공공분야 개인정보보호 의무 더욱 강화된다!

- ’24.9.15.부터 주요 개인정보처리시스템 보유 부처·공공기관은 추가적 안전조치 이행해야

- 지난해 보호법 개정에 따른 유출신고 대상 확대, 제재수위 상향 등과 맞물려 공공부문 개인정보보호 한층 강화 기대

  ’24.9.15.부터 주요 개인정보 처리시스템을 보유·운영 중인 정부부처(부처·청·위원회 등)와 산하 공공기관은 기존 안전조치 의무 외에 추가적 안전조치 의무를 준수해야 한다. 지난해 보호법령 개정(’23.9.15.)* 후 1년의 계도기간이 지남에 따른 조치이다.

   * 보호법 시행령 제30조의2(공공시스템 운영기관 등의 개인정보 안전성 확보처리 등), 안전성 확보조치 기준(고시) 제3장 (공공시스템 운영기관 등의 개인정보 안전성 확보조치)

  대상은 일정 규모 이상 개인정보(100만명) 또는 개인정보취급자(200명)를 보유하고 있거나 민감·고유식별정보 등을 처리하는 공공시스템 382개를 운영 중인 정부부처와 산하기관 63곳으로 대다수 주요 공공기관이 해당된다. 

  이들 기관들은 종래 기관별 개인정보보호 책임자 외에도 해당 시스템별로 개인정보보호 책임자를 추가로 두어야 한다. 또한, 인사정보 자동연계를 통해 권한 없는 자의 시스템 접근을 원천 차단하는 조치를 해야 한다. 이 밖에 시스템 접속기록에 대한 주기적 점검(특이사항 탐지 포함) 및 개인정보보호 전담인력 확충 등 4대 분야 총 10개의 추가적 안전조치 의무를 지게 된다. 이를 위반할 경우 과태료가 부과되며, 개인정보 유출시에는 과징금도 부과되게 된다.

  ’24년 상반기 유출신고는 16건에서 62건으로 전년대비 약 3.8배 증가한 것으로 알려졌다. 지난해 보호법령이 개정된 것이 주된 이유인 것으로 개인정보위는 보고 있다. 공공분야 개인정보 보호를 위해 공공부문의 유출신고 의무대상을 종래 1,000건 이상 유출된 경우에서 확대해, 민감정보(고유식별정보 포함)나 외부 불법접근(해킹 등)의 경우에는 1건만 유출되어도 신고하도록 하였다. 개인정보위는 유출신고 의무대상 확대를 통해 법 적용의 사각지대를 최소화하는 한편 공공기관의 유출 예방 노력을 지속적으로 강화하도록 유도해 나갈 방침이다.

  이 외에도 개인정보위는 공공분야 개인정보 관리의 경각심을 높이기 위한 취지로 제재 수위를 높인 바 있다. 안전조치 의무 위반으로 개인정보 유출시 공공부문의 경우 그간 과태료를 부과하였으나 보호법을 개정해 과징금 부과 대상으로 바꾸었다. 공무원 등이 개인정보 고의 유출 또는 부정 이용으로 국민에게 중대한 2차 피해를 야기할 경우 단 한 번이라도 바로 파면·해임*(원스트라이크아웃)이 가능하도록 하였으며, 형사처벌도 가능하게 하였다.(5년 이하 징역 또는 5천만 원 이하 벌금)

   * 「국가공무원 복무·징계 관련 예규」, 「지방공무원징계업무 편람」에 반영(‘23.1월~)

  개인정보위는 ’24.9.15.부터 주요 공공시스템 운영기관의 보호법상 안전조치 의무가 강화되어 시행됨에 따라 적용 대상이 되는 공공기관 등의 경우 각별한 주의가 요구되며, 이상의 유출신고 의무대상 확대, 안전조치 의무 강화 및 제재수위 상향 등 일련의 조치들을 통해 공공기관에서 유출사고 발생 시 엄정 조사·처분함으로써 공공부문의 개인정보보호 강화 노력을 적극 유도할 계획이다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사총괄과 방선욱(02-2100-3106), 나일청(02-2100-3162)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”