개인정보 많이
보유한 기업일수록 개인정보보호 강화
- 「개인정보의 안전성
확보조치 기준」개정 고시 -
[시행 2016.9.1.]
[행정자치부고시 제2016-35호, 2016.9.1., 전부개정]
□ 개인정보를 많이 보유하고 있는
사업자 혹은 기관일수록 보다 강력한 수준의 개인정보 보호장치를 갖춰야 한다.
□ 행정자치부(장관 홍윤식)는 기업
규모 및 개인정보 보유량에 따라 개인정보에 대한 안전조치 기준을 차등화해 보유량이 적은 영세사업자의 안전조치는 완화하고,
보유량이 많은 기업은 안전조치를 강화하는 내용을 담은 「개인정보의 안전성
확보조치 기준」을 2016년 9월 01일부터 시행한다.
□ 그간 개인정보 유출사고 방지나
해킹위협에 대응하기 위해 개인정보 안전조치를 강화할 경우, 모든 사업자에게
동일한 기준이 적용돼 왔다.이에 따라 영세사업자에게 과도한 부담을 줬고, 대규모 개인정보를 처리하는 기업도 추가적인
안전조치 사항을 반영하는데 어려움이 있었다.
○ 행정자치부는
「개인정보의 안전성 확보조치 기준」을 개정하여기업
규모 및 개인정보 보유량에 따라 3가지 유형으로
분류하여 안전조치 의무사항을 차등화 했다.
□ 개정된 주요
내용은 다음과 같다.
【 안전조치 의무
차등화 】
○ 개인정보 보유량이 1만 명 미만인
소상공인, 단체 등(유형1)은 내부관리계획 수립이 면제된다.
아울러 시스템에 대한 접근 제한 및 접근통제를 위한 기술적 안전조치
일부*도 면제된다.
* 외부에서
시스템 접속시 VPN(가상사설망) 적용의무, 고유식별정보 취약점 점검 등
○ 개인정보 보유량이 100만 명
미만 중소기업, 10만 명 미만 대기업 및 공공기관 등(유형2)은 재해·재난 대비 등을 위한 안전조치 사항(개인정보시스템 백업 및 복구 등)을
면제하고, 개인정보처리시스템에 대한 접근권한 및 접근통제 조치는 강화한다.
○ 개인정보 보유량이 10만 명 이상
대기업 및 공공기관, 100만 명 이상의 개인정보를 보유한 중소기업 등(유형3)은 위험도 분석·대응, 안전한 암호 키 관리 절차, 재해·재난
대비 등을 위한 안전조치 의무화 등 비상시 대응절차가 강화된다.
유형
|
적용 대상
|
(비율)
|
개정된 안전조치
주요내용
|
유형1(완화)
|
·보유량 1만명 미만 소상공인,
단체
|
(80%)
|
·내부관리계획 수립, 접근권한 관리 일부
면제 · 접근통제 기술적 조치사항
일부(고유식별정보 취약점 점검 등) 면제 |
유형2(표준)
|
·보유량 1만명 이상 소상공인, 단체 ·보유량
10만명 미만 대기업·중견기업, 공공기관 ·보유량 100만명 미만 중소기업 |
(19.7%)
|
·재해·재난 대비 등 안전조치사항
면제 ·개인정보처리시스템의 접근권한 및 접근통제 강화를 위한 기술적 조치 강화 |
유형3(강화)
|
·보유량 10만명 이상 대기업‧중견기업,
공공기관 ·보유량 100만명 이상 중소기업, 단체 |
(0.3%)
|
·내부관리계획(위기대응 절차 마련 등), 암호화 키
관리 등 관리적 조치 강화 ·재해·재난 대비 안전조치 등 비상시 대책 강화
|
【 관리적·기술적
안전조치 강화 】
○ 개인정보 유출사고 예방을 위해
개인정보 보호조직 구성·운영, 유출행위 탐지·대응 및 개인정보처리시스템에 접속하는 단말기에 대한 안전조치 등 관리적 안전조치 규정도
신설했다.
○ 더불어 개인정보처리시스템에
비정상 계정접근 차단조치, 일정시간 이상 업무처리를 하지 않는 경우 자동 접속차단 등 시스템에 대한 불법적인 접근 및 침해사고 방지를 위한
기술적 안전조치도 추가했다.
□ 이인재 행정자치부
전자정부국장은
○ “그간 개인정보 보유량과
상관없이 안전성 확보조치 기준의 획일적 규제는 불합리한 측면이 있었던 것이 사실”이라며,
○ “안전성 확보조치 기준이 합리적으로 개선되어, 대다수 영세사업자의
개인정보 보호에 대한 과도한 규제부담을 완화하면서 상대적으로 대규모 개인정보 보유기관의 개인정보 보호 수준을 향상시키는 계기가 될 것으로
기대된다.”라고 말했다.
[첨부파일]