개인정보보호법 2차 개정이 지난 9월 15일에 시행되었습니다.
이번 개인정보보호법 개정의 주요 골자가 그동안 특례조항으로 분리되었던 정보통신서비스제공자와 그 외의 개인정보처리자의 규제 통합인 만큼 분리되어 있었던 안전성 확보조치 고시인 개인정보의 안전성 확보조치 기준과 개인정보의 기술적 관리적 보호조치 기준 역시 통합되었습니다.
이에 따라 하위 고시인 개인정보의 기술적 관리적 보호조치 기준이 폐기되고 개인정보의 안전성 확보조치 기준으로 통합되면서 개정된 개인정보의 안전성 확보조치 기준이 9월 22일 시행되었습니다.
전체적으로 상당히 합리적인 변경이라고 생각됩니다.
크게 변경된 내용은 다음과 같습니다.
1. 이번 개정 고시에서 '이용자'에 대한 정의를 다시 한번 내렸습니다.(제2조 제2호)
기존 안전성 확보조치에서는 '정보주체', 기술적 관리적 보호조치에서는 '이용자'라는 명칭으로 보호대상을 정의했습니다만 비슷한 내용으로 기본적으로 보호대상인 개인을 '정보주체'로 표현하되 망분리 등 정보통신서비스제공자에게 적용되는 규제에 대해 '이용자'라는 용어를 이용해 정보주체 중 정보통신서비스를 이용하는 정보주체에 대해 분리했습니다.
2. 기존 안전성확보조치기준에서 유형2에 해당하는 소상공인, 개인, 단체에 대한 예외조항이 상당수 삭제되었습니다.(제4조 ~ 제6조)
3. 개인정보 내부관리계획에 취약점 점검에 관한 사항이 포함되어야 합니다.(제4조제1항제10호)
4. 고시의 일원화로 인해 정보통신서비스제공자의 경우 접근권한 부여 기록 보존기간이 5년에서 3년으로 축소되었습니다.(제5조제3항)
5. 개인정보취급자 계정 발급 시 '정당한 사유가 없는 한' 개인정보취급자별로 계쩡을 발급하도록 하여 공용계정을 발급할 수 있는 단서조항이 추가되었습니다.(제5조제4항)
6. 비밀번호 외에도 다양한 인증수단을 사용할 수 있도록 법령이 개정됨에 따라 비밀번호 작성규칙 등 비밀번호에 관한 규제가 삭제되었습니다.(제5조)
7. 망분리 의무 기준에서 매출액 기준은 삭제되고 이용자 수가 전년도 4/4분기 일평균 100만명 이상인 경우에만 망분리 의무를 지도록 변경되었습니다. 또한 클라우드가 활성화 됨에 따라 클라우드 서비스를 이용하는 경우 해당 클라우드 접속은 망분리 환경에서도 접속할 수 있도록 변경되었습니다.(제6조제6항)
8. 기존 안전성 확보조치에서는 고유식별정보 내부망 저장 시 영향평가 또는 위험도 분석에 따라 암호화 적용여부를 결정할 수 있었으나 주민등록번호는 내부망 저장시에도 반드시 암호화 하도록 변경되었습니다.(제7조제3항제2호)
9. 개인정보 접속기록의 별도 물리적 저장장치 백업 의무는 삭제되었으며 안전하게 보관하기 위한 조치를 취하면 됩니다.(제8조제3항)
10. 관리용 단말기의 안전조치에 관한 조항이 삭제되었습니다.(기존 제10조)
다만, 접근통제나 악성프로그램 방지 등의 내용은 다른 조항에서 규제하고 있으며 본래 목적 외로 사용을 금지한다는 내용만 삭제되었다고 볼 수 있습니다.
위 내용은 최종 고시된 내용을 기준으로 비교한 내용이며
7월 6일 최초 행정예고한 내용과도 상당부분 달라졌습니다.
첨부한 PDF 파일에는 초안에서 변경된 내용도 함께 기재했습니다.
검토서의 의견은 어디까지나 제 개인적인 의견으로 업무하시는데 참고용으로 사용하실 수는 있지만
법무검토를 받거나 개보위 질의를 통해 작성한 내용이 아니므로
이슈 발생 시 근거로 사용할 수 없음을 미리 알려드립니다.
'보안 이야기 > 법령 살펴보기' 카테고리의 다른 글
정보통신망법개정내역 살펴보기(240724, 240814 시행) (0) | 2024.08.12 |
---|---|
2024년 9월 15일 시행령 개정에 따른 개인정보보호법 변경사항 (0) | 2024.05.14 |
개인정보의 안전성 확보조치 기준 개정고시안 (0) | 2023.08.02 |
개인정보보호법 개정안(2021년 1월 6일) (0) | 2021.01.19 |
2020년 02월 04일 공표 개인정보보호법, 정보통신망법 (0) | 2020.02.07 |