개인정보보호위원회가 선거관리위원회, 법원, 국회의 개인정보보호 관련 규칙이 ‘필요한 범위’라는 모호한 문구로 기관 직원들이 민감한 개인정보를 처리할 수 있도록 하고 있다며 시정을 권고했다.

19일 정부 관계자들에 따르면, 개인정보보호위원회는 지난 10일 2017년 8회 회의를 개최하고 선관위, 법원, 국회 규정에 문제가 있다고 결정했다.

개인정보보호위원회는 18일 공개한 결정문에서 “규정에서 사무 수행에 ‘필요한 범위 내에서’ 민감정보 등을 처리할 수 있도록 규정하고 있다”며 “각 사무 수행자의 판단에 따라 개인정보 수집 여부 및 그 범위가 정해질 경우 개인정보 최소수집 원칙에 위배되므로 ‘필요한 범위 내에서’ 부분을 ‘불가피한 경우’로 수정할 것을 권고한다”고 밝혔다.

또 위원회는 선관위, 법원, 국회의 규정이 사무 수행에 민감정보와 고유식별정보를 처리할 수 있다고 명시하고 있는데 처리 가능한 개인정보 범위를 한정해야 한다고 지적했다.

이번 결정은 필요한 범위라는 모호한 문구로 개인정보를 처리하는 관행에 문제가 있다고 지적한 것으로 해석된다. 보안 전문가들에 따르면, 선관위, 법원, 국회 뿐 아니라 많은 기관과 기업이 개인정보 처리와 관련해 '필요한 범위'와 같은 문구를 사용하고 있다.

실제로 A연구원과 B대학은 “업무를 수행하기 위해 필요한 범위 안에서 개인정보파일을 보유할 수 있다”고 규정하기도 했다.

또 C업체는 스마트폰 앱 서비스 개인정보 규정에서 ‘필요한 범위’ 내에서 이용자로부터 수집한 개인정보의 전부 또는 일부를 외부 업체에 위탁할 수 있다고 명시하고 있었다. 또 이용자가 위치정보를 서비스에 필요한 범위 내에서 이용할 수 있다고 규정하기도 했다.

이는 개인정보를 처리하는 기관, 업체와 담당자들의 편의를 고려한 것으로, 개인정보보호위원회의 지적처럼 개개인의 판단에 따라 기준이 달라질 수 있는 문제가 있다. 기관, 기업이나 업무 담당자들이 업무 편의를 위해 다량의 개인정보를 수집, 보유하고 업무상 필요하다고 할 경우 이를 제지하기 어려워질 수 있다. 따라서 개인정보보호위원회는 문구와 범위를 명확히 할 것을 권고한 것이다.

이번 결정에 따라 선관위, 법원, 국회는 규칙을 개정하고 이용 가능한 개인정보 범위를 세분화할 것으로 예상된다. 또 위원회가 다른 기관들의 개인정보 관련 규정, 규칙 등에 대해서도 비슷한 검토 및 시정 권고를 할 것으로 보인다.

[테크M = 강진규 기자(viper@techm.kr)]