대학에서의 개인정보 보호 실태 직권조사

1. 직권조사 개요 가. 조사 결정 국가인권위원회는 위원회에 접수된 진정사건(04진인3031)과 관련 하여 대학 정보시스템 운용과정에서 개인정보가 적절히 보호되지 못하고 있다고 판단하고, 2004. 10. 12. 국가인권위원회법 제30조 제3항의 규정에 따라 각 지역별 대표적 국립대학을 임의로 선정하여 직권조사를 실시 하기로 결정하였다. 나. 대학구성원의 정보인권의식에 대한 설문조사 병행 국가인권위원회는 각 대학 정보시스템 운용에 있어서의 정보 인권 침해에 대한 직권조사와 함께, ○○대학교 ○○○교수의 자문을 받아 조사대상 대학 구성원(교수.직원.조교.학생) 1,100명을 대상으로 "정보 인권의식에 대한 설문조사"를 병행하였다. 2. 정보인권보호 기준 가. 법적 근거 공공기관의 개인정보 보호에 관한 법률 나. 국제 기준 OECD 「프라이버시보호 및 개인정보의 국제적 유통에 관한 가이드라인」 * 1980년 회원국에게 제시된 것으로, 수집제한의 원칙, 정보정확성의 원칙, 목적 구체성의 원칙, 이용 제한의 원칙 등 8대 원칙을 규정 다. 주요 일반 준칙 1) 수집제한의 원칙 ; 개인의 기본적 인권을 침해할 우려가 있는 정 보는 수집 자체가 금지되며, 정보주체의 사전 동의나 법률에 의해서만 수집을 허용 2) 이용제한의 원칙 ; 사전에 공시된 보유 목적이 아닌 다른 목적으 로 개인 정보를 이용 또는 제공하는 행위 금지 3) 정보주체의 권리 보장 ; 자기정보에 대한 열람.정정 요구권을 보장하고, 이와 관련한 공공기관의 처분으로 권리.이익을 침해당할 경우 행정심판 등으로 구제 3. 조사결과 인정된 사실 가. 대학정보시스템상의 개인정보 자료 1) 기본인적사항 ; 주민등록번호 및 주소(보호자 포함), 학번, 전공 등 2) 성적사항 ; 전 학년 과목별 성적 3) 기타사항 ; 출신학교, 상벌내용, 장학 및 유급사항 등 나. 각 대학의 학생(재학생 및 졸업생)정보 접근 권한 관리 허술 1) 일반현황 및 조사기준 : 대학의 정보시스템은 각 대학별로 구축 되므로 각기 다양한 형태를 갖지만, 기본적으로 그 개발 목적이 학사 행정과 교육행정을 위한 것으로, 각 행정부처별 홈페이지의 경우처럼 서로 유사성을 갖고 있으며, 어느 대학이나 대학전산센터의 관리자 ID 로 조회할 경우(학적총괄조회 등) 시스템 내에 집적된 재학생 및 졸업 생 등 모든 개인정보를 열람할 수 있다. 그러나, 이러한 개인정보는 "공공기관의 개인정보 보호에 관한 법률" 등 정보인권 준칙에 따라 교수, 조교, 직원 등 대학 구성원들이 각각 정보이용 목적이나 필요성 등을 기준으로 접근 권한을 제한하여야 한다. 2) 개인정보를 전면적으로 열람토록 허용한 사례 (→○○대학교,○○대학교,○○대학교,○○대학교,○○대학교) 교수, 조교, 행정직원의 ID로 정보시스템에 접속할 경우, 학과를 불문하고 재학생 및 졸업생의 주민등록번호, 주소, 보호자, 과목별 성적 등의 개인정보를 열람할 수 있도록 허용하였다. 3) 사실상 대부분의 개인정보를 열람토록 한 사례 (→○○대학교,○○대학교,○○대학교) 교수, 조교, 행정직원에게 모든 개인정보 열람을 허용하진 않았 지만, 학과별 관리ID를 부여하고 조교 등이 사용(정보접근 부여 기준 이나 별도의 관리대책 불비)하도록 하여 사실상 대부분의 개인정보를 열람할 수 있도록 허용하였다. 4) 통제적 방법에 의한 대학구성원 개인정보 보호 사례 (→○○대학교,○○대학교,○○대학교) 예컨대, ○○대학교 정보시스템의 경우, 행정용, 교수용, 학생용 으로 분리되어 있었으며, 행정용은 업무관련성이 있는 직원(학적과 등) 에게만 총괄조회를 허용하고, 교수용은 성적입력 등 해당학과 학사 업무와 연구관련 사항만 이용이 가능하였으며, 조교용은 학생용 시스템을 통하여 해당학과 학생의 학번을 입력하여야만 학생정보가 조회 가능 하였다. 다. 대학당국의 개인정보 보호노력 미흡 1) 각 대학은 관련법규에 따라 개인정보 보호책임자(총괄, 단과대 학별 등)를 지정하고 관계직원에 대한 교육을 시행한 실적은 있었으나, 「외부의 바이러스나 해킹에 대한 보안」등이 주요 관심대상이었을 뿐, 정보인권 의식을 제고하는 실효성있는 교육을 시행한 대학은 거의 없었으며, 2) 입학(또는 입사)관련 서류로 시작되는 각종 개인정보가 축적. 이용되고 있었지만 해당 정보의 수집목적이 타당한지, 수집목적에 따라 이용되고 있는지, 개인정보 접근권한 부여기준은 무엇인지 등에 대한 실태 파악 및 개선이나 대학구성원의 공감대를 형성하기 위한 노력은 미약했던 것으로 파악되었다. 라. 기타 개인정보보호와 관련된 문제점 1) 이번 조사과정에서 각 대학은 시중은행 등과 협조하여 이른바 "스마트카드"를 제작하여 학생증의 기능과 함께 식당이나 도서관 이용, 건물 출입 등에 이용할 수 있도록 하고 있었는데, 주민등록번호.학과. 취미 등의 개인정보까지 민간기업에 그대로 제공될 수 있다는 점에서 사생활 침해가 우려되었다. 2) 또한, 대학내 인력감축을 위한 무인경비시스템 도입에 대하여도 학교내에서의 이용자 동선이 경비회사에 그대로 제공되므로 개인정보 보호대책을 마련한 후 시행되어야 한다는 지적이 있었다. 3) 이러한 문제들은 이번 조사대상에서 제외되었으나, 관련 부처 및 대학 당국이 전문가들과 함께 문제점 해소를 위해 노력해야 할 것 으로 판단되었다. 4. 대학구성원의 정보인권 의식 설문조사 1) 결과 가. 대학인들의 정보인권 의식 미흡 1) 대학인들은 학교 당국에 의해 자신의 개인정보가 언제(부정 응답 56.0%), 어떤 목적(부정 응답 61.5%)으로 수집되고, 어떻게 이용(부정 응답 72.8%)되는지를 잘 모르고 있었고, 2) 스스로도 타인의 개인정보를 열람한 경험이 상당수(23.1%)있었으며, 3) 개인정보가 부정확하거나 부당하게 이용될 경우 이의제기.정정. 수정 등을 요구할 수 있는 권리를 인식(67.2%)하고는 있었으나, 이를 행사하는 경우는 소수(자기정보 정정요구 32.4%)에 불과하였다. 4) 조사대상 대학 구성원들의 정보인권 의식은 수동적이며 관념적인 수준에 머무르고 있는 것으로 평가된다. 1) 본 설문조사는 20XX년 XX월 XX일부터 XX일까지 조사대상 각 대학별로 할당 표집방식을 통해 교직원 XX명, 학생 XX명을 추출하여 실시되었으며, 최종적으로 XXXX명의 응답자가 분석에 포함되었음.(○○ 대학교 ○○○ 교수팀) 나. 대학당국의 개인정보 보호정책 취약 1) 각 대학당국은 정보주체들에게 개인정보를 수집할 때 정보주체 의 동의나 고지 의무를 다하지 않고(부정 응답 49.9%, 잘 모르겠다 29.8%) 있으며, 2) 수집 목적에 대해서도 분명한 고지가 없었다는 의견(부정 응답 56.4%, 잘 모르겠다 28.4%)이 많았고, 개인정보 D/B의 개발, 운영 및 정책 등에 대하여 적극적으로 고지하거나 동의를 구하지 않고 있다고 생각(부정 응답 45.5%, 잘 모르겠음 42.6%)하는 것으로 나타났다. 3) 대학당국이 대학인의 개인정보를 수집·이용하는데 있어 개인 정보보호의 원칙들을 제대로 준수하지 않고 있는 것으로 평가된다. 다. 개인정보관리에 있어서 대학당국에 대한 낮은 신뢰 1) 조사대상 대학의 구성원들은 대학당국이 이미 축적된 개인정보 를 임의로 수집목적 이외의 용도에 이용(부정 응답 21.7%, 잘 모르겠음 51.0%)하고 있으며, 2) 대학당국의 개인정보 보호 장치가 허술(부정 응답 36.0%, 잘 모 르겠음 43.5%)하다고 생각하고 있는 것으로 나타났다. 3) 개인정보보호의 측면에서 대학당국은 대학인들의 신뢰를 충분히 확보하지 못하고 있는 것으로 평가된다. 라. 대학인들의 정보인권 향상 방안에 대한 의견 1) 각 대학의 교직원들은 절반가량이 현재 소속 대학교가 정보 취급자에 대해 개인정보보호에 대한 윤리의식 확립, 관계법령에 의한 정보화일별 처리절차, 개인정보 보호에 관한 사례 및 그 결과에 대한 교육을 실시(정기적 실시 5.2%, 가끔 실시 42.1%)하고 있다고 답변하였으나, 2) 절대 다수의 대학인들은 교직원이나 조교에 대한 개인정보 보호 관련 교육이 필요 하다고 생각(그렇다 48.2%, 매우 그렇다 37.3%)하고 있었다. 5. 결론 가. 우리나라의 정보화산업은 다른 나라에 비해 그 성장속도가 빨라서 정보통신부가 한국인터넷진흥원을 통해 실시한 "2004하반기 정보화실태조사" 결과에 따르면 전체 국민의 70.2%에 해당하는 3천1백 5십8만여명이 인터넷을 이용하고 있다. 나. 그러나 개인정보보호에 대한 사회일반의 인식은 아직 낮은 수준에 머물고 있어서 지난해 개인정보 피해 구제신청이 전년에 비해 43.2%가 증가(개인정보 분쟁조정위원회 발표)한 것으로 나타났으며, 금년에 들어서만도 연예인 X파일 인터넷 유출, 졸업 앨범 제작업자에 의한 초.중.고교생 약 100여만명의 개인정보 유출 등 관련 사건이 끊이지 않고 있는 실정이다. 다. 한편, 공공기관이나 기업의 경우와 마찬가지로 대학의 전산시 스템에 있어서도 일반사용자보다는 시스템 개발자나 운영자 등 전문 인력의 문제의식이 개인의 "정보인권" 보호에 큰 영향을 미치고 있는 것으로 확인되었으며, 이렇게 볼 때 대학은 학생들에게 ① 정보인권에 대한 인식을 명확히 형성하여 스스로 사생활 침해를 당하지 않을 수 있도록 하는 한편, ② 장차 사회에 나가 전문직업인으로 활동하면서 타인의 개인 정보를 보호해야 할 책임의식도 아울러 형성할 수 있도록 교육해야 할 것이다. 그럼에도 불구하고 이번 조사결과, 대학구성원들의 정보인권 의식과 각 대학의 개인정보 보호 실태는 우려할 만한 상황 이었다. 라. 이와같은 이유로 국가인권위원회법 제44조 제1항에 따라 주문과 같이 결정한다.