개인정보보호법 의무교육에 대하여 여러가지 궁금한 분들이 많은 듯 합니다.. 개인정보가 사회적 이슈가 되다보니 법적인 부분에 대하여 각기업이나 기관 담당자분들이 관심을 가질수 밖에 없는데 이를 강압적인 형태로 마케팅 하는 교육기관등이 있나 봅니다..지금까지 제 경험에 비추어 속시원히 알아 보도록 하겠습니다.  -편집자 주





개인정보 처리자 입장에서 개인정보보호 담당자는 취급자가 조금이라도 개인정보에 대한 개념 인식에서부터 , 업무시 개인정보 '처리'에 대한 업무를 잘 해 주었으면 하는 바램에서 교육에 관심을 가질 수 밖에 없지요. 그러나 대부분이 그렇듯이 법적 근거 기준이 있어서 의무 사항이 아니면 하지 않는 경우가 대부분입니다. 이는 현장을 다녀보면서 느낀바로는 두가지 요인이 있습니다.


1. 법적 근거가 없으면 집체 교육 힘들어


법적 의무 교육이 아니거나 근거 미비의 경우 대부분 집체 교육을 하기 어렵습니다. 그 이유는 집체교육은 직장인 교육의 일환으로 하거나 한꺼번에 임직원을 모집해야 하는 어려움 때문입니다. 기관이나 기업내에 중요한 이슈가 있었을땐 교육은 우선순위에서 밀리는 경우가 대부분입니다. 긴급 이슈사안에 대하여 처리하기위한 업무도 바쁜데 교육을 위한 시간을 따로 할당해야 하기 때문입니다. 하지만 법적인 근거가 제시되면 명분을 제시할 수 있어 담당자의 교육 업무 추진이 수훨합니다. 역으로 생각하면 법적 근거기준이 없으면 집체교육은 어렵다는 이야기 입니다. 이는 온라인 개별 교육은 더 힘들다는 것을 반증하기도 합니다.


2. 담당부서의 업무인데 왜 집체 교육을 통하여 전달 하려하는가?


개인정보 교육의 경우 대부분 취급자가 자신은 개인정보 담당자가 아니라는 생각을 하고 있습니다. 개인정보보호법 제2조에   2. "처리"란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다."   고 명시하고 있습니다. 아마도 기관이나 기업에서 개인정보 '취급' , '처리'를 하지 않은 취급자가 과연 몇명이나 있을까요? 대부분 자신이 개인정보 관련 업무처리를 하고 있지만 이는 '개인정보 담당자' 업무로 착각하고 있기 때문이죠. 그러니 바쁜 시간에 왜 자신의 업무를 전 임직원들 대상으로 전달 할려고 하는가에 대한 반감 때문에 애로 사항이 있습니다.  "메일공지나 회람을 통해서도 가능할텐데 ......, " 라는 불만 때문이지요. 그런데 어디 메일이나 회람으로 '개인정보보호법'을 모두 이해 할 수 있다면 법적 의무적인 교육을 할 필요가 없겠지요..개인정보 업무가 쉬워보이지만 공부해야 할 것과 해야할 업무가 굉장히 많다는 사실입니다. 


이 두가지 이유 때문에 개인정보 교육은 진행하기 애로사항이 있다고 담당자들은 토로 합니다. 그럼 과연 개인정보보호에 대한 교육을 법적으로 해야 될까요? 말아야 할까요? 알아보도록 하겠습니다.



개인정보보호 교육  과연 법적 의무교육인가? 아닌가?


지난 8/7일 주민등록번호 수집 법정주의가 시행이 되었습니다. 또한 개정된 개인정보보호법이 지난 3/24일 시행이 되고 있기 때문에 많은 분들이 관심을 가질 수 밖에 없습니다. 또한 법이라는 것은 자주 개정되는 특성이 있어 꾸준히 관심을 가지고 있지 않으면 , 놓칠수 있는 부분이 있어 만약 개인정보 유출시에는 상당한 타격을 입게 됩니다. 이것이 컴플라이언스( 법 준수성)에 관심을 가질 수 밖에 없는 이유가 되죠.


개인정보보호 전문 카페를 통한 8월 한달간 N포털 키워드 유입을 통해 알아 보겠습니다.

안전행정부 개인정보보호 전문강사로 위촉이 되어 있다보니 집체 교육후에 질문이 많습니다. 메일로 , 전화로 일일이 답변 드리지 못해 운영하고 있는 커뮤니티입니다. 개인정보 관련 내용만 다루고 있습니다. 

 

그러던중 아래 그림과 같이 키워드에서 <개인정보보호법 의무교육>  키워드로 많이 검색하는 것 같아 블로그에 포스팅 하게 된 것입니다..



                   ▲  8월 한달간 N포털 개인정보보호 관련 검색유입된 키워드 순위


눈에 띄는 것이 바로 '개인정보보호법 의무교육' 에 대한 부분입니다...그 궁금증을 해소하기 위하여 알아 보았습니다. 우선 대표적인 개인정보보호법과 정보통신망법에 각각 알아보면 다음과 같습니다. 


1. 개인정보보호법


 ① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자(이하 "개인정보취급자"라 한다)에 대하여 적절한 관리·감독을 행하여야 한다.

② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.




개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적(1회 이상)으로 필요한 교육을 실시하여야 한다. 교육은 사내교육, 외부교육, 위탁교육 등 여러 종류가 있을 수 있으나 연간 교육계획을 수립하여 모든 개인정보취급자가 일정 시간 이상 교육에 참여하도록 해야 한다. 또한 개인정보취급자의 지위,직책, 담당 업무의 내용, 업무 숙련도 등에 따라 교육 내용도 각기 달라져야 한다.(개인정보 보호법령 및 지침 고시 해설- 안전행정부)




2. 정보통신망법


"정보통신망 이용촉진 및 정보보호 등에 관한 법률" 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 "개인정보의 기술적, 관리적 보호조치 기준" 제3조(내부관리계획의 수립․시행)

② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보관리책임자 및 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야 한다.

1. 교육목적 및 대상

2. 교육 내용

3. 교육 일정 및 방법


개인정보보호 교육의 목적은 정보통신서비스 제공자 등의 사업장 내의 개인정보취급자에게 개인정보보호에 대한 인식을 제고시키고 개인정보보호 대책의 필요성을 이해시키는 것이다. 구현된 기술적, 관리적 보호조치 기준에 대한 정확한 교육 및 훈련 프로그램을 수립하여 이행하여야 한다.

개인정보관리책임자 및 개인정보취급자를 대상으로 매년 정기적으로 2회 이상의 개인정보보호 교육을 실시하여야 한다. 특히, 개인정보취급자가 고객의 개인정보를 훼손, 침해, 누설할 경우에는 중벌에 처해지므로, 교육 시 이러한 점을 개인정보취급자에게 인식시키기 위해 노력해야 한다.




다음은 개인정보보호 교육에 관련된 Q & A 입니다. 잘 살펴 보시고 대응하시면 되겠습니다.



 개인정보 교육의 경우 5인 미만인 소상공인 경우 실시 하지 않아도 되나요? 

 ☞ 아닙니다. 개인정보보호 교육은 직원수와 관계없이 개인정보 수집 , 활용, 처리등 일련의 행위를 하는 모든 곳에서는 필히 실시 하여야 합니다.



 개인정보 교육은 전직원을 대상으로 교육을 진행 하여야 하나요?

 ☞ 개인정보 교육은 개인정보 이용 및 활용등을 실질적으로 취급하는 취급자 대상으로 진행 하시면 됩니다. 그러나 대부분 집체교육등으로 임직원 전체 하는 경우가 많으며, 취급자, 책임자를 구별하여 맞춤형 교육으로도 많이 진행이 됩니다. 조직에서 개인정보 처리업무를 하지 않는 분은 없기 때문입니다. 이유는 포스팅 본문에 '처리' 용어정의를 참고 바랍니다.



개인정보 교육은 1년에 몇회 정도 진행해야 하나요? 

 ☞ '개인정보보호법'이 적용되는 사업장이나 기관의 경우 1년에 1회 이상, '정보통신이용촉진 및 정보보호등에 관한법률' 이 적용되는 사업장에서는 1년에 2회 이상 실시 하여야 합니다.


▲ 개인정보보호법 준수 사업장 : 개인정보를 취급하는 모든 사업장

  정보통신망법 준수 사업장 : 정보통신망을 통해 개인정보 송수신이 이루어지는 사업장 (포털,쇼핑몰등)



개인정보 교육 이수 방법에는 어떤 것들이 있나요? 

 ☞ 안전행정부 개인정보보호 전문 강사 초빙 의뢰 

     사업장내 개인정보 지식이 있는 자를 통한 교육 (자료는 privacy.go.kr 이나 i-privacy.kr 등에서 자료 활용

     온라인 교육 : privacy.go.kr 사이트나 i-privacy.kr 사이트에서 온라인 교육



개인정보 교육 미실시로 인한 과태료는 없나요? 

  ☞ 현재 시행중인 법상으로는 개인정보 교육 미실시로 인한 과태로나 벌칙은 없습니다. 하지만 개인정보 유출사고의 대부분이 교육이 제대로 이루어지지 않아 개인정보 소홀로 사고가 발생하고 있어 사전 예방이 필요합니다. 또한, 개인정보 유출시 안전조치 소홀로 인한 문제가 제기 될 수 있습니다.

 

 

 

개인정보보호 미 교육시 처벌 규정이 없다고 소홀히 하였을 경우, 만약 유출시에는 그에 따르는 책임을 묻는 것은 당연하겠지요. 여러가지 개인정보 실태점검이나 수준진단 점검, 그리고 인증심사시에 반드시 이러한 사항들이 포함된 것을 보더라도 형식적인 교육으로 전락해서는 안될 것입니다.  법적인 근거가 있으니 반드시 교육을 실시하는 것이 유출에 대비하여 좋겠지요..

 

대신 개인정보 교육은 자체교육, 온라인 교육, 외부 전문가초빙등의 다양한 방법이 있으니 잘 참고하시고 , 개인정보 유출에 만전을 기할 수 있도록 해야 겠습니다. 너무 강요에 의한 마케팅과 결합한 교육은 바람직 하지 않다고 생각합니다.  정말 중요한 것은 조직내 개인정보가 유출시 어떻게 대처하고 어떠한 처벌이 있으며, 각 구성원이 인지하고 행동으로 실천하기 위한 방법을 직접 교육을 통하여 전달 하는 것이 목적이기 때문입니다.

 

포털 검색하다가 일부 교육기관에서 교육을 하지 않으면 처벌된다는 식의 강압적인 권유의 글이 많이 보여 참고 차원에서 한번 포스팅 해 보았습니다.  보다 자세한 내용은 개인정보보호 전문 카페 (개인정보 업무와 피해구제,교육등의 정보를 공유하는 카페) 를 참고 하시면 되겠습니다. 감사합니다.  @엔시스.

 

포스팅 참조한 보안뉴스기사 : http://www.boannews.com/media/view.asp?idx=43032&kind=2&search=title&find=%C0%C7%B9%AB%B1%B3%C0%B0

 

11,12,13,14 안정행정부 지정  개인정보보호전문강사

ISMS,PIMS.PIPL 인증심사원

경성대학교 컴퓨터 공학과 외래교수

 

 

 



Posted by 엔시스

대기업 정보보안, 개인정보보호 교육을 할 수 있는 기회가 마련이 되었다. 이번에 여러 사업장을 투어 하면서 느낀점을 기록해 본다. -주인백



1. 매출 3조 기업 , 정보보안과 개인정보


국내 굴지의 대기업이다. 이름을 말하면 모두 알만한 대기업이다. 그 대기업에는 그룹사별로 또 다양한 회사들이 많이 있다. 그룹사에서 한 기업만 하더라도 상당한 매출을 올리고 있다. 아무리 IT산업이 발달 하였다고 하여도 지금까지 근간이 되어 온 제조업 분야는 또 무시 못하겠다는 생각이 들었다. 그동안 IT바닥에서만 굴러 다녀서인지 이번 투어하면서 진행한 교육은 신선하고 재미 있었다.


제조업은 개인정보보호도 있지만 주로 산업보안쪽에 포커스가 맞추어져 있어 , 사내 기밀이나 영업비밀등과 같은 부분에 더 강화를 하고 있는 듯 보였다. 물론 그 제반적인 여건에서는 IT기술이 적용이 되긴 하지만 보다 큰 그림에서 보안에 대한 영역으로 자리매김 하고 있었다. 특히 물리적 보안도 굉장히 중요한 요소중에 하나였다.



2. 보안팀 권한 부여와 서포트


보안팀으로서 권한이 우선 부여 되어 있었다. 쉽게 말해 일반 중소기업처럼 컴퓨터 고장나면 수리해 달라고 하고, 프린터 고장나면 보안인력보고 다 해달라고 하는 요청을 처리하는 부서는 아니란 이야기이다. 보안에 대한 기술적 파트와 보안에 대한 관리적 파트가 나누어져 있고, 이에 대한 여러가지 권한이 부여되어 있어 체계적인 부분이 눈에 들어 왔다. 또한 업무처리를 함에 있어 다양한 서포트와 예산이 확보가 되어 있어 보안 솔루션도 대부분 구비하고 있는 상태이다. 


따라서, 보안강화가 되고 있었고, 임직원들은 어느정도 보안경계선 내에 있다는 느낌을 받았다. 단지 이것을 얼마나 효율적이고 얼마나 잘 운영할 것인가에 대한문제는 아무래도 내부적인 관심에 있겠다. 그러한 목적으로 이렇게 외부에서 초빙한 사람을 통하여 최신 보안에 대한 여러가지 현황을 전달 하려는 것이다. 그러니 교육을 하는 사람은 수 많은 날을 준비를 해서 분석하고 어렵지 않게 전달 하려는데 주목을 하게 된다. 



3.  교육시 그 회사 수준을 가늠하는 잣대는 바로 "다이어리" 준비 유무









수 많은 공공기관과 기업에 다니면서 교육을 진행해 보면 다양한 경험을 하게 된다. 그 중에 가장 인상적인 것은 아니 어쩌면 당연한 것인지도 모르는 교육시 '다이어리'를 준비하는가에 대한 점이다. 


어떤 기관은 교육시 하나같이 참여자분들이 다이어리를 지참하고 와서 중요한 것은 메모하는 모습이 보인다. 물론 교재가 준비되지 않았을때 이야기이다. 또 어느곳은 그냥 맨손으로 와서 팔짱끼고 앉아서 가만히 있다가 그냥 가는 경우도 자주 본다. 그 회사나 그 기관의 교육생 수준을 가늠하는 것은 '다이어리' 지참 유무를 가지고 판가름 할 수 있다. 


우리는 머리가 좋은 편이 아니다. 중요한 것은 메모하는 습관과 기록하는 습관이 중요하다. 이는 꼭 교육에서만 그런 것이 아니라 회의 미팅시에도 마찬가지이다. 아무것도 가지고 오지 않아서 가만히 앉아서 있는 것은 정말 기본이 안되어 있는 것이라 생각한다. 상대방과 대화시나 상대방과 가벼운 회의시에는 상대방이 하는 이야기를 잘 듣고 메모를 하는 모습을 보여주면 상대방은 자신의 말에 귀를 기울인다는 느낌을 받는다. 


마무리.


그동안 수많은 공공기관과 기업을 다니면서 정보보안에 대한 대중적 교육과 강의를 진행하였다. 그렇게 하면서 늘 생각하는 것이 누가 내 이야기를 이렇게 수백명이 들어 줄수 있을까라는 생각을 하면 언제나 소홀히 할 수 없다는 생각을 한다. 남 앞에 서는 것을 두려워 했던 시절에 비하면 일취월장한 것이다. 하지만 아직도 부족함을 느끼고 , 지식과 경험 그리고 늘 겸손함을 잃지 말고 낮은 자세로 세상을 향하여 한발한발 더 진실되게 걸어가야 겠다. 좋은 경험이었다. 


담당이신 000 대리님께서 손수 자가운전하면서 에스코트 해 주어서 불편함이 없이 무사히 마칠수 있었다. 000 대리님과 함께 근무하시는 000 대리님께도 감사드린다. 


며칠전 생활의 달인이라는 프로그램에서 어느 빵집 어르신이 이야기 한다. 

" 한 50년만 같은 것을 해봐...왜 빵이 안 맛있겠나? " 



* 에피소드 1.


여러곳에 환경에서 진행을 하다보면 다양한 에피소드들이 있다. 이번에도 있었다. 한참 교육을 진행하고 있는데 PC가 블루스크린이 뜨면서 장애가 발생되었다. 이럴경우 사람들은 잠시 술렁인다. 그러나 나는 침착하게 준비한 슬라이드를 모두 기억하고 있기 때문에 자연스럽게 이야기를 진행한다. 또는 막간을 이용하여 담당자 입장이 난처하지 않게 다른 곳에서 유사한 사례를 이야기 하면서 잠시 쉬는 타임으로 잠깐 전환하여 분위기를 환전 시킨다. 그 사이에 PC재부팅과 자료는 스크린에 다시 비친다. 교육이 끝나고 나서 담당자는 고마워 한다. 그리고 십년 감수 했다고 하고 "어떻게 그렇게 천연덕(자연)스럽게 넘어갈 수 있나요? 전 긴장되어 죽는줄 알았어요" 이 모든 것이 추억이다. 



Posted by 엔시스



사람을 변화시키는 것은 간단하다. 자신부터 변하면 된다. 가정에서 아버지나 어머니는 TV를 보면서 아이들에게는 공부하라고 하면 시끄러운 TV소리 때문에 집중이 안되는 것은 당연하다. 자녀들은 무언의 반항을 한다. 부모는 나중에 왜 시험 못 보았느냐고 닥달한다.


조직내 보안교육을 한다고 하는데 바쁜 경영진은 대외 활동에 더 많은 시간을 쏟는다. 적당히 실무진에서 알아서 진행하라고 하면 결과도 적당히다. 


지금까지 수많은 교육중에서 경영자가 참석한 경우가 몇곳이 있었다. 모의료원에 병원장님께서 직접 참여하여 교육후에 인사하고 악수를 나눈 기억이 난다. 또, 모 대학에서는 교육에 참석하지는 않았지만 외부 손님을 직접 총장님께서 맞이하여 간단하게 차 한잔 나눈 기억이 있다. 총장님이 직접 손님을 챙기는 것이다. 


올해 한 벤쳐기업에 기업보안에 대하여 교육을 할 기회가 있었다. 이 자리에 해당 기업의 회장님, 사장님, 감사님등 기업경영진이 가장 앞자리에 자리하고 보안에 대한 교육을 경청하였다.





제주도에서 워크샵 형태로  아주 훌륭한 숙소에서 진행이 되었다. 낮시간에는 산행으로  상당히 피곤 하였을텐데 임직원 누구 하나 불만을 가지는 사람이 없었고, 저녁 늦은 시간임에도 불구하고 자세가 흩틀어지는 사람이 없었다. 


진행하시는 분들도 긴장하고 아주 신경써서 진행하는 것은 당연하다. 가끔 기업교육을 진행하다보면 사전에 아주 꼼꼼하게 체크하고 교육자료부터 내용, 폰트까지 신경 쓰는 분들이 있다. 물론, 강사 입장에서는 힘든 부분이 있는 것은 사실이다. 하지만 그러한 교육이 한번도 실패로 끝나는 경우는 못보았다. 모두 교육후 만족하는 결과를 가져 왔다.


경영진이 직접 관심을 보이고 참석하여 경청하는 모습을 보일때 직원들도 변화한다.


'하나를 보면 열을 안다'라는 속담이 있다. 보안이 최근 이슈가 되고 대.내외적으로 비지니스 환경에 중요한 변수로 떠 오르고 있다. 이런 가운데 경영진이 신경쓰지 않으면 다른 임직원들도 신경쓰지 않을 것은 자명한 사실이다. 


아마도 그 회장님과 사장님은 보안에 대한 교육을 듣기 위한 의미도 있었겠지만 먼저 솔선수범하여 특정한 이슈에 관심을 가지고 있다는 직원들에 대한 본보기를 보여주려는 의도는 아니었을까? 교육후에 인상에 남았다. 대한민국 기업의 경영자들이 하루 빨리 보안에 대한 관심을 가지고 직접 챙기는 모습을 기대하는 것은 무리일까?  사장님이나 기관장님께서 직접 참석 하면 교육자 입장에서는 상당히 부담 가는 것은 사실이지만 그만큼 효과도 크다고 생각이 든다. 


당부드리건데 기업의 경영자와 조직의 윗분들은 보안에 관심을 가져야 한다. 교육에도 참석을 해서 경영진이 관심을 표명하고 있다는 사실을 임직원들에게 보여 주어야 한다.  또한 보안 담당자에게 격려도 잊지 않았으면 하는 바램이다.  @엔시스.







Posted by 엔시스