안녕하십니까? 개인정보보호위원회 대변인 김진해입니다.

바쁘신 가운데 브리핑에 참석해 주신 기자분들께 감사의 말씀을 드립니다.

금일 브리핑은 오전 개인정보위원회 전체회의에 상정돼 심의·의결 및 보고된 안건에 관련된 것으로서, 먼저 전반적인 내용을 설명드린 뒤 기자 여러분들의 질문을 받도록 하겠습니다.

아울러, 본 브리핑은 최근 코로나19 상황을 고려해 온라인을 통한 e-브리핑으로도 병행·진행되고 있으며, 기자분들의 질문 또한 브리핑 현장 및 온라인을 통해 받는 방식으로 브리핑을 진행하도록 하겠습니다.

금일 전체회의에 상정 처리된 안건은 총 3건으로 심의·의결 안건이 2건, 보고안건이 1건입니다.

먼저, 한국으로 이전된 개인정보의 처리와 관련한 개인정보보호법의 해석과 적용을 위한 보안규정 개정에 관한 건입니다.

동 보안규정은 작년 9월 제정된 고시로 한·EU 적정성 결정 추진과 관련한 한국 개인정보보호법에 관한 해석 내용을 담고 있으며, EU가 한국 개인정보보호법의 일부 조항에 대한 해석을 추가로 요청해 와 이를 반영하는 것입니다.

주요 내용은 첫째, 개인정보 처리자가 가명처리 목적을 달성 후에도 가명정보를 파기하지 않는 경우 익명 처리가 필요하고 둘째, 국가안보 목적의 개인정보 처리에도 개인정보법의 원칙과 시정조치를 적용한다는 것입니다.

다음으로, 개인정보보호 법규 위반행위에 대한 시정조치에 관한 건입니다.

해당 건은 지난해 신고 접수된 로이예술문화전문학교 등 3개 사업자의 개인정보 침해 사건에 대한 조사 결과 개인정보 파기 위반 및 개인정보 유출, 통지 위반 등의 사실을 확인한 사항입니다.

이에 개인정보위는 해당 사업자들에 대해 과태료 처분을 하였으며, 재발 방지를 위해 지속적인 점검을 해나갈 예정입니다.

마지막 안건은 주요 공공기관 개인정보 처리실태 합동점검 계획에 관한 건으로, 1월 14일 목요일 조간 보도자료로 배포해 드린 바 있습니다.

이 건은 국민의 민감한 개인정보를 대규모로 처리하는 공공기관의 개인정보 유출·오남용으로 인한 피해를 예방하고, 공공부문 전반의 개인정보 보호 수준을 높이기 위한 합동점검 계획에 관한 것입니다.

먼저, 홈페이지 보안 관련 공공분야 기관 웹사이트 전수를 조사하고 언론 보도, 온라인 점검 결과 등을 토대로 20개 지방자치단체를 선정하여 개인정보 처리 과정을 조사하고, 아울러 의료·복지 관련 산하기관 10개, 고용 관련 산하기관 10개, 부동산 관련 1개 산하기관 등에 대한 개인정보 처리실태를 집중적으로 살펴볼 예정입니다.

개인정보위는 오는 2분기까지 행정안전부, 보건복지부, 고용노동부, 국토교통부 등 관계부처들과 합동으로 점검을 실시하고, 주요 민생 분야 공공기관들이 국민의 개인정보를 제대로 보호·관리하고 있는지 면밀히 살펴볼 계획입니다.

한편, AI 챗봇 이루다 논란과 관련해 백그라운드를 전제로 말씀을 드리면, 개인정보보호법에 따르면 이용자의 대화 내용을 AI 학습용으로 활용하기 위해서는 이용자에게 그 사실을 명확히 알리고 사전에 동의를 받아야 합니다.

또한, 보호법에 따르면 동의를 받았다고 하더라도 내용에 민감한 사생활 정보가 포함되어 있을 수 있어 특정 개인을 알아볼 수 없을 정도로... 알아볼 수 없도록 비식별처리 등 안전한 방법으로 처리할 필요가 있습니다.

이와 관련 개인정보위는 금일 본격적인 조사에 착수했으며, 해당 사업자가 이루다 서비스 과정에서 보호법을 위반하는지, 안 하는지 여부를 면밀히 점검하고 이용자의 사적인 카카오톡 대화 내용을 사내에 공유했는지 여부도 아울러 파악할 예정입니다.

이상입니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 공공기관 실태점검 이번 추진하는 게 앞으로도 정례적으로 추진하는 건가요? 아니면 이게 정례적으로 추진하는 게 아니라면 ***

<답변> 혹시 마이크 좀 켜 주시기 바랍니다.

<질문> 의료·복지 분야에 보면 질병관리청도 대상이 들어가 있고 의료·복지 운영시스템 관련 개인정보 오남용 이런 여부를 보신다고 했는데 지난해 9월 확진자, 코로나19 확진자 동선공개 개인정보보호 대책 발표하시고 나서 그 외에도 이와 관련해서 구체적으로 더 들여다보실 게 있는 것인지 아니면 그 보호 강화대책 관련해서 그게 추가적으로 잘 지켜지고 있는 그런 부분들을 점검하시는 것인지에 대해서 알려주시면 되겠습니다.

<답변> 먼저, 첫 번째 질문에 대한 답입니다. 공공기관의 개인정보 유출이 지속적으로 발생하여서 공공기관이 수집·보유 처리하는 민감한 개인정보 유출·오남용 우려가 지속 제기된 바 있습니다.

이에 따라서 저희가, 개인정보위원회가 올해 상반기 정부, 공공기관과 개인정보 처리실태를 합동으로 점검하기 위해서 이 계획이 마련된 것으로 알고 있습니다.

아울러, 코로나 관련 보건 관련 정보, 개인정보는 이것은 별도로 따로 저희가 계획을 세워서 추진할 계획인 것으로 알고 있습니다.

<질문> 지난 9월에 발표하신 보건의료 데이터 활용 가이드라인과 관련해서 여쭤보고 싶은데요. 해당 가이드라인을 통해서 데이터심의위원회를 신설하고 거기에서 약간 심의위원회를 운영하면서 의료정보를, 가명정보를 어떻게 활용하는지를 확인하고 계신 것으로 알고 있습니다. 이런 공공기관 실태조사 계획과 혹시 그 업무가 겹치지는 않는지 아니면 다르다면 어떻게 다른지 여쭤보고 싶습니다.

<답변> 그것은 제가 여기서 답할 사항은 아닌 것으로 보여지는 게 일단 저의 생각이고요. 이것은 아마 보건복지부와 공동으로 하기 때문에 거기에 같이 포함해서 보는지 아닌지는 아마 추후 협의를 해야 된다는 생각이 듭니다.

<질문> 이번에 3개사에 대한 개인정보 파기위반 건에 대한 과태료 처분과 제재 결정에 대한 질문인데요. 문제가 된 구체적인 행위 유형은 무엇이었고, 그리고 과태료는 각각 얼마나 처분받았는지 궁금합니다.

<답변> 지금 로이문화예술전문학교, 이데일리인포, ㈜카카오VX 3개 기관이 징계대상이고요. 그다음 위반내용은 안전조치 위반입니다. 저희 법 29조 사항이고요. 아울러, 여기에 대해서 로이문화예술전문학교에 대해서는 과태료가 450만 원, 그다음에 이데일리인포에 대해서는 과태료가 450만 원, 카카오VX에 대해서는 과태료 600만 원이 각각 부과되었습니다.

<질문> 추가 질문 있는데, GDPR 적정성 협상 관련해서 이번에 이 두 내용이 고시로 제정이 되면서 EU 측에서 제안한 그런... 뭐라 그러죠? 조건에 대해 충족을 한 것 같아 보이는데요. 또, 이것 이외에 EU 측이 요구하고 있는 어떤 조건들은 또 무엇이 있고, 또 GDPR 적정성 앞으로 올해 타임라인이 어떻게 되고 있는지 앞으로 향후 계획이 궁금합니다.

<답변> 이게 원칙적인 말씀을 드리면, 협상적인 사항에 대해서는 세부 내용에 대해서 정확히 말씀드리기는 좀 어려운 사정이니까 이해를 해주시길 바라고요. 여러 가지 현안 사항 중의 하나를 저희가 이것으로써 하나는 해결하는 것으로 이해해 주시면 감사하겠습니다.

아울러, 저희 개인정보보호위원회는 EU와의 적정성 결정을 가능한 조속 마무리 짓도록 하기 위해서 계속, 대면은 어렵겠지만 화상회의를 통해서 계속 협의를 하고 있다는 것까지는 말씀드릴 수 있을 것 같습니다.

감사합니다.

<끝>