|
행정자치부, 개인정보의 안전성 확보조치 기준 정비
- 정보처리업무 수탁자에 대한 감독의무 강화, 모바일 기기 사용에 대한 규제 추가 등-
|
| 연이은 카드사 개인정보 유출 등 개인정보 사고에 대응하기 위해, 행정자치부가 ‘개인정보의 안전성 확보조치 기준’(이하 “안전성기준”)을 3년만에 개정하여, 개인정보처리업무 수탁자에 대한 감독의무를 강화하고 모바일 기기 사용에 대한 통제를 추가하는 등 전반적으로 규제수준을 높였습니다. 2014. 12. 30.부터 시행된 안전성기준은 개인정보를 처리하는 모든 행정기관, 기업 등 개인정보처리자에게 적용되고, 이번 개정은 그 동안 지적되어온 문제점 등을 보완하면서 IT 환경의 변화에 부응하기 위하여 이루어진 것으로서 개인정보처리자는 관심을 가지고 보아야 할 내용입니다. 이하 주요 개정 내용에 관하여 설명 드리도록 하겠습니다. |
| I. |
개인정보의 안전성 확보조치 기준이란? |
| |
안전성기준은 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실,도난,유출,변조,훼손되지 아니하도록 안전성을 확보하기 위하여 취하여야 하는 세부적인 기준을 정하는 것을 목적으로 마련된 고시입니다. 안전성기준에는 개인정보보호 정책의 수립 및 운영과 같은 관리적인 부분과 함께, 암호화 및 접근통제와 같은 IT보안관련 요구사항이 포함되어 있습니다. |
| II. |
주요 개정 내용 |
| |
이번 개정에서는 카드사 개인정보 유출 사고 등에 따라 개인정보에 대한 보호 의무를 강화하고, 모바일의 보편화를 고려하여 모바일 환경에서의 개인정보처리에 관한 보호조치 등이 추가되었습니다. 주요 사항은 아래와 같습니다. |
| |
- 개인정보처리업무 위탁 시 수탁자에 대한 관리감독 의무 강화
- 모바일 기기의 사용에 대한 통제 추가
- 보조저장매체(USB 저장장치)에 대한 반출입 통제
- 접속기록 검토 의무 강화
- 개인정보 파기에 관한 세부 기준 마련 |
|
| |
보다 자세히 보면, 먼저 개인정보 처리업무를 위탁하는 경우 개인정보보호를 위한 내부관리계획에 수탁자에 대한 관리 및 감독에 관한 사항을 명시하도록 새로운 조항이 추가되었습니다. 이는 기존 개인정보보호법에서 강조하고 있었으나 안전성기준에서는 직접적으로 언급하지 않았던 사항을 그 사안의 중요성을 고려하여 포함한 것으로 분석됩니다.
또한 기존 제6조(접근통제 시스템 설치 및 운영)를 개정하여, 모바일기기 사용 및 인터넷 홈페이지 관련 위험 관리를 강화하고 있습니다. 접근통제 부분은 금번 개정 중 가장 많은 항목이 수정되었으며, 주요 내용은 아래와 같습니다. |
| |
 |
인터넷 홈페이지 상에서 성명·주민번호로 본인인증 시 추가인증을 요구함으로써 본인인증을 강화하였습니다. 이는 그 동안 발생하였던 대형 개인정보 유출사고들로 인하여 성명·주민번호의 기밀성이 사실상 훼손되었음을 반증하는 것으로 분석됩니다. |
| |
|
취급 중인 개인정보가 IT환경을 통하여 유출되지 않도록, 개인정보처리시스템, 업무용 컴퓨터에 접근통제조치를 취해야 한다는 기존 요구사항에 모바일 기기를 추가함으로써, 최근 모바일 기기를 통한 업무 및 비즈니스 확장으로 인한 유출 위험의 관리를 요구하고 있습니다. |
| |
|
고유식별번호를 처리하는 개인정보처리자의 경우 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검해야 함을 추가하였습니다. |
| |
|
개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용할 경우 기기 자체의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근통제 기능을 이용할 수 있도록 하여, 개인정보처리시스템을 별도로 운영하지 않은 기업을 위한 접근통제 방안을 제시하였습니다. |
| |
나아가 기존 업무용 컴퓨터에 저장되는 고유식별정보의 암호화 요구사항에, 모바일 기기를 추가하여, 모바일 기기에 고유식별정보 저장시 업무용 컴퓨터와 마찬가지로 상용 암호화 소프트웨어나 안전한 암호화 알고리즘으로 암호화하도록 하였습니다.
아울러 개인정보처리시스템의 접속기록 등에 대한 반기 1회이상의 점검의무, 개인정보가 포함된 USB, 외장하드 등 보조저장매체의 반출입 통제를 위한 보안대책 마련 의무도 신설되었습니다.
끝으로 개정 고시는 개인정보의 파기를 위한 조치를 구체적으로 명시하여 복원이 불가능하게 하도록 요구하고 있습니다. 개인정보의 일부만을 파기하는 경우에도, 전자적 파일 형태의 개인정보는 최소한 삭제된 내용이 복구 불가능하도록 관리감독 해야 하고, 문서 등에 있어서는 해당부분을 마스킹하거나 천공하도록 요구하고 있습니다. |
| III. |
개정 안정성기준의 의미 |
| |
이번 개정안은 다음과 같은 의미를 가지는 것으로 분석됩니다. |
| |
1. 위수탁관리책임의 강화 |
| |
2014년초에 있은 카드3사의 개인정보유출건을 비롯하여 최근의 일련의 개인정보 유출사건에서 보듯이, 개인정보를 수탁처리하는 개인정보처리자의 급증과 이에 따른 수탁자 관리소홀로 인한 오남용, 유출 위험이 증대되고 있음을 감안하여, 위탁자의 수탁자에 대한 관리감독의무를 강화하였습니다. 이는 위탁자의 수탁자에 대한 관리감독실패에 따른 법적 책임을 강화하려는 최근의 추세에 맞춘 것이어서, 수탁자를 통하여 개인정보를 처리하는 개인정보처리자로서는 보다 주의하여 수탁자 관리감독업무를 수행해야 할 것입니다. |
| |
2. 모바일기기에 대한 관리 강화 |
| |
모바일 기기를 통한 업무수행이 일반화 되고 있는 현실을 감안하여 개인정보처리시스템에 모바일기기가 명시적으로 포함되었으므로, 모바일 기기를 통하여 개인정보를 처리하는 개인정보처리자는 그 임직원들의 모바일기기에 대한 안전성확보조치 기준 충족여부를 확인하여야 할 것입니다. |
| |
3. 주민등록번호 등 고유식별정보에 대한 관리강화 |
| |
이미 2014.8.부터 법령상 허용되는 경우를 제외하고는 사실상 주민등록번호의 수집, 이용 등 처리를 금지하고 있지만, 법령에 근거하여 고객, 임직원의 주민등록번호를 수집·관리하는 개인정보처리자가 여전히 많을 수밖에 없는 현실입니다. 이에 이번 개정 안전성기준은, 연 1회이상 취약점 점검 등 고유식별정보 관리에 대한 보다 강화된 의무를 부여함으로써 그 오남용, 유출에 대한 법적 책임을 강화하는 관련 법률의 개정방향과 궤를 같이 하고 있습니다. 따라서 주민등록번호를 수집·이용할 수밖에 없는 개인정보처리자는 그 수집을 최소화하고 관리수준을 업그레이드 시킬 필요가 있다 할 것입니다. |
| |
4. 개인정보파기의 강화 |
| |
개인정보보호법을 비롯한 개인정보관련 주요 법률 및 그 개정안에서 개인정보파기책임을 강화하고 있는 추세에 맞추어 이번 개정 안전성기준은 이용목적을 달성하였거나 이용기간이 종료된 개인정보의 파기에 관한 구체적인 기준을 제시하였습니다. 따라서, 개인정보처리자는 현재의 개인정보의 파기절차가 이번 개정 기준에 맞는 것인지를 점검해 볼 필요가 있다 할 것입니다. |
| IV. |
결론 |
| |
이번 안전성기준 개정과 함께, 2014.7.31. 발표된 범정부 개인정보보호 종합대책(자세한 내용은 2014.8. 뉴스레터 참조: 뉴스레터 보기)에서 언급된 내용을 반영한 개인정보보호법 등 관련 법률의 추가적인 개정이 있을 것으로 예상되므로, 이러한 법개정의 내용을 예의주시하면서, 아울러 이번 안정성 기준 개정 내용이 업무집행과정에 누락됨이 없도록 하여 개인정보보호에 대한 법적 요구사항을 성실히 준수할 수 있도록 하여야 할 것입니다.
보다 자세한 내용에 대한 문의는 우측 Contact Point로 연락주시기 바랍니다. |
| 광장 DPP 팀 소개 및 Contact Point |
| |
법무법인 광장은 국내 최대 규모의 개인정보보호 및 정보보안 전문가들로 구성된 DPP(Data and Privacy Protection) 팀을 구성하여 지난 수년간 개인정보 유출 사건에 대하여 각종 민형사 사건을 수행하고 다수의 컴플라이언스 프로젝트를 수행하는 등 기업의 개인정보와 관련한 법적 자문, 조사 대응, 해킹 사고 대응, 소송 등의 법률서비스를 제공하고 있습니다. 위 뉴스레터 내용과 관련하여 궁금하거나 문의사항이 있으시면 박광배 변호사(kwangbae.park@leeko.com, 02-772-4343) 또는 고환경 변호사(hwankyoung.ko@leeko.com, 02-2191-3057)에게 언제든지 연락주시기 바랍니다. |
