개인정보보호위원회 - 25.11.04 보도자료
개인정보의 안전성 확보조치 기준(행정규칙) 주요 내용 요약
네트워크 차단 조치 중심에서 데이터 중요도 중심의 보호체계로 전환하고, 플랫폼 사업자의 책임을 강화하며 개인정보처리자의 자율성을 높히는 것이 목적임
1. 인터넷망 차단조치 제도 개선
개인정보 처리 시스템을 이용하는 취급자의 인터넷망 차단 조치 기준이 네트워크 차단 조치 중심에서 데이터 중요도 및 위험성 중심으로 전환
| 구분 | 기존(일평균 100만 명 이상) | 개선 | 핵심 변화 |
| 일반 기기 | 개인정보처리시스템 이용 시 모든 기기 인터넷망 차단 필수 | 취급자 기기에 위험 분석 실시 후 위험성 미탐지 시 차단 조치 대상에서 제외 가능 | 위험도 기반으로 전환, 불필요한 차단 해소 |
| 중요/민감 정보 취급 기기 | 기존과 동일 | 접근권한 설정 가능한 컴퓨터, 민감정보/암호화 대상 정보 다운로드 컴퓨터 등은 기존과 같이 차단 조치 적용 | 핵심 정보 보호는 강화/유지 |
2. 오픈마켓 판매자 등에 대한 플랫폼 사업자의 책임 강화
플랫폼 사업자가 제공하는 시스템을 이용하는 판매자 등에게도 기본적인 안전 조치 의무가 확대 적용되어 플랫폼 사업자의 관리 책임이 강화됨
| 조치 사항 | 기존 | 개선 |
| 접근 권한 차등 부여 대상 | 개인정보취급자 | 업무수행자 (오픈마켓 판매자 등 포함) |
| 인증 실패 시 접근 제한 대상 | 개인정보취급자 또는 정보주체 | 개인정보처리시스템에 접근하는 모든 자 |
| 접속 기록 보관 대상 | 개인정보취급자 | 개인정보처리시스템에 접속한 자 (정보주체 제외) |
3. 개인정보처리자 자율 보호 체계 강화
개인정보처리자가 형식적인 절차 대신, 실제 위험 분석에 기반한 자율적인 보호 활동 수행 체계로 강화
- 기존 문제점 : 기존의 안전성 확보조치 기준은 접속기록 점검 및 다운로드 사유 확인 등 형식적 절차에 집중함
- 개선 : 개인정보처리자가 내부 관리계획을 수립하고 점검 주기/방법/사후조치 절차 등을 자율적으로 지정
- 접속기록 보관 대상이 확대됨에 따라 오픈마켓 판매자접속기록은 보관, 점검 및 사후조치는 “개인정보취급자”에 한해 수행
4. 내부 관리계획 수립 항목 확대
내부 관리계획에 포함되어야 할 항목을 확대하여 개인정보 처리 전반에 걸친 안전 조치가 이루어지도록 함
| 시행 시기 구분 | 적용 조항 | 내용 |
| 즉시 시행 | - 제2조(정의) - 제6조의2(인터넷망의 차단 조치 등) |
인터넷망 차단조치 제도 개선 관련 항목 등 |
| 1년 유예기간 부여 | - 제4조(내부관리계획의 수립/시행 및 점검) - 제5조(접근 권한의 관리) - 제6조(접근 통제) - 제8조(접속기록의 보관 및 점검) |
플랫폼 사업자 책임 강화 등 조직 정비 및 시스템 개선이 필요한 항목 |
5. 별첨
암호화 적용 확대 등 선제적 조치 강화 내용을 반영한 “개인정보의 안전성 확보조치 안내서” 를 연내 발간 예정
