안녕하세요. 개인정보보호 파트너 캐치시큐입니다.
올해 총 20회에 해당하는 보호위원회가 열리며, 개인정보보호 법규 위반행위에 대한 시정조치가 이루어졌습니다.
이를 통해 개인정보보호 법규 위반에 대한 감독이 강화되었다는 사실을 체감할 수 있었는데요.
그렇다면, 올해 들어 기업이 가장 많이 위반한 개인정보보호 법규는 무엇일까요?
오늘은 2022년, 기업이 가장 많이 위반한 개인정보보호 법규와, 해당 법규 위반을 통해 부과된 과태료를 함께 알아보도록 하겠습니다.
Check!
- 기업이 가장 많이 위반하는 개인정보보호 법규 Top5
5위 : 개인정보 수집·이용
4위 : 주민등록번호 처리 및 암호화
3위 : 개인정보 파기
2위 : 개인정보 유출 통지
1위 : 개인정보 보호조치 의무 - 마치며
1. 기업이 가장 많이 위반하는 개인정보보호 법규 Top5
캐치시큐에서는 매년 개인정보보호 법규 위반과 관련된 과태료 동향을 파악하고 있습니다.
올해 개인정보보호위원회에서 공개한 개인정보보호 법규 위반 사업자 제재 문서를 확인해보니, 기업들이 크게 5가지 법규를 가장 많이 위반하고 있다는 사실을 알 수 있었는데요.
지금부터 2022년도, 기업이 가장 많이 위반한 개인정보보호 법규 5가지와, 이를 통해 부과된 과태료를 함께 알아보도록 하겠습니다.
5위 : 개인정보 수집·이용
Top5 : 개인정보 보호법 제15조(개인정보의 수집·이용)
기업이 가장 많이 위반한 개인정보 보호 법규 다섯 번째 순위는 바로 개인정보 수집·이용과 관련된 사항입니다.
개인정보 수집 시 개인정보 수집·이용 목적을 제대로 고지하지 않았거나, 명시적인 개인정보 수집·동의를 받지 않은 경우 고지 누락으로 인한 개인정보 침해를 이유로 과태료 처분을 받았는데요.
2022년에는 이와 같은 개인정보 수집·이용과 관련된 위반 행위가 5건 확인되었고, 총 1,680만 원에 해당하는 과태료가 부과되었습니다.
개인정보 수집·이용 시 개인정보 보호법15조에 따라, 아래 6가지 항목에 해당하는 경우에만 개인정보를 수집·이용할 수 있습니다.
- 정보주체의 동의를 받은 경우
- 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
- 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
- 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
- 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
- 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우
또한, 개인정보 수집·이용을 위해서는 동의서에 법령에서 정한 4가지 항목을 포함하여 동의를 받아야 합니다.
- 개인정보의 수집·이용 목적
- 수집하려는 개인정보의 항목
- 개인정보의 보유 및 이용 기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
저희 캐치시큐에서 제공하고 있는 인포그래픽 동의서에도 해당 4가지 항목이 모두 포함되어 있는 것을 확인할 수 있습니다.
4위 : 주민등록번호 처리 및 암호화
Top4 : 개인정보 보호법 제24조(고유식별정보의 처리 제한)
기업이 가장 많이 위반한 개인정보 보호 법규 네 번째 순위는 바로 주민등록번호 처리와 관련된 사항입니다.
교육 안내 메일을 보내며 실수로 주민등록번호 암호화 조치가 되지 않은 인사 정보 파일이나 입사 지원서를 잘못 첨부하여 주민등록번호가 유출되는 경우가 있었으며, 또한 주민등록번호 처리 권한이 없는 자가 주민등록번호를 처리하기도 했습니다. 또한, 현재 주민등록번호 수집 제한 제도가 시행되어 법적 근거 없이 주민등록번호를 수집하면 안 되지만 추가적인 법적 근거 없이 주민등록번호를 수집·이전하여 주민등록번호 처리 및 암호화 위반으로 과태료 처분을 받았는데요.
2022년에는 이와 같은 주민등록번호 처리 및 암호화와 관련된 위반 행위가 15건 확인되었고, 총 6,490만 원에 해당하는 과태료가 부과되었습니다.
개인정보 보호법 제24조의2에 따라 아래 3가지 사항에 해당하지 않는 경우 주민등록번호를 처리해서는 안 됩니다.
- 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
- 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
- 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경
또한 주민등록번호를 처리하는 서비스의 경우에는 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 암호화 조치를 취하여 보관해야 합니다.
👉 암호화 조치에 대해 더 궁금하신가요? 개인정보 암호화 가이드 게시글 보러가기
3위 : 개인정보 파기
Top3 : 개인정보 보호법 제21조(개인정보의 파기), 개인정보 보호법 제39조의6(개인정보 파기에 대한 특례)
기업이 가장 많이 위반한 개인정보 보호 법규 세 번째 순위는 바로 개인정보 파기와 관련된 사항입니다.
주로 계약이 종료되거나 탈퇴한 개인정보를 즉시 파기하지 않거나 1년 이상 장기 미이용자의 개인정보를 파기하지 않은 경우가 많았습니다. 또한 택배에 잘못 부착한 고객의 정보를 파기하지 않고, 그 위에 타 고객의 정보를 부착하여 개인정보가 노출되게 한 경우가 있었는데요.
2022년에는 이와 같은 개인정보 파기와 관련된 위반 행위가 16건 확인되었고, 총 12,790만 원에 해당하는 과태료가 부과되었습니다.
개인정보 처리방침에 게시한 바에 따라, 개인정보 보호법 제21조, 제39조의6에 따라 개인정보 보유기간의 정보, 개인정보의 처리 목적 달성 등 개인정보가 불필요하게 되는 경우에는 즉시 개인정보를 파기하여야 합니다. 또한, 개인정보 파기를 위해서는 해당 정보가 복구 또는 재생되지 않도록 조치하여야 합니다.
2위 : 개인정보 유출 통지
Top2 : 개인정보 보호법 제34조(개인정보 유출 통지 등), 개인정보 보호법 제39조의4(개인정보 유출등의 통지·신고에 대한 특례)
기업이 가장 많이 위반한 개인정보 보호 법규 2번째 순위는 바로 개인정보 유출 통지와 관련된 사항입니다.
주로 개인정보 유출 사실을 인지하였지만 24시간이 경과한 이후 고객에게 개인정보 유출 통지를 한 경우가 많았는데요. 개인정보 유출 사실을 알고 있으면서도 이용자의 일부에게만 유출 통지를 하거나, 유출 사실이 1년여간 지난 후 해당 사실을 통보한 곳도 있었습니다.
추가로 기업 자체적으로 개인정보 유출 사실을 알게 되었을 때 뿐만이 아니라, 기업 외부자를 통해 유출 사실을 알게 된 경우에도 24시간 내로 유출 신고를 해야 합니다.
2022년에는 이와 같은 개인정보 유출 통지와 관련된 위반 행위가 25건 확인되었고, 약 15,560만 원에 해당하는 과태료가 부과되었습니다.
개인정보 보호법 제34조(개인정보 유출 통지 등)에 따르면, 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 정보주체에게 하단의 5가지 사실을 알려야 한다고 나와 있습니다.
- 유출된 개인정보의 항목
- 유출된 시점과 그 경위
- 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
- 개인정보처리자의 대응조치 및 피해 구제절차
- 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
만일, 1천 명 이상의 정보주체에 대한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 위와 같이 5가지 사항을 7일 이상 게재하여야 합니다.
또한, 인터넷 홈페이지를 운영하지 않는 경우 서면 등의 방법과 함께 사업장 등의 보기 쉬운 장소에 각 사항을 7일 이상 게시해야 합니다.
1위 : 개인정보 보호조치 준수 의무
Top1 : 개인정보 보호법 제29조(안전조치의무)
2022년 기업이 가장 많이 위반한 개인정보 보호 법규 대망의 첫 번째 순위는 바로 개인정보 보호조치 준수 의무와 관련된 사항입니다.
기업들이 주로 관리자 페이지의 접근권한을 IP로 제한하지 않거나, 해당 페이지의 비밀번호를 안전하지 않은 방식으로 암호화하거나, 8자리 숫자로만 구성하는 등 적극적으로 접근통제를 하지 않아 해킹 공격을 당한 경우가 많았습니다. 또한, 개인정보 취급자의 접속 기록을 보존·관리하지 않거나, 내부관리계획 이행 실태를 연 1회 이상 점검하지 않는 등 개인정보 보호법에 명시되어있는 안전조치의무를 준수하지 않았습니다.
2022년에는 이와 같은 개인정보 보호조치와 관련된 위반 행위가 81건 확인되었고, 약 37,050만 원에 해당하는 과태료를 부과받았습니다.
개인정보 보호법 제29조(안전조치의무)에 따르면, 개인정보처리자는 6가지 사항의 안전성 확보 조치를 취해야 합니다.
- 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
- 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
- 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
- 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
- 개인정보에 대한 보안프로그램의 설치 및 갱신
- 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
2. 마치며
오늘은 2022년, 기업이 가장 많이 위반한 개인정보보호 법규 5가지와 해당 법규의 과태료 동향을 짚어보았습니다.
개인정보보호위원회에서 지속적으로 법규 위반 사업자에 대해 제재를 강화하고 있고, 규제가 심화되고 있는 만큼 개인정보보호 법규를 준수하는 것이 중요해지고 있습니다.
혹시, 개인정보 보호조치 준수를 위한 안전성 확보 조치에 대한 어려움을 느끼고 계신가요?
아니면, 우리 회사 서비스의 동의서와 처리방침을 검토 받기 원하시나요?
동의서 및 처리방침과 관련한 문의가 있으신 분은 개인정보보호 전문가에게 무료 상담을 신청하셔서, 서비스의 개인정보보호도 챙기시기 바랍니다.
2023년 개인정보보호도, 캐치시큐와 함께하세요!
감사합니다.