1. 개정 이유
○ 인공지능, 클라우드 등 기반 기술의 급격한 발전과 데이터 중심 보호 체계로의 전환에 대응하여 오랜 기간 일률적으로 적용해 온 인터넷망 차단 조치 제도를 개선하고, 개인정보처리자가 각자의 개인정보처리환경을 고려한 위험 분석을 실시하고 그 결과에 따라 인터넷망 차단 적용을 차등화 할 수 있게 함으로써 개선된 개인정보처리 환경을 조성하고 신규 서비스 개발 등의 지원을 확대하기 위함
○ 개인정보처리시스템에 대한 접근권한 부여, 접근통제 조치, 접속기록 보관 관련 조항을 개인정보취급자에서 오픈마켓 판매자 등 까지 확대 적용하여 비인가자의 접근을 막고, 개인정보 오남용, 유출 시에도 보관된 접속기록을 통해 책임추적성을 확보하려는 것임
○ 그 외 기타 문구수정을 하였으며, 개인정보처리자의 혼선 예방을 위해 내부 관리계획과 고시 조항 간 불일치를 해소하였음
2. 신구법 비교 및 개정 목적
| 구) 2023.9.22. 일부 개정 | 신) 2025.10.31. 일부 개정 | 변경 내용 / 개정 목적 |
| 제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다 8. “비밀번호”란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. | 제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다 8. “비밀번호”란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 인증할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. | ○ 식별 → 인증 * 문구 수정 |
| 제4조(내부 관리계획의 수립ㆍ시행 및 점검) ① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다. 6. 접근 통제에 관한 사항 12. 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항 13. 위험 분석 및 관리에 관한 사항 14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 15. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항 16. 그 밖에 개인정보 보호를 위하여 필요한 사항 < 신 설 > < 신 설 > |
제4조(내부 관리계획의 수립ㆍ시행 및 점검) ① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다. 6. 접근통제에 관한 사항 12. 출력ㆍ복사시 안전조치에 관한 사항 13. 개인정보의 파기에 관한 사항 14. 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항 15. 위험 분석 및 관리에 관한 사항 16. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독 사항 17. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항 18. 그 밖에 개인정보 보호를 위하여 필요한 사항 |
○ 6호: 접근 통제 → 접근통제 ○ 12호: 신설 ○ 13호: 신설 ○ 14호: 12호 내용 유지 ○ 15호: 13호 내용 유지 ○ 16호: 14호 내용 유지 ○ 17호: 15호 내용 유지 ○ 18호: 16호 내용 유지 * 고시 제12조(출력ㆍ복사시 안전조치) 및 제13조(개인정보의 파기)를 내부 관리계획 수립 대상에 포함 * 개인정보처리자의 혼선 예방을 위해 내부 관리계획과 고시 조항 간 불일치를 해소하였음 |
| 제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다. ⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. |
제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다. ⑥ 개인정보처리자는 정당한 권한을 가진 자만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. |
○ 1항: 개인정보취급자에게만 내용 삭제 ○ 6항: 개인정보취급자 또는 정보주체 → 자 * 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하고 ‘정당한 권한을 가진 자’ 만이 개인정보처리시스템에 접근할 수 있도록 함 |
| 제6조(접근통제) ② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다. ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다. |
제6조(접근통제) ② 개인정보처리자는 개인정보처리시스템에 대한 정당한 접근 권한을 가진 자(다만, 정보주체는 제외한다)가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다. < 삭 제 > |
○ 2항: 개인정보취급자 → 개인정보처리시스템에 대한 정당한 접근 권한을 가진 자(다만, 정보주체는 제외한다) ○ 6항: 삭제 * 외부에서 개인정보처리시스템에 접속할 때 안전한 인증수단 등을 적용하여야 하는 대상을 ‘개인정보처리시스템에 대한 정당한 접근 권한을 가진 자(다만, 정보주체는 제외한다)’ 로 함 |
| < 신 설 > | 제6조의2(인터넷망의 차단 조치 등) ① 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 개인정보취급자의 컴퓨터 등에 대해 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다. 1. 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자 2. 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자 ② 제1항제2호에도 불구하고 개인정보처리자는 내부 관리계획에서 정한 위험 분석 결과가 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 인터넷망 차단 조치를 하지 아니할 수 있다. 다만, 법 제23조에 따른 민감정보 또는 제7조제1항ㆍ제2항에 따른 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터 등에 대해서는 그러하지 아니하다. 1. 위험 분석 결과 확인된 위험이 현저히 낮은 경우 2. 위험 분석 결과 확인된 위험을 감소시킬 수 있는 보호조치를 적용한 경우. 이 경우 개인정보처리자는 [별표]에 따른 예시를 고려하여야 한다. |
○ 신설 * 개인정보처리시스템에서 개인정보를 다운로드 및 파기하는 컴퓨터 등의 경우 내부 관리계획에 따른 위험 분석을 실시하여, 위험을 감소시킬 수 있는 보호조치 등 적절한 통제대책을 적용한 경우에는 해당 컴퓨터 등을 인터넷망 차단 조치 대상에서 제외할 수 있도록 함 |
| 제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관ㆍ관리하여야 한다. ② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. |
제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보처리시스템에 접속한 자(다만, 정보주체는 제외한다)의 접속기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관ㆍ관리하여야 한다. ② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보취급자의 개인정보처리시스템에 대한 접속기록 및 개인정보 다운로드 상황을 확인하고 점검하는 주기ㆍ방법ㆍ사후조치절차 등을 내부 관리계획으로 정하고 이행하여야 한다. <후단 삭제> |
○ 1항: 개인정보취급자의 개인정보처리시스템에 대한 → 개인정보처리시스템에 접속한 자(다만, 정보주체는 제외한다) ○ 2항: 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. → 개인정보취급자의 개인정보처리시스템에 대한 접속기록 및 개인정보 다운로드 상황을 확인하고 점검하는 주기ㆍ방법ㆍ사후조치절차 등을 내부 관리계획으로 정하고 이행하여야 한다. * ‘개인정보처리시스템에 접속한 자(다만, 정보주체는 제외한다)’의 접속기록을 남기도록 하였으며, 내부 관리계획을 통해 개인정보취급자의 개인정보처리시스템에 대한 접속기록 점검 주기, 방법, 사후조치절차 등을 자율적으로 정할 수 있도록 함 |