PrivacyNews
전체개인정보보호법령·정책ISMS-P🔴 침해사고AIPET·신기술DR·재해복구💼 취업·진로칼럼관리자
속보
개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망개보위, 개인정보 보호 우수기업 신청 접수 시작NVD, CVSS 4.0 전환 완료 — 기존 CVSS 3.x 병행 표기 종료EU AI Act 고위험 AI 분류기준 변경 예고 — 국내 영향 분석BCP·DR 인증 의무화 논의 가속 — 금융·의료 분야 선적용 전망
ISMS-PAI 초안

개인정보 보호 명목 자료 미제출, ISMS-P 심사 시각에서 본 문제점

4인 조직이 1년간 6회 채용을 진행하면서 핵심 노무 자료를 '개인정보 보호'를 이유로 제출하지 않은 사례. 개인정보 보호 원칙의 오용 가능성을 ISMS-P 관점에서 분석한다.

백남정 기자
입력 2026년 6월 18일·원문 보기 ↗
단축URLhttps://privacynews.kr/s/7432d8

핵심 요약

- 4인 조직이 1년간 6회 채용 공고를 진행하는 비정상적 인사 운영 사례 발생 - 근로계약서, 임금 테이블 등 핵심 노무 자료를 '개인정보 보호'를 명목으로 제출 거부 - 개인정보 보호 원칙이 정보공개 회피 수단으로 오용될 가능성에 대한 우려 제기

주요 내용

정민경 의원이 공개한 자료에 따르면, 2025년 수탁 운영을 시작한 4인 규모 조직이 1년 동안 6회의 채용 공고를 진행한 것으로 나타났다. 조직 규모 대비 비정상적으로 높은 채용 빈도는 인사 운영의 안정성과 투명성에 대한 의문을 제기한다.

더욱 주목할 점은 해당 조직이 근로계약서, 임금 테이블, 고용승계 결과, 퇴사자 사유 등 인사 운영의 적정성을 검증할 수 있는 핵심 노무 자료를 '개인정보 보호'를 이유로 제출하지 않았다는 사실이다. 개인정보 보호는 중요한 법적 원칙이지만, 이를 조직 운영의 투명성 확보를 회피하는 수단으로 사용하는 것은 적절하지 않다.

개인정보보호법 제18조는 개인정보의 목적 외 이용·제공 시 법령에 따른 경우를 예외로 규정하고 있으며, 공공기관의 정보공개에 관한 법률 역시 공익적 정보공개 의무를 명시하고 있다. 특히 개인을 식별할 수 없도록 비식별화 처리한 통계 형태의 노무 자료는 개인정보에 해당하지 않으므로, 이를 '개인정보 보호'를 이유로 제출 거부하는 것은 법리적으로 타당하지 않다.

개인정보 보호 담당자는 개인정보 보호와 정보공개 의무 간의 균형점을 찾아야 한다. 무분별한 개인정보 보호 명목의 정보 차단은 오히려 조직의 신뢰성을 저하시키고, 개인정보 보호 제도 전반에 대한 부정적 인식을 초래할 수 있다.

전문가 시각

ISMS-P 인증심사 실무에서 가장 빈번하게 발생하는 오류 중 하나가 바로 '과도한 개인정보 보호'의 명목으로 필요한 정보 공개나 내부 감사를 거부하는 사례다. 개인정보 보호는 분명 중요한 가치이지만, 이것이 조직의 투명성, 책임성을 회피하는 수단이 되어서는 안 된다. 특히 공공성이 요구되는 조직의 경우, 개인식별정보를 제외한 집계 데이터나 정책 문서는 당연히 공개 대상이다.

본 사례에서 요구된 임금 테이블, 고용승계 결과, 퇴사 사유 통계 등은 개인을 식별할 수 없는 형태로 가공하여 제공하는 것이 원칙이다. 만약 ISMS-P 인증심사 과정에서 이러한 방식으로 자료 제출을 거부한다면, 이는 개인정보 보호 체계의 적정성이 아니라 오히려 개인정보 보호 원칙의 '오용'으로 판단될 수 있으며, 경영진의 개인정보 보호 이해도 부족으로 지적될 가능성이 높다.

ISMS-P 심사원 체크포인트

1. 인증기준 2.3.2 (개인정보 보호 조직) 및 2.9.1 (인적 보안) - 인사 관리 프로세스의 투명성과 문서화 여부를 점검한다. 특히 채용, 퇴사, 권한 변경 등 주요 인사 이벤트에 대한 기록 관리 및 승인 체계가 적정하게 운영되는지 확인한다. - 비정상적으로 높은 이직률은 내부 정보보호 통제의 연속성을 저해하는 요소로, 이에 대한 원인 분석 및 개선 조치 계획을 요구한다. - 개인정보보호법 제28조(개인정보취급자에 대한 감독)에 따라 개인정보취급자 관리 대장, 교육 이력, 서약서 등이 적절히 관리되어야 한다.

2. 인증기준 2.1.4 (법적 요구사항 준수) - 개인정보보호법과 정보공개법 간 상충 시 적절한 법령 해석 및 적용 능력을 평가한다. - 개인정보보호법 제18조(개인정보의 목적 외 이용·제공 제한) 제2항 제7호는 "공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우"를 목적 외 이용의 예외로 규정하고 있어, 감독기관의 적법한 자료 요구는 이에 해당한다. - 개인정보 비식별 조치 가이드라인에 따라 통계 정보, 정책 문서 등은 비식별 처리 후 제공 가능하며, 이를 일괄 거부하는 것은 법령 이해 부족으로 판단된다.

3. 인증기준 2.2.3 (개인정보 보호 교육) - 경영진 및 개인정보 보호책임자가 개인정보 보호의 원칙과 예외 사항, 타 법령과의 관계를 정확히 이해하고 있는지 점검한다. - 개인정보 보호를 명목으로 한 부적절한 정보 차단은 오히려 조직의 ISMS-P 인증 적격성에 부정적 영향을 미칠 수 있음을 인지해야 한다.

CPPG·ISMS-P 연계 포인트

개인정보의 목적 외 이용·제공 예외 사유 (개인정보보호법 제18조) 개인정보보호법은 원칙적으로 목적 외 이용을 금지하지만, 법령에 따른 경우, 공공기관의 소관 업무 수행을 위해 불가피한 경우 등 9가지 예외를 규정한다. CPPG 시험에서는 이러한 예외 사유의 구체적 적용 사례를 묻는 문제가 출제되며, 특히 '법령상 의무'와 '개인정보 보호'가 충돌하는 상황에서의 적절한 판단 능력을 평가한다.

비식별 조치와 통계 정보 (개인정보 비식별 조치 가이드라인) 개인을 식별할 수 없도록 처리된 정보는 개인정보보호법의 적용 대상이 아니다. 임금 테이블, 퇴사율 통계 등은 개인 식별요소를 제거한 집계 형태로 제공 시 개인정보에 해당하지 않는다. ISMS-P 심사에서는 조직이 비식별 조치 기준을 정확히 이해하고 적용하는지를 중점적으로 확인하며, 이는 인증기준 2.5.3(가명·익명처리)과 직접 연계된다.

#ISMS-P#개인정보보호#노무관리#정보공개#개인정보오남용
백남정 기자

개인정보보호 전문 미디어 PrivacyNews 기고

ISMS-P 기사 더 보기 →

관련 기사

📌 함께 읽으면 좋은 기사

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화
PET·신기술

과기정통부, 2026년도 데이터거래사 교육 신청 공고…데이터 전문 인력 양성 본격화

2026년 6월 19일
[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리
인공지능

[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리

2026년 6월 3일
공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”
취업·진로

공모전·대외활동·해커톤 정보 모음 앱 ‘kkeul’ 출시… “정보 탐색 피로감 줄인다”

2026년 6월 7일
[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최
개인정보보호

[보도자료] 디지털기술융합협회 백남정 회장, 인천시교육청서 ‘교육현장을 노리는 AI 보안 위협과 개인정보보호’ 특별 강연 개최

2026년 5월 22일