[환경일보] 김영애 기자 = 대학, 학원 등 교육기관은 학생 및 수강생 등 많은 분량의 개인정보를 보유하고 있다. 따라서 이들 기관의 개인정보 관리는 국가의 개인정보 보호 관점에서 볼 때 매우 중요하다.

행정안전부(장관 김부겸)는 교육분야 기관 중 개인정보 관리실태 현장점검을 실시하지 않은 대학 및 민간교육기관을 중심으로 개인정보 관리실태 현장점검을 실시한다. 점검 대상기관은 미점검 및 고유식별정보 안전성 확보조치 실태조사(2017.4.∼6) 결과 주민등록번호 다량 보유하고 있거나 안전성 확보조치가 미흡한 대학과 민간교육기관을 포함하여 총 20개 기관이다.

이번 현장점검의 중점 점검항목은 개인정보 오·남용을 예방하기 위한 개인정보처리시스템의 개인정보 수집 적정성, 보존기간이 경과된 개인정보의 파기, 업무 위탁시 수탁사 관리·감독, 안전조치위반(접근권한 관리, 접근통제, 개인정보 암호화, 접속기록 보관 및 점검 등) 등이다.

점검방법과 절차는 먼저 수검기관 현장을 직접 방문하여 자료조사, 담당자 인터뷰, 개인정보처리시스템 점검 등을 실시하고, 법 위반사항이 적발되면 즉시 개선토록 조치한 후 개선권고, 과태료·과징금 부과, 명단공표 등 엄정한 행정처분을 실시할 계획이다.

특히 ▷고유식별정보 관리실태 현장점검 시 주민등록번호 등 고유식별정보 처리여부 ▷처리하고 있는 경우 동의 및 법적 근거 여부 ▷암호화 등 안전조치 이행여부를 집중 점검할 계획이다.

아울러 모든 공공기관 및 5만명 이상의 고유식별정보를 처리하는 기업은 올해 6월까지 개인정보보호 종합포털(www.privacy.go.kr)에 자체점검 결과를 등록해야 하며, 점검결과 미흡기관은 추후 현장점검을 실시할 예정이다.

지난 2017년도 교육분야를 현장 점검한 결과 59개 기관 중 49개 기관에서 69건의 법 위반(위반율 83%, 기관당 평균 1.4건)이 확인됐다. 세부적으로는 학습지(위반율 100%), 대학(84%), 학원(67%) 등으로 법 위반율이 확인되고 있어 개인정보 관리가 다소 미흡한 것으로 분석된다.

주요 법 위반 사항으로는 전체 69건 중 43건(62%)이 안전조치의무(제29조)으로 가장 많았으며, 파기(제21조) 6건(9%), 수탁자 교육 및 감독(제26조) 4건(6%), 고유식별정보 처리제한(제24조) 4건(6%), 주민등록번호 처리제한(제24조의2) 1건(1%) 등이다.

안전조치의무 위반사항 43건을 세분화(1건당 다수 세부위반 적용 시)하면 총 118건의 기술적 조치 위반사항이 확인되는데 ①접근권한 관리(39건) 위반이 가장 많았고, ②접근통제(36건), ③개인정보 암호화(23건), ④접속기록의 보관 및 점검(20건), ⑤물리적 안전조치(3건) 위반 순이다.

김혜영 행정안전부 개인정보보호정책관은 “2017년도 교육분야 현장점검 위반사례를 분석·활용하여 현장점검 대상기관이 사전에 자체 점검 및 개선하도록 함으로서 선제적으로 개인정보 보호 역량을 갖추도록 하고, 수탁 업체에 대한 관리감독 여부 등도 중점적으로 현장 점검함으로서 교육분야의 개인정보 보호 인식 및 관리 수준을 더욱 높이도록 최선을 다할 것이다”라고 말했다.