Posted by 안전성 확보조치란,
개인정보 보호법 개정안이 2021년 9월, 국회에 제출되었다. 제출된 개정안은 몇가지 주요 내용을 담고 있는데, 그 중 새롭게 신설하는 과징금의 부과 조항에서는 ‘개인정보처리자가 제29조(제26조 제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우’에는 과징금을 부과하지 않는다고 명시되는 내용이 포함되었다.
개정안에서 언급된 안전성 확보조치는 단순히 개인정보를 안전하게 보호하기 위해 필요한 조치들을 아울러 말하는 것이 아니라, 개인정보 보호법 제29조(안전조치의무)와 개인정보 보호법 시행령 제30조에서 명시하고 있는 안전성 확보조치를 말한다.
개인정보 보호법 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
개인정보 보호법 시행령 제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.
1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행
2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치
5. 개인정보에 대한 보안프로그램의 설치 및 갱신
6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.
법에서 요구하고 있는 개인정보의 안전성 확보를 위한 조치는 위와 같이 시행령 제30조1항에 여섯가지 항목 (내부 관리계획, 접근 통제, 암호화, 접속기록, 보안프로그램, 물리적 조치)으로 명시되어 있다.
개인정보의 안전성 확보조치 기준
이를 바탕으로 개인정보처리자가 반드시 준수해야 하는 최소한의 조치로써, 보다 구체적인 기준을 제시한 것이 바로 개인정보보호위원회고시 제2021-2호 ‘개인정보의 안전성 확보조치 기준’ 이다.
이 기준은 「개인정보 보호법」 제23조제2항, 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하고 있다.
개인정보의 안전성 확보조치 기준에서는 내부관리계획 수립 및 시행, 접근 권한의 관리, 접근통제, 암호화, 접속기록의 보관 및 점검, 악성프로그램 등 방지, 관리용 단말기 안전초지, 물리적 안전조치, 재해 및 재난 대비 안전조치, 개인정보의 파기에 대한 기준을 명시하고 있으며, 개인정보보호위는 각 기준에 대한 자세한 설명서 또한 홈페이지에 공개하였다. (개인정보의 안전성 확보조치 기준 해설서(2020년 고시 기준).
개인정보의 기술적·관리적 보호조치 기준
하지만 개인정보처리자 중에서도 정보통신서비스제공자등에 해당하는 사업자들은 개인정보 보호법 제29조의 안전조치의무를 이행함에 있어, 개인정보 보호법 시행령 제48조의2(개인정보의 안전성 확보 조치에 관한 특례)의 제1항에서 명시된 여섯가지 항목 (내부관리계획, 접근 통제, 접속기록, 암호화, 백신 소프트웨어 등)을 준수해야 한다.
개인정보보호법 시행령 제48조의2 제3항에 따라, 정보통신서비스제공자등이 이용자의 개인정보를 처리함에 있어 필요한 기술적·관리적 보호조치의 최소한의 기준을 제시한 것이 바로 개인정보보호위원회고시 제2021-3호 ‘개인정보의 기술적·관리적 보호조치기준’ 이다( 기술적·관리적 보호조치 기준에 대한 해설서(2020년 고시 기준)).
안전성 확보조치와 기술적·관리적 보호조치의 차이
앞서 말한 개인정보 보호법 제29조에 따른 안전조치 의무를 이행하기 위해서는 ‘개인정보의 안전성 확보조치 ‘또는 ‘기술적·관리적 보호조치’를 이행해야 하는데, 두가지 조치 중 어느 기준에 따를지 결정하기 위해서는 사업자의 유형을 알아야 한다.
만약 우리 기업이 ‘정보통신서비스제공자등’에 해당된다면 기술적·관리적 보호조치에 따른 기준을 이행해야 하고, ‘정보통신서비스제공자등’이 아닌 일반 개인정보처리자에 해당된다면 안전성 확보조치 기준에 따른 조치를 취해야 한다.
안전성 확보조치와 기술적·관리적 보호조치는 적용 대상이 다르기 때문에 그 내용에도 차이가 있다.
1. 내부관리계획의 수립
두 개의 고시에서 모두 내부관리계획의 수립과 시행에 대한 기준을 제시하고 있지만, 내부관리계획에 포함되어야 한다고 명시하고 있는 항목에 차이가 있다. 그리고 기술적·관리적 보호조치와는 달리 안전성 확보조치 기준에서는 개인정보처리자의 유형 및 개인정보 보유량에 따라 내부관리계획에서 포함되어야 할 부분과 포함되지 않아도 되는 부분이 다르게 적용된다는 차이점이 있다.
⁕ 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준
2.개인정보처리시스템에 대한 접근권한 관리
개인정보처리시스템에 대한 접근권한을 관리함에 있어서도 큰 틀에서 개인정보처리시스템에 대한 접근 권한을 관리하고 그 기록을 관리하여야 한다는 내용에서는 같지만, 접근 권한을 부여해야 한다는 대상과 접근 권한 변경 또는 말소에 대한 기록의 보관 기간, 비밀번호 작성규칙 등의 세부적인 내용에 있어 차이가 존재한다.
3.개인정보처리시스템의 접근통제
개인정보처리시스템의 접근통제는 세부적인 조치를 취함에 있어서의 차이는 있지만, 불법적인 접근 및 침해사고 방지를 위해 접근을 통제해야 한다는 내용에서는 동일하다. 다만, 전년도 말 기준 직전 3개월간 저장·관리되고 있는 이용자수가 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스제공자등이 적용을 받는 망분리에 관한 내용이 기술적·관리적 보호조치 기준에만 명시되어 있다.
4.접속기록의 검토
접속기록의 관리와 관련하여서도 개인정보취급자가 개인정보처리시스템에 접속한 기록을 점검하고 관리하여야 한다는 내용은 동일하지만, 보관 및 관리해야하는 기간에 있어서의 차이가 있으며 안전성 확보조치 기준에서는 고유식별정보 또는 민감정보를 처리하는 개인정보 처리시스템의 접속기록 보관·관리에 대한 세부적인 지침이 명시되어 있다.
이 외에도 개인정보의 암호화, 개인정보의 파기 등에 관련하여 내용의 차이가 존재하기 때문에 개인정보처리자는 우리 기업이 어느 고시에 따라 안전조치 의무를 수행해야 하는지를 먼저 파악한 후 각각의 고시에서 요구하는 내용에 맞게 조치를 취해야 할 것이다.