행안부, 대학 등 교육기관 개인정보 관리실태 점검
개인정보 수집 적정성, 보존기간이 경과된 개인정보의 파기 등 중점 점검

[보안뉴스 김경애 기자] “지역주민에게 개방하고 있는 대학 도서관에서 회원 탈퇴에 대한 절차가 없네요.” “oo대학교는 도서관이 지역주민에게 개방되어 있어 지역주민이면 누구나 회원가입을 하면 이용할 수 있습니다. 하지만 회원가입 절차만 있고 탈퇴에 대한 절차는 없습니다. 더 이상 사용하지 않아 탈퇴 요청하는 사용자에 대한 개인정보를 삭제해 주세요!”

“필요 최소한의 정보 외 홍보, 마케팅 등 목적 개인정보 수집에 동의하지 않는다는 이유로 학원 수강 거부는 문제 아닌가요?” “oo학원에서 만족도 조사를 위해 개인정보를 수집하고 있는데, 이를 동의하지 않으면 교육 자체를 받을 수 없다고 하네요. 실제 수집 목적도 마케팅인것 같고, 동의를 하지 않는다고 해서 교육을 받을 수 없다는건 문제가 있는 것 같습니다.”


위 사례는 행정안전부 개인정보침해신고센터(한국인터넷진흥원 운영) 접수된 내용이다. 행정안전부(장관 김부겸)는 교육기관 대상 개인정보 관리실태 현장점검을 지난 3월 1차에 이어 추가로 실시한다고 밝혔다.

대학, 학원, 학점인정기관 등 교육기관은 학생, 수강생, 학부모 등 많은 분량의 개인정보를 보유하고 있어 국가 전체적인 개인정보보호 관점에서 볼 때 지속적인 관리가 매우 필요한 분야다.

이번 점검대상은 앞서 진행된 고유식별정보 안전성 확보조치 실태조사(2018년 4∼6월) 결과 미제출 된 대학 2곳과 자율점검 대상기관으로 선정하여 자율적으로 개인정보 안전조치 수준을 제고토록 했으나 미참여한 학원 2곳을 우선 선정한 것으로 알려졌다. 또한, 기존 점검대상이 아니었던 대학 및 학점인정기관 중 재학생수(6천명 이상)와 매출액(120억원 이상)을 고려해 선정했다. 다만, 소관부처인 교육부 자체 점검을 통해 이미 점검한 대학은 제외했다는 게 행안부 측의 설명이다.

한편, 지난 3월 1차 교육분야 점검 결과, 총 20개 기관(대학 15개, 민간교육기관 5개) 중 18개 기관에서 21건의 법 위반(위반율 90%, 평균 1.2건)이 확인됐다.

주요 위반 사항으로는 전체 21건 중 15건(71.4%)이 안전조치의무(제29조) 위반으로 가장 많았고, 수집동의(제15조제1항) 위반 2건(9.5%), 목적 외 이용·제공 제한(제18조), 동의방법 구분 동의(제22조), 고유식별정보 처리제한(제24조), 업무위탁 문서계약(제26조) 위반은 각각 1건으로 나타났다.


안전조치의무 위반사항 15건을 세분화하면 5개 항목에 53건의 위반사항을 확인할 수 있었다. 안전조치 위반 항목은 ①접근권한 관리(39건) 위반이 가장 많았고, ②접근통제(36건) ③개인정보 암호화(23건) ④접속기록 보관 및 점검(20건) ⑤물리적 안전조치(3건) 위반 순으로 집계됐다.

이번 현장점검의 중점 점검항목은 개인정보 오·남용 예방을 위한 개인정보처리시스템의 개인정보 수집 적정성, 보존기간이 경과된 개인정보의 파기, 업무 위탁시 수탁사 관리·감독, 안전조치 위반 등이다.


점검 절차는 수검기관 현장을 직접 방문하여 개인정보처리 시스템 점검 등을 실시하고, 위반사항이 적발시 즉시 개선토록 조치한 후 개선권고, 과태료·과징금 부과 등 엄정한 행정처분을 시행할 계획이다.

김혜영 행안부 정보기반보호정책관은 “적발위주 점검에서 사전 제공한 위반사례를 참고해 자체 점검과 개선을 유도할 수 있도록 기반을 조성하고, 건전한 내부 통제를 강화할 수 있도록 접속기록 보관 및 점검 등을 중점 점검해 나갈 것”이라고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>