개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 ‘개인정보의 안전성 확보조치 기준’을 개정해 9월22일부터 시행한다.

이번 고시 개정을 통해 개인정보처리자와 정보통신서비스 제공자로 이원화되어 있는 안전조치 고시를 통합하고 공공시스템 운영기관의 안전조치를 강화하였다.

우선, 일반규정과 특례규정의 유사·상이한 규정을 일반규정으로 통합하여 수범자를 개인정보처리자로 일원화하고 기술중립적으로 개선하였다.

다만, 수범자의 부담을 고려하여 외부에서 접속 시 안전조치, 인터넷망 차단(망분리), 저장 시 암호화 등은 적용 대상자와 내용을 기존과 동일하게 유지하였다.

한편, 일방 고시에만 있던 규정이 전체 개인정보처리자로 확대되는 규정은 개인정보처리시스템 개선 등에 필요한 준비기간을 고려하여 확대 적용되는 대상자의 경우 2024년 9월 15일부터 적용하도록 했다.

둘째, 국민의 개인정보가 대규모로 관리되고 있는 주요 공공시스템 운영기관에 대하여 내부 관리계획에 안전조치에 관한 사항을 공공시스템별로 포함하고 접근 권한 부여·변경·말소 시 인사정보와 연계, 접속기록을 자동화된 방식으로 분석·점검하도록 하는 등 공공기관의 안전조치를 강화하였다.

개인정보위는 개인정보 처리 현장에서 바뀐 제도가 안정적으로 정착될 수 있도록 10월 중 설명회를 개최하고 안전조치 관련 해설서·안내서 후속 개정 등을 통해 적극적으로 홍보하고 안내할 예정이다.

◆안전조치 고시 통합 주요 개정사항

▶일방 대상자에게만 적용되던 안전조치 기준을 확대 적용

- 개인정보처리자 및 정보통신서비스 제공자 중 일방에만 적용되던 규정을 전체 개인정보처리자로 확대 적용

- 확대된 규정을 새로 적용받는 대상자의 경우 ‘24.9.15.부터 적용

▶양 대상자 간 상이한 안전조치 기준 일원화

- (유형 삭제) 별표의 “개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준”을 삭제하여 모든 개인정보처리자에 동일 규정 적용

- (내부 관리계획) 내부 관리계획 수록사항 중 중복 삭제 및 상이 내용을 통합하여 총 16개 항목으로 정비(제4조)

- (권한변경 관리) 시스템 권한변경 내역 보관기간을 3년으로 통일(제5조 제3항)

- (전송 시 암호화) 특례규정의 인터넷망 구간 전송 시 암호화(보안서버 적용 등)를 전체 개인정보처리자로 확대(제7조 제4항)

▶수범자의 부담이 우려되는 일부 상이한 규정은 현행 유지

- 외부에서 접속 시 안전조치(제6조 제2항), 인터넷망 차단(제6조 제6항), 저장 시 암호화(제7조 제2항·제3항·제5항) 등 수범자 부담이 우려되는 규정은 기존과 동일하게 유지

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★