[보안] 개인정보의 안전성 확보조치 기준: 2023년 9월 개정안 주요 변경사항 요약

 2023년 9월에 통합 개정된 '개인정보 안전성 확보조치 기준'에 대해서 알아봅니다.

 

[ Contents ]

 

 

1. 개인정보처리자로 일원화된 안전성 확보조치

- 개인정보처리자: 개인정보의 안전성 확보조치 기준
- 정보통신서비스 제공자: 개인정보의 기술적·관리적 보호조치 기준

 

 2023년 9월 개정안이 발표되며, 개인정보처리자와 정보통신서비스 제공자로 이원화되어 있던 안전조치 고시가 통합되었습니다. 사실 '정보통신서비스 제공자'라는 기준이 불명확하긴 했었죠.

 개정안 이후부터는 '개인정보처리자'로 일원화되었습니다.

 

2023.03.31 - [개인정보보호] - [보안] 개인정보 안전성 확보조치 (feat. 개인정보보호법)

[보안] 개인정보 안전성 확보조치 (feat. 개인정보보호법)

 

 

 

2. 공공시스템 운영기관 안전성 확보 조치 강화

제3장 공공시스템 운영기관 등의 개인정보 안전성 확보조치
- 제14조(공공시스템운영기관의 안전조치 기준 적용): 안전성 확보조치 대상 기준
- 제15조(공공시스템운영기관의 내부 관리계획의 수립 시행): 내부관리계획 명시
- 제16조(공공시스템운영기관의 접근 권한의 관리): 강화된 접근권한 관리
- 제17조(공공시스템운영기관의 접속기록의 보관 및 점검): 강화된 접속기록 관리

 

 국민의 개인정보를 다루는 공공기관에 대한 개인정보 안전성 확보 조치가 추가되었습니다. 민간 기관이 아닌 공공 시스템에만 적용되며, 접근권한과 접속기록 관리가 강화되었습니다.

 접근권한 변동 시 인사정보와 연계하여 관리해야 하며, 자동화된 방식으로 접근권한 및 접속기록을 관리 감독해야 합니다. 반드시 위즈코리아와 같은 개인정보 접근권한 관리시스템을 도입하라고 명시하진 않았지만, 상위 기관에서는 많이들 권고하고 있는 추세입니다. (경영 및 인사평가에 개인정보보호가 들어가는 지자체들은 거의 100% 도입되었죠.)

 개인적으로는 정보주체가 적은 개인정보처리시스템에는 굳이... 라는 생각이 들긴 합니다. 요즘은 접속기록이나 권한이력, 다운로드 사유 및 로그 관리는 기본적으로 시스템에서 제공하니까요. 다만 '자동화된 방식'이라는 표현이 어느 정도까지를 말하는 건지 애매하긴 하네요.

 

반응형

 

 

3. 2024년 9월 15일 유예 법안 (정보통신서비스 제공자 대상)

- 일정 횟수 인증 실패 시 접근제한 등의 조치 (제5조 제6항)
- 개인정보를 인터넷망 송수신 전송 시 암호화 (제7조 제4항)
- 개인정보 보관 시 암호키 관리 절차 수립 시행 (제7조 제6항)
- 접속기록 점검 월 1회 이상, 개인정보 다운로드 사유 확인 (제8조 제2항)
- 재해 재난 대비 메뉴얼 및 계획 마련 (제11조)
- 출력 복사 시 개인정보 보호조치 (제12조)

 

 위 사항은 기존 개인정보 안전성 확보조치 기준에만 있던 사안이므로, 정보통신서비스 제공자는 2024년 9월 15일까지 준수하도록 2024년 9월 15일까지 1년간 유예했습니다.

 별도의 어려움이 큰 조항은 아니나, 제7조 제6항 암호화 DB 도입은 조금 어려움이 있을 수 있겠습니다. 개인정보가 들어간 데이터는 암호화해서 보관하고, 사용할 때는 따로 복호화하는 작업이 꽤나 번거롭고 비용이 많이 발생합니다.

 

 

개인정보보호위원회

 이상, 2023년 9월 개정안에 대해서 핵심 개요만 다뤄봤습니다. 상세 내용은 이후에 다뤄보기로 하며, 개인인정보보호위원회에서 고시한 보도자료는 위 링크에서 찾아보실 수 있습니다.