2014. 7. 31.

□ 개인정보보호는 사생활(Privacy) 비밀 보장 및 행복추구를 위해 보장되어야 하는 헌법적 가치

* 개인정보자기결정권은 사생활의 비밀과 자유, 인간의 존엄과 가치 및 행복추구권, 자유민주적 기본질서, 국민주권 등을 이념적 기초로 하는 기본권(헌재, 99헌마513)

ㅇ 또한, IT기반 경제구조 하에서 개인정보는 경제질서의 근간

* 인터넷쇼핑 이용자 2,604만명, 인터넷뱅킹 이용자 1,857만명 (2013 정보화통계집)

□ 그러나, 개인정보보호법 제정(‘11.3월) 등 그간의 노력에도 불구하고 개인정보 유출사고가 지속적으로 발생

* 주요 유출사고 : KT 1,170만건(’14.3월), 카드3사 8,700만건(’14.1월), SK 컴즈 3,500만명(’11.7월), 옥션 1,860만명(’08.2월), 넥슨 1,320만명 유출(’11.11월), GS칼텍스 1,150만명(’08.9월) 등

ㅇ 특히, 우리나라는 발전된 IT 인프라와 함께 주민번호 중심의 개인식별체계가 운영되고 있어 정보유출에 따른 피해가 큰 상황

* 개인정보 유출 피해규모는 5년간 37억불, GDP 0.4% 수준에 달하는 상황 (’12년,  인터넷진흥원)

□ 카드3사 개인정보 유출사고(1.8)를 계기로 공공 및 민간부문 실태점검 및 근본적 재발방지대책 마련 추진(1.26, 관계장관회의 총리지시)

ㅇ 국조실장(팀장) 및 18개 기관 차관(급)으로 범정부 TF를 구성(2.7), 근본적 재발방지 대책 마련 추진

-  분야별 검토를 위해 범정부 TF 내 기술 TF, 법‧제도 TF 구성‧운영

ㅇ 각 부처별 「개인정보보호 실태점검단」을 구성, 부처‧산하기관 등의 개인정보보호법 준수 여부를 점검 

- 1 -

□ 보유실태 : 국가행정기관(중앙‧지방‧교육)이 관리하는 개인정보 파일* 목록은 약 34만여개, 개인정보 수는 1,031억건(‘13년)

* 중앙행정기관 1.7만개, 지방자치기관 16.8만개, 교육기관 15.1만개
(예시 : 주민등록정보, 공직자재산등록 정보, 보험료 납부내역, 과세내역 등)

□ 점검결과(총괄)

ㅇ 서면조사時에는 전체 점검항목 중 위반항목 비율이 3% 수준이었으나, 현장점검 결과 7% 수준

* 개인정보를 처리할 수 있도록 체계적으로 구성된 데이터베이스 (예 : 민원처리시스템 등)

** 총점검 항목수는 대략적으로 “시스템수×점검항목수(64)” 

- 2 -

□ 부처별 점검결과(현장점검 기준)

ㅇ 부처별 점검기관 및 점검 건수는 교육부(40.6%), 안행부
(38.5%) 등 2개 기관이 약 80%를 차지

ㅇ 부처별 점검항목 중 위반항목의 비율이 전체부처 평균(7.4%) 이상인 경우는 7개, 그 이하인 경우는 9개 부처로 파악

□ 분야별 점검결과(현장점검 기준)

ㅇ 관리체계, 보안기술, 인프라 전반에서 문제점 발견

-  정보를 관행적으로 과다수집하고, 보존기간을 과도하게 장기로 설정하거나 파기 지연 등 관리감독 미흡

-  인사이동에 따른 시스템 접근권한 변경 미실시, 개인정보 암호화 등 기술적 관리체계 미비 

-  분야별로는, 업무위탁時 준수사항 위반(15.7%), 수집‧이용 동의 위반(10.1%), 안전조치 위반(8.1%), 파기절차 미준수(8.1%) 등 順

< 분야별 위반항목 중 상위 5개 항목(현장점검 기준)  >

- 3 -

□ 현장점검時 제기된 주요 애로 및 건의사항

ㅇ 개인정보보호 담당 인력, 예산 및 전문성 부족

-  부처의 경우, 정보화담당관실에서 개인정보보호 업무를 겸임하고, 학교의 경우 전산담당교사 1인이 수업‧학생지도 등 여러 업무를 병행

-  개인정보보호 업무를 처리할 수 있는 시스템 구축에 필요한 예산 등 지원 미흡

* PC의 업무망/인터넷 망 분리가 기본적으로 전제되어야 하나 지자체, 공공기관 등의 경우 관련예산이 거의 미반영

* SW의 경우에도 신속하게 적기에 업그레이드되어야 하나 관련 예산 확보에 애로

- 4 -

□ 점검결과(총괄)

ㅇ 점검대상 191개 업체 중 6월말 현재 점검결과가 정리된 것은 총 120개 업체이며, 이 중 116개 업체에서 198건을 적발^*

* 공공부문의 전수조사와 달리 민간부문의 경우 경미한 사항은 현장개선을 유도하고 처분대상인 위법행위를 중심으로 점검하여 적발건수 분류기준이 상이함

* SMS 대량발송업체, 포털사 등 71개 업체는 위반사항 조사 및 결과 정리중

ㅇ 관리‧유통, 보안 기술, 인프라 측면 등 전반에 걸쳐 취약성 노출

□ 대상별 점검결과

ㅇ 일반분야는 77개 업체에서 117건 위반사항 적발, ICT 분야는 39개 업체에서 81건 위반사항 적발

< 점검결과 개요 >

* ( )안은 점검시 미적발 업체 수

- 5 -

□ 분야별 점검결과

ㅇ 주요 위반내용은 안전성 확보의무 위반(35.4%), 부당 수집‧이용 위반(17.2%), 파기의무 위반(12.6%) 등의 順

- 6 -

□ 노출된 개인정보 삭제, 임시파일 파기, 현장 시정교육 실시 등 인력‧예산투입 없이 개선 가능한 사항은 즉시 조치 완료

ㅇ 과태료 등 제재사항은 조사 완료 후 위원회 의결 등 관련 
절차에 따라 진행

ㅇ 법령 개정 및 인력‧예산 조치가 선행되어야 하는 중장기 과제는 금번 대책에 포함시켜 추진 

* 접속기록 관리 시스템 확충, 암호화 시스템 마련 등

- 7 -

□ 최근 대규모 유출사고가 지속적으로 반복
(같은 회사에서 반복 유출된 경우도 존재)

ㅇ 해킹, 내부유출, 위탁업체 관리 소홀 등이 주요 원인

ㅇ 유출정보는 대부분 주민등록번호를 포함하고 있으며, 최근 신용정보 유출도 증가 추세

ㅇ 사고발생 이후 유출기업에 대한 제재조치 및 피해자 권리구제 등은 피해규모에 비해 미흡

< 주요 사고 사례 원인 및 피해규모 >

* 이 외에도 신용카드 결제 단말기(POS) 소프트웨어 개발관리업체가 카드 결제정보 등을 보관하는 Server를 부실 관리하여 개인정보 해외유출 (14.3) 및 커피판매점 등의 POS단말기에서 신용카드 및 포인트 카드 비밀정보가 유출되어 카드 위조 및 현금인출 사고 발생 (14.4월) 등

- 8 -

□ (정보수집‧공급 측면) 거래시 개인정보를 동의 없이 수집하여 보관·이용하거나 제3자 불법제공, 해킹 등 발생

ㅇ 결제승인 대행업체(VAN社) 및 신용카드 결제 단말기(POS) 소프트웨어개발업체가 카드정보 등을 보관･이용하다 해킹 등을 통해 정보 유출

ㅇ 통신사 대리점, 휴대폰 판매점 등에서 회원정보의 불법 보관･이용

ㅇ 인터넷 블로그를 통해 유출된 개인정보를 판매하거나 해커와 연계하여 특정 개인정보를 해킹하여 제공

□ (정보 활용‧수요 측면) 이미 유출된 개인정보를 유통 시장을 통해 불법적으로 판매하여 수익을 얻거나, 영업 ‧사기 등에 활용

ㅇ 대출권유인‧보험설계사 등이 휴대폰 문자메시지(SMS) 및 텔레마케팅 등 비대면 방식 영업을 위해 임의로 개인정보 유출

ㅇ 유출정보를 활용하여 보이스피싱, 스미싱에 활용

ㅇ 불법도박 사이트의 회원유치를 위해 경쟁 사이트의 회원정보를 해킹하여 대량문자발송 등 영업

ㅇ 도용된 ID를 활용하여 불법 게임아이템을 대량생산하여 아이템 거래시장에서 현금 환전 후 인터넷 전자상품권으로 현금화

□ (관리측면) 보안프로그램 해지‧미설치 등으로 접근권한 제한 조치를 위반하거나 암호화 조치를 미적용

- 9 -

※ 앞서 분석한 실태점검과 사고사례 등을 바탕으로 권리구제와 주민등록번호 등 핵심제도와 개인정보 불법유통‧유출방지시스템의 문제점을 종합평가

□ 현행법*은 손해배상시 피해자는 피해 및 피해액을 입증하고, 
유출기관은 고의‧과실여부를 입증토록 규정

* 개인정보보호법 제39조, 정보통신망법 제32조 및 신용정보법 제43조

ㅇ 그러나, 피해자가 피해액을 입증하기 쉽지 않고 소송 절차가 번거로워 배상액도 낮은 실정 → 피해구제의 실효성이 낮고 기업이 경각심을 갖기에는 미흡

< 개인정보 피해구제 국내사례 >

□ 최고경영자 등 임원의 개인정보보호에 대한 책임이 미흡하고, 일부 실무자만 책임을 지는 경향

- 10 -

□ 모든 국민에게 의무적으로 고유번호(13자리)가 부여되고 한번 부여되면 변경이 제한되며, 공공‧민간에서 광범위하게 사용

□ 온라인 상에서는 ’12.8월부터 법령상 근거없는 주민번호 수집이 금지(정보통신망법), ’14.8.7일부터는 오프라인으로 전면 확대(개인정보보호법)

* 위반시 3,000만원 이하의 과태료 부과

ㅇ 이러한 규제에도 불구하고 실제로는 과도하게 수집되는 경향

* 공공기관의 88.1%, 민간사업자의 61.5%가 주민번호를 수집하고 있으며, 정보주체의 75%는 과도한 수집이라고 응답(2013 개인정보보호 실태조사)

ㅇ 주민번호 수집이 허용되는 법령도 866개 수준(‘14.1월 기준)으로 지나치게 광범위

□ 주민번호는 여타 개인정보(주소, 전화번호 등)를 연결하는 핵심키 역할을 하기 때문에 유출시 명의도용 등 피해우려가 큰 상황

* 개인정보 침해 관련 전체 민원(166,801건) 중 83.8%(139,724건)가 주민등록번호와 관련(인터넷진흥원, ’12년)

< 주민등록번호 관련 국가별 비교 >

- 11 -

□ (국내) 대출‧통신‧텔레마케팅 등 중심으로 금전적 이득을 위한 개인정보 불법유통 시장이 광범위하게 형성된 것으로 추정

ㅇ 전화번호 정보는 건당 10원 ~ 50원, 대출기록이 포함된 개인정보는 건당 5000원 ~ 2만원에 판매(’14.01.08, 서울신문)

* 개인정보 불법유통 게시물 검색건수(인터넷진흥원): ’13년 18,994건, ’14년 6월 20,192건

□ (해외) 국내뿐만 아니라 해외로 유통시장이 확대되고 있으며, 특히 중국 등 주변국을 중심으로 주민번호 해외노출이 심각

* 우리나라 주민번호 해외노출 국가순위(’13년, 인터넷진흥원) 

: 총 6,572건 중 중국 5,612건(85.5%), 미국 660건(10.0%), 일본 24건(0.4%)

□ (피해현황) 유출정보를 이용한 보이스피싱, 파밍, 스미싱 등 급증

ㅇ 지난 3년간 사이버 금융사기로 피해를 입은 누적 건수는 
약 5만 4천건, 피해금액은 총 2천 4백억원 수준(경찰청, ‘13.12) 

* 피해건수: ’11년 8,244건 → ’12년 7,891건 → ’13년 37,744건
피해금액: ’11년 1,019억원 → ’12년 601억원 → ’13년 775억원

-  기존 보이스피싱 피해 외에 스미싱(Smishing) 등 신종기법을 악용한 소액결제 사기 등으로 인한 신규 피해 증가

* 보이스피싱 피해액(건수) : ’11년 1,019억원(8,244건)→ ’12년 595억원(5,709건)→ ’13년 553억원(4,765건) 

* 스미싱 피해액(건수) : ’12년 6억원(2,182건)→’13년 57억원(29,575건)

- 12 -

□ (법률체계) 일반법인 개인정보보호법과 함께, 분야별로 개별법(정보통신망법, 신용정보법 등)에 따른 별도의 규제체계 존재

* 개인정보보호법 :  기본원칙, 정책체계, 권리구제 등을 포괄적으로 규정
신용정보법, 정보통신망법 : 금융 분야, 정보통신 분야 각각 규정

ㅇ 법률간 적용대상이 명확하지 않아 현장에서 법적용 혼란

* 예) 꽃집에서 인터넷 주문‧배달을 겸하는 경우 개인정보보호법 및 정보통신망법 모두 적용

ㅇ 일반법인 개인정보보호법보다 개인정보보호 필요성이 높은 신용정보법‧정보통신망법 등 개별법의 제재수준이 낮은 경우도 존재

< 법률간 제재수준 차이 >

□ (관리체계) 현장에서 제대로 집행되지 않고 관리 사각지대도 발생

ㅇ 통신사 대리점, 텔레마케팅업체, 신용카드 결제시스템 등 기존 체계에서 관리되기 힘든 구조적 취약부문 존재

ㅇ 불필요한 정보까지 수집, 파기 없이 장기보관‧이용하는 관행이 지속 

* 일반적으로 약 20여개(예: 전화번호, 주소) 많은 경우 약 50여개 항목 수집 

- 13 -

ㅇ 정보업무 처리자, 시스템 담당자, 위탁수행자 등에 대한 관리감독 및 교육 체계가 미비하고 실제 실행되지 않는 경우 다수 

* 카드3사가 카드 부정사용 방지시스템(FDS) 개발을 코리아크레딧뷰로(KCB)에 위탁 → KCB 직원이 수탁업무 수행과정에서 입수한 정보 외부 유출 (’14.1)

ㅇ 법 적용대상에 비해 관련조직 및 인력규모가 취약해 제대로 된 관리감독이 힘든 상황 

* 온라인사업자, 금융기관 등 전체 개인정보처리자는 약 380만개 수준이나, 관련 감독조직은 안행부, 방통위, 금융위 등 50여명 수준에 불과

□ (행정시스템) 개인정보보호위원회가 주요정책을 심의·의결하고, 안행부가 정책을 총괄, 소관부처는 금융‧통신 등 분야별로 감독

ㅇ 그동안 카드사 등 정보유출 사태시 부처간 조정이나 구조적인 사각지대 해소 대응 등에 있어 한계 노출

- 14 -

□ (인력) 기업에서 정보보호 업무는 비선호분야로 취급되어 우수인력 유치가 곤란

* 정보보호 최고책임자 전담 비율은 12.7%, 전담조직 운영 비율은 9.8% 수준이며, 인력공급 부족은 약 1.3만명 규모(인터넷진흥원)

□ (투자) 민간기업의 경우, IT투자 중 정보보호 분야에 5% 이상 투자하는 기업의 비율은 ’12년 기준 약 3%에 불과 (미국 40%, 영국 50%)(인터넷진흥원)

ㅇ 공공부문 정보보호 예산은 정보화예산의 7~8% 수준에 불과

* 미국의 경우, 정보화예산 대비 정보보호예산 비율은 9.7%(13년)

< 정보화예산 대비 정보보호 예산 추이 >      

(단위 : 억원)

□ (기술) 최근 보안사고의 상당수가 해킹에 의해 발생

* 사이버위협 국가순위 : 1위 미국, 2위 한국, 3위 캐나다(13.8월 파이어아이사(FireEye))

ㅇ 그러나, 단순 해킹도 막지 못하는 등 해킹에 대응할 수 있는 기술력이 낮고, 기술 및 보안제품 개발 노력도 미흡

* 선진국과 기술격차는 1.8년 수준이나, 급속도로 발전하는 해킹기술 특성상 작은 격차에도 해킹방지기술 효과는 크게 저하(’13년, 인터넷진흥원)

* 국가전체 R&D 중 정보보호 분야(’13년, 인터넷진흥원) 
: 미국 0.47%(7천억원), 한국 0.17%(288억원)

- 15 -

- 16 -

□ 징벌적 손해배상제도를 신규 도입하고 법정손해배상제도를 확대 도입

* 피해자는 2가지 손해배상제도 중 적용 요건, 피해배상 가능성 등을 감안하여 선택가능

※ 기업 등이 제도변화에 대비할 수 있도록 유예기간(예 : 1년) 부여

① 징벌적 손해배상제도

ㅇ 고의·중과실로 개인정보를 유출한 기관에 대해 가중된 책임을 물어 피해액의 최대 3배까지 배상액을 중과

ㅇ 개인정보보호법, 정보통신망법, 신용정보법에 도입(‘14년)

② 법정손해배상 제도

ㅇ 개인정보 유출피해시 구체적 피해액 입증 없이도 법원 판결을 통해 정해진 일정금액(300만원 이내)을 간편하게 보상받는 제도

ㅇ ’14.5월 도입된 정보통신망법 상 법정손해배상제도를 개인정보보호법, 신용정보법으로 확대 적용(‘14년)

< 양 제도 비교 및 도입방안 >

* 법적 안정성 차원에서 법 시행 이전 유출사고에 대해서는 양 제도 적용을 배제, 다만, 카드3사 유출사고 등 법 시행이전 피해자들에 대해서는 피해입증 자료 등을 감독기관에서 적극 지원

- 17 -

□ 이와 함께 금융기관의 경우, 거액의 손해배상 발생에 대비하여 보험 가입 또는 준비금 적립을 의무화 (신용정보법 개정, ‘14년)

* 금융기관의 경우, 손해배상이 금융기관 자체의 부담으로 끝나는 것이 아니라 공적자금 등 국민부담으로 전가될 우려가 있으므로 일정부분 이에 대한 대비 필요

□ 개인정보 유출 등 범죄자에 대해 처벌 강화(‘14년)

□ 개인정보 유출기관에 대해서는 과징금 기준 상향 조정(‘14년)

ㅇ 개인정보 보호책임자(CPO)를 임원급으로 지정하고, 최고경영자(CEO)에게 보고토록 하여 기업 책임성 강화 (개인정보보호법 개정, ‘14년)

* 개인정보 보호책임자의 보고의무 위반시 제재조치(과태료 2천만원) 부과 규정 신설

-  개인정보관련 법 위반시 CEO 등에 대한 해임 등 징계권고 대상 확대(개인정보보호법, 신용정보법 → 정보통신망법까지 확대)

- 18 -

□ 개인정보 유출시 유출기관에게 피해자 불편과 경제적 부담을 최소화하는 규정을 신설 (표준개인정보보호지침 등 개정, ‘14년)

ㅇ 카드 재발급, 정보 수정서비스 제공 등을 유출기관이 책임지고 이행토록 조치

* (예시) 원칙적으로 신용정보 유출시 신용카드를 재발급하고 피해자 불편이 없는 방식으로 신용정보 수정서비스 제공, 수신자부담 전화를 통한 카드 재발급신청 등 상담 실시

□ 개인정보 처리에 대한 동의를 받을 경우 동의서의 중요 내용을 보다 명확히 알기 쉽게 작성토록 개선
(개인정보보호법 시행령 개정, ‘14년)

* 시행령 제17조: 개인정보 제공 동의서, 전화, 이메일 등 동의방법만 명시 → (변경) 필수‧선택정보의 구분, 동의서를 소비자 입장에서 알기쉽게 작성할 의무 부과(글자크기, 색깔 등)

□ 알기쉬운 동의방법의 세부방안을 명시한 ‘온라인 개인정보 수집·이용·제공 등 가이드라인’ 마련 (‘14년, 방통위)

ㅇ “필수사항”과 “선택사항”을 별도 페이지로 구분하고, 필수사항에 동의하면 서비스 제공

* 선택사항에 동의하지 않는다고 서비스 제공이 거부되지 않도록 함

ㅇ 제3자 정보제공의 경우 포괄적 동의를 금지, 정보제공의 대상·목적별로 그룹화하여 각각 동의를 받도록 개선

ㅇ 글자 크기, 줄 간격 등을 확대하여 읽기 쉽게 개선

□ 개인정보 처리방침에 열람‧처리정지‧파기 등 요구권 행사방법 및 의무적 공개 항목을 구체적으로 기재하여 공개토록 규정
(개인정보보호법 개정, ‘14년)

* 구체적인 개인정보 처리방침 작성방안은 안전행정부장관 고시로 제시

□ 회원탈퇴시 가입시보다 과도한 절차 요구 금지 및 개인정보 처리정지‧삭제 요구 절차를 간소화하도록 법 개정 (개인정보보호법 개정, ‘14년)

* 정보통신망법에는 기반영(제30조6항)

- 19 -

□ 주민번호가 유출되어 신체‧재산상 중대한 피해를 입거나 피해를 입을 우려가 큰 경우 등에 대해 예외적으로 제한적 변경을 허용 (주민등록법 개정, ‘14년)

ㅇ 악용될 소지가 있고 사회적 혼란이 있을 수 있으므로 일정한 요건을 충족할 경우에 제한적으로 인정

* 현재는 시행령에 의해 제한적으로 인정하고 있으나, 향후 법률개정 사항으로 상향(국민 권리‧의무 관련성 감안)

ㅇ 시행시기는 신청절차, 세부 적용기준 등 구체적 시행 방안 준비, 
주민등록법 개정 등이 완료된 이후 시행

□ 주민번호 관리체계 전면 개편 문제

ㅇ 국민적 합의가 필요한 사항인 만큼 공청회(9월) 등 의견수렴을 충분히 거쳐 결론 (‘14년, 안행부)

- 20 -

□ 개인식별수단의 하나로서 I- PIN을 오프라인에서도 본인인증 수단으로 사용 가능하도록 개선 (안행부)

ㅇ 1단계 : 현재 온라인만 적용되는 I- PIN 서비스를 오프라인으로 확대 실시(’14.8월)

ㅇ 2단계 : 민간 I- PIN 발급기관*에서는 주민번호를 보관하지 
않도록 개편(’15년)

* 서울신용평가정보(사이렌24), 코리아크레딧뷰로(KCB), NICE평가정보 등

□ 주민번호 外 다양한 개인식별 수단 도입방안 검토 (’15년, 안행부)

□ 주민등록번호 수집 근거 법령 정비 및 적정성 심사체계 구축

ㅇ 주민번호 수집을 요구하는 업무에 대한 전수조사(～8월) 실시(안행부 등)

-  수집 불가피성을 전면 재검토하여 주민번호가 불필요한 경우 법령 근거 삭제 추진

※ 주민번호 수집이 불가피한 경우 소관 부처별 법령상 근거 마련 병행

-  민간분야는 필요성이 낮은 분야를 대상으로 주민번호 수집대상에서 단계적으로 축소 (예시: 전자상거래 분야)

ㅇ 개인정보보호위원회에 ‘주민번호 근거법령 정비 소위’를 구성하여 법령상 허용되는 주민번호 수집 적정성 사전‧사후 심사(’15년)

- 21 -

□ 주민번호 수집‧관리에 대한 업종별 매뉴얼 배포 및 캠페인을 통해 관행과 의식 개선(‘14년~, 안행부)

* 인사‧노무‧교육‧의료‧금융‧보건복지 등 10개 분야별 가이드라인 마련‧旣배포(안행부, ’11.9～’13.12월)

□ 주민번호 불법 수집 신고창구 운영(8월～, 안행부)

ㅇ 수집이 허용되는 구체적 업무‧사례를 모바일 앱 등으로 
전국민에게 공개

□ ‘16년 1월 주민번호 암호화 조치 의무화에 대비하여 차질없이 시행 준비

* 주민번호 암호화 비율은 공공부문 63.5%, 민간부문 22.7%에 불과('13년 기준)

ㅇ 업종별 특성 등을 고려하여 적용대상‧시기 기준을 마련하고, 개인정보보호법 시행령 및 고시 개정 추진 (’15년, 안행부)

□ 주민번호 암호화 등 보호조치의 실제 운영 여부를 기업 스스로 점검할 수 있는 도구 개발‧보급 (’15년, 방통위‧안행부)

ㅇ 영세사업자의 경우, 개인정보보호 법규 준수를 지원하는 SW와 주민번호 수집금지·파기기술을 지원

- 22 -

□ 개인정보 “대청소 기간”(’14.9월~12월)을 설정하여 검색 가능한 불법 유통정보를 최대한 삭제 

ㅇ 전 국민이 스스로 개인정보를 삭제·폐기하고 불법 유통되는 개인정보를 신고하는 운동 전개

-  ‘대청소 기간’ 중 신고자^* 및 자진신고자^**에 대해 인센티브 부여

* 금감원 및 개인정보보호협회 포상제 활용

** 개인정보 범죄자가 자진신고하는 경우 수사과정에서 양형에 참작

□ 인터넷진흥원에서 수행하고 있는 인터넷상 노출 개인정보에 대한 검색‧탐지 기능 강화

ㅇ 중요 웹사이트의 검색 주기를 현재 2주→3일로 대폭 단축(‘15년)

* 중요 웹사이트(약 2만개) : 노출이 빈번하거나 홈페이지 일일이용자가 1천명 이상인 웹

- 23 -

□ 검색된 개인정보에 대하여는 2개월 이내 삭제토록 조치하고, 삭제조치의 실효성을 확보하기 위한 방안 추진(’14년, 방통위)

□ 개인정보 노출 검색대상을 현행 웹사이트에서 페이스북, 트위터 등 사회관계망서비스(SNS)로 확대 (‘14년, 방통위)

□ 해외에 유출된 개인정보 삭제‧파기 적극 추진
(‘14년~, 방통위, 정부합동수사단 등)

* 해외검색프로그램의 경우 자동검색 시스템(일정주기)을 통해 각종정보(노출정보 포함)를 수집‧보관하고 있어 미삭제시 노출정보를 그대로 제공

- 24 -

ㅇ 해외에서 불법유통되는 개인정보를 줄이기 위해 한- 중 수사협의체 구성 등 사법공조를 강화 (’14년, 방통위, 정부합동수사단)

* 한- 중 수사협의체 구성을 위한 MOU를 旣체결(4.29)

ㅇ 해외유출 정보 처리를 위한 개인정보보호 협력센터 확대

* 현재 베이징에 한중인터넷협력센터 1개소 설치(인터넷진흥원)

ㅇ 해외 포털서비스의 노출정보를 검색하는 서비스에 대해 인터넷진흥원 등 관계기관이 노출정보를 검색‧삭제할 수 있도록 해외포털 서비스와의 협력 강화

□ 개인정보 침해 및 불법유통에 대한 범정부적인 집중단속 전개(‘14.4월~’15.4월, 정부합동수사단)

* 정부합동수사단 구성: 검·경, 미래부, 안행부, 방통위, 국세청, 금감원, 인터넷진흥원 등

< 집중단속 대상 >

□ 불법유통 게시물 등에 대한 탐지 후 즉시 조사 및 수사할 수 있도록 정보공유 및 협업체계 강화(‘15년, 방통위, 검‧경 등)

- 25 -

□ 새로운 기술로 진화하고 있는 피싱‧스미싱‧파밍 등 신종사기수법에 대한 대응능력 제고 (미래부)

ㅇ 현재 주요 공공기관, 은행 등을 대상으로 실시 중인 보이스피싱, 파밍 차단서비스 대상기관 확대 (‘15년)

* 보이스피싱 차단(326개→500개 기관), 파밍 차단서비스(91개→150개 기관)

ㅇ 스미싱 수집 채널을 확대하고, 분석능력을 강화하여 스미싱 의심문자를 알려주는 스미싱 확인 서비스 실시 (‘14년)

* 이용자가 의심 문자를 인터넷진흥원으로 전송(☎118)하면, 스미싱 여부 검증 후 문자로 통보

ㅇ 스마트폰에 악성앱 감염 사실을 알려주고 치료 방법을 안내하는 모바일 사이버 치료서비스 구축 (‘14년) 

ㅇ 전화번호를 도용한 발신번호 임의변경 문자 차단 서비스를 현재 공공기관‧은행에서 개인으로 확대 (’14.7월)

* 개인이 이통사에 번호도용 문자 차단 서비스를 신청하면, 신청자가 등록한 전화번호가 스미싱 발신 번호로 사용될 경우 자동차단

□ 유출사고 발생시 신속한 대응을 통해 피해 발생 가능성 최소화

ㅇ 개인정보를 취급하는 공공기관 및 일정규모 이상의 민간기관은 사고발생시 신속하게 대응조치(예:7일이내)를 할 수 있도록 「개인정보 유출사고 대응매뉴얼」마련을 의무화
(표준개인정보보호지침 등 개정, ‘14년, 안행부, 방통‧금융위)

* 통지‧조회절차, 영업점‧인터넷회선 확충 등 고객민원 대응 조치, 현장혼잡 최소화 조치, 고객불안 해소 조치, 피해자 구제 조치 등 포함

□ 본인확인 강화 등 기발표 대책*(3.10)을 차질없이 이행(금융위)

* 사기 피해 방지를 위한 입금계좌지정 서비스,  일정금액 이상 카드 문자알림 서비스 무료화, 비인증 결제방식에 대한 이중인증 의무화 등

- 26 -

□ (통신사 대리점‧판매점) 개인정보 보유를 최소화하고 정보유통 보안을 강화하는 등 통신사별 관리책임을 제고(‘15년, 방통위)

ㅇ 대리점 또는 영업점이 통신사에 의무적으로 등록토록 하고, 미등록 및 불법행위 적발시 퇴출수단*을 마련

* 미등록 판매점과 거래한 대리점은 투아웃제(영업정지 ⇒ 계약해지) 도입, 영업점의 개인정보 관련 불법행위시 5년간 등록금지 등

ㅇ 통신사 ‘개인정보 관리수준 평가제도’를 도입, 개별 통신사의 개인정보보호 관리 현황, 활동 등을 평가한 후 결과를 공개

* 평가위 구성 등 추진, 평가결과는 이통사 이용자보호 업무평가에 반영 (인터넷진흥원)

ㅇ 개인정보 무단조회 방지를 위한 SMS 본인인증제도* 시행

* 영업점 고객정보 조회시 통신사가 가입자에게 SMS로 인증번호를 전송하고, 영업점은 전송받은 인증번호를 가입자가 알려주어야 가입자 정보를 조회할 수 있는 서비스

ㅇ 서비스 가입신청 시 ‘전자 청약 시스템’ 적용 추진

* 서식지 형태의 가입신청을 본사와 직접 연결된 별도의 단말기를 통하여 이용자가 직접 개인정보를 입력하고 서명하는 형태로 전환 검토

- 27 -

□ (신용카드 단말기(POS 등) 관리업체) 관리·감독체계를 명확하게 정비

ㅇ 지정된 보안규정을 준수한 단말기만을 사용토록 하고, 
위반시 가맹점을 처벌하는 등 관리시스템* 구축 (‘14년~, 금융위)

* 그동안 소관부처가 명확하지 않아 관리 사각지대 존재
→ 금융위가 정한 보안규정을 준수하도록 규정하고, 미준수시 벌금부과(500만원)

ㅇ 신용카드 결제망 관리회사(VAN사) 등록제 운영, IC 단말기 전환 등 기발표 대책(금융위) 차질없는 이행

□ (텔레마케팅(TM) 업체) 개인정보를 합법적으로 이용하는 업무관행(Business Rule)이 정착되도록 제도적 여건 개선

ㅇ TM영업시 사전동의를 받지 않은 경우, 수신인에게 개인정보 수집출처를 고지하도록 의무화 (‘14년, 방통위)

* 누구든지 광고성 정보를 전송하려면 수신자의 사전동의를 받아야 하나, 전화권유판매업은 사전동의의 예외로 인정(정통망법 제50조)

ㅇ TM수신거부시스템(www.donotcall.go.kr) 이용을 활성화 ('14년, 공정위)

* 방문판매법에 따라 TM업체는 월 1회이상 시스템에 접속하여 수신거부 소비자를 영업대상에서 제외하여야 하나, 이용률이 7.7%(372개/4811개)에 불과(’14.4월)

ㅇ TM에 대한 민간의 자율적 개인정보보호 관리체계 확충(’14년, 방통위)

-  현재 인터넷사이트 대상으로 적용되는 개인정보보호 인증 마크제*(ePRIVACY)를 TM업체에 확대 적용

* 개인정보보호 정책 및 관리수준을 평가하여 기준을 충족할 경우 인증마크 부여(개인정보보호협회)

-  불법 TM신고 제도(개인정보보호협회)를 이동통신서비스에서 전 업종으로 확대하고, 활성화 추진(포상금 10→20만원 상향 등)

ㅇ 불법 TM의 전화번호 이용 정지를 위해 관련 법률 개정 추진(전기통신사업법 등, ‘14년)

* 불법 대부광고에 사용된 전화번호 이용중지 요청을 규정한 대부업법 旣 개정(3.18)

□ 영세·중소기업의 정보보호 역량 강화를 위해 지방 권역별 정보보호 지원센터 확충(’14년~, 미래부)

* 전문가 컨설팅, 온라인 상담 등 서비스 제공(‘14년 2개소 / 대구, 인천)

- 28 -

□ (수집단계) 개인정보 최소수집원칙이 현장에서 실질적으로 정착될 때까지 점검‧개선

ㅇ 이번 실태점검시 파악된 개인정보 과다수집 사례 등에 대해 일제 정비 (~‘15.3월, 안행부)

* 전 공공기관 대상 개인정보 수집 자체 실태조사 실시 및 서식 개선(12월말), 안행부는 개인정보파일 보유실태 및 개선에 대한 정기 점검 실시(연1회)

ㅇ 지속적으로 공공‧민간이 스스로 최소수집 원칙을 점검하고 정비할 수 있는 체계를 구축

-  (공공부문) 일정 규모 이상 개인정보 보유 공공기관은 자체계획 수립, 매년 수집‧보유 필요성 및 적정성에 대한 실태조사 후 개선

-  (민간부문) 업권별 협회에서 자율적으로 정보제공‧이용동의서 등을 정비, 필요시 소관부처‧안행부가 합동점검하여 시정조치

* 개인정보 보유건수 기준으로 매년(예: 1천만명 이상), 격년(5백만명 이상), 5년주기(1백만명 이상) 등 검사주기를 차등화하여 점검

□ (관리단계) 개인정보 출처 관리 시스템을 구축하고, 취약 분야로 지적되어온 위‧수탁관계를 명확히 정립(‘14년, 안행부)

ㅇ 개인정보 다수 처리 기관은 제3자로부터 제공받은 개인정보에 대해 수집출처 및 목적을 관리하도록 의무화

* 개인정보 보유건수가 일정수준(예 : 1백만건) 이상인 공공기관‧기업 대상 적용 (개인정보보호법 개정) 

ㅇ 개인정보 처리방침에 수탁자의 담당자 연락처 등 위탁에 관한 사항을 보다 구체적으로 작성토록 개선 (표준 작성지침 마련)

* (예시) 위탁시 수탁자 담당자 연락처, 수탁자의 관리 현황 점검 결과 등

ㅇ 위‧수탁자 모두에게 손해배상을 청구할 수 있도록 명시하여 정보주체의 배상청구권 및 수탁자 책임 강화(개인정보보호법 개정)

- 29 -

□ (파기단계) 법령상 근거에 따라 필요최소한 기간만 보존 후 파기토록 관련 규정 재정비(‘14년, 전부처)

* 업무분야에 따라 보존기간이 달라질 수 있으므로 소관부처별로 정비
(예 : 부동산 거래 및 출생관련 의료정보는 장기간 보유 필요)

ㅇ 개인정보 파기시, 복구 또는 재생되지 않게 조치하도록 하는 규정 신설(신용정보법 개정, ’14년)

* 개인정보보호법, 정보통신망법의 경우 관련 규정 기설치

□ (잊혀질 권리 등) 전문가 의견수렴 등을 통해 잊혀질 권리^*, 디지털 유산^** 등에 대한 법제도 구축방안 검토(’15년, 방통위)

* 잊혀질 권리 : 정보주체가 포털 등 정보통신서비스 제공자에게 자신과 관련된 정보를 삭제하거나 확산을 방지토록 요청할 수 있는 권리

* 디지털 유산 : 사망시 보유하고 있던 모든 디지털 형태의 재산에 관한 권리‧의무

□ (법률) 현장에서 법적용 혼란과 사각지대가 발생하지 않도록 법률간 정합성을 제고 (개인정보보호법‧정보통신망법‧신용정보법, ‘14년)

ㅇ 개인정보보호법을 기준으로 제재수준 정비

ㅇ 개인정보보호위를 통해 상시적으로 관련 법령간 정합성을
유지하는 체계를 구축(법령심사소위 설치 등)

- 30 -

□ (행정시스템) 새로운 기구를 신설하기보다는 기존 조직체계 보강을 통해 조정‧점검 -  감독‧집행 -  지원기능을 강화

ㅇ 개인정보보호위가 실질적인 역할을 할 수 있도록 강화
(‘14년, 안행부)

< 개인정보보호위원회 기능강화 >

ㅇ 개인정보보호 관련 주요 부처의 업무량 및 수요 분석을 통해 조직 및 전문인력 보강(‘15년, 안행부)

* 중앙부처, 지자체 및 공공기관 개인정보보호 인력을 현재 대비 2배 수준 확대 검토

□ 인터넷 진흥원을 범정부적 개인정보 정책지원 전문기관으로 확충
(‘15년, 미래부‧기재부)

ㅇ 유사한 기능을 수행하는 여타 정책지원기관의 개인정보보호기능을 인터넷진흥원으로 통합 검토

ㅇ 실태점검‧사고조사‧사이버사기 대응 등 관련 기능 확대 및 인력보강

* 이번 대책으로 인터넷진흥원의 역할이 3～5배 증가 예상

ㅇ 전 부처에 대한 정보보호서비스 지원이 될 수 있도록 이사회에 관계부처가 참여토록 개선

- 31 -

□ 민간분야

- 32 -

□ 공공분야

□ 정보보호 산업기반 조성 추진 (‘14년, 미래부)

ㅇ 정보보호산업 진흥법 제정 추진 (‘14년)

* 주요 내용 : 정보보호 수요에 맞는 정보보호 전문인력 양성, 기술개발, 산업체 지원 강화, 정보보호 산업진흥계획 수립, 산업진흥 기반 조성, 정보보호기업 지원 등

ㅇ ICT 융합에 대응한 융합보안시장 등 신산업을 육성하고, 글로벌 시장을 선점하기 위한 10대 전략제품 발굴‧육성을 구체화 (’14~’18년)

* ① 해킹(APT) 공격대응 ② 사이버블랙박스 ③ 지능형 영상감시 ④ 사용자 친화형 얼굴- 홍채 인식 ⑤ 유해콘텐츠 차단 ⑥ 무선침입탐지 ⑦ 스마트단말 보안칩 ⑧ 산업용 통합보안 ⑨ 차세대 암호기술 ⑩ 유니버셜 인증 등

- 33 -

□ 지나치게 세부적으로 규정된 개인정보보호 관련 기술적 조치제도(고시)를 개정하여 기업의 자율성을 부여 (’15년, 방통위, 금융위)

ㅇ 세부적인 조치사항까지 강제하는 방식에서 기본원칙과 필요최소한 조치만 규정하고 개별적 수단 선택은 재량을 인정

* ‘개인정보의 기술적·관리적 보호조치 기준’(방통위), ‘전자금융감독규정’(금융위) 개정

ㅇ 장기적으로 보호조치 기준에 세부적 조치사항을 규정하지 않고, 보호목표를 규정하여 기업의 자율성을 부여하는 체계로 전환 검토
(안행부, 미래부, 방통위, 금융위 등)

□ 정부의 직접규제 대신 인증시험을 활용할 수 있도록 제도 개선

ㅇ 안행부, 미래부, 방통위 등이 각각 운영하는 유사인증제도간 중복을 해소하고 상호 인정범위 확대 추진
(‘14.12월, 안행부, 미래부, 방통위)

- 34 -

□ 암호화 기술개발 

ㅇ 개인정보 암호화로 인한 시스템 성능저하 우려를 감안, 스마트폰 등에서 효율적으로 관리 가능한 경량 암호화 기술 개발 (‘16년)

□ 해킹탐지체계 고도화 

ㅇ 스피어 피싱대응을 위해 이메일 악성코드 유포 탐지시스템 구축(’15년)

* 이메일 스팸 트랩 시스템(임의의 계정을 개설하여 해당 주소로 유입되는 모든 메일을 수집)등을 통해 수집된 이메일을 검사하여 스피어 피싱용 악성코드 추출·분석

ㅇ 악성코드 은닉사이트 탐지 강화를 위해 탐지대상 홈페이지 확대(15만개→50만개)(‘14년)

ㅇ 가상 ID 10만개를 통해 해커를 유인하는 사이버트랩 시스템 개발(‘15년)

* 허니팟(해커를 속이기 위해 가상 개인정보를 활용해 공격을 유도)용 개인정보를 공개하여 SNS 등으로 사이버사기 공격을 유도한 후, 수신되는 메시지를 자동 수집하여 필요시 수사기관 제공

ㅇ 민간‧공공 주요정보통신기반시설에 대한 정기적 모의해킹‧훈련 실시 근거 마련(연1회이상) 및 이행점검 강화
(정보통신기반보호법개정, '14년)

- 35 -

ㅇ 개별 침해사고 정보를 종합분석하기 위한 사이버 위협 정보분석‧공유시스템(C- TAS) 구축 및 운영 (‘14년)

* C- TAS(Cyber Threats Analysis System) : 사이버 위협정보를 체계적으로 수집 → 정보분석 → 공유하는 시스템

ㅇ 비행기 블랙박스처럼 사이버 침해사고를 신속하게 분석하고 증거를 보존하는 기술인 사이버 블랙박스 개발 (’16년)

-  개별기관에 사이버 블랙박스를 설치하여 자체 보안관제를 강화 (‘16년)

□ 악성코드 대응 체계 강화

ㅇ 좀비PC 방역체계 사각지대에 있는 중소인터넷 서비스업체 및 학교‧공공기관의 공용 PC 등에 대해 사이버 치료체계 적용 (‘14년)

ㅇ PC 자가진단 도구인 SW 원클릭 안심서비스* 구축·시범운영 (‘15년)

* PC에 설치된 주요 소프트웨어의 버전을 확인할 수 있고 최신 버전으로 업데이트하기 위한 정보 제공 서비스

ㅇ SW 업데이트시 유포되는 악성코드를 탐지하는 체계 확대
(현재 웹하드 업체 대상 → 모든 상용 SW로 확대, ~‘17년)

□ 스마트폰 보안 강화 

ㅇ 분실시 개인데이터 삭제기능(킬스위치)뿐만 아니라, 스미싱 차단앱 등을 모든 스마트폰 출고시 기본탑재 추진

* 킬스위치 : 팬택(’13.2월), 애플(’13.9월), 삼성(’14.4월), LG(’14.5월) 적용

* 스미싱 차단앱 기본탑재, 보안설정 옵션 및 인터페이스 가이드 개발(’14.10월)

ㅇ 폰키퍼(스마트폰 보안앱) 일일 보안공지 용량 확대
(월 20만명→100만명, ‘14.11월)

ㅇ 악성앱 모니터링 대상 확대 (‘15년)

* 구글, 해외 블랙마켓(5곳) → 이동통신사 등 국내 주요 앱 마켓으로 확대

- 36 -

□ 유출정보 탐지 

ㅇ 신종·변종 악성앱(스마트폰내 비인가된 정보 접근 등)에 대한 정보 유출행위 탐지 기술 신규 개발(’15년~)

ㅇ 정보보호 취약점을 분석 및 대응서비스를 제공하는 정보공유분석센터(ISAC)를 주요 산업분야(의료, 에너지 등)로 확대‧구축 지원(’15년~)

* 현재 정보통신, 은행, 증권, 지자체 등 4개 분야에 ISAC 구축

□ (인증환경 및 전자서명기술 개선) 공인인증서 이용환경 개선 및 새로운 전자서명 신기술 도입 추진

ㅇ 특정기술(액티브X)에 지나치게 의존하는 환경개선을 위해 웹표준 기반 공인인증서비스 기술개발 (’14년)

* 현재는 MS사 인터넷 익스플로어에서만 액티브X 이용 가능

ㅇ 공인인증서 유출방지를 위하여 보안토큰 등 안전한 저장매체 확대 추진(’14년)

* 보안토큰, USIM 등 안전한 저장매체 내 인증서의 유효기간을 현재 1년에서 3년까지 연장

ㅇ ATM, 의료정보 시스템 등 ICT 융복합기기에 대한 보안성 강화를 위한 사전연구(‘15년)를 거쳐 인증서비스 개발‧도입 (‘16년)

- 37 -

ㅇ 정보시스템의 설계단계에서 정보보호를 고려토록 하는 사업모델(Business Model)을 확산(‘14년~)

* 사전 설계단계시 보안을 고려하도록 안내서 개발 및 홍보활동(‘14년), 사전점검 및 시큐어 코딩을 위한 가이드 개발‧보급 (’15년) 등도 추진

□ (신ICT산업) 빅데이터, 클라우드, 사물인터넷 등 신기술 분야별로 개인정보보호와 산업발전을 조화할 수 있는 대책 마련(미래부, 방통위)

ㅇ (빅데이터) 개인정보보호 가이드라인을 제공(‘14.8월)하고, 
개인정보보호 기술개발 및 상용화 지원 (’14년~)

-  개인정보 처리 대행 전문기업 및 개인정보 침해 문제해결 지원을 위한 클리어링 하우스* 도입 검토 (’14년)

* 빅데이터 활용에 따른 개인정보 침해, 품질‧가치 훼손 등 문제해결 지원 전담기관

-  장기적으로는 개인정보 제공시 사전동의를 받도록 하는 방식을 중요성이 높지 않은 경우 사후동의 방식* 허용 검토 (’16년)

* 현재는 모든 개인정보에 대해 정보제공시 사전동의(opt- in)를 받는 방식

ㅇ (클라우드 컴퓨팅) 클라우드컴퓨팅법 제정 등 이용자가 클라우드에 저장하는 각종 정보에 대한 제도적 보호장치 마련 (‘14년)

ㅇ (사물인터넷) 보안, 프라이버시 등 역기능 대응을 위한 ‘정보보호 로드맵’ 마련 (‘14년)

ㅇ (영상정보처리기기) 보호제도* 마련을 위한 전문가 검토 등 추진
(’14년, 안행부)

* 개인영상정보의 처리기준과 절차, 영상정보처리기기의 관리‧보호 요건, 영상정보주체의 권리보장 등 규정

- 38 -

□ 초중고, 대학, 군대 등 연속성 있는 인력양성 체계 구축

ㅇ (초중고) SW과목을 교과과정에 포함토록 추진하고, 정보보호 영재교육원 신설‧운영(‘14년 4개), 특성화고(6개→10개) 및 마이스터고(1개→2개) 정보보호과정 확대 추진(‘17년)

* 향후, 대학입시 선택과목 반영 등 대학입시와 연계여부 검토 추진(교육부)

ㅇ (대학) 정보보호 특성화 대학 지정 및 정보보호학과 설치 확대(28개→‘17년 35개)

-  사이버 안전관련 대학의 연구기능 강화를 위해 사이버시큐리티 연구센터* 설치·운영(5개, ‘14년)

* 사이버관련 연구시설, 시스템 지원 및 연구활동비 지원 사업

ㅇ (군복무) 사이버보안을 전문으로 하는 사관(30명, ‘16년~), 부사관·병 양성(’15년~) 및 예비군 창설 추진

□ 맞춤형 인력양성

ㅇ (최정예 인력 양성 등) 2017년까지 차세대 보안리더 등 국가 사이버 위기시 대응이 가능한 우수인력 5,000여명 양성

ㅇ (실무인력 양성) 금융, 의료 등 다양한 산업분야에서 필요한 실무 인력 양성(’16년)

* 금융 및 일반기업 정보보호책임자(CISO)(각 4회, 240명), 보안관제(6회, 180명) 과정 확대

ㅇ (개인정보보호책임자(CPO)과정 신설) 공무원, 기업 CEO, CPO 등 산업현장의 수요를 반영한 개인정보보호 전문과정 신설 추진(’16년～)

- 39 -

- 40 -

□ 국가행정기관(중앙행정, 지방자치, 교육기관)이 보유ㆍ관리하는 개인정보파일* 목록 수는 약 34만여개, 개인정보 수**는 1,031억건(’13년)

* 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물 (예시: 보험료 납부내역)

** 주민등록번호 등 개별 개인정보의 주체(사람)를 말하며, 하나의 개인정보파일 내에 동일한 사람 중복포함 가능 (예시: 개인별 보험료 납부내역)

ㅇ 개인정보보호법에 따라 보유현황 인터넷 공개(www.privacy.go.kr)

< 연도별 개인정보파일 목록 수 >

□ 주요 개인정보파일 보유현황 예시

ㅇ (안행부) 공직자재산등록정보*, 주민등록정보 등 개인정보파일 146개

* 주요항목: 재산등록항목(성명, 주민번호, 직급 등), 정보제공동의서(성명, 동의자 인적사항 등), 고지거부 신청서(성명, 생년월일, 등) 등 30여개

ㅇ (복지부) 건강보험공단의 보험료 납부내역* 등 개인정보파일 670개

* 주요항목: 인적정보, 납부금액, 납부자명, 고지이력일련번호, 자동이체금액 등 220여개

ㅇ (국세청) 부가가치세 과세*, 사업자등록 등 개인정보파일 19개

* 주요항목: 사업장 주소, 상호, 성명, 사업장등록번호, 매입세액, 소득종류 등 10개

- 41 -

* 개선필요 비율 : 개선필요 항목수 / 총 점검 항목수(양호+개선필요+기타)

- 42 -

- 43 -