<이병남 개인정보위원회 개인정보보호정책과장>
개인정보보호위원회 개인정보정책과장 이병남입니다.
긴급한 상황에서의 개인정보 처리에 대해서 설명을 드리도록 하겠습니다.
개인정보보호위원회는 일상생활에서 발생할 수 있는 긴급상황 시 국민의 소중한 생명, 신체, 재산 등을 보호하기 위해 '긴급상황 시 개인정보 처리 및 보호수칙'을 관계부처와 합동으로 마련하고, 9월 29일 오전에 개최된 제16회 개인정보위 전체회의와 오후에 열린 제17차 사회관계장관회의에 동 내용을 각각 보고하였습니다.
긴급상황 시 개인정보 처리 및 보호수칙은 지난 2월 사회적 이슈가 되었던 공유차량을 이용한 아동납치 사건과 같은 사례가 재발되지 않도록, 13개의 관계 법률을 소관하고 있는 11개의 소관 부처와 협의하여 '긴급상황 개인정보처리 관계기관 협의회'를 구성하여 논의하였고, 전문가 자문, 시민·사회단체 의견수렴 등을 거쳐 최종안을 마련하였습니다.
주요 내용을 설명드리도록 하겠습니다.
긴급한 상황을 크게 네 가지로 분류하였습니다. 긴급한 상황을 재난, 감염병 발생, 실종·자살과 같이 생명·신체에 급박한 위험을 초래하는 사건·사고, 급박한 재산손실 등 네 가지로 나누어 근거법령을 소개하고 개인정보 처리 및 보호수칙을 제시하였습니다.
개인정보 처리방법 및 보호수칙도 상세하게 안내하였습니다.
4개의 긴급상황별로 관계기관 등이 개인정보를 처리하는 방법을 수집·이용과 제공 단계로 구분하여 자세하게 설명하였고, 최소수집 원칙, 정보주체 통지, 목적 외 이용·제공 금지, 목적 달성 시 파기 등 개인정보보호 원칙도 준수하여야 한다고 명확히 하였습니다.
또한, 개인정보 처리가 가능한 구체적인 사례를 소개하였습니다.
그동안 관련 기관·사업자 등으로부터 질의가 많았던 사항과 개인정보위원회의 결정례를 Q&A 형태로 쉽게 이해할 수 있도록 수록하였습니다.
향후 개인정보위는 공공기관이나 사업자 등의 업무 현장에서 긴급상황 시 개인정보 처리 및 보호수칙을 잘 활용할 수 있도록 10월 초부터 개인정보위원회의 누리집 및 개인정보보호 포털 등에 동 내용을 공개하고 유관기관에 공유하는 한편, 온·오프라인 교육을 병행해 나갈 계획입니다.
아울러, 긴급상황 개인정보처리 관계기관 협의회를 정례적으로 운영하여 법령 개정이나 환경변화 등으로 안내서 변경이 필요한 경우 지속적으로 수정·보완할 계획입니다.
이번에 마련된 긴급상황 시 개인정보 처리 및 보호수칙을 잘 전파하여 개인정보 처리 미숙으로 국민의 소중한 생명과 재산을 지킬 수 있는 골든타임을 놓치는 안타까운 사례가 더 이상 발생하지 않도록 최선을 다하려고 합니다.
앞으로도 개인정보위원회는 국민생활과 밀접한 분야에서 개인정보가 보다 안전하게 처리·보호될 수 있도록 최선의 노력을 다하도록 하겠습니다.
이상입니다. 감사합니다.
[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 우선 여기 3페이지 상단에 3번에 보면 실종·자살에 납치도 포함되는 거죠?
<답변> (이병남 개인정보보호정책과장) 네, 그렇습니다.
<질문> 그리고 1페이지 사례 두 번째, 세 번째, 두 번째 하고 세 번째, 그러니까 말하자면 이것 제공해야 됩니까? 당사자, 두 번째 사례 동의 없이.
<답변> (이병남 개인정보보호정책과장) 두 번째 사례, 식당 사례. 네, 저희 감염병에, 감염병 예방법에 근거규정이 있습니다. 그래서 제공하는 것이 맞습니다.
<질문> 세 번째도?
<답변> (이병남 개인정보보호정책과장) 네, 그렇습니다. 재난안전법에 화재 진압 및 피해자 구조의 목적으로 개인정보를 처리할 수 있습니다.
<윤정태 개인정보보호위원회 조사2과장>
안녕하십니까? 조사2과장 윤정태입니다.
개인정보보호위원회는 오늘 제16회 전체회의에서 아마존 클라우드 서비스를 사용하는 야놀자, 스타일쉐어, 집꾸미기, 스퀘어랩 4개 사의 개인정보보호법규 위반행위에 대해 총 1억 8,530만 원의 과징금과 8,300만 원의 과태료 부과, 시정명령, 공표 등의 시정조치를 내렸습니다.
개인정보위원회는 개인정보 유출신고 및 언론보도 등을 계기로 각 사업자에 대해 조사에 착수했으며, 900만 건이 넘는 개인정보가 유출된 본 사안에 대하여 조사 결과 4개 사업자 모두 아마존 클라우드 서비스 관리자 접근권한을 IP로 제한하지 않아 권한이 없는 자가 접근권한만 확보하면 외부 인터넷 어디서나 접속할 수 있도록 운영하였고, 1년 이상 장기 미이용자의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하지 않았습니다.
개인정보보호위원회는 클라우드 서비스가 광범위하게 이용되는 상황에서 클라우드 서비스 이용 사업자가 개인정보처리시스템을 구성·운영하면서 기초적인 조치를 하지 않아 개인정보가 유출되는 사고가 발생됨에 따라 업계의 의견을 수렴하여 클라우드 서비스 제공 사업자와 이용 사업자가 준수해야 할 사항을 마련하여 적극 홍보해 나갈 계획입니다.
감사합니다.
[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 여기 이번 케이스같이 되는 게 처음 사례입니까? 처음 발생한 부과 조치입니까?
<답변> (윤정태 조사2과장) 저희가 AWS, 굳이 업체를 지정할 필요는 없을 것 같고요. 왜냐하면 아마존이 문제가 생긴 것은 아니었으니까. 클라우드를 이용하는 사업자들 대상으로, 이용하는 사업자들 대상으로 조사를 해서 처분한 것은 처음입니다.
<질문> 그리고 두 번째, 1페이지 하단에 보면 1년 이상 장기인데요. 이게 애플리케이션에 따라서는 장기 기간의 차이도 있겠지만 장기 미사용하면 이메일 같은 것으로 통보를 하지 않습니까? 이것 해지... 관련된 약관 같은 것을 한번 검토하신 거죠?
<답변> (윤정태 조사2과장) 예, 그리고 저희 지침이나 고시사항에도 1년 이상 장기 미이용자에 대해서는 조치를 취하도록 명시되어 있습니다.
<질문> 제가 이것 제안돼서 말씀드리는데요. 과징금하고 과태료는 무슨 차이가 있습니까?
<답변> (윤정태 조사2과장) 과태료는 우리가 그냥 법규 위반행위에 따라서 잘못해서 내는 돈이라고 생각하시면 될 것 같고요. 과징금 자체는 행위를 통해서 어떤 이익을 취했다, 금전적인 이익을 취했다 했을 때 거기에 부과되는 벌금 개념입니다.
그래서 과징금을 매길 때는 보통 매출액 산정으로 기준을 해서 매기게 되고요. 과태료는 그냥 위반사항에 대해서 법에 정해진 바에 따라서 해당되는 금액만 부과하면 됩니다.
<질문> 구체적인 피해 사례 2개만 적시할 수 있습니까? 이분들이 개인정보 관리 소홀 내지 부실 등으로 인해서 발생한 구체적인 피해 사례 같은 것을 좀.
<답변> (윤정태 조사2과장) 이 건에 대해서는 저희가... 잠시 제가 좀 확인하겠습니다. 스퀘어랩 같은 경우는 민원이 들어왔고요. 민원이 들어왔고, 관련해서 해커가 다크웹에도 업로드를 해서 피해가 발생되었습니다.
<질문> ***
<답변> (윤정태 개인정보위 조사2과장) 예, 요청해 주시면.
<끝>