[더테크=전수연 기자] 개인정보보호위원회가 하나의 개정안으로 통합된 개인정보 안전성 기준을 설명했다. 공공시스템과 개인으로 나뉜 기준이 통합돼 혼란 야기를 방지하고 정보 보호 강화에 도움이 될 것으로 보인다.
개인정보보호위원회는 서울 중구 은행회관빌딩에서 개인정보 안전성 확보조치 기준 개정 설명회를 13일 개최했다.
개인정보 안전성 확보조치 기준은 개인정보를 안전하게 처리할 수 있도록 하는 규정인데 특히 이번에 신설된 30조는 공공시스템의 안전조치 내용을 규정하고 있다.
이날 설명회에서는 세부 개정 내용을 설명하고자 박철 개인정보보호위원회 사무관이 발표를 진행했다. 박 사무관은 “개인정보를 수집하는 처리자와 제공받는 사용자 등 모든 경우에 개정 내용이 적용된다”며 “고시에서 규정하는 사항은 개인정보를 처리하는 최소한의 기준이다. 다양한 환경과 기업 크기를 고려해 환경에 맞는 보호 기준을 처리해야 한다”고 설명했다.
이번 개정안은 두 가지로 나뉘어있던 기존 안전조치 고시를 하나의 기준으로 통합했다. 정보통신 서비스 제공자의 사용자 보호조치와 기업 담당자의 임직원의 인사 정보에 서로 다른 기준이 적용돼 혼란을 야기했던 부분을 보완할 수 있게 된다.
박철 사무관은 “개별 규정의 경우 기업의 새로운 시스템 도입과 이용자 개인정보 처리 등의 어려움을 도울 수 있을 것”이라며 “이러한 규정은 새로 통합됐기 때문에 대상자에게 유예기간을 뒀다”고 전했다.
안전조치 고시 통합 주요 내용에 대해서는 “개인정보 처리 현실을 반영해 합리적으로 개선됐다”며 “구체적인 비밀번호 작성규칙을 삭제하고 정당한 사유가 잇는 경우 사용자 계정 공유를 허용한다”고 말했다. 이를 통해 개인정보보호에 필요한 프로그램(보안패치 등)의 업데이트가 지연 허용된다.
개인정보 내부관리 계획은 개인정보처리자가 내부 관리계획(개인정보가 분실·도난·유출·훼손되지 않도록 시행하는 안전조치)을 이행 점검하도록 개정됐다. 개인정보책임자 및 개인정보취급자를 대상으로 차등화된 추가 내부 관리계획 수립 사항은 정기 교육과 내부 관리 계획에 변경사항이 있는 경우 즉시 반영, 이력 관리 등이다.
제5조 접근 권한의 관리는 접근권한의 발급 및 관리 의무를 강화하고 기술 발전에 따른 다양한 인증수단을 수용하도록 개선됐다. 확대된 인증수단은 생체인식, 인증서, OTP, ARS 인증 등이다.
공공시스템 운영기관의 안전성 확보조치의 현황 조사는 개인정보 유출 규모는 증가하지만 유출 시 중징계는 줄어드는 등 낮은 수준의 제재로 경각심이 부족하다는 결과가 나왔다. 이 때문에 공공시스템별로 구분해 관리책임자의 지정 및 안전조치 사항이 수립됐다.
아울러 인사정보에 등록되지 않은 자에게 계정 발급을 금지하거나 계정 발급 시 개인정보 보호 교육을 진행하는 등의 내용으로 개정됐다.