개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 강화된 안전성 확보조치 시행일이 약 3개월 후인 오는 9월 15일로 다가옴에 따라, 안전조치 의무규정을 위반하지 않도록 해당 사업자·공공기관의 철저한 준비가 필요하다고 밝혔다.
지난해 9월 「개인정보 보호법 시행령」과 「개인정보의 안전성 확보조치 기준」 고시가 개정·시행되면서 온·오프라인 사업자별로 각각 다르게 적용되던 안전조치 기준을 일원화 하였으나, 사업자들의 준비기간을 고려해 확대 적용되는 대상자에게는 약 1년간 적용을 유예한 바 있다.
* 기존에는 「개인정보의 안전성 확보조치 기준」에 따른 개인정보처리자, 「개인정보의 기술적·관리적 보호조치 기준에 따른 정보통신서비스 제공자」로 별도 구분하였으나, ’23.9.22 부로 개인정보처리자로 통합
각각의 사업자에게 다르게 적용되던 안전조치 기준이 전체 개인정보처리자로 확대 적용됨에 따라 사업자·공공기관에서 꼼꼼히 확인해 보아야 할 구체적 항목들은 다음과 같다.
1 우선, 공공기관·오프라인 개인정보처리자에게만 적용되던 ① 일정 횟수 이상 인증 실패 시 개인정보처리시스템 접근을 제한하는 등의 조치(고시 제5조 제6항)와, ② 개인정보처리시스템 접속기록 월 1회 이상 점검(고시 제8조 제2항) 의무가 전체 개인정보처리자에게로 확대 적용되고,
③ 암호키 관리 절차 수립·시행(고시 제7조 제6항), ④ 재해·재난 대비 위기대응 매뉴얼 마련 및 개인정보처리시스템 백업·복구 계획을 포함하는 안전조치(고시 제11조) 등의 의무가 대규모 개인정보처리자에게 적용된다.
또한, 그간 정보통신서비스 제공자에게만 적용되던 ⑤ 인터넷망 구간으로 개인정보 전송 시 안전한 암호화 조치 의무(고시 제7조 제4항), ⑥ 개인정보가 포함된 인쇄물, 복사된 외부 저장매체 등을 안전하게 관리하기 위한 보호조치 마련 의무(고시 제12조 제2항) 등도 전체 개인정보처리자에게 적용된다.
2 아울러, 개인정보위가 지정한 공공시스템(1,515개/126종) 운영기관(300개)은 ‘엄격한 접근권한 관리’, ‘불법접근 등 이상 행위 탐지·차단 기능 도입’ 등 강화된 안전조치 기준을 준수해야 한다.
* 중앙행정기관 및 산하 공공기관 57개 + 광역·기초자치단체 243개
< 강화된 안전성 확보조치 내용 >
구분 | 주요 내용 |
1. 공공시스템운영협의회 | 운영기관, 수탁자, 주요 이용기관 등이 참여하는 협의회 설치·운영 |
2. 시스템별 책임자 지정·운영 | 기관별 개인정보보호책임자(CPO) 외에 공공시스템 각각에 대해 총괄관리 부서장을 관리책임자로 지정 |
3. 시스템별 안전조치 방안 수립·시행 | 내부 관리계획에 공공시스템별 작성한 안전성 확보조치 포함 |
4. 접근권한 관리 | ①인사정보와 연계한 접근권한 관리(권한 부여·변경·말소 등) ②인사이동 후 지체 없는 접근권한 현행화 ③인사정보 미등록자(非공무원)에 대한 계정발급 절차 마련·시행 (非공무원 계정발급 필요성 소명, 보안서약 및 개인정보 교육) |
5. 접속기록 보관 및 점검 | ①접속기록 생성·보관 및 불법적인 접근 시도 탐지·차단 ②접속기록 관련 사전승인 또는 사후보고 절차 마련·시행 |
6. 정보주체 통지 | 정당한 권한 없이 또는 허용된 권한을 초과하여 개인정보에 접근한 사실이 확인된 경우 지체 없이 정보주체에게 통지 |
7. 전담부서 인력 배치 | 공공시스템 규모, 특성 등을 고려하여 개인정보 전담부서 지정·운영 또는 전담인력 배치 |
한편, 개인정보위는 개인정보와 관련된 사고 예방을 위해 주요 공공시스템을 대상으로 안전조치 강화 이행실태 점검을 지난해부터 2025년까지 3년간 순차적으로 진행하고 있으며, 안전조치 관련 제도가 개인정보 처리 현장에 안정적으로 정착될 수 있도록 홍보·안내도 지속적으로 펼쳐나갈 계획이다.