개인정보보호법 개정안 시행 1년을 맞이하며 정부가 직접적으로 실태조사에 나섰다. 시작은 부동산 거래분야였다. 행정자치부는 지난 28일까지 8만여 부동산 관련업체를 대상으로 집중점검을 진행했다. 정부는 위반사항이 다수 발견되거나 다량의 개인정보를 보유하고 있는 업체를 적발해 엄정하게 법을 집행하고, 법령 위반업체 공표제도를 적극 적용하겠다고 발표했다. 이어 행자부가 밝힌 두 번째 점검대상 업계는 ‘여행업계’다. <편집자 주>
 
-개정안 시행 1년, 실태조사 직접 나서
-적발 시 법 엄정 집행하고 업체 공표
-KATA 점검 앞두고 자율점검 교육실시
 
 
중점 점검 사항은 무엇인가
 
행정자치부(행자부)가 여행사를 대상으로 개인정보보호 실태점검에 나선다. 이번 달 부동산 거래 분야를 시작으로 오는 9월과 10월 여행사를 대상으로 집중적인 개인정보 관리실태점검에 직접 나서는 것이다. 

여행사는 예약규정에 따라 고객의 고유식별정보 등 개인정보를 수집하는 대표 산업군 중 하나다. 고객서비스 안내 및 예약 상담을 위해 기본정보로 성명, 생년월일, 성별, 연락처를 요구하고 부가정보로 여권정보, 상품예약과 상담이력 등의 정보를 수집하고 있다. 여행자보험과 제휴카드 연계 서비스 등과 관련해서는 개인정보를 제3자에게 제공하거나 공유하고 있는 실정이다.

행자부 개인정보보호과 조성환 과장은 “여행사의 여름 성수기 시점이 지나는 오는 9월과 10월 본격적으로 개인정보보호 실태점검에 들어갈 계획”이라며 “여행사 분야의 경우 여권정보 등의 민감한 개인정보를 많이 취급하고 있기 때문에 개인정보보호 실태점검이 더욱 필요하다. 현재 여행관련 단체와의 협의는 모두 끝났으며, 점검리스트를 배포했다”고 밝혔다.

행자부가 밝힌 중점 점검 사항은 ▲개인정보의 수집·제공 ▲주민등록번호 처리 제한 ▲개인정보의 파기 ▲업무위탁계약 ▲개인정보 취급자 감독 ▲개인정보 처리방침의 수립·공개 ▲안정성 확보조치 등이다.

점검은 관련부처인 국토교통부와 협업으로 자율점검과 현장 확인점검 등 두 가지 방식이 병행 진행된다. 자율점검은 행자부가 배포한 자율점검표와 점검 가이드라인을 통해 각 업체가 자율적으로 점검하는 방식이다. 

조 과장은 “부동산 거래 분야의 경우 자율점검에 맞춘 만큼 민간기업에서 스스로 개인정보보호 점검에 참여할 수 있도록 체크리스트와 개선 계획서에 대한 피드백 등을 중심으로 점검을 진행했다”고 말했다. 자율점검을 수행하고 충실하게 개선계획을 수립한 업체에 대해서는 개선기간동안 행정처분을 유예하는 특전을 부여하는 등의 방법으로 참여를 독려한 것이다. 이어 “미리 배포된 체크 리스트를 정확히 체크하고, 문제가 되는 부분을 개정한다면 처벌대상이 되지 않는다. 하지만 자율점검에 참여하지도 않은 데다 문제가 심각한 곳은 실태점검이 진행되며, 문제가 발생할 경우 엄정하게 법을 집행할 것”이라고 덧붙였다.

한편 행자부는 처음으로 개인정보보호법 위반업체 실명을 공개했다. 지난 18일, 개인정보보호 의무를 이행하지 않은 미래의료재단에 과태료 1,600만원을 부과했다. 현재 행정처분 절차를 밝고 있는 5개 업체도 하반기에 추가로 실명을 공표할 예정이다. 행자부 관계자는 “개인정보보호가 강화되도록 법령 위반업체 공표제도를 적극 적용할 방침”이라고 밝혔다.

여행사 ‘자율점검’ 어떻게 하나
 
한국여행업협회(KATA)는 지난 27일 개인정보보호법 실태점검으로 인한 회원사의 피해예방과 권익증진을 위해 ‘여행사 개인정보보호 자율점검 교육’을 실시했다. 교육은 행자부 개인정보보호과 윤경섭 사무관의 진행으로 이뤄졌다. 

윤경섭 사무관은 “자율점검은 개인정보 처리 실태 자율 점검표에 따라 진행하면 되며, 여행상품, 시스템 등을 협력하는 회원 여행사에 대한 개인정보보호 지도와 상호간 교차 점검 및 지원을 협조한다”라며 “각 여행사에서는 홈페이지에 자율 점검표를 게시하고, 자율점검표는 KATA 홈페이지를 통해 회원사에서 내려 받아 자율점검을 이행하도록 권고하고 있다”고 설명했다.

이번 개인정보 처리 실태 자율점검표는 총 7개 분야(▲개인정보의 수집·제공 ▲주민등록번호 처리제한 ▲개인정보의 파기 ▲업무위탁계약 ▲개인정보 취급자 감독 ▲개인정보 처리방침의 수립·공개 ▲안정성확보조치) 24문항으로 구성돼있다. 

KATA 관계자는 “대부분의 분야에서는 그동안의 교육을 통해 잘 이행되고 있는 것으로 알고 있으나, 개인정보의 파기는 여행업계가 취약한 대표적 분야”라며 “고객으로부터 받은 여권 사본 등은 업무 종료 시 반드시 파기해야한다”고 강조했다. 이어 “안정성 확보 조치와 관련해서도 어려움이 다소 있을 것으로 예상한다. 여행사 정보 시스템에 대한 접근 권한 등을 차등으로 부여하는지, 접근권한의 부여, 변경, 말소 내역 등을 기록하고 관리하며 최소 3년간 보관하고 있는지의 여부, 영어 대소문자, 숫자, 특수문자 등이 섞인 최소 10자리 이상의 비밀번호 작성 규칙 등을 이행하고 있는지 꼼꼼히 확인해야한다”고 말했다.

자체적으로 실시간 자율 점검표는 각 여행사 또는 여행사 개인정보 관리자가 가지고 있으면 된다. 자율 점검표는 정부의 요구 또는 현장 확인점검 시 제출하면 되며, 실태점검은 이 자율 점검표를 토대로 진행된다. KATA 관계자는 “자율 점검표를 구체적으로 언제까지 해야 한다는 기간 제한은 없다. 그러나 자율점검에 참여하지 않을 경우에는 문제가 될 수 있다”고 말했다. 

행자부 윤 사무관은 “자율 점검표 및 교육 자료를 활용해 각 사의 실태를 점검하면 된다. 점검표는 ‘개인정보 처리 시스템’ 별로 구분해 작성하고 ‘개선 필요사항은 보완조치’하면 된다”라며 “또한 인사시스템, 급여시스템 등 내부 직원의 개인정보를 활용해 업무를 처리하는 시스템의 경우는 ‘개인정보 처리 시스템 총괄표’만 작성하고 점검표는 작성하지 않아도 된다. 자율점검만 잘 해도 실태조사에서 대부분 피해를 비껴갈 수 있다”고 설명했다. 

신지훈 기자 jhshin@traveltimes.co.kr
저작권자 © 여행신문 무단전재 및 재배포 금지