개인정보보호위원회(위원장 윤종인, 이하 개인정보위)는 27일 제2회 위원회 전체회의를 갖고 지방자치단체 대상 개인정보보호 법규 위반행위에 대한 시정조치 결과에 대해 발표했다.
개인정보위는 2019년도 개인정보 관리수준 진단점검 결과 보호수준이 미흡한 지방자치단체 30개 기관을 대상으로 지난해 5월부터 7월까지 현장 실태점검을 실시했다.
그 결과, 개인정보처리 시스템 접속기록 미보관, 개인정보 취급자 간 계정 무단공유, 주민등록번호 암호화 미조치, 업무처리 목적 달성 이후 개인정보 미파기 등 총 47건을 적발했다.
27일 전체회의에서 이들 30개 기관에 대해 위반사항에 대해서는 시정조치를 권고했고, 이 중 10개 기관에 대해서 징계권고를 병과했다. 개인정보위는 이들 30개 지자체에 대해 올해 컨설팅 및 교육을 실시할 예정이다.
또 민간사업자 대상 개인정보보호 법규 위반행위에 대한 시정조치 결과는 다음과 같다.
이번에 적발된 사업자는 총 4곳으로 네이처리퍼블릭과 에스디생명공학은 해킹에 의한 고객정보 유출, 그리고 테슬라코리아와 씨트립코리아, 에스디생명공학은 개인정보 유출통지 지연 및 유출신고 위반행위가 각각 적발됐다.
이에 개인정보위는 각 사업자를 대상으로 시정명령을 하고 사안에 따라 과태료 혹은 과징금을 각각 부과할 계획이다.
네이처리퍼블릭은 미상의 해커가 SQL 삽입 공격으로 관리자 페이지에 로그인해 개인정보 14만 건이 유출됐다. 과징금으로는 대략 2천100만 원, 과태료는 1천만 원 정도 부과될 예정이다.
네이처리퍼블릭 건은 개인정보가 유출된 경우로 정보통신망법 제28조 제1항에 따른 개인정보처리시스템에 대한 접근 통제, 암호화 등 개인정보 보호조치를 하지 않아서 과징금과 과태료가 부과된 건이다.
에스디생명공학은 미상의 해커가 쇼핑몰서비스 웹셸 공격을 통해 쇼핑몰 회원정보 1만4천건이 유출됐다.
테슬라는 500여 건의 고객정보가 전기차 보조금 안내 시 실수로 이메일을 동봉 발신해 전체 수신에 이메일 주소를 유출한 건이다.
씨트립은 담당자가 이용자 환불처리 시 실수로 회사 이메일 주소가 아닌 다른 이용자의 이메일 주소를 안내해 이용자 B의 이메일 주소가 유출된 건이다.
한편 지자체 주요 위반사항들을 보면, 개인정보의 수집 시 필수 고지사항 미고지, 목적 달성 후 미파기 등이 6건 정도 포함됐다. 또 주민등록번호 평문 보관, 업무위탁 시 법적 요구사항 미실시 등이 11건. 그 다음이 계정 공유, 접속기록 미보관 등 안전조치 유무건이 30건 적발됐다.
다음은 개인정보보호법 위반에 대한 과태료 부과 기준지침 제정에 관한 건이 논의됐다.
이 건은 개인정보보호법 제75조 및 시행령 제63조에 규정된 위반행위에 대한 과태료 부과의 절차와 기준 등 필요한 사항을 지침으로 정하는 것이다.
주요 내용으로 과태료 처분에 대한 사전통지 및 의견제출 절차, 과태료 면제 및 감경·가중 등 부과기준, 과태료 부과금액의 확정 및 이의제기 등이 규정되어 있다.
이 지침은 27일부터 시행되며, 2020년 8월 5일 이후 발생한 위반행위에 대한 과태료 부과시점부터 적용된다.
마지막 안건은 개인정보보호 법규 위반에 대한 고발기준지침 제정에 관한 건이었다.
이 건은 개인정보보호법 제65조에 규정된 개인정보처리자의 개인정보보호 법규 위반행위를 고발 시 고발대상 및 기준 등 세부사항을 지침으로 정하는 내용이다.
이 지침도 27일부터 시행되며, 2020년 8월 5일 이후 발생한 위반행위에 대한 과태료 부과시점부터 적용된다.
개인정보위는 이번 시정조치와 함께 개인정보 관리수준 미흡 기관에 대한 컨설팅과 교육도 병행할 예정이다.
미흡 기관 개인정보보호 담당자와 취급자를 대상으로, 개인정보의 안전조치 등에 대한 컨설팅과 역할별‧수준별 교육을 주기적으로 진행하여 개인정보보호 역량을 강화할 계획이다.
윤종인 개인정보보호위원장은 “국민의 생활접점에서 대규모 개인정보를 수집‧처리하는 지방자치단체들에 대해 실태점검과 컨설팅을 지속적으로 실시할 계획”이라며 “이를 통해 지방자치단체가 책임감과 경각심을 가지고 개인정보를 보호하도록 해, 국민의 불안감을 해소해 나가겠다“고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★
