속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

지방세 체납관리단 303명 채용, 개인정보보호 교육 의무화로 ISMS-P 심사 쟁점 부각

인천시가 지방세입 체납관리단 기간제 근로자 303명을 채용하며 개인정보보호 교육을 실시했다. 8월 전국 확대를 앞두고 제3자 위탁 관리 및 접근통제 이슈가 ISMS-P 심사 핵심 포인트로 떠올랐다.

백남정 기자
입력 2026년 7월 6일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/42d43b

핵심 요약

- 인천시가 2026년 4월 지방세입 체납관리단 기간제 근로자 303명 채용(경쟁률 2.3대 1), 8월부터 전국 확대 예정 - 채용 시 개인정보보호, 현장 조사·상담 요령 등 필수 교육 과정 운영 - 대량의 민감 개인정보 처리 기간제 근로자 관리가 ISMS-P 인증심사의 새로운 점검 영역으로 부상

주요 내용

2026년 지방자치단체의 세입 확대 정책이 개인정보보호 관점에서 새로운 이슈를 낳고 있다. 울산에 이어 인천시가 4월 지방세입 체납관리단 기간제 근로자 303명을 채용하면서, 채용 과정에 개인정보보호 교육을 필수 과정으로 편성했다. 이는 체납 관리 업무의 특성상 납세자의 성명, 주민등록번호, 재산 내역 등 민감한 개인정보를 대량으로 처리하게 되기 때문이다.

특히 주목할 점은 기간제 근로자임에도 2.3대 1의 높은 경쟁률을 기록했다는 사실이다. 이는 향후 8월 전국 확대 시 수천 명 규모의 인력이 일시에 개인정보 처리 업무에 투입될 가능성을 시사한다. 지방자치단체는 이들에게 현장 조사 및 상담 요령과 함께 개인정보보호 교육을 병행 실시하며, 법적 책임 소재와 안전한 업무 수행 절차를 명확히 하고 있다.

그러나 기간제 근로자의 특성상 짧은 계약 기간, 잦은 인력 교체, 제한적인 보안 인프라 접근 등이 개인정보 유출 위험을 높이는 요소로 작용할 수 있다. 또한 이들이 현장 조사 과정에서 수집한 정보의 저장 매체 관리, 업무 종료 후 정보 파기 절차 등이 체계적으로 관리되지 않을 경우 개인정보보호법 위반 소지가 크다.

전문가 시각

ISMS-P 심사원 관점에서 본 사안의 핵심은 '제3자 위탁 관리' 범위 설정과 '임시 인력의 접근권한 통제'다. 비록 지방자치단체 소속 기간제 근로자라 하더라도, 체납관리 업무가 별도 조직 단위로 운영되고 특정 기간 한정 계약이라는 점에서 사실상 '위탁에 준하는' 개인정보 처리로 볼 수 있다. 따라서 위탁 계약서에 준하는 개인정보 보호 서약서, 업무 범위 명시, 재위탁 금지, 손해배상 책임 등을 명문화해야 한다.

실무적으로는 기간제 근로자에게 최소 권한 원칙을 엄격히 적용하고, 모바일기기·USB 등 이동식 저장매체 사용을 원칙적으로 금지하며, 업무용 단말기는 MDM(Mobile Device Management) 등으로 중앙 통제해야 한다. 특히 계약 종료 시점의 접근권한 즉시 회수, 보유 정보 전량 파기 확인 절차가 ISMS-P 심사 시 반드시 검증되는 항목임을 명심해야 한다. 8월 전국 확대 전 표준 보안 가이드라인 마련이 시급하다.

ISMS-P 심사원 체크포인트

1. 2.8.2 (접근권한 관리): 기간제 근로자에게 부여된 개인정보 시스템 접근권한이 업무상 필요한 최소 범위로 제한되었는지, 계약 종료 즉시 권한이 자동 회수되는 기술적 통제가 구현되어 있는지 점검. 개인정보보호법 제29조(안전조치의무) 위반 여부 확인.

2. 2.10.1 (개인정보 위탁 관리): 기간제 근로자 채용이 사실상 위탁 처리에 해당하는지 법적 검토 필요. 위탁에 준하는 경우 개인정보 보호 서약서, 업무 범위 명시, 관리·감독 절차가 문서화되어 있는지 심사. 개인정보보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 준수 여부.

3. 2.9.3 (개인정보 파기): 현장 조사 시 수집한 종이 문서, 모바일 기기 내 정보, 임시 파일 등의 파기 절차가 계약 종료 시점에 실제 이행되는지 검증. 파기 확인서 징구 및 보관 여부, 개인정보보호법 제21조(개인정보의 파기) 명시된 지체 없는 파기 의무 이행 확인.

CPPG·ISMS-P 연계 포인트

개인정보 안전성 확보조치 기준(제5조 접근통제): 개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여해야 하며, 기간제·임시 인력의 경우 계약 기간 종료 즉시 권한 말소가 자동화되어야 한다. CPPG 시험에서는 '최소 권한 원칙'과 '권한 회수 절차'가 핵심 출제 포인트다.

개인정보 위탁의 법적 책임(제26조): 개인정보처리자가 제3자에게 개인정보 처리 업무를 위탁하는 경우 문서로 위탁 내용을 명시하고, 위탁받은 자가 개인정보를 안전하게 처리하는지 감독해야 한다. 기간제 근로자 활용이 '실질적 위탁'에 해당하는지 법리 해석이 ISMS-P 심사와 CPPG 사례형 문제에서 자주 다뤄지는 영역이다.

#ISMS-P#지방세체납관리#개인정보보호교육#제3자위탁#기간제근로자
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

개인정보보호뉴스 구독하기구글에서 팔로우

관련 기사

📌 함께 읽으면 좋은 기사