보고서 정보
주관연구기관 |
대구가톨릭대학교 산학협력단 |
연구책임자 |
김명식
|
참여연구자 |
도수관
,
김상운
,
김봉수
|
보고서유형 | 최종보고서 |
발행국가 | 대한민국 |
언어 |
한국어
|
발행년월 | 2015-08 |
주관부처 |
미래창조과학부 KA |
사업 관리 기관 |
개인정보보호위원회 |
등록번호 |
TRKO201600015763 |
DB 구축일자 |
2016-12-17
|
초록
▼
1. 연구의 목적과 내용
본 연구는 개인정보보호 강화를 위한 관련 기관의 인사와 조직시스템을 설계하는 기준을 마련하는데 목적이 있다. 이를 위하여 다음과 같은 내용으로 연구 작업을 진행하였다. 첫째, 개인정보보호와 관련된 국내·외 환경변화 분석과 운영실태 및 강화노력을 살펴본다. 둘째, 주요 선진국의 개인정보보호 조직 및 인사운영 실태조사이다. 셋째, 개인정보보호 담당조직 구성원 설문조사를 통한 직무분석과 조직·인사체계 연구 및 분석이다. 넷째, 바람직한 조직·인사 설계기준, 방법 제시, 역할 재정립이다. 그리고 본 연구의 관
1. 연구의 목적과 내용
본 연구는 개인정보보호 강화를 위한 관련 기관의 인사와 조직시스템을 설계하는 기준을 마련하는데 목적이 있다. 이를 위하여 다음과 같은 내용으로 연구 작업을 진행하였다. 첫째, 개인정보보호와 관련된 국내·외 환경변화 분석과 운영실태 및 강화노력을 살펴본다. 둘째, 주요 선진국의 개인정보보호 조직 및 인사운영 실태조사이다. 셋째, 개인정보보호 담당조직 구성원 설문조사를 통한 직무분석과 조직·인사체계 연구 및 분석이다. 넷째, 바람직한 조직·인사 설계기준, 방법 제시, 역할 재정립이다. 그리고 본 연구의 관심 대상은 개인정보보호법의 적용을 받는 공사(公私) 기관을 아우르고 있다.
2. 개인정보보호 관련 환경변화와 운영실태
개인정보 보호의 중요성을 인식한 정부는 2011년 9월 대통령 소속으로 개인정보보호위원회를 출범시켰다. 이 위원회는 과거 「공공기관의 개인정보보호에 관한 법률」 제20조에 규정되어 있었던 국무총리 소속의 공공기관개인정보보호심의위원회를 「개인정보보호법」을 제정하면서 확대 개편한 것이다.
개인정보보호위원회의 발족과 더불어 개인정보보호정책을 본격적으로 추진할 수 있는 동력을 얻게 되었다. 개인정보보호 시행 법령 및 관련법령에서 추진하는 주요 정책을 예시하면 개인정보 영향평가, 개인정보 유출통지 및 신고, 개인정보 분쟁조정 및 집단분쟁 조정, 정보보호 관리등급 제도 시행, 정보보호직류 신설, 개인정보보호 교육 및 홍보 강화 등이 있다.
앞으로 환경변화를 예측해 보면 이미 보편적으로 활용되고 있는 소셜 네트워킹 서비스(SNS), 스마트폰, 클라우딩 컴퓨팅(Clouding Computing) 그리고 빅 데이터(Big Data) 등 IT 기술로 개인정보 침해 위험성은 점점 커지고 있다. 이에 반하여 개인정보 처리자가 개인정보를 보호하는 기술은 선도적이기 보다는 후발적으로 대비책을 세우는 경우가 많다. 물론 소잃고 외양간 고치는 격이기는 하나 다음의 기술들은 유용한 수단이라 할 수 있다.
첫째, 데이터베이스 접근제어 및 암호화이다. 데이터베이스 접근제어는 DB에 접근을 시도하는 사용자를 인증을 받은 자와 그렇지 않은 자로 구분하여 인증을 받은 자에 한해서 접속을 허용하는 기술이다. 둘째, 전송구간 암호화이다. 이는 사용자의 웹 브라우저와 웹전용 서버 사이에서 송수신 되는 데이터의 암호복호화를 통해 개인정보 등 중요 정보에 대한 기밀성과 무결성을 제공하는 기술이다. 이 기술은 대부분 공개키 암호화 인증서를 기반으로 이루어진다. 전송구간 암호화는 첫째, 웹서버와 클라이언트 간 암호화, 개인정보처리시스템 간 암호화 그리고 개인정보취급자 간 암호화 등으로 구분할 수 있다. 셋째, 개인정보 검색 차단이다. 개인정보 보호책임자가 수립한 개인정보 검색 정책에 다라 업무용 pc내의 개인정보를 검출하여 암호화 또는 완전 삭제하는 기술을 의미한다. 넷째, 데이터 유출 방지 및 데이터 삭제이다. 사용자 pc에 저장되어 있는 자료가 보조기억 매체 또는 이동식 저장 매체 및 데이터 전송장치 등과 같은 장치를 통해 불법 또는 비인가적으로 유출되는 것을 방지하는 기술이다. 이를 위해서는 매체 제어, 패킷 통제, 프로그램 실행 통제, pc 통제 등의 기능이 필요하다. 이러한 다양한 토대로 개인정보를 보호하려는 노력이 병행되고 있지만 결국 이는 사람이 하는 일이므로 개인정보를 처리하는 모든 공사기관의 인사와 조직체계가 항시 정상적으로 가동되는 것이 매우 중요하다.
개인정보보호를 처리하는 국가기관의 경우 정보 보유량이 많고 비교적 규모가 큰 교육부, 법무부, 보건복지부, 미래창조과학부, 행정자치부, 국가보훈처, 경찰청을 살펴보았다. 조사 내용은 현재 개인정보보호 업무를 담당하고 있는 부서와 책임자 직급, 직위, 직제상 소관 업무 내용이다. 그리고 개인정보 보호 업무를 효과적으로 수행하기 위하여 해당 부처에서 노력한 내용을 조사하였다. 조사결과 대부분 기관장 직속의 정보관련 부서에서 2~4명의 직원이 보호 업무를 담당하면서 「개인정보보호법」에 규정된 모든 사무를 처리하고 있다. 지방자치단체의 경우 거의 모든 광역자치단체를 대상으로 조사하였는데, 국가와 마찬가지로 개인정보보호를 위한 정보보호팀과 같은 부서를 두고 필요한 인력을 배치하고 있으나 이들을 대상으로 특별한 승진이나 상벌체계가 운용되지는 않았다. 공공기관의 경우에도 정보보유량이 많은 공단을 중심으로 조사하였는데, 대체로 기관장 직속의 기획총괄부서 또는 고객지원 담당 부서장 밑에 개인정보 보호 부서를 두고 5~7명의 직원이 상근하고 있다. 민간기관의 경우에는 홈페이지를 통해 간접 확인하는 방법을 활용하였다.
3. 주요 선진국의 개인정보보호 인사·조직체계 분석
주요 선진국들은 다양한 형태의 개인정보보호 관련법제나 인사·조직체계를 가지고 있는데, 이를 정리하면 다음과 같다.
개인정보보호의 영역, 즉 공공부문과 민간부문에 대한 통일적인 법체계를 갖추고 있는지에 따라서 나누어 보면, 미국·캐나다·일본에서는 공공부문과 민간부문에 적용될 수 있는 법을 별도로 두고 있는 반면, 유럽연합·독일·프랑스·호주는 동일한 지침이나 법률을 공공부문과 민간부문에 대해서 모두 적용하고 있다. 다만 미국·캐나다·독일·호주와 같이 연방제국가에서는 연방차원뿐만 아니라 각 州 차원에서 다수의 개인정보보호법을 제정 및 시행하고 있다는 점에서 입법적으로 다소 복잡한 체계를 가지고 있다는 점이 특징이다. 또한 공공부문과 민간부문의 적용 법률을 달리하는 국가들도, 특히 민간부문에 대해 적용되는 일반법이 시행되고 있는지와 관련해서는 모습을 달리한다. 즉, 캐나다에서는 「개인정보보호 및 전자문서법」, 일본에서는 「개인정보의 보호에 관한 법률」을 통해서 민간부문의 개인정보보호가 이루어지지만, 미국에서는 민간의 각 산업분야별로 각기 다른 법률들이 적용된다는 점에서 차이가 있다. 이러한 입법체계의 차이점은 결국 공공과 민간의 양 부문에서 개인정보(보호)가 가지는 의미와 특성을 어떻게 보느냐에 대한 관점의 차이라고 볼 수 있다. 다시 말해 공공부문과 민간부문의 성격, 해당 부문에서 취급하는 개인정보의 차이, 정보유통성과 자율성의 인정 정도, 법준수에 대한 엄격성 등에 대한 법정책적 판단에 따라 각기 다른 입법체계를 둔 것으로 이해된다.
주요 선진국의 개인정보보호 관련 인사·조직체계를 구분해보면, 개인정보의 관리·감독을 전담하는 통합된 독립기구가 있는 경우와 개별 영역별로 감독기구가 설치되어 있는 경우로 구분해볼 수 있다. 캐나다, 독일, 프랑스, 영국, 호주에서는 개인정보를 관리·감독하는 독립된 전담기구를 두고 있다. 다만 독일의 경우와 같이 연방차원에서는 연방정보위원이 통합적으로 개인정보보호 임무를 수행하지만, 州 차원에서는 공공기관에 대한 감독청과 민간부문에 대한 감독청을 별도로 두는 경우도 있다. 특히 개인정보보호를 전담하는 독립된 기구를 두는 나라들에 있어서 공통적인 특징으로는 이러한 개인정보보호기구에 대해서 높은 독립성을 보장하고 있다는 점을 들 수 있다. 그 이유는 개인정보보호라는 목표의 효율적인 수행을 위해서 관리·감독기구의 인사상·조직상 독립성이 확실히 보장되어야한다는 것이다. 이와 달리 미국과 일본의 경우에는 개인정보를 관할하는 독립된 기구를 두지 않고, 영역별로 관련된 기관이나 정부부처가 개별적인 관리·감독을 하고 있다. 이들 나라에서는 개인정보를 위한 통합적인 법체계를 두지 않고, 법을 집행하고 감독하는 권한 역시 여러 관련 기관이나 각 정부부처에 분산하여 운영하고 있다. 분명히 이러한 분야별·영역별 입법 및 관리·감독체계가 개인정보보호의 일관되고 통일적인 수행에 단점이 될 수 있음에도 불구하고, 이들 나라에서는 민간부문의 자유로운 정보유통의 보장, 해당부문의 특성 및 자율성 존중, 민간부문의 각 산업별 특성 등의 고려를 통하여 특성화되고 탄력성 있는 개인정보의 보호를 위한 법집행과 관리·감독에 더 무게를 둔 것으로 판단된다.
주요 선진국의 개인정보보호 관련법제와 인사 및 조직체계에 대한 분석을 통해서 다음과 같은 시사점을 얻을 수 있다.
첫째, 개인정보보호 전담기구의 강력하고도 명확한 권한과 책임이 보장되어야 한다는 점이다. 유럽연합을 비롯해서 개인정보보호를 위한 독립된 전담기구를 두고 있는 나라들에서 해당 기구는 개인정보보호에 대한 폭 넓고 강력한 권한을 가지고 또한 엄격한 책임을 진다는 점을 확인할 수 있었다. 개인정보보호기구가 제대로 된 기능을 발휘하기 위해서는 관련법집행에 대한 충분한 권한이 부여되어야 하고, 또한 개인정보보호를 위한 정책권한도 보장되어야 한다. 이 점은 특히 「EU 개인정보보호 지침」 제28조가 잘 제시하고 있다. 또한 개인정보보호법 개정안에서 개인정보보호위원회를 신설하여 현재 중앙정부의 각 주무대신에게 분산되어 있는 집행 및 정책권한들을 그에 집중시키고, 공정거래위원회나 국가공안위원회와 같은 법적인 지위를 가진 독립적 기관으로 바꾸려는 일본의 움직임 역시 마찬가지로 이해될 수 있다. 이에 비하여 우리나라의 개인정보보호위원회의 권한은 상당히 제한적이라고 볼 수 있다. 현행 「개인정보보호법」에서 집행권한의 거의 대부분을 행정자치부장관이 행사하도록 규정되어 있으며, 상당한 정책권한까지 행정자치부장관에게 부여하고 있다. 더 나아가 일부 기능들, 예를 들어 감사나 자문, 교육, 민간자율규제 등에 있어서 개인정보보호위원회와 행정자치부장관의 권한이 중첩되기도 한다. 이것은 행정자치부장관이 각 정부부처와 부처별 산업분야에 맞는 개인정보보호가 실행될 수 있는 총괄적인 지위를 가지고 있다는 점에서 이해될 수도 있다. 하지만 개인정보보호위원회가 개인정보보호를 위한 독립적이고 전담적인 기구로 제 기능을 발휘하기 위해서는 집행권한의 보충과 정책권한의 집중이 필요하며, 이런 관점에서 개인정보보호위원회와 행정자치부장관 간의 권한과 역할의 재조정이 있어야 할 것으로 생각한다.
둘째, 개인정보보호 감독기구의 권한 강화와 더불어 독립성의 강화가 중요하다는 점이다. 외국의 사례를 볼 때, 개인정보보호의 감독기구와 관련해서 가장 중요한 점은 바로 법률에 의한 감독기구의 완전한 독립성 및 강력한 권한의 확보와 보장이라고 볼 수 있다. 대표적으로 유럽연합의 경우 「EU 개인정보보호 지침」 제28조에 따라서 각 회원국의 개인정보보호를 담당하는 완전한 독립성 갖춘 전담기구를 설치할 것을 규정하고 있다. 이와 관련해서 독일의 경우에는 감독기구의 독립성 확보가 시급한 과제로 보이는데, 왜냐하면 독일의 「연방정보보호법」 제22조 제4항에 의하면, 연방정보보호위원회는 연방정부의 법적 감독에 종속되고, 그리고 동 조 제5항에 따르면 연방정보보호위원회는 내무부 산하에 설치되며 내무장관의 직무감독에 구속되어 독립성을 제대로 갖추고 있는지 문제가 되기 때문이다. 실제로 유럽위원회는 독일의 민간부문에 대한 감독기구의 조직이 1995년의 「EU 개인정보보호 지침」 제28조 1항 (2문)에 위반된다는 취지로 소송을 제기했고, 유럽사법재판소는 2010년 3월 9일의 판결(C-518/07)에서 독일의 민간부문에서의 개인정보보호에 대한 감독이 1995년의 「EU 개인정보보호 지침」이 정하고 있는 완전한 독립성을 갖추고 있지 못하는 것으로 판단한 바 있다. 반면 프랑스에서의 개인정보보호 업무는 1995년의 「EU 개인정보보호 지침」 제28조 1항 2문에서 규정하는 완전한 독립성을 갖춘 독립행정기관인 국가정보처리자유위원회(CNIL)의 감독 하에 이루어지고 있으며, 본 위원회는 빠르게 변화하는 외부환경에 보다 전문적으로, 민첩하고 강력하게 대응함으로써 그 존재의 실효성을 확인시켜주고 있는 것으로 보인다. 이와 같은 국가정보처리자유위원회의 외부환경에 대한 대응은 무엇보다 본 위원회의 완전한 독립성과 강력한 권한이 법률에 의해 확보되고 보장됨으로써 가능한 것이다.
셋째, 개인정보보호가 잘 이루어지기 위해서는 이에 대한 정책이나 프로그램을 실행하는 담당자들에게 필요한 권한과 자원이 부여되어야 하고, 그가 정보보호에 필요한 전문성을 갖추어야 한다. 특히 개인정보보안이 잘 유지되기 위해서는 해당 기구의 보안에 대한 기술적인 장치가 마련되어 있어야 할뿐만 아니라, 정보보호 담당자와의 의사소통이 잘 이루어져야 하고, 담당자에 대한 충분한 훈련과 교육이 이루어져야 한다. 왜냐하면 정보보호담당자가 권한과 자원을 제대로 부여받고, 전문성을 갖출 때야 비로소 그에 따른 책임을 물을 수 있기 때문이다.
넷째, 개인정보보호 담당 조직 내의 개인정보보호에 대한 문화형성과 책임성 강화가 중요하다는 점이다. 개인정보보호에 대한 적절한 훈련과 교육을 통해서 조직 내의 개인정보보호에 대한 의식 제고 및 문화 형성이 이루어지게 되면, 정보보호담당자를 비롯한 조직 구성원을 통한 취약점이 개선될 수 있을 것이다. 아울러 검토, 보고, 감사와 같은 책임성 강화프로그램을 적절히 운용할 필요가 있다. 이러한 교육 및 훈련과 책임성 강화프로그램을 바탕으로 개인정보보호정책이나 규칙을 위반한 자에 대한 적절한 제재가 가해져야 한다. 또한 동시에 정보보호담당자 등에 대한 적절하고 충분한 보상제도도 마련되어야 할 것이다.
다섯째, 개인정보보호 관련 업무의 위탁관계에서 책임성 강화를 위한 노력과 대책이 필요하다. 외국에서는 개인정보보호를 담당하는 기관이나 담당자의 책임성을 강화하는 것은 물론이고, 더 나아가 개인정보보호 업무를 위탁받아 처리하는 수탁자의 책임성을 강화하는 추세이다. 특히 이 점은 실제 개인정보보호와 밀접한 연관을 갖는 시스템의 개발·관리 등을 업무를 기관 내의 인력이 아닌 외부 업체에 위탁하여 관리하는 경우가 많다는 점에서 주의할 필요가 있는 대목이다. 또한 최근의 개인정보유출의 사례들에서도 보듯이 개인정보취급기관의 내부구성원 보다는 외부위탁업체나 그 직원의 비행으로 말미암아 개인정보침해가 발생할 가능성이 높다는 점에서도 그러하다. 따라서 개인정보관련 업무의 일부나 전부를 외부업체에 위탁하여 처리하는 경우, 개인정보보호 관련 가이드라인 및 보호조치 준수와 그 위반에 대한 계약상· 법률상 의무를 명확히 하는 내용을 위탁계약에 반드시 포함시키는 것이 필요할 것이다.
여섯째, 개인정보보호가 공공부문 전체에 걸쳐 잘 이루어지기 위해서는 정부기관과 관련한 단체나 기관에 대한 개인정보보호에 대한 관리·감독이 필요해 보인다. 정부의 각 부처나 공기업 등과 연관된 기관이나 단체(예: 보건복지부와 각 급 병원이나 의료보험회사 등)의 경우 정부기관과 준하는 기준과 내용으로 개인정보가 관리되어야 할 것이다. 이를 위해서는 개인정보보호를 위한 가이드라인 제시 및 철저한 관리·감독이 필요하다.
일곱째, 개인정보보호 및 전담기구에 대한 제3의 기관이나 단체 등의 참여의 확대를 생각해볼 수 있다. 유럽연합의 정보보호감독관의 경우, 그 임면 등을 비롯한 운영에 유럽의회와 유럽이사회가 관여하고 있고, 독일의 연방정보위원이나 영국의 정보보호위원의 임명에 의회가 관여하고 있다. 그리고 미국과 일본의 경우 민간기관이나 단체들이 개인정보보호에 있어서 상당한 역할을 담당하고 있다. 이런 점은 개인정보보호의 실효성을 높이고 개인정보보호기구의 독립성과 민주성의 확보의 관점에서도 충분히 고려해 볼 점이다.
여덟째, 개인정보관리자 내지 개인정보보호책임자 간의 협의체의 구성을 고려해볼 수 있다. 미국 연방정부 최고정보관리자협의회와 같이 개인정보보호관리자나 책임자 간의 협의체를 구성하여 운영하게 되면, 개인정보보호정책이나 프로그램의 효율적인 수행을 도모할 수 있을 것으로 생각된다. 또한 이를 통해서 정부 각 부처마다 통일적이고 일관된 개인정보보호업무 수행이 가능하고, 개인정보보호 프로그램, 정보보안이나 사고대응 등과 관련한 경험을 공유할 수 있을 것이다. 아울러 업무수행경험을 토대로 정책개선이나 입법의견제시 등이 가능할 것이다.
마지막으로 개인정보보호는 민간부문의 자율성과의 적절한 조화 속에서 이루어져야 한다는 점이다. 왜냐하면 개인정보보호는 자칫 원활한 정보유통에 지장을 초래하여 작용하여 산업과 경제발전 저해요소가 될 수 있기 때문이다. 특히 민간부문에서는 엄격한 개인정보보호와 더불어 민간의 자율성을 존중하는 법정책이 시행되어야 한다. 외국의 경우에도 개인정보보호에 대한 법정책의 수립 및 시행, 그리고 관리·감독에 있어서 민간의 자율성을 존중하는 다양한 조치와 규정들을 마련하고 있다. 특히 공공부문과 민간부문을 포괄적으로 감독하는 기구의 경우 각 부문에서 다루고 있는 개인정보의 내용이나 성격, 보호의 정도, 침해의 가능성 등이 다를 수 있다는 점에서 각 부문의 특성에 맞도록 조직체계와 역할을 정하는 것이 중요하다.
4. 우리나라 개인정보보호 전담조직의 인사·조직체계의 문제점
실제 공공조직에서 개인정보보호 업무를 담당하는 담당자들로 하여금, 개인정보보호의 다양한 측면에 대하여 설문하고, 이를 기반으로 실증분석을 수행하였다. 그 결과를 요약하고 함의를 살펴보면 다음과 같다.
첫째, 공공조직들은 다양한 목적 하에 국민들이 상상하지도 못할 만큼 다양하고 방대한 개인정보를 보유하고 있으며, 이는 적절히 보호되어야 하는 정보이다. 특히, 기관 간 유사정보의 경우 개별 공공조직이 별도로 수집하여 보관하고 있는 경우가 많다. 특히 일반정보와 신용정보의 경우 동일한 정보를 거의 대부분의 기관들이 보유하고 있는데, 이를 집중관리하고 정보를 공동 활용할 수 있는 방안에 대한 강구가 필요할 것으로 판단된다.
둘째, 공공조직들은 개인정보보호의 중요성을 인정하고 지극히 강조하지만, 조직적 관점에서 별도의 조직을 설치하여 체계적으로 관리하고 있는 경우는 많지 않을 뿐만 아니라 전담인력의 수도 매우 적은 수준이다. 별도의 조직이 구비되어 있지 않은 경우 개인정보유출과 같은 사고가 발생하였을 경우 이에 대한 체계적인 대체에 문제가 발생할 수 있다. 따라서 별도의 조직과 충분한 수의 담당자 확보를 통해 위급상황에 대처할 수 있는 위기관리 체계를 갖춰야할 필요가 있다.
셋째, 개인정보보호 업무를 담당하는 담당자들은 개인정보보호 업무 이외의 다른 업무 비중이 상당히 높은 것으로 분석되었다. 개인정보보호 업무는 특별한 사고가 발생하지 않은 경우 그 중요성이 외부로 노출되지 않는다. 즉, 개인정보보호 업무의 가장 높은 성과는 ‘아무것도 일어나지 않는 것’이나, 우리사회에서 이와 같은 특성을 갖는 업무는 ‘중요하지 않은 일’로 치부되는 경향이 있다. 그러나 개인정보 유출과 같은 사고 발생은 개인과 조직에 치명적인 영향을 미칠 수 있기 때문에 담당자들을 개인정보보호 업무에 몰입할 수 있는 직무환경을 마련해 줘야할 필요가 있다. 특히 최근 개인정보보호 업무의 강도가 점차 강화되고 있음도 고려대상이다.
넷째, 개인정보보호 업무를 담당하고 있는 담당자들의 전문성 향상을 위한 교육훈련 체계를 갖추어야 할 것으로 판단된다. 현재까지 담당자들의 인식조사 결과에 의하면, 직무에 비해 전문성 향상을 위한 교육훈련이 매우 부족한 수준으로 분석되었다. 이는 결과적으로 개인의 직무몰입을 방해하는 요인임과 동시에 개인정보보호 업무를 효과적으로 수행할 수 없는 근본 원인에 해당한다. 따라서 체계적인 교육훈련 시스템을 갖춰야할 필요가 있다.
다섯째, 시스템 구축과 기술개발 등을 위한 체계적인 재정투자전략 수립이 필요하다. 개인정보보호 시책추진을 위한 예산은 매우 부족한 수준이며, 이는 결과적으로 효과적인 시스템 구축과 기술개발을 불가능하게 하는 요소로 작용하고 있다. 개인정보보호와 관련된 기계적 시스템과 기술은 매우 급격히 빠른 속도로 발전하고 있기 때문에 이를 위한 체계적인 재정투자 전략이 필요하다.
여섯째, 개인정보보호 분야의 산업생태계 구축이 필요하다. 개인정보보호 분야는 대표적인 공공재 영역으로 시장영역의 충분한 투자가 이뤄지기 어려운 시장실패 가능 영역이다. 그럼에도 불구하고 개인정보보호 영역은 정보보안 이슈 등 다양한 측면에서 초기 투자가 적절히 이뤄질 경우 충분한 상업성을 보유하고 있는 영역이기도하다. 산업영역의 미성장은 관련 서비스의 충분치 못한 공급을 초래하고, 전문인력의 부족 등 다양한 문제를 야기하므로, 정부영역에서 이에 대한 개선전략 마련이 필요할 것으로 판단된다.
일곱째, 개인정보보호 분야의 담당자들이 효과적으로 직무에 몰입할 수 있는 환경조성이 필요하다. 개인정보보호의 중요성에 대하여는 일반국민들과 대부분의 공공조직이 동의하고 있지만 정작 그 직무를 수행하고 있는 담당자들이 효율적으로 일할 수 있는 여건 마련에는 관심을 기울이지 못했던 것이 사실이다. 개인정보보호 업무는 기계적 시스템의 영향을 많이 받기는 하지만, 적합한 전문가의 중요성도 그에 못지않게 높다. 따라서 개인정보보호 담당자들이 직무에 몰입할 수 있도록 성과급체계와 전문성을 고려한 보직기준 마련이 필요하며, 개인정보보호 담당업무를 전문 보직관리제도에 포함시키는 방안에 대한 적극적인 검토 역시 필요할 것으로 판단된다.
5. 개인정보보호 강화를 위한 인사·조직 개선방안
그간 개인정보보호 업무의 실행과 관련된 집행 업무는 행정자치부가 주도하였다. 행정자치부장관은 정부조직을 관장하며 지방행정을 총괄하는 국무위원의 지위에 있으므로 각급 중앙행정기관과 지방자치단체에 대하여 개인정보보호 업무를 효율적으로 추진함에 있어서 필요한 정책수단을 갖고 있다. 그래서 그 기능을 충분히 활용하면 얼마든지 법령상 소기의 목적을 달성할 수 있었다.
그런데 최근 개정·공포된 「개인정보보호법」 제8조 4항과 5항에 따라 개인정보보호위원회도 개인정보를 보호하기 위한 정책과 제도의 하나로서 개인정보를 보유하고 있는 모든 공공기관과 민간기관에 대하여 인사와 조직관리상 필요하다고 판단되는 가이드라인을 권고하고 그 내용의 이행여부를 점검할 수 있게 되었다. 그리고 1년 뒤에 시행되지만 앞으로 그런 권고 사항을 3년마다 작성하는 개인정보보호기본계획에 포함하여 실태조사까지 할 수 있는 권한을 부여받았다. 이는 그간 개인정보보호위원회가 행정자치부의 의뢰에 따른 소극적 입장에서 탈피하여 보다 적극적으로 개인정보보호 정책을 주도적으로 추진할 수 있게 되었음을 뜻한다. 따라서 지금까지 개인정보보호를 내실화하기 위한 여러 검토 대안 중 인사와 조직과 관련된 사항을 행정자치부를 비롯한 모든 기관에 권고할 수 있게 된 것이다.
국가기관의 조직개편과 인력 증원문제는 행정자치부와 기획재정부와 직접 협의할 수 있게 되었고, 지방자치단체의 개인정보보호 업무와 관련해서는 행정자치부와 교육부를 통하여 인력과 예산문제를 직접 협의하면 된다. 또 공공기관에 대하여는 기획재정부와 협의하여 평가지표에 포함하는 등 구체적인 작업을 실시할 수 있게 된 것이다. 또한 국무총리실과는 정부업무 평가와 관련하여 중앙행정기관과 지방자치단체에 대한 평가대상에 개인정보보호 업무를 포함하는 문제를 협의할 수 있다. 구체적인 협의사항은 다음과 같다.
인사운영 분야에 있어서 첫째, 채용의 경우 인사혁신처에서 연간 직급별 인력 충원계획을 수립할 때 정보보호 직류의 7급과 9급 공채 인원을 모집인원에 반영하도록 요청한다. 지방공무원의 경우에는 행정자치부를 통하거나 직접 광역자치단체에 적정 인원을 충원하도록 통보하면 될 것이다. 공무원이 아닌 공공기관이나 민간기관에 대하여는 자율적으로 인력을 채용할 경우 정보보호 전담 직원이 반영되도록 공식 통보하면 된다. 다만 채용할 경우 공개경쟁방식만 고집할 필요는 없다. 실력과 경력이 검증된 사람은 높은 보수를 주고서라도 특별채용을 통해 유치할 필요가 있다. 현행 보수제도와 성과관리 제도를 적극 활용하면 된다.
둘째, 보직관리 분야로서 공무원이나 공공기관, 민간기관과 별 차이는 없다. 다만 법치행정원칙이 보다 엄격히 적용되는 공무원은 개인정보보호위원회가 인사혁신처가 각 부처 보직관리기준 지침을 통보할 때 개인정보보호 관련 직위가 포함되도록 공식 문서로 반영을 요청한다. 특히 직위별로 보직요건을 정하여 실제 적임자를 선발할 때 개인정보보호를 담당하기 위해서는 어떤 인성과 전문성을 갖추어야 하는지 그리고 내부에서 선발하거나 외부에서 충원하거나 관계없이 일정기간 동안 어떤 성과책임을 지고 그 결과는 어떻게 평가할 것인지에 대하여 인사담당 부서에서 미리 설정해 둘 필요가 있다.
셋째, 상벌관리 분야이다. 역시 공무원과 공공 및 민간기관에서 별 차이는 없다. 다만 보직관리와 마찬가지로 공무원의 경우 보다 엄격한 법치행정 원칙이 적용되므로 행정자치부와 인사혁신처로 하여금 지침을 통보할 경우 구체적인 상벌 방침이 필요하다면 개인정보보호와 관련된 내용을 추가할 수 있을 것이다. 대부분 상벌관리는 각급 기관장의 리더십과 관련되므로 자율적으로 시행함이 바람직하지만, 사회적으로 큰 이슈가 되는 개인정보보호 업무를 차질 없이 수행한 직원에게는 적절한 인센티브를 부여하도록 하고 그렇지 못한 직원은 비례원칙에 따른 벌칙을 부여하는 것이 개인정보를 소홀히 취급하지 않도록 주의의무를 부여하는 방법이 될 것이다. 중앙포상을 우선적으로 추진하지만 심사과정이 복잡하고 시간이 걸리는 문제점을 감안하여, 각급 기관의 개인정보보호업무 주무관들에게는 상당한 인센티브 효과가 있는 개인정보보호위원회위원장 표창장을 적극적으로 수여한다.
넷째, 성과관리 분야이다. 이는 앞의 상벌의 기준이 되기도 하지만, 개인정보보호위원회가 매년 작성하는 연차보고서와도 관련된다. 연차보고서를 작성하는 지침을 각 기관에 통보하고 그 자료를 받기 위해서 각 기관이 어떻게 개인정보를 관리하고 보호하였는지, 그리고 그 내용과 성과에 대하여 어떤 조치를 취했는지 미리 지침을 주고 수시로 실태를 점검하면 훨씬 효과가 클 것이다. 물론 이러한 성과는 인사평가에 연계가 되어야 한다. 개인정보보호 담당직원이 아무리 열심히 해서 유출사고를 막아도 인사상 아무런 인센티브가 주어지지 않는다면 머지않아 담당자의 창의성과 적극성이 떨어져 사고가 날 우려가 있기 때문이다. 연차보고서 작성 과정에서 어느 기관이 개인정보보호 업무를 우수하게 잘 수행했는지 평가가 가능하므로 개인정보보호위원회 위원장 명의의 기관표창과 필요시 담당자에 대한 포상을 병행 추진할 필요가 있다.
조직관리 분야에 있어서, 첫째, 개인정보보호 업무를 담당하는 부서를 기관장이 판단하여 현 기획조정실 또는 개별 실국 소속에서 감사관실로 이관하는 방안을 적극 검토하도록 한다. 이는 개인정보보호 담당자들 스스로 권한과 책임을 일치시키는 유력한 대안으로 제시한 것을 반영하는 내용이다.
둘째, 전담 인력을 배치하고 필요한 예산을 적극 반영하도록 한다. 이미 전담 인력을 증원한 기관에 대하여는 운영실태를 점검하고, 필요한 기관에 대하여는 전담 인력에게 다른 업무 부담을 경감하도록 한다. 또한 기획재정부에 대하여는 각 부처의 소요예산요구서 검토시 삭감하기 보다는 적정성 여부를 합리적으로 판단하여 업무처리에 소홀함이 없도록 한다.
셋째, 조직진단 실시를 적극 검토한다. 우선 2016년에 개인정보보호위원회가 수립할 3년간의 기본계획에 필요성을 반영하고 그것에 따라 각급 기관에서 필요한 예산을 반영한 뒤 정보량과 업무량의 비대칭으로 개인정보보호 업무에 차질을 빚는 기관부터 행정자치부와 협조하여 순차적으로 시행하도록 권고한다. 이 결과에 따라 행정자치부의 인력 증원과 기획재정부의 예산편성에 반영할 경우 조직진단이 형식적으로 진행되지 않고 보다 적극적으로 실시될 것이다.
넷째, 개인정보보호 업무에 대한 환류기능을 강화한다. 이를 위하여 국무총리실에는 「정부업무평가 기본법」 소정의 절차에 따라 각 중앙행정기관과 지방자치단체에 대한 평가대상 지표에 포함하는 방안을, 그리고 행정자치부에 대하여는 「지방자치법」과 「지방공기업법」에 의한 지방자치단체에 대한 감사 및 지방공기업에 대한 평가지표에 포함하는 방안을, 기획재정부에 대하여는 예산요구서 평가 및 「공공기관 운영에 관한 법률」에 의한 공공기관 평가지표에 각각 포함하는 방안을 협의하고 가능한 경우 이를 기본계획에 방침을 설정하고 시행계획에 그런 평가결과가 피드백 된다는 내용이 포함되도록 권고한다.
교육훈련 분야에 있어서 첫째, 각급 공무원 교육훈련기관에 대한 개인정보보호 관련 프로그램의 가이드라인과 핵심 교육사항, 내용 등에 대한 지도와 지원도 실시한다. 앞서 제도적, 물리적, 기술적 사항에 대한 개인정보 보호 강의차시안을 작성해 보았는데, 위원회는 이를 효과적으로 시행할 구체적 교안을 작성하여 서비스를 제공한다. 위원회는 「개인정보보호법」 제67조에 따라 연차보고서를 작성하여 국회에 제출하게 되어 있으므로, 보고서를 작성하는 과정에서 우수 또는 미흡기관을 파악할 수 있다. 그래서 다른 기관으로 널리 확산시킬 필요가 있는 모범사례와 반면교사로 삼을 사례를 정리하여 정보보호와 관련된 사례연구(case study) 자료로 작성 제공한다. 보유 중인 개인정보의 질과 양은 다양하지만 운영 실태는 어느 기관이나 비슷하기 때문에 보호위원회를 소통의 중심으로 하여 관련 정보를 공유함으로써 궁극적으로는 공통의 적으로부터 개인정보를 보호할 수 있다.
둘째, 개인정보보호에 관한 교육훈련시 위원회 직원이 강사로 직접 참여하거나 사이버 강좌 개설시 강사로 활동하는 것도 적극 검토할 필요가 있다. 물론 바쁜 업무로 어렵다면 곤란하지만 그렇지 않다면 핵심 관리자 또는 다량의 정보처리기관의 책임자를 대상으로 하는 일부 중요한 과정에서는 개인정보보호위원회의 보호담당자가 직접 강의하는 것도 효과적이다. 법령의 내용과 실제 운영실태, 전체 공사기관의 실태를 누구보다 정확하게 알 수 있는 위치에 있으므로 종합적인 시각에서 강의할 경우 보다 명확하게 사례 중심의 내실 있는 교육이 진행될 것이다.
셋째, 직접 교육원으로 가서 전문적인 교육을 실시하기 어려울 경우, 각급 교육원의 사이버(스마트) 교육의 일환으로 개설된 과정에 출연하여 「개인정보보호법」의 내용을 생생하게 전달하는 방법도 좋다. 한번 녹화해 두면 전국의 모든 공사기관 직원들이 개인정보보호 담당자로부터 제대로 된 법령지식을 전수받을 수 있기 때문이다. 보호위원회 직원은 법령의 내용을 가장 정확하게 아는 전문가일 뿐만 아니라 법령의 제·개정취지와 운영현황에 대해 권위를 갖고 있으므로 직접 사이버 강좌를 운영한다면 개인정보보호 업무에 대한 중요성과 신뢰성이 높아질 것이다.
넷째, 「공무원 교육훈련법」 제15조에 따라 인사혁신처장은 공무원교육훈련에 관한 기본정책 및 일반지침의 수립에 필요한 자료를 수집하고 공무원교육훈련의 성과를 측정하기 위하여 중앙행정기관과 그 소속 공무원교육훈련기관에서 실시한 교육훈련의 내용·방법 및 성과 등을 정기 또는 수시로 평가할 수 있으며, 필요시 시정을 요구할 수 있다. 그리고 「지방공무원 교육훈련법」 제21조에 따라 교육부장관 및 행정자치부장관은 지방공무원의 교육훈련의 내용·방법 및 성과 등에 관하여 평가하여 그 결과를 공시할 수 있으며, 필요시 관계 지방자치단체의 장에게 그 시정을 요구할 수 있다. 이 규정에 의하여 개인정보보호위원회는 인사혁신처, 교육부, 행정자치부에 개인정보보호 운영과정에 대한 평가를 간접적으로 요청할 수 있으며, 필요한 경우에는 잘못된 점을 시정하도록 요구할 수 있다. 이와 함께 각 기관의 현장에서 진행되는 정보보호 관련 교육과정의 타당성과 효과성에 대하여 수시로 점검이나 행정지도를 통하여 시정해 나갈 수 있을 것이다.
다섯째, 「지방공무원 교육훈련법」 제22조에 의하여 개인정보보호위원회는 교육부장관과 행정자치부장관을 통하여 개인정보보호제도의 이론과 실제 등 국가정책상 반드시 필요하다고 생각되는 정책이라 판단되면 직접 훈련을 실시하도록 요청한다. 특히 광역자치단체 중에서는 개인정보보호 업무를 국가공무원 못지않게 열심히 운영하는 곳이 있는가 하면 어떤 단체는 별로 그 중요성을 인식하지 못하는 경우도 있으므로 모든 기관이 최소한의 개인정보보호 과정을 운영하도록 주무부처를 통해 적극적으로 지도할 필요가 있다.
여섯째, 개인정보를 직접 처리(수집, 보관, 추출, 활용)하는 부서는 전문교육 과정을 통하여 지속적으로 실시하면 되지만, 개인정보를 활용하는 각 부서는 아무래도 정보에 대한 관심이 소홀해질 수밖에 없다. 그러나 관리자들이 개인정보보호 업무에 대하여 남다른 관심을 갖고 소속 직원들로 하여금 정보보호 업무를 차질 없이 하도록 하면 유출사고를 최소화할 수 있을 것이다. 따라서 중앙공무원교육원이나 지방행정연수원의 관리자교육과정에서는 개인정보보호의 중요성과 폐해사례 등을 중심으로 선택과 집중식의 교육을 반드시 실시하도록 한다.
일곱째, 「개인정보보호법」 제2조 제5호에 따르면, “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하므로 모든 공사기관이 망라된다. 공공기관에 대하여는 주로 행정법령에 의하여 설립 운영되므로 국가의 공권력의 직접적인 영향력 범위 안에 있으므로 법령상 권한이 있는 기관을 통하여 체계적으로 개인정보보호에 대한 교육을 실시하면 된다. 하지만 민간기업의 경우에는 현행법상 교육훈련 이수의무는 부여되어 있지 않으므로, 일정 규모 이상 개인정보 보유 기관에 대하여는 교육이수 의무를 법제화한다. 물론 그 전이라도 공사기관이 중앙공무원교육원에 사이버 특별교육을 요청하도록 권고할 필요가 있다.
특히 광역교육자치단체에 소속된 직원들과 각급 학교 직원들의 개인정보보호에 대한 인식도를 높이도록 개인정보보호위원회가 교육부와 행정자치부와 협조하여 필요한 직무 전문교육을 강화해 나가야 한다.
목차 Contents
- 표지 ... 1
- 제 출 문 ... 3
- 요 약 문 ... 4
- 목차 ... 15
- 표목차 ... 20
- 그림목차 ... 22
- 제1장 서론 ... 26
- 제1절 연구의 필요성 ... 26
- 제2절 연구의 목표 ... 28
- 제3절 연구의 내용 ... 28
- 제4절 연구의 범위 ... 29
- 제2장 개인정보보호 관련 환경변화와 운영실태 ... 31
- 제1절 개인정보보호 관련 국내·외 환경변화 ... 31
- 1. 개인정보보호제도 개관 ... 31
- 2. 우리나라 개인정보보호 정책 동향 ... 34
- 3. 외국의 개인정보보호 동향 ... 42
- 4. 기술적 환경변화 및 개인정보 보호 기술 ... 46
- 제2절 개인정보보호 운영강화 사례 ... 48
- 1. 중앙행정기관 ... 48
- 2. 지방자치단체 ... 62
- 3. 공공기관 ... 73
- 4. 민간기관 ... 79
- 제3장 주요 선진국의 개인정보보호 인사·조직체계 분석 ... 82
- 제1절 미국·캐나다 ... 82
- 1. 미국 ... 82
- 2. 캐나다 ... 102
- 제2절 유럽 ... 108
- 1. 유럽연합(EU) ... 108
- 2. 독일 ... 119
- 3. 프랑스 ... 125
- 4. 영국 ... 129
- 제3절 일본·호주 ... 134
- 1. 일본 ... 134
- 2. 호주 ... 146
- 제4절 소결 및 시사점 ... 152
- 제4장 개인정보보호 전담조직의 인사·조직체계의 문제점 ... 157
- 제1절 개인정보보호 전담조직 관련 문제점에 대한 기존 논의 ... 157
- 1. 개인정보보호 담당 인력의 효율적 관리 미비 ... 157
- 2. 개인정보보호 강화를 위한 개인정보보호위원회의 컨트롤 타워 한계 ... 158
- 3. 개별 기관의 개인정보보호 전담조직의 설치 및 운영관리 미흡 ... 160
- 4. 개인정보보호 강화를 위한 개인정보보호법의 실효성 부족 ... 161
- 제2절 개인정보보호 강화를 위한 인사·조직의 문제점에 대한 실증분석 결과 ... 161
- 1. 기관의 개인정보 보유 수준 현황분석 ... 161
- 2. 개인정보보호 전담조직·인력 분야 현황분석 ... 163
- 3. 기관의 개인정보보호 수준에 대한 평가 ... 168
- 4. 개인정보보호 담당조직 구성원의 직무환경 분석 ... 179
- 5. 기관의 개인정보보호 강화 교육훈련 노력과 담당자의 문제점 인식 ... 187
- 6. 기관의 개인정보보호 강화와 관련된 담당자의 문제점에 대한 인식 ... 190
- 7. 기관의 개인정보보호 내부관리계획에 대한 평가 ... 199
- 8. 개인정보보호 강화를 위한 개선방안에 대한 인식 ... 203
- 9. 분석결과의 요약 및 함의 ... 210
- 제5장 개인정보보호 강화를 위한 인사·조직 개선방안 ... 212
- 제1절 인사제도의 보완 ... 212
- 1. 공직분류체계 개선 ... 213
- 2. 전문성을 갖춘 우수인재의 유치 ... 217
- 3. 보직관리기준의 운영 철저 ... 222
- 4. 전문분야별 보직관리 강화 ... 224
- 5. 직위유형별 보직관리 내실화 ... 226
- 6. 효과적인 상벌관리 ... 230
- 제2절 조직관리의 강화 ... 237
- 1. 개인정보보호 업무 여건의 변화 ... 238
- 2. 개인정보처리기관의 조직 보강 ... 241
- 3. 개인정보보호위원회의 위상 정립 ... 245
- 제3절 교육훈련체계 확립 ... 246
- 1. 개인정보보호 교육훈련 현황 ... 246
- 2. 개인정보보호담당자 역량강화 ... 254
- 제4절 실행계획 ... 257
- 1. 필요성 및 여건 분석 ... 257
- 2. 개인정보보호위원회의 권고안 ... 258
- 3. 시행시기 검토 ... 262
- 제6장 결 론 ... 264
- 제1절 연구결과의 요약 ... 264
- 제2절 정책적 함의 ... 265
- 참고문헌 ... 266
- 끝페이지 ... 269
※ AI-Helper는 부적절한 답변을 할 수 있습니다.