마지막 키노트에서 행정자치부 개인정보안전과 이재근 수석(사진)은 ‘개인정보 관리실태 점검 현황 및 사례’를 주제로 발표를 진행했다.
이재근 수석은 “2015년 IT 수탁사를 집중점검한 결과 80개 IT 수탁사에서 약 45만개 개인정보 처리 사업자 개인정보처리시스템을 관리하고 있었다. 점검 결과 75개 업체에서 403건의 위반 사항을 적발했다”며 “위반항목을 보면 안전성 조치 위반이 62%를 차지했고 서식미흡이 15.9%, 위수탁 계약 및 관리 미흡이 15.6%, 파기 미흡이 4.8%, 고유식별정보 관리 미흡이 1.7%로 조사됐다”고 설명했다.
또 “IT수탁사 안전성 조치 주요 위반 항목을 보면 비밀번호 암호화 미흡이 27.2%로 가장 많았고 접속기록 관리 미흡이 24%, 접근통제 관리 미흡이 21.1%, 암호화 미흡이 15.7%, 보안솔루션 적용 미흡이 10.4%, 관리 계호기 미수립이 1.6%로 나타났다”며 “1개 수탁삭 평균 788개 위탁사 개인정보를 처리하고 있었다”고 전했다.
특히 의료기관 IT수탁사 실태점검 결과, 진료기록관리, 처방전달시스템, 영상정보시스템, 보험심사청구시스템 등을 수탁하고 있었으며 주요 위반사항으로는 접근권한 관리미흡, 접근기록 관리 미헙, 전송구간 암호화(SSL) 미흡 그리고 고객들에게 위탁사항 고지 미흡 등이 문제점으로 지적됐다.
이 수석은 향후 관리실태 점검 방향에 대해 “부처간 협력을 강화해 공동 점검을 추진하고 점검 기업을 공유하며 업종별 위탁규모가 큰 주요 수탁사를 집중 점검해 시스템 기획, 개발단계부터 법 준수가 이루어질 수 있도록 유도해 나갈 것이다. 또 민간 협 단체와 자율점검을 협력해 나가고 실태점검 예고제도를 시행해 나갈 것”이라며 “마지막 4분기에는 산업, 물류, 공공부문을 점검할 계획이며 수탁사로는 정보, 문화 분야를 집중 점검할 것”이라고 말했다.
PASCON 2015 이재근 수석 발표현장
관리실태 점검 방안의 핵심은 ‘자율점검’에 있다. 대상업종 민간 협단체에 자율점검 지침과 점검계획을 안내하고 미리 자율점검을 실시해 미흡사항 개선 계획을 수립 이행토록 한다. 이후 업종별 해당 부처와 합동점검반을 편성해 실태 점검을 실시한다. 자율점검 미수행 기관은 과태료 등 행정처분을 추진한다는 계획이다. 적극 참여기관에는 인센티브를 제공하는 것도 포함돼 있다.
한편 행정처분 결과 공표에 대해 “경각심 고취 및 경고적 예방 효과를 위해 법 위반자 공표를 강화할 예정이다. 위반행위자 명칭, 소재지, 법위반 내용, 행정처분 내용 등을 공지하며 행자부 홈페이지에 공표한다”며 “공표대상은 위반내용, 위반정도, 위반기간, 위반횟수, 피해범위, 피해결과, 시정조치 등이 해당된다”고 설명했다.
행정자치부 개인정보안전과 이재근 수석의 PASCON 2015 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
한편 데일리시큐는 2016년에도 실무에 필요한 핵심적인 정보보안 컨퍼런스를 개최한다. 항상 실무자 중심의 교육 및 정보공유 차원에서 개최되며 정보보호 기업 비즈니스에도 도움이 될 수 있도록 준비하고 있다. 그래서 공공, 금융, 의료, 교육, 기업 개인정보보호 및 정보보안호 실무자들의 참석률이 가장 높은 컨퍼런스로 유명하다.
◇데일리시큐 2016년 컨퍼런스 개최 안내
①2016년 1월: 2016년 모바일 정보보호 컨퍼런스(MISCON 2016)
②2016년 2월: 제4회 금융정보보호 컨퍼런스(SFIS 2016)
③2016년 3월: 제4회 공공-기업 개인정보보호 컨퍼런스(G-Privacy 2016)
④2016년 5월: 제3회 의료기관 개인정보보호&정보보호 컨퍼런스(MPIS 2016)
⑤2016년 9월: 제2회 대한민국 정보보호 인텔리전스 컨퍼런스(K-ISI 2016)
⑥2016년 10월: 제4회 공공-기업 개인정보보호&정보보안 컨퍼런스(PASCON 2016)
위 컨퍼런는 데일리시큐 사이트에 시기별로 등록사이트 배너가 올라간다. 참가업체 및 참관문의는 데일리시큐 길민권 기자(mkgil@dailysecu.com)에게 하면 된다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
