[전문가칼럼-원성만 행정사] 필자는 지난 23일자 칼럼을 통해 개인정보보호법의 시행실태와 나아가야 할 방향에 대해 소신을 밝힌 바 있습니다. 이번에는 개인정보보호법을 포함한 법정의무교육을 미끼로 활동하는 사설업체와 각종 피해사례를 짚어보며, 올바른 법령과 제도의 시행에 대해 모색해 보고자 합니다.

사례#1. 성희롱예방 강사가 금융상품 팔고 되레 성희롱

중견기업에서 법정의무교육인 성평등(성희롱 예방) 교육을 위해 업체 및 강사를 초빙하여 교육을 하던 중 노후보장과 저축에 대해 언급하며 자연스럽게 상품가입을 권유함.

뿐만 아니라, 성희롱 예방을 위해 초빙한 강사가 성희롱을 정당화하는 듯한 발언을 하여 교육내용과 강사의 자질에 대한 신뢰성을 저하시키는 원인을 제공함. <출처 : 2016.6.21. the 300 런치리포트>

사례#2. 과태료 들먹이며 법정 의무교육 강요

수원에서 웹디자인 회사를 운영하는 A씨는 며칠 전 한 기업 컨설팅업체로부터 ‘개인정보보호교육’을 받으라는 전화를 받았다. 최근 법이 강화돼 3천만원의 과태료를 물지 모르니 자신들이 교육을 해주겠다는 내용이었다.

A씨는 당시 업무가 바빠 급하게 전화를 끊었는데, 이틀 뒤 다른 업체로부터 같은 내용의 전화를 받고는 그때부터 ‘이러다 진짜 과태료를 내야하는 것 아닌가’라는 불안감이 들기 시작했다.

A씨는 고민 끝에 이 같은 내용에 대해 행정자치부에 문의한 결과 해당 교육의 경우 회사 내 자체교육도 가능하고, 꼭 사설업체로부터 교육을 받을 필요가 없다는 답변을 들은 뒤에야 안심할 수 있었다. <출처 : 2017.1.18. 기호일보>

사례#3. 사설업체 교육수준 점검활동

필자는 행정사로서 개인정보 전문컨설팅 회사의 상임고문으로 활동하고 있습니다. 위의 보도내용 이외에도 수많은 피해사례가 있어 사설업체에 의한 교육수준과 실태가 얼마나 심각한 지 회사 자체적으로 점검하기 위해 2018년 2월 중순 모 사설업체에 연락하여 개인정보보호법에 대해 강의를 요청하였습니다.

강의는 40여분 정도 진행이 되었고, 저희 예상대로 법령에 대한 수박겉핥기식 교육이 진행되었습니다. 또한, 강사의 교육 이후 농산품에 대한 광고와 신청서를 참석한 인원들에게 나눠주는 모습을 볼 수 있었습니다. <출처 : 2018.2.13. 사설업체 초빙교육 점검>

위의 사례와 같이 검증되지 않은 사설업체의 교육으로 인해 법정의무교육은 사실상 유명무실하게 되었으며, 이로 인한 피해가 증가하고 있음에도 여전히 근절되지 않는 이유는 무엇일까요?

우선 교육업체나 강사에 대한 명확한 자격기준이 없고, 제도적 미비점이 그 원인이라고 할 것입니다.

개인정보보호법 시행령 제37조 제1항 제2호 관련 ‘전문인력의 자격기준’을 살펴보면, 대부분 전산보안에 관련 경력을 중심으로 기술되어 있고, 무엇보다 ‘개인정보 보호와 관련 업무수행 경력이 있는 사람’이란 기준 자체가 모호하여 누구든지 개인정보 전문가로 활동하는데 지장이 없다는 논리적인 비약이 가능하다는 것이 더 큰 문제라고 할 것입니다.

둘째로, 정부 책임부서의 이러한 사태의 심각성에 대한 인식의 부족과 관리감독 소홀이라 할 것입니다.

앞선 기고에서도 언급한 바와 같이 3년 가까이 위의 실태에 대해 개선해 줄 것을 공문과 국민신문고, 관계 공무원 면담을 통해 개선을 요구하여 왔으나, 인력부족과 제도개선 등의 소요로 인해 어렵다는 입장만 전달받아야 했습니다. 개인정보보호법이 국민의 개인정보를 지키기 위해 만들어졌고, 법 시행관련 책임부서에 문제를 제기하였음에도 개선이 되지 않는다면 과연 누구를 위해 만든 법인지 누구나 의구심이 생길 수 밖에 없다고 보여집니다.

셋째로, 금융업체와 사업주의 이해관계가 원인이 될 것입니다. 사설업체에 의한 부실교육으로 기관 및 기업의 피해가 지속되고 있음에도 이러한 사례가 근절되지 않는 것은 금융업체의 상술과 사업주 편의 위주의 교육이 결합된 결과라고 보입니다.

보험이나 금융상품을 영업하는 입장에서 연고가 없는 회사에 찾아가서 영업을 하는 것이 쉽지 않은 현실입니다. 반대로 사업주 입장에서 볼 때, 업무시간의 일정부분을 할애하여 장시간 법정의무교육을 해야 한다면 업무에 부담이 되는 것이 사실입니다. 이러한 사업주와 금융업체의 이해관계가 결탁하여 지금과 같은 부실 및 파행교육은 여전히 지속되고 있는 것이 현실입니다.

그렇다면 올바른 법령의 시행과 제도정착을 위해 어떤 노력을 해야 할까요?

첫째, 위에 언급한 바와 같이 파행실태의 심각성 인식과 정부차원의 관리감독을 강화해야 할 것입니다. 위와 같은 사설업체에 의한 부실교육 및 피해실태를 발본색원하고, 기관 및 기업을 대상으로 적극적인 계도와 관리감독을 강화해 나가야 할 것입니다.

둘째, 현장에 꼭 필요하고 적용할 수 있는 부분을 가이드라인으로 제시하고, 필요하다면 실무전문가의 적극적인 현장대응을 지원하는 노력이 필요하다고 봅니다. 개인정보보호법 관련 정부의 노력과 방향을 분석해 보면 전산보안에만 편중되어 추진되는 모습을 볼 수 있었습니다. 정보통신기술의 발달로 인해 해당분야에 대한 관심과 지원이 중요한 부분이긴 하나, 중소기업이나 비영리단체의 경우 오히려 관리적∙물리적 개인정보 유출에 취약한 모습을 여실히 보여주고 있어, 이에 대한 보완이 더 시급한 문제임을 현장경험을 통해 느낀 바 있습니다.

셋째, 교육업체나 강사에 대한 자격기준을 확립하고, 제도적 미비점을 보완해 나가야 할 것입니다. 필자 또한 법적자격사로써 새로운 법령을 만들거나 수정하는 작업이 쉬운 일이 아님을 알고 있습니다. 하지만, 현행법의 테두리 안에서 적절한 고시나 기준을 마련하고 실천적인 가이드라인을 제시해 나간다면 법령의 올바른 시행은 그리 요원한 일만은 아니라고 생각합니다.

지금까지 개인정보보호법을 포함한 법정의무교육을 미끼로 활동하는 사설업체의 활동과 각종 피해사례를 짚어보고, 향후 올바른 법령의 시행과 제도정착을 위해 어떠한 노력을 해야할 지 살펴보았습니다.

그러면서 문득 저 자신에게 질문해 봅니다.

과연 나의 개인정보는 잘 관리하고, 잘 관리되고 있을까? 나의 개인정보를 지키기 위해 어떤 노력을 해야 할까?

최근 국제적인 SNS 회사의 개인정보 유출사고 및 유럽의 개인정보보호법 강화 움직임을 보면서 올바른 법령의 시행과 제도 정착의 필요성을 새삼 느끼고 있습니다.