더 좋은 서비스 문화를 만들어가기 위한 공간입니다.방송과 통신에 대한 사용자의 권익증진과 인터넷 등 네트워크 환경에서 올바른 여론형성을 위해 기반을 마련하는 정책입니다.
제목 | 방통위,「개인정보의 기술적ㆍ관리적 보호조치 기준」해설서 개정 발간 | ||
---|---|---|---|
담당부서 | 개인정보침해조사과 | 작성자 | 황선철 |
공공누리 | 유형 | 연락처 | 02-2110-1525 |
첨부파일 | 등록일 | 2017-12-12 | |
방송통신위원회(위원장 이효성, 이하 ‘방통위’)와 한국인터넷진흥원(원장 김석환, 이하 ‘KISA’)은 ‘온라인을 통해 영리목적으로 개인정보를 수집·이용하는 정보통신서비스 제공자등이 개인정보를 안전하게 보관, 관리하기 위해 지켜야 할「개인정보의 기술적·관리적 보호조치 기준 해설서」를 개정했다’고 12일 밝혔다. 방통위와 KISA가 이번에 해설서를 개정한 배경은 온라인 사업의 특성상 1인 사업자부터 대기업에 이르기까지 규모 및 업종 등이 다양한 기업군이 분포함에 따라 이들 사이에서는 기술적·관리적 보호조치가 복잡하고 어렵다는 지적이 꾸준히 제기되어 왔다. 이에 따라 일반인도 쉽게 이해할 수 있도록 각 조문별 의미와 이행방법 등 사례를 상세히 수록하여 사업자별 환경에 맞는 개인정보 보호조치 기준을 수립·시행하는데 도움을 주기 위함이다. 개정된 해설서는 내부관리계획 수립·시행 등 관리적 분야, 접근통제, 접속기록의 위·변조 방지, 개인정보의 암호화, 악성프로그램 방지 조치 등 기술적 분야를 포함해 총 10개 조문에 대해 보완했으며, 2015년 5월 고시 개정을 통해 반영된 보호조치 기준의 목적(제1조), 최대 접속시간 제한조치(제4조), 암호화 대상 확대(제6조) 등 바뀐 제도를 추가하였다. 주요 바뀐 제도를 살펴보면, 첫째, 보호조치 기준의 목적이 사업자가 준수해야 할 ‘최소한의 기준’을 정하는 것으로, 각 사업자가 사업규모 등을 고려하여 사업자 환경에 맞는 보호조치 기준을 수립하여 시행토록 하였다.(제1조 제1항, 제2항) 둘째, 사업자가 수립·시행하여야 할 내부관리계획에 ‘개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항“, 개인정보 유출사고 등 발생시 대응절차 및 방법에 관한 사항”을 추가하였다.(제3조 제1항) 셋째, 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속할 때에 공인인증서만이 안전한 인증수단인 것으로 오해하는 경우가 많아 다양한 인증수단을 사용할 수 있음을 명확히 하였다.(제4조 제4항) 넷째, 개인정보취급자가 업무종료 이후에도 로그아웃 등 보호조치를 하지 않아 해킹에 의한 개인정보 유출사고가 발생한 사례가 있어, 사업자는 개인정보처리시스템에 대한 접속이 필요한 시간에 한하여 최대접속시간 제한 등의 조치를 하도록 하였다.(제4조 제10항) 다섯째, 개정된 정보통신망법에 따라 온라인상 주민등록번호수집이 금지(‘14.8월)됨에 따라 주민등록번호 외에 고유식별번호의 이용이 늘어날 것으로 예상되어, “여권번호, 운전면허번호, 외국인등록번호”를 암호화 대상에 추가하였다.(제6조 제2항) 여섯째, 업무환경의 변화로 스마트폰, 태블릿 PC 등 모바일 기기 및 보조저장매체(외장형 HDD 등)에 개인정보를 저장할 때에도 암호화를 적용하도록 하였다.(제6조 제4항) 일곱째, 개인정보가 보관된 전산실, 자료보관실 등에 대한 출입통제 절차와 보조저장매체의 반출입 통제 등 물리적 접근 방지 조치를 하도록 하였다.(제8조) 여덟째, 업무 담당자가 실무에 참고할 수 있도록 ‘정보통신서비스 제공자등을 위한 망분리 해설’과 그간 개인정보보호 업무와 관련하여 문의가 많았던 31개 사항도 질답 형식(Q&A)으로 정리해 함께 수록하였다. 이번에 개정된 해설서는 방통위 홈페이지(https://www.kcc.go.kr) 및 KISA 온라인 개인정보보호 포털(https://www.i-pravacy.kr) 자료실에서 내려 받아 볼 수 있다. 김재영 방통위 이용자정책국장은 “해설서에 담긴 내용은 사업자가 이용자 개인정보 보호를 위해 지켜야 할 최소한의 기준으로서 사업자들은 해설서 내용을 숙지하고 관련 업무를 지속적으로 점검·개선하여야 한다”라고 밝혔다. 끝. 보충자료 고시 해설서 추가 세부내용 □ 최소한의 기준 원칙 및 개인정보보호 안전성 확보 근거 마련 (제1조 제1, 2항) ○보호조치 기준의 목적을 현행 ‘구체적인 기준’에서 ‘최소한의 기준’으로 정함 ○사업규모·개인정보 보유 수 등을 고려하여 사업자 스스로의 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행토록 함 □ 사업자의 내부관리계획 보완 (제3조 제1항제5호·제6호 및 제2항) ○위탁자의 명확한 관리책임을 위하여 “개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항”을 추가함 ○개인정보 유출 사고 시 신속한 대응 조치를 취할 수 있도록 “개인정보 유출사고 등 발생 시 대응절차 및 방법에 관한 사항”을 추가함 ○사업자 환경에 따른 자율적인 교육계획 수립·시행을 위하여 “매년 2회 이상 교육”을 “사업규모, 개인정보 보유수 등을 고려하여 필요한 교육을 정기적으로”로 변경·완화함 □ 인증수단 확대 및 비밀번호 작성규칙 완화 (제4조 제4항 및 제8항) ○개인정보처리시스템 접속시 공인인증서 뿐만 아니라 다양한 인증수단을 사용할 수 있도록 “공인인증서 등”을 삭제하여 사업자의 선택기회 확대 ○“영문 대문자(26개)·영문 소문자(26개)·숫자(10개)·특수문자(32개)”로 지나치게 세부적인 비밀번호 작성규칙을 “영문·숫자·특수문자”로 간략화 함 □ 접근통제 장치 확대 및 시스템 접속시간 제한 (제4조 제9항 및 제10항) ○현재 개인정보취급자의 “컴퓨터”에만 접근통제 조치를 하고 있으나, 태블릿PC 등으로 업무환경이 변화됨에 따라 “모바일 기기”를 추가함 ○개인정보처리시스템에 대한 접속이 필요한 시간에 한하여 유지되도록 “최대 접속시간 조치” 등을 취하도록 함 □ 개인정보 암호화 대상 확대 (제6조 제2항) ○현재 암호화 대상(비밀번호, 바이오정보, 주민등록번호, 신용카드번호, 계좌번호)에 “여권번호, 운전면허번호, 외국인등록번호”를 추가함 □ 개인정보 저장장치 암호화 확대 (제6조 제4항) ○현재 개인정보를 저장할 때 암호화해야 하는 장치를 “컴퓨터”에 한정하고 있으나, “모바일 기기 및 보조저장매체”를 추가함 □ 물리적 접근 방지 근거 마련 (제8조 신설) ○보조저장매체 등을 통한 개인정보 유출을 막기 위해 전산실, 자료보관실 등에 대한 출입통제, 보조저장매체의 반출·입 통제 근거를 신설함 |
이전글 | 개인정보의 기술적 관리적 보호조치 기준 해설서(개정)2017-12-12 |
---|---|
다음글 | 가족을 납치했다는 사기 전화에 침착하게 대응하세요2017-12-12 |
민원안내 : 02-500-9000(평일 09:00~18:00), 팩스 : 02-2110-0153
Copyright © Korea Communications Commission. All Rights reserved.