지난 7월 7일 개인정보의 안전성 확보조치 기준 개정고시안이 올라왔습니다.
동시에 개인정보의 기술적 관리적 보호조치 기준 폐지고시안이 올라왔습니다.
이미 7월 26일에 의견제출기간은 마감되었지만 혹시 필요하신 분이 계실까 싶어 업로드합니다.
물론 개정안이 확정되어 행정예고되면 다시 한번 올리겠습니다.
※ 본 행정예고는 최종 고시가 발표되어 폐기되었습니다.
개정된 고시는 다음 포스팅에서 확인하실 수 있습니다.
2023.09.24 - [보안 이야기/법령 살펴보기] - 개인정보의 안전성 확보조치 기준 개정안 검토내역
전체적으로는 개인정보보호법에서 정보통신서비스제공자에 관한 특례 조항이 대부분 사라지고 일반조항과 통합되면서 개인정보의 안전성 확보조치 기준과 개인정보의 기술적 관리적 보호조치 기준도 통합되었습니다.
상세 내용은 다음과 같습니다.
제2조(정의) 제2호 | |
기존 | (개인정보의 안전성 확보조치 기준) 1. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. |
개정 | 2. “이용자”란 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제2조제1항제4호에 따른 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다. |
의견 | 이용자는 정보통신서비스를 이용하는 자로 정보통신망 서비스 사업자에게만 적용되는 조항에 대해서 '이용자'라는 용어로 구분하고 있음. '정보주체'는 '이용자'를 포함한다. |
제2조(정의) 제3호 | |
기존 | (개인정보의 안전성 확보조치 기준) 19. "접속기록"이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 "접속"이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다. (개인정보의 기술적 관리적 보호조치 기준) 7. "접속기록"이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다. |
개정 | 3. "접속기록"이란 개인정보처리시스템에 접속하는 자가 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자, 접속일시, 접속지정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 "접속"이란 개인정보처리시스템과 연결되어 데이터 송신또는수신이 가능한 상태를 말한다. |
제2조(정의) 제12호 | |
기존 | (개인정보의 기술적 관리적 보호조치 기준) 18. "내부망"이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다. |
개정 | 12. "내부망"이란 인터넷망 차단, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다. |
의견 | 물리적으로 분리되어 있지 않아도 인터넷이 차단되어 있는 환경은 '내부망'으로 인정되도록 변경되으나 실무에서 크게 변경되는 내용은 아니라고 판단됨 |
제2조(정의) 제15호 | |
기존 | (개인정보의 안전성 확보조치 기준) 20. "관리용 단말기"란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다. |
개정 | 15. "관리용 단말기"란 개인정보처리시스템의 관리, 운영, 개발, 보안등의목적으로 개인정보처리시스템에 접속하는 단말기를 말한다. |
의견 | 기존 '관리용 단말기'는 시스템에 직접 연결되어 있는 단말기만 대상에 포함되어 실제 시스템운영자나 개발자, 보안담당자가 네트워크를 통해 접속하는 업무용 단말기는 관리용 단말기에 포함되지 않았으나 '직접'이라는 말을 삭제하면서 네트워크를 통해 접속하는 단말도 퐈함되어 개인정보처리시스템 관리, 운영, 개발, 보안등을 목적으로 하는 모든 업무용 단말기는 관리용 단말기에 포함됨 이는 본 고시 제10조(관리용 단말기의 안전조치)를 적용해야 하며 '본래 목적 되로 사용되지 않도록 조치'라는 제2호에 대해 논란이 생길 것으로 보임 |
제4조(내부 관리계획의 수립·시행 및 점검) 제1항 | |
기존 | (개인정보의 안전성 확보조치 기준) ① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. (개인정보의 기술적 관리적 보호조치 기준) ③ 정보통신서비스 제공자등은 제1항 및 제2항에 대한 세부 계획, 제4조부터 제8조까지의 보호조치 이행을 위한 세부적인 추진방안을 포함한 내부관리계획을 수립ㆍ시행하여야 한다. |
개정 | ① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는내부 관리계획을 수립·시행하여야 한다. 다만, 1만명 미만의 정보주체에관하여 개인정보를 처리하는 소상공인·개인·단체의 경우에는 생략할 수있다. |
의견 | 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인(기존 개인정보의 안전성 확보조치기준 [별표]의 유형1)의 경우 내부관리계획 수립 및 시행 의무가 없는 내용은 동일함. 그러나, 기존 고시 [별표] 유형2에 해당하는 경우 별도의 예외조항이 삭제되면서 13, 14호(위험분석 및 관리, 수탁자 관리 감독)에 대한 의무가 발생했음 |
제4조(내부 관리계획의 수립·시행 및 점검) 제1항 제10호 | |
기존 | - |
개정 | 10. 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항 |
의견 | 개인정보 내부관리계획에 취약점 점검에 관한 사항이 포함되어야 함 |
제4조(내부 관리계획의 수립·시행 및 점검) 제2항 | |
기존 | (개인정보의 기술적 관리적 보호조치 기준) ② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수 등을 고려하여 필요한 교육을 정기적으로 실시하여야 한다. 1. 교육목적 및 대상 2. 교육 내용 3. 교육 일정 및 방법 |
개정 | ② 개인정보처리자는 다음 각 호의 사항을 정하여 개인정보 보호책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수, 업무성격등에따라 차등화하여 필요한 교육을 정기적으로 실시하여야 한다. 1. 교육목적 및 대상 2. 교육 내용 3. 교육 일정 및 방법 |
의견 | 정보통신서비스 사업자에게만 적용되었던 교육에 대한 구체적인 걔획을 정해야 한다는 내용이 일반 개인정보처리자에게 확대 적용됨 |
제4조(내부 관리계획의 수립·시행 및 점검) 제4항 | |
기존 | (개인정보의 안전성 확보조치 기준) ④ 개인정보보호책임자는 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상으로 점검ㆍ관리 하여야 한다. |
개정 | ④ 개인정보 보호책임자는 접근 권한 관리, 접속기록 보관 및 점검, 암호화조치 등 내부 관리계획의 이행 실태를 연1회 이상 점검·관리 하여야한다. |
의견 | 개인정보의 내부관리계획 실태점검 의무는 개인정보의 기술적 관리적 보호조치 기준을 적용받는 정보통신서비스제공자는 적용받지 않았으나 통합되면서 모든 개인정보처리자에게 적용되도록 변경되었음. 다만, 정보통신서비스사업자의 경우 두개 고시가 대치되는 경우에는 기술적 관리적 보호조치 기준을 따르지만 대치되지 않는 경우 두개 고시를 모두 적용하는 것이 일반적이었기 때문에 실무에서 변경되는 사항은 없을 것으로 판단됨 |
제5조(접근 권한의 관리) 제2항 | |
기존 | (개인정보의 안전성 확보조치 기준) ② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다. (개인정보의 기술적 관리적 보호조치 기준) ② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다. |
개정 | ② 개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다. |
의견 | 개인정보취급자가 변경될때 뿐 아니라 개인정보취급자의 업무가 변경될 때도 접근권한을 변경 또는 말소해야 함 |
제5조(접근 권한의 관리) 제3항 | |
기존 | (개인정보의 안전성 확보조치 기준) ③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다. (개인정보의 기술적 관리적 보호조치 기준) ③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다. |
개정 | ③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에대한 내역을 전자적으로 기록하고, 그 기록을 최소 3년간 보관하여야한다. |
의견 | 기존 개인정보의 기술적 관리적 보호조치 기준을 적용받던 정보통신서비스 사업자의 경우 접근권한 부여 기록에 대한 보존기간이 5년에서 3년으로 축소됨 |
제5조(접근 권한의 관리) 제4항 | |
기존 | (개인정보의 안전성 확보조치 기준) ④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.(개인정보의 기술적 관리적 보호조치 기준) |
개정 | ④ 개인정보처리자는 개인정보처리시스템에 접근할 수 있는 계정을 발급하는 경우 정당한 사유가 없는 한 개인정보취급자 별로 계정을 발급하고다른 개인정보취급자와 공유되지 않도록 하여야 한다. |
의견 | 정당한 사유가 있는 경우 공용계정 발급할 수 있는 단서조항이 추가되었음 |
제5조(접근 권한의 관리) | |
기존 | (개인정보의 안전성 확보조치 기준) ⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다. (개인정보의 기술적 관리적 보호조치 기준) ⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다. ⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용ㆍ운용하여야 한다. |
개정 | - |
의견 | 비밀번호 외에도 인증수단이 다양해지면서 비밀번호 이용에 대한 의무사항이 삭제되었음 |
제5조(접근 권한의 관리) 제5항 | |
기존 | - |
개정 | ⑤ 개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게적용하고 관리하여야 한다 |
의견 | 인증수단 다양화로 인해 인증정보 유출 가능성이 높아지면서 인증수단의 안전한 관리 의무가 추가되었음 |
제5조(접근 권한의 관리) 제6항 | |
기존 | (개인정보의 안전성 확보조치 기준) ⑥ 개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다. |
개정 | ⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를하여야 한다. |
의견 | 비밀번호가 아닌 다른 인증 수단을 사용하는 경우에도 인증 실패 시 접근 제한 등의 의무는 유지됨 |
제6조(접근통제) 제2항 | |
기존 | (개인정보의 안전성 확보조치 기준) ② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다. (개인정보의 기술적 관리적 보호조치 기준) ④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다. |
개정 | ② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 안전한 인증수단을 적용하여야 한다. |
의견 | 기존 개인정보의 안전성 확보조치 기준에 존재하던 안전한 접속수단 사용 의무는 제거되었음. 안전한 인증수단은 여전히 적용이 필요함 |
제6조(접근통제) | |
기존 | (개인정보의 안전성 확보조치 기준) ④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출ㆍ변조ㆍ훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다. |
개정 | - |
의견 | 고유식별정보 처리자에 대한 취약점 점검 항목은 사라졌으나 개인정보 내부관리계획에 취약점 점검에 대한 내용이 추가되어실질적인 변경사항은 없음 |
제6조(접근통제) | |
기존 | (개인정보의 안전성 확보조치 기준) ⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다. |
개정 | - |
의견 | 소상공인에 대한 예외규정이 삭제되어 소상공인도 안전한 인증수단 적용, 세션 타임아웃 적용 의무가 추가됨 |
제6조(접근통제) 제6항 | |
기존 | (개인정보의 기술적 관리적 보호조치 기준) ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다. |
개정 | ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자수가 일일평균 100만명 이상인 개인정보처리자는 개인정보처리시스템에서개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에대한접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성·운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다. |
의견 | 망분리 시 매출액 기준은 삭제되고 전년도 4/4분기 저장 관리되는 이용자수 일평균 100만명 이상인 경우에만 망분리 의무가 생겼음. 이 때, 망분리는 인터넷망에 대한 차단을 의미하며 클라우드 서비스를 이용하는 경우 해당 클라우드 접속은 허용된다. |
제조(개인정보의 암호화) 제3항 | |
기존 | (개인정보의 안전성 확보조치 기준) ④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다. |
개정 | ③ 개인정보처리자는 이용자가 아닌 정보주체의 개인정보를 다음 각 호와같이 저장하는 경우에는 암호화하여야 한다. 2. 내부망에 고유식별정보를 저장하는 경우(다만, 주민등록번호 외의고유식별정보를 저장하는 경우에는 다음 각 목의 기준에 따라 암호화의적용여부 및 적용범위를 정하여 시행할 수 있다) |
의견 | 주민등록번호는 내부망에 저장하도라도 개인정보 영향평가 결과나 위험도 분석 결과와 상관없이 암호화 하도록 변경됨 |
제7조(접근통제) 제2항 | |
기존 | (개인정보의 안전성 확보조치 기준) ⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다. (개인정보의 기술적 관리적 보호조치 기준) ② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리즘으로 암호화하여 저장한다. 1. 주민등록번호 2. 여권번호 3. 운전면허번호 4. 외국인등록번호 5. 신용카드번호 6. 계좌번호 7. 생체인식정보 |
개정 | ② 개인정보처리자는 다음 각 호의 해당하는 이용자의 개인정보에 대해서는안전한 암호 알고리즘으로 암호화하여 저장하여야 한다. 1. 주민등록번호 2. 여권번호 3. 운전면허번호 4. 외국인등록번호 5. 신용카드번호 6. 계좌번호 7. 생체인식정보 |
의견 | 개인정보의 안전성 확보조치 기준 적용 대상자와 개인정보의 기술적 관리적 보호조치 기준 적용 대상자의 암호화 대상 정보가 상이했던 부분이 통합됨 |
제8조(접속기록의 보관 및 점검) 제1항 | |
기존 | (개인정보의 안전성 확보조치 기준) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관ㆍ관리하여야 한다. (개인정보의 기술적 관리적 보호조치 기준) ① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인ㆍ감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존ㆍ관리하여야 한다. |
개정 | ① 개인정보처리자는 개인정보처리시스템에접속한 자에 대한 접속기록을 생성하고 3개월 이상 보관·관리하여야한다. |
의견 | 정보주체의 접속기록은 3개월 이상 보관해야 함. 다만, 통신비밀보호법과 동일한 기간으로 정보통신서비스 사업자의 경우 변경되는 사항은 없음 |
제8조(접속기록의 보관 및 점검) 제5항 | |
기존 | (개인정보의 안전성 확보조치 기준) ③ 개인정보처리자는 개인정보취급자의 접속기록이 위ㆍ변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다. (개인정보의 기술적 관리적 보호조치 기준) ③ 정보통신서비스 제공자등은 개인정보취급자의 접속기록이 위ㆍ변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다. |
개정 | ⑤ 개인정보처리자는 제1항 및 제2항에 따른 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하기 위한 조치를 하여야한다. |
의견 | 개인정보의 기술적 관리적 보호조치 기준에서 요구하던 별도의 물리적인 저장장치에 백업 의무는 삭제됨 |
제9조(악성프로그램 등 방지) 제1항 | |
기존 | (개인정보의 안전성 확보조치 기준) 개인정보처리자는 악성프로그램 등을 방지ㆍ치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치ㆍ운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다. (개인정보의 기술적 관리적 보호조치 기준) 정보통신서비스 제공자등은 악성 프로그램 등을 방지ㆍ치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치ㆍ운영하여야 하며, 다음 각호의 사항을 준수하여야 한다. |
개정 | ① 개인정보처리자는 악성프로그램 등을방지·치료할 수 있는 보안 프로그램을 설치·운영하여야 하며, 다음 각 호의사항을 준수하여야 한다. |
의견 | 백신 외에도 악성프로그램을 방지하거나 치료할 수 있는 기능이 있다면 허용할 수 있도록 개정되었음 |
제11조(물리적 안전조치) 제3항 | |
기존 | (개인정보의 안전성 확보조치 기준) ③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출ㆍ입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다. (개인정보의 기술적 관리적 보호조치 기준) ③ 정보통신서비스 제공자등은 개인정보가 포함된 보조저장매체의 반출ㆍ입 통제를 위한 보안대책을 마련하여야 한다. |
개정 | ③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출·입 통제를위한보안대책을 마련하여야 한다. |
의견 | 개인정보처리시스템이 없이 업무용 단말기에서 개인정보를 처리하는 경우에도 보조저장매체 반출입 통제를 하도록 변경 |
제13조(출력·복사시 안전조치) 제3항 | |
기존 | - |
개정 | ③ 개인정보처리자가 업무의 특성으로 인해 민감정보 또는 고유식별정보가포함된 개인정보를 불가피하게 인쇄해야 하는 경우로서 다음 각 호의어느하나에 해당하는 때에는 내부 관리계획으로 정하는 바에 따라 인쇄자, 인쇄일시 등을 기록하는 등 종이 인쇄물의 안전한 관리를 위해 필요한 조치를하여야 한다. 1. 공공기관이 민감정보 또는 고유식별정보를 개인정보파일에 포함하여관리하는 경우 2. 개인정보처리자가 5만명 이상의 정보주체에 관하여 민감정보를 처리하고있는 경우 |
의견 | 민감정보나 고유식별정보가 포함된 개인정보를 인쇄하는 경우 본인을 추적할 수 있도록 조치해야 함 |
제13조(출력·복사시 안전조치) 제4항 | |
기존 | - |
개정 | ④ 제3항에 따른 종이 인쇄물에 대하여는 파기하는 절차, 파기 여부의확인등을 포함하는 파기계획을 수립하고 주기적으로 점검하는 등 필요한조치를 하여야 한다. |
의견 | 민감정보나 고유식별정보가 포함된 인쇄물은 파기절차 수립, 점검해야 함 |
제14조(개인정보의 파기) 제3항 | |
기존 | - |
개정 | ③ 기술적 특성으로 제1항 및 제2항의 방법으로 파기하는 것이 현저히곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치를 하여야 한다. |
의견 | 본 고시에서 정하는 방법 외에도 복원이 불가능한 파기방법을 사용할 수 있음 |
'보안 이야기 > 법령 살펴보기' 카테고리의 다른 글
2024년 9월 15일 시행령 개정에 따른 개인정보보호법 변경사항 (0) | 2024.05.14 |
---|---|
개인정보의 안전성 확보조치 기준 개정안 검토내역 (0) | 2023.09.24 |
개인정보보호법 개정안(2021년 1월 6일) (0) | 2021.01.19 |
2020년 02월 04일 공표 개인정보보호법, 정보통신망법 (0) | 2020.02.07 |
17년 10월 19일 개정 시행 개인정보보호법 (0) | 2017.10.25 |