개인정보보호위원회(이하 개인정보위) 개인정보 중점 관리 업무 심층 진단 강화 등을 주요 내용으로 하는 '2023년 공공 기관 개인정보 관리수준 진단' 계획을 공개했다.
관리수준 진단은 공공 기관의 개인정보 보호 역량 강화를 위해 2018년부터 매년 시행되고 있으며, 올해 3월에 개인정보 보호법 개정안이 공포됨에 따라 공공 기관들은 오는 2024년부터 현행 관리수준 진단보다 한층 강화된 '개인정보 보호수준 평가'를 받아야 한다.
이에 따라, 개인정보위는 2023년 관리수준 진단의 지표와 체계를 개선하여 한층 강화된 개인정보 보호 체계 점검에 나설 계획이다.
구체적으로 개인정보 중점 관리 업무에 대한 심층 진단 비중을 지난해 20%에서 올해 40%로 확대하고, 4월 발표된 '공공 부문 집중관리시스템 개인정보 안전조치 강화계획'과 연계하여 개인정보 접근 권한 관리 및 접속 기록 점검 항목의 배점도 지난해보다 12점으로 늘린다. 이외에도 전담 인력 및 시스템 확충 등 보다 강화된 안전 조치를 도입한 기관에 대한 가점 지표를 신설하여 최대 5점을 부여할 계획이다.
마지막으로 개인정보 유출 사고가 아니더라도 '신당역 살인사건'과 같이 개인정보 안전 조치 의무를 소홀히 하여 사회적 피해를 야기한 경우에는 진단위원회를 통해 최대 10점의 감점을 적용하여 공공 기관의 경각심을 제고할 방침이다.
이와 함께 개인정보위는 ▲2022년 개인정보 관리수준 진단 결과 C‧D등급(70점 미만)을 받은 기관 ▲2023년 신규 지정된 공공 기관 ▲2024년 개인정보 보호 수준 평가 대상에 포함되는 시도교육청 등 총 100개 기관을 대상으로 현장 자문(컨설팅)을 진행한다.
현장 자문의 주요 내용은 ▲2022년 개인정보 관리 수준 진단 미흡 사항 개선 방안 ▲2023년 개인정보 관리 수준 진단 방향 및 세부 지표별 조치 사항 ▲개인정보 보호법 개정 사항 및 개인정보 보호 관련 주요 사례 등을 안내하고 방문 기관의 유형, 규모, 처리하는 개인정보의 특성 등을 고려하여 기관별로 구체적이고 실질적인 맞춤형 자문을 실시한다.
특히 2022년 개인정보 관리수준 진단 결과 미이행률이 가장 높았던 ▲개인정보처리시스템 접속 기록 관리 ▲보호 인력·예산 관리 ▲개인정보 파기와 내려받기(다운로드) 사유 확인 미비 등을 중점적으로 개선 안내한다. 현장 자문은 6월부터 8월 말까지 진행된다.
양청삼 개인정보위 개인정보정책국장은 "공공 기관은 대량의 민감한 개인정보를 법령에 따라 별도 동의 없이 수집·처리하는 만큼 높은 수준의 개인정보 보호 관리 체계가 필요하다. 이번 현장 자문을 철저하게 수행하고, 2024년 개인정보 보호 수준 평가를 잘 준비하여 국민이 믿고 신뢰할 수 있는 공공 기관 개인정보 보호 관리 체계를 갖춰 나가겠다"고 말했다.
