개인정보 안전성 확보조치, 모든 개인정보처리자로 확대

개인정보보호위원회는 강화된 안전성 확보조치 시행일이 약 3개월 후인 9월 15일로 다가옴에 따라, 안전조치 의무규정을 위반하지 않도록 해당 사업자·공공기관의 철저한 준비가 필요하다고 20일 밝혔다.

지난해 9월 개인정보 보호법 시행령과 개인정보의 안전성 확보조치 기준 고시가 개정·시행되면서 온·오프라인 사업자별로 각각 다르게 적용되던 안전조치 기준을 일원화했으나, 사업자들의 준비기간을 고려해 확대 적용되는 대상자에게는 약 1년 간 적용을 유예한 바 있다.

각각의 사업자에게 다르게 적용되던 안전조치 기준이 전체 개인정보처리자로 확대 적용됨에 따라 사업자·공공기관은 공공기관·오프라인 개인정보처리자에게만 적용되던 △일정 횟수

이상 인증 실패 시 개인정보처리시스템 접근을 제한하는 등의 조치와 △개인정보처리시스템 접속기록 월 1회 이상 점검 △암호키 관리 절차 수립·시행 △재해·재난 대비 위기 대응 매뉴얼 마련 및 의무 등이 대규모 개인정보처리자에게 적용된다.

그간 정보통신서비스 제공자에게만 적용되던 △인터넷망 구간으로 개인정보 전송 시 안전한 암호화 조치 의무 △개인정보가 포함된 인쇄물, 복사된 외부 저장매체 등을 안전하게 관리하기 위한 보호조치 마련 의무 등도 전체 개인정보처리자에게 적용된다. 아울러, 개인정보위가 지정한 공공시스템(1515개) 운영기관(300개)은 ‘엄격한 접근권한 관리’, ‘불법접근 등 이상 행위 탐지·차단 기능 도입’ 등 강화된 안전조치 기준을 준수해야 한다.

개인정보위 관계자는 “개인정보와 관련된 사고 예방을 위해 주요 공공시스템을 대상으로 안전조치 강화 이행실태 점검을 지난해부터 2025년까지 3년 간 순차적으로 진행하고 있다”며 “안전조치 관련 제도가 개인정보 처리 현장에 안정적으로 정착될 수 있도록 홍보·안내도 지속적으로 펼쳐나갈 계획”이라고 설명했다.