공공기관 11곳 개인정보 보호 수준 최하…"보호 인력·예산 확보 시급"
중앙행정기관, 지자체 등을 비롯한 총 799개 공공기관의 개인정보 보호 관리수준을 진단한 결과, 충남 아산시·한국도로공사서비스·코레일로지스·대구환경공단 등을 비롯한 11개 기관이 최하 수준인 D등급을 받았다. 개인정보보호위원회는 중앙부처·지자체·공기업 등 799개 공공기관에 대한 '2022년 개인정보 보호 관리수준 진단' 결과를 4일 공개했다. 개인정보위는 100점 만점 기준으로 S(90점 이상)-A(80점 이상)-B(70점 이상)-C(60점 이상)-D(60점 미만) 5등급으로 구분해 등급를 매겼다. 진단 결과에 따르면 환경부, 경기도 용인시, 한국문화관광연구원 등 321개 기관이 S등급을 받았다. 충남 아산시, 일제강제동원 피해자지원재단, 코레일로지스, 한국도로공사서비스, 한국제품안전관리원, 한국출판문화산업진흥원, 한국탄소산업진흥원, 대구환경공단, 대전마케팅공사, 인천광역시 계양구시설 관리공단, 평창군시설 관리공단 등 11곳은 최하 수준인 D등급을 받았다. 기관 유형별로는 중앙행정기관 43.8%, 광역자치단체 41.2%, 기초자치단체 34.9%, 공기업·준정부기관 44.6%, 기타 공공기관 38.2%, 지방공기업 45.6%가 S등급을 받은 것으로 나타났다. 개인정보처리자로서 준수하여야 할 법령·고시 등 법적 의무사항을 대체로 잘 이행하고 있는 것으로 나타났다. 그러나 ▲개인정보처리시스템 접속기록 안전관리와 ▲기관의 보호 인력·예산 확보 등은 개선이 시급한 것으로 나타났다. 아울러 기관장의 관심·노력, 유출·침해 대응 등 개인정보 보호 혁신·정책업무 수행의 적절성도 중간 수준에 머물러 공공기관의 개인정보 보호 역량 강화를 위한 보다 적극적 관심과 투자가 필요한 것으로 나타났다. 2022년도 관리수준 진단은 61개 법적 의무사항 이행에 대한 정량지표와 5개 혁신·정책업무의 적절성에 대한 정성지표에 대해 이루어졌다. 정량지표는 80점 만점 대비 77점 수준으로 법적 의무사항을 대체로 준수하고 있으며 기관 유형별 편차도 크지 않아 전체적으로 상향 평준화됐다. 다만, 미이행률이 높은 하위 10개 항목 분석 결과 개인정보처리시스템 접속 기록 관련 3개 항목, 보호 인력·예산 등 관리 기반 2개 항목, 개인정보 파기와 내려받기 사유 확인 미비 등이 개선과제로 도출되었다. 보호업무 수행의 적절성 및 내용의 충실성을 심층진단하는 정성 지표는 평균 20점 만점 대비 10점 수준으로 정책 수행의 질적 고도화의 필요성이 크게 나타났으며, 기관 유형별로는 중앙행정기관(11.7점)이 높고 자치단체(9.7점)가 상대적으로 낮았다. 개인정보위는 "2021년도 진단 결과가 미흡한 44개 기관이 현장 자문(컨설팅) 지원을 통해 B등급 이상으로 상향되었으며, 3년 연속 미흡 진단을 받은 16개 기관 중 11개(68%)도 B등급 이상으로 개선된 것은 주요 성과"라고 말했다. 2022년도에 처음 도입한 시각 자료를 활용한 알기 쉬운 '개인정보 처리 표시제'를 적용한 기관은 전체 70%로 나타났다. 정책 우수사례로는 고용노동부의 대상별 맞춤 교육체계 마련, 한국중부발전의 개인정보보호 담당자 우대제도, 국가철도공단의 인공지능을 활용한 개인정보 내부유출 차단시스템 구축 사례 등이 선정됐다. 개인정보위는 진단결과를 토대로 미흡 기관을 포함한 희망 기관 등 100여개 공공기관에 대한 맞춤형 현장 자문을 실시하고, 보호업무 수행의 우수사례 공유를 통해 관리수준 개선을 지원할 계획이다. 내년부터는 개인정보 보호법 개정에 따라 현행 관리수준 진단제도 보다 강화된 '개인정보 보호수준 평가제'가 도입된다. 개인정보위는 평가결과를 바탕으로 개선을 권고하고 조치결과를 확인하는 등 보다 체계적인 공공기관의 개인정보 보호에 대한 관리·감독을 실시할 계획이다. 최장혁 개인정보위 부위원장은 “공공기관은 대량의 민감한 개인정보를 법령에 따라 별도 동의없이 수집·처리하고 있는 만큼 높은 수준의 개인정보 보호 관리체계가 필요하다”며 “이번 진단을 계기로 공공부문의 개인정보 취약점을 점검·개선하여 국민이 신뢰할 수 있는 공공기관 개인정보 보호 체계를 갖추겠다”라고 말했다.
