사물인터넷 기반의 사회복지시설 개인정보보호 관리 - IOT 중심의 사회복지시설 정보화 현안과 정책 과제

<<

4

2000년대 중반 이후 최근까지 지속적으로 발생하고 있는 이동통신사, 인터넷포털, 금융기관, 신용카드사 등의 개인정보 대량 유출 사고(표 4-1 참조)는 연이은 집단 소송으로 이어지고 있으며 국정감사에서도 주요 이 슈로 자주 등장하고 있다.

〈표 4-1〉 국내 주요 개인정보 유출 및 불법 유통사고 현황

시기 업체 피해규모

2006~2008 하나로텔레콤 650만 명

2008년 2월 옥션 1,863만 명

2008년 9월 GS칼텍스 1,119만 명

2010년 3월 신세계몰 330만 명

2011년 7월 SK커뮤니테이션즈 3,500만 명

2011년 11월 넥슨 1,320만 명

2012년 4월 EBS 400만 명

2012년 7월 KT 870만 명

2014년 1월 카드사(농협/국민/롯데) 1억400만 건

2014년 7월 홈플러스 250만 건

2016년 5월 인터파크 1,030만 건

자료: 정영철, 이기호, 이야리(2013). p.41 내용을 재정리;

연합뉴스(http://news.naver.com/main/read.nhn?mode=LSD&mid =sec&sid1=101&oid=001&aid=0006690165에서 2014. 1. 8. 인출).

보안뉴스(http://www.boannews.com/media/view.asp?idx =44929&kind=1;에서 2014. 12. 31. 인출).

경향신문(http://news.khan.co.kr/kh_news/khan_art_view.html?artid =201607251546001&code=940202에서 2016. 7. 25. 인출).

‘개인정보’는 살아있는 개인을 알아볼 수 있는 개인에 관한 정보로 규 정³⁹⁾하고 있으며 일반 정보, 가족 정보, 소득 정보, 신용 정보, 의료 정보, 신체 정보 등 다양한 유형으로 구분⁴⁰⁾하기도 한다. 이러한 개인정보가 개 인의 의사에 반하여 유출 시에는 개인의 정신적, 물질적 피해뿐 아니라

39) 개인정보보호법 제2조 제1항.

40) 교육과학기술부‧한국정보화진흥원(2012. 1). 개인정보 보호법 업무 사례집. pp.8-9.

사회적, 국가적으로도 큰 피해를 끼치게 된다.

한편, 개인정보 침해 신고 상담 건수는 2010년을 기점으로 2배 이상으 로 증가하는 등(표 4-2 참조) 개인정보 보호에 대한 개인적, 사회적 관심 이 쏠리고 개인정보 보호에 대한 당위성과 필연성이 부각되고 있다. 우리 나라에서는 2011년 3월 「개인정보보호법」이 제정, 같은 해 9월부터 시 행되었으며, 이후 지속적인 법 개정 등을 통해 국가 차원의 규제 수준을 높이고 있다.

〈표 4-2〉 개인정보 침해 신고 상담 건수

(단위: 건) 구분 2009 2010 2011 2012 2013 2014 2015

계 35,167 54,832 122,215 166,801 177,736 158,900 152,151 개인정보 무단 수집 1,075 1,267 1,623 3,507 2,634 3,923 2,442 개인정보 무단 이용 제공 1,171 1,202 1,499 2,196 1,988 2,242 3,585 주민번호 등 타인 정보

도용 6,303 10,137 67,094 139,724 129,103 83,126 77,598 회원 탈퇴 또는 정정

요구 불응 680 826 662 717 674 792 957

법 적용 불가 침해 사례 23,893 38,414 38,172 12,915 35,284 57,705 60,480 기타 2,404 2,986 13,165 7,742 8,053 11,112 7,089 자료: 방송통신위원회(한국인터넷진흥원 개인정보침해신고센터 접수자료). e-나라지표(http://

www.index.go.kr/에서 2016. 9. 8. 인출).

「개인정보보호법」은 공공 및 민간 부문에 있어 개인정보 보호에 관한 통일된 처리 원칙과 기준을 마련하여 공공, 민간 부문의 모든 개인정보 처리자를 적용 대상으로 확대하였으며 전자문서뿐 아니라 수기 문서까지 포함하여 개인정보보호 범위가 확대되었다는 점에 큰 의의를 두고 있다.

그 외에 주민등록번호와 같은 고유 식별정보의 처리 제한을 강화하였고 영상정보 처리 기기의 설치‧운영에 제한을 두었으며, 정보 주체의 권리 보 장 및 피해 구제 강화, 단체소송제도 도입 등을 주 내용으로 한다(행정안 전부, 한국정보화진흥원. 2011.10.28.).

이처럼 개인정보를 보호한다는 것은, 근본적으로 “개인정보 자기 결정

자료: 보건복지부(2016). 2016 사회복지시설 관리 안내. p.6.

이와 같은 사회복지시설 등에서 복지서비스 제공을 위해 필요한 개인 정보는 개인의 신체 정보, 생활환경 정보, 금융 정보, 학력 정보, 복지급 여 및 서비스 수혜 정보 등 민감한 여러 분야의 정보가 어우러져 있어 대 량 유출 사고가 빈번한 금융, 유통 분야와 더불어 개인정보 유출 시에는 개인, 사회, 국가적으로 많은 경제적 피해가 예상된다. 특히 사회취약계 층의 경우나, 동시에 정보취약계층인 경우 <표 4-4>에서와 같이 언론기 사화 된 사건 이외에도 대부분 개인정보 유출에 대한 인지조차 못하고 있 는 경우도 많고, 대처 능력이 매우 부족해 그 피해는 더욱더 심각하다 할 수 있다.

〈표 4-4〉 최근 언론기사화 된 우리나라 사회복지 부문에서의 개인정보 유노출 사건 현황

번호 날짜 내용 출처

1 2014.5.1. 노숙인 생활시설 직원이 사망한 입소자 개인정보를 넘 겨 이들의 노령연금과 장애수당 등 빼돌려

파이낸셜 뉴스

2014.4.30. 유가족 동의 없이 세월호 침몰사고 피해자 중 생계가

어려운 가정에 생계비 지급 경기신문

2 2015.3.26. 장애인복지관 직원의 폐쇄회로 CCTV 무단 열람 연합뉴스

3 2015.12.1.

경기도 문화의 전당이 2015 Dream Concert에 참여 한 아동센터, 초등학교, 장애인복지관, 청소년수련관 등 기관 관계자와 참석자 등 130여 명의 이름, 주소, 사무 실 전화번호 등 개인정보가 담긴 문서 방치

중부일보

4 2015.12.17. 쓰레기장에서 장애인 선수들의 개인신상정보가 있는 장

애인체육대회 참가신청서 무더기 발견 중부매일

5 2015.12.24. 아동자립지원단의 ‘아동 자립지원통합관리시스템’이 해

킹되어 양육시설 아동 정보 유출 한국일보

6 2016.2.18. 장애아동 4명 중 1명 “인권침해나 차별 겪어; 초상권침

해나 개인정보 유출 등 사생활 침해 사례도 5.0%에 달함 여성신문

특히 사회복지시설의 경우에는 보조금 신청 및 보고, 사회복지서비스 통합 이력 관리, 복지 정책 통계 및 부정 수급 관리 등을 위해 정부 주도의 표준업무시스템인 ‘사회복지시설정보시스템’을 대부분 사용하고 있어 이 에 대한 개인정보보호 관리는 비교적 잘 이루어지고 있다고 생각된다. 그 러나 제3장 ‘사회복지시설 정보화 현황’에서 살펴 본바와 같이 업무별로 사회복지시설 자체 개발 정보시스템과 수기 작업이 병행되고 있고 사례 관리, 자원봉사 관리, 환우 관리 등은 타 업무 처리에 비해 자체 개발 정 보시스템이나 수기 작업을 통한 업무 처리 비율이 상대적으로 높은 것으 로 나타나 개인정보보호 관리 환경은 안정적이지 않다. 특히 개인정보 파 일을 등록 및 공개하여야 하는⁴²⁾ 공공기관과 달리 민간시설인 사회복지 시설의 경우에는 개인정보 처리 종류 및 그 양을 파악하기조차 어려운 상 황이다.

3. 사회복지시설 개인정보보호 향상을 위한 기존 노력

이러한 사회복지시설에서의 개인정보보호 수준 향상을 위한 정부 및 관련 단체들의 기존 움직임들로는 장애인복지관협회에서 2011년 12월 에 발표한 ‘장애인복지관 개인정보보호 매뉴얼’, 정부(보건복지부‧안전행 정부)에서 2013년 발표한 ‘사회복지시설 개인정보보호 가이드라인’이 있 으며, 2015년 행정자치부에서 실시한 ‘비영리민간단체 개인정보관리실 태 자율점검’ 등이 있다. 또한 기존 관련 연구로는 2010년 ‘장애인복지관 개인정보보호 실태와 개선방안’, 2015년 ‘사회복지종사자 개인정보보호 실태조사’가 있으나 이는 타 분야에서의 개인정보보호에 대한 연구에 비 해 현격하게 부족함을 나타내고 있다.

42) 개인정보보호법 제32조(개인정보파일의 등록 및 공개).

가. 장애인복지관 개인정보보호 매뉴얼(장애인복지관협회, 2011. 12.)

대상 단계 세부업무 내용

자료: 장애인복지관협회(2011.12.). 장애인복지관 개인정보보호 매뉴얼.

〈표 4-6〉 사회복지시설 개인정보보호 가이드라인 중 대상별 개인정보 보호내용

자료: 보건복지부‧안전행정부(2013.12.). 개인정보보호 가이드라인[사회복지시설 편].

하기 때문에 실제 업무 담당자들은 개인정보보호 업무 수행에 있어 전반 적인 내용뿐 아니라 상세적이고도 실제 업무에 바로 적용 가능한 사례 중 심의 지침서를 필요로 하고 있다. 나아가 장애인복지관 개인정보보호 매 뉴얼과 같이 개인정보보호 관련 제도 변화에 원활하게 대처하지 못하는 문제점을 지니고 있다.

다. 비영리 민간단체 개인정보 관리 실태 자율 점검(2015. 6.)

2015년 6월, 정부(행정자치부)는 국민생활과 밀접한 개인정보를 다량 으로 수집‧이용하고는 있으나 개인정보 관리 사각지대에 있던 비영리 민 간단체 및 분야별 직능 단체를 대상으로 개인정보 관리 실태 자율 점검을 실시하였다(행정자치부, 2015. 06. 16.). 이때 사용한 ‘개인정보처리 자 율 점검표’는 ‘개인정보 처리 일반 현황 점검표’, ‘개인정보 파일별 점검 표’, ‘개인정보 처리 시스템별 점검표’로 구성되어 있으며, 「개인정보보호 법」 내용 중 개인정보의 처리 규정과 개인정보의 안전한 관리 규정 준수 여부를 점검토록 하였다(표 4-7, 표 4-8, 표 4-9 참조).

〈표 4-7〉 비영리민간단체 개인정보 관리 실태 점검 내용 중 개인정보 처리 일반 사항 점검표

법조항 항목 세부 점검 내용 양호개선

필요

개선 계획 (개선기한)

해당 없음

제26조 10-1

위탁 시 필수사항(7) 포함 한 문서(계약서)에 의 한 계약 여부

* 7개 : 목적 외 처리 금지, 기술‧관리적 보호조 치, 목적‧범위, 재위탁 제한, 접근 제한 등 안전 조치, 관리‧감독사항, 손해배상책임

제26조 10-2 수탁자 공개 여부 　　　

제29조 11-1-1 내부 관리 계획 수립‧시행 여부 　　　

자료: 개인정보보호 자율 점검 가이드라인 및 점검표(http://www.privacy.go.kr/inf/rfr/selectBoard

자료: 개인정보보호 자율점검 가이드라인 및 점검표(http://www.privacy.go.kr/inf/rfr/selectBoard

숙지가 필요한데, 사회복지시설 규모가 매우 열악한 곳에서는 이마저도

응답 결과를 바탕으로 본 연구에서는 첫째, 개인보호 정책과 관련하여 공식적으로 정의되고 문서화된 지침 마련 필요, 둘째, 업무용 PC 보안을 위한 이용 수칙 마련 필요, 셋째, 정보보호를 위한 전담 인력 배정과 명확 한 책임 부여 필요, 넷째, 정기적이고 체계적인 정보보호 교육 실시 필요, 다섯째, 개인정보보호와 관련한 일정 비율의 예산 배정 및 지출 필요, 여 섯째, 무분별한 개인정보 수집 방법과 절차를 검토하고 안전한 관리체계 구축 필요, 사용 목적이 종료된 문서에 대한 즉각적이고 정확한 개인정보 파기가 필요함을 개선 방안으로 제시하였다. 이는 「개인정보보호법」 제

문서에서 IOT 중심의 사회복지시설 정보화 현안과 정책 과제 (페이지 163-183)