'개인정보의 기술적ㆍ관리적 보호 조치 기준'이란?

비즈니스를 위한 개인정보보호법

‘개인정보의 기술적ㆍ관리적 보호조치 기준’(이하 ‘보호조치 기준’)은 사업자가 이용자의 개인정보를 취급함에 있어서 개인정보가 분실ㆍ도난ㆍ누출ㆍ변조ㆍ훼손 등이 되지 아니하도록 안전성 확보에 필요한 최소한의 기술적ㆍ관리적 기준을 제시하고 있다.
보호조치 기준을 준수해야 하는 사업자는 정보통신서비스 제공자, 정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자, 개인정보의 취급 업무를 위탁받은 자(수탁자)이다. 다만 위의 자에 해당하더라도 개인정보를 전혀 수집ㆍ이용하지 않는다면 이 기준의 적용대상에 제외된다. 사업자가 영리목적으로 이용자의 개인정보를 수집ㆍ이용하고 있다면 보호조치 기준을 준수해야한다. 

보호조치 기준은 일반적인 가이드라인이나 지침과 같이 권고가 아닌 법률에 의해 반드시 준수해야 하는 의무사항을 구체화한 것이다. 따라서 보호조치 기준에 명시된 사항에 대하여 위반할 경우 법률에 따른 형사처벌이나 행정처분이 부과될 수 있다.


개인정보의 안전성 확보에 필요한 최소 기준 마련

보호조치 기준은 이용자 개인정보의 취급을 위한 구체적이고 명확한 기술적ㆍ관리적 세부 기준이 없이 개인정보를 취급하는 사업자들이 보호조치를 이행하는데 어려움이 발생함에 따라 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 ‘정보통신망법’)’(2004.1.29) 개정 및 동법 시행규칙 개정(2004.7.30)을 통해 안전성 확보에 필요한 최소한의 기준을 정해 고시할 수 있도록 법적 근거를 마련했다.

보호조치 기준 제정(2005.3.24) 이후 해킹 및 내부자에 의한 개인정보 유출과 유출된 개인정보를 활용한 2차 피해 확산 등의 문제가 발생함에 따라 정보통신망법 개정(2008.6.13) 및 동법 시행령 개정(2009.1.28)을 통해 보호조치 기준도 개정(2009.8.7)하였다.

개정된 보호조치 기준은 제1조(목적), 제2조(정의), 제3조(내부관리계획의 수립ㆍ시행), 제4조(접근통제), 제5조(접속기록의 위ㆍ변조 방지), 제6조(개인정보의 암호화), 제7조(악성프로그램 방지), 제8조(출력ㆍ복사시 보호조치) 및 제9조(개인정보 표시 제한 보호조치)로 구성되어 있다. 제9조는 권고사항으로 벌칙이 없지만 제3조부터 제8조까지는 필수사항으로 기준을 위반하는 경우에는 형사처벌이나 행정처분이 부과된다.

제3조부터 제8조까지 세부내용은 다음과 같다.

제3조(내부관리계획의 수립ㆍ시행)는 사업자가 이용자의 개인정보를 보호하기 위한 개인정보보호 조직의 구성 및 운영에 관한 개인정보관리책임자 지정, 개인정보취급자의 역할 및 책임, 개인정보관리책임자 및 취급자 대상 교육에 관한 사항 및 보호조치 기준의 제4조에서 제8조까지의 추진 방안을 마련하여야 한다.


제4조(접근통제)는 이용자의 개인정보에 접근할 수 있는 개인정보취급자의 권한 부여 및 업무 변경에 따른 권한 변경, 권한 부여 및 변경에 대한 이력 보관(5년), 이용자의 개인정보 불법적인 접근 및 침해 방지를 위한 침입차단 및 탐지 기능 설비 운영, 개인정보취급자의 비밀번호 작성 규칙 등의 기준을 제시하고 있다.


제5조(접속기록의 위ㆍ변조방지)는 개인정보취급자가 이용자의 개인정보를 서비스 제공을 위해 접속한 기록에 대한 월 1회 이상의 확인ㆍ감독, 접속기록의 보관 기간 및 접속기록이 위ㆍ변조되지 않도록 백업하는 기준을 제시하고 있다.


제6조(개인정보의 암호화)는 이용자 및 개인정보취급자의 비밀번호 및 바이오정보에 대한 일방향 암호화, 이용자의 주민등록번호, 계좌번호, 신용카드번호의 저장 시 암호화, 개인정보 및 인증정보를 송ㆍ수신 하는 경우에 보안서버 구축을 통한 암호화, 이용자의 개인정보를 개인용 컴퓨터에 저장시 암호화에 대한 기준을 제시하고 있다.

[기사전문보기]