공인탐정 제도화, 개인정보보호 교육 필수…장윤기 채용비리 사건의 교훈
ISMS-P 선임심사원 백남정 박사가 장윤기 사건을 계기로 공인탐정 제도화의 필요성을 제기하며, 부패·비리 조사 시 개인정보보호와 조사윤리 교육의 중요성을 강조했다.
https://privacynews.kr/s/c27a28핵심 요약
- ISMS-P 선임심사원 백남정 박사가 장윤기 채용비리 사건을 계기로 공인탐정 제도화 필요성 제기 - 부패·비리 조사 시 개인정보보호와 조사윤리 교육이 제도화의 핵심 전제조건으로 강조 - 채용비리 조사는 공고문, 심사기준, 위원 구성, 점수 변경 등을 시계열로 정리하는 체계적 접근 필요주요 내용
ISMS-P 선임심사원(30회) 및 공학박사인 백남정 전문가가 2026년 7월, 장윤기 사건이 남긴 과제로 공인탐정 제도의 조속한 도입을 주장했다. 백 박사는 채용비리 의혹 조사 시 공고문, 심사기준, 위원 구성, 점수 변경과 결재 흐름을 시계열로 정리하는 체계적 접근이 필요하다고 설명했다.
특히 백 박사는 공인탐정 제도 도입 시 개인정보보호와 조사윤리 교육을 필수 요건으로 강조했다. 비리 조사 과정에서 불가피하게 개인정보에 접근하게 되는 만큼, 적법한 절차와 정보보호 원칙을 준수하는 것이 제도화의 전제조건이라는 것이다.
백 박사는 "공익탐정은 단순히 비리를 찾아내는 사람이 아니라 신고자가 적법하고 윤리적으로 문제를 제기할 수 있도록 돕는 역할"이라며, 공인탐정 제도가 투명성과 공정성을 높이는 사회적 안전장치로 기능해야 한다고 밝혔다.
현재 우리나라는 공인탐정 제도가 부재한 상황이며, 부패·비리 조사가 언론 보도나 시민단체 활동에 의존하고 있어 전문성과 법적 안정성이 부족한 상황이다. 백 박사의 제안은 이러한 공백을 메우기 위한 제도적 기반 마련의 필요성을 환기시킨다.
전문가 시각
ISMS-P 심사원 관점에서 볼 때, 채용비리 조사 과정에서 다뤄지는 지원자 개인정보, 심사위원 정보, 평가 점수 등은 모두 민감한 개인정보에 해당한다. 공인탐정 제도가 도입되더라도 개인정보 처리의 법적 근거(개인정보보호법 제15조), 목적 외 이용 금지(제18조), 안전성 확보조치(제29조) 등 기본 원칙이 철저히 지켜져야 한다. 특히 조사 과정에서 수집한 정보의 보관, 파기, 제3자 제공 절차가 명확히 규정되어야 제도의 신뢰성을 확보할 수 있다.
기업 입장에서도 내부 채용비리 감사나 조사 시 동일한 원칙이 적용된다. 내부감사팀이나 외부 조사기관에 자료를 제공할 때는 최소한의 정보만 제공하고, 조사 목적 달성 후 즉시 파기하도록 계약서에 명시해야 한다. ISMS-P 인증기업이라면 이러한 조사 활동도 개인정보 영향평가 대상이 될 수 있으므로, 사전에 법무·보안팀과 협의하여 적법 절차를 수립하는 것이 필수적이다.
ISMS-P 심사원 체크포인트
1. 개인정보 처리 법적 근거 및 목적 명확화 (ISMS-P 2.3.1, 개인정보보호법 제15조) - 채용비리 조사 등 특수 목적의 개인정보 처리 시 법적 근거(공익적 목적, 정당한 이익 등)를 명확히 문서화했는지 확인 - 조사 범위와 처리 목적을 사전에 정의하고, 목적 외 이용·제공이 발생하지 않도록 통제체계 수립 여부 점검 - 조사 종료 후 개인정보 파기 절차 및 파기 증명서 보관 실태 심사
2. 접근권한 관리 및 조사윤리 준수 (ISMS-P 2.6.1, 2.6.3) - 내부감사 또는 외부조사 시 개인정보 접근 권한 부여 절차의 적법성 검토 - 조사 담당자에 대한 개인정보보호 교육 이수 여부 및 비밀유지서약서 징구 확인 - 조사 과정에서 수집한 정보의 암호화, 접근로그 기록, 외부 반출 통제 등 안전성 확보조치 이행 점검
3. 개인정보 영향평가 대상 여부 판단 (ISMS-P 2.4.4, 개인정보보호법 제33조) - 대규모 채용 관련 개인정보 처리 시스템 구축·운영 시 영향평가 실시 의무 준수 여부 - 민감정보(평가점수, 심사의견 등) 처리가 포함된 조사 활동의 영향평가 필요성 검토 - 평가 결과에 따른 개선조치 이행 및 사후관리 체계 수립 확인
CPPG·ISMS-P 연계 포인트
1. 목적 외 이용·제공 제한 원칙 채용비리 조사 시 수집한 지원자 정보는 당초 채용 목적이 아닌 '조사 목적'으로 이용되므로, 개인정보보호법 제18조 제2항의 예외사유(법령 규정, 공공기관의 업무수행 등)에 해당하는지 면밀히 검토해야 한다. CPPG 시험에서는 목적 외 이용의 적법 요건(정보주체 동의, 법령 근거, 공익적 목적 등)을 묻는 문제가 자주 출제되며, 실무에서는 조사 필요성과 개인정보보호 간 균형을 찾는 것이 핵심이다.
2. 조사자·처리자에 대한 교육 및 감독 의무 공인탐정이나 내부감사팀 등 조사 주체는 개인정보 '처리위탁' 또는 '제3자 제공' 관계에 있을 수 있다. ISMS-P 인증기준 2.8.1(위탁 관리)에서는 수탁자에 대한 교육, 관리·감독, 재위탁 제한 등을 요구하며, 개인정보보호법 제26조도 동일한 의무를 규정한다. 시험에서는 위탁계약서 필수 포함사항(안전성 확보조치, 손해배상 책임 등)을 출제하므로, 조사 활동 계약 시 이를 반영해야 한다.

![[진로 탐험] 중학교2학년 대표 | 염우진 ‘바이브 코더’, AI로 에듀테크 생태계를 혁신하다… WJedulab 대표의 실전 창업 스토리](https://jrwrbsncqyzmjnehprhl.supabase.co/storage/v1/object/public/pn-images/articles/1780466504673-hq35er.jpg)

