고양시여성창업지원센터 '개인정보 보호' 명목 정보공개 거부 논란…비식별조치 후 공개 가능

핵심 요약

- 고양시여성창업지원센터가 의회 자료 요청에 '개인정보 보호'를 명목으로 공개 거부 - 주민등록번호 등 개인정보는 비식별 처리 후 제출 가능한 자료임에도 불구하고 과도한 보호 조치 - 개인정보 보호와 정보공개 요구 사이의 균형점 모색 필요성 대두

주요 내용

고양시의회 정민경 의원이 고양시여성창업지원센터의 투명성과 고용 관련 문제를 제기하면서, 센터 측이 '개인정보 보호'를 이유로 자료 제출을 거부한 사례가 논란이 되고 있다. 현재 센터장을 포함해 4명이 근무하는 동 센터는 6차례에 걸친 채용 공고를 진행한 것으로 확인됐다.

문제의 핵심은 요청된 자료가 주민등록번호 등 민감한 개인정보를 포함하고 있더라도 비식별 처리를 통해 충분히 제출 가능한 성격의 자료였다는 점이다. 비식별 조치는 개인정보 보호법에서 인정하는 정당한 정보 활용 방법으로, 특정 개인을 식별할 수 없도록 가공하면 정보의 공익적 활용이 가능하다.

이번 사례는 공공기관이 '개인정보 보호'라는 명분을 내세워 정보공개를 과도하게 제한하는 현상을 보여준다. 개인정보보호법 제58조는 공공기관의 정보공개 시 개인정보 보호와 공공의 이익을 균형있게 고려하도록 규정하고 있으며, 필요시 가명처리나 비식별 조치를 통한 정보 제공을 허용하고 있다.

특히 공공기관의 투명성과 책임성 확보는 민주주의의 기본 원칙이며, 단순히 개인정보가 포함되어 있다는 이유만으로 모든 정보공개를 거부하는 것은 법 취지에 부합하지 않는다. 적절한 비식별 조치를 통해 개인의 프라이버시를 보호하면서도 공공의 알 권리와 감시 기능을 충족시킬 수 있는 방안이 존재한다.

전문가 시각

ISMS-P 심사 현장에서도 유사한 사례가 빈번하게 발견된다. 일부 조직은 개인정보 보호를 지나치게 경직되게 해석하여, 정당한 업무 목적이나 법적 요구에도 불구하고 무조건적인 정보 제공 거부로 대응하는 경향이 있다. 이는 개인정보 보호의 본질을 오해한 것으로, 오히려 조직의 투명성과 신뢰도를 저하시키는 역효과를 낳는다.

개인정보 보호법 제18조(개인정보의 목적 외 이용·제공 제한) 제2항 각호는 법률에 특별한 규정이 있거나 공공기관이 법령 등에서 정하는 소관 업무 수행을 위해 불가피한 경우 등을 예외 사유로 규정하고 있다. 또한 제58조의2는 가명정보의 처리를 통한 통계작성, 연구, 공익적 기록보존 목적의 활용을 명시적으로 허용한다. 따라서 공공기관은 비식별·가명처리 등 기술적 조치를 통해 개인정보 보호와 정보공개 의무를 동시에 충족시켜야 한다.

ISMS-P 심사원 체크포인트

1. 개인정보 제공 및 목적 외 이용 관리 (ISMS-P 3.3.4) - 심사 시 개인정보의 목적 외 이용·제공 시 법적 근거 및 비식별 조치 이행 여부를 중점 점검 - 개인정보 보호법 제18조(목적 외 이용·제공 제한) 제2항 제7호: 공공기관이 법령 등에서 정하는 소관 업무 수행을 위해 불가피한 경우 - 정보공개청구나 의회 자료 요구 시 무조건 거부보다는 비식별·가명처리 후 제공 가능성을 우선 검토했는지 확인 - 개인정보 영향평가 시 정보공개 요구와 개인정보 보호의 균형점을 고려한 절차 수립 여부 평가

2. 비식별·가명정보 처리 기준 (ISMS-P 3.3.6) - 조직이 비식별 조치 또는 가명처리 절차와 기준을 명확히 수립·운영하고 있는지 점검 - 개인정보 보호법 제58조의2(가명정보의 처리 등): 통계작성, 과학적 연구, 공익적 기록보존 등의 목적으로 가명정보 처리 가능 - 「개인정보 비식별 조치 가이드라인」(개인정보보호위원회)에 따른 비식별 조치 적정성 검토 프로세스 존재 여부 - 공공기관의 경우 「공공기관의 정보공개에 관한 법률」 제9조 제1항 제6호(개인정보 보호)와 제2항(공익상 필요 시 공개) 간 균형 판단 기준 마련 여부

3. 개인정보 보호 교육 및 인식 (ISMS-P 3.1.4) - 임직원이 개인정보 보호의 원칙을 과도하게 또는 소극적으로 해석하지 않도록 실무 중심 교육 실시 여부 - '개인정보 보호'를 업무 회피나 투명성 저해 수단으로 오용하는 사례 방지를 위한 내부 가이드라인 존재 여부 - 정보공개 담당자와 개인정보보호 담당자 간 협의 체계 구축 및 사례별 판단 기준 문서화 여부

CPPG·ISMS-P 연계 포인트

1. 비식별 조치 vs 가명처리 - 비식별 조치: 개인정보의 일부 또는 전부를 삭제·대체하여 특정 개인을 알아볼 수 없도록 하는 조치(가이드라인 기준). 4단계 절차(사전검토→비식별 조치→적정성 평가→사후관리) 수행 - 가명처리: 개인정보 보호법 제2조 제1호의2에 법적으로 정의된 개념으로, 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것. 통계·연구·공익 목적 시 정보주체 동의 없이 처리 가능(제58조의2) - 시험 출제 포인트: 두 개념의 법적 근거 차이, 적용 목적, 처리 가능 범위 구분

2. 정보공개 청구와 개인정보 보호의 충돌 - 「공공기관의 정보공개에 관한 법률」 제9조 제1항 제6호는 개인정보를 비공개 대상으로 규정하나, 제2항은 공공의 이익을 위해 필요 시 공개 가능하도록 예외 인정 - 개인정보 보호법 제18조 제2항 제3호(법률 특별 규정), 제7호(공공기관 소관 업무) 등이 정보공개 법적 근거로 작용 가능 - 실무 적용: 단순 거부보다는 ①비공개 대상 정보 최소화 ②비식별·가명처리 ③부분공개 등 단계적 검토 필요