2014년 개인정보보호법 위반에 따른 행정처분 사례

2014년 개인정보보호법 위반에 따른 행정처분 사례

 

지난 8월 7일자로 개정 개인정보보법이 전면 시행되면서 개인정보 관리에 대한 책임이 한층 더 강화되었다. 안전행정부는 사회 전반의 개인정보의 보호수준 향상과 실태 개선을 위하여 정부부처 합동으로 구성한 ‘개인정보보호합동점검단’을 중심으로, 개인정보의 유출이나 침해 우려가 있는 취약 분야 및 다량의 개인정보를 취급하는 분야 등을 대상으로 실태검사를 실시했다. 이에 안전행정부는 지난 9월 24일, 2014년도 민간기관에 대한 실태검사 결과에 따른 ‘개인정보보호법 위반에 따른 행정처분 사례’를 발표했다. 이를 통해 각 기업이 자체 시정 기회 및 인식 전환 계기로 삼아 정보보호수준 제고를 위해 노력해 줄 것을 권고했다. 이 글에서는 안전행정부가 발표한 2014년 민간분야 개인정보보호법 위반 행위 행정처분 사례를 소개한다.

 

수집이용, 제공 시 동의 및 고지 의무 위반 (제15조, 제17조, 제18조) 

 

제15조 제1항 위반: 5천만 원 이하의 과태료(1회 위반 1,000만 원)

 

 

 

개인정보보호법 제 15조 1항에 따르면, 개인정보 수집 시 정보주체의 동의를 획득해야만 한다. 안전행정부는 이에 대한 위반 사례로 모 교육기부 홈페이지에서 정보 수집 시 동의 미획득한 경우를 소개했다. 이 경우, 1회 위반 시 1천만 원의 과태료가 부과되었다.

 

제15조(개인정보의 수집 이용) 제2항 위반: 3천만 원 이하의 과태료(1회 위반 600만 원)

또한 개인정보보호법 제 15조 2항에 따르면, 개인정보 수집 시 필수 고지사항을 고지하지 않는 경우에도 처벌의 대상이 된다.

 

 

이때 반드시 고지해야 하는 항목 4가지는 수집ㆍ이용 목적, 수지 항목, 보유ㆍ이용기간, 미동의 시 불이익 고지 등이다. 안전행정부가 이 자료를 통해 소개한 사례를 보면, 홈페이지를 통한 개인정보 수집 시 동의거부권 및 불이익 사항 고지 누락, 민원게시판에서 개인정보 수집시 필수사항 전부 고지 누락한 경우이다. 또한 수집 단계에서 필수/선택 항목을 구분하나, 고지 단계에서 필수/선택 항목을 구분하지 않은 경우에도 고지 내용 미흡으로 처벌의 대상이 된다. 이 경우 3천만 원 이하의 과태료로 1회 위반에 600만 원의 과태료가 부과된다.

 

 

개인정보 과도 수집 및 서비스 거부 금지 (제16조)

 

제16조(개인정보의 수집 제한) 제2항위반: 3천만 원 이하의 과태료(1회 위반 600만 원)

개인정보보호법 제 16조 2항에 따르면, 최소한의 정보 외의 수집에 미동의 시 재화 또는 서비스 제공 거부가 금지되도록 되어 있다. 이 사례로 홈페이지에서 선택 정보인 주소 수집에 미동의 시 회원 가입 절차가 정지되어 서비스 이용한 업체를 적발했다. 이 경우에 1회 위반 시 600만 원의 과태료가 부과된다.

 

 

 

개인정보의 파기 의무 위반 (제 21조)

 

제21조 제1항 위반: 3천만 원 이하의 과태료(1회 위반 600만 원)

개인정보보호법 제 21조 1항에 따르며, 보유기간 경과, 처리 목적 달성 후 개인정보를 파기하도록 하고 있다. 이에 대한 위반 사례로는 홈페이지에서 탈퇴한 회원 정보를 기간 내 파기하지 않거나 일부 미파기 사례가 소개되었다. 이 경우 1회 위반 시 600만 원의 과태료가 부과된다.

 

 

 

개인정보 수집 동의를 받는 방법 위반 (제 22조)

제22조 제1∼3항 위반: 각각 1천만 원 이하의 과태료(1회 위반 200만 원)

 

 

 

개인정보보호법 제 22조의 개인정보 수집 동의를 받는 방법을 위반한 경우도 적발되었다. 안전행정부에 따르면 홈페이지에서 주민번호와 여권정보를 일반 정보와 구분하지 않고 일괄 동의 받지 않는 경우, 일반 정보와 마케팅 활용 정보를 구분하지 않고 일괄하여 동의 받은 경우가 이에 속한다. 이 경우 1회 위반 시 200만 원의 과태료가 부과된다. 

 

제22조 제4항 위반: 3천만 원 이하 과태료(1회 위반 600만 원)

또한 홈페이지에서 선택 정보인 여권번호 수집에 미동의 시 회원가입 절차가 정지되어 서비스 이용을 제한한 업체도 적발됐다. 이 경우에는 선택적 사항 미동의 시 서비스 거부 금지 위반으로 1회 600만 원의 과태료가 부과된다.

 

 

 

개인정보 처리 위탁 시 준수사항 위반 (제26조)

 

제26조(업무위탁에 따른 개인정보의 처리 제한) 제1항 위반: 3천만 원 이하의 과태료(1회 위반 200만 원)

 

 

개인정보보호법 제 26조에서는 개인정보 처리 위탁 시 필수사항을 문서에 반영하도록 정하고 있다. 이 때 필수 사항은 위탁 목적ㆍ범위, 목적 외 처리금지, 기술적ㆍ관리적 보호 조치, 재위탁 제한, 안정성 확보 조치, 관리 현황 점검ㆍ감독, 손해 배상 등 7개 항목이다. 이번 조사에서 적발된 업체는 위탁 시 필수 사항을 문서에 일부 또는 전부 누락한 경우이며, 1회 위반 시에 과태료는 200만 원이다. 이와 함께 수탁자에 대한 교육 및 실태 점검 등 관리ㆍ감독을 실시하지 않는 경우도 적발되었으며, 이 경우에는 시정조치 명령을 받게 된다.

 

이외에 개인정보취급자에 대한 감독 위반(제 28조)의 경우 개인정보취급자에 대한 교육을 미 실시한 사례가 있으며, 시정조치 명령 대상이 된다.

 

 

개인정보의 안정성 확보조치 의무 위반 (제29조)

 

제29조(안전조치의무) 위반: 3천만 원 이하의 과태료(1회 600만 원)

 

 

 

 

안전부는 개인정보보호법 제 29조에 해당하는 개인정보 안정성 확보조치 의무 위반 사례도 소개했다. 개인정보의 안정성 확보조치는 내부관리계획 수립, 접근 통제 및 접근 권한 제한, 저장, 전송 시 암호화, 접속 기록 보관, 보안 프로그램 설치, 물리적 보호 조치 등 6개 사항이다. 행정부는 개인정보보호법 제 29조에 해당하는 개인정보 안정성 확보조치 의무 위반 사례도 소개했다. 개인정보의 안정성 확보조치는 내부관리계획 수립, 접근 통제 및 접근 권한 제한, 저장, 전송 시 암호화, 접속 기록 보관, 보안 프로그램 설치, 물리적 보호 조치 등 6개 사항이다.

 

우선 접근 통제 및 접근 권한의 제한 조치 위반 사례는 외부에서 관리자페이지에 접속 시 VPN이나 전용선 등 안전한 접속 수단을 사용하지 않고 아이디/비밀번호를 인증하는 경우, 관리자 계정을 2명 이상 공유, 안전하지 않은 비밀번호 작성 규칙 수립, 퇴사자 접근권한 미삭제, 취급자의 권한 변경 이력 기록 미관리 등이 있다.

 

또한 개인정보 저장 및 전송 시 암호화 위반 사례로는 홈페이지에서 비밀번호 저장 시 일방향이 아닌 양방향 암호화 실시, 비밀번호 및 주민번호 저장 시 암호화 미조치, 업무용 PC에 주민번호 포함 저장 시 암호화 미조치, 홈페이지에서 회원의 비밀번호/주민번호 전송 시 암호화 미조치 등이 적발됐다. 

 

이외에도 접속기록 보관 및 위ㆍ변조 방지 조치 위반 사례로는 관리자 페이지의 접속기록 미생성 및 미보관, 접속기록을 6개월 이상이 아닌 3개월만 보관하는 경우도 이에 해당한다.

 

이와 같이 개인정보의 안정성 확보 조치 의무를 위반 했을 때에는 1회 600만 원의 과태료가 부과된다.