개인정보 안전성 확보조치가 모든 개인정보처리자로 확대됩니다

- 전체 개인정보처리자는 개인정보처리시스템 일정 횟수 이상 접근인증 실패 시 접근제한, 접속기록 월 1회 이상 점검, 인터넷망 구간으로 개인정보 전송 시 암호화 등 6개 안전조치 의무화

- 공공시스템 운영기관은 접근권한 관리, 접속기록 보관·점검 등 10개 안전조치 준수 필요

  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 강화된 안전성 확보조치 시행일이 약 3개월 후인 오는 9월 15일로 다가옴에 따라, 안전조치 의무규정을 위반하지 않도록 해당 사업자·공공기관의 철저한 준비가 필요하다고 밝혔다.

  지난해 9월 ｢개인정보 보호법 시행령｣과 ｢개인정보의 안전성 확보조치 기준｣ 고시가 개정·시행되면서 온·오프라인 사업자별로 각각 다르게 적용되던 안전조치 기준을 일원화* 하였으나, 사업자들의 준비기간을 고려해 확대 적용되는 대상자에게는 약 1년간 적용을 유예한 바 있다.

  * 기존에는 「개인정보의 안전성 확보조치 기준」에 따른 개인정보처리자, 「개인정보의 기술적·관리적 보호조치 기준에 따른 정보통신서비스 제공자」로 별도 구분하였으나, ’23.9.22 부로 개인정보처리자로 통합

  각각의 사업자에게 다르게 적용되던 안전조치 기준이 전체 개인정보처리자로 확대 적용됨에 따라 사업자·공공기관에서 꼼꼼히 확인해 보아야 할 구체적 항목들은 다음과 같다.

  (1) 우선, 공공기관·오프라인 개인정보처리자에게만 적용되던 ①일정 횟수 이상 인증 실패 시 개인정보처리시스템 접근을 제한하는 등의 조치(고시 제5조 제6항)와, ②개인정보처리시스템 접속기록 월 1회 이상 점검(고시 제8조 제2항) 의무가 전체 개인정보처리자에게로 확대 적용되고, 

  ③암호키* 관리 절차 수립·시행(고시 제7조 제6항), ④재해·재난 대비 위기대응 매뉴얼 마련 및 개인정보처리시스템 백업·복구 계획을 포함하는 안전조치(고시 제11조) 등의 의무가 대규모** 개인정보처리자에게 적용된다.

  * 개인정보의 안전한 보관을 위해 암호화 또는 복호화에 사용되는 키

 ** 대상 : 10만명 이상의 개인정보를 처리하는 대기업․중견기업․공공기관 또는 100만명 이상의 개인정보를 처리하는 중소기업․단체

  또한, 그간 정보통신서비스 제공자에게만 적용되던 ⑤인터넷망 구간으로 개인정보 전송 시 안전한 암호화 조치 의무(고시 제7조 제4항), ⑥개인정보가 포함된 인쇄물, 복사된 외부 저장매체 등을 안전하게 관리하기 위한 보호조치 마련 의무(고시 제12조 제2항) 등도 전체 개인정보처리자에게 적용된다.

  (2) 아울러, 개인정보위가 지정한 공공시스템(1,515개/126종) 운영기관(300개)*은 ‘엄격한 접근권한 관리’, ‘불법접근 등 이상 행위 탐지·차단 기능 도입’ 등 강화된 안전조치 기준을 준수해야 한다.

  * 중앙행정기관 및 산하 공공기관 57개 + 광역·기초자치단체 243개

  한편, 개인정보위는 개인정보와 관련된 사고 예방을 위해 주요 공공시스템을 대상으로 안전조치 강화 이행실태 점검을 지난해부터 2025년까지 3년간 순차적으로 진행하고 있으며, 안전조치 관련 제도가 개인정보 처리 현장에 안정적으로 정착될 수 있도록 홍보·안내도 지속적으로 펼쳐나갈 계획이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 신기술개인정보과 정홍순(02-2100-3067),

             조사총괄과 나일청(02-2100-3162)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”