Output file

발 간 등 록 번 호 -079930-00000-0 203 Personal Information Protection Annual Report

본 연차보고서는 개인정보 보호법 제67조의 규정에 의거하여 개인정보 보호시책의 수립 및 시행에 관한 내용을 수록하였으며, 203년도 정기국회에 제출하기 위하여 작성되었습니다.

목 차 203 연차보고서 제 편 주요 현황 제 장 l 정책 현황 제 절 정책추진 현황 4 제 2 절 국내 외 주요 이슈 8 제 2 장 l 실태조사 제 절 정보주체 3 제 2 절 개인정보처리자 2 제 3 장 l 주요기술 및 산업동향 제 절 기술 37 제 2 절 산업 동향 45 제 4 장 l 주요 판례 제 절 개관 49 제 2 절 판례의 현황분석 및 향후전망 50 제 3 절 주제별 조문별 핵심판례 정리 5 제 2 편 정책실적 및 성과 제 장 l 위원회 활동 제 절 위원회 운영 67 제 2 절 위원회 심의 의결 안건의 주요내용 70 제 3 절 국제교류 76 제 2 장 l 정책 및 제도 개선 제 절 관련 법령 개선 79 제 2 절 체계 정비 83 제 3 절 국제협력 강화 86

목 차 203 연차보고서 제 3 장 l 환경개선 및 수준제고 제 절 개인정보 침해사고 예방 강화 89 제 2 절 실태점검 및 개선 96 제 3 절 기반 강화 및 기술지원 99 제 4 절 정보주체 권리 보장 03 제 4 장 l 인식제고 제 절 교육 제 2 절 홍보 4 제 3 절 자율규제 촉진 및 인식제고 6 제 3 편 기관별 실적 및 계획 제 장 l 주요기관 제 절 안전행정부 23 제 2 절 방송통신위원회 30 제 3 절 금융위원회 35 제 4 절 교육부 38 제 5 절 보건복지부 4 제 2 장 l 국회 법원 헌법재판소 중앙선거관리위원회 제 절 국회 45 제 2 절 법원 46 제 3 절 헌법재판소 48 제 4 절 중앙선거관리위원회 50 제 3 장 l 행정부 제 절 중앙행정기관 53 제 2 절 지방자치단체 25

목 차 203 연차보고서 제 4 편 해외동향 제 장 l 국제기구 협의체 제 절 경제협력개발기구(OECD) 245 제 2 절 유럽 평의회(COE) 246 제 3 절 아시아태평양경제협력체(APEC) 248 제 4 절 국제기구회의(ICDPPC) 25 제 5 절 아시아태평양 프라이버시 감독기구 포럼(APPA) 252 제 6 절 국제프라이버시네트워크(GPEN) 257 제 2 장 l 유럽 제 절 유럽연합 (EU) 259 제 2 절 영국 262 제 3 절 프랑스 264 제 4 절 독일 266 제 3 장 l 미주 제 절 미국 267 제 2 절 캐나다 273 제 3 절 중남미 지역 국가 276 제 4 장 l 아시아 및 호주 제 절 일본 28 제 2 절 중국 283 제 3 절 호주 285 제 4 절 기타 286 부 록 204 부처별 시행계획(요약) 289

표 목차 Personal Information Protection Annual Report 제 편 주요 현황 제 장 l 정책 현황 표 -- 시행계획 추진현황(202.9.) 5 표 --2 주민등록번호 수집 이용 최소화 종합대책 단계별 세부 과제 7 표 --3 빅 데이터 자원의 분류 표 --4 유럽연합의 법제 개혁안의 주요내용 2 제 2 장 l 실태조사 표 -2- 개인정보 보호법 시행여부 4 표 -2-2 개인정보 보호법 시행 이후 개인정보 중요성에 대한 인식변화 4 표 -2-3 개인정보 유출 시 우려되는 사회 전반의 피해 정도 4 표 -2-4 개인정보의 중요성이 높아진 이유 5 표 -2-5 개인정보가 중요하다고 생각하는 이유(2가지 응답) 5 표 -2-6 인터넷 이용자의 정보보호의 중요성 인식 5 표 -2-7 정보화 역기능 유형별 피해 심각성의 정도 6 표 -2-8 20년과 202년의 정보화 역기능 유형별 피해 심각성 순위 6 표 -2-9 202년 개인정보 공개에 대한 항목별 거부감 정도 7 표 -2-0 개인정보 수집행태에 대한 인식 8 표 -2- 개인정보 보호법 시행 이후 개인정보 처리절차의 변화 8 표 -2-2 개인정보 처리를 위해 절차가 복잡해진 것에 대한 의견 8 표 -2-3 분야별 수준 변화에 대한 인식 9 표 -2-4 가 잘 되고 있다고 생각하는 업종분야(복수응답) 9 표 -2-5 개인정보처리자에게 개인정보의 열람 정정의 요청 경험 20 표 -2-6 (회원가입 시)주민등록번호 이외의 본인 인증수단 인지 여부 등 20 표 -2-7 를 위한 개선이 필요한 분야 2 표 -2-8 국내 사업체의 의 중요성 인식정도 2 표 -2-9 국내 사업체의 정보보호의 중요성 인식 2 표 -2-20 근무처의 중요성 인식변화에 대한 체감 22 표 -2-2 개인정보 보호법 시행여부에 대한 인지 22 표 -2-22 개인정보유출 인지 시 정보주체에 대한 고지의무 인지 여부 22 표 -2-23 개인정보유출 처리 절차 복잡 여부 22 표 -2-24 개인정보 수집 관련 인식 23 표 -2-25 개인정보 유출 원인에 대한 우려 정도 23

표 목차 Personal Information Protection Annual Report 표 -2-26 개인정보 유형별 중요도 인식 24 표 -2-27 업종별 내부관리계획 수립여부 24 표 -2-28 내부관리계획 포함 내용 25 표 -2-29 정보보호 전담조직 설치 운영 여부 25 표 -2-30 IT 관련 책임자 임명 여부 26 표 -2-3 IT 관련 책임자의 업무전담 여부 26 표 -2-32 예산 별도 배정 현황 26 표 -2-33 예산 증가 추이 27 표 -2-34 사업체 규모별 교육 참여 경험 27 표 -2-35 사업체 규모별 관련 무료교육 참여 의사 27 표 -2-36 업종별 개인정보 수집 방법 28 표 -2-37 사업체가 보유하고 있는 개인정보 규모 28 표 -2-38 주민등록번호 수집 이용 목적(복수응답) 29 표 -2-39 주민등록번호 미활용 시 서비스 제공 영향 29 표 -2-40 고유식별정보 수집 및 처리 시 별도 동의 확보 여부 30 표 -2-4 개인정보 제3자 제공 또는 목적 외 이용 시 별도 동의 확보 여부 30 표 -2-42 개인정보제공자에 대한 주민등록번호 대체수단 제공여부 30 표 -2-43 주민등록번호 대체수단 미제공 사유 30 표 -2-44 조치 의무 사항별 이행비율 3 표 -2-45 정보주체의 권리보장을 위한 구체적 방법 및 절차 공개 여부 3 표 -2-46 개인정보 파기요건 충족 시 파기여부 3 표 -2-47 개인정보의 안전한 처리를 위한 기술적 조치 도입현황(복수응답) 32 표 -2-48 개인정보의 안전한 처리를 위한 기술적 조치 도입현황(복수응답, 업종별) 32 표 -2-49 개인정보 암호화 저장 항목 33 표 -2-50 개인정보 침해사고의 예방 및 사후 처리를 위한 조치(복수응답) 33 표 -2-5 웹 사이트 회원가입 시 이용자의 본인확인을 위한 방법 34 표 -2-52 주민등록번호 대체수단 이용 항목(복수응답) 34 표 -2-53 개인정보 유출 규모 35 표 -2-54 개인정보 유출사고 인지 시점 35 표 -2-55 개인정보 유출사고 유형 35 표 -2-56 개인정보 유출사고 발생 시 이용자 고지 현황 35 표 -2-57 개인정보 유출사고 발생 시 주무부처에 신고하지 않은 이유 35

표 목차 Personal Information Protection Annual Report 제 3 장 l 주요기술 및 산업동향 표 -3- 개인정보 수명주기 단계에 따른 보호 기술 37 표 -3-2 개인정보 안전성 확보조치 기준에 따른 관련기술 39 표 -3-3 망분리 방식 비교 39 표 -3-4 개인정보처리시스템 암호화 방식의 구분 4 표 -3-5 개인정보처리시스템 암호화 방식 선택 시 고려 사항 42 표 -3-6 업무용 컴퓨터 암호화 방식의 구분 42 표 -3-7 개인정보처리시스템 간 전송시 암호화 방식 비교 43 표 -3-8 관련 정보보안 제품 및 서비스 분류 46 표 -3-9 관련 정보보호 산업 전체 매출 현황 47 제 4 장 l 주요 판례 표 -4- 개인정보 처리단계별 판례 현황 50 표 -4-2 기타 관련 판례 6 제 2 편 정책실적 및 성과 제 장 l 위원회 활동 표 2-- 202년 위원회 정책연구과제 69 표 2--2 202년 위원회 안건처리 현황 7 표 2--3 구글 개인정보 취급방침 통합에 대한 위원회 결정문 75 표 2--4 국제기구 가입 및 회의 참가 현황 76 표 2--5 제34회 ICDPPC 총회 일자별 회의 내용 77 제 2 장 l 정책 및 제도 개선 표 2-2- 일괄개정된 법령(20개 대통령령) 중 주요 법령 79 표 2-2-2 가이드라인, 해설서 등 제(개)정 현황 8 표 2-2-3 분야별 T/F 구성 현황 87 표 2-2-4 Data Controller vs. Data Processor 88 제 3 장 l 환경개선 및 수준제고 표 2-3- 연도별 개인정보 모니터링 현황 9 표 2-3-2 개인정보 영향평가 수행 현황(202.2.3. 현재) 92

표 목차 Personal Information Protection Annual Report 표 2-3-3 개인정보 영향평가 교육 이수생 현황 92 표 2-3-4 국가행정기관 개인정보파일 등록현황 93 표 2-3-5 지방자치단체 개인정보파일 일제 정비 결과 93 표 2-3-6 202년 국가행정기관 개인정보파일 등록 현황 94 표 2-3-7 실태점검 시 업종별 위반기관 수 및 위반비율 97 표 2-3-8 202년 공공기관 관리 수준 진단지표 97 표 2-3-9 202년 공공기관 관리 수준 진단절차 98 표 2-3-0 공공 I-PIN 적용현황(누계) 99 표 2-3- 주민등록번호 클린센터 운영 현황 0 표 2-3-2 202년 조치 지원 현황 02 표 2-3-3 개인정보의 열람, 정정, 삭제, 처리제한 요청 경험 여부 04 표 2-3-4 요청사유가 발생할 경우 정보주체 권리 행사 의향 04 표 2-3-5 개인정보침해신고센터 주요 업무( 개인정보 보호법 제62조 제3항) 05 표 2-3-6 개인정보침해신고센터 신고 상담 접수 현황 06 표 2-3-7 개인정보 침해신고 상담 접수 유형 06 표 2-3-8 개인정보 분쟁조정위원회 회의 실적 07 표 2-3-9 개인정보 분쟁조정위원회 조정결정 현황 08 표 2-3-20 20~202년 개인정보분쟁조정 접수 유형 분석 08 표 2-3-2 개인정보 분쟁조정위원회 조정결정 유형 09 제 4 장 l 인식제고 표 2-4- 공공기관 교육실시 현황 표 2-4-2 202년 PIMS 인증서 발급 현황 9 제 3 편 기관별 실적 및 계획 제 장 l 주요기관 표 3-- 202년 안전행정부 부내 추진실적 25 표 3--2 주민등록번호 수집 이용 최소화 종합대책 주요내용 26 표 3--3 202년 안전행정부 소관 분야 추진실적 29 표 3--4 202년 방송통신위원회 추진실적 33 표 3--5 202년 금융위원회 추진실적 37 표 3--6 202년 교육부 추진실적 40 표 3--7 202년 보건복지부 추진실적 42

표 목차 Personal Information Protection Annual Report 제 3 장 l 행정부 표 3-3- 202년 감사원 추진실적 54 표 3-3-2 202년 국무조정실 국무총리비서실 추진실적 55 표 3-3-3 202년 관리수준 진단 결과 55 표 3-3-4 202년 법제처 추진실적 57 표 3-3-5 202년 국가보훈처 추진실적 58 표 3-3-6 202년 식품의약품안전처 추진실적 60 표 3-3-7 202년 공정거래위원회 추진실적 62 표 3-3-8 202년 국민권익위원회 추진실적 63 표 3-3-9 202년 기획재정부 추진실적 65 표 3-3-0 202년 외교부 추진실적 66 표 3-3- 202년 통일부 추진실적 68 표 3-3-2 202년 법무부 추진실적 70 표 3-3-3 202년 국방부 추진실적 72 표 3-3-4 202년 문화체육관광부 추진실적 74 표 3-3-5 202년 농림축산식품부 추진실적 76 표 3-3-6 202년 산업통상자원부 추진실적 77 표 3-3-7 202년 고용노동부 추진실적 79 표 3-3-8 202년 환경부 추진실적 8 표 3-3-9 202년 국토교통부 추진실적 82 표 3-3-20 202년 여성가족부 추진실적 84 표 3-3-2 202년 국세청 추진실적 85 표 3-3-22 202년 관세청 추진실적 87 표 3-3-23 202년 조달청 추진실적 89 표 3-3-24 202년 통계청 추진실적 90 표 3-3-25 202년 대검찰청 추진실적 92 표 3-3-26 202년 병무청 추진실적 93 표 3-3-27 202년 방위사업청 추진실적 95 표 3-3-28 202년 경찰청 추진실적 97 표 3-3-29 202년 소방방재청 추진실적 99 표 3-3-30 202년 문화재청 추진실적 200 표 3-3-3 202년 농촌진흥청 추진실적 202 표 3-3-32 202년 산림청 추진실적 204 표 3-3-33 202년 중소기업청 추진실적 206

표 목차 Personal Information Protection Annual Report 표 3-3-34 202년 특허청 추진실적 207 표 3-3-35 202년 기상청 추진실적 209 표 3-3-36 202년 행정중심복합도시건설청 추진실적 2 표 3-3-37 202년 해양경찰청 추진실적 22 표 3-3-38 202년 국가인권위원회 추진실적 24 제 4 편 해외동향 제 장 l 국제기구 협의체 표 4-- 관련 국제기구의 주요 활동 및 기능 244 표 4--2 유럽평의회 'Convention 08' 관련 국가별 추진 현황 247 표 4--3 APEC Privacy Framework 248 표 4--4 APEC CBPRs 이행절차의 4단계 운영과정 249 표 4--5 CBPRs-BCR 비교 250 표 4--6 ICDPPC의 프로파일링 8원칙 252 표 4--7 제37차 APPA 포럼 주요내용 253 표 4--8 제37차 APPA 포럼 참여 국가 및 대표 253 표 4--9 제38차 APPA 포럼 주요내용 253 표 4--0 제38차 APPA 포럼 참여 국가 및 대표 254 표 4-- SNS의 이용경험 정도 254 표 4--2 SNS의 이용 목적 254 표 4--3 SNS 이용 시 관련 개인정보 항목별 공개 및 비공개 설정 방법 인지 여부 255 표 4--4 SNS 이용 시 개인정보 공개설정 변경경험 여부 255 표 4--5 SNS에서의 개인정보 공개 범위 255 표 4--6 SNS에서 제공하는 개인정보 취급 방침을 읽은 경험 여부 255 표 4--7 SNS에서 동의한 이용 목적 외 이용 시 서비스 중단 결정 여부 256 표 4--8 소셜 네트워크 서비스 사이트가 당신의 인터넷 방문 기록 추적 후 관심사에 맞는 온라인 광고 전달에 대한 의견(: 전혀 신경 쓰지 않음 ~ 5: 매우 불편함) 256 표 4--9 SNS 아이디를 해킹 및 도용당한 경험 여부 256 표 4--20 주변 사람의 SNS에서 당신의 정보 또는 사진을 볼 때 불편함 여부 256 표 4--2 GPEN Action Plan 257

표 목차 Personal Information Protection Annual Report 제 2 장 l 유럽 표 4-2- 유럽의 202년 주요동향 259 표 4-2-2 EU의 관련 규범체계 259 표 4-2-3 EU 패키지 개혁안의 구체적 내용 260 표 4-2-4 EU General Data Protection Regulation(안)에 대한 의회 개정사항 (203..) 26 표 4-2-5 데이터 수탁처리자의 준수사항 262 표 4-2-6 클라우드 컴퓨팅 서비스 사용에 대한 권고 사항 265 제 3 장 l 미주 표 4-3- 북미지역의 202년 주요동향 267 표 4-3-2 미국의 관련 법제현황 268 표 4-3-3 소비자 프라이버시 권리장전 7원칙 269 표 4-3-4 COPPA의 주요내용 27 표 4-3-5 COPPA 주요개정 내용 27 표 4-3-6 위치 프라이버시법 주요내용 272 표 4-3-7 캘리포니아 온라인 개인정보 보호법 에 제시된 준수사항 273 표 4-3-8 센스 메이킹 시스템에 적용한 Privacy by Design 원칙 274 표 4-3-9 프라이버시 관리체계 구축 지침의 주요내용 275 표 4-3-0 가이드라인의 주요내용 275 제 4 장 l 아시아 및 호주 표 4-4- 표 4-4-2 규정 주요내용 284 프라이버시 보호법 개정안(Privacy Amendment(Enhancing Privacy Protection) Bill 202) 주요내용 285 표 4-4-3 싱가폴, 개인정보 보호법 주요내용 286 표 4-4-4 필리핀, 프라이버시법(Data Privacy Act of 202) 주요내용 287

그림 목차 Personal Information Protection Annual Report 제 편 주요 현황 제 장 l 정책 현황 그림 -- 개인정보 보호법 제정 시행에 따른 법령체계 변화 3 그림 --2 기본계획의 주요내용 4 그림 --3 빅 데이터의 특징 및 구성요소 0 제 2 편 정책실적 및 성과 제 장 l 위원회 활동 그림 2-- 202년 위원회 워크숍 68 그림 2--2 박람회(PIS FAIR) 행사 전경 69 그림 2--3 APPA(38차) 및 ICDPPC(34차) 회의 모습 76 제 2 장 l 정책 및 제도 개선 그림 2-2- 주민등록번호 수집 이용 현황 및 문제점 84 그림 2-2-2 합동점검단 구성도 86 제 3 장 l 환경개선 및 수준제고 그림 2-3- 웹 사이트 개인정보 모니터링 절차 90 그림 2-3-2 개인정보 영향평가 수행 절차 9 그림 2-3-3 개인정보파일 열람 등 요구절차 95 그림 2-3-4 개인정보 관리실태 점검 개요 96 그림 2-3-5 공공 I-PIN 서비스 구성도 00 그림 2-3-6 종합지원포털 서비스 구성도 03 그림 2-3-7 개인정보 침해신고 민원처리 절차도 05 제 4 장 l 인식제고 그림 2-4- 202년 책임자(CPO)워크숍 2 그림 2-4-2 대국민 홍보자료 5 그림 2-4-3 택배서비스 관련 홍보자료 5 그림 2-4-4 대국민 홍보동영상 6 그림 2-4-5 범국민 운동본부 발대식 7 제 4 편 해외동향 제 4 장 l 아시아 및 호주 그림 4-4- 일본의 관련 법 체계 282 그림 4-4-2 My Number 제도 운영 프로세스 283

제 편 주요 현황 제 장 l 정책 현황 제 2 장 l 실태조사 제 3 장 l 주요기술 및 산업동향 제 4 장 l 주요 판례

203 연차보고서 3 제 장 정책 현황 2 정책실적 및 성과 주요 현황 202년은 개인정보 보호법 이 시행(20.9.30.) 되고 6개월의 계도기간을 거쳐 본격적으로 적용되기 시작한 해였다. 개인정보 보호법 시행으로 [그림 --]과 같이 994년부터 시행되어 오던 공공기관 의 에 관한 법률 은 폐지되었으며, 신용정보의 이용 및 보호에 관한 법률 (이하 신용 정보법)(995. 제정), 정보통신망 이용촉진 및 정보 보호 등에 관한 법률 (이하 정보통신망법)(200. 전 문개정) 등 분야별 개별법만 존재하던 것이 이제는 일반법인 개인정보 보호법 과 각 분야별 개별법 3 기관별 실적 및 계획 4 해외동향 그림 -- 개인정보 보호법 제정 시행에 따른 법령체계 변화 개인정보 보호법 시행 전 개인정보 보호법 시행 후 금융/신용 신용정보의 이용 및 보호 에 관한 법률 정보통신 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 금융/신용 신용정보의 이용 및 보호 에 관한 법률 분야별 개별법 정보통신 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 부 록 우리나라 법률 체계 교육 의료 초 중등 교육법 등 생명윤리 및 안전에관한법률 등 공공행정 교육 의료 공공기관의 개인정보 보호 에 관한 법률 초 중등 교육법 등 생명윤리 및 안전에 관한 법률 등 개인정보 보호법 (일반법) 개인정보 보호법 은 일반법으로 전체 포괄 분야별 개별법과 다를 경우 분야별 개별법 우선 적용

제장 정책 현황 4 체계로 새로운 질서가 이루어지게 되었다. 이와 같이 새로운 법이 시행됨으로써 관련법의 사각지대가 없어지는 등 법ㆍ제도적인 측면에서 개 선은 이루어졌지만, 법을 지켜야 하는 현장에서는 적 용해야 하는 법의 종류, 이에 따른 적용기준, 방법 및 절차 등 많은 부분에서 새로운 규율에 대응하기 위한 노력이 필요하게 되었다. 따라서 본 장은 202년 월 에 마련된 기본계획과 같은 해 4월에 마련된 시행계 획의 주요내용과 성과, 그리고 이의 추진을 위한 주요 정책 및 제도를 중심으로 서술하였으며, 국내ㆍ외 주 요정책 환경과 이슈도 함께 수록하였다. 보호위원회의 심의 의결을 거쳐 시행하도록 개인 정보 보호법 제0조 및 같은 법 시행령 제2조에서 규정하고 있다. 그림 --2 기본계획의 주요내용 목 표 보호체계 정립 비 전 개인의 존엄과 가치가 존중받는 선진 정보사회 목표별 과제 과 제 법 체계 정비 범정부 협의 체계 구축 국제 협력 강화 제 절 정책추진 현황 보호역량 강화 침해 예방 및 대응 강화 사회적 인식제고 인력보강 및 전문성 강화 전문인력 양성 및 수급체계 구축 연구기반 구축지원 개인정보 처리실태점검 침해 예방 대책 수립 정보주체 권리보장 강화 자율규제 활성화 홍보 강화. 기본계획과 시행계획의 수립 시행 개인정보 보호법 시행 이후 가장 먼저 이행한 법적 의무사항은 기본계획 및 시행계획 의 작성과 심의ㆍ의결을 통한 계획의 확정이었다. 기본계획 은 개인정보 보호법 제9조 및 같은 법 시행령 제조에서 개인정보의 보호와 정보주체 의 권익 보장을 위하여 3년마다 안전행정부 장관이 중앙행정기관의 장과 협의 하에 작성하여 개인정보 보호위원회의 심의 의결을 거쳐 시행하도록 규정 하고 있으며, 국회 법원 헌법재판소 중앙선거 관리위원회는 를 위한 기본계획 을 자 체적으로 수립 시행할 수 있도록 하고 있다. 시행계획 은 심의ㆍ의결이 완료된 기본계획을 기 초로 중앙행정기관의 장이 매년 작성하여 개인정보 가. 기본계획 수립 관련 법령에 따라 안전행정부 장관은 개인정보보 호의 비전 및 추진전략 등을 담은 기본계획(안) 을 202년 월 4일 위원회에 제출하여 202년 월 30일 의결을 거쳐 확정하였다. 기본계획 에는 국가의 비전과 목표 를 설정하고, 이의 달성을 위해 필요한 실천과제 등 이 담겨 있다. 기본계획 은 [그림 --2]에서 보는 바와 같이 202 년부터 3년간 추진할 정책의 비전을 개인의 존엄과 가치가 존중받는 선진 정보사회 구현 으로 설정하고, 이의 이행을 위한 4대 추진 목표를

203 연차보고서 5 보호체계 정립, 2보호역량 강화, 3침해 예방 및 대 응 강화, 4사회적 인식제고로 정하였다. 또한 각 추 진 목표별로 2~3개의 과제를 선정, 총 개의 세부 실 천과제를 202년부터 204년까지 관계 부처 등과 협 업을 통해 이행하도록 계획하였다. 205년부터 추진할 기본계획은 203년에 작성하 여 203년 2월까지 위원회에서 심 의ㆍ의결할 계획이다. 나. 시행계획 수립 보보호 시스템 운영 분야에는 개인정보 처리실태, 개 인정보파일 보유실태, 개인정보 처리 민원서식 등 실 태조사와 관련된 과제, 개인정보 유ㆍ노출 모니터링 강화, 인터넷 망 분리, 개인정보 영향평가, 주민등록 번호 대체수단 도입 등 침해예방과 관련된 과제, 정보 주체의 자기정보 열람권 보장 등 정보주체 권리보장 을 위한 과제 등이 포함되어 있다. 마지막으로 개인 정보보호 교육ㆍ홍보 분야에는 인력 확충 및 전문성 강화, 자율규제 및 홍보 등과 관련된 실천과제가 계획 에 포함되어 있다. 주요 현황 2 정책실적 및 성과 중앙행정기관에서 작성한 202년~203년 시행계 획 은 202년 4월에 위원회에서 심 의ㆍ의결하였으며, 시행계획 은 202년과 203년에 추진할 정책 및 제도 개선, 개인정보보 호 시스템 운영, 교육ㆍ홍보 등 3개 분 야의 세부실천 과제를 포함하고 있다. ) 정책 및 제도 개선 분야에는 개인정 보 최소 수집 원칙 등 법에 부합하도록 소관 분야 관 련 법령 정비와 지침 제정, 유관기관 간의 추진체계 구축 등과 관련된 실천과제가 포함되어 있다. 개인정 2. 시행계획의 추진현황 위원회는 202년 9월과 203년 2월 총 2회에 걸쳐 기본계획 과 시행계획 의 추진현황을 점검하였다. 202년 9월에 실시한 중간 점검 결과는 [표 --]에서 보는 바와 같이 전체 평균 722개 과제 중 에서 82.4%인 595개를 완료한 것으로 나타났다. 중간 점검결과의 상세내용을 보면, 개인정보 기반 구축을 위한 법령 및 제도개선, 개인정보 처리 실태점 3 기관별 실적 및 계획 4 해외동향 표 -- 시행계획 추진현황(202.9.) (단위 : 과제 수) 정책 및 제도개선 시스템 운영 교육 홍보 점검결과(기관 별) 구 분 완료율 총과제 완료 추진중 총 계 722 595 27 82.4% 법령 등 개선 04 9 3 87.5% 추진체계 정비 95 67 28 70.5% 개인정보처리실태점검 84 53 3 83.2% 침해예방 대책수립 24 05 9 84.7% 정보주체 권리보장 5 37 4 72.5% 전문성강화 자율규제 홍보 64 42 22 86.6% 부 록 주 : ) 개인정보 보호법 시행령 부칙 제3조에 의해 202년 및 203년에 시행할 시행계획을 202년 4월 30일까지 심의 의결

제장 정책 현황 6 검 등의 과제는 대부분 차질 없이 진행 중이었으며, 추 진체계 정비 및 정보주체 권리보장은 상대적으로 낮 은 이행률을 보이고 있었지만, 전반적으로 개인정보 보호 업무를 성실하게 수행하고 있음을 알 수 있었다. 분야별 주요성과를 살펴보면, 정책 및 제도 개선 을 위해서 사회보장기본법 개정 시에 규정을 신설하는 등 관련 법률을 개정 하였으며, 고유식별정보 및 민감정보 등에 대한 수집 근거 마련을 위해 20개의 시행령을 일괄 정비하였다. 개인정보 침해 사고에 대한 종합적 대응을 위해 범 정부 조직인 합동점검단 을 구성하여 운영하고 있으며, 노동 교육 의료 금융 등 주요 분야 관계부처는 사업자 단체 전문기관 현장 전 문가 등이 참여하는 분야별 T/F 를 구 성, 분야별 가이드라인을 마련하여 현장에서 활용하 도록 하였다. 이외에 개별 부처에서는 본부 소속기 관 산하기관 등과 내부 협력체계를 구축하여 개인 정보보호를 위한 활동을 하기도 하였다. 시스템 운영 분야에서는 기관별로 개인정보파일 및 개인정보 이용ㆍ제공과 관련된 처 리 실태를 점검하였으며, 침해예방을 위해 국민신문 고 등 민원시스템에 I-PIN과 같은 주민등록번호 대체 수단 보급, 고유식별정보 DB에 대한 암호화 등 안전 성 조치 강화, 성범죄자 알림e 등 주요 시스템에 대한 개인정보 영향평가를 추진하였다. 교육 및 홍보 분 야에서는 권역별 순회 교육과 노동ㆍ교육ㆍ의료 등 분야별 민간사업자 대상 교육을 실시하고, 자율규제 촉진 및 실천문화 확산을 위해 지역 소상공인 현장방 문 지원단 등을 구성하여 229개 시ㆍ군ㆍ구 2,965개 사업자 및 335개 사업자 협회ㆍ단체를 방문하여 교 육 및 홍보를 실시하였다. 개선 보완 사항으로는 법령 개정 시 대부분 주민등 록번호 수집근거 마련과 개인정보 수집서식 개선에 중점을 두었기 때문에 개인정보 수집ㆍ이용 최소화 를 위한 노력이 부족했다는 점, 추진 체계 확립을 위해 개별 부처에서도 본부 소속기 관 산하기관 등과 내부 협력체계는 구축하였으나, 대부분 운영 실적이 없거나 ~2회에 그치는 등 실질 적 운영에 미흡한 부분 등이 있었다. 또한 일부 부처 에서는 예산 확보의 어려움으로 인해 개인정보 영향 평가, 암호화 조치, 개인정보 관제센터 구축 등을 추 진하지 못하였으며, 정보주체 권리보장을 위한 노력 도 다소 부족하게 나타났다. 이후 203년 2월의 점검은 중앙행정기관에서 제출 한 204년 시행계획 을 심의하는 과정에서 실시되었 으며, 그 결과 202년 계획들은 대부분 완료한 것으로 나타났지만, 예산과 인력 등의 문제로 몇몇 정책은 추 진시기를 조정하는 등 계획을 변경한 경우도 있었다. 3. 주민등록번호 수집 이용 최소화 종합대책 수립 안전행정부, 방송통신위원회, 금융위원회는 국민 의 개인정보인 주민등록번호를 보호하기 위해 부처 합동으로 주민등록번호의 신규 수집ㆍ이용의 제한 및 주민등록번호 DB의 안전한 관리 등을 내용으로 하는 주민등록번호 수집ㆍ이용 최소화 종합대책 2) 을 마련하였으며, 202년 4월 9일 위원회 의 의결을 거쳐 추진하고 있다. 이 종합대책에 따르면, 원칙적으로 온라인에서의 주민등록번호 수집이 금지되며, 정부 민원서류, 부동 주 : 2) 자세한 내용은 제2편 정책실적 및 성과 에서 참고할 수 있음

203 연차보고서 7 표 --2 주민등록번호 수집 이용 최소화 종합대책 단계별 세부 과제 주민등록번호 수집ㆍ이용 단계 ❶ (수집ㆍ이용단계) 주민등록번호 수집 이용의 법정주의 실현 ❷ (관리단계) 주민등록번호 DB의 안전한 관리 ❸ (침해대응단계) 2차 피해 방지 및 대응체계 마련 ❹ (교육 홍보) 이용자 및 개인정보처리자 인식제고 산 금융 거래 등에도 법령에 근거가 없을 경우 주민 등록번호 대신 생년월일 등만 기입하도록 하였다. 또 한 주민등록번호 수집 이용을 허용하고 있는 40개 법령의 타당성 재검토, 주민등록번호 대체수단(공인 인증서, 신용카드, I-PIN 등) 사용 의무화, 주민등록번 호 활용 내역 통지 등의 내용도 대책에 포함하여 추진 하도록 하였으며, 세부과제는 [표 --2]와 같다. 4. 정보통신망법 개정안 시행 20년 2월 국회에서 통과된 정보통신망법 개정 안은 202년 2월 공포되어, 그 해 8월부터 시행되었 다. 이 개정안의 주요내용은 다음과 같다. 첫째, 인터넷에서 주민등록번호 수집 및 이용을 원 칙적으로 금지하되, 본인확인기관으로 지정받거나, 법령에서 주민등록번호 수집 및 이용을 허용하는 경 우, 영업 목적상 주민등록번호 이용이 불가피하여 방 송통신위원회가 고시하는 경우는 예외적으로 허용 세부 과제. 주민등록번호 수집ㆍ이용 관련 법령 일제정비 2. 주민등록번호 수집 여부 확인제도 운영 3. 주민등록번호 수집 관련 민원신청서, 수집동의 서식 일괄정비 4. 다양한 주민등록번호 대체수단 도입 5. 주민등록번호 미수집 전환지원 6. 관리자 PC(주민등록번호 DB)와 인터넷망 분리 7. 웹 사이트 자료게시 전 주민등록번호 사전차단 8. 주민등록번호 처리 재위탁 제한 9. 주민등록번호 이용내역 통지제 도입 운영 0. 정부합동 상시모니터링 실시. 해외포털 및 웹 사이트를 통한 주민등록번호 유출 차단 2. 주민등록번호 대책 부처 협의체 구축ㆍ운영 3. 범정부 비상대응팀(PERT) 구축ㆍ운영 4. 주민등록번호 유출ㆍ불법 처리 사업자 처벌규정 강화 5. 이용자 및 개인정보처리자 교육ㆍ홍보 강화 하고 있다. 이를 위해 방송통신위원회와 한국인터넷 진흥원은 주민등록번호 미수집 전환 지원센터를 구 축ㆍ운영하여 중소ㆍ영세 기업 등을 대상으로 준비 사항 안내 등의 제도적 지원과 더불어 컨설팅과 대체 수단 보급 등의 기술적 서비스를 제공하였다. 둘째, 개인정보 유출 사고에 대한 이용자 통지 및 신고제도의 도입이다. 개인정보 유출 통지 및 신고제 도는 개인정보 분실ㆍ도난ㆍ유출 등의 사고가 발생 하면 이용자에게 해당 사실을 지체 없이 통지하고, 주 무부처인 방송통신위원회에 신고하도록 되어 있다. 셋째, 개인정보 유효기간제도이다. 이 제도는 장기 간 서비스를 이용하지 않는 이용자의 개인정보에 대 해 파기 등의 조치를 취함으로써, 사업자의 불필요한 개인정보 보관을 최소화하고 이로 인한 개인정보 유 출 및 오ㆍ남용을 방지하는 것을 목적으로 한다. 파기 등의 필요한 조치를 취하기 위한 개인정보 유효기간 과 필요한 조치 등의 구체적인 사항은 정보통신망법 시행령 제6조(개인정보의 파기 등)에 명시하였다. 넷째, 개인정보 이용내역 통지제도이다. 이 제도는 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

제장 정책 현황 8 정보통신서비스 제공자 등으로 하여금 주기적으로 개인정보 이용내역을 통지하게 하는 것이다. 정보주 체가 본인의 정보에 대해 열람 요청을 하는 것과는 별 개로 정보통신서비스 제공자가 보다 더 능동적으로 이용자의 알권리를 보장하고 정보주체의 개인정보 에 대한 통제권을 강화하기 위한 취지로 신규 도입되 었으며, 구체적인 사항은 정보통신망법 시행령 제7 조(개인정보 이용내역의 통지)에 명시하였다. 그 밖에 관리체계 인증(PIMS)제도 3) 에 대한 법적 근거 마련, 정보통신망법의 적용 대상 확대(방송사업자까지 포함) 등의 조항도 포함하고 있으며, 이와 관련하여 시행령 개정, 사업자 교육 및 홍보를 추진하였다. 제 2 절 국내ㆍ외 주요 이슈. 구글(Google)의 개인정보 취급방침 통합에 따른 국내 외 대응 202년 한 해 가장 화제가 되었던 이슈는 구글의 개인정보 취급방침 통합 이라 할 수 있다. 구글은 202년 월 24일(현지시간)에 자사가 제공하는 서비 스에 흩어져 관리되고 있는 각종 개인정보를 통합하 여 활용할 것이며, 새로운 프라이버시 정책과 서비스 약관은 3월일부터 적용할 예정이라고 밝혔다. 이로 인해 당시 60여 개이던 개인정보 취급방침이 20개 미 만으로 대폭 축소되고, 60개에 달하는 구글의 서비스 에서 수집되는 개인정보를 통합ㆍ관리할 수 있게 되 었으며, 사용자별로 맞춤형 서비스 제공이 가능하게 되었다. 이에 따라 사용자의 개인정보 자기결정권이 약화될 소지가 있어 해외 각국에서 많은 논란이 있었 으며, 국내에서도 위원회와 방송통신 위원회에서 활발한 논의가 이루어졌다. 먼저, 위원회는 202년 2월 구글 개 인정보 취급방침 통합 검토 소위원회를 구성하여 4 개월 동안 검토하였다. 이 검토 결과에 대한 심의를 6 월 일 전체회의를 열어 진행하였으며, 구글의 현행 개인정보 처리방침이 개인정보의 목적과 최소 수집, 이용자의 동의 절차, 개인정보의 파기 에 있어 국내 관련법령 위반 소지가 있다고 밝히고, 이로 인해 필요 이상의 개인정보를 수집 이용하고 이용자의 선택 권을 제한할 우려가 있다고 지적하였다. 주요 지적 내용은 구글은 개인정보 처리 목적을 애매하고 포 괄적으로 기재하고 있으며 그에 따라 과도하게 개인 정보를 수집 이용하고 있다는 점, 2통합 방침을 통 해 개인정보 처리에 대해 포괄적이고 일괄적인 동의 를 구함으로써 개인정보에 대한 사용자의 선택권을 침해할 소지가 있는 점, 3사용자의 요청이 있을 경우 지체 없이 해당 개인정보를 삭제할 것을 방침에 명시 하지 않고 있다는 점 등이다. 방송통신위원회에서도 구글이 개인정보 취급방 침을 변경할 경우, 개인정보의 이용 목적이 포괄적이 고, 명시적 동의 절차가 미비하며, 정보통신망법 상 필수 명시사항이 누락되는 등의 문제가 있다고 판단 하였다. 이에 따라 방송통신위원회는 정보통신망법 에 있는 개인정보의 보유 이용 기간, 파기절차 방 법, 개인정보 취급 위탁자의 업무내용 위탁자에 관 주 : 3) 기업이 활동을 체계적 지속적으로 수행하기 위해 필요한 보호조치와 체계구축 여부를 점검하여 일정 수준 이상의 기업에 인증을 부여 하는 제도로서, 기업이 를 위해 무엇을(what to do), 어떻게(how to do) 조치하여야 하는지에 대한 기준을 제시하고 있다.

203 연차보고서 9 한 정보 등이 누락됐다는 문제점을 지적하면서 2월 28일 구글에 대하여 개선을 권고하였다. 이후 구글은 수집항목 등 누락된 사항을 구체적으로 적시하는 등 권고사항을 반영하여 4월 5일 방송통신위원회에 개 정안을 제출하였다. 한편, 해외에서 먼저 유럽연합의 프라이버시 자문 기관인 제29조 작업반(WP29 : Article 29 Working Party)이 통합 방침의 시행을 연기하도록 요청하였고, 미국의 전미 검찰총장 협회는 우려를 표명하는 서한 을 구글로 발송하였으며, 미 하원은 사생활 침해에 대한 우려 표명 및 질의서를 보내기도 하였다. 일본 의 총무성 및 경제산업성은 법령 준수 및 이용자에 대 한 고지 누락 등에 대해 개선을 권고하였으며, 이외 에도 캐나다 프라이버시위원회(Office of the Privacy Commissioner)와 홍콩 위원회(PCPD : Office of the Privacy Commissioner for Personal Data) 는 질의서를 송부하였고, 호주 위원회 (OAIC : Office of the Australian Information Commissioner)도 조사 착수를 발표하는 등 세계 각국에서 우려 를 표명하였다. 2. 과도한 개인정보 수집에 대한 각국의 대응 구글과 페이스북(Facebook)의 과도한 개인정보 수집과 관련하여 국내에서는 큰 움직임이 없었지만, 해외에서는 많은 화제를 불러 일으켰으며, 각 국에서 대응 전략을 내놓았다. 영국의 정보위원회(ICO : Information Commissioner's Office)는 2년 전 구글이 스트리트뷰를 촬영 할 때 암호화 하지 않고 저장한 개인 정보의 삭제 명령을 이행하지 않은 문제를 제기하였다. 스트리트뷰에 개 인정보가 삭제되지 않고 남아있는 국가는 영국 프 랑스 벨기에 등 0개국이며, 이 중 영국 프랑스 호주 노르웨이는 각기 대응방안을 마련 시행하였 다. 영국의 ICO는 스트리트뷰에 남아있는 개인정보 의 제출을 명령하는 등 조사에 착수하였으며, 조사 후 에는 해당 정보의 폐기 방법 및 절차를 전달하였다. 프랑스의 정보와 자유에 관한 국가위원회(CNIL : Commission Nationale de I'nformatique et des Libertés) 도 스트리트뷰에 남아 있는 데이터 제출을 명령하였 다. 호주의 위원회는 스트리트뷰 데이 터를 즉시 삭제하고, 제3기관으로부터 삭제 여부를 확인받아 위원회에 제출할 것과, 다른 디스크에 대한 감사를 실시하여 데이터의 잔존 여부를 확인할 것을 명령하였다. 노르웨이의 감독기구는 불법적으로 개인정보를 취합하고 삭제명령을 어긴 것에 대해 42,260 USD의 벌금을 부과하고, 202년 0 월 일까지 잔존 데이터를 삭제하도록 명령하였다. 독일의 함부르크 데이터 보호 감독기관은 202년 8월 5일부터 페이스북의 얼굴 인식 기능(Photo Tag Suggest)에 대한 조사를 하였다. 이 얼굴 인식 기능은 이용자가 페이스북에 올리는 사진을 얼굴 인식 소프 트웨어를 이용 분석하여 사진 속 얼굴과 이용자의 정보를 자동적으로 연계시키는 기능이다. 함부르크 데이터 보호 감독기관은 페이스북이 얼굴 인식 기능 을 이용자들에게 통보하지 않고 사전 동의 없이 도입 했으며, 이는 유럽연합의 법을 위반한 것이라고 밝혔 다. 이와는 별도로 203년 3월 유럽연합의 프라이버 시 자문기관인 제29조 작업반은 사용자의 명백한 동 의 없이 생체 데이터를 수집하는 것은 불법이며 유럽 연합 법을 위반하는 것이라는 성명을 밝힌 바 있다. 이에 독일 함부르크 데이터 보호 감독 기관은 페이스북에 독일에서 수집된 얼굴인식 데이 터를 삭제하고, 얼굴에 대한 생체 데이터를 수집할 때 에는 반드시 사용자의 동의를 받도록 웹 사이트를 수 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 4 해외동향 부 록

제장 정책 현황 0 정할 것을 명령하였다. 미국의 연방거래위원회(FTC)는 페이스북이 개인 정보를 공개하지 않기로 하였으나, 지속적으로 개인 정보를 외부에 공개하고 있다고 판단하여 혐의를 제 시하였고, 이에 20년 월 미국과 페이스북은 프라 이버시 합의서를 작성함으로써, 앞으로 준수할 사항 들을 명시하는 대신 혐의는 무죄로 인정받기로 하였 다. FTC는 이 합의 내용에 대한 여론과정을 거쳐 202 년 8월 0일 프라이버시 합의서의 최종안을 승인하 였다. 이에 따라 페이스북은 사용자 정보 공유 시 명 확하게 그 내용을 공지하여야 하고, 외부 콘텐츠 유통 시에도 사용자의 명시적 동의를 받아야 하며, 개인정 보보호 프로그램을 마련하고 유지해야 한다. 페이스 북은 향후 20년간 격년 주기로 정부에 프라이버시 감 사 서류를 제출해야 하며, 합의서의 내용을 위반할 시에는 건별로 일,000 USD까지 배상해야 한다. 아일랜드 데이터보호위원회(Data Protection Commissioner)는 페이스북의 법령 위반 여부에 대해 2회 에 걸쳐 감사를 실시하였다. 20년 0월부터 2월까 지 실시된 차 감사에서는 페이스북의 기능이 원칙적 으로는 아일랜드 데이터 보호법 (988)에 부합한 다고 결론지었으나, 많은 페이스북 기능들에 대해 권 고에 따를 것을 촉구하였다. 202년 9월에 실시된 2차 감사에서는 대부분의 권고 사항들이 제대로 시행되 고 있음을 확인하였고, 프라이버시와 데이터 사용 정 책, 광고 데이터 보유, 쿠키 및 소셜 플러그인, 제3자 제공형 앱(App : Application), 안면인식ㆍ태그 제안 기능, 계정 삭제 등과 관련하여 방향을 제시하였다. 3. 빅 데이터 구글 사건과 함께 주목받은 개념이 빅 데이터(Big Data) 이다. 이 개념은 기존의 관리ㆍ분석 체계로는 감당하기 어려운 거대한 정형 및 비정형 데이터를 효 과적으로 저장ㆍ관리하고, 새로운 가치 창출을 위해 분석하여 결과를 추출ㆍ서비스 하는 기술을 말한다. 이 빅 데이터의 특징은 [그림 --3]에서 보는 바와 같 이 3V, 즉 규모의 방대성(Volume), 종류의 다양성 (Variety), 처리 및 분석의 속도(Velocity) 등이다. 이 빅 데이터 기술의 적용절차는 3단계로 나누며, 데이터 처리 및 수집 단계, 2 데이터 분석 및 예측, 그림 --3 빅 데이터의 특징 및 구성요소 방대성(Volume) 다양성(Variety) 속도(Velocity) MB, GB 단위 규모 정형 데이터 비정형 데이터 유통활용주기 수시간~수주 TB, PB, EB 단위 고객 신상 데이터 매출 데이터 재고 데이터 회계 데이터 등 동영상 소셜미디어 음악 위치정보 메시지 게시물 분, 초 단위 유통 활용 출처 : 빅 데이터(Big Data) 분석기술과 활용 과제의 영향평가 결과(미래창조과학부, 203)

203 연차보고서 3 결과의 활용 및 서비스로 나눌 수 있다. 첫 번째 단 계인 데이터의 처리 및 수집 단계는 분산된 데이터의 통합수집(빅 데이터의 생성) 및 체계적인 결합을 통 한 데이터베이스 구축 단계라 할 수 있다. 두 번째 단 계인 분석 및 예측 단계는 저장되어 있는 빅 데이터로 부터 가치 있는 정보를 얻어내기 위한 분석과 미래 모 습을 예측하여 결과를 도출하는 단계이다. 마지막 단 계는 분석 및 예측의 결과를 활용하거나 제공하며 국 가ㆍ기업ㆍ개인에게 최적의 의사결정을 하는데 활 용하는 등 이익이 되는 행동에 적용하는 단계이다. 주요 글로벌 기업들은 빅 데이터 시장의 중요성을 인식하고 빅 데이터를 이용하여 고객들의 소비성향, 생활특성 등에 대한 패턴을 읽고 그들의 욕구에 선제 적으로 대응함으로써 자사의 이익을 극대화하기 위 하여 발 빠르게 움직이고 있다. 국내 기업들도 위성 위치 확인 시스템(GPS : Global Positioning System) 장치를 통해 전국 도로의 교통 정보 를 5분 단위로 수집한 후 이용자들에게 제공하고 있고, 모바일 사용자들의 성별 나이 위치 단말기 사용 액 이동 통신사 등의 기본정보를 조합하여 사용자 프 로파일과 행동 유형을 분류하여 광고를 제공하는 빅 데이터 기반 광고 플랫폼을 개발하기도 하였다. 빅 데이터 환경 속에서 발생할 수 있는 또 하나의 커다란 과제는 가 될 수 있는데, 앞에서 살펴본 빅 데이터 3단계 중 분석 및 예측단계 에서 입 력 데이터가 세분화될수록 가치가 높은 결과를 얻을 수 있는 특징이 있어, 분석 및 예측 관계자는 이에 유 혹될 소지가 높다. 좀 더 구체적으로는 [표 --3]의 사람 생산 데이터 또는 관계 데이터 등과 같은 데이 터들을 개인 식별이 가능한 수준으로 분석하여 활용 한다면 개인의 프라이버시 침해 또는 정보주체의 개 인정보 자기결정권 침해 등과 같은 문제의 소지가 있 다. 다시 말하면, 수집 단계 에서는 개인 식별성을 갖 추지 않은 데이터도 분석 및 예측단계 에서 특정 개인 에 대한 식별성을 가질 가능성이 매우 높으며, 데이터 수집이 특정 개인정보의 수집ㆍ이용에 대한 동의를 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 --3 빅 데이터 자원의 분류 4 해외동향 컴퓨터 생산 데이터 사람 생산 데이터 관계 데이터 생성주체 공공데이터(교통, 세금, 주가, 보건의료, 교육 등) 어플리케이션 서버 로그(웹 사이트, 게임 등) 센서 데이터(날씨, 물, 스마트 그리드 등) 이미지,비디오(트래픽, CCTV 등) 트위터, 블로그, 이메일, 사진, 게시판 글 등 페이스북, 싸이월드, 링크드인 등 유형 DB에 저장된 구조적 데이터 정형 반정형 비정형 웹문서, 메타 데이터 4), 센서 데이터, 공정 콘트롤 데이터 5), 콜 상세 데이터 등 소셜데이터, 문서, 오디오, 비디오, 동영상, 이미지 등 부 록 3V 데이터 기업 데이터 이산 데이터 저장방식 관계형 DB에 저장하기 어려운 3V 특성을 갖는 데이터 고객관리관계(CRM), 기업자원관리(ERP), 데이터 웨어하우스(DW) 등과 같이 주로 관계형 데이터베이스에 저장된 데이터 스프레드시트, 파일DB, 이메일, JSON/XML 6) 데이터 등 개별적으로 관리되는 데이터 출처 : 빅 데이터(Big Data) 분석기술과 활용 과제의 영향평가 결과(미래창조과학부, 203) 주 : 4) 데이터를 설명하는 데이터(data for data)를 말함 5) 공장의 자동화에서 생산 공정 등을 제어하는 데이터 6) JSON(JavaScript Object Notation)/XML(Extensible Mark-up Language), 인터넷 관련 프로그램 언어의 일종

제장 정책 현황 2 받을 수 없는 상황에서 이루어질 가능성이 높다. 이러한 빅 데이터 환경에서 데이터 이용을 극대화 하고 개인정보도 보호할 수 있는 방안을 마련하는것 이 중요한 과제이다. 4. 유럽연합(EU)의 법제 개혁 유럽연합(EU : European Union)은 204년부터 개 인정보 보호지침(Directive)을 규정(Regulation)으로 변경하여 를 강화하려는 개혁을 추진 하고 있다. 202년 월에 발표한 EU 집행위원회의 개혁안 을 기초로 하여 유럽의회에 서 203년 월에 개혁안을 발표하였다. 주요내용은 [ 표 --4]에서 보는 바와 같다. 이 개혁안에 대하여 유럽연합 내의 일부 국가에서 이견을 보이고 있지만, 유럽연합의 의지가 강하여 204년부터 도입될 것으로 예상된다. 또한 유럽연합 은 금번 개혁안을 규제의 국제표준으로 발전시키기 위하여 노력하고 있다. 특히, 최근 미국 국 가안보국(NSA : National Security Agency) 프리즘 사건 이후, 유럽연합 규제의 역외적용 규정을 강력히 요구 할 것으로 예상된다. 그 이유는 최근에 구글, 페이스북 등 다국적 기업에서 유럽시민의 개인정보 수집ㆍ이 용에 대한 문제점을 몇 차례 지적한 바 있는 상황에서 프리즘 이 또 다른 이슈가 되었기 때문이다. 한편, 유럽연합 시민의 개인정보를 처리하는 개인정 보처리자는 개인정보처리책임자(CPO) 임명, 영향평가 의 실시 등 의무사항을 이행해야 하며, 유럽에 진출해 있는 우리 기업에도 영향이 다소 있을 것이 예상되므로 개정안의 내용분석 및 동향 파악을 통해 적합성 평가를 실시하는 등 사전 대비가 필요할 것으로 보인다. 표 --4 유럽연합의 법제 개혁안의 주요내용 주요규정 One-stop-shop 감독 수준 강화 이용자 권리 강화 기업에 포괄적 의무부과 유럽 외 국가로의 정보이전 감시강화 EU규제의 역외적용 법위반행위 제재 강화 내 용 유럽연합 27개 회원국에 각각 독립규제기관을 설치하고, EU 내 여러 국가에 사무소가 있을 경우는 주된 사무소가 소재한 국가의 규제기관이 해당 기업에 대한 감독권을 행사 개인정보의 수집 처리 시에 사전 동의 획득 의무 강화 잊혀질 권리(Right to be forgotten) 보장 개인정보의 이동성(data portability)의 보장 등 민감정보, 위치정보, 나이 등 신상정보와 개인에게 불리한 영향을 끼칠 정보처리는 어떠한 경우에도 반드시 사전 동의를 구하도록 의무화 등 종업원 250인 이상을 고용한 기업에 대하여 ()정보보호관(Data Protection Officer)을 두어야 하며, (2)모든 정보처리에 기록유지, (3)정보보호 영향평가 실시, (4)데이터 유출이나 정보보호의무 위반시 24시간 내 감독당국에 통지 등 의무사항을 규정 현행 적합성(Adequacy) 정책, 에 관한 기업규칙(Binding Corporate Rules) 정책은 유지하지만, 모든 표준계약조항 7) (Safe Harbor Framework도 포함)들은 법 시행 2년 후 효력 종료 EU에 재화나 용역을 공급하거나 유럽 시민의 행태를 모니터링 하는 경우는 EU지역 밖에서 개인정보를 처리하는 경우에도 EU규제를 적용하도록 하고 있음 동의 없이 민감정보를 처리하는 행위와 같은 주요 위반행위에 대하여 당해 기업의 전세계 연 매출액의 2%까지 과징금을 부과하도록 하고 있음 주 : 7) EU와 이외 국가가 개인정보 규율이 상이할 경우 국가 간 자유로운 정보이전이 가능하도록 한 별도의 협약(예:Safe Harbor Framework, 미국과 EU간)

203 연차보고서 3 제 2 장 실태조사 2 정책실적 및 성과 주요 현황 개인정보 보호법 이 20년 9월 30일부터 시행 되었지만, 6개월간의 계도기간을 거쳐 202년 3월 29일부터 본격적으로 법이 적용되었다. 즉, 202년이 개인정보 보호법 시행의 실질적인 첫해이므로 현장에서는 개인정보의 제공자인 정 보주체 와 개인정보를 수집하고 처리하여 업무에 활 용하는 개인정보처리자 모두에게 법 제도적인 여 건에 많은 변화가 있었다. 따라서 본 장에서는 개인정보 제공자인 정보주체 와 수집 이용자인 개인정보처리자 를 중심으로 202년 한 해 동안의 실태조사 결과를 분석 수록하 였다. 이 장의 내용은 위원회에서 조사 한 개인정보 보호법 시행이후 변화 분석 및 개 선방안 연구 8) 의 결과와 정보통신망법을 기준으로 한국인터넷진흥원에서 조사한 202년 개인 인터넷 이용자 정보보호 실태조사 9) 및 202년 민간기업 정 보보호 실태조사 0) 결과를 토대로 하였다. 제 절 정보주체. 에 대한 인식 가. 에 대한 중요성 인식 한국인터넷진흥원 조사에 따르면, 일반국민의 3 기관별 실적 및 계획 4 해외동향 부 록 주 : 8) 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구: 위원회에서는 20세 이상의 개인정보제공자 62명(조사기간 : 202. 9월 초 ~ 0월 말, 2달간) 및 개인정보 처리자 555명(조사기간 : 202년 9월 초 ~ 0월 초, 개월간)을 대상으로 이메일, FAX, 전화 설문을 병행하여 조사하였다. 9) 202년 개인 인터넷 이용자 정보보호 실태조사 : 한국인터넷진흥원에서는 만 2세 ~ 59세 인터넷이용자 2,500명을 대상으로(조사기간 : 202. 8..~9.30. 2개월간) 가구 방문 면접조사를 실시하였다. 0) 202년 민간기업 정보보호 실태조사 : 한국인터넷진흥원에서는 종사자수 5인 이상의 네트워크구축사업체 5,000개를 대상으로(조사기간 : 202.7.. ~ 9.30. 3개월간) 방문 면접조사를 실시하였다.

제2장 실태조사 4 99.2%가 가 중요하다고 답하였지만, 개 인정보보호위원회 조사에서는 20년 9월 30일 부터 개인정보 보호법 이 시행되고 있다는 사실을 [표 -2-]에서 보는 바와 같이 60.03%만이 알고 있다고 응답하였다. 또한, 개인정보 보호법 시행 이후 정보주체의 개인정보 중요성에 대한 인식이 높아졌다(비교적 증 가 + 매우 증가)는 응답이 [표 -2-2]에서 보는 바와 같 이 50.49%로 나타났으나, 단일 답변으로는 변화가 없 는 것 같다 는 응답도 44.50%로 나타나고 있어 제도 시행에 따른 직접적인 효과가 나타나기까지는 정책 적 노력과 시간이 더 필요할 것으로 보인다. 개인정 보 보호법 이 정보주체가 아닌 개인정보처리자를 규율하는 법이므로 정보주체의 인식변화에는 다소 시간이 필요할 것으로 보인다. 나. 개인정보 유출에 따른 피해의 심각성 정도와 이유에 대한 인식 개인정보의 중요성에 대한 인식의 변화와 함께 개 인정보 유출 시 우려되는 사회 전반에 걸친 피해의 심 각성 정도에 대해서도 [표 -2-3]에서 보는 바와 같이 일반 국민의 79.44%가 그 심각성이 크다(매우 크다 + 비교적 크다)고 생각하는 것으로 조사되었다. 개인정보의 중요성에 대한 인식이 높아졌다고 응 답한 정보주체를 대상으로 그 이유를 물어본 설문에 표 -2- 개인정보 보호법 시행여부 (단위 : %) 구분 알고 있다 모르고 있다 전체 60.03 39.97 성별 남자 59.70 40.30 여자 60.42 39.58 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-2 개인정보 보호법 시행 이후 개인정보 중요성에 대한 인식변화 (단위 : %) 성별 구분 매우 감소 비교적 감소 변화가 없는 것 같다 비교적 증가 매우 증가 비교적+매우 증가 전체.3 3.88 44.50 32.85 7.64 50.49 남자.49 4.8 47.46 29.55 7.3 46.86 여자 0.7 3.53 40.99 36.75 8.02 54.77 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-3 개인정보 유출 시 우려되는 사회 전반의 피해 정도 (단위 : %) 구분 전혀 크지 않다 비교적 크지 않다 보통이다 비교적 크다 매우 크다 비교적+매우 크다 전체 0.82 3.75 5.99 55.46 23.98 79.44 남자 0.60 3.92 8.98 52.4 24.0 76.5 성별 여자.07 3.56 2.46 59.07 23.84 82.9 출처 : 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원, 202)

203 연차보고서 5 서 [ 표-2-4]에서 보는 바와 같이 개인정보가 유출 되 죄에 악용될 우려 때문에 항목에서 가장 높은 78.47% 었을 경우 피싱(Phishing), 사기, 신상털기 등 범죄에 가 응답하였다. 악용될 것에 대한 우려 때문 이라고 응답한 비율은 절 반이 넘는 54.36%로 나타났고, 그 다음으로 사생활의 다. 인터넷 이용자의 정보보호와 개인정보 중요성 등 개인정보의 권리의식이 높아졌기 때문 이 보호의 중요성에 대한 인식 라고 25.87%가 응답하였으며, 개인정보가 중요하다 고 생각하는 이유에 대해서는 [표 -2-5]에서 보는 바 우리나라 인터넷 이용자 ) 의 정보보호와 개인정보 와 같이 복수응답의 경우, 피싱, 사기, 신상털기 등 범 보호의 중요성에 대한 인식의 차이는 [표 -2-6]에서 표 -2-4 개인정보의 중요성이 높아진 이유 (단위 : %) 주요 현황 2 정책실적 및 성과 성별 구분 나의 이력 및 사생활의 중요성 등 개인정보에 대한 권리의식이 높아졌기 때문에 내 개인정보에 대한 재산적 가치를 전보다 중요하게 생각하기 때문에 피싱, 사기, 신상털기 등 범죄에 악용될 우려 때문에 텔레마케팅, 스팸문자 등 무분별한 상업적 활용에 대한 우려 때문에 전체 25.87 5.2 54.36 8.02 0.58 남자 28.90 9.08 47.98 7.34 0.58 여자 22.8. 60.82 8.7 0.58 기타 3 기관별 실적 및 계획 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(개인정보보보호 위원회, 202) 표 -2-5 개인정보가 중요하다고 생각하는 이유(2가지 응답) (단위 : %) 구분 이력 및 사생활 등 나의 명예나 인격과 직결된 것이기 때문에 재산적 가치가 있기 때문에 피싱, 사기, 신상털기 등 범죄에 악용될 우려 때문에 텔레마케팅, 스팸문자 등 무분별한 상업적 활용에 대한 우려 때문에 기타 4 해외동향 전체 38.89 8.92 78.47 42.0 - 성별 남자 4.72 2.97 73.25 38.22 - 여자 35.50 5.27 84.73 46.56 - 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 부 록 표 -2-6 인터넷 이용자의 정보보호의 중요성 인식 (단위 : %) 중요성 전혀 중요하지 않다 중요하지 않은 편이다 중요한 편이다 매우 중요하다 조사년도 20 202 20 202 20 202 20 202 정보보호 0. 0. 2.5.2 42.9 34.5 54.5 64.2 0.2 0.3 0.8 4. 28.8 57.4 70.4 출처 : 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원, 202) 주 : ) 조사기준시점을 기준하여 최근 개월 이내 인터넷 이용자

제2장 실태조사 6 보는 바와 같다. 의 경우는 202년에 70.4%가 매우 중요하다고 하였으나, 정보보호의 경 우는 64.2%가 매우 중요하다고 응답하였다. 마찬가 지로 20년에도 각각 57.4%와 54.5%로 응답하여 개 인정보보호의 중요성에 대한 인식이 더 높은 것을 알 수 있다. 이러한 차이는 와 정보보호 간 의 개념이 명확하지 않아 혼란스러운 점도 있지만, 인터넷 이용자의 경우는 를 보다 중요 하게 생각하고 있음을 보여주고 있다. 라. 개인정보 침해에 따른 피해 심각성의 정도에 대한 인식 정보화 역기능으로 인한 피해의 심각성에 대해 [표 -2-7]에서 보는바와 같이 정보주체들은 202년에 개 인정보 및 프라이버시 침해 피해 와 불법 스팸으로 인 한 피해 가 가장 심각하다(심각한 편이다 + 매우 심각 하다)고 응답한 비율이 94.6%로 나타나(기타 제외) 개인정보 및 프라이버시 침해에 대한 관심 및 우려가 높은 것으로 나타났다. 정보화 역기능 유형별 순위를 20년과 202년을 비교해 보면, [표 -2-8]에서 보는 바와 같이 개인정보 및 프라이버시 침해 피해 가 2년 연속으로 위를 차지 하고 있으며, 이를 통해 정보주체들의 중요성에 대한 인식이 매우 높다는 것을 알 수 있다. 표 -2-7 정보화 역기능 유형별 피해 심각성의 정도 (단위 : %) 정보화 역기능 유형 전혀 심각하지 않다 심각하지 않은 편이다 심각한 편이다 매우 심각하다 심각한 편이다+ 매우심각하다 해킹 0.5 6.2 49. 44.2 93.3 웜/바이러스 0.3 7.2 48.4 44. 92.5 악성코드 0.4 6.5 5.0 42.2 93.2 개인정보/프라이버시 침해 0.4 4.9 43.6 5.0 94.6 불법스팸 0.5 5.0 45.9 48.7 94.6 피싱 0.7 6. 45.4 47.9 93.3 기타 - - 29.2 70.8 00 출처 : 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2-8 20년과 202년의 정보화 역기능 유형별 피해 심각성 순위 정보화 역기능 유형 20년 심각성 순위 202년(심각+매우심각) 개인정보 및 프라이버시 침해 위 위(94.6%) 해킹 2위 3위(93.3%) 웜/바이러스 3위 6위(92.5%) 불법스팸 4위 위(94.6%) 악성코드 5위 5위(93.2%) 피싱 6위 3위(93.3%) 출처 : 20년, 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원)

203 연차보고서 7 마. 개인정보 항목별 공개 거부감의 정도에 대한 인식 202년에는 개인정보 제공에 대한 거부감 정도가 개인정보의 항목에 따라 어느 정도인지 조사하였는 데, 그 결과는 [표 -2-9]와 같다. 인터넷 상에서 회원가 입 및 온라인 서비스 이용을 위해 제공하는 개인정보 항목 중에서 주민등록번호(97.2%) 가 거부감(매우 거부감이 든다 + 거부감이 드는 편이다) 순위에서 위로 나타났고, 그 다음으로 휴대폰번호(87.4%), 자 택 전화번호(87.3%), 소득정보(85.0%), 부동산정보 (84.4%) 등의 순으로 조사되었으며, 거부감의 정도 가 가장 적게 나타난 나이(5.5%) 정보에 대한 제공 도 부담감이 적지 않은 것을 알 수 있다. 마찬가지로 매우 거부감이 든다 라고 응답한 경우의 순위도 유사 하게 나타났다. 2. 정보주체의 개인정보처리자 (서비스 제공자)에 대한 인식 가. 개인정보 수집에 대한 인식 만 2세 ~ 59세 인터넷 이용자를 대상으로 한 실태 주요 현황 2 정책실적 및 성과 표 -2-9 202년 개인정보 공개에 대한 항목별 거부감 정도 (단위 : %, (순위)) 3 기관별 실적 및 계획 개인정보 공개항목 전혀 거부감이 들지 않는다 거부감이 들지 않는다 거부감이 드는 편이다 매우 거부감이 든다 거부감이 드는 편이다+ 매우 거부감이 든다 주민등록번호 0.5 2.3 3.4 83.8 () 97.2 () 휴대폰번호 0.9.7 38.6 48.8 (2) 87.4 (2) 자택전화번호.2.5 42.6 44.7 (3) 87.3 (3) 4 해외동향 소득정보.7 3. 40.8 44.2 (5) 85.0 (4) 부동산정보.8 3.7 38. 46.2 (4) 84.3 (5) 자택주소 2.3 7.3 50.3 30. 80.4 (6) 신체정보.6 9.3 38.8 40.2 (6) 79.0 (7) 회사전화번호 2.4 20. 46.3 30.9 (0) 77.2 (8) 의료정보 2.5 22.9 4.6 32.9 (8) 74.5 (9) 아이디 4.8 23.4 33.4 38.5 (7) 7.9 (0) 부 록 직장주소 3.4 25.3 48.8 22.3 7. 생일 3.7 26.2 37.3 32.8 (9) 70. 메일주소 3.9 27.8 43.2 25. 68.3 직장명 3.7 28. 43.7 24.3 68.0 직업 4.4 36.7 38.4 20.4 58.8 이름 7. 37.4 39.2 6.3 55.5 나이 7.7 40.7 35.7 5.8 5.5 출처 : 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원, 202)

제2장 실태조사 8 조사에서 사업자, 정부 및 공공기관 의 개인정보 수 집 행태에 대한 인식을 조사한 결과는 [표 -2-0]과 같 다. 이 결과를 보면, 사업자 가 서비스 제공과는 무관 한 정보를 지나치게 수집하고 있다고 응답한 정보주 체가 56.%에 달하고, 정부 및 공공기관 의 경우도 그 보다 조금 낮은 43.0%에 달한다. 즉, 정보주체의 절반 이상이 개인정보처리자가 지나치게 많은 개인정보 를 수집한다고 인식하고 있다. 나. 개인정보처리자(서비스 제공자)의 개인 정보 처리절차에 대한 인식 개인정보 보호법 시행 이후 개인정보 처리절 차의 변화에 대한 설문 [표 -2-]에서 일반 국민의 40.94%가 변화가 없는 것 같다고 응답한 반면, 53.98% 가 법 시행 이후 개인정보 수집 이용 절차가 까다로 워졌다 고 응답하여 개인정보처리자가 개인정보 수 집 이용시 필요한 절차를 도입하고 있는 것을 알 수 있다. 또한, 절차가 까다롭게 되어도 를 위 해 감수할 수 있을 정도라고 생각하는 정보주체들이 [표 -2-2]에서 보는 바와 같이 78.99%나 된다. 이를 통해, 대다수의 응답자가 개인정보의 중요성에 보다 표 -2-0 개인정보 수집행태에 대한 인식 (단위 : %) 구분 서비스 제공을 위해 반드시 필요한 정보만을 수집하고 있다 서비스 제공과는 무관한 정보도 일부 수집 하고 있다 서비스 제공과는 무관한 정보를 지나치게 수집하고 있다 사업자 5.0 28.9 56. 정부/공공기관 4.2 42.9 43.0 출처 : 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2- 개인정보 보호법 시행 이후 개인정보 처리절차의 변화 (단위 : %) 구분 매우 완화된 것 같다 약간 완화된 것 같다 변화가 없는 것 같다 약간 까다로워진 것 같다 매우 까다로워진 것 같다 약간+매우 까다로워진 것 같다 전체 0.49 4.69 40.94 42.39.49 53.88 성별 남자 0.60 4.78 43.88 39.0.64 50.74 여자 0.35 4.59 37.46 46.29.3 50.60 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-2 개인정보 처리를 위해 절차가 복잡해진 것에 대한 의견 (단위 : %) 구분 불편함 커지고 효과는 별로다 를 위해 팔요하지만 불편하다 절차가 까다로워도 를 위해 감수할 수 있다 필요하기 때문에 절차가 까다로워도 불편하지 않다. 기타 감수할 수 있다+ 불편하지 않다 전체.76 0.08 5.26 27.73 0.28 78.99 성별 남자 3. 3. 45.90 28.42 0.55 74.32 여자 0.34 6.90 56.90 27.0-83.9 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202)

203 연차보고서 9 중점을 두고, 처리절차가 다소 복잡하고 까다롭더라 도 용인할 수 있다는 태도를 보이고 있다는 것을 알 수 있다. 다. 분야별 수준변화에 대한 인식 개인정보 보호법 시행 이후 개인들이 느끼는 각 분야(정부 기업 개인 등)의 수준 변화정도에 대해 조사한 결과, 공공기관(중앙행정기 관, 지방자치단체, 교육기관, 기타 공공기관 등)과 금 융 보험업 분야에서는 수준이 높아진 것 같다는 응 답이 많은 반면, 타 분야의 수준은 여전 히 변화가 없는 것으로 인식하고 있었다. [표 -2-3]의 내용을 보면, 수준이 매우 높아진 것 같다 는 응답은 금융 보험분야(20.55%), 공공기관 (9.55%) 순으로 나타났으며, 조금 높아진 것 같다 의 경우는 공공기관(48.22%), 금융분야(46.60%), 정보통 신분야(38.67%), 의료 보건분야(30.9%) 순으로 나 타났다. 반면, 변화가 없다 의 경우는 자영업 분야(80.0%), 학원 등 사교육 분야(79.29%), 숙박업 분야(77.67%), 주요 현황 2 정책실적 및 성과 표 -2-3 분야별 수준 변화에 대한 인식 (단위 : %) 구분 매우 낮아진 것 같다 조금 낮아진 것 같다 변화가 없다 조금 높아진 것 같다 매우 높아진 것 같다 공공기관(중앙, 지방, 교육, 기타) 0.32 2.43 39.48 48.22 9.55 포털, 이통사, 인터넷쇼핑몰 등 정보통신 분야 0.8 4.2 5.94 38.67 4.37 은행 등 금융 보험 분야 0.6 2.0 30.58 46.60 20.55 3 기관별 실적 및 계획 병원 등 의료 보건 분야 0.49 2.0 6.49 30.9 5.02 택배 대형마트 등 유통 물류 도소매 분야 0.6 4.69 73.30 9.58 2.27 4 해외동향 학원 등 사교육 분야 0.97 4.05 79.29 3.59 2.0 요식업, 부동산 등 자영업 분야 0.8 3.24 80.0 4.58.29 호텔 등 숙박업 분야 0.49 4.2 77.67 6.02.62 여행 관광업 분야 0.65 3.07 75.73 9.09.46 협회 동호회 등 비영리기관 분야 0.8 6.80 77.5 3.43.46 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 부 록 표 -2-4 가 잘 되고 있다고 생각하는 업종분야(복수응답) 구분 공공 기관 정보 통신 분야 금융 보험 분야 의료 보건 분야 유통 불류 도소매 사교육 분야 자영업 분야 숙박업 분야 관광업 분야 비영리 기관 전체 86.23 52.35 86.58 3.54 9.23 4.9 3.02 4.53 5.37 4.87 성별 남자 86.65 57.4 86.96 27.64 9.32 3. 2.80 4.66 5.90 6.2 여자 83.58 46.72 86.3 36.3 9.2 5.47 3.28 4.38 4.74 3.28 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202)

제2장 실태조사 20 비영리기관 분야(77.5%) 등의 순으로 나타난 것으 로 보아 공공기관, 금융 보험분야, 정보통신분야 등 을 제외한 대부분의 분야에서 변화가 없는 것으로 정 보주체들이 인식하고 있음을 알 수 있다. 개인정보 보호법 시행 이후 가 가장 잘 되고 있다고 느껴지는 업종 분야는 [표 -2-4]에서 보는 바와 같이 금융 보험 분야(86.58%), 공 공기관(86.23%), 정보통신 분야(52.35%), 의료보건 분야(3.54%) 순으로 가 잘 되고 있다 고 인식하고 있었다. 그 외의 분야는 0%이하의 응답 을 보이고 있다. 3. 관련 정책 인지 정부가 를 위해 시행하고 있는 정책 에 대해 정보주체가 어느 정도 알고 있는지 파악하기 위한 조사 결과는 다음과 같다. 가. 정보주체의 권리보장 등에 대한 인식 개인정보 보호법 제35조 내지 제39조에는 개 인정보 정보주체의 권리를 규정하고 있다. 이 규정 중에서 열람 정정 삭제 등의 요청 경험 여부에 대 한 설문결과 [표 -2-5]에서 보는 바와 같이 요구 경험 이 있다고 응답한 비율이 24.35%를 차지하고 있다. 나. 주민등록번호 대체수단 인지 개인 인터넷 이용자를 대상으로 인터넷 서비스 회 원가입 시 주민등록번호 이외의 수단에 대해 알고 있 는지를 유형별로 조사한 결과 [표 -2-6]에서 보는 바 와 같이 휴대폰(9.2%) 에 대한 인지율이 가장 높았으 며, 공인인증서(9%), 신용카드(7.7%), I-PIN(6.2%) 순으로 조사되었다. 각각의 대체수단에 대해 인지하고 있는 이용자를 대상으로 이용 여부를 조사한 결과도 인지율과 마찬 가지로 대체수단으로 휴대폰(72.7%) 이 가장 높았으 표 -2-5 개인정보처리자에게 개인정보의 열람 정정의 요청 경험 (단위 : %,) 분야 있다 없다 전체 24.35 75.65 남자 25.23 74.68 성별 여자 23.32 76.68 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-6 (회원가입 시)주민등록번호 이외의 본인 인증수단 인지 여부 등 (단위 : %) 구분 휴대폰 인증 공인인증서 신용카드 인증 I-PIN 기타 인증 수단 인지 9.2 9.0 7.7 6.2 0. 인증 수단 이용 72.7 67.3 34.4 22.4 0. 인증 수단 선호도 37.0 49.8 4.6 8.7 - 출처 : 202년 개인 인터넷 이용자 정보보호 실태조사(한국인터넷진흥원, 202)

203 연차보고서 2 며, 공인인증서(67.3%), 신용카드(34.4%), I-PIN (22.4%) 순이었다. 반면, 가장 선호하는 대체수단은 공인인증서(49.8%), 휴대폰(37.0%) 순으로 조사되 었다. 개인정보처리자의 를 위한 노력이 아 직 부족하다고 생각하고 있는 것으로 나타났다. 주요 현황 다. 제도의 개선이 필요한 분야 제 2 절 개인정보처리자 정보주체에게 향후 효과적인 를 위 해 어떠한 개선이 필요한지에 대한 질문에 [표 -2-7] 에서 보는 바와 같이 개인정보유출 회사에 대한 규제 나 처벌을 강화해야 한다 에 50.4%가 응답하고 있어. 의 중요성에 대한 인식 [표 -2-8]에 따르면, 국내 사업체 경영진의 73.2%, 직원의 72.7%가 가 중요하다(중요하다 2 정책실적 및 성과 표 -2-7 를 위한 개선이 필요한 분야 (단위 : %) 성별 구분 개인정보유츌 회사에 대한 규제나 처벌을 강화해야 한다 개인정보유출에 대한 정부의 피해구제 절차, 안내 등 행정서비스를 보다 강화해야 한다 개인정보에 대한 이용을 점차 줄여나가야 한다 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 기술개발 등을 보다 활성화하여야 한다 전체 50.4 23.57 3.09 2.44 0.49 남자 5.20 22.29 4.6.45 0.90 여자 49.46 25.09.83.32 - 기타 3 기관별 실적 및 계획 4 해외동향 표 -2-8 국내 사업체의 의 중요성 인식정도 (단위 : %) 구분 전혀 중요하지 않음 중요하지 않음 보통 중요함 매우 중요함 중요함 + 매우 중요함 경영진.8 2.7 22.3 3. 42. 73.2 부 록 직원.5 2.6 23.3 34.4 38.3 72.7 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2-9 국내 사업체의 정보보호의 중요성 인식 (단위 : %) 구분 전혀 중요하지 않음 중요하지 않음 보통 중요함 매우 중요함 중요함 + 매우 중요함 경영진 2. 3.3 23.3 32.2 39. 7.3 직원.5 3.0 24.8 34.3 36.4 70.7 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

제2장 실태조사 22 + 매우 중요하다)고 인식하고 있는 것으로 조사되어 경영진의 중요성에 대한 인식이 직원 에 비해 약간 높은 것으로 나타났다. 또한, [표 -2-9] 에서 보는바와 같이 정보보호의 중요성에 대한 인식 은 경영진의 7.3%, 직원의 70.7%가 중요하다(중요 하다 + 매우 중요하다)고 응답해 정보보호 보다 개인 정보보호를 더 중요하게 인식하고 있는 것으로 조사 되었다. 한편, 위원회의 조사에 따르면, [표 -2-20]에서 보는 바와 같이 근무하는 기관 및 회사의 중요성에 대한 인식변화가 있었는지 의 질문에서 40.7%는 비교적 높아지고 있는 것 같다 고 응답하였으나 46.7%는 변화가 없는 것 같다 로 응 답하여 의 중요성에 대한 인식제고 노 력이 필요할 것으로 보인다. 또한 [표 -2-2]에서 보는 바와 같이 20년 9월 30 일부터 개인정보 보호법 이 시행되고 있다는 사 실을 75.5%만이 알고 있다고 응답하였다. 50명 이상 규모의 기관에서는 94% 이상이 법 시행 사실을 인지 하고 있는 점으로 보아 종업원 수가 적은 기관 및 회 사에 초점을 맞춘 법 홍보가 필요할 것으로 보인다. 개인정보 보호법 제34조에서 개인정보처리자 는 개인정보가 유출되었음을 알게 되었을 때에는 지 체없이 해당 정보주체에게 고지하도록 명시되어 있 는데, 이에 대해 인지하고 있는 개인정보 처리자는 [ 표 -2-22]에서 보는 바와 같이 69.0%로 조사되었지만, 5명 미만의 경우는 절반에도 미치지 못하고 있어 5명 미만 사업체의 인식제고가 필요할 것으로 보인다. 표 -2-20 근무처의 중요성 인식변화에 대한 체감 (단위 : %) 구분 매우 낮아지고 있는 것 같다 비교적 낮아지고 있는 것 같다 변화가 없는 것 같다 비교적 높아지고 있는 것 같다 매우 높아지고 있는 것 같다 비율 0.4 2.0 46.7 40.7 0.3 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-2 개인정보 보호법 시행여부에 대한 인지 (단위 : %) 구분 5명 미만 5~49명 50~299명 300명 이상 전체 비율 57.5 84.3 94.4 93.8 75.5 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-22 개인정보유출 인지 시 정보주체에 대한 고지의무 인지 여부 (단위 : %) 구분 5명 미만 5~49명 50~299명 300명 이상 전체 비율 45. 84.3 88.7 85.4 69 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-23 개인정보유출 처리 절차 복잡 여부 (단위 : %) 구분 전혀 그렇지 않다 그렇지 않다 보통이다 그렇다 매우 그렇다 그렇다 + 매우 그렇다 비율 9.5 4.8 3.4 29.0 5.4 34.4 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202)

203 연차보고서 23 개인정보 보호법 시행 이후 [표 -2-23]에서 보 는 바와 같이 개인정보처리자의 34.4%가 개인정보처 리절차가 복잡해졌다고 인식(그렇다 + 매우 그렇다) 하고 있는 것으로 나타났다. 한국인터넷진흥원의 조사에 따르면, [표 -2-24]에 서 보는 바와 같이 개인정보를 수집하는 사업체의 46.0%가 개인정보가 유출 및 도용될 가능성은 항상 존재한다 고 인식하고 있었으며, 5.2%가 웹 사이트 서비스 제공을 위해서는 유출 가능성에 상관없이 이 용자의 개인정보를 수집할 수 있다 고 응답했고, 8.5%가 웹 사이트 보안이 안정적이면 수집과 이용 에 제한을 두지 않아도 된다 고 응답하여 개인정보의 유출 위험이 존재함에도 여전히 개인정보의 수집은 필요한 것으로 인식하고 있는 것으로 나타났다. 이러한 개인정보의 유출 사고에 대한 원천으로 가 장 우려하고 있는 점은 [표 -2-25]에서 보는 바와 같이 외부로부터의 해킹(52.4%) 이었으며, 내부자에 의 한 고의 유출(4.7%) 또한 우려하고 있었다. 개인정보를 수집함에 있어 사업체가 중요하게(매 우 중요함 + 다소 중요함) 생각하며 보호가 필요하다 고 느끼는 개인정보의 유형은 [표 -2-26]에서 보는 바 와 같이 일반정보(이름, 주민등록번호, 운전면허번 호, 전화번호, 생년월일 등)(88.2%), 가족정보(74.6%) 의 순이었으며, 신용정보, 소득정보 등 경제적 정보의 중요성도 높은것으로 나타났다. 2. 환경 가. 정책 및 조직 [표 -2-27]에서 보는 바와 같이 개인정보를 수집하 는 사업체 중 53.0%가 공식적으로 문서화 된 개인정 보보호 내부관리계획을 수립하여 운영하는 것으로 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 -2-24 개인정보 수집 관련 인식 구분 전혀 그렇지 않음 별로 그렇지 않음 보통 다소 그러함 매우 그러함 (단위 : %) 다소 + 매우 그러함 4 해외동향 개인정보가 유출 및 도용될 가능성은 항상 존재한다 웹 사이트 서비스 제공을 위해서는 유출 가능성에 상관없이 이용자의 개인정보를 수집할 수 있다 웹 사이트 보안이 안정적이면 이용자의 개인정보 수집과 이용에 제한을 두지 않아도 된다 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202).0 6.6 26.3 3.8 4.2 46.0 27. 29.0 28.7 0.7 4.5 5.2 22.3 26.0 33.2 5.3 3.2 8.5 부 록 표 -2-25 개인정보 유출 원인에 대한 우려 정도 (단위 : %) 개인정보 유출원인 전혀 우려하지 않음 별로 우려하지 않음 보통 다소 우려함 매우 우려함 다소 + 메우 우려함 외부로부터 해킹 5.5 7.2 24.9 3.8 20.6 52.4 내부자에 의한 고의 유출 기업의 관리 실수로 인한 유출 9.2 22.2 26.9 28.2 3.5 4.7 9.7 2. 29.3 25.3 4.7 40.0 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

제2장 실태조사 24 표 -2-26 개인정보 유형별 중요도 인식 (단위 : %) 개인정보유형 전혀 중요하지 않음 별로 중요하지 않음 보통 다소 중요함 매우 중요함 다소 + 매우 중요함 일반정보 0.9.0 9.9 5.7 72.5 88.2 가족정보 4.3 4.8 6.3 2.7 52.9 74.6 신용정보.6 4.5 4.5 6.0 53.5 69.5 소득정보.9 6.8 7. 5.8 48.4 64.2 부동산정보 2.0 6.8 9. 7.7 44.4 62. 법적정보.6 5.3 2.7 3.6 47.8 6.4 기타 수익정보 3.5 7.2 9.5 20.0 39.7 59.7 의료정보 0.0 5.2 27.0 4. 43.7 57.8 교육 및 훈련정보 8.7 7.6 26.2 9.0 38.4 57.4 고용정보 2.9 5.4 25.9 20.4 35.4 55.8 신체정보 2.4 7.8 28.5 5.8 35.5 5.3 통신정보 2.8 6.9 29.4 5.2 35.8 5.0 위치정보 3.6 7.6 28.3 5. 35.4 50.5 병역정보 3.7 8.7 30.7 5.5 3.4 46.9 조직정보 3.3 6.8 35.7 7.7 26.5 44.2 습관 및 취미정보 2.2 0. 33.8 6.8 27. 43.9 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2-27 업종별 내부관리계획 수립여부 (단위 : %) 업종 수립 미수립 모름/무응답 전체 53.0 47.0 0.0 농림수산업 6.5 38.5 0.0 제조업 6.9 83. 0.0 건설업 22.7 77.3 0.0 도매 및 소매업 38.6 6.3 0. 운수업 39.9 60. 0.0 숙박 및 음식점업 86.4 3.6 0.0 정보서비스업 53.0 47.0 0.0 금융 및 보험업 90.6 9.4 0.0 부동산 및 임대업 8.3 8.7 0.0 기술서비스업 4.7 85.3 0.0 시설 사업지원 43.3 56.7 0.0 개인서비스업 7.4 82.6 0.0 기타서비스업 33.2 66.8 0.0 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

203 연차보고서 25 조사되었다. 업종별로 살펴보면 금융 및 보험업 사업 체의 90.6%가 내부관리계획을 수립하고 있었으나, 기술 서비스업의 경우 내부관리 계획을 수립한 사업 체가 4.7%로 업종 간 차이가 큰 것으로 조사되었다. 내부관리계획을 수립한 사업체의 경우 [표 -2-28] 에서 보는 바와 같이 대부분의 사업체에서 개인정보 관리책임자의 지정(94.%), 개인정보취급자의 교육 에 관한 사항(90.9%), 백신소프트웨어의 설치 및 주 기적 갱신 및 점검(90.6%), 조직의 구 성 운영에 관한 사항(90.%) 등의 내용을 계획에 포 함하고 있는 것으로 조사되었다. 국내 사업체 중 정보보호 전담 조직을 설치 운영 하는 기업은 [표 -2-29]에서 보는 바와 같이 20년 대 표 -2-28 내부관리계획 포함 내용 비 4.%p 감소한 8.5%로 조사되었다. 반면 온라인 상 에서 개인정보를 수집하는 사업체 중 공식적인 개인 정보보호 조직을 운영하고 있는 사업체는 45.0%로 20년 대비 0.9%p 증가하였다. 그 중 9.%는 정보 보호 전담조직과는 별도로 전담조직 을 운영하고 있는 것으로 조사되었다. [표 -2-30]에서 보는바와 같이 국내 사업체 중 사내 규정 등에 의거하여 정보관리책임자(CIO : Chief Infor- mation Officer)를 명시적으로 임명하는 사업체 는 6.9%, 정보보호책임자(CISO : Chief Information Secu- rity Officer)를 임명하는 사업체는 5.7%로 20 년 보다 감소하였다. 반면, 개인정보관리책임자 (CPO : Chief Privacy Officer)를 임명하는 사업체는 (단위 : %) 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 구분 포함 개인정보관리책임자의 지정 94. 개인정보 취급자의 교육에 관한 사항 90.9 백신 소프트웨어의 설치 및 주기적 갱신 및 점검 90.6 조직의 구성운영에 관한 사항 90. 4 해외동향 DB 시스템에 대한 접근권한 부여 변경 말소 등에 관한 기준의 수립 및 시행 87.2 비밀번호의 생성방법 및 변경주기 등의 기준설정 86.7 개인정보 처리시스템 접속일시, 처리내역 저장 및 관리 83.6 주민등록번호 및 계좌정보 등 금융정보 암호화 83.4 비밀번호 및 바이오 정보의 일방향 암호화 79. 침입차단 시스템 및 침입탐지 시스템의 설치운영 78.5 부 록 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 개인정보 송수신 시 보안서버 구축 7.5 표 -2-29 정보보호 전담조직 설치 운영 여부 (단위 : %) 연도 정보보호 전담조직 운영 전담조직 운영 20년 2.6 34. 202년 8.5 45.0 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

제2장 실태조사 26 20년 대비 9.9%p 증가한 58.%로 조사되었다. [표 -2-3]에서 보는 바와 같이 IT 관련 책임자 중 정 보관리책임자(CIO)의 업무를 전담하도록 하는 사업 체는 4.6%, 정보보호책임자(CISO)의 업무를 전담하 도록 하는 사업체는 3.6%로 20년 보다 다소 증가 하였으며, 개인정보관리책임자(CPO)를 임명하여 업 무를 전담하도록 하는 사업체는 20년 대비 26.9%p 증가한 49.7%로 파악되었다. 이는 관련 법 제도의 강 화에 따른 것으로 판단되며, 향후 지속적으로 향상 될 것으로 전망된다. 예산과 관련해서는 [표 -2-32]에서 보는 바와 같이 이용자의 개인정보를 수집하는 사업 표 -2-30 IT 관련 책임자 임명 여부 (단위 : %) 연도 CIO (정보관리책임자) CISO (정보보호책임자) CPO (개인정보관리책임자) 20년 22.9 22.3 48.2 202년 6.9 5.7 58. 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2-3 IT 관련 책임자의 업무전담 여부 (단위 : %) 연도 CIO (정보관리책임자) CISO (정보보호책임자) CPO (개인정보관리책임자) 20년 2.4.9 22.8 202년 4.6 3.6 49.7 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2-32 예산 별도 배정 현황 (단위 : %) 업종 수립 미수립 모름/무응답 전체 35.4 64.5 0.0 농림수산업 4.6 85.4 0.0 제조업 4.9 85. 0.0 건설업 2. 97.9 0.0 도매 및 소매업 8. 8.8 0. 운수업 2.2 87.8 0.0 숙박 및 음식점업 69.5 30.4 0. 정보서비스업 30.2 69.8 0.0 금융 및 보험업 7.9 28. 0.0 부동산 및 임대업 4.5 95.5 0.0 기술서비스업.6 98.4 0.0 시설/사업지원 26.8 73.2 0.0 개인서비스업 0. 89.9 0.0 기타서비스업 0.4 89.6 0.0 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

203 연차보고서 27 체의 35.4%가 를 위한 예산을 별도로 배 정하고 있는 것으로 조사되었으며, 업종별로는 금융 및 보험업(7.9%), 숙박 및 음식점업(69.5%) 이 타 업 종에 비해 상대적으로 를 위한 예산을 별도로 배정하고 있는 비율이 높은것으로 나타났다. 한편, 위원회의 조사 결과에 따르면 [ 표 -2-33]에서 보는바와 같이 를 위한 예산이 개인정보 보호법 시행 이전보다 증가한 사업체가 22.6%, 약 0% 미만 증가하였다고 응답한 사업체가 4.4%, 약 0~30%미만 증가한 사업체가 5.4%로 조사되었다. 한국인터넷진흥원의 조사 결과에 따르면, [표 -2-34]에서 보는 바와 같이 84.%는 교육 에 참여한 경험이 없으며, 5.9%만이 교육 참여 경험 이 있는 것으로 나타났다. 관련 무료교육을 실시한다면, 참여 할 의사가 있는 사업체는 [표 -2-35]에서 보는 바와 같 이 59.9%로 나타났다. 인원수가 적은 사업체의 경우 교육 경험과 교육 받고자 하는 의지가 모두 부족하여 인식 제고를 위한 노력이 필요할 것으로 보인다. 나. 개인정보 수집 현황 한국인터넷진흥원의 조사 결과에 따르면, [표 -2-36]에서 보는 바와 같이 개인정보를 수집하는 사업체 의 72.7%는 온ㆍ오프라인 모두를 통해 이용자의 개 인정보를 수집하고 있는 것으로 나타났다. 숙박 및 음식점업(80.7%) 은 다른 업종에 비해 이용자의 개인 정보를 주로 온라인으로만 수집 하는 것으로 나타났 고, 금융 및 보험업(93.9%) 은 온ㆍ오프라인 모두를 통해 수집 하는 비율이 상대적으로 높은 것으로 나타 났다. 여기서, 온ㆍ오프라인 모두를 통해 수집 하는 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 -2-33 예산 증가 추이 (단위 : %) 구분 증가하지 않음 약 0% 미만 약 0~30% 약 30~50% 약 50~70% 약 70~90% 90% 이상 예산 신설 모름/ 무응답 4 해외동향 비율 75.9 4.4 5.4. 0.4 0.2. 0.2.4 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-34 사업체 규모별 교육 참여 경험 (단위 : %) 구분 5~9명 0~49명 50~249명 250명 이상 전체 참여 9.9 3.0 30.9 52.5 5.9 부 록 미참여 90. 87.0 69. 47. 84. 모름/무응답 0.0 0.0 0.0 0.4 0.0 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2-35 사업체 규모별 관련 무료교육 참여 의사 (단위 : %) 구분 5~9명 0~49명 50~249명 250명 이상 전체 비율 48.6 60.5 76.8 83.3 59.9 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

제2장 실태조사 28 표 -2-36 업종별 개인정보 수집 방법 (단위 : %) 업종 온라인으로만 수집 온 오프라인 모두를 통해 수집 2) 전체 27.3 72.7 농림수산업 37.6 62.4 제조업 52.3 47.7 건설업 62.4 39.6 도매 및 소매업 46.6 53.4 운수업 34. 65.9 숙박 및 음식점업 80.7 9.3 정보서비스업 59.7 40.3 금융 및 보험업 6. 93.9 부동산 및 임대업 23.2 76.8 기술서비스업 34. 65.9 시설 사업지원 8.6 8.4 개인서비스업 4.7 58.3 기타서비스업 5.4 84.6 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2-37 사업체가 보유하고 있는 개인정보 규모 업종 만 명 미만 만 명 ~ 50만 명 미만 50만 명 ~ 00만 명 미만 00만 명 ~ 500만 명 미만 500만 명 ~,000만 명 미만,000만 명 이상 전체 6.8 20.6 3.6 2.7.6 9.3 0.5 농림수산업 66.6 6.9 7.0 0.0.7 0.0 7.7 제조업 83.7 2.8 7.2 5.8 0.5 0.0 0.0 건설업 9.5 5.0 0.0 3.2 0.0 0.0 0.4 도매 및 소매업 5.6 33.6 0.9 0. 0.4 3.3 0. 운수업 67. 8.5 0. 0.6 0.6 3. 0.0 (단위 : %) 모름/ 무응답 숙박 및 음식점업 70.5 8. 2.0 0.2 0.2 5.7 3.2 정보서비스업 37.0 26. 4.8 0.2 5. 6.5 0.5 금융 및 보험업 4. 32.8 2.0 0.8.9 20.7 0.7 부동산 및 임대업 85.0 4.9 0.6 0.4 4.7 4.3 0.0 기술서비스업 76.0 6..7 0.5 0.5 5.0 0.0 시설 사업지원 34.9 8.5 8.4 4.5 3. 30.6 0.0 개인서비스업 89.4 6.4 0.5 0.4 0.0 3.3 0.0 기타서비스업 77. 6.5 3.4 2.2 0.6 0. 0.0 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 주 : 2) 개인정보 보호법 과 정보통신망법을 동시에 적용받는 분야임.

203 연차보고서 29 경우는 적용 법 기준으로 볼 때, 개인정보 보호법 과 정보통신망법을 동시에 적용받는 산업분야이다. [표 -2-37]에서 보는 바와 같이 국내 사업체들이 보 유하고 있는 개인정보의 규모는 주로 만 명 미만 (6.8%)인 것으로 조사되었으며,,000만 명 이상의 대규모 개인정보를 보유하고 있는 사업체도 9.3%로 조사되었으나, 사업시설 관리 및 사업지원 서비스업 (30.6%) 과 금융 및 보험업(20.7%) 에 주로 국한되어 있으며 국내 사업체의 대부분이 50만 명 미만(82.4%) 의 개인정보를 보유하고 있는 것으로 나타났다. 한국인터넷진흥원의 조사 결과에 따르면, [표 -2-38]에서 보는바와 같이 개인정보 수집 사업체 중 주민 등록번호를 수집 이용하는 사업체는 75.7%로 여전 히 많은 사업체가 주민등록번호를 수집하고 있는 것 으로 나타났으며, 주로 회원 가입 시 본인인증(82.2%) 을 위해 주민등록번호를 수집 이용하고 있는 것으 로 조사되었다. 그 외에 고객상담 회원관리(56.6%), 중복가입 방지(52.4%) 를 위해 주민등록번호를 수 집 이용하고 있다고 응답하였다. 개인정보를 수집하는 사업체가 주민등록번호를 활용하지 않는 경우 서비스 제공에 미치는 영향 정도 에 대해 조사한 결과 [표 -2-39]에서 보는바와 같이 59.7%가 주요 서비스가 불가능하거나 중단될 수준 이 라고 응답한 반면, 주민등록번호를 활용하지 않아도 주요 현황 2 정책실적 및 성과 표 -2-38 주민등록번호 수집 이용 목적(복수응답) 수집 이용 목적 비율 (단위 : %) 3 기관별 실적 및 계획 주민등록번호 수집 75.7 회원가입시 본인인증 82.2 고객상담 회원관리 56.6 중복가입 방지 52.4 아이디/ 패스워드 찾기 49.8 4 해외동향 결제 34.0 성인인증 20.0 기타 5.2 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 부 록 표 -2-39 주민등록번호 미활용 시 서비스 제공 영향 구분 매우 낮음 낮음 중간 높음 매우 높음 높음 + 메우 높음 (단위 : %) 비율 8.7 6.5 5.0 26.5 33.2 59.7 * 매우 높음 : 서비스 중단 될 수준 * 높음 : 주요 서비스가 불가능한 수준 * 중간 : 주요 서비스가 어려운 수준 * 낮음 : 일부 서비스에 영향을 미침 * 매우 낮음 : 서비스 영향 없음 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)

제2장 실태조사 30 서비스에 영향을 미치지 않는다고 응답한 사업체도 8.7%나 있어 주민등록번호를 사용하는 관행을 개선 하기 위해서는 더 많은 노력이 필요할 것으로 보인다. 3. 조치 가. 개인정보 보호법 관련 정책 이행 현황 개인정보 보호법 제24조에서는 개인정보처 리자가 개인의 고유식별정보를 수집할 때 법적 근거 를 가지고 있거나 처리에 대한 별도의 동의를 받도록 명시하고 있다. 위원회의 조사 결과에 따르면, [표 -2-40]에서 보는 바와 같이 개인정보 수집 동의 이외에 고유식별정보에 대한 활용 동의를 받고 있는 사업체는 54.6%였으며, 별도의 동의를 따로 받 지 않는다고 응답한 사업체는.5%였다. 개인정보를 제3자에게 제공 또는 목적 외 용도로 이용 시 개인정보 보호법 에 따라 정보주체로부 터 별도의 동의를 확보해야 하지만, [표 -2-4]에서 보 는바와 같이 제3자에게 제공하거나 목적 외 용도로 이용하지 않는 57.8%를 제외하고, 35.5%는 동의를 확 보한다고 응답했으며 6.7%는 동의를 확보하지 않는 다고 응답하였다. 개인정보 보호법 제24조에 따라 개인정보처 리자는 정보주체가 인터넷 홈페이지를 통하여 회원 으로 가입할 경우 주민등록번호를 사용하지 않고도 회원으로 가입할 수 있는 방법을 제공해야 하지만, [ 표 -2-40 고유식별정보 수집 및 처리 시 별도 동의 확보 여부 (단위 : %) 구분 그렇다 그렇지 않다 수집 처리 안함 모름/무응답 비율 54.6.5 33.7 0.2 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-4 개인정보 제3자 제공 또는 목적 외 이용 시 별도 동의 확보 여부 (단위 : %) 구분 그렇다 그렇지 않다 제공 이용 안함 비율 35.5 6.7 57.8 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-42 개인정보제공자에 대한 주민등록번호 대체수단 제공여부 구분 제공하고 있다 제공하고 있지 않다 적용대상이 아니다 고객등의 주민등록번호 수집안함 비율 5. 29.7 26.7 28.5 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) (단위 : %) 표 -2-43 주민등록번호 대체수단 미제공 사유 (단위 : %) 구분 고객관리에 어려움이 많아서 관련 법령에 해당 내용이 있다는 사실을 인지하지 못해서 조직 인력 예산 등 비용이 많이 소요되어서 기타 모름/ 무응답 비율 52.7 2.2 8.8 6.7 0.6 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202)

203 연차보고서 3 표 -2-42]에서 보는 바와 같이 29.7%가 제공하고 있 지 않다, 28.5%가 고객 등의 주민등록번호를 수집하 지 않는다, 26.7%가 적용대상이 아니다 라고 응답한 반면 제공하고 있다 는 응답은 5.%에 불과했다. 주민등록번호 대체수단을 제공하지 않는 이유에 대해서는 [표 -2-43]에서 보는 바와 같이 52.7%가 고객관리에 어려움이 많아서 라고 응답했고, 이어서 관련 법령에 해당 내용이 있다는 사실을 인지하지 못 해서 가 2.2%로 나타나고 있어 적극적이고 꾸준한 지원과 홍보를 통하여 대체수단을 마련할 수 있도록 유도하는 정책이 필요할 것으로 판단된다. 개인정보를 위한 기술적ㆍ관리적ㆍ물리적 조치 의무 이행 사항은 [표 -2-44]에서 보는 바와 같이 개 인정보에 대한 보안프로그램의 설치 및 갱신 을 이행 하는 사업체가 69.7%로 가장 많았으며, 개인정보의 안전한 처리를 위한 내부 관리계획의 수립 이행( 69.0%), 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치(67.9%) 순으로 조사되었다. 개인정보 보호법 제5장에 따라 정보주체의 권 리를 보장하기 위하여 [표 -2-45]에서 보는 바와 같이 국내 사업체의 44.9%가 처리중인 개인정보의 열람, 정정 삭제, 처리 정지 등의 절차를 마련하고 공개하 고 있었다. 개인정보 보호법 제2조에 따라 처리 중인 개 인정보의 보유기간 경과 또는 처리목적 달성 등 파기 요건이 갖춰졌을 때 보유한 개인정보를 지체 없이 파 기하고 있는가에 대해서는 [표 -2-46]에서 보는 바와 같이 8.3%가 파기하고 있다고 응답하였다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 -2-44 조치 의무 사항별 이행비율 (단위 : %) 조치 의무 사항 이행비율 개인정보에 대한 보안프로그램의 설치 및 갱신 69.7 개인정보의 안전한 처리를 위한 내부 관리계획의 수립 시행 69.0 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치 67.9 4 해외동향 암호화 기술의 적용 또는 이에 상응하는 조치 66.2 접속기록의 보관 및 위조 변조방지를 위한 조치 55.7 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 40.4 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-45 정보주체의 권리보장을 위한 구체적 방법 및 절차 공개 여부 (단위 : %) 부 록 구분 그렇다 그렇지 않다 모름/무응답 비율 44.9 55.0 0.2 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) 표 -2-46 개인정보 파기요건 충족 시 파기여부 구분 그렇다 그렇지 않다 비율 8.3 8.7 출처 : 개인정보 보호법 시행이후 변화 분석 및 개선방안 연구(위원회, 202) (단위 : %)

제2장 실태조사 32 나. 기술적 조치 한국인터넷진흥원의 조사 결과에 따르면, 개인정 보를 수집하는 사업체 중 수집된 개인정보의 안전한 처리를 위하여 사업체들이 취하고 있는 기술적 조치 로는 [표 -2-47]에서 보는 바와 같이 DB 접근내역에 대한 로그저장(49.9%) 과 보관하고 있는 개인정보의 암호화 저장(49.9%) 에 응답한 사업체가 가장 많았고, USB/이동형 저장장치 통제(47.0%) 가 뒤를 이었으며 20년에 비해서는 모든 항목에서 기술적 조치 도입 비율이 높아진 것으로 나타났다. [표 -2-48]에서 보는 바와 같이 업종별로는 금융 및 보험업 에서 타 업종에 비해 개인정보의 안전한 처리 를 위해 기술적 조치를 취하고 있는 비율이 높게 나 타났다. 특히 USB/이동형 저장장치 통제 조치는 개 인정보를 수집하는 금융 및 보험업 업종의 92.7%가 표 -2-47 개인정보의 안전한 처리를 위한 기술적 조치 도입현황(복수응답) (단위 : %) 연도 DB 접근내역에 대한 로그저장 보관하고 있는 개인정보의 암호화 저장 USB/이동형 저장장치 통제 키보드해킹 방지 솔루션 적용 노트북, PDA 통제 20년 34.0 35.8 33.3 34.5-202년 49.9 49.9 47.0 40.5 36.9 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2-48 개인정보의 안전한 처리를 위한 기술적 조치 도입현황(복수응답, 업종별) 업종 DB 접근내역에 대한 로그저장 보관하고 있는 개인정보의 암호화 저장 USB/이동형 저장장치 통제 키보드해킹 방지 솔루션 적용 노트북, PDA 통제 전체 49.9 49.9 47.0 40.5 36.9 농림수산업 33.4 50.7 29. 46.9 39.3 제조업 38. 49.5 36.8 35.9 3.3 건설업 23.4 45.6 29.7 27.8 3.4 도매 및 소매업 38. 48.3 32.3 24.3 9.4 운수업 8.3 46.9 32.9 4.6 22. 숙박 및 음식점업 33.3 20.4 27.2 4.2 9.9 정보서비스업 62.5 67. 3.7 32.8 3.7 금융 및 보험업 89.7 80.0 92.7 84.5 84. 부동산 및 임대업 9.3 25.7 7.7 7..9 기술서비스업 2.2 24.8 3.2 3.3 5.0 시설/사업지원 59.9 68.2 54.4 45.3 58. 개인서비스업 26.0 35.2 23.6 6.5 9.4 기타서비스업 23.6 22.9 6.6 0.7 7.8 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) (단위 : %)

203 연차보고서 33 취하고 있는 것으로 조사되었다. 개인정보를 수집하는 사업체의 대부분이 이용자 의 개인정보를 암호화하고 있었다. 특히 202년 개 인정보 보호법 시행 이후 많은 사업체들이 대다수 의 개인정보 항목을 암호화 하고 있는 것으로 조사되 었다. 유형별로 살펴보면, [표 -2-49]에서 보는 바와 같이 주민등록번호(96.6%) 를 가장 많이 암호화하여 저장한다고 응답하였고, 비밀번호(85.8%), 계좌번 호(72.8%) 순으로 조사되었다. 주민등록번호를 암호 화하는 비율은 20년 79.3%에 비해 7.3%p 증가하 였다. [표 -2-50]에서 보는 바와 같이 개인정보 침해사고 의 예방 및 사후 처리를 위한 조치로 침해사고 발생 시 내부 대응체계 및 보고체계의 확립 이 48.7%로 가 장 많았으나, 개인정보 수집 사업체의 절반도 미치지 못했고, 20.3%에 해당하는 사업체는 특별한 조치를 시행하지 않고 있는 것으로 나타났다. 그 다음으로는 개인정보 침해사고 예방에 관한 매뉴얼 수립(44.6%), 개인정보 침해사고 사후 처리방침 수립(4.6%) 등의 순으로 조사되었다. [표 -2-5]에서 보는 바와 같이 온라인 상에서 개인 정보를 수집하는 사업체 중 55.8%만이 회원 가입 시 이용자의 본인 확인을 위해 대체수단을 이용하였으 며, 본인확인을 위해 주민등록번호와 대체수단을 병 행하여 본인 확인 을 하는 경우가 35.3%, 주민등록번 호 이외의 대체수단만으로 본인 확인 을 하는 경우는 20.5%로 조사되었다. 반면 주민등록번호만으로 본 인 확인 을 하는 경우는 20년 대비 6.%p 상승한 43.8%로 여전히 상당 수의 사업체가 주민등록번호만 으로 본인확인을 하고 있었다. 주요 현황 2 정책실적 및 성과 3 기관별 실적 및 계획 표 -2-49 개인정보 암호화 저장 항목 (단위 : %) 연도 주민등록 번호 비밀번호 계좌번호 신용카드 번호 바이오정보 20년 79.3 74.4 40.6 35.2 7.7 202년 96.6 85.8 72.8 7.8 24.3 4 해외동향 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202) 표 -2-50 개인정보 침해사고의 예방 및 사후 처리를 위한 조치(복수응답) (단위 : %) 구분 침해사고 발생 시 내부 대응체계 및 보고체계의 확립 48.7 비율 부 록 개인정보 침해사고 예방에 관한 매뉴얼 수립 44.6 개인정보 침해사고 사후 처리방침 수립 4.6 개인정보 침해사고 피해상황 점검/증거수집 절차 확립 39.5 개인정보 침해 발생 징후 목록의 작성/관리 38.4 개인정보 피해 발생 시 관련기관 공지 35.0 외부 전문가 활용을 위한 비상 연락망 유지 28.4 특별한 조치를 시행하지 않고 있음 20.3 기타 0.4 출처 : 202년 민간기업 정보보호 실태조사(한국인터넷진흥원, 202)