지난 14일 행정안전부는 교육분야 기관 중 개인정보 관리실태 현장점검을 실시하지 않은 대학 및 민간교육기관을 중심으로 개인정보 관리실태 현장점검을 실시한다고 밝혔다.

점검 대상기관은 미점검 및 고유식별정보 안전성 확보조치 실태조사(’17.4.∼6) 결과 주민등록번호 다량 보유하고 있거나 안전성 확보조치가 미흡한 대학과 민간교육기관을 포함하여 총 20개 기관이다.

이번 현장점검의 중점 점검항목은 개인정보 오·남용을 예방하기 위한 개인정보처리시스템의 개인정보 수집 적정성, 보존기간이 경과된 개인정보의 파기, 업무 위탁시 수탁사 관리·감독, 안전조치위반(접근권한 관리, 접근통제, 개인정보 암호화, 접속기록 보관 및 점검 등) 등이다. 

점검방법과 절차는 먼저 수검기관 현장을 직접 방문하여 자료조사, 담당자 인터뷰, 개인정보처리시스템 점검 등을 실시하고, 법 위반사항이 적발되면 즉시 개선토록 조치한 후 개선권고, 과태료ㆍ과징금 부과, 명단공표 등 엄정한 행정처분을 실시할 계획이다. 

특히 고유식별정보 관리실태 현장점검 시 주민등록번호 등 고유식별정보 처리여부와 처리하고 있는 경우 동의 및 법적 근거 여부, 암호화 등 안전조치 이행여부를 집중 점검할 계획이라고 밝혔다.

앞서 지난 2017년도 교육분야를 현장 점검한 결과, 59개 기관 중 49개 기관에서 69건의 법 위반(위반율 83%, 기관당 평균 1.4건)이 확인되었다. 세부적으로는 학습지(위반율 100%), 대학(84%), 학원(67%) 등으로 법 위반율이 확인되고 있어 개인정보 관리가 다소 미흡한 것으로 분석됐다. 

주요 법 위반 사항으로는 전체 69건 중 43건(62%)이 안전조치의무(제29조)으로 가장 많았으며, 파기(제21조) 6건(9%), 수탁자 교육 및 감독(제26조) 4건(6%), 고유식별정보 처리제한(제24조) 4건(6%), 주민등록번호 처리제한(제24조의2) 1건(1%) 등이다. 

안전조치의무 위반사항 43건을 세분화(1건당 다수 세부위반 적용 시)하면 총 118건의 기술적 조치 위반사항이 확인되는데, ①접근권한 관리(39건) 위반이 가장 많았고, ②접근통제(36건), ③개인정보 암호화(23건), ④접속기록의 보관 및 점검(20건), ⑤물리적 안전조치(3건) 위반 순이다.

한편, 행정안전부 김혜영 개인정보보호정책관은 "2017년도 교육분야 현장점검 위반사례를 분석·활용하여 현장점검 대상기관이 사전에 자체 점검 및 개선하도록 함으로서 선제적으로 개인정보 보호 역량을 갖추도록 하겠다"고 말했다.

이어 "수탁 업체에 대한 관리감독 여부 등도 중점적으로 현장 점검함으로서 교육분야의 개인정보 보호 인식 및 관리 수준을 더욱 높이도록 최선을 다할 것이다"라고 전했다.