개인정보 (Privacy)
2024년 11월 개인정보보호법 개정 주요내용 및 안전성 확보조치 기준
날으는물고기
2024. 11. 8. 00:29
2024년 11월 개정된 개인정보 보호법의 주요 내용을 요약하면 다음과 같습니다.
1. 디지털 경제 성장 지원
- 개인정보 보호법 개정의 주요 목적 중 하나는 디지털 경제의 성장을 촉진하는 데 있습니다. 특히 신산업의 혁신을 지원하고 기업이 안전하게 개인정보를 활용할 수 있도록 규제 환경을 개선하였습니다.
2. 국민의 권리 강화
- 국민의 개인정보 처리에 대한 권리를 더욱 강화하였습니다. 예를 들어, 불필요한 필수 동의 요구를 줄이고 선택적 동의를 준수하도록 하는 등, 국민의 동의권을 보호하기 위한 방안을 마련했습니다.
- 자동화된 결정에 대한 국민의 대응권을 보장하여, 개인이 자동화된 의사결정 과정에서 설명을 요구하거나 의견을 제출할 수 있는 권리를 명시하였습니다.
3. 글로벌 스탠다드와 부합하는 법 체계 정비
- 이번 개정은 GDPR과 같은 국제 표준에 부합하는 방향으로 법 체계를 정비하였습니다. 이에 따라, 데이터 보호 기준과 글로벌 시장의 요구를 충족할 수 있는 방향으로 법이 개정되었습니다.
4. 새로운 권리와 처리방침 평가제 도입
- 개인정보 처리방침 평가제를 도입하여, 각 기관 및 기업이 개인정보 처리의 투명성을 유지하고 국민의 개인정보 보호를 강화하도록 하였습니다.
- 또한, 개인정보의 전송요구권이 도입되어, 정보 주체가 자신의 개인정보를 다른 기관이나 사업체로 옮길 수 있도록 했습니다.
5. 안전한 데이터 활용을 위한 보호 조치 강화
- 개인정보 국외 이전에 대한 요건을 다변화하고 국외 이전 중지 명령을 할 수 있는 조항을 추가했습니다. 또한, 공공시스템 운영 기관의 특례를 포함하여 데이터 안전성 확보 조치를 강화했습니다.
이 개정 사항들은 개인정보의 처리와 보호에 있어 기존 규제보다 엄격한 기준을 제시하여, 디지털 환경에서의 개인정보 보호를 더욱 강화하고 국민의 권리를 보호하며 기업의 데이터 활용을 지원하는 데 중점을 두고 있습니다.
지난 10월에 발표된 개인정보의 안전성 확보조치 기준 안내서(2024.10)입니다.
1. 안전성 확보조치의 법적 근거와 목적
- 법적 근거: 개인정보 보호법 제29조, 시행령 제16조제2항, 제30조 등에 기반하여 안전성 확보를 위한 조치 기준이 규정되어 있습니다. 개인정보가 분실, 도난, 유출, 위조, 변조, 훼손되지 않도록 기술적, 관리적, 물리적 조치를 포함하여, 최소한의 안전성을 확보하도록 요구합니다.
2. 안전성 확보 주요 조치 내용
- 내부 관리계획 수립 및 점검: 조직 내 개인정보 보호 조직 구성, 책임자의 지정, 접근 권한 관리, 교육 및 접근 통제 계획 등이 포함된 내부 관리계획을 수립하고, 이행 상태를 점검합니다.
- 접근 권한 관리: 최소 권한 부여의 원칙에 따라 업무에 필요한 범위 내에서 접근 권한을 관리하고, 불필요한 권한을 제거하여 보안성을 유지합니다.
- 접근 통제: 불법적인 접근을 막기 위해 접근 제한 장비와 시스템을 운영하고, 네트워크, 포트, IP 주소 등을 통해 접근을 제한하며 감시합니다.
- 암호화 조치: 비밀번호와 민감정보(주민등록번호, 여권번호 등)를 암호화하고, 정보 송수신 시 안전한 암호화 알고리즘을 사용하여 유출을 방지합니다.
- 접속기록 보관 및 점검: 데이터에 접근한 기록을 최소 1년 이상 보관하고 정기적으로 점검하여 이상 접근이 있는지 확인합니다.
- 악성프로그램 방지: 보안 프로그램 설치 및 악성코드 감염 방지를 위한 업데이트와 감시를 유지합니다.
- 물리적 보안: 전산실, 자료 보관실 등에 대해 출입을 통제하고 보관 장치를 잠금 장치로 관리합니다.
- 재해·재난 대비: 대규모 개인정보를 관리하는 경우 위기 대응 매뉴얼과 데이터 백업 및 복구 계획을 마련해야 합니다.
- 개인정보 파기: 필요 없어진 개인정보는 복구가 불가능하도록 파기합니다.
3. 공공 시스템 운영기관의 추가 조치
- 공공시스템 운영기관은 민감한 개인정보를 대량 처리하는 공공 시스템의 경우, 접근 권한과 접속기록 관리, 재해 대비 등 특별한 조치를 추가로 시행해야 합니다.
4. 인터넷망 차단 조치
- 일일 평균 100만 명 이상의 이용자 데이터를 처리하는 경우, 악성코드 감염과 외부 유출을 방지하기 위해 인터넷망 차단 조치를 적용해야 합니다.
5. 위험도 분석과 암호화 의무
- 개인정보 보호조치 점검 항목을 통해 위험도 분석을 실시하고, 점검 결과에 따라 암호화 여부를 결정합니다.
728x90