
“개인정보보호법이 강화되면서
개인정보를 안전하게 보관하는
기술과 관리가 어려워졌다.”
특히, 개인정보보호 관련 전담 인력 또는 체계가 갖춰져 있지 않은 기업이나 기관의 경우 개인정보 관련 법을 완벽하게 준수하기가 현실적으로 어렵다. 이에 지난해 12월 12일(화) 방송통신위원회(위원장 이효성, 이하 ‘방통위’)와 한국인터넷진흥원(원장 김석환, 이하 ‘KISA)은 ‘온라인을 통해 영리의 목적으로 개인정보를 수집·이용하는 정보통신서비스 제공자가 안전하게 개인정보를 보관, 관리를 위해 지켜야 할 방법 등 이 포함된 「개인정보의 기술적·관리적 보호조치 기준 해설서」를 개정했다’고 밝혔다.
이번에 개정된 해설서는 개인정보보호의 기술적·관리적 보호조치의 어려움에 대해 각계의 지적을 수렴하여, 관련 지식이 부족한 일반인도 이해하기 쉽도록 각 조문별 의미를 상세히 기재하였을 뿐 아니라 다양한 사례와 조치방법도 추가했다. 방통위와 KISA는 해설서가 다양한 사업자별 환경에 맞는 개인정보 보호조치 기준을 수립·시행하는데 도움이 될 것으로 기대하고 있다.
본 해설서는 2015년 5월 고시 개정에 반영된 보호조치 기준의 목적(제1조), 최대 접속시간 제한조치(제4조), 암호화 대상 확대(제6조) 등 바뀐 제도를 추가하였으며, 접근통제, 접근기록의 위·변조 방지, 개인정보의 암호화, 악성프로그램 방지 조치 등 기술적 분야와 내부관리계획 수립·시행 등 관리적 분야를 포함해 약 10개 조문을 보완했다.
바뀐 제도를 해설서에 다음과 같이 반영했다.
1
보호조치 기준의 목적이 사업자가 준수해야할 ‘최소한의 기준’을 정하는 것으로, 각 사업자가 사업규모 등을 고려하여 사업자 환경에 맞는 보호조치 기준을 수립하여 시행토록 하였다.
□ 최소한의 기준 원칙 및 개인정보보호 안전성 확보 근거 마련 (제 1조 제 1항, 2항)
① 보호조치 기준의 목적을 현행 ‘구체적인 기준’ > ‘최소한의 기준’으로 정함
② 사업규모·개인정보 보유 수 등을 고려하여 사업자 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행하도록 함
2
사업자가 수립·시행해야 할 내부 관리 계획에 ‘개인정보 처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항’ ·’개인정보 유출 사고 등 발생 시 대응 절차 및 방법’에 관한 사항을 추가했다.
□ 사업자의 내부관리계획 보완 (제3조 제1항 제5·6호 및 제2항)
① 위탁자의 명확한 관리책임을 위해 ‘개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 대한 사항’을 추가함
② 개인정보 유출 사고 시 신속한 대응 조치를 취할 수 있도록 ‘개인정보 유출사고 등 발생 시 대응 절차 및 방법에 관한 사항’을 추가함
③ 사업자 환경에 따른 자율적인 교육계획 수립·시행을 위하여 ‘매년 2회 이상 교육’을 ‘사업규모, 개인정보 보유 수 등을 고려하여 필요한 교육을 정기적으로’ 변경·완화함
3
개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속할 때에 공인인증서만이 안전한 인증수단인 것으로 오해하는 경우가 많아 다양한 인증수단을 사용 할 수 있음을 명확히 하였다.
□ 인증수단 확대 및 비밀번호 작성규칙 완화 (제4조 제4항 및 제8항)
① 개인정보처리시스템 접속 시 공인인증서뿐만 아니라 다양한 인증수단을 사용할 수 있도록 ‘공인인증서 등’을 삭제하여 사업자의 선택기회를 확대함
② ‘영문 대문자(26개) ·영문 소문자(26개) ·숫자(10개) ·특수문자(32개)’로 지나치게 세부적인 비밀번호 작성규칙을 ‘영문·숫자·특수문자’로 간략화 함
4
보호조치 기준의 목적이 사업자가 준수해야할 ‘최소한의 기준’을 정하는 것으로, 각 사업자가 사업규모 등을 고려하여 사업자 환경에 맞는 보호조치 기준을 수립하여 시행토록 하였다.
□ 최소한의 기준 원칙 및 개인정보보호 안전성 확보 근거 마련 (제 1조 제 1항, 2항)
① 보호조치 기준의 목적을 현행 ‘구체적인 기준’ > ‘최소한의 기준’으로 정함
② 사업규모·개인정보 보유 수 등을 고려하여 사업자 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행하도록 함
5
개정된 정보통신망법에 따라 온라인상 주민등록번호 수집이 금지(2014.08)됨에 따라 주민등록번호 외에 고유 식별번호의 이용이 늘어 날 것으로 예상돼 ‘여권번호, 운전면허번호, 외국인등록번호’를 암호화 대상에 추가했다.
□ 개인정보 대상 확대 (제6조 제2항)
① 현재 암호화 대상(비밀번호, 바이오정보, 주민등록번호, 신용카드번호, 계좌번호)에 ‘여권번호, 운전면허번호, 외국인등록번호’를 추가함
6
업무 환경의 변화로 스마트폰·태블릿 PC 등 모바일 기기 및 보조 저장매체(외장형 HDD 등)에 개인정보를 저장할 때도 암호화를 적용하도록 했다.
□ 개인정보 저장장치 암호화 확대 (제6조 제4항)
① 현재 개인정보를 저장할 때 암호화해야 하는 장치를 ‘컴퓨터’에 한정하고 있으나, ‘모바일 기기 및 보조저장매체’를 추가함
7
개인정보가 보관된 전산실·자료보관실 등에 대한 출입 통제 절차와 보조 저장매체의 반출입 통제 등 물리적 접근 방지조치를 하도록 했다.
□ 물리적 접근 방지 근거 마련 (제8조 (신설))
① 보조저장매체 등을 통한 개인정보 유출을 막기 위해 전산실, 자료 보관실에 등에 대한 출입통제, 보조저장매체의 반출·입 통제 근거를 신설함
개정된 해설서는 방통위 홈페이지(https://www.kcc.go.kr) 및 KISA 온라인 개인정보보호 포털(https://www.i-privacy.kr) 자료실에서 내려 받을 수 있다.