<박영수 개인정보보호위원회 조사1과장>
안녕하십니까? 조사1과장입니다.

오늘 제8회 개인정보보호위원회 회의에서 개인정보 보호 법규를 위반한 8개 사업자에 대해 시정조치 의결한 결과를 말씀드리겠습니다.

이번 사례는 민원신고, 타 기관 이첩, 언론보도 등을 계기로 조사를 실시하였고, 크게 세 가지 유형의 위반사실이 확인되었습니다.

먼저, 개인정보 수집과정에서 정보주체의 동의를 받지 않는 등의 위반행위와 관련하여 ㈜하나은행 등 4개 사업자는 동의 없이 개인정보를 수집하거나 법령에 정한 고지사항 누락, 광고 등 선택동의 사항을 구분하지 않고 필수동의로 받는 행위, 업무 위·수탁 문서에 포함할 법적 기재사항 누락 등의 위반사항이 확인되었습니다.

다음으로 안전조치 미흡에 따른 개인정보 유출과 관련하여 의료법인 메디피아 등 2개 사업자는 안전성 확보 조치를 다하지 않고, 민감정보나 주민등록번호가 포함된 진단서 등 문서를 노상 쓰레기장 등에 버린 채 방치하여 개인정보가 유출된 사실이 확인되었습니다.

끝으로 ㈜케이티와 ㈜엘지유플러스는 이용약관상 보유기간이 지난 개인정보 등을 파기하지 않은 행위가 확인되었습니다.

위원회는 8개 사업자의 이러한 법위반 행위에 대해 각각 100만~900만 원, 총 3,220만 원의 과태료를 부과하고, 이에 더해 안전성 확보조치를 하지 않아 주민등록번호가 유출된 내과의원에는 1,562만 원의 과징금을 부과하였으며, 개인정보 처리업무를 위탁하면서 관리감독을 소홀히 한 하나은행에는 관리감독을 철저히 할 것과 직원에 대한 개인정보 보호교육 실시 등 개선권고를 했습니다.

개인정보 처리는 수집·이용부터 파기까지 전체 과정 중 어느 것 하나 소홀히 할 수 없다는 대원칙 아래, 앞으로도 개인정보 처리를 소홀히 한 행위에 대해서는 법에 따라 엄정히 처분토록 하겠습니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 궁금한 내용이 개인정보 유출 관련해서 지금 메디피아 의료법인과 의원에서 주민등록번호와 개인정보가 유출된 사건들이 있잖아요. 이후에 이런 게 어떤 식으로, 유출된 피해에 대해서 어떤 식으로 조치가 이루어졌는지도 궁금하고요.

또 케이티와 엘지유플러스 같은 경우에는 개인정보를 파기하지 않아서 과태료를 받았는데, 파기하지 않은 개인정보의 규모나 그 이후에 후속 조처들이 어떻게 이루어지고 있는지 궁금합니다.

<답변> (박영수 조사1과장) 먼저, 유출 관련해서 말씀드리겠습니다. 이번에 유출된 2건은 정보통신망을 통한 유출이 아니라 오프라인상에서 유출인데, 예를 들면 의료법인 메디피아 의원 같은 경우에는 내부에서 내시경검사실을 이전하는 과정에서 조직병리진단보고서가 분리수거장에 버려진 채 방치되어 있는 것을 제3자인 신고인이 발견해서 신고하게 된 사안이고요. 내과 의원도 유사한 사례인데, 이 경우에도 쓰레기장에 방치되어 있는 것을 제3자가 신고한 케이스입니다.

그리고 케이티, 엘지의 미파기 관련해서 어떻게 보면 큰 규모라고 보기는 조금 어려운데, 이게 케이티나 엘지유플러스 동의 자동파기시스템을 가동하고 있습니다. 그런데 이 자동파기시스템에서 케이티 같은 경우에는 위치정보 제공사실이 최대 1개월간 파기 또는 분리 저장되지 않았는데, 매 반기 종료된 날로부터 30일 이내에 국회, 방통위에 제출하기 위해서 1개월 동안 보관한다, 이런 이유로 했는데, 사실은 그 대상에 포함되지 않는 정보도 포함돼 있어서 여기에 대해서 몇 건이라고 저희가 밝혀드릴 수 있는 그 건은 아니고요. 그 기간 중의 정보, 이렇게 판단하시면 되겠습니다.

그리고 엘지유플러스 같은 경우에도 자동파기시스템이 시스템상에 파기하는 날짜를 30일 그다음에 2월 같은 경우에는 28일 이렇게 하고 있었는데, 해당 시기에 31일 날짜, 그다음에 2월 같은 경우에 29일까지 있는 때가 있어서 그 기간 중에 자동파기 되는 10분에서 20분 사이에 정보가 그 기간 중에 파기가 되지 않은 겁니다.

<질문> 하나만 더 추가로 여쭤보고 싶은데요. 그런데 이 분리수거장에 개인정보가 유출됐다고 하면, 사실상 일상 속에서 그런 식의 개인정보 유출이 굉장히 빈번하게 일어나고 있을 것 같아서요. 이전에도 택배라든가 통신 대리점 이런 부분에서 어떤 개인정보가 유출되는지 실태조사를 벌이시겠다고 하셨던 기억이 있어서, 혹시 이런 부분도 포함하실 계획이 있을지 궁금합니다.

<답변> (박영수 조사1과장) 이 부분에 지금 기획점검을 한다든지, 노상 쓰레기장에 방치되고, 이런 건들에 대해서 특정할 수가 없어서 저희 법체계에서는 법위반이 확인되거나, 신고가 있거나, 이런 경우에 조사를 하게 되는데, 정책적인 점검 이것은 별론으로 하고, 실제 조사는 지금 상황에서는 특별히 계획하고 있는 건 없습니다.

<질문> 하나만 질문을 하고 싶은데요. 하나은행 과태료 처분 관련해서 이게 작년에 있었던 DLF 금융 요청 거래정보 넘긴 사건, 그것 때문에 과태료 처분을 받은 건가요?

<답변> (박영수 조사1과장) 그것과 연관이 되어 있고요. DLF 관련해서 금감원에서 검사를 하게 되어 있었는데, 검사에 대비해서 직원들, 내부 직원들 36명의 이메일이나 이런 자료들, 검사에 필요한 자료로써 동의를 받고 했습니다. 동의는 받았는데, 동의할 때 고지항목이 네 가지가 있는데, 그중에 두 가지를 누락했습니다. 그래서 그것 때문에 고지 누락으로 과태료를 받게 됐습니다.

<질문> *** 어떤 고지의무인지 혹시 여쭤 봐도 될까요?

<답변> (박영수 조사1과장) 직원 동의를 받은 사실은 확인이 됐고, 네 가지 고지사항 중에 ‘보유 이용기간’, ‘동의를 거부할 권리 및 거부 시 불이익’ 이 두 가지를 누락했습니다.


<김직동 개인정보보호위원회 신기술개인정보과장>
안녕하십니까? 신기술개인정보과장 김직동입니다.

금일 전체회의에서 논의한 AI 관련 개인정보보호 자율점검표에 대해 추진 경과와 주요 내용을 간략히 말씀드리겠습니다.

자율점검표는 AI 개발자·운영자가 반드시 알아야 할 개인정보보호 법령상 준수사항과 참고사항이 수록되어 있고, 현장에서 자율적인 개인정보보호 점검에 활용 가능합니다.

최종본은 금일 회의에서 제시된 의견을 반영하여 5월 말 공개할 예정입니다.

개인정보위는 AI 서비스에서 발생할 수 있는 개인정보 침해예방 연구를 지난해부터 진행해 왔습니다. 올해 2월부터는 AI 개인정보보호연구반을 운영하였고, 이와 함께 다양한 분야의 전문가 논의를 거쳐 이번 자율점검표를 마련하게 되었습니다.

AI 개발·운영 과정에서 개인정보를 적법하고 안전하게 처리할 수 있도록 개인정보보호법상 지켜야 할 준수사항들을 수록한 안내서이며, 6대 원칙, 자율점검 총괄흐름표, 개인정보 처리단계별 16개 점검 분야에 대한 54개 세부 확인항목 등으로 구성되어 있습니다.

6대 원칙과 총괄흐름도는 보도자료의 붙임자료를 참고해 주시기 바랍니다.

자율점검표는 AI 개발자·운영자의 자율적 점검뿐만 아니라 교육에도 활용 가능하며, 특히 AI 스타트업 등은 개인정보보호법에 대한 이해와 법률해석 등에 어려움을 겪고 있어 자율점검표가 주요 사항을 점검하는 데 도움이 될 수 있을 것입니다.

개인정보위는 AI 업계의 개인정보보호 관련 어려움 해소를 위한 현장 컨설팅 등을 추진하여 편리하고 안전한 AI 서비스 이용환경 조성을 지원할 계획입니다. 아울러, 현장의 목소리와 AI 기술발전 등을 반영하여 자율점검표를 지속적으로 보완할 예정입니다.

최근 AI 챗봇으로 인한 사생활 침해 등 다양한 윤리적 이슈가 발생하고 있는데, AI 개발·운영 과정에서 방대한 개인정보가 활용될 수 있어 그 어느 때보다도 개인정보보호의 중요성이 부각되고 있습니다.

개인정보위는 이번 자율점검표를 시작으로 개인정보를 적법하고 안전하게 처리하여 사생활이 보호되고, 나아가 신뢰할 수 있는 AI 이용환경이 되도록 지속적으로 지원해 나갈 계획입니다.

이상입니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 오전 전체회의에서 이루다 사태를 적극 반영해서 이 자율점검표를 만들었다고 이해를 했는데요. 어떤 내용들이 구체적으로 들어갔을지 설명이 듣고 싶습니다.

그리고 또 하나만 더 여쭤보자면, EU AI Regulation 같은 데를 보면 인공지능이 잘못 활용됐을 때 굉장히 센 벌칙 규정들이 들어가 있더라고요.

그런데 자율점검표를 만드신 것을 보면 아무래도 중소기업이나 스타트업들이 개발단계에서 어려움을 겪는 것을 많이 고려하신 것 같은데, 이런 기존 개인정보보호법에서 이렇게 신기술에서 발생하는 개인정보 이슈들을 포괄할 수 있다고 보시는지, 아니면 추가적인 조치들이 필요하다고 보시는지 궁금합니다.

<답변> (김직동 신기술개인정보과장) 일단 첫 번째 질문, 이루다와 관련해서는 저희가 이루다... 이미 저번에 아마 이루다 조사처분 결과에 대해서 브리핑도 있었던 것으로 아는데, 저희가 파악하기에는, 제가 파악하기에는 8개의 항목에 대해서 과태료 또는 과징금 처분이 있었던 것으로 알고 있고요.

그 각각의 사안에 대해서 그런 사안들이 조금 점검표에 표현이 되어서 나중에 그런 사례를, 비슷한 사례가 발생하지 않도록 저희들이 반영을 했고요. 구체적으로 어느 조항에 뭘 했다는 것은 저희가 5월 말에 구체적인 점검표를 마련할 때 그때 다시 한번 말씀드리면 될 것 같습니다.

그리고 두 번째 질문하신 EU AI Regulation 관련해서 EU가 최근에 AI 관련법을 만들겠다, 만들어진 것은 아니고요. 그런 것들에 고민이 있어서 그게 고위험 AI라든지 이런 것들에 대해서 위험성에 대해서 이야기를 하고 있는 상황입니다.

이제 그런 개인정보보호법에 질문하신 게 그런 ‘신기술 관련해서 다 어떻게 담을 수 있겠느냐?’라는 이야기가, 어떻게 보면 제 개인적인 생각에는 동의도 하는 면도 있고 다 커버가 된다고도 볼 수 있습니다. 기본적인 개인정보보호 원칙상은 다 신기술, AI가 됐든 다른 신기술 서비스에도 원칙은 적용될 것 같고요.

그 구체적인 각론에 들어가서 이런 원칙들이 지켜졌는지, 안 지켜졌는지는 세부적인 사항이라든지 그때의 환경이라든지 이런 다방면적인 것들을 고려해서 결정해야 되는 상황이고요.

그렇기 때문에 저희가 자율점검표에서는 개인정보보호법상에 있는 주요 원칙들을 조금 더 쉽고 간결하게, 개인정보보호법에 대해서 전혀 모르는 사람들도 쉽게 따라갈 수 있는 형태로 접근했습니다, 이번에. 이상입니다.

<질문> (사회자) 온라인을 통해서 질문을 받아보겠습니다. 지디넷코리아의 기자님께서 질문을 주셨는데요. 첫 번째로 AI 개인정보보호 자율점검표에 대해서 수정 의견이 나와서 이를 반영하겠다고 하셨는데, 어떤 부분이 전체회의에서 논의가 되었습니까?

그리고 또 두 번째 질문 마저 같이 드리겠습니다. 자율점검표가 공개되면 AI 개발기업이 구체적으로 어떤 어려움을 해소할 수 있을지, 예를 들어서 기업들이 개인정보보호법을 두고서 자주 혼란을 겪는 부분들이 어떤 부분들이고, 자율점검표를 통해서 이런 부분들을 해소할 수 있을지, 이런 질문을 주셨습니다.

<답변> (김직동 신기술개인정보과장) 크게 두 가지 질문인 것 같습니다. 첫 번째 질문, 오늘 전체회의에서 어떤 수정사항이 나왔느냐고 하는데, 큰 16개 점검항목, 54개 확인항목 중에서 특정한 것들에 대한 코멘트라기보다는 전체적인 구성이나 표현에 있어서 저희들이 총괄흐름표 같은 것들을 저희들이 안에 쉽게, 공학상에서 보면 플로차트 같은 이런 것에서, 이런 흐름에서 이런 항목들이 맞으면 이렇게 가고 저렇게 가고 하는 전체적인 처리흐름도 같은 것들이 있는데, 그런 것들에 대해서 위치를 조금 더 알기 쉽게 앞으로 간다든지, 이런 구체적인 표현 문구라든지 이런 쪽에 좀 사소한 것에 대한 것들이 많았고요. 전체적인 큰 틀의 변화는 없다고 보시면 될 것 같습니다.

그리고 전반적인 위원들의 평은 아주 큰 도움이 될 것 같다는 긍정적인 편이 많았었고요. 그런 정도로 대답을 드리면 될 것 같고요.

이런 것들이 아까 스타트업이나 이런 데에, 어려움이 해소되는 데 도움이 될 것이냐는 데에 대해서는 저희가 이런 것을 준비하는 과정에서 많은 다양한 AI 업계들도 만나봤고요. 중소업계 만났고, 법조계, 학계들 다 만나봤는데, 개인정보보호법...

개인정보의 필요성이나 개인정보보호법이 없는, 잘 모르는 업체들도 많았고, 개인정보가 중요하다고 안다고 하더라도 어떻게 뭘 해야 될지를 잘 모르는 게 많았기 때문에 개인정보보호법이라든지 개인정보보호법에 관련된 해설서라든지 이런 것들을 조금 어떻게 보면 좀 중요한 부분만 보기 쉽게 만들었다는 것이고요.

이것을 잘 따라가게 되면, 저희가 8개 단계를 지금 수집·이용단계, 파기, 보관, 이런 것뿐만 아니라 상시적인 점검, 이렇게 해서 한 8개 정도의 단계를 구성했는데요. 각 단계마다 다 의미가 있겠지만, 굳이 좀 중요한, 도움이 될 파트를 보라고 하면 대부분 AI서비스를 하면 이런 서비스를, 새로운 서비스를 개발한다든지 이럴 때 어떻게 동의를 명확하게 받으라든지, 또는 학습이나 실제 서비스 운영관계에서, 학습단계에서 데이터 활용을 어떻게 가명처리 한다든지 익명처리 한다든지 이런 것들에 대해서 좀 구체적인, 그런 체크... 점검 항목이라든지 확인 항목들을 넣었기 때문에요. 저희 나름대로는 처음 접하는 개인정보에 대해 잘 모르는, 그리고 좀 규모가 작고 인공지능을 새로 접목하려는 이런 기업에는 많은 도움이 될 것으로 예상을 하고 있습니다.

<답변> (사회자) 저희가 현장 그리고 온라인을 통해서 질문과 답변을 드렸는데요. 혹시 마지막으로 추가적인 질문을 하실 분 계시면 질문해 주시기 바랍니다.

질문이 없으시면, 오늘 브리핑을 마치겠습니다. 고맙습니다.

<끝>