스마트폰이나 태블릿PC 등 모바일기기나 USB메모리 등 보조저장매체를 통해 개인정보를 취급할 경우에도 암호화 조치를 취하는 등 개인정보 유출에 대비한 보호를 강화해야 한다.
방송통신위원회(위원장 최성준)는 13일 이 같은 내용을 담은 「개인정보의 기술적·관리적 보호조치 기준」 (이하 보호조치 기준) 일부개정안을 심의·의결했다.
이번에 개정된 보호조치 기준은 지난 해 발표한 개인정보보호 정상화 대책(’14.7.31.)의 주요과제 이행사항을 구체화하는 한편, 최근의 업무 환경이 개인용 컴퓨터에서 모바일기기와 보조저장매체로 급속히 확대되는 여건을 반영한 것이다.
특히, 보호조치 기준상의 의무들이 기존 구체적 기준에서 사업자가 준수해야 할 최소한의 기준임을 명시적으로 규정하여 사업의 규모, 개인정보 보유 수 등을 고려하여 자발적인 보호조치 이행을 유도하고 있다는 점에서 큰 의미가 있다.
아울러, 온라인상 주민번호 수집 금지(’14.8월)에 따라 주민등록번호 외에 고유식별번호의 이용이 늘 것으로 예상됨에 따라 여권번호, 운전면허번호, 외국인등록번호에 대해서도 암호화 대상에 포함토록 하였다.
개인정보취급자가 업무종료 이후에도 로그아웃 등 안전조치를 하지 않아 해킹으로 인한 개인정보 유출사고가 일어나는 사례가 있어 접속시간을 제한하는 규정이 신설되었다. 이에 따라 사업자는 개인정보처리시스템 또는 개인정보취급자의 컴퓨터에 접속이나 클릭을 하지 않은 상태에서 일정시간이 지나면 자동 로그아웃 등 안전한 조치를 취하여야 한다.
사업자는 온라인상 해킹뿐만 아니라 오프라인상 내부직원 또는 용역회사 직원 등 외부인에 의한 고의·실수 등으로 개인정보 유출사고를 막을 수 있는 조치를 마련해야 한다. 이번에 개정된 보호조치 기준에 개인정보가 보관된 전산실·자료실 등에 대한 출입통제 절차와 함께 개인정보가 포함된 서류·보조저장매체에 대한 보안대책이 신설되었기 때문이다.
또한, 사업자 내부관리계획에는 개인정보 유출 사고가 일어났을 때 빠른 대응을 통해 혹시 있을 피해를 줄이기 위한 절차와 방법 등을 추가하여 보완하여야 한다. 여기에는 개인정보 유출사고 통지 및 조회절차, 민원 대응 및 이용자 불안 해소 조치, 피해자 구제조치 등을 반드시 담아야 한다.
한편, 개정된 보호조치 기준은 사업자의 자율성을 보장하는 내용도 함께 담고 있다. 개인정보취급자가 외부에서 정보통신망을 통해 개인정보처리시스템에 접속할 때 공인인증서 뿐만 아니라 다양한 인증수단을 사용할 수 있도록 사업자의 선택기회를 확대하였다.
또한, 사업자가 개인정보관리책임자와 개인정보취급자를 대상으로 실시해야 하는 교육을 “매년 2회 이상”에서 사업규모, 개인정보 보유 수 등을 고려하여 사업자의 사업 환경에 맞는 교육계획을 수립하여 시행할 수 있게 되었다.
앞으로 개인정보취급자는 비밀번호를 작성하거나, 개인정보 표시제한 조치를 취할 때 “영문 대문자(26개)·영문 소문자(26개)·숫자(10개)·특수문자(32개)”, “성명 중 이름의 첫 번째 글자·생년월일·전화번호 또는 휴대전화의 국번” 등을 크게 신경 쓰지 않아도 된다. 그동안 지나치게 세부적으로 제시된 조항을 삭제하여 최소한의 기준만 제시하였기 때문이다.
최성준 위원장은 “그동안 사업자는 정부가 제시한 구체적인 기준만 준수하면 개인정보 유출사고가 나더라도 면책되는 불합리한 측면이 있었다”며 “사업자에게 개인정보 보호를 위한 최대한의 조치를 유도하기 위한 최소한의 기준”임을 강조하였다.
방송통신위원회는 개정된 보호조치 기준을 관련 업계와 이용자에게 널리 알리기 위하여 오는 5월 15일(금) 오전 10시에 잠실 한국광고문화회관(2층 그랜드볼룸)에서 보호조치 기준의 개정취지와 주요 개정내용을 설명하는 자리를 마련하는 한편, 일반인도 쉽게 이해할 수 있도록 각 조문별 해석과 예시 등을 자세하게 담아 ‘보호조치 기준 해설서’를 올해 6월에 만들어 배포할 예정이다. (끝).
방송통신위원회(위원장 최성준)는 13일 이 같은 내용을 담은 「개인정보의 기술적·관리적 보호조치 기준」 (이하 보호조치 기준) 일부개정안을 심의·의결했다.
이번에 개정된 보호조치 기준은 지난 해 발표한 개인정보보호 정상화 대책(’14.7.31.)의 주요과제 이행사항을 구체화하는 한편, 최근의 업무 환경이 개인용 컴퓨터에서 모바일기기와 보조저장매체로 급속히 확대되는 여건을 반영한 것이다.
특히, 보호조치 기준상의 의무들이 기존 구체적 기준에서 사업자가 준수해야 할 최소한의 기준임을 명시적으로 규정하여 사업의 규모, 개인정보 보유 수 등을 고려하여 자발적인 보호조치 이행을 유도하고 있다는 점에서 큰 의미가 있다.
아울러, 온라인상 주민번호 수집 금지(’14.8월)에 따라 주민등록번호 외에 고유식별번호의 이용이 늘 것으로 예상됨에 따라 여권번호, 운전면허번호, 외국인등록번호에 대해서도 암호화 대상에 포함토록 하였다.
개인정보취급자가 업무종료 이후에도 로그아웃 등 안전조치를 하지 않아 해킹으로 인한 개인정보 유출사고가 일어나는 사례가 있어 접속시간을 제한하는 규정이 신설되었다. 이에 따라 사업자는 개인정보처리시스템 또는 개인정보취급자의 컴퓨터에 접속이나 클릭을 하지 않은 상태에서 일정시간이 지나면 자동 로그아웃 등 안전한 조치를 취하여야 한다.
사업자는 온라인상 해킹뿐만 아니라 오프라인상 내부직원 또는 용역회사 직원 등 외부인에 의한 고의·실수 등으로 개인정보 유출사고를 막을 수 있는 조치를 마련해야 한다. 이번에 개정된 보호조치 기준에 개인정보가 보관된 전산실·자료실 등에 대한 출입통제 절차와 함께 개인정보가 포함된 서류·보조저장매체에 대한 보안대책이 신설되었기 때문이다.
또한, 사업자 내부관리계획에는 개인정보 유출 사고가 일어났을 때 빠른 대응을 통해 혹시 있을 피해를 줄이기 위한 절차와 방법 등을 추가하여 보완하여야 한다. 여기에는 개인정보 유출사고 통지 및 조회절차, 민원 대응 및 이용자 불안 해소 조치, 피해자 구제조치 등을 반드시 담아야 한다.
한편, 개정된 보호조치 기준은 사업자의 자율성을 보장하는 내용도 함께 담고 있다. 개인정보취급자가 외부에서 정보통신망을 통해 개인정보처리시스템에 접속할 때 공인인증서 뿐만 아니라 다양한 인증수단을 사용할 수 있도록 사업자의 선택기회를 확대하였다.
또한, 사업자가 개인정보관리책임자와 개인정보취급자를 대상으로 실시해야 하는 교육을 “매년 2회 이상”에서 사업규모, 개인정보 보유 수 등을 고려하여 사업자의 사업 환경에 맞는 교육계획을 수립하여 시행할 수 있게 되었다.
앞으로 개인정보취급자는 비밀번호를 작성하거나, 개인정보 표시제한 조치를 취할 때 “영문 대문자(26개)·영문 소문자(26개)·숫자(10개)·특수문자(32개)”, “성명 중 이름의 첫 번째 글자·생년월일·전화번호 또는 휴대전화의 국번” 등을 크게 신경 쓰지 않아도 된다. 그동안 지나치게 세부적으로 제시된 조항을 삭제하여 최소한의 기준만 제시하였기 때문이다.
최성준 위원장은 “그동안 사업자는 정부가 제시한 구체적인 기준만 준수하면 개인정보 유출사고가 나더라도 면책되는 불합리한 측면이 있었다”며 “사업자에게 개인정보 보호를 위한 최대한의 조치를 유도하기 위한 최소한의 기준”임을 강조하였다.
방송통신위원회는 개정된 보호조치 기준을 관련 업계와 이용자에게 널리 알리기 위하여 오는 5월 15일(금) 오전 10시에 잠실 한국광고문화회관(2층 그랜드볼룸)에서 보호조치 기준의 개정취지와 주요 개정내용을 설명하는 자리를 마련하는 한편, 일반인도 쉽게 이해할 수 있도록 각 조문별 해석과 예시 등을 자세하게 담아 ‘보호조치 기준 해설서’를 올해 6월에 만들어 배포할 예정이다. (끝).
출처 : 방송통신위원회
728x90
댓글