보험사들은 보험업의 특성상 다양하고 구체적인 개인정보를 보유하게 돼, 개인정보유출의 위험성이 크기 때문이다. 특히 개인정보법은 개인정보를 위탁한 경우 수탁업체의 과실로 개인정보가 유출되는 경우에도 위탁자의 책임을 묻도록 돼 있어 신중한 대응이 필요하다는 지적이다.
10일 한국보험학회 보험법세미나에서 발표자로 나선 동국대 김선정 교수는 이날 발표한 ‘보험자의 업무위탁과 개인정보보호’ 논문에서, “오는 9월30일 전면 시행을 앞두고 있는 개인정보보호법은 개인정보취급사업자의 개인정보 취득, 관리, 사용 등에 대한 각종 규제를 설정하고, 특히 개인정보취급사업자로부터 업무위탁을 받는 자에게도 유사한 의무를 부과하도록 규정하고 있다”고 소개했다.
실제로 개인정보보호법 26조 6항은 “수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 이 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 개인정보처리자의 소속 직원으로 본다”고 규정돼 있다.
그런데 대부분의 기업이 상품배송, AS, 콜센터, 회원모집, 마케팅, 전산관리, 노무관리 등 다양한 부문에 대해 외부 업체에 위탁하고 있고, 특히 보험사들은 모집, 건강진단, 보험가입확인 업무, 콜센터, 채권추심, 손해사정, 전산관리, 보험범죄수사, 사고처리 등 특수한 여러 분야에 걸쳐 위탁하고 있다.
따라서 26조 6항을 적용하면 보험대리점이나 손해사정업체 등의 잘못으로 개인정보가 유출된 경우에도 수탁자를 보험사의 소속직원으로 보기 때문에 보험사가 책임을 져야 한다는 것이다.
이에 대해 김선정 교수는 “보험회사의 책임을 강조한 것이지만 관련 업계에는 독소조항이 될 수도 있다는 생각이 든다”며, “앞으로 법의 시행에 따라 실제로 많은 문제가 다양하게 제기될 것으로 생각되며 관련업계의 관심과 대응이 요구된다”고 말했다. 협회차원 자율규제도 필요하다는 주장이다.
논문에 따르면, 우리나라의 경우 생명·손해보험협회 모두 개인정보보호에 대한 자율 규제가 없는 상황이다.
하지만 우리나라와 법적 규제환경이 유사한 일본을 비롯한 주요국들은 업권 내에서 1차적인 개인정보보호 가이드라인이 설정돼 있다.
특히 일본 생명보험협회의 자율규제에는 회원 각사의 사업경영 및 임직원의 업무수행에 있어서 준수해야 할 기본적 방침을 ‘행동규범’으로 정하고, ‘행동규범’ 또는 관련법령에서 정한 개별과제에 대해 회원 각사가 준수할 개별ㆍ구체적 사항을 정리한 ‘지침’, 회원각사가 적절한 경영을 하도록 구체적인 실무취급 등을 참고로 정리한 ‘가이드라인’ 등이 있다.
행동규범은 △‘고객의 생명ㆍ신체ㆍ재산 등에 관한 중요한 개인정보를 취급하고 있음을 인식해 고객이 안심하고 정보를 제공할 수 있도록 하고 고객정보를 적정하게 취급하고 아울러 보호를 철저하게 한다’ △‘각종거래를 통하여 얻은 기업ㆍ단체 등의 정보에 대하여도 중요성을 인식하여 적정하게 취급하고 아울러 보호를 철저하게 한다’ △‘개인정보에 대하여는 개인정보보호법과 금융청 및 협회가 정한 가이드라인, 지침 등의 법령ㆍ규정 등에 기하여 적정히 취급한다’ 등 세 가지다.
한편 이날 세미나에는 공무원연금관리공단의 마승렬 박사가 ‘자동자보험 상실수익의 지급방법의 합리화 방안’이라는 주제로, CM병원 이도영 원장이 ‘맥브라이드 장애기준의 이해’라는 주제로 각각 발표했으며, 대구대 이윤호 교수와 전주대 김상원 교수가 토론에 참여했다.
최광호 기자 ho@fntimes.com