1. 서설

최근 사설 교육기관에서 개인정보 유출을 방지하기 위해 2014.7.8. 개정된 규정인 “개인정보보호에 관한 내용을 법정의무교육이라면서 사업자의 전 근로자에게 교육을 시켜야 한다.”라는 내용으로 회사에 팩스를 보내거나 또는 인사담당자의 개인메일로 관련 공문을 발송하는 경우가 발생되고 있어 이에 회사 또는 기업 인사담당자들은 전사원에 대해 개인정보보호교육을 의무적으로 꼭 받아야하는지에 대한 의문과 질의가 오고 있어 이하에서는 개인정보보호교육이 의무사항인지, 교육대상이 전사원이 대상인지, 만약 교육을 미 실시하였을 때 어떠한 벌칙을 받는 지에 대하여 살펴보도록 하겠습니다.

2. 관련법률

1) 개인정보보호법 제2조(정의)
5. "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

2) 개인정보보호법 제28조(개인정보취급자에 대한 감독)
① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자(이하 "개인정보취급자"라 한다)에 대하여 적절한 관리·감독을 행하여야 한다.
② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.

3) 개인정보처리자와 개인정보취급자의 구분
➀ 개인정보처리자란 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말하는 것으로 일반적으로 기업에서는 법인 즉, 대표이사가 이에 해당된다고 할 수 있습니다.
➁ 개인정보취급자란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자를 말하는 것으로 일반적으로 임직원들의 주민번호를 관리 및 이를 이용하여 업무를 수행하는 자로써 주로 대표이사로부터 지휘· 감독을 받아 업무를 수행하는 인사,교육,총무,노무관리에 종사하는 자들이 이에 해당된다고 볼 수 있습니다. 단, 회사업무상 재무,구매 등의 타부서도 만약 임직원의 주민번호를 관리 및 취급한다면 개인정보취급자에 해당될 수 있습니다.

4) 벌칙사항
개인정보보호법 제28조(개인정보취급자에 대한 감독) ② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.라는 규정을 위반한 것에 대한 개인정보보호법 상 벌칙(벌금형,징역형,과태료 등)은 없습니다.

3. 개인정보보호법에 의한 정기교육을 받아야하는 대상

1) 인사노무 등 관련 업무수행자

➀ 개인정보보호법 제28조(개인정보취급자에 대한 감독) ② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.에 의거 개인정보처리자(법인, 대표이사)는 개인정보취급자(일반적으로 인사,교육,노무,총무 등)에 대하여 정기적으로 필요한 교육을 실시해야할 의무를 부담하고 있습니다.
➁ 따라서 사외교육기관에서 귀사에 전사원이 개인정보보호법 교육을 받으라고 팩스 또는 이메일을 발송하여 홍보한 후 해당 교육기관은 개인정보보호법 교육을 전사원 대상으로 실시한다는 핑계로 관련 교육을 실시한 후 교육 후반에 금융기관과 연계하여 금융상품홍보를 하는 경우가 발생되고 있습니다.

2) 기타업무수행자 중 주민번호 등 개인정보 취급자

회사의 업무특성상 인사,교육,총무,노사업무수행자 외에 타 부서에서도 임직원들의 주민번호 등 개인정보를 취급하는 자가 있다면 그 부서의 개인정보취급자들도 관련 교육을 받아야 할 것입니다.

4. 개인정보보호법에 의한 교육 실시방법 등

1) 관련법규

개인정보보호 교육의 시기·대상자·방법 등에 대하여 시행령, 시행규칙에는 구체적인 언급이 없으나,「인사·노무관리 업무 개인정보보호 가이드라인(안전행정부, 고용노동부)」,「개인정보보호법령 지침·고시 해설(현, 안전행정부)」에는 개인정보보호 교육에 대한 구체적인 내용이 있으며 이를 정리하면 다음과 같습니다.
➀ 개인정보보호 교육은 근로자수에 관계없이 모든 사업장에서 실시
➁ 개인정보보호 교육은 개인정보를 실질적으로 취급하는 자에 한해 실시
➂ 개인정보보호 교육은 연 1회 실시 (단, 정보통신망법을 따르는 사업장-회원가입 등 개인정보를 작성하는 홈페이지를 이용하는 사업-은 연 2회 실시)

2) 교육방법

개인정보보호 교육방법에 대한 특별한 제한은 없습니다. 일반적인 교육방법은 아래와 같습니다.
➀ 외부 전문교육기관을 강사를 초빙하거나 사업장 내 개인정보보호 관련 지식이 있는 자가 직접 강의를 하는 것도 가능 (단, 이 경우 교육증빙을 위해 별도의 교육계획서와 결과보고서를 구비해야 함)
➁ 온라인 강의를 이용하는 경우, 교육수료증을 인터넷으로 발급받을 수 있고 교육수료증을 보관하는 경우 교육증빙자료로 인정됨 (온라인 교육 적극 권장)

3) 온라인 상 개인정보보호 교육제공(수료증 포함) 사이트 : 적극추천

아래 온라인 상 개인정보보호 교육제공 사이트에 개인정보취급자들은 개별 방문하여 교육을 수료한 후 해당 수료증을 보관하고 있는 것이 가장 위호한 방법이 아닌가 사료됩니다.
➀ 개인정보보호 종합지원 포털 - http://privacy.go.kr/
➁ 개인정보보호 포털 - https://www.i-privacy.kr/

상기 온라인의 교육은 개인정보보호 종합지원 포털(http://privacy.go.kr)을 통해 교육 수강 및 수료증 발급을 받을 수 있다. 총 4개 파트(210분, 270분, 240분, 120분)로 구성돼 있으며, 1개의 파트만 수강하더라도 수료증이 발급되며, 또 개인정보보호 포털 홈페이지(http://www.i-privacy.kr)을 통해서도 교육 수강 및 수료증 발급이 가능하다. 이 경우 총 3개 파트(150분, 100분, 30분)로 구성돼 있으며, 1개의 파트만 수강하더라도 수료증이 발급됩니다.

4) 교육회수

개인정보보호법을 따르는 사업장의 경우(일반사업장) 1년에 1회 이상, 정보통신망법을 따르는 사업장의 경우(정보통신관련사업장,예:KT,SK텔레콤 등) 1년에 2회 이상을 실시해야 한다. 개인정보보호법 준수 사업장은 개인정보를 취급하는 모든 사업장을 말하며 정보통신망법 준수 사업장은 회원 가입 및 별도의 개인정보를 작성하는 홈페이지 등 정보통신망을 통해 개인정보의 송수신이 이루어지는 사업장을 말한다.

4. 결어

현재 시행중인 개인정보보호법상으로는 개인정보보호 교육 미실시로 인한 과태료나 벌칙은 없다. 하지만 개인정보 유출사고의 대부분이 개인정보보호에 대한 교육이 이뤄지지 않아 개인정보 관리 소홀로 사고가 발생하기에 사전 예방이 필요하며, 추후 개인정보 유출 사고 발생 시 안전조치 소홀로 인한 문제로 제기될 수 있다. 즉, 만약 개인정보취급자에 대한 교육을 실시하지 않고 개인정보가 유출될 경우에는 5억원 이하의 과징금이 부과되기 때문에 꼭 개인정보취급자에 대한 개인정보보호법 교육을 정기적으로 실시해야 할 것입니다. 끝.
2015. 2. 1
노무법인 두레