1.

인터넷망 차단 조치를 개인정보 처리 환경에 따라 차등 적용 (안 제6조의2)

현행 고시는 대규모 개인정보처리자(전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만 명 이상인 개인정보처리자)로 하여금 개인정보처리시스템에서 개인정보를 ‘다운로드’ 또는 ‘파기’할 수 있거나 개인정보처리시스템에 대한 ‘접근 권한을 설정’할 수 있는 개인정보취급자의 모든 기기에 대한 인터넷망을 차단하도록 규정하고 있었습니다. 그러나 인터넷망을 일괄 차단하도록 하는 것은 최신 기술의 활용 및 업무 효율을 저해한다는 지적이 있었습니다.

이에 따라, 본 개정안은 개인정보처리시스템에서 개인정보를 ‘다운로드’ 또는 ‘파기’할 수 있는 개인정보취급자에 대해서는 대규모 개인정보처리자가 내부 관리계획에 따른 위험을 분석하여, 확인된 위험이 현저히 낮거나 확인된 위험을 감소시킬 수 있는 보호조치를 적용한 경우에는 인터넷망 차단 조치 대상에서 제외할 수 있도록 규제를 완화하였습니다(안 제6조의2).

위 개정안은 개인정보의 처리 목적·방법·맥락 등을 고려하여 개인정보취급자의 기기에 대한 인터넷망 차단 수준을 차등적으로 적용하려는 것으로 이해됩니다. 다만, 위험을 감소시킬 수 있는 보호조치’와 관련하여서는 [별표]의 예시^[1]를 고려하여야 하는 제한이 따르고(안 제6조의2 제2항 제2호), ‘민감정보 또는 비밀번호, 생체인식정보, 주민등록번호, 고유식별정보 등’을 다운로드 또는 파기할 수 있는 개인정보취급자에 대해서는 여전히 전면적인 인터넷망 차단 조치가 요구된다는 점(안 제6조의2 각호 외의 부분 단서)은 유의하실 필요가 있겠습니다.
 

2.

접근 권한 부여, 접근통제 조치, 접속기록 보관 등에 관한 규정의 적용 대상 확대 (안 제5조 제1항 - 제6항, 제6조 제2항, 제8조 제1항)

현행 고시는 개인정보처리시스템에 대한 접근 권한을 ‘개인정보취급자’에게만 부여하고, ‘정당한 권한을 가진 개인정보취급자 또는 정보주체’만이 개인정보시스템에 접근할 수 있게 접근 제한 조치를 하도록 규정하고 있습니다. 또한, 외부에서 개인정보처리시스템에 접속할 때 안전한 인증수단 등을 적용하여야 하는 대상 및 개인정보처리시스템에 대한 접속기록의 보관 대상을 ‘개인정보취급자’로 한정하고 있습니다.

위 규정들의 적용 범위와 관련하여, ‘오픈마켓 입점 판매자 등 개인정보처리시스템에서 업무를 수행하는 자’에 대해서도 적용되도록 하는 방안이 논의되어, 본 개정안에서는 개인정보처리시스템 접근 권한을 개인정보취급자에게만 부여하도록 한 조건을 삭제하였으며(안 제5조 제1항), ‘정당한 권한을 가진 자’만이 개인정보처리시스템에 접근하도록 하였습니다(안 제5조 제6항). 또한, 외부에서 개인정보처리시스템에 접속할 때 안전한 인증수단 등을 적용하여야 하는 대상을 ‘개인정보처리시스템에 대한 정당한 접근 권한을 가진 자(정보주체는 제외)’로 확대하였고(안 제6조 제2항), 접속기록 보관 대상을 ‘개인정보처리시스템에 접속한 자(정보주체는 제외)’로 확대하였습니다(안 제8조 제1항).
 

3.

내부 관리계획을 통한 접속기록 점검 주기 등의 자율적 운영 (안 제8조 제2항)

현행 고시는 개인정보처리시스템의 접속기록 등을 ‘월 1회 이상’ 점검해야만 하도록 일률적으로 규정하고 있으나, 본 개정안에서는 접속기록 점검 주기, 방법, 사후 조치 절차 등을 내부 관리계획으로 정하고 이행할 수 있도록 하였습니다(안 제8조 제2항).

이는 개인정보처리자로 하여금 접속기록 점검 주기 등을 보유한 개인정보의 규모∙유형 등을 고려하여 자율적으로 설정 및 운영할 수 있도록 한 규정으로 이해됩니다.