개인정보 보유량에 따라 안전조치 의무 차등화…9월 1일 시행

개인정보를 많이 보유한 기업·기관일수록 강력한 개인정보보호 조치를 적용해야 한다.

개인정보 보유량과 기업규모에 따라 개인정보 안전조치 기준을 차등화하는 내용을 담은 ‘개인정보의 안전성 확보조치 기준’이 9월 1일 시행된다.

행정자치부는 개인정보보호법과 그 시행령을 근거로 운영해온 ‘개인정보의 안전성 확보조치 기준’을 이번에 대폭 개정·시행에 들어간다. 이 기준은 기업이나 공공기관이 개인정보를 수집·이용할 때 준수해야 하는 안전조치에 관한 기술적·관리적·물리적 조치에 관한 세부사항을 규율하고 있다.

이번 개정·시행된 고시의 가장 큰 특징은 기업 규모와 개인정보 보유량에 따라 개인정보처리자를 3가지 유형으로 분류해 안전조치 의무사항을 차등화했다는 점이다.

개인정보 보유량이 1만명 미만인 소상공인, 단체 등(유형1)은 내부관리계획 수립이 면제된다. 아울러 외부에서 시스템 접속시 가상사설망(VPN) 적용의무, 고유식별정보 취약점 점검 등 시스템 접근 제한 및 접근통제를 위한 기술적 안전조치 일부가 면제된다.

개인정보 보유량이 100만명 미만 중소기업, 10만명 미만 대기업 및 공공기관 등(유형2)은 재해·재난 대비 등을 위한 안전조치 사항(개인정보시스템 백업 및 복구 등) 의무가 면제된다. 다만 개인정보처리시스템에 대한 접근권한 및 접근통제 조치는 강화해야 한다.

개인정보 보유량이 10만명 이상 대기업 및 공공기관, 100만명 이상의 개인정보를 보유한 중소기업 등(유형3)은 위험도 분석·대응, 안전한 암호 키 관리 절차, 재해·재난 대비 등을 위한 안전조치 의무화 등 비상시 대응절차가 강화된다.

한편, 관리적·기술적 안전조치 관련내용도 강화했다.

개인정보 유출사고 예방을 위해 개인정보보호조직 구성·운영, 유출행위 탐지·대응 및 개인정보처리시스템에 접속하는 단말기에 대한 안전조치 등 관리적 안전조치 규정이 신설됐다.

또 개인정보처리시스템에 비정상 계정접근 차단조치, 일정시간 이상 업무처리를 하지 않는 경우 자동 접속차단 등 시스템에 대한 불법적인 접근 및 침해사고 방지를 위한 기술적 안전조치가 추가됐다.

지난 5월 기준 개정 공청회 당시 가장 논란이 있었던 개인정보 수탁자 관리·감독 규정은 포함되지 않았다.

이인재 행정자치부 전자정부국장은 “그간 개인정보 보유량과 상관없이 안전성 확보조치 기준의 획일적 규제는 불합리한 측면이 있었던 것이 사실”이라며, “안전성 확보조치 기준이 합리적으로 개선돼 대다수 영세사업자의 개인정보 보호에 대한 과도한 규제부담을 완화하면서 상대적으로 대규모 개인정보 보유기관의 개인정보 보호 수준을 향상시키는 계기가 될 것으로 기대된다”고 말했다.