[전문가칼럼-원성만 행정사] 어느덧 개인정보보호법의 시행실태와 나아가야 할 방향에 대한 칼럼 기고가 여섯번째입니다. 그동안 개인정보보호를 위한 국가와 사회, 개인의 올바른 인식의 필요성에 관해 피력한 바 있습니다. 이번에는 개인정보의 보호를 위한 구체적인 실천방안과 향후 발전방향을 모색을 위한 두번째로 정부기관, 각종 기업 및 단체에서 개인정보의 올바른 관리를 위해 어떠한 노력을 기울여야 하는지 알아보도록 하겠습니다.

정부기관, 기업 및 단체 업무담당자는 민원이나 업무처리를 위해 개인정보를 취급할 수밖에 없는데 법령과 실무관련 규정에 대한 올바른 이해와 시행되고 있을까요?

앞선 칼럼을 통해 개인정보보호법의 현 실태와 문제점에 대해 다양한 문제제기를 하였고, 기고를 위해 운영실태에 대해 점검해 본 바 대부분 기관이나 단체의 경우 현안업무에만 집중하고 있어 실질적인 법령의 내용과 실무적용에 대한 인식이 상당히 부족한 것이 재확인됐습니다. 이에 대한 발전방안을 제시하고자 합니다.

첫째, 개인정보관련 법령의 분석과 실무적용에 대해 기관이나 단체 스스로 법령적용에 대한 연구가 필요하다고 보입니다. ‘목마른 사람이 우물을 판다’는 속담이 있듯이 국가에서는 개인정보보호법을 일반법으로 적용하다보니 기준과 적용이 모호할 수 밖에 없는 것이 현실입니다. 법령만 가지고는 기관이나 단체의 특성이나 성격에 따라 그대로 적용하기에는 무리가 있을 수 밖에 없으며, 해석과 적용에 있어 상당한 논란의 여지가 있음은 자명한 현실입니다. 이를 극복하기 위해서는 기관이나 단체의 특성에 맞는 실무교재를 만들어 보급하고, 시행과 적용를 통해 보완하는 노력이 필요할 것입니다.

둘째, 개인정보보호법 관련 법령과 실무에 정통한 외부전문가의 도움을 받을 것을 권합니다. 앞선 칼럼을 통해 개인정보보호법의 경우 단순한 법적인 해석이나 기술적인 지식만 가지고는 실무적용에 있어 한계에 부딪힐 수 밖에 없는 영역임에도 법정의무교육 전문강사를 행세하는 인원들에 의한 파행적인 교육과 컴퓨터보안 등 기술위주의 보안조치로만 진행되고 있어 향후에도 개인정보 유출관련 사건사고가 우려될 수 밖에 없다고 보입니다. 대부분 기관이나 대기업의 경우 방화벽에서 내부통제시스템까지 다양한 기술적 보안장치가 마련되어 있어, 기술적인 보안문제로 인한 유출사고보다 상급자를 사칭한 사회공학적 기법을 이용한 해킹이나 유출사고가 끊이지 않고 있는데, 이러한 부분들이 필자가 강조하는 관리적 보안의 중요성이라 할 것입니다. 이를 보완하기 위한 노력으로 해당분야에 근무한 경력과 법률적 지식을 겸비한 행정사의 적극적인 참여가 충분한 대안이 될 수 있다고 보입니다.

셋째, 관련 법령에 대한 실무위주 교육이 시행되어야 할 것입니다. 기관이나 단체 특성상 개인정보보호법 준수보다는 현안업무에 매진할 수 밖에 없고, 시간절약을 위해 집합이나 동영상교육 위주로 진행하다 보니 실무보다는 통상적인 내용위주로 교육이 진행될 수 밖에 없다고 보입니다. 그러나, 이러한 실효성 없는 교육시행으로 인해 개인정보 유출관련 사건사고 발생빈도는 갈수록 증가하고 있는 실정입니다. 예를 들어, 단순한 개인정보를 취급하는 인원과 종합된 개인정보 전반을 관리하는 인원에 대한 업무처리 기준과 권한은 다를 수 밖에 없을 것입니다. 또한, 사무업무를 위주로 하는 업체와 전산업무를 주로 처리하는 업체의 경우 성격과 교육내용이 다를 수 밖에 없을 것입니다.

언급한 바와 같이 법령을 단순히 해석하여 편의위주의 내부교육을 진행한다면 개인정보 관리부실로 인해 결국 개인정보 유출로 인한 손해배상과 신뢰로 저하로 귀결될 수 있다는 위험성은 더 이상 강조하지 않아도 충분히 이해가 될 것입니다.

마지막으로, 개인정보관련 끊임없는 점검활동, 평가 및 보완조치를 지속해 나가야 할 것입니다. 아무리 좋은 자동차를 구매하더라도 제대로 관리하지 않으면 고장이 나거나 심각할 경우 사고로 인해 인명손실을 초래하기도 합니다. 위에서 언급한 내용을 토대로 기관이나 단체의 실정에 맞는 법령연구, 실무적용과 교육을 하더라도 점검활동과 평가가 병행되지 않는다면 결국 자동차를 방치하는 것과 같은 심각한 결과를 초래할 것입니다.

예컨대 군부대에서는 주기적으로 전산보안관련 점검활동을 통해 부대의 강약점을 분석하여 보완하고 모의훈련을 통해 사용자에게 보안관련 경각심을 불러일으키고 있습니다.

위와 같은 점검활동, 평가 및 보완이 유기적으로 이루어진다면 개인정보 유출의 위험성은 줄어들 것으로 전망합니다.

지금까지 개인정보 관리를 위해 기관이나 단체에서는 어떠한 노력을 해야 하는지 살펴보았습니다. 최근 유럽 개인정보보호법(EU GDPR) 발효에 따라 유럽을 상대로 기업활동을 하는 국내외 기업들이 상당한 곤혹을 치르고 있는 모습이 언론에 지속적으로 보도가 되고 있습니다. 이러한 어려움의 근본적인 원인은 필자가 지금껏 강조해 온 법령에 대한 실무적인 이해와 적용의 미흡에서 초래된 결과라고 보여집니다. 기업이나 단체 스스로 법령 강화에 따른 불편이나 불만을 토로하기보다 법령의 실무적인 해석과 적용을 통해 정보주체의 개인정보를 보호하고 신뢰를 구축하는 것이 장기적인 관점에서 오히려 보탬이 된다는 것을 인식하는 좋은 기회로 삼아야 할 것입니다.

‘최고의 수비는 공격’이라는 말처럼 기관이나 단체가 개인정보 관련법령에 대해 방어적 태도를 취하기 보다는 적극적인 대응을 통해 발전하고 성숙할 수 있는 계기가 될 수 있기를 기대해 봅니다.