책실적 및 성과 주요 추진계획. 정책 및 제도 개선 (법령 등 개선) 개인정보 수집 근거 마련 및 관련 규정 개정 - 규칙(훈령)에 개인정보(고유 식별정보, 민감정보)수집 근거 조항 반영 (추진체계 정비) 체계적인 관리 및 침해발생 시 대책 마련을 위한 유관기관 신고 및 협조체계 구축, 개인정보 유출 시 원인분석과 피해사고 차단 및 피해확산 대책 마련 등 개인정보 유출신고 의무화 3 기관별 실적 및 계획 2. 시스템 운영 (처리실태 점검) 개인정보파일 실태조사 실시 및 미흡사항 개선, 선박 출 입항 정보 등 미등록 개인정보파일 등록 완료 (침해 예방 대책) 개인정보차단 및 검색솔루션 설치 등 웹사이트 모니터링(월 회), 유 노출 방지를 위한 보안 관제 센터 구축 추진 (정보주체 권리보장) 개인정보 처리방침을 통한 정보주체 권리보장 안내 및 개인정보 열람 정정 삭제 등 권리보장 강화 4 해외동향 3. 교육 홍보 (전문성 강화) 개인정보취급자 및 전 직원대상 교육 수립 시행 등 정보보안 전문가 양성 위탁교육 실시 (홍보 강화) 사이버 보안진단의 날 실시(월 회), 이벤트 및 우수사례 발굴 포상 부 록 4. 소요 예산 구분 203년 (확정) 204년 (요구) 정보보호 예산 750백만원 - 보안관제 센터구축(650백만원) - 정보보호 S/W(00백만원) 780백만원 - 보안관제 센터구축(600백만원) - 정보보호 S/W(80백만원) 정보화 예산 순수 예산 비정보화예산 합계 백만원 440백만원 - 개인정보 영향평가(00백만원) - 개인정보파일 보안(340백만원) -,220백만원

350 204 부처별 시행계획 336 국가인권위원회 현황 및 목표 (소관법령) 국가인권위원회법 (개인정보현황) 진정처리 개 파일, CCTV는 미보유 (추진목표) 기반 구축(202년), 고도화 및 안정화(203년), 보호수준제고(204년) 주요 추진계획(안). 정책 및 제도 개선 (법령 등 개정) 개인정보 자율규제 정착을 위한 개인정보 관리 절차 마련, 개인정보처리 방침의 재검토 및 처리방침 에 따른 이행여부 점검 (추진체계 정비) 개인정보 침해사고 대응체계 내실화를 위해 정보제공기관 대상으로 비상대응체계 정비 및 미비점 보완, 각 부서별 개인정보 관리책임자 및 취급직원 대상으로 인식 제고 및 상시 활동 강화 2. 시스템 운영 (처리실태 점검) 개인정보 수집 서식 등 점검 정비, 개인정보 유 노출 모니터링 강화 (침해 예방대책) 개인정보 수집 및 이용 최소화 방안 마련, 주민등록번호 수집 축소 방안 점검 및 대체수단 확대 (정보주체 권리보장) 침해사고 대응체계에 개인정보 유출내용과 처리결과 통지제도 도입 검토 3. 교육 홍보 (인력확충 및 전문성 강화) 정보인권과 연계한 교육과정 운영 (홍보 강화) 정보인권과 연계하여 부문에 대한 중요성 홍보 4. 소요 예산 구분 203년 (확정) 204년 (요구) 정보보호 예산 30백만원 - 정보시스템 운영 등 - 솔루션 도입 필터시스템 50백만원 - 정보시스템 운영 등 - 개인정보 유출차단 솔루션 개인정보 문서보호 정보화 예산 비정보화예산 합계 순수 예산 백만원 백만원

351

352 연차보고서 Personal Information Protection Annual Report 203년 8월 위원회 (사복)해든디자인플러스( ) 203 연차보고서의 내용 중 의문이 있거나 의견이 있는 경우는 아래로 연락주시기 바랍니다. (20-705) 서울특별시 서대문구 통일로 8 위원회 사무국 조사과 (02)

모두 보기

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

개인정보 오남용 유출 2차 피해 최소화 방안 최종보고서 수행기관 : 숭실대학교 산학협력단 2015. 10. 요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는