INSIGHTS

BLOG

개인정보 보호법의 안전성 관련 조치의 고시 개편 - 개보위 행정예고 (2023년 7월 7일)

2023-07-13
조회수 581

개인정보 보호법의 안전성 관련 조치의 고시 개편 - 개보위 행정예고 (2023년 7월 7일)

글쓴이: Ryan Moon

개인정보보호위원회는 2023년 7월 7일 아래 2개의 고시 개편에 대한 행정예고를 공고하였습니다.


이는 오는 9월 15일부터 시행되는 개정 개인정보 보호법 제29조와 같은 법 시행령 제16조제2항 및 제30조에 따른 안전성 확보조치 기준을 개정한 것입니다. 개인정보보호위원회는다음과 같은 내용을 개정 이유로 밝히고 있습니다.

개인정보 보호법 시행령의 정보통신서비스 특례규정(영 제48조의2)이 일반규정(영 제30조)으로 통합됨에 따라 "개인정보의 안전성 확보조치 기준"과 "개인정보의 기술적, 관리적 보호조치 기준"을 통합하고 기술중립적으로 제도를 개선하고자 함

 

이로써 오는 9월 15일부터는 정보통신서비스제공자와 일반 개인정보처리자 등의 구분 없이 동일한 안전성 확보조치 기준이 적용됩니다. 필자가 주목해 본 개정 내용 2가지는 다음과 같습니다. 이는 정부가 제로트러스트와 같은 새로운 통제방식 그리고 클라우드서비스의 이용 확대를 고려한 부분이라 이해됩니다.

(1) 고시 제5조 (접근 권한의 관리) 제5항 : 비밀번호 작성규칙을 "인증수단을 안전하게 적용하고 관리"로 수정하여 비밀번호 외 인증수단이 수용되도록 기술중립적으로 개정한 부분

(2) 고시 제6조 (접근통제) 제6항 : 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치의 규제 범위의 예외 조항이 추가된 부분. 아래 참조.


망분리 규제 범위: 다음 2가지가 중복 적용되는 경우, 그 개인정보취급자의 컴퓨터는 인터넷망 차단 조치
1) 전년도 말 기준 직전 3개월간 그 개인정보가 저장, 관리되고 있는 이용자수가 일일평균 100만명 이상인 개인정보처리자
2) 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자

규제 범위에 포함되나 망분리 적용 예외가 인정되는 경우: 클라우드컴퓨팅법 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성, 운영하는 경우에는 해당 서비스(예: 클라우드서비스제공자의 관리콘솔 웹사이트)에 대한 접속 시 인터넷 차단 조치를 예외 적용


첨부자료:   *출처: 개인정보보호위원회(PIPC) 공지사항

  • (행정예고안)개인정보의 안전성 확보조치 기준 일부개정고시안 PDF
  • 조문별 제개정이유서(개인정보의 안전성 확보조치 기준 개정안) PDF


© 2023 한국정보보호인식(주). All Rights Reserved