산업계와 개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)가 공동으로 추진한 개인정보보호 ‘민관협력 자율규제’를 통해 구인‧구직 분야의 개인정보 보호 수준이 높아진 것으로 나타났다.
개인정보위는 11월 4일(월) 전체회의에서 이러한 내용을 담은 「온라인플랫폼 구인‧구직 분야 민관협력 자율규제」 추진 성과를 보고하였다.
민관협력 자율규제는 개인정보 환경변화에 유연하게 대응할 수 있도록 온라인플랫폼 분야* 자율규제 참여기업과 개인정보위가 함께 법적 의무사항 외에 플랫폼 내에서 적용할 개인정보 보호 방안을 만들어 체결한 규약을 기업이 준수하는 방식이다.
* 2022년 열린장터(오픈마켓) 분야를 시작으로 셀러툴, 주문‧배달, 구인‧구직 4개 분야 적용
구인‧구직 분야 자율규약은 지난해 7월 시행되어 현재 6개 기업*이 참여하고 있으며, 인재검색, 공고게시, 채용대행 및 채용시스템 서비스** 분야에서 운영되고 있다.
보고된 내용에 따르면 참여사들의 규약상 안전조치 이행률이 97%로 나타났으며, 법적 의무 사항 외에 추가적인 안전조치를 성실히 이행하여 개인정보 보호 수준이 향상된 것으로 확인되었다. 추가적인 안전조치 내용은 다음과 같다.
첫째로, 채용기업의 담당자가 채용관리시스템*(이하 ‘시스템’)에 아이디와 비밀번호만으로 접속하던 것을, 휴대전화 또는 이메일 등의 안전한 인증수단을 통해 접속하도록 개선하여 계정 탈취 및 개인정보 유출 위험을 방지하였다.
* 구직자 검색, 지원자 관리, 채용공고 게시, 입사 제안 등 채용 업무 전반을 수행할 수 있도록 플랫폼 기업이 채용을 원하는 기업에게 제공하는 시스템
또한 채용기업이 플랫폼 내에서 열람한 구직자의 개인정보가 파기되기 전 계속 노출되던 것을 개선하여 열람 후 목적이 달성된 것으로 추정되는 일정 기간(평균 90일) 이후에는 개인정보가 자동으로 가림조치되어 조회가 불가능하도록 하였다.
아울러 채용 전형이 종료되기 전이라도 검토가 완료된 이력서를 시스템 내에서 파기할 수 있는 기능을 개발‧적용하여 채용기업이 개인정보 수집‧이용의 목적이 달성된 후 개인정보 파기 의무를 전보다 잘 이행할 수 있도록 하였다.
추가로 이전엔 시스템에서 내려받은 이력서 열람 시 파일 암호 입력과 같은 제한이 없었지만, 앞으로는 내려받은 파일을 암호화하는 기능을 제공하여 구직자의 개인정보가 안전하게 관리될 수 있도록 하였다.
<자율규약 참여 전 대비 주요 개선 사항>
구 분 | | 자율규약 체결 전(‘23.7.) | | 이행점검 결과(‘24.10.) |
안전조치 | 안전한 인증수단 | | •외부에서 접속시 아이디/패스워드로만 접속, 계정 도용 및 유출 위험 | | •계정·비밀번호 외에 2차 인증(이메일, 휴대전화) 을 통해 접속 |
최대접속 시간설정 | | •일정시간 업무를 하지 않아도 세션 유지 | • 일정시간 업무를 하지 않는 경우 세션 차단 |
접속기록 보관 | | • 채용기업 등이 접속기록을 수기로 작성‧관리하고 있어 개선 필요 | • 접속기록을 시스템에 보관, 월 1회 이상 점검할 수 있는 기능 제공 |
암호화 | | • 다운로드 시 암호화 미조치 및 다운로드 사유 미기재 | • 다운로드 시 암호설정 기능 제공 또는 안내 |
하위계정 | | • 취급자별 계정이 분리되지 않아 사고 시 책임추적성 확보 어려움 | •취급자별 계정 생성, 퇴사자 권한 말소 등 책임추적성 강화 |
최대조회기간 | | • 표시 제한 조치가 없어 개인정보 노출 및 다운로드 가능 | • 최대 조회기간 운영으로 개인정보 조회 또는 다운로드 제한 |
개인정보 파기 | | •수집 목적 달성(채용종료 등) 이후 구직자 개인정보 미파기 | • 관련 법령에 따른 보관기간 이후 개인정보 파기 및 파기 의무 안내 |
위수탁 계약 | | •개인정보 처리 위수탁 계약서 미체결 | | • 위수탁 계약서 체결로 수탁자 의무 사항 등 명시 |
이에 더해, 참여사들은 자율규약의 내용을 넘어서는 선도적인 보호조치를 하여 개인정보 보호 우수사례를 창출하기도 하였다.
< 구인·구직 채용 분야 자율규제 분야 개인정보보호 우수사례 >
- 마이다스인(에이치닷)은 업무 목적이 달성되면 채용기업이 설정한 일정 기간 내 개인정보가 자동으로 파기될 수 있도록 지원서 자동 삭제 기능을 개발하여, 채용 과정에서 불필요한 정보가 남아있지 않도록 하였다.
- 미디어윌네트웍스(알바천국)는 구직자의 개인정보 열람 기간을 타사보다 짧은 기간인 60일로 운영하여 개인정보 유‧노출 위험을 최소화하였다.
- 브레인커머스(잡플래닛)는 개인정보취급자의 계정별로 접근이 가능한 메뉴를 세분화하고 권한을 차등 부여하여 불필요한 개인정보 접근을 방지하였다.
- 사람인(사람인)과 인크루트(인크루트)는 채용기업의 개인정보취급자가 시스템에 접속한 기록과 계정의 생성‧변경 기록을 상시 모니터링할 수 있도록 하여 개인정보 취급에 대한 책임 추적성을 강화하였다.
- 잡코리아(잡코리아, 알바몬)는 개인정보가 포함된 이력서 등의 파일을 다운로드할 경우 사유를 입력하도록 하고 휴대전화를 통한 2차 인증을 거쳐 불필요한 개인정보 보관을 방지하였다.
개인정보위는 참여사들의 일부 미비한 부분은 보완 조치를 요구하여 개선되도록 하고, 우수한 참여사에게는 혜택을 제공하여 구인‧구직 분야 자율규제의 성과를 확산해 나갈 예정이다.
* 향후 정부포상, 개인정보 법규 위반 처분 시 과징금·과태료 감경 등 검토
이정렬 개인정보위 사무처장은 “월간 이용자 수가 수백만 명에 달하고 학력, 경력과 같은 상세한 개인정보가 수집되고 있는 온라인 구인‧구직플랫폼에서 참여사들이 스스로 개인정보보호를 강화한 것은 더욱 의미가 크다. ”라면서, “온라인 구인‧구직 시장의 이용자 개인정보 보호 강화를 위해 적극적으로 정책적 지원을 계속하겠다.”라고 말했다.