본 절은 사회복지시설에서의 개인정보보호 관리 현황과 그 문제점을 파악하기 위해 본 연구에서는 온라인 설문조사를 실시하였다. 이후 조사 방법과 조사 내용, 그리고 응답한 175개 시설의 조사 결과를 분석하여 시 사점을 제시하였다.
1. 조사 개요
사회복지시설에서의 개인정보보호 관리 수준을 파악하여 IoT 기반의 개인정보보호를 위한 대안 마련에 기초 자료로 활용하고자 사회복지시설 을 대상으로 설문조사를 실시하였다.
대상자별, 이용/거주 시설별로 구분되어 있는 사회복지시설에 조사 협 조와 조사에 대한 의견 수렴을 위해 한국아동복지협회, 한국노인복지중 앙회, 한국노인종합복지관협회, 한국장애인복지시설협회, 한국장애인복 지관협회, 한국노숙인복지시설협회, 한국사회복귀시설협회, 한국정신요 양시설협회, 한국지역자활센터협회, 한국사회복지관협회 등 10개 관련 협회단체와의 간담회를 실시하였으며 또한 간담회 참석자들에게 이메일 을 통해 조사 내용 및 조사 방법 등에 관한 의견을 수렴하였다. 이후 7개 시설을 대상으로 이메일을 통한 사전조사를 실시하여 조사 내용을 보완 하였다. 본 조사는 7월 약 3주간 위의 10개 관련 협회 단체를 통해 사회 복지시설의 조사 참여를 유도하여 한국보건사회연구원 설문조사사이트 (http://survey.kihasa.re.kr:8080)에서 온라인 설문조사를 실시하였다.
개인정보보호 관리 현황에 대한 설문 문항은 2013년 의료기관을 대상 으로 실시한 ‘의료기관 개인정보보호 관리 현황 조사표’44)를 토대로 앞에
서 언급한 관련 협회 단체와의 간담회 및 이메일, 그리고 7개 시설을 대상 으로 한 사전조사 결과를 통해 수정‧보완 후 확정하였다. 확정된 설문 문 항은 시설의 일반적 특성, 추진 사업 관련, 개인정보보호 관련 등 크게 3 개 부문으로 구분하였으며, 개인정보보호 관련은 관리체계 구축, 보호대 책 수립 및 시행, 침해사고 대책, 개인정보 처리, 안전성 확보 조치, 기타 (시설 홈페이지 관련, 개인정보보호 관련 상담 문의, 개인정보 부정 사용 등, 개인정보보호 관련 지원 요청)로 다시 세분화하였다. 시설의 일반적 특성은 운영 주체, 서비스 유형(거주/이용, 대상별), 소재 지역, 소재지의 지역 규모 등 5개 문항으로 구성하였으며 추진 사업 관련은 서비스 대상 자 정보 교환 기관, 서비스 대상자 정보 교환 방법 등 2개 문항으로 구성 하였다. 개인정보 보호 관련 중 관리체계 구축 부문에서는 개인정보보호 담당 부서 지정 여부와 담당 부서명, 개인정보보호 책임자 지정 여부와 직책, 내부 관리 계획 수립 여부, 개인정보보호 교육 관련, 외부 위탁사업 관련 등 14개 문항으로, 보호대책 수립 및 시행 부문에서는 개인정보 처 리 방침 수립 여부, 영상정보처리기기 관련 등 3개 문항으로, 침해사고 대 책 부문에서는 백신소프트웨어 설치 여부, 암호화 툴 설치 여부 등 4개 문 항으로 구성하였다. 개인정보 처리 부문에서는 개인정보 수집에 대한 동 의서 여부, 종이문서 및 전자파일 형태의 개인정보 파기 여부와 파기 방 법 등 7개 문항으로, 안전성 확보 조치 부문은 출입통제 절차 수립·운영 여부에 대한 1개 문항으로, 마지막 기타 부문에서는 외부 전문가의 자문 이 필요한 부문, 개인정보 부정 사용 혹은 오남용 사례, 국가 지원 업무 등 3개 문항으로써 총 39개 문항으로 구성하였다(표 4-12 참조).
44) 정영철(2013). 의료기관의 개인정보보현황과 대책. 한국보건사회연구원. pp.134-135 참조.
〈표 4-12〉 시설의 개인정보보호 관리 현황 파악을 위한 설문 문항 구성
조사 응답 기관은 총 178곳이었으며 이 중 전반적인 내용에 있어 불성
〈표 4-14〉 개인정보보호 관리 현황 파악을 위한 설문 응답 기관의 직원 수 분포 현황
이용하여 정보를 주고받는 기관은 175개 기관 중 77.7%로 가장 많았다.
그다음으로는 이메일(52.6%)을 사용하며, 유선(전화)의 경우에는 20.0%
로 가장 적게 나타났다(표 4-15 참조).
〈표 4-15〉 개인정보보호 관리 현황 파악을 위한 설문 응답 기관의 추진 사업 관련 분석 결과(복수 응답)
(단위: 곳, %)
구분 시설 수 %
서비스 대상자 정보 교환 기관(전체) 175 100.0
국가 또는 지자체 155 88.6
타 사회복지시설 53 30.3
위탁기관 53 30.3
기타 8 4.6
서비스 대상자 정보 교환 방법(전체) 175 100.0
정보시스템 136 77.7
이메일 92 52.6
서면 74 42.3
유선(전화) 35 20.0
팩스 64 36.6
관리체계 구축 부문에 있어서 개인정보보호 담당 부서를 지정하고 있 는 시설은 전체 175개 중 66.3%, 개인정보보호책임자를 지정하고 있는 시설은 82.9%였으며 개인정보 내부 관리 계획이 수립되어 있는 시설은 86.9%, 매년 개인정보 보호 교육 계획을 수립하여 지난 1년간 개인정보 보호 교육을 실시한 시설은 92.6%로 나타났다. 또한 이들 시설에서는 지 난 1년간 평균 1.4회 교육을 실시하였으며, 교육내용으로는 개인정보보 호의 중요성, 기관의 개인정보보호 정책‧지침‧위험 관리, 기술적‧관리적 보 호조치 기준 이행, 개인정보보호 업무의 절차‧책임 등, 개인정보 취급 관 련 주의사항, 개인정보 침해사고 대응절차 등으로 이들 내용 중 개인정보 의 중요성이 91.6%, 개인정보 취급 관련 주의사항이 83.2%, 개인정보보
호 업무의 절차‧책임 등이 74.5% 순으로 교육 내용에 포함하고 있었다.
한편 이들 기관이 실시한 교육 방법은 외부 전문 강사에 의한 집합교육이 57.1%로 가장 많았으며, 내부 직원에 의한 집합교육은 44.1%, 인터넷교 육은 23.6% 순으로 나타났다. 그 외에 향후 개인정보보호법 변경에 대 한 내용, 개인정보보호를 위한 기관들의 실천 사례, 각 사업별 개인정보 보호 양식 소개 및 활용, 개인정보 위반 사례 등 전반적으로 실제 해당 시 설, 사업 및 사례 중심의 교육이 필요하다고 답하였다(표 4-16 참조). 또 한 전체 175개 기관 중 지난 1년간 외부 기관에 위탁한 사업 중 개인정 보가 포함되어 있는 사업이 있었던 기관은 67개 기관(38.3%)이었으며 평 균 사업 수는 2.5개였으나 이들 기관 중 외부 수탁자에 대한 교육 및 관리
‧감독을 실시한 경우는 43.5%에 불과하였다.
〈표 4-16〉 개인정보보호 관리 현황 파악을 위한 설문 응답 기관의 관리 체계 구축 분석 결과 (단위: %)
구분 %
개인정보보호 담당 부서 지정 66.3
개인정보보호 책임자 지정 82.9
개인정보 내부 관리 계획 수립 86.9
지난 1년간 개인정보보호 교육을 실시한 시설 92.6
지난 1년간 실시한 교육 내용(복수 응답)
개인정보보호의 중요성 91.9
기관의 개인정보보호 정책‧지침‧위험 관리 73.3
기술적‧관리적 보호조치 기준 이행 44.1
개인정보보호 업무의 절차‧책임 등 74.5
개인정보 취급 관련 주의사항 83.2
개인정보 침해사고 대응 절차 43.5
지난 1년간 실시한 교육 방법(복수 응답)
내부 직원에 의한 집합교육 44.1
외부 전문강사에 의한 집합교육 57.1
외부 전문기관의 교육 과정 참석 9.3
인터넷 교육 23.6
교육 자료 배포 3.7
보호대책 수립 및 시행 부문에 있어 개인정보 처리 방침이 수립되어 있 는 경우는 160개 기관(91.4%)이었으며, 영상정보처리기기가 설치되어 있는 경우는 136개 기관(77.7%)으로 나타났다. 영상정보처리기기가 설 치되어 있는 시설 중 관리 대장과 안내판이 모두 설치되어 있는 기관은 56.1%, 안내판만 설치되어 있는 기관은 39.4%, 관리 대장이나 안내판 모 두 설치되어 있지 않는 기관은 4.5%를 나타내었다.
다음으로 침해사고 대책 부문으로 업무용 컴퓨터에 백신 소프트웨어가 설치되어 있는 경우는175개 기관 중 168개 기관(96.0%), 이러한 업무용 컴퓨터에 고유식별정보, 바이오정보, 비밀번호 등을 저장하고 있는 경우 가 117개 기관(66.9%), 저장되어 있는 경우 암호화툴이 설치되어 있는 경우는 45.9%, 업무용 컴퓨터 및 홈페이지에 개인정보 노출 방지를 위한 상시 모니터링을 수행하고 있는 경우는 175개 기관 중 111개 기관 (63.4%)으로 나타났다.
개인정보 처리 부문에서 개인정보 수집 동의를 받는 경우는 175개 기 관 중 174개 기관(99.4%)이었으며 응답 기관 중 지난 1년간 종이문서 형 태의 개인정보를 파기한 적이 있는 경우는 175개 기관 중 143개 기관 (81.7%), 이들 기관들은 직접 파쇄 및 소각(82.4%)하거나 대행업체 위탁 (17.6%)으로 처리하였다. 한편 지난 1년간 전자파일 형태의 개인정보를 파기한 적이 있는 경우는 175개 기관 중 86개 기관(49.1%)이었으며, 파 기 방법으로는 대부분 직접 영구삭제 하였고(93.0%), 7.0%만이 대행업 체에 위탁하여 처리하였다. 대상 기관 175개 중 개인정보 파기 대장을 기 록, 관리하는 경우는 53개 기관(30.3%)으로 나타났다.
안전성 확보조치 부문에서는 개인정보를 취급하는 공간에 대한 출입통 제 절차를 수립하고 운영하는 경우는 95개 기관(54.3%)으로 나타났다.
마지막으로 기타 부문에서는 시설의 개인정보보호 업무 수행에 있어
외부 전문가의 자문(컨설팅)이 필요한 부분에 대하여 개인정보 수집 시 동의에 관한 사항, CCTV 설치 및 운영에 관한 사항, 개인정보보호 교육 에 관한 사항 등에 대한 필요성 결과가 유사하게 제시되었으며, 국가 차 원의 지원이 필요하다고 생각되는 영역은 예산 지원, 시설 종류별 상세 가이드라인 개발 및 배포, 개인정보보호 교육 지원 순으로 나타났다(표 4-17 참조).
〈표 4-17〉 개인정보보호 관리 현황 파악을 위한 설문 응답 기관의 기타 부문 분석 결과 (단위: %)
구분 %
전문가 자문 필요 부문(복수 응답)
개인정보 수집 시 동의에 관한 사항 30.3
개인정보보호 교육에 관한 사항 29.7
개인정보 보관에 관한 사항 25.7
개인정보 파기에 관한 사항 25.7
개인정보 유출에 관한 사항 18.9
개인정보 주체의 권리에 관한 사항 22.9
CCTV 설치 및 운영에 관한 사항 30.3
국가차원의 지원 필요부문(1순위)
국가차원의 지원 필요부문(1순위)