정부가 코로나19 상황에서도 개인정보 보호를 더 강화하기 위해 다중이용시설 출입명부 작성시 이름을 빼도록 할 방침이다.
전화번호와 주소지의 시·군·구만 적어도 되게 하는 것이다.
이용자가 방문 날짜와 이름, 전화번호 등을 직접 기입하는 수기출입명부를 사용할 때 개인정보 유출 우려가 있다는 지적에 따른 조치다.
개인정보보호위원회는 이같은 내용을 담은 '코로나19 개인정보보호 강화대책'을 마련해 11일 중대본 회의에서 보고한 후 발표했다.
이번 대책은 ▲다중이용시설 출입명부 ▲확진자 이동 경로 등 개인정보 처리에 대한 국민들의 사생활 침해 우려를 해소하기 위해 수립됐다.
■테이크아웃 시 명부 작성 면제…어르신도 이용 쉬운 출입 관리 방식 확산 추진
보호위원회는 이번 대책의 일환으로 수기출입명부는 이름을 제외하고 역학조사에 필요한 전화번호와 시·군·구만 기재하게 해 개인정보 수집을 최소화할 계획이다.
마스크를 착용하고 테이크아웃 할 경우 수기명부 작성을 면제하는 방안도 검토한다.
QR코드 사용에 어려움을 느끼는 정보취약 계층에 대해서는 전화만 걸면 방문 정보가 자동으로 기록되는 고양시 '발신자 전화번호 출입 관리 방식'을 확산하는 등 다양한 수단을 발굴해 나갈 계획이다. 고양시는 시장 방문객에게 지정된 전화번호로 전화를 걸게 해 필요한 정보를 시청 서버에 기록하고, 4주 후엔 자동 삭제하는 방식을 취하고 있다.
보호위원회는 이번 대책을 관계 당국과 협의해 추진한다. 따라서 방역 당국, 지방자치단체 등과의 협의 상태에 따라 대책 실행 시기에 차이가 있을 전망이다.
다만 윤종인 개인정보보호위원회 위원장은 "수기출입명부에서 이름을 빼는 방안은 보건복지부 중앙사고수습본부와도 실무적으로 협의한 내용"이라며 "이달 중에도 이번 조치가 시행될 곳이 있을 것으로 보인다"고 덧붙였다.
확진자 이동경로 정보 공개 시 개인식별정보 비공개와 14일의 삭제 시기가 제대로 지켜질 수 있도록 현재 중대본의 권고 지침을 개인정보보호법에 따라 의무 조항으로 해석한다는 방침도 밝혔다.
이는 법리 해석에 따라 보호위원회에서 내놓은 판단이라 법률 개정 작업 없이 바로 적용되는 정책이다. 개인정보보호법 상 최소 수집 원칙, 목적 적합성 원칙 등에 따라 중대본의 권고 지침이 법적으로 준수해야 할 의무가 있다는 것이다.
보호위원회는 지난 5월부터 네 달간 자치단체 홈페이지에서 삭제됐으나 SNS 등에 공유된 이동경로를 한국인터넷진흥원 및 자치단체 인터넷 방역단과 협업해 총 5천53건을 탐지하고, 4천555건을 삭제했다고 밝혔다. 이같은 탐지·삭제 조치는 지속 추진할 예정이다.
■"QR코드 명부는 안전"…정보 분산 보관·자동 파기
이번 대책은 보호위원회가 앞서 방역 당국과 함께 코로나19 방역 과정에서 처리되는 개인정보 관리실태를 점검한 결과에 따라 마련됐다.
실태조사 결과에 따르면 수기출입명부의 경우, 업소 규모에 따라 1~2일치 방문자 개인정보가 한 장에 기록되는 경우가 있었다. 또 별도 잠금장치나 파쇄기가 없는 업소도 발견되는 등 개인정보 유출 우려가 있는 것으로 나타났다.
QR코드 기반 전자출입명부의 경우, 시설 방문 정보와 이용자 정보가 각각 한국사회보장정보원과 네이버, 카카오, 패스 등 QR코드 발급기관에 분산 보관돼 있다.
보호위원회는 전자출입명부에 대해 확진자 발생 시에만 분리된 정보를 결합해 역학조사에 활용하고, 이용자 정보와 방문 정보는 생성 4주 후 자동적으로 파기되는 등 안전하게 관리되고 있음을 확인했다고 밝혔다.
전자출입명부 이용 건수는 총 7천215만건으로 나타났으며, 지난 6월 601만건, 7월 3천254만건, 8월 3천359만건을 기록해 최근 두 달 간 급증한 것으로 조사됐다.
확진자 이동경로 공개 관련 개인정보 보호 현황도 살폈다. 보호위원회는 지난달 24일부터 5일간 전국 243개 자치단체의 홈페이지를 전수 조사했다.
관련기사
- 네이버, ‘QR 체크인’ 첫 화면에 배치2020.09.06
- "카카오톡·패스 앱에서도 QR코드 발급, 알고 계셨나요”2020.09.07
- 코로나19 시국에 'AI 안면인식 출입시스템' 체험해보니…2020.03.18
- 코로나19 확산으로 '얼굴인식 출입관리 솔루션' 인기2020.03.09
조사 결과 일부 지방자치단체에서 중대본의 권고 지침과 달리 확진자 이동 경로에 개인을 식별할 수 있는 성별·연령·거주지(읍면동 이하) 등을 포함해 공개한 사례 349건이 확인됐다. 삭제 시기를 준수하지 않은 사례 86건 등도 있었다. 확진환자 이동 경로는 마지막 접촉자와 접촉 후 14일 경과 시 삭제해야 한다.
윤종인 개인정보보호위원회 위원장은 “방역과정에서 꼭 필요한 개인정보만 처리되고, 국민들의 소중한 개인정보가 안전하게 관리되도록 지속적으로 점검해 나가겠다”며 “보다 안심하고 사용할 수 있는 QR코드 기반 전자출입명부 이용 확대 등 코로나19 위기 극복을 위한 범정부적 대응에 힘을 보태주시길 바란다”고 말했다.