공공기관·지자체 개인정보보호법 완전 가이드

공공기관과 지방자치단체는 민간 기업보다 훨씬 방대한 개인정보를 처리하지만, 동시에 더 강화된 PIPA 의무를 부담합니다. 민원 처리, 복지 서비스, 보조금 지원, 공공 CCTV 운영 등 각 업무 영역별로 적용 기준이 다릅니다.

1. 공공기관의 특수한 법적 지위

공공기관 PIPA 추가 의무

공공기관은 민간 기업에는 없는 추가 의무를 집니다.

| 의무 | 내용 | |------|------| | 개인정보 영향평가 | 일정 규모 이상 시스템 구축·변경 시 의무 실시 | | 개인정보 보호책임자 지정 | 모든 공공기관 의무 | | 개인정보 처리방침 공개 | 기관 홈페이지 의무 게시 | | 행정안전부 등록·신고 | 대규모 처리 시스템 등록 의무 |

법령에 의한 처리 vs 동의 기반 처리

공공기관은 법령 근거로 동의 없이 개인정보를 처리하는 경우가 많습니다. 단, 법령 근거가 있더라도 목적 범위 초과 활용은 금지됩니다.

예시:
✅ 주민등록법에 따라 주민등록 정보 처리 → 법령 근거 있음
❌ 주민등록 정보를 관광 홍보 대상자 추출에 활용 → 목적 외 이용

2. 민원 처리

민원 수집 정보

| 항목 | 처리 근거 | 보관 기간 | |------|-----------|-----------| | 성명, 주소, 연락처 | 민원처리법 | 처리 완결 후 3년 | | 민원 내용 | 민원처리법 | 3년 | | 증거 서류 (사진 등) | 처리 목적 | 처리 완결 후 파기 | | 민원인 신분증 | 본인 확인 목적 | 확인 후 즉시 파기 |

민원인 정보 유출 방지

민원 담당자가 민원인 정보를 민원과 무관한 목적으로 조회하거나 외부에 누설하는 것은 PIPA 위반입니다. 내부 시스템 접근 로그를 주기적으로 점검해야 합니다.

제3자 연루 민원

이웃 분쟁, 소음 민원 등 타인의 정보가 포함된 민원:

• 상대방(피민원인) 정보는 민원 처리 목적으로만 사용
• 민원인에게 상대방의 개인정보(주소, 연락처)를 무단 제공하는 것은 PIPA 위반

3. 복지 서비스·보조금 지원

수급 자격 조사

기초생활수급자, 장애인 지원, 노인 돌봄 등 복지 서비스 신청 시:

• 소득·재산 조사: 사회보장기본법 등 법령 근거 — 동의 없이 수집 가능
• 건강 상태, 장애 유형: 민감정보 — 법령 근거로 수집 가능하나 목적 외 활용 금지
• 가족 구성원 정보: 수급 판정에 필요한 범위로 한정

부처 간 정보 공유

복지 급여 중복 수급 방지, 위기 가구 발굴 등을 위해 여러 기관이 정보를 공유하는 경우:

• 사회보장정보원 등 법령에 근거한 시스템 연계: 허용
• 법령 근거 없는 임의 정보 공유: 금지
• 정보 공유 대상·범위·기간을 해당 기관 처리방침에 공개 의무

4. 공공 CCTV 관제

지자체 방범 CCTV·교통 CCTV는 개인정보보호법과 함께 CCTV 설치·운영 지침이 적용됩니다.

설치 요건

• 범죄 예방, 교통 단속, 시설 안전 등 법령상 목적 명시
• 개인정보 영향평가 실시 의무 (일정 규모 이상)
• 안내판: 설치 목적, 촬영 범위, 관리 기관, 관리자 연락처 명시

보관 및 접근

| 항목 | 기준 | |------|------| | 보관 기간 | 30일 이상 (일반), 사건 발생 시 연장 | | 열람 권한 | 관제 담당자·보안 부서에 한정 | | 외부 열람 요청 | 수사기관: 법령 근거 / 일반 시민: 본인 관련 영상만 | | 영상 전송 | 암호화 전송 의무 |

AI CCTV·안면인식

일부 지자체가 도입하는 AI 기반 CCTV(이상 행동 감지, 안면인식):

• 개인정보 영향평가 의무 실시
• 안면인식 기능 사용 시 별도 공청회·주민 의견 수렴 절차 필요
• 개인정보보호위원회 사전 협의 권장

5. 공공 데이터 개방

공공기관이 데이터를 외부에 개방할 때:

비식별 처리 의무

개인정보가 포함된 공공 데이터는 가명처리 또는 익명처리 후 개방:

개방 전 체크리스트:
□ 직접 식별자 제거 (이름, 주민번호, 주소)
□ 준식별자 위험 평가 (나이+직업+거주지역 조합)
□ 재식별 가능성 테스트
□ 개인정보 보호책임자 승인
□ 처리 결과 기록 보관

데이터 연구·분석 제공

학술 연구기관, 통계청 등에 데이터를 제공하는 경우:

• 가명처리 후 제공: 연구 목적으로 허용
• 결합 전문기관을 통한 데이터 결합: 법령 근거 있는 경우 허용
• 원시 데이터 제공: 엄격히 제한 — 공익 목적 + 위원회 승인 필요

6. 개인정보 영향평가 의무

공공기관이 새로운 정보 시스템을 구축하거나 기존 시스템을 대폭 변경하는 경우:

영향평가 대상

• 5만 명 이상 민감정보 처리 시스템
• 50만 명 이상 개인정보 처리 시스템
• 기존 시스템의 중요 변경 (처리 목적 변경, 타 시스템 연계 등)

영향평가 절차

1. 영향평가 기관 선정 (행안부 지정 기관)
2. 평가 실시 (침해 위험 요인 분석)
3. 개선 계획 수립
4. 개인정보보호위원회 제출
5. 개선 조치 이행

7. 직원 교육 및 내부 관리

공무원 PIPA 교육 의무

모든 공무원·공공기관 직원은 연 1회 이상 개인정보 보호 교육을 이수해야 합니다.

내부 관리 계획

공공기관은 개인정보 내부 관리 계획을 수립·시행해야 합니다.

필수 포함 항목:

• 개인정보 보호 조직 및 책임자
• 개인정보 처리 현황
• 안전성 확보 조치 기준
• 개인정보 침해 대응 절차
• 교육 계획

8. 개인정보 침해 사고 대응

공공기관의 개인정보 유출 사고는 민간보다 더 강력한 제재를 받을 수 있습니다.

• 1,000명 이상 유출: 개인정보보호위원회 72시간 내 신고 + 감사원 보고 가능성
• 언론 공개 의무: 정보공개법에 따른 정보 공개 요청 시 대응 필요
• 담당 공무원 개인 책임: 고의·중과실 시 징계 + 형사처벌 가능

9. PipaGuard 공공기관 지원

PipaGuard는 공공기관의 PIPA 준수를 지원합니다.

• 개인정보 처리방침 생성기: 공공기관 맞춤형 법령 근거 포함 방침
• 내부 관리 계획 템플릿: 행안부 지침 기반 표준 계획서
• 영향평가 사전 체크리스트: 신규 시스템 도입 전 자체 점검
• CCTV 안내판 생성기: 법정 필수 항목 포함 공공 CCTV 안내판

👉 pipaguard.vercel.app에서 무료로 시작하세요.

마치며

공공기관은 법령 근거로 개인정보를 처리할 수 있는 권한이 넓지만, 그만큼 목적 범위 준수, 영향평가, 내부 관리 계획 의무도 무겁습니다. 법령 근거가 있다고 무제한 처리가 허용되는 것이 아닙니다 — 목적 달성에 필요한 최소한, 보관 기간 준수, 접근 통제가 함께 이루어져야 합니다.