최근 공공 기관의 개인정보 관리 문제가 자주 불거지는 가운데, 실제로 지방자치단체를 포함한 19개 공공 기관가 개인정보 보호법을 위반해 과태료 및 시정 명령 등의 조치를 받았다.
특히, 2011년 3월 개인정보 보호법이 시행된 이후 지방자치단체에 과태료가 부과된 것은 처음인데, 지자체에서 모든 주민의 개인정보를 다루고 있다는 점을 고려하면 심각한 문제가 될 수 있는 사안이다.
주요 법규 위반 사항을 살펴보면 ▲개인정보 처리 시스템에 접속한 기록을 월 1회 이상 점검하지 않는 등 접속 기록을 미흡하게 관리 ▲외부에서 추가 인증 절차 없이 아이디 및 비밀번호 입력만으로 개인정보 처리 시스템에 접근 가능 ▲하나의 계정을 여러 명이 공유하며 사용 ▲비밀번호를 암호화하지 않고 송신한 사안 등이 적발됐다.
개인정보보호위원회(이하 위원회) 박상희 사무처장은 “안전 조치 의무는 개인정보 보호에서 가장 기본적인 부분”이라고 강조하며 개인정보 보호 조치를 소홀히 한 공공 기관에 대한 제재 이유를 밝혔다.
이번에 제재를 받은 공공 기관은 전라남도, 천안시, 청주시의 지자체 3곳과 경기도 교육청, 제주특별자치도 교육청 등 교육청 2곳, 대학교 9곳, 기타 공공 기관 5곳으로 총 19곳으로, 각각 420~480만 원대의 과태료와 시정 조치 권고, 명령, 공표 등의 처분이 내려졌다.
그동안 금융 기관 등에서 수차례 개인정보 유출 사고가 발생해 우리나라 국민의 개인정보는 공공재라는 조롱까지 받는 상황에서, 개인정보 보호에 앞장서야 할 공공 기관에서 개인정보 보호 미흡 사례가 발견된 것은 우리 사회에 만연한 보안 불감증을 그대로 보여주는 결과라고 할 수 있다.
개인정보는 개인의 안전과 밀접하게 관련되어 있을 뿐 아니라 빅데이터·인공지능 기반의 4차 산업혁명에서 가장 중요한 정보 자산으로 활용되고 있는 만큼 더욱 철저한 관리와 사회적 인식 제고가 시급한 상황이다.
하지만 여전히 개인정보 보호법을 위반한 기업이나 기관에 대한 처분은 솜방망이 수준에 그치고 있어 관련법이 시대의 흐름에 뒤처진다는 지적이 계속해서 제기되고 있다.
최근 기업이나 미디어의 불법적 행위로 인한 피해에 대해 징벌적 손해 배상을 도입해야 한다는 목소리가 높아지는 가운데, 개인정보 보호법도 위반과 관련해서도 이러한 징벌적 손해 배상 도입 논의가 필요한 시점이다.
