공공기관 10곳 중 4곳, 개인정보보호 '관리수준' 우수

개인정보위,'개인정보보호 관리수준 진단' 결과 발표
환경부와 경기도 용인시 등 321개 기관 'S등급'
개인정보 처리 시스템과 예산 등은 개선 과제

법적 의무이행 사항 진단 결과 하위 10개 항목

[이데일리 함정선 기자] 환경부와 경기도 용인시, 한국문화관광연구원 등 321개 공공기관이 개인정보 보호 관리 진단에서 우수한 평가를 받았다. 중앙행정기관과 공기업 등은 10곳 중 4곳에 ‘S등급’을 받을 정도로 공공기관들이 법적 의무사항을 잘 이행하고 있지만, 개인정보 처리와 인력이나 예산 확보 등 일부 분야에서는 개선이 시급한 것으로 나타나기도 했다.

개인정보보호위원회는 중앙부처·지자체·공기업 등 799개 공공기관에 대한 ‘2022년 개인정보 보호 관리수준 진단’ 결과를 3일 공개했다.

기관 유형별로는 중앙행정기관의 43.8%, 광역자치단체 41.2%, 기초자치단체 34.9%, 공기업·준정부기관 44.6%, 기타 공공기관 38.2%, 지방공기업 45.6%가 S등급을 받은 것으로 나타났다. 개인정보위는 공공기관이 개인정보처리자로서 준수해야 할 법령·고시 등 법적 의무사항을 대체로 잘 이행하고 있는 것으로 평가했다.

그러나 개인정보위는 공공기관의 개인정보처리시스템 접속기록 안전관리와 기관의 보호 인력·예산 확보 등에서는 개선이 시급하다고 봤다. 또한 기관장의 관심·노력, 유출·침해 대응 등 개인정보 보호 혁신·정책업무 수행의 적절성도 중간 수준에 머물러 공공기관의 개인정보 보호 역량 강화를 위한 보다 적극적 관심과 투자가 필요하다고 강조했다.

2022년도 관리수준 진단은 61개 법적 의무사항 이행에 대한 정량지표와 5개 혁신·정책업무의 적절성에 대한 정성지표에 대해 진행했다.

진단에 따르면 정량지표는 80점 만점 대비 77점 수준으로 법적 의무사항을 대체로 준수하고 있으며 기관 유형별 편차도 크지 않아 전체적으로 상향 평준화된 것으로 조사됐다

다만, 미이행률이 높은 하위 10개 항목 분석 결과 개인정보처리시스템 접속기록 관련 3개 항목, 보호 인력·예산 등 관리 기반 2개 항목, 개인정보 파기와 내려받기(다운로드) 사유 확인 미비 등이 개선과제로 나타났다.

반면, 보호업무 수행의 적절성과 내용의 충실성을 심층 진단하는 정성지표는 평균 20점 만점 대비 10점 수준으로 정책 수행의 질적 고도화의 필요성이 큰 것으로 조사됐고, 기관 유형별로는 중앙행정기관(11.7점)이 높고 자치단체(9.7점)가 상대적으로 낮았다.

개인정보위는 2021년도 진단 결과가 미흡한 44개 기관이 현장 자문(컨설팅) 지원을 통해 B등급 이상으로 상향됐고, 3년 연속 미흡 진단을 받은 16개 기관 중 11개(68%)도 B등급 이상으로 개선된 것은 주요 성과라고 판단했다.

2022년에 처음 도입한 시각 자료를 활용한 알기 쉬운 ‘개인정보 처리 표시제(라벨링)’를 적용한 기관도 전체 70%로 나타났다. 정책 우수사례로는 고용노동부의 대상별 맞춤 교육체계 마련, 한국중부발전의 개인정보보호 담당자 우대제도, 국가철도공단의 인공지능을 활용한 개인정보 내부유출 차단시스템 구축 사례 등을 선정했다.

개인정보위는 진단결과를 토대로 미흡 기관을 포함한 희망 기관 등 100여 개 공공기관에 대한 맞춤형 현장 자문(컨설팅)을 실시하고, 보호업무 수행의 우수사례 공유를 통해 관리수준 개선을 지원할 계획이다.

오는 2024년부터는 개인정보 보호법 개정에 따라 현행 관리수준 진단제도보다 강화한 ‘개인정보 보호수준 평가제’를 도입함에 따라 개인정보위는 평가결과를 바탕으로 개선을 권고하고 조치결과를 확인하는 등 보다 체계적인 공공기관의 개인정보 보호에 대한 관리·감독을 실시할 방침이다.

최장혁 개인정보위 부위원장은 “공공기관은 대량의 민감한 개인정보를 법령에 따라 별도 동의 없이 수집·처리하고 있는 만큼 높은 수준의 개인정보보호 관리체계가 필요하다”며 “이번 진단을 계기로 공공부문의 개인정보 취약점을 점검·개선해 국민이 신뢰할 수 있는 공공기관 개인정보 보호 체계를 갖추겠다”고 말했다.

함정선 (mint@edaily.co.kr)