개인정보보호, 소프트웨어 정책
서민자녀교육지원 여민동락 사이트 개인정보보호법 총체적 미준수
행정자치부 개인정보보호 공공기관 평가 올해 우수기관 선정 논란 후 저희 정보화사회실천연합이 경남도의 몇몇 사이트의 개인정보보호법 준수 여부를 모니터링을 하였습니다.
2016년11월24일 모니터링 결과 경남도의 여민동락 사이트는 한마디로 개인정보보호에 대하여 전혀 고려하지 않고 운영하고 있다고 볼 수 있다.
경상남도가 도민의 서민자녀교육을 지원하는 교육바우처 사업 사이트인 “브라보 경남 여민동락(http://www.ymdr.kr)”는 2015년4월 부터 운영하여, 2016년 현재 해당사업에 신청한 8만9천의 도민의 개인정보를 관리하고 있다.
서민자녀 교육지원을 받기 위해서는 아래와 같이 개인정보를 포함한 여민동락 신용카드 등록을 통하여 해당 지원금을 사용할 수 있다
그러나 해당 사이트는 개인정보의 취급 시 기본적인 고지사항인 개인정보처리방침의 미 고지, 교육바우처 이용을 위한 여민동락 신용카드를 등록하는 과정에서도 어떠한 동의절차도 없이 이루어지고 있으며, 개인정보의 안전한 보호를 위하여 비밀번호는 반드시 암호화하여 전송하도록 한 기본적인 안전성확보조치도 취지 않으며 해당 사이트를 운영하고 있었다.
<개인정보처리방침 미고지 화면, 일반적으로 화면 하단에 고지>
*) 검증용 비밀번호 “pwd1124″가 육안으로 보이면 암호화처리를 하지않고 정보를 전송하는 행위로 이는 스니핑(Sniffing : 네트워크상에 흘러다니는 트래픽을 도청하는 행위)에 의하여 개인정보가 유출될 수 있음.
<개인정보의 안전성확보조치 미준수 화면 >
위 내용들은 개인정보보호법 제22조(동의를 받는 방법), 제29조(안전조치의무), 제30조(개인정보 처리방침의 수립 및 공개)를 미 준수한 사항으로 해당 내용의 미 준수는 모두 과태료 처분 대상이다.
이렇게 부실한 사이트가 있음에도 이를 파악도 못하고 “공공기관의 개인정보보호 평가”에서 경남도가 우수기관이라고 스스로 운운하는 것은 개인정보보호가 소속기관의 홍보를 위한 수단으로만 생각하고 있는 게 아닌가 하는 의구심 이들 정도다.
특히 저희 단체가 그 동안 수많은 기관을 모니터링 해왔지만 “브라보 경남 여민동락(http://www.ymdr.kr)”와 같이 미 준수 사항이 많은 곳은 처음이다.