개인정보 안전성 확보조치가 모든 개인정보처리자로 확대됩니다
| - 전체 개인정보처리자는 개인정보처리시스템 일정 횟수 이상 접근인증 실패 시 접근제한, 접속기록 월 1회 이상 점검, 인터넷망 구간으로 개인정보 전송 시 암호화 등 6개 안전조치 의무화 - 공공시스템 운영기관은 접근권한 관리, 접속기록 보관·점검 등 10개 안전조치 준수 필요 |
개인정보보호위원회이하 ‘개인정보위’)는 강화된 안전성 확보조치 시행일이 약 3개월 후인 오는 9월 15일로 다가옴에 따라, 안전조치 의무규정을 위반하지 않도록 해당 사업자·공공기관의 철저한 준비가 필요하다고 밝혔다.
지난해 9월 「개인정보 보호법 시행령」과 「개인정보의 안전성 확보조치 기준」 고시가 개정·시행되면서 온·오프라인 사업자별로 각각 다르게 적용되던 안전조치 기준을 일원화* 하였으나, 사업자들의 준비기간을 고려해 확대 적용되는 대상자에게는 약 1년간 적용을 유예한 바 있다.
* 기존에는 「개인정보의 안전성 확보조치 기준」에 따른 개인정보처리자, 「개인정보의 기술적·관리적 보호조치 기준에 따른 정보통신서비스 제공자」로 별도 구분하였으나, ’23.9.22 부로 개인정보처리자로 통합
각각의 사업자에게 다르게 적용되던 안전조치 기준이 전체 개인정보처리자로 확대 적용됨에 따라 사업자·공공기관에서 꼼꼼히 확인해 보아야 할 구체적 항목들은 다음과 같다.
우선, 공공기관·오프라인 개인정보처리자에게만 적용되던 ①일정 횟수 이상 인증 실패 시 개인정보처리시스템 접근을 제한하는 등의 조치(고시 제5조 제6항)와, ②개인정보처리시스템 접속기록 월 1회 이상 점검(고시 제8조 제2항) 의무가 전체 개인정보처리자에게로 확대 적용되고,
③암호키* 관리 절차 수립·시행(고시 제7조 제6항), ④재해·재난 대비 위기대응 매뉴얼 마련 및 개인정보처리시스템 백업·복구 계획을 포함하는 안전조치(고시 제11조) 등의 의무가 대규모** 개인정보처리자에게 적용된다.
* 개인정보의 안전한 보관을 위해 암호화 또는 복호화에 사용되는 키
** 대상 : 10만명 이상의 개인정보를 처리하는 대기업․중견기업․공공기관 또는 100만명 이상의 개인정보를 처리하는 중소기업․단체
또한, 그간 정보통신서비스 제공자에게만 적용되던 ⑤인터넷망 구간으로 개인정보 전송 시 안전한 암호화 조치 의무(고시 제7조 제4항), ⑥개인정보가 포함된 인쇄물, 복사된 외부 저장매체 등을 안전하게 관리하기 위한 보호조치 마련 의무(고시 제12조 제2항) 등도 전체 개인정보처리자에게 적용된다.
아울러, 개인정보위가 지정한 공공시스템(1,515개/126종) 운영기관(300개)*은 ‘엄격한 접근권한 관리’, ‘불법접근 등 이상 행위 탐지·차단 기능 도입’ 등 강화된 안전조치 기준을 준수해야 한다.
* 중앙행정기관 및 산하 공공기관 57개 + 광역·기초자치단체 243개
< 강화된 안전성 확보조치 내용 >
| 구분 | 주요 내용 |
| 1. 공공시스템운영협의회 | 운영기관, 수탁자, 주요 이용기관 등이 참여하는 협의회 설치·운영 |
| 2. 시스템별 책임자 지정·운영 | 기관별 개인정보보호책임자(CPO) 외에 공공시스템 각각에 대해 총괄관리 부서장을 관리책임자로 지정 |
| 3. 시스템별 안전조치 방안 수립·시행 | 내부 관리계획에 공공시스템별 작성한 안전성 확보조치 포함 |
| 4. 접근권한 관리 | ①인사정보와 연계한 접근권한 관리(권한 부여·변경·말소 등) ②인사이동 후 지체 없는 접근권한 현행화 ③인사정보 미등록자(非공무원)에 대한 계정발급 절차 마련·시행 (非공무원 계정발급 필요성 소명, 보안서약 및 개인정보 교육) |
| 5. 접속기록 보관 및 점검 | ①접속기록 생성·보관 및 불법적인 접근 시도 탐지·차단 ②접속기록 관련 사전승인 또는 사후보고 절차 마련·시행 |
| 6. 정보주체 통지 | 정당한 권한 없이 또는 허용된 권한을 초과하여 개인정보에 접근한 사실이 확인된 경우 지체 없이 정보주체에게 통지 |
| 7. 전담부서 인력 배치 | 공공시스템 규모, 특성 등을 고려하여 개인정보 전담부서 지정·운영 또는 전담인력 배치 |
한편, 개인정보위는 개인정보와 관련된 사고 예방을 위해 주요 공공시스템을 대상으로 안전조치 강화 이행실태 점검을 지난해부터 2025년까지 3년간 순차적으로 진행하고 있으며, 안전조치 관련 제도가 개인정보 처리 현장에 안정적으로 정착될 수 있도록 홍보·안내도 지속적으로 펼쳐나갈 계획이다.
< 실태 점검계획(’23~’25) >
| 2023년 주민등록 연계 단일접속 시스템 등 |
⇨ | 2024년 표준배포 8개 패키지 배포부처·지자체 50개소 |
⇨ | 2025년 개별시스템 35개 및 남은 단일접속시스템 23개 |
출처: 개인정보보호위원회 보도자료(2024. 6. 20)
'알쓸잡' 카테고리의 다른 글
| 마음건강을 관리하고 위기 학생을 지원하는학생 상담 채널 ‘라임(LIME)’ 운영 (94) | 2024.06.20 |
|---|---|
| 프로파일러가 말하는 개인정보 스미싱 (51) | 2024.06.20 |
| 완행 관광열차 타고 추억이 깃든 간이역으로 (94) | 2024.06.19 |
| 허위‧과장된 예상매출액 정보제공 등으로 가맹희망자를 모집한 디저트 가맹본부 제재 (46) | 2024.06.19 |
| 인류의 위기 극복을 돕는 해양바이오 산업! ‘2024 해양바이오 박람회’에서 만나요 (47) | 2024.06.19 |
