[보안뉴스=김두현 한국정보화진흥원 개인정보보호사업부 부장] 개인정보보호 교육의 중요성 개인정보보호법 시행 이후 개인정보처리자의 의무가 가중되고 그에 따른 업무절차가 복잡해지면서 개인정보보호를 위한 인식개선 및 역량강화 활동이 더욱 중요하게 되었다.

특히 빈번하게 발생하는 개인정보 유출사고의 원인이 기술적 조치 부족에 따른 원인도 있지만, 개인정보취급자의 인식과 역량 부족으로 인해 발생하는 비율이 높아지고 있다는 점에서 개인정보보호 교육을 통한 인식제고는 필수불가결한 요소라고 할 것이다.

즉 개인정보보호를 단순히 기술이나 법·제도의 문제가 아니라 문화의 문제, 사람의 문제라는 관점의 전환이 요구된다.

개인정보보호 교육의 중요성

이에 효율적인 방안으로 제시된 개인정보보호 교육은 개인정보보호 관련 주요 정책 및 침해사례의 공유를 통해 관련 법령에 대한 이해 및 의식을 고취하고, 안전한 개인정보 처리방안 및 필수 조치사항 전파를 통한 국가사회 전반의 인식 개선을 목표로 추진되고 있다.

현재 개인정보보호 교육은 ‘개인정보보호법’ 제26조, 제28조, 제31조 등을 통해 관련 계획의 수립 및 실시를 규정하고 있다. 법 제28조(개인정보취급자에 대한 감독)에서 개인정보처리자는 개인정보취급 자에게 개인정보의 적정한 취급을 보장하도록 정기적으로 필요한 교육을 실시하도록 요구받고 있다.

또한 제26조(업무위탁에 따른 개인정보의 처리 제한)를 통해서는 개인정보처리업무를 위탁받는 수탁 자에 대해 정보주체의 개인정보가 분실, 도난, 유출, 변조 또는 훼손되지 않도록 교육을 이행할 것을 규정하고 있다. 이러한 개인정보보호 교육 계획의 수립 및 시행에 대한 책임은 제31조(개인정보보호책 임자의 지정)를 통해 각 기관의 개인정보보호 책임자(CPO)에게 부여하고 있다.

개인정보보호 교육 현황
그동안 개인정보보호 교육은 교육대상자별, 교육방식별로 다양하게 추진되고 있다. 교육대상자별 교육은 공공 및 민간부문의 개인정보처리자에 대한 교육과 정보주체에 대한 교육으로 구분해 실시하고 있다. 또한 공공 및 민간 개인정보처리자 대상의 교육은 개인정보보호 책임자 교육, 개인정보보호 업무담당자 교육, 민간사업자 대상 교육, 개인정보보호 실무 전문교육(영향평가사, 인증심사원 등) 등이 세부적으로 실시되고 있다.

2011년 ‘개인정보보호법’이 제정·시행 시기에는 법령에 대한 이해 확산 및 개인정보보호 필수 조치사항을 전파하는데 교육내용이 집중되었으며, 구체적으로는 개인정보 처리단계별 보호조치사항, CCTV 설치·운영방안, 개인정보의 침해사례 및 대응전략 등이 주로 교육되었다. 이후 2013년 8월 제1차 법률 개정을 통해 ‘주민등록번호 수집 법정주의’가 규정됨에 따라 교육의 주요 내용도 주민등록번호 처리 제한, 이에 따른 법위반 사례 및 개선방안, 보호조치 강화방안 등이 중 점 교육되었다.

민간부문 개인정보처리자 교육은 정보통신, 금융, 복지·의료, 교육 등 전문분야별 개인정보처리자의 역량 강화를 위한 맞춤형 교육프로그램이 진행되었으며, 복지, 영세사업자 등 개인정보보호 역량이 취약한 분야를 중심으로 한 교육도 함께 진행되었다.

한편 정보주체 대상의 개인정보보호 교육은 일반 국민, 초중고 학생, 주부 등을 대상으로 하는 교육으로서 개인정보보호에 대한 실천역량을 강화하고 미래세대의 개인정보보호 의식을 확산하기 위한 목적으로 추진되었으며, 개인정보보호의 중요성과 보호방안, 스마트폰 이용 상에서의 개인정보보호 등 일상 속에서 기본적으로 알아야 할 개인정보보호 가이드 등이 전달되었다.

교육방식별로는 기관별 자체교육, 지역별 순회교육, 사이버교육, 지역거점 지원센터 교육, 컨퍼런스·워크숍, 협회·단체 등 민간단체 자율교육, 공공 및 민간 교육훈련기관 교육 등 다양한 형태로 진행 되었다. 그런데 상당수의 공공 및 민간 개인정보처리자는 기관내 인력이나 외부의 전문 강사를 활용 해 자체적으로 개인정보취급자를 대상으로 한 집합교육을 실시하고 있다.

개인정보보호종합지원포털 (www.privacy.go.kr)이나 공공 및 민간 교육훈련기관의 사이버교육센터에서 제공하는 동영상 강의는 지역적으로 교육기회를 갖기 어려운 개인정보처리자 또는 집합교육을 위해 사업장을 벗어나기 곤란한 영세사업자 등에게 적합한 교육방식으로 활용되고 있다.

각 지역별로 분포되어 있는 개인정보처리자를 위해서는 동영상 강의와 더불어 개인정보보호 교육에 대한 접근성 강화를 위해 지역거점 지원센터를 지정해 상시적인 교육이 가능하도록 추진하고 있으며, 지역별 순회교육을 통해 교육수요에 부응하고 있다. 최근에는 업종별 협단체에서 소속 회원사를 대상으로 한 자율적인 개인정보보호 교육도 활발하게 진행되어 업종별 특화된 교육이 이루어지고 있다.

개인정보보호 교육 이행방안
공공 및 민간 개인정보처리자가 소속 구성원이나 업무담당자를 대상으로 교육을 실시하고자 하는 경우, 현재 행정자치부, 공공 및 민간 교육훈련기관, 업종별 협단체 등에서 추진하고 있는 다양한 교육 방식을 활용할 수 있다. 다만, 각 기관별로 자체적인 교육 프로그램을 운영하고자 하는 경우에는 다음과 같은 교육 프로그램의 설계, 개발, 집행, 평가의 단계로 프로그램을 새롭게 개발·운영할 수 있다.

먼저 개인정보보호 교육 프로그램은 기관의 목표에 맞추어 설계되어야 한다. 구성원에 대한 개인정보보호 인식제고 또는 업무담당자의 역량강화 등 기관별 전략적 목표가 무엇인지, 이에 따라 교육이 실제로 필요한지 여부를 설계 단계에서 우선적으로 확인해야 한다.

이와 함께 기관내 교육 대상자(개인 정보 보호책임자, 개인정보보호 업무담당자, 사업별 개인정보보호 담당자, 개인정보취급자 등)별 교 육 수요조사도 진행되어야 한다. 그리고 교육수요에 따라 개발이 요구되는 교육 프로그램간 우선 순위를 결정하고, 이에 대한 예산의 배정까지도 설계 단계에서 이루어져야 한다.

두 번째 단계인 교육프로그램 개발을 위해서는 각 교육 프로그램에 포함될 세부적인 주제(핵심 요소) 들을 선정해야 한다. 교육대상별 요구되는 역량 수준에 따라 개인정보보호를 위한 필요 역량을 정의해야 한다.

예를 들면, 개인정보 보안 인식 강화를 위한 개인정보취급자 교육을 위해서는 적법하지 않은 개인정보 처리에 따른 기관 피해, 고객 피해, 사회 피해 등에 대한 이해가 소주제로 포함될 것이며, 개인정보취급자별 안전한 개인정보 처리를 위한 관리 교육에는 비밀번호 관리, 바이러스 예방, 이메일 관리 등 다양한 주제가 포함될 수 있다.

또한 안전한 개인정보 처리를 위한 관리 교육 프로그램이 기관 내 개인정보보호 업무담당자에게 적용될 경우에는 개인정보취급자에게 요구되는 세부 주제 이외에도 접속기록의 관리, 접근권한의 관리, 암호화 조치, 접근통제시스템 등 보다 전문적인 주제가 필요 역량 에 포함되어 교육 프로그램화 되어야 한다.

세 번째 단계에서 개인정보보호 교육의 성과를 높이기 위해서는 다양한 교육 프로그램의 개발과 더불어 프로그램별 교육 방식의 수립이 필요하다. 즉 각각의 교육 프로그램은 기관별 규모, 교육 내용 등을 고려한 교육 방식의 결정·추진이 요구된다. 기관이 소규모인 경우 집합교육 방식의 교육이 효율적인데 반해, 대규모 기관인 경우 소규모 그룹별 교육이나 사이버 교육이 적절한 방식이 될 수 있다.

또한 교육 내용이 원칙과 기준에 대한 단순한 전달 교육인 경우 강의 위주의 교육이 효과적이지만, 실무적인 전문교육의 경우 실습이 가능한 교육 방식으로 진행하는 것이 적합할 것이다. 마지막 단계로, 개인정보보호 교육 프로그램은 기술의 발전, 개인정보보호 원칙과 기준의 변화, 조직 목표의 우선순위 변동 등에 따라 지속적인 관리가 필요하다.

체계적인 평가를 통해 개인정보보호 인식 수준 제고, 개인정보보호 역량 확대 등 교육에 따른 효과성을 살펴보고, 계획된 성과가 달성될 수 있도록 교육 내용 및 교육 방식 등에 대한 개선활동이 이루어져야 한다. 이상과 같이 효율적인 교육 프로그램을 운영하기 위해서는 각 기관별로 사전 인프라 구축이 필요하다.

첫째, 각 기관별로 개인정보보호 교육에 대한 예산과 담당인력의 확충이 요구된다. 개인정보취급자 1인당 적정한 교육예산을 확보해야 하며, 개인정보보호 교육을 전담하는 담당부서나 전담인력의 확보가 우선적으로 이루어져야 한다.

둘째, 각 기관에서 추진 중인 대부분의 사업이 목표를 달성하기 위해서는 최고 책임자의 관심과 지원이 중요한 요소가 되듯이, 개인정보보호 교육도 활성화되기 위해서는 기관장의 리더십이 무엇보다 중요하다. 기관장은 구성원들에게 개인정보보호의 중요성을 강조하고, 개인정보보호 교육에 대한 인적·물적 자원을 충분히 지원해 주며, 구성원들의 교육 참여를 독려하는 역할을 수행해야 한다.

셋째, 수요자 중심의 개인정보보호 교육으로 전환되어야 한다. 그동안 추진된 각종 교육들은 기관의 관점에서 획일적인 교육의 실시로 교육 수요자의 특성을 고려한 맞춤형 교육이 이루어지지 못한 경우가 많았다. 교육의 실효성을 높이기 위해 전문성, 다양성, 직무관련성 등을 고려한 교육 프로그램 개발·운영이 요구된다.  

개인정보보호 교육이 계획한 성과를 달성하기 위해서는 참여하는 교육생들의 인식개선도 매우 중요하다. 일부 조사결과에 따르면 기관의 구성원 중 개인정보보호 교육을 연간 1회 이상 참여하지 않은 사례가 빈번하게 나타나는 등 교육에 대한 소극적인 태도를 나타내는 경우가 많으며, 특히 개인정보보호가 자신의 주된 업무가 아닌 구성원일수록 소극적 경향은 더욱 강하게 나타나고 있다.

따라서 개인 정보보호 교육에 대한 구성원의 태도 변화와 적극적인 참여를 유도할 수 있는 유인책이 필요하다. 개인정보보호 교육을 통해 얻을 수 있는 궁극적 가치에 대한 적극적인 홍보와 더불어 개인정보보호 교육에 참여한 구성원에게 근무성적 평정시 가점을 부여하거나 상시 학습시간에 확대 반영하는 등의 제도적 유인책도 마련·시행될 필요가 있다.
[글_김 두 현 한국정보화진흥원 개인정보보호사업부 부장(duhyun@hia.or.kr)] 

     <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>