30개 지자체 개인정보보호법 위반 47건 적발돼…12곳 징계권고 부과

30곳 중 27곳에서 '개인정보처리 시스템 접속기록 미보관'

개인정보위 출범후 공공기관 법 위반에 책임 물은 첫사례

전국 지방자치단체 30개 기관이 개인정보보호법을 위반하고 개인정보보호에 미흡하게 대처한 것으로 드러났다. 개인정보보호위원회는 이들 기관에 시정권고 처분을 내리고 그중 12개 기관에는 징계권고를 함께 부과했다.

법 위반 기관 30곳 중 개인정보처리 시스템 접속기록 미보관으로 적발된 사례가 27곳으로 가장 많은 비중을 차지했다. 6년전 의무화된 관리업무를 위해 필요한 '개인정보 접속기록 관리 솔루션'을 도입하지 않았거나 솔루션을 엄격하게 운영하지 않아 문제가 된 것으로 보인다.

개인정보 접속기록 관리 솔루션은 개인정보의 안정성 확보조치 기준 고시와 관련 법 규정에 맞게 전산시스템에서 개인정보를 수집, 저장, 이용, 제공, 파기하는 등의 행위 이력과 근거를 기록하는 수단이다. 지난 2015년 개정된 개인정보보호법과 행정안전부 고시에 의해 기관마다 개인정보처리시스템에 접속한 기록을 일정기간 보관·관리해야 하는 의무가 생겼다. 대다수 공공기관은 이에 대응해 개인정보 접속기록 관리 솔루션을 도입하기 시작했다.

27일 개인정보보호위원회는 작년 8월 5일 출범 후 공공기관 개인정보보호법 준수 실태를 조사해 위반 책임을 물은 첫 사례를 이같이 발표했다.

개인정보위는 지난 2019년 개인정보 관리수준진단 점검 결과 모호수준이 미흡한 지자체 30곳 대상으로 작년 5월부터 7월까지 현장 실태점검을 실시했다. 개인정보처리 시스템 접속기록 미보관(27곳), 개인정보 취급자간 계정 무단공유(19곳), 주민등록번호 암호화 미조치(1곳), 업무처리목적 달성 이후 개인정보 미파기(1곳) 등 30개 기관 47건의 위반사례를 적발했다.

개인정보위는 이번 시정권고 처분과 함께 개인정보관리수준 미흡 기관 대상으로 컨설팅·교육을 병행한다. 미흡 기관 개인정보보호 담당자와 취급자 대상으로 개인정보 안전조치 컨설팅 및 역할별·수준별 교육을 주기적으로 진행해 개인정보보호 역량을 강화한다는 계획이다.

윤종인 개인정보보호위원장은 "국민의 생활접점에서 대규모 개인정보를 수집·처리하는 지방자치단체들에 대해 실태점검과 컨설팅을 지속 실시할 계획"이라며 "이를 통해 지방자치단체가 책임감과 경각심을 가지고 개인정보를 보호하도록 해 국민의 불안감을 해소해 나가겠다"고 말했다.
 

[사진=개인정보보호위원회 제공]