일률적 인터넷망 차단조치 제도 개선 본격 시행
- 「개인정보의 안전성 확보조치 기준」 개정 고시 10월 31일부터 발효
'일평균 100만명 이상 개인정보를 저장‧관리하는 개인정보처리자'에게 일률적으로 적용되어 온 인터넷망 차단조치 제도 개선안이 본격 시행된다.
개인정보보호위원회(위원장 송경희, 이하 ‘개인정보위’)는 이러한 내용을 포함한 「개인정보의 안전성 확보조치 기준」 개정안을 10월 31일부터 시행한다고 밝혔다.
이번 개정안은 인터넷망 차단조치 개선 외에도, ▲오픈마켓 판매자 등에 대한 플랫폼 사업자의 책임 강화, ▲개인정보처리자 자율보호 체계 강화, ▲내부관리계획 수립 항목 확대 등의 내용을 담고 있다.
① 인터넷망 차단조치 제도 개선
일평균 100만명 이상 개인정보를 저장‧관리하는 개인정보처리자에게 일률적으로 적용되어 온 인터넷망 차단조치 제도를 개선한다. 기존에는 개인정보처리시스템에서 개인정보를 내려받거나 파기할 수 있는 개인정보취급자는 사용하는 모든 기기에 대한 인터넷망을 차단해야만 했다. 하지만 앞으로는 취급자의 기기에 위험 분석을 실시하고, 위험성이 감지될 경우 이를 낮출 수 있는 보호조치를 하거나, 위험하지 않은 것으로 판단되는 개인정보를 처리하는 경우 인터넷망 차단조치 대상에서 제외할 수 있다.
※ 다만, 접근권한을 설정할 수 있는 컴퓨터 및 민감정보‧암호화 대상 정보를 다운로드할 수 있는 컴퓨터 등 중요·민감정보를 다루는 컴퓨터는 기존과 같이 인터넷망 차단조치 적용
이를 통해, 개인정보처리자들이 기존의 네트워크 차단 중심 조치에서 데이터 중요도 등을 중심으로 한 보호체계로 전환하도록 함으로써, 인공지능‧클라우드 등을 보다 원활히 활용하여 업무 효율성을 향상시키도록 했다.
② 오픈마켓 판매자 등에 대한 플랫폼 사업자의 책임 강화
개인정보처리시스템에 대한 접근권한 차등부여 및 접속기록 보관 대상을 확대한다. 기존에는 오픈마켓 판매자 등 플랫폼을 이용하여 개인정보를 처리하는 자들은 플랫폼이 안전한 인증수단 적용 및 접속기록 보관 등의 조치를 해야 할 의무 대상에서 빠져 있었다.*
* 이에 따라 대규모 개인정보를 처리하는 주요 플랫폼 사업자들은 자율규약 등을 통해 해당 기능을 입점 판매자 등에게 일정 부분 제공해 오고 있음
이를 해소하기 위해, 안전성 확보조치 기준에 접근권한 차등부여 대상을 기존 ‘개인정보취급자’에서 ‘업무수행자’로 확대하고, 일정 횟수 이상 인증에 실패하면 접근을 제한하는 대상도 ‘개인정보취급자 또는 정보주체’에서 ‘개인정보처리시스템에 접근하는 모든 자’로 확대하였다. 또한, 외부에서 개인정보처리시스템에 접속할 때 안전한 인증수단을 적용해야 하는 대상을 ‘개인정보처리시스템에 대한 정당한 접근권한을 가진 자(단, 정보주체는 제외)’로 개선하였다.
접속기록 보관 대상 역시 ‘개인정보취급자’에서 ‘개인정보처리시스템에 접속한 자(단, 정보주체는 제외)’로 확대하여 소상공인 등 플랫폼을 통해 개인정보를 처리하는 자가 개인정보를 보다 안전하게 처리할 수 있는 환경을 조성하였다.
③ 개인정보처리자 자율보호 체계 강화
기존의 안전성 확보조치 기준이 접속기록 점검·다운로드 사유 확인 등 형식적 절차에 집중한다는 지적을 반영하여, 개인정보처리자가 내부 관리계획을 수립하고 점검 주기·방법·사후조치 절차 등을 자율적으로 정할 수 있도록 개선한다.
다만, 제8조제1항 개정으로 개인정보처리시스템 접속기록 보관 대상이 ‘개인정보처리시스템에 접속한 자(정보주체는 제외)’로 확대됨에 따라 오픈마켓 판매자접속기록은 보관하되, 점검 및 사후조치는 현실적 여건을 고려하여 ‘개인정보취급자’에 한정해 수행하도록 하였다.
④ 내부 관리계획 수립 항목 확대
기존 안전성 확보조치 기준 내용 중 출력·복사 시 안전조치(제12조) 및 개인정보 파기 관련 사항(제13조)을 내부 관리계획 수립 대상으로 포함한다. 종전에는 해당 사항들이 내부 관리계획 수립 대상에 포함되어 있지 않아 개선 필요성이 제기돼 왔다.
금번 일부개정안 중 규제 완화 및 정의 조항은 즉시 시행하고, 내부 관리계획 수립 등 개인정보처리자의 준비가 필요한 조항은 시행을 1년 유예한다.
※ 즉시 시행 : 제2조(정의), 제6조의2(인터넷망의 차단조치 등)
※ 1년 유예기간 부여 : 제4조(내부 관리계획의 수립‧시행 및 점검), 제5조(접근 권한의 관리), 제6조(접근통제), 제8조(접속기록의 보관 및 점검)
개인정보위는 이번 개정 내용과 함께 지난 9월 발표한 「개인정보 안전관리 체계 강화 방안」의 암호화 적용 확대 등 선제적 조치 강화 등의 내용을 반영한 ‘개인정보의 안전성 확보조치 안내서’를 연내 발간하고, 관계자 설명회 등을 개최하여 세부 내용을 알릴 예정이다.
양청삼 개인정보위 개인정보정책국장은 “이번 개정을 통해 개인정보처리자가 기술 환경 변화에 유연하게 대응하면서도 개인정보를 보다 안전하게 관리할 수 있도록 제도적 기반을 강화했다.”라며, “앞으로도 개인정보위는 현장의 어려움을 세심히 살피며 실질적인 지원을 아끼지 않겠다.”라고 밝혔다.
* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.
- 담당자 : 신기술개인정보과 정홍순(02-2100-3067)
이 누리집은 개인정보보호위원회 누리집입니다.
