개인정보보호법과 교사 처벌

개인 정보 보호법과 교사 처벌

학교 안에서 유통되는 메시지를 보면, 교사를 겁주는 내용이 제법 있다. 오늘 받은 메시지의 핵심은 이것 .

개인정보보호법 제 29조를 위반시에는 해당되는 개인에게 3,000만원 이하의 과태료를 부과하고 있습니다.

메시지에 언급된 내용이 개인정보보호법 제 29조라 한번 찾아봤습니다.

개인정보보호법

개인 정보란?

이 법에 따르면,

1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.

가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보

나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.

개인정보 보호 원칙

개인정보처리자는 정보를 얻을 때에는 목적을 밝히고, 최소한의 개인정보만 수집해야 하며, 개인정보를 안전하게 관리하여야 한다라는 게 주 내용입니다.

그 이하 여러 항목들은 국가가 개인정보 보호를 위해 어떤 노력을 해야 하는지, 개인정보 주체자가 갖는 권리는 무엇인지 등이 나와 있습니다.

개인정보보호법 제 4장 제 29조(안전조치의무)

메시지에서 언급된 29조란 분명 제4장 개인정보의 안전한 관리에 대한 내용인 것 같다. 하위에 제29조(안전조치의무)가 명시되어 있다.

개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. <개정 2015. 7. 24.>

이에 앞서 학교에서의 개인정보보호에 대한 총책임을 맡게 되는 사람은 누구인가? 개인정보 보호법 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등)에 따르면, 사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람 라고 명시되어 있습니다.

교육법에서는 '행정직원 등 직원은 교장의 명을 받아 학교의 행정사무와 기타의 사무를 담당한다'고 되어 있다. 고로 행정사무를 총괄하는 사람은 교장으로 보면 되겠습니다.

개인정보 안전 조치

대통령령에 따라 제30조(개인정보의 안전성 확보 보치)가 필요하다. 제30조 내용은 아래와 같습니다.

제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행
2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치
5. 개인정보에 대한 보안프로그램의 설치 및 갱신
6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
   ② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
   ③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

③ 에서 언급한 세부기준 중 중요해 보이는 제4조(내부 관리계획의 수립시행)의 내용

① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다.

1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항
    ② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.
    ③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
    ④ 개인정보보호책임자는 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상으로 점검·관리 하여야 한다.

교사의 책임은?

교사는 개인 정보를 다룰 수 밖에 없습니다. 우선 학생들의 신상에 대한 정보를 갖고 있게 된다. 네이스에 탑재된 신상정보가 아니라, 학교에서의 업무 처리를 위해 필요합니다

학생의 신변에 이상이 생겼을 때를 대비해서, 학생의 이름, 학부모의 연락처와 주소 정도의 파일은 가지고 있습니다. 주민등록 정보는 따로 가지고 있지 않더라도 생활기록부로 확인할 수 있습니다.

그럼 이런 정보를 컴퓨터에 가지고 있기만 해도 처벌을 받을까요? 이는 상식적으로 납득하기 어렵습니다. 개별 교사가 자기가 직접 임의로 수집한 게 아닌, 학생의 개인 정보를 가지고 있다면 처벌 받으면 대한민국 모든 교사와 직원이 처벌 받아야 하지 않을까요?

그러니, 학생과 관련된 개인정보 보호를 위해 최선을 다하면 되고, 그 보호 처치는 학교 계획에 따르면 됩니다.

위 24조의 내용을 참고해서

• 컴퓨터는 부재시 반드시 암호로 잠겨있도록 해야 하고
• 불필요한 개인정보 파일은 되도록 삭제한다
• 반드시 보유해야 하는 개인정보는 암호화한다. (내가 근무하는 경남지역에서는 암호화 도구 privacy-i를 제공하고 있다.)
• 개인정보 파일은 외부로 유출되지 않도록 한다.

이 정도면 되지 않을까요?