개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 2월 8일 제2회 전체회의에서 개인정보보호법(이하 ‘보호법’)을 위반한 4개 사업자에 총 1,600만 원의 과태료 부과를 결정하였다.

개인정보위는 유출·침해 신고, 경찰에서 이첩된 사건에 대해 조사한 결과 보유기간이 경과한 개인정보를 파기하지 않거나 취급 중인 개인정보에 대한 안전조치를 소홀히 하는 등의 보호법 위반 사실을 확인하였다. 

이번 처분대상 4개 사업자의 구체적인 위반 사례는 다음과 같다.

건대동문회관 예식부(KU컨벤션웨딩홀)는 법령에 따른 보유기간이 지나서도 일용직 근로자의 개인정보를 파기하지 않고 시스템에 보유하였으며, ㈜마루느루는 퇴직한 근로자의 개인정보를 법령에 따라 보존할 때 다른 개인정보와 분리하여 저장하지 않아 퇴직자에게 업무 관련 문자를 발송한 사실이 확인되었다.

아주대학교의료원은 웹페이지를 통해 수집한 환자의 주민등록번호를 정보통신망을 통해 송신하면서 암호화 조치를 하지 않아 기술적 보호 조치를 미흡하게 한 것이 드러났고, (재)한국어린이안전재단은 누리집(홈페이지)에 카시트 무상보급 사업 대상자를 공지하는 과정에서 신청자와 자녀의 개인정보(총 2,412명)를 가림 처리(마스킹) 없이 게시하여 열람 권한이 없는 자에게 개인정보가 유출되었고, 개인정보 유출 사실을 안 때로부터 5일을 경과하여 유출 통지·신고하여 보호법 위반으로 판단하였다.

이정은 개인정보위 조사1과장은 “사업자는 근로기준법이나 세법 등 법령에 따라 퇴직 근로자의 개인정보를 보존하는 경우에는 현직 근로자의 개인정보와 분리하여 보관해야 하고, 불필요한 개인정보는 지체없이 파기해야 한다.”라고 강조하였다.

특히 “인사·노무 담당자는 정기적으로 근로자의 개인정보 처리 현황을 점검할 필요가 있다”면서, 최근 개인정보위·고용노동부에서 인사·노무 업무 단계별 개인정보 보호 관련 원칙과 기준을 제시한 ‘개인정보 보호 가이드라인(인사·노무편)(’23.1.31. 발표)’을 참고할 것을 권고하였다.

★정보보안 대표 미디어 데일리시큐!