[개인정보의 이해] ‘개인정보의 안전성 확보조치 기준’ 개정(안) 사전 공개 내용 살펴보기

11월 13일 개인정보보호위원회에서 개인정보보호법의 하위 고시인 ‘개인정보의 안전성 확보조치 기준’과 정보통신망법 하위 고시인 ‘개인정보의 기술적·관리적 확보조치 기준’의 통합 개정안을 사전 공개하였으며, 현재 의견을 수렴하고 있습니다.

개인정보보호위원회 링크

 

개정 사유

기존 개인정보보호법과 정보통신망법에서는 개인정보의 안전조치에 관한 기준이 서로 다른 고시로 각각 수립되어 있었습니다. 개인정보의 안전조치에 관한 기준이 처리자 유형에 따라 상이하여 적용되는 혼선을 방지하기 위해 통합된 기준이 필요하게 되었으며, 이에 개인정보보호위원회에서 통합 개정안을 공개하였습니다.

주요 개정 내용

1. 접근 권한의 관리

- 기존 정보통신망법 고시에 명시된 비밀번호 작성규칙이 삭제되었으며, 기술의 발전에 따라 비밀번호 이외 인증 수단 적용이 가능하도록 '안전한 인증방법 적용' 내용이 추가되었습니다.

- 권한 부여 및 변경, 말소 기록을 최소 3년간 보관하는 내용으로 기준을 통일하였습니다.

​

2. 접근통제

- 기존 정보통신망법 고시에 명시된 망분리 내용이 이관되었습니다. 단, 적용 대상을 정보통신서비스 제공자등으로 한정하였으며 논리적 망분리, 물리적 망분리란 용어 대신 외부 인터넷망 차단 조치 내용으로 변경되었습니다.

- 기존 개인정보보호법 고시에서는 외부망에서 개인정보처리시스템 접속 시 사용 가능한 접속수단을 가상사설망(VPN : Virtual Private Network) 또는 전용선 등으로 한정하였는데요. 개정된 고시에서는 ‘안전한 접속수단’으로 변경되면서 다양한 안전한 접속수단 적용이 가능해졌습니다.

​

3. 개인정보 암호화

- 기존 정보통신망법 고시 통합으로 암호화 대상 개인정보에 신용카드번호와 계좌번호가 추가되었으며, 바이오정보가 바이오인식정보로 변경되었습니다.

- 개인정보 저장 시 내부망과 DMZ 등 저장위치를 구분하여 암호화 여부를 판단하던 기존 내용이 내부망과 DMZ 구분 없이 모두 암호화하여 저장하는 것으로 범위가 확대되었습니다.

- 기존 정보통신망법 고시와 통합되면서 개인정보 및 인증정보 송수신 시 암호화 방법을 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하거나 암호화 응용프로그램을 설치하는 기술로 제한하였던 상세 내용이 삭제되었습니다. 이를 통해 다양한 암호화 송수신 기술 적용이 가능해졌습니다.

- 업무용 컴퓨터 또는 모바일기기에 고유식별정보가 저장 될 경우에만 암호화 하도록 명시된 기존 내용에서 저장 위치에는 보조저장매체가 추가되고 암호화 대상은 개인정보로 확대되어 암호화 기준이 강화되었습니다.

​

4. 출력·복사시 안전조치 및 개인정보 표시제한 안전조치

- 기존 정보통신망법 고시와 통합되면서 출력(인쇄, 표시, 생성) 용도별 출력항목을 최소화하고 종이 인쇄물에 대한 보호조치와 개인정보 마스킹 적용에 대한 내용이 이관되었습니다.

​

5. 개인정보의 파기

- 개인정보 파기에 대한 상세 기준이 삭제되고, 현재의 기술수준에서 사회통념상 적정한 비용으로 파기하도록 내용이 변경되었습니다.

 

이번 개정안은 기존의 개인정보보호법과 정보통신망법의 고시 내용을 통합하여 제시함으로써 보다 일관성 있는 기준을 제공함과 동시에 특정 기술의 적용을 강제하지 않아 다양한 보안 기술을 적용할 수 있다는 점에서 환영할 만한 내용이라고 생각합니다. 일관된 기준 아래 다양한 개인정보 보호 기술이 개발되어 개인정보를 더욱 더 안전하게 보호할 수 있기를 기대합니다.

 

출처 :

* 이 글은 NAVER 개인정보보호 공식 페이스북을 통해서도 소개해드리고 있습니다.