'개인정보의 기술적 관리적 보호조치 기준'에 해당되는 글 3건

개인정보보호법 2차 개정이 지난 9월 15일에 시행되었습니다.
이번 개인정보보호법 개정의 주요 골자가 그동안 특례조항으로 분리되었던 정보통신서비스제공자와 그 외의 개인정보처리자의 규제 통합인 만큼 분리되어 있었던 안전성 확보조치 고시인 개인정보의 안전성 확보조치 기준과 개인정보의 기술적 관리적 보호조치 기준 역시 통합되었습니다.

이에 따라 하위 고시인 개인정보의 기술적 관리적 보호조치 기준이 폐기되고 개인정보의 안전성 확보조치 기준으로 통합되면서 개정된 개인정보의 안전성 확보조치 기준이 9월 22일 시행되었습니다.

전체적으로 상당히 합리적인 변경이라고 생각됩니다.

크게 변경된 내용은 다음과 같습니다.

1. 이번 개정 고시에서 '이용자'에 대한 정의를 다시 한번 내렸습니다.(제2조 제2호)
기존 안전성 확보조치에서는 '정보주체', 기술적 관리적 보호조치에서는 '이용자'라는 명칭으로 보호대상을 정의했습니다만 비슷한 내용으로 기본적으로 보호대상인 개인을 '정보주체'로 표현하되 망분리 등 정보통신서비스제공자에게 적용되는 규제에 대해 '이용자'라는 용어를 이용해 정보주체 중 정보통신서비스를 이용하는 정보주체에 대해 분리했습니다.

2. 기존 안전성확보조치기준에서 유형2에 해당하는 소상공인, 개인, 단체에 대한 예외조항이 상당수 삭제되었습니다.(제4조 ~ 제6조)

3. 개인정보 내부관리계획에 취약점 점검에 관한 사항이 포함되어야 합니다.(제4조제1항제10호)

4. 고시의 일원화로 인해 정보통신서비스제공자의 경우 접근권한 부여 기록 보존기간이 5년에서 3년으로 축소되었습니다.(제5조제3항)

5. 개인정보취급자 계정 발급 시 '정당한 사유가 없는 한' 개인정보취급자별로 계쩡을 발급하도록 하여 공용계정을 발급할 수 있는 단서조항이 추가되었습니다.(제5조제4항)

6. 비밀번호 외에도 다양한 인증수단을 사용할 수 있도록 법령이 개정됨에 따라 비밀번호 작성규칙 등 비밀번호에 관한 규제가 삭제되었습니다.(제5조)

7. 망분리 의무 기준에서 매출액 기준은 삭제되고 이용자 수가 전년도 4/4분기 일평균 100만명 이상인 경우에만 망분리 의무를 지도록 변경되었습니다. 또한 클라우드가 활성화 됨에 따라 클라우드 서비스를 이용하는 경우 해당 클라우드 접속은 망분리 환경에서도 접속할 수 있도록 변경되었습니다.(제6조제6항)

8. 기존 안전성 확보조치에서는 고유식별정보 내부망 저장 시 영향평가 또는 위험도 분석에 따라 암호화 적용여부를 결정할 수 있었으나 주민등록번호는 내부망 저장시에도 반드시 암호화 하도록 변경되었습니다.(제7조제3항제2호)

9. 개인정보 접속기록의 별도 물리적 저장장치 백업 의무는 삭제되었으며 안전하게 보관하기 위한 조치를 취하면 됩니다.(제8조제3항)

10. 관리용 단말기의 안전조치에 관한 조항이 삭제되었습니다.(기존 제10조)
다만, 접근통제나 악성프로그램 방지 등의 내용은 다른 조항에서 규제하고 있으며 본래 목적 외로 사용을 금지한다는 내용만 삭제되었다고 볼 수 있습니다.

위 내용은 최종 고시된 내용을 기준으로 비교한 내용이며
7월 6일 최초 행정예고한 내용과도 상당부분 달라졌습니다.
첨부한 PDF 파일에는 초안에서 변경된 내용도 함께 기재했습니다.

검토서의 의견은 어디까지나 제 개인적인 의견으로 업무하시는데 참고용으로 사용하실 수는 있지만
법무검토를 받거나 개보위 질의를 통해 작성한 내용이 아니므로
이슈 발생 시 근거로 사용할 수 없음을 미리 알려드립니다.

개인정보의 안전성 확보조치 기준 개정안 검토서.pdf
0.27MB

 

블로그 이미지

ligilo

행복한 하루 되세요~

,

보안뉴스, 데일리시큐, 전자신문 등 IT와 관련된 언론사 외 기사는 '더보기'를 눌러야 보실 수 있습니다.

12월 28일 뉴스입니다.

개인정보의 기술적 관리적 보호조치 기준 개정에 대한 뉴스기사입니다.
방통위에서 개인정보의 기술적 관리적 보호조치 기준을 개정해 개인정보 접속기록 보관기간을 6개월에서 1년으로 연장했습니다. 물론 이미 개인정보의 안전성 확보조치 기준에서 1년으로 연장되어 있었습니다만 정보통신사업자에게 적용되는 행정규칙인 개인정보의 기술적 관리적 보호조치 기준까지 함께 변경되어 어느 법을 맞춰야 할지 헷갈리는 일이 없어졌네요.
해당 행정규칙은 법령정보센터에 올라오는대로 포스팅 하도록 하겠습니다.

개인정보 유출사고 예방 위해 접속기록 관리 강화한다 보안뉴스/2019-12-28 10:6

그밖에도 사물인터넷 보안, 2019 Hot News, 비빌번호 복잡도의 실효성에 관한 기사 등이 있었습니다.

더 많은 내용은 기사를 참고하세요~

[연말특집 6] 사물인터넷 보안, 우리는 어느 지점에 있는가 보안뉴스/2019-12-28 14:12
[2019 Hot News] CISO 신고 의무제…임원 책임 강화로 보안 혁신 '기대' 데이터넷/2019-12-28 16:0
[2019 Hot News] 정부, 2022년까지 정보보호산업 14조 규모로 확대 데이터넷/2019-12-28 8:2


'보안 이야기 > 뉴스' 카테고리의 다른 글

12월 30일 뉴스  (0) 2019.12.31
12월 29일 뉴스  (0) 2019.12.29
12월 27일 뉴스  (0) 2019.12.29
12월 26일 뉴스  (0) 2019.12.27
12월 25일 뉴스  (0) 2019.12.26
블로그 이미지

ligilo

행복한 하루 되세요~

,

보안뉴스, 데일리시큐, 전자신문 등 IT와 관련된 언론사 외 기사는 '더보기'를 눌러야 보실 수 있습니다.

12월 27일 뉴스입니다.

먼저 개인정보의 기술적 관리적 보호조치 기준 개정에 대한 뉴스기사입니다.
방통위에서 개인정보의 기술적 관리적 보호조치 기준을 개정해 개인정보 접속기록 보관기간을 6개월에서 1년으로 연장했습니다. 물론 이미 개인정보의 안전성 확보조치 기준에서 1년으로 연장되어 있었습니다만 정보통신사업자에게 적용되는 행정규칙인 개인정보의 기술적 관리적 보호조치 기준까지 함께 변경되어 어느 법을 맞춰야 할지 헷갈리는 일이 없어졌네요.
해당 행정규칙은 법령정보센터에 올라오는대로 포스팅 하도록 하겠습니다.

다음은 개인정보 유출사고입니다. 선진그룹에서 공채 진행중에 면접자 대상 안내메일에 면접 대상자의 개인정보가 포함되어 있었다고 하는데요 회사측에 알렸음에도 불구하고 회사에서는 별다른 조치를 하지 않았다는게 문제입니다. 사고가 발생해서는 안되겠지만 발생 후 대처도 중요할텐데 너무 안일하게 생각한게 아닌가 싶습니다.

그밖에도 패스워드 대체기술에 대한 내용이나 라우터 취약점을 이용한 디도스 공격 봇넷, 최근 해킹이나 랜섬웨어 등 많은 내용이 있었습니다.

더 많은 내용은 기사를 참고하시기 바랍니다.

패스워드 없는 전산환경의 방향성 데일리시큐/2019-12-27 14:46
유명 라우터들 취약점 악용해 디도스 공격하는 Mozi P2P 봇넷…주의 데일리시큐/2019-12-27 14:50
개인정보보호협회, 안전한 암호화 통신 위한 서버 프로토콜 설정 교육 실시 데일리시큐/2019-12-27 14:56
최근 국내외 제조업체 등 기업 대상 해킹 공격 지속…주의 데일리시큐/2019-12-27 15:12
[연말특집 5] 최근 최전성기 누리고 있는 보안 위협, 메이지카트 보안뉴스/2019-12-27 15:26
[보안 2020] ④'딥페이크·드론까지 악용”…피해 규모↑ 보험 산업 성장 IT조선/2019-12-27 6:22
[2019 Hot News] '손 안대고 코 푸는' 사이버 공격자…신뢰 이용 피해 유도 데이터넷/2019-12-27 9:20
'네트워크 정책 중 정보보호 핵심으로 추진' 지디넷코리아/2019-12-27 16:30
지난 5년 간 규모가 컸던 랜섬웨어 공격 6종 ITWorld/2019-12-27 16:40


'보안 이야기 > 뉴스' 카테고리의 다른 글

12월 29일 뉴스  (0) 2019.12.29
12월 28일 뉴스  (0) 2019.12.29
12월 26일 뉴스  (0) 2019.12.27
12월 25일 뉴스  (0) 2019.12.26
12월 24일 뉴스  (0) 2019.12.25
블로그 이미지

ligilo

행복한 하루 되세요~

,