<서남교 개인정보보호위원회 대변인>
안녕하십니까? 개인정보보호위원회 서남교 대변인입니다.
개인정보보호위원회는 오늘 전체회의에서 분쟁조정위 개인정보 유출사고 조치 결과에 대하여 조사검증위원회에서 검증내용을 논의한 결과를 보고받았습니다.
이 안건은 분쟁조정위원회가 지난해 11월 페이스북 집단분쟁조정안을 신청인에게 이메일로 통보하면서 181명의 개인정보가 유출되어 자체조사를 실시하였으며, 객관적인 조사 진행과 합당한 조치를 했는지 검증하기 위하여 5명의 중립적인 외부전문가로 조사검증위원회를 구성하고 두 차례에 걸쳐 회의를 개최하여 검증을 진행하였습니다.
조사검증위원회는 동 건이 개인정보 유출 신고·통지 의무와 안전성 확보조치 의무 위반에는 해당하지 않으나, 취급자의 관리감독 의무 위반 소지가 있다고 판단하였습니다.
다만, 과거 유사 사례에서 시정권고가 이루어진 점 등을 감안하여 개인정보보호위원회가 개인정보 유출사고 재발방지 대책 등 시정내용과 자정계획을 국민에게 알리는 것이 바람직하다는 의견을 제시하였습니다.
이에 따라 저희 개인정보보호위원회는 개인정보가 포함된 전자우편 전송 시 비밀번호를 설정하고, 개인정보 처리대장에 기록하는 등 업무 프로세스를 개선하였으며, 업무망에서 인터넷망으로 자료를 전송할 때에는 부서장이 사전에 확인할 수 있도록 업무체계를 개선하였습니다.
또한, 주기적으로 개인정보 유출방지를 위한 자체점검과 시범교육을 실시하고, 이번 달 내에 개인정보 포함 문서를 외부에 전송할 때 자동필터링 차단되는 시스템을 적용할 계획입니다.
이번 일로 국민 여러분께 심려를 끼쳐드린 점에 대하여 다시 한번 사과드리며, 개인정보 유출사고 재발방지 대책을 잘 이행하여 국민 여러분의 신뢰가 회복될 수 있도록 최선을 다하겠습니다.
감사합니다.
[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 내용 잘 들었고요. 이것 현재 이제 앞으로 개인정보 분야 중점 점검계획 여기에 언급돼 있는데, 구체적으로 설명 좀 부탁드려도 괜찮을까요?
<답변> (서남교 대변인) 저희가 아마 이 건을 포함해서 2월 말, 빠르면 3월... 빠르면 2월 말 아니면 3월까지 공공 분야 개인정보보호 대책을 마련해서 시행할 계획입니다. 그것 관련해서 대책을 마련해서 시행하고 또 점검도 하려고 하고 있습니다.
<답변> (관계자) 법무감사관 담당관입니다. 일단 내부의 시스템 자체에 대한 문제가 조금 부각이 됐었기 때문에요. 내부 개선, 내부 시스템에 대한 개선을 할 것이고, 또 외부에 대한 부분도 필요하다면 거기에 대한 대책을 마련하도록 하겠습니다.
<윤정태 개인정보보호위원회 조사2과장>
안녕하십니까? 조사2과장 윤정태입니다.
개인정보위는 오늘 제3회 개인정보위 전체회의에서 개인정보보호 법규를 위반한 한국교육방송공사와 키움에셋플래너㈜에게 총 2억 443만 원의 과징금과 100만 원의 과태료를 부과하기로 결정하였습니다.
개인정보위는 언론보도를 토대로 조사에 착수하였으며, 한국교육방송공사가 '머니톡' 방송 프로그램에서 재무상담을 목적으로 수집한 개인정보를 키움에셋플래너에게 제3자 제공하였고, 키움에셋플래너의 보험설계사가 해당 개인정보를 수집 목적과 달리 보험상품 권유·판매 등 마케팅에 이용한 사실을 확인하였습니다.
조사 결과, 한국교육방송공사는 전화로 상담을 신청한 정보주체에게 법정 고지사항인 '제3자 제공'과 관련된 내용을 안내하지 않았고, 총 5,501명의 개인정보를 수집하여 재무상담을 목적으로 키움에셋플래너에게 제공하였습니다.
이는 개인정보를 정보주체의 동의 없이 제3자에게 제공한 행위로 구 정보통신망법 위반에 해당하여 5,104만 원의 과징금과 시정명령 등 조치를 내렸습니다.
키움에셋플래너는 한국교육방송공사로부터 제공받은 개인정보 중 2만 8,155명의 정보를 보험 권유 및 판매 등에 활용하여 총 4,066명과 보험상품 계약을 체결하였습니다.
키움에셋플래너가 당초 한국교육방송공사에게 전문가 상담을 목적으로 제공받은 개인정보를 보험상품 권유·판매 등에 이용한 행위는 개인정보를 제공받은 목적 외로 이용한 행위로 개인정보보호법을 위반하였습니다.
또한, 키움에셋플래너는 한국방송교육공사의 머니톡 누리집에서 자동으로 연결된 키움의 상담 신청접수 화면을 통해 시청자의 개인정보를 수집하면서 '금융상품 안내 및 판매 권유'에 대한 사항을 명확히 알리지 않고 1,953명의 개인정보를 수집하였습니다.
이는 서비스 홍보 및 판매를 권유하기 위하여 개인정보 처리에 대한 동의를 받는 과정에서 정보 주체가 명확히 인지할 수 있도록 알리지 않은 행위로 개인정보법 위반에 해당하므로 1억 5,339만 원의 과징금과 100만 원의 과태료 및 시정명령 등 조치를 내렸습니다.
방송의 공익성·공공성을 고려할 때, 방송프로그램을 매개로 개인정보를 수집·이용·제공하는 개인정보처리자는 정보주체인 시청자가 개인정보 처리에 대해 명확히 인지할 수 있도록 알려야 할 뿐만 아니라 더욱 신중하고 엄격하게 개인정보를 관리하여야 합니다.
개인정보위는 시청자의 개인정보를 부당하게 수집·이용한 본 사건에 대해 엄중히 인식하고 있으며, 올해 업무계획에도 포함하여 보험업계의 개인정보 처리행태를 집중적으로 점검해 나갈 계획입니다.
부가적으로 말씀드리면 숫자가... 개인정보 유출된 숫자가 EBS 쪽에서는 5,501명으로 적시되어 있고, 그다음에 키움 쪽에서는 2만 8,000명하고 2,000명 정도로 적시되어 있습니다. 그래서 약간 혼란스럽다는 의견을 주신 분이 있었는데, 조금 더 상세하게 말씀드리자면 EBS 측에서 전화상담원을 통해서 먼저 접수를 받았는데, 그러니까 방송 프로그램이다 보니까 아마 홈쇼핑을 생각하시면 될 것 같습니다. '고객들이 몰려들고 있습니다.', '바쁘시니 이름하고 성명하고 연락처를 남겨주시면 나중에 전문상담사가 전화를 드릴 겁니다.' 이런 형태로 되었고요. 받은 것 자체는 3만 명가량이 되는데 이제 위법성 판단 관련해서 법을 위반한 사항은 5,000명입니다.
그렇게 된 이유는 방송 스크립트를 두 차례에 걸쳐 변경하면서 첫 번째는 개인정보를 키움에 준다는 설명은 하지 않았지만 2차, 3차에는 키움에 준다고 설명을 하였습니다. 그래서 위법한 것은 첫 번째, 키움에 주겠다고 설명을 하지 않은 분들이 5,500명이 되기 때문에 EBS는 거기에 대한 조치를 받은 겁니다.
그리고 반대로 키움 측 입장에서는 EBS를 통해서 한 2만 8,000명 정도의 정보를 받았는데, 거기에는 통화를 통해서 전화상담 신청한 분들이 다 포함되어 있겠죠. 그 부분을 했는데 목적 외로 실제로 재무상담으로 받았는데 그 목적을 넘어서 금융상품 안내 및 보험 가입을 유도하였습니다.
그래서 그게 위법 사항이 목적 외로서는 위법 사항이 2만 8,000명 정도 되고, 다시 보도자료 하단에 보시면 2,000명은 전화상담 외 실제로는 EBS 홈페이지에 들어가서 클릭을 하면 키움 홈페이지로 연결되어서 수집한 게 있습니다. 그러나 수집주체가 EBS는 아니고 키움이기 때문에 그것은 별도로 계산해서 2,000명을 별도로 적시하였습니다.
이상입니다. 감사합니다.
[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 유출된, 그러니까 EBS가 키움에셋플래너에 팔아넘긴 5,501명 개인정보 혹시 세부 내용도 알려줄 수 있나요? 예를 들어 성별이나 연령대 이런 것들을 세부적으로 지금 어떻게 나왔는지 알 수 있는지 궁금하고요.
그 유출된 정보는 현재 어떻게 회수가 된 건지, 조치가 어떻게 됐는지도 알고 싶고, 그리고 말씀하신 총 세 차례에서 첫 번째는 위법을 했고 2, 3차는 위법을 안 해서 이렇게 5,500명의 개인정보만 유출이 된 거라고 말씀을 하셨는데, 그러면 중간에 왜 그게 있었는지. 갑자기 이렇게 유출이 됐다가 무슨 계기가 있어서 2, 3차에는 유출이 안 된 건지, 그 중간에 무슨 그런 계기가 있었는지 그것도 좀 알고 싶습니다.
<답변> (윤정태 조사2과장) 첫 번째로 EBS가 키움에 준 정보에는 전화상담을 할 경우에는 첫 번째로 이름하고 핸드폰번호와 연락처를 남기도록 되어 있습니다, 상담하는. 그래서 그 상담하는 그것을 수집한 다음에, 이제 실제로 전화는 FA 그래서 보험설계사 내지는 재무상담사가 다시 전화를 했습니다. 전화를 하면서 추가로 개인정보를 수집하였고요, 수집하였습니다.
그다음에 스크립트 변화가 총 두 차례 있었는데 그래서 스크립트라는 것은 전화받은... 처음에 전화받은 콜센터 직원이 설명을 하는 겁니다. 설명을 해서 한 건데 첫 번째는 키움에게 제공한다고 밝히지 않았습니다. 않았는데 변경하게 된 계기는, 두 번째는 키움에 제공한다고 되어 있고, 세 번째는 '키움에 재무상담 목적으로 제공하겠습니다.' 이렇게까지 갔는데 그것을 변경하게 된 것은 EBS 내부에서도 보니까 이게 개인정보보호법이나 그런 것들에 대해서 저촉될 수 있다는 것을 프로그램을 진행하면서 점차적으로 인지하게 되었고, 내부 의견이나 그런 것들을 수렴해서 이것은 적법하게 하는 게 좋겠다, 적법하게 해야 된다, 그것을 넘어서 적법하게 해야 된다는 판단이 있어서 수정한 사항입니다.
<질문> 그러면 그렇게 판단을 했으면 첫 번째 5,500명 개인정보 나간 그분들에게도 직접 나갔다는 것을 추후에 공지를 해줘야 하는 게 맞지 않나요?
<답변> (윤정태 조사2과장) 일단은 그 첫 번째 건에 대해서는 아마 그게 좀 애매한 부분이 있는데요. 애매한 부분이 결국은 이용자가 키움에서 상담사들이 전화를 할 때 결국적으로, 키움이 했다는 것은 결국적으로는 인지를 하게 되었습니다. 하게 되어서 그분들이 불만이 있는 부분에 대해서는 민원이나 그런 것을 통해서 해소가 된 부분이 있고요.
그렇지 않은 경우는 실제로 정보주체가 키움이란 곳에 갔다는 것은 인지를 하고 있는 사항입니다. 사항이기 때문에 약간 모호한 부분이 있는데 그것은 저희 쪽에, 키움 쪽에 얘기를 해서 이것 같은 경우는 데이터를 없애거나 그 부분에 대해서는 별도로 조치를 취하도록 하겠습니다.
<질문> (사회자) 다음으로 디지털데일리 기자께서 질문해 주셨는데요. 두 가지입니다. 첫 번째는 ‘개인정보 넘겨진 피해자들이 개별 안내를 받았는지’인데, 이 부분은 아마 지금 과장님께서 말씀을 하신 것 같고요.
두 번째 질문은 '피해자들이 피해보상을 받을 방법이 있는지 궁금합니다.' 이런 질문을 주셨습니다.
<답변> (윤정태 조사2과장) 이것은 만약에 피해보상 부분에 대해서는 결국적으로 키움 측에서, EBS와 키움에 책임이 있겠죠. EBS와 키움 책임이 있을 것인데, 키움 쪽에서는 이게 결국에는 보험 가입 쪽으로 이어졌는데 보험... 피해는 두 가지로 볼 수 있는데 보험 가입에 대해서는 아마 해지나 그런 것을 통해서 이루어질 것이고요, 그쪽 법에 따라서.
그다음에 실제로 이용자가 동의하지 않았는데 넘어갔다는 부분에 대해서는 나중에 그 피해자분들이 민사나 아니면 개인정보보호위원회에 중재조정을 신청하시면 그것은 그런 절차대로 진행될 것으로 생각되고 있습니다.
<이정은 개인정보보호위원회 자율보호정책과장>
안녕하십니까? 개인정보보호위원회 자율보호정책과장 이정은입니다.
개인정보보호위원회에서는 지난해 실시한 2021년 공공기관 개인정보 관리수준 진단 결과를 설명드리겠습니다.
공공기관은 법령에 따라 국민 생활에 밀접하고 민감한 개인정보를 대규모로 수집하고 처리하고 있는 만큼 특별한 관리가 필요합니다.
이에 따라 2008년부터 매년 중앙행정기관, 산하 공공기관, 지자체, 지방 공기업을 대상으로 개인정보 관리수준을 진단하고 있습니다.
개인정보위원회는 지난 3월 진단위원회 구성을 시작으로 12월까지 795개 공공기관을 대상으로 현장 컨설팅, 서면진단 및 현장검증 등을 통해 수준진단을 실시하였습니다.
수준진단은 총 3개 분야 13개 항목을 진단하여 양호·보통·미흡 등급을 부여하고 있습니다.
2021년 진단 결과 평균 87.4점으로 전년 대비 3.1점 상승하였고, 양호 등급 기관도 452개로 전년 대비 11.7% 증가하였으나, 69개 미흡 기관 중에 17개 기관은 3년 연속 미흡으로 나타나서 관리수준 취약 기관에 대한 집중적인 실태점검과 관리가 필요한 상황입니다.
분야별로는 관리체계, 보호대책, 침해대책 3개 분야 중 개인정보 처리방침 공개 등 보호대책 분야는 대체로 양호하였으나 침해대책 분야가 미흡하였고, 특히 개인정보 유출사고의 주요 원인이 되는 개인정보처리시스템의 접근권한 관리 및 접속기록 점검이 가장 미흡하여 중점관리가 필요한 것으로 나타났습니다.
개인정보보호위원회는 이번 진단 결과를 바탕으로 진단 대상, 방식, 지표 등을 재점검하고, 공공기관의 개인정보 보호수준을 종합적으로 진단·개선하는 방향으로 수준진단 제도를 개편할 계획입니다.
먼저, 기관별 자체진단을 도입하고 현장검증을 강화하여 진단의 실효성을 높이고, 기존 진단대상에 포함되지 않았던 지방자치단체 하부행정기관인 행정시·행정구도 진단대상에 포함시켜 사각지대를 해소해 나가겠습니다.
또한, 관리수준이 지속적으로 미흡하거나 자료 제출을 회피하는 불성실 기관에 대해서는 상반기 중 기획점검을 실시하여 법 위반 사항에 대해 엄중히 처벌하는 등 관리감독을 강화하겠습니다.
감사합니다.
[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 보면, 보도자료 내용 보면 기초자치단체의 관리수준이 상대적으로 미흡하다고 나왔는데 결과가,
<답변> (이정은 자율보호정책과장) 예, 맞습니다.
<질문> 원인이 뭐라고 보시는지 하나 궁금하고요.
그리고 보도자료 두 번째 페이지 보면 ***
<답변> (이정은 자율보호정책과장) 먼저, 두 번째 질문부터 답변을 드리면 하부행정기관 지금 행정시·행정구가 34개 정도가 있습니다. 거기에 대해서는 2022년 금년부터 진단대상에 포함시켜서 관리수준 진단을 진행할 예정이고요.
그다음에 그 밖의 읍면동이라든가 산하 소속기관이라든가 이런 부분들에 있어서는 여력을 감안해서 단계적으로 확대하고 포함할 수 있는 방안으로 추진을 하려고 합니다.
그리고 기초지자체 같은 경우는 아무래도 인력이라든가 예산이라든가 그런 부분에 대한 부족함들이 있고, 그리고 인식적인 부분에서도 조금 부족한 부분이 있어서 해마다 보면 저희 관리수준 진단 결과에서 가장 중앙행정기관이나 광역지자체에 대해서는 조금 부족한 부분이 있습니다.
그래서 그런 부분에 대해서는 저희가 상반기 전 중에 전년도에 미흡한 기초지자체를 포함해서 기관들에 대해서는 현장 컨설팅을 실시를 해서 이 수준진단 제도라고 하는 게 공공기관의 관리수준이 전반적으로 좀 개선될 수 있도록 개선 방향을 제시하고 개선을 할 수 있도록 하는 데 목적이 있기 때문에 현장 컨설팅을 맞춤형으로 실시해서 부족한 부분을 개선할 수 있도록 그렇게 지원할 계획입니다.
<질문> (사회자) 그러면 이상으로 마치고요. 윤정태 조사2과장께서 아까 개인정보 법규 위반행위에 대한 조치에 대해서 추가 설명을 하시겠습니다.
<답변> (윤정태 조사2과장) '유출 관련해서 통지가 되었느냐?'라는 것에 대한 질의를 해주셔서 제가 추가 보완설명 드리도록 하겠습니다, 오해가 있으실 수 있어서.
유출 통지에 대해서 법률상 의무사항이 있습니다. 개인정보보호법 39조의 4항에 있는데, 정보통신서비스 사용자가 이제 분실·도난·유출되었다고 인식이 되면 24시간 내에 신고하도록 되어 있고 사용자한테 알리도록, 정보주체한테 알리도록 되어 있습니다.
그런데 지금 방금 EBS, 키움 같은 경우는 불법적인 제3자 제공이지, 그게 공중에 유출되거나 그런 케이스는 아닙니다. 그런 케이스는 아니기 때문에 정보주체한테 알려야 된다거나 통지해야 된다거나, 이런 법률적인 의무사항은 없습니다. 법률적인 의무사항을 위반했다고 볼 수는 없고요.
다만, 이제 말씀해 주신 게 정보주체가 내가 모르는 사이에 '나는 EBS에 제공했는데 키움한테 갔네?', '이상하네?'라는 것을 인지했느냐는 문제에 대해서는 키움 측에서 보험 가입 상담 과정에서 키움이라고 결국은 이야기를 했기 때문에 그런 것들은 다 정보주체가 인지는 하고 있는 사항이다, 내 개인정보가 키움한테 갔구나, 라고 인지는 하고 있는 사항이고요.
다만, 인지는 했지만 그게 법률상으로 유출 통지나 그것하고는 구분이 돼야 됩니다. 구분이 돼야 되는 사항이고, 말씀해 주신 게 그러면 정보주체의 입장에서는 '나는 EBS에 줬는데 키움에 가 있네, 그것 삭제해 주세요.'라는 거는 저희가 키움 측하고 이야기해서 삭제될 수 있는 방안에 대해서는 논의하도록 하겠습니다. 원치 않는 정보주체에 한해서는 그것이 삭제되는 방안에 대해서 논의하도록 하겠습니다. 이상입니다.
<답변> (사회자) 그러면 이상으로 금일 브리핑을 마치도록 하겠습니다. 참석해 주셔서 감사드립니다.
<끝>