'일평균 100만 명 이상 개인정보를 저장·관리하는 개인정보처리자'에게 일률적으로 적용돼 온 인터넷망 차단조치 제도 개선안이 본격 시행된다. 

개인정보보호위원회는 이러한 내용을 포함한 '개인정보의 안전성 확보조치 기준' 개정안을 31일부터 시행한다고 전했다.

이번 개정안은 인터넷망 차단조치 개선 외에도 ▲오픈마켓 판매자 등에 대한 플랫폼 사업자의 책임 강화 ▲개인정보처리자 자율보호 체계 강화 ▲내부관리계획 수립 항목 확대 등의 내용을 담고 있다.

인터넷망 차단조치 제도 개선

'일평균 100만 명 이상 개인정보를 저장·관리하는 개인정보처리자'에게 일률적으로 적용돼 온 인터넷망 차단조치 제도를 개선한다. 

이에 따라 취급자의 기기에 위험 분석을 실시하고 위험성이 감지될 경우 이를 낮출 수 있는 보호조치를 하거나, 위험하지 않은 것으로 판단되는 개인정보를 처리하는 경우 인터넷망 차단조치 대상에서 제외할 수 있다.

이를 통해 개인정보처리자들이 기존의 네트워크 차단 중심 조치에서 데이터 중요도 등을 중심으로 한 보호체계로 전환하도록 함으로써 인공지능·클라우드 등을 보다 원활히 활용해 업무 효율성을 향상시키도록 했다.

오픈마켓 판매자 등 플랫폼 사업자 책임 강화

개인정보처리시스템에 대한 접근권한 차등부여 및 접속기록 보관 대상을 확대한다. 

기존에는 오픈마켓 판매자 등 플랫폼을 이용해 개인정보를 처리하는 자들은 플랫폼이 안전한 인증수단 적용 및 접속기록 보관 등의 조치를 해야 할 의무 대상에서 빠져 있었다.

이를 해소하기 위해 안전성 확보조치 기준에 접근권한 차등부여 대상을 기존 '개인정보취급자'에서 '업무수행자'로 확대했다. 일정 횟수 이상 인증에 실패하면 접근을 제한하는 대상도 '개인정보취급자 또는 정보주체'에서 '개인정보처리시스템에 접근하는 모든 자'로 확대했다. 

또한 외부에서 개인정보처리시스템에 접속할 때 안전한 인증수단을 적용해야 하는 대상을 '개인정보처리시스템에 대한 정당한 접근권한을 가진 자(정보주체는 제외)'로 개선했다.

접속기록 보관 대상 역시 '개인정보취급자'에서 '개인정보처리시스템에 접속한 자(정보주체는 제외)'로 확대해 소상공인 등 플랫폼을 통해 개인정보를 처리하는 자가 개인정보를 보다 안전하게 처리할 수 있는 환경을 조성했다.

개인정보처리자 자율보호 체계 강화

기존의 안전성 확보조치 기준이 접속기록 점검·다운로드 사유 확인 등 형식적 절차에 집중한다는 지적을 반영해 개인정보처리자가 내부 관리계획을 수립하고 점검 주기·방법·사후조치 절차 등을 자율적으로 정할 수 있도록 개선한다. 

다만, 제8조제1항 개정으로 개인정보처리시스템 접속기록 보관 대상이 '개인정보처리시스템에 접속한 자(정보주체는 제외)'로 확대됨에 따라 오픈마켓 판매자접속기록은 보관하되, 점검 및 사후조치는 현실적 여건을 고려해 '개인정보취급자'에 한정해 수행하도록 했다.

내부 관리계획 수립 항목 확대

기존 안전성 확보조치 기준 내용 중 출력·복사 시 안전조치(제12조) 및 개인정보 파기 관련 사항(제13조)을 내부 관리계획 수립 대상으로 포함한다. 

이번 일부개정안 중 규제 완화 및 정의 조항은 즉시 시행하고 내부 관리계획 수립 등 개인정보처리자의 준비가 필요한 조항은 시행을 1년 유예한다.

개인정보위는 이번 개정 내용과 함께 지난 9월 발표한 '개인정보 안전관리 체계 강화 방안'의 암호화 적용 확대 등 선제적 조치 강화 등의 내용을 반영한 '개인정보의 안전성 확보조치 안내서'를 연내 발간하고 관계자 설명회 등을 개최하여 세부 내용을 알릴 예정이다.

양청삼 개인정보위 개인정보정책국장은 "이번 개정을 통해 개인정보처리자가 기술 환경 변화에 유연하게 대응하면서도 개인정보를 보다 안전하게 관리할 수 있도록 제도적 기반을 강화했다"며 "앞으로도 개인정보위는 현장의 어려움을 세심히 살피며 실질적인 지원을 아끼지 않겠다"고 말했다.

문의: 개인정보보호위원회 신기술개인정보과(02-2100-3067)