개인정보보호법 고시 개인정보의 안전성 확보조치 기준 개정 행정예고

 

3대 변화 요약

 

1. 위험분석 결과에 따라 인터넷 망분리 예외대상 규정

    정보유출 위험을 감소할 수 있는 보호조치를 개인정보취급자 PC에 구축한 경우 망분리 예외

 

2. 개인정보처리시스템 접속대상 ‘취급자’에서 ‘정당한 권한을 가진 자’로 확대

    오픈마켓 입점 판매자 처리시스템 접속권한 대상에 포함

 

3. 개인정보처리시스템 접속기록 점검규정 자율화

    월1회 규정에서 개인정보규모, 유형, 내부지침에 따라 자율적으로 수립 및 운영

 

 

 

2024.10.31 개인정보보호법 고시
‘개인정보의 안전성 확보조치 기준 안내서’ 발간

1. FTP, 백업서버 등 공용 파일처리시스템을 개인정보 처리시스템으로 분류

2. 클라우드 컴퓨팅 서비스 기반 개인정보 처리시스템을 기술적 보호조치 대상으로 명시

3. 크리덴셜 스터핑 공격을 이용한 홈페이지 해킹사고를 개인정보 유출사고 범위에 명시

4. 악성프로그램 종류에 ‘랜섬웨어’를 포함하여 개인정보 유출사고 예방 및 대응할 것을 명시

1. 개인정보처리 시스템 접속기록 관리 완화

2. 출력물내 개인정보 보호 조치 완화

3. 저장 데이터 암호화 그대로 (내부망에 저장된 계좌번호, 카드번호 암호화는 그대로 존속)

4. 관리용 단말기 보호조치 삭제

[Privacy Report] 

고의적 개인정보 유출·부정이용으로 중대피해 발생시 

개인정보보호위는 해당기관 ‘대표이사, CISO 파면·해임’ 가능 

 

1. 대표이사, CISO 파면·해임 세부내용 

– 보호위는 위반행위 관련 책임있는 자(대표자, 관련임원) 징계권고 가능  

– 지침 징계기준에 따라 개인정보 고의 유출/부정이용하여 범죄악용·정보주체관련 심각한 2차피해·인격권 중대침해 발생시 ‘파면 또는 해임’ 

 

2. 비위정도·과실여부가 약하더라도 위반행위가 아래 항목에 해당되는 경우 징계 가중  

– 사고발생 개인정보가 민감정보, 고유식별정보  

– 영리목적으로 위반

– 1천명 이상 정보주체 개인정보를 무단수집, 열람, 이용, 유출

 

3. 개인정보보호법 지침 ‘개인정보보호 법규위반에 대한 징계권고 기준’은 현재 시행 중인 지침임 (2022.12.24 제정시행) 

개인정보보호법 지침 ‘개인정보보호 법규위반에 대한 징계권고 기준’원문 :

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=8348

1) 이용자 개인정보를 보유한 기업/기관은 ‘고유식별정보, 신용카드, 계좌번호 DB 저장시 암호화’ 

2)  USB 등 외부저장매체를 통한 개인정보 파일전송시 ‘통제 및  파일 암호화’

3) 출력파일 내 민감정보, 고유식별정보 포함시 ‘인쇄자, 인쇄일시 기록’>

4) 개인정보처리시스템 접속자 접속기록 ‘3개월 이상 보관·관리’

5) 공공분야 개인정보처리시스템 접근계정은 ‘인사정보에 정식 등록된 자’에게만 발급 허용

 

참고_개인정보보호위원회 행정예고 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=9020

 

 

 

❗주요개정사항

– 개인정보보호관련 중대과실 발생시 최대 ‘전체매출액 3% 과징금’ 부과

– 개인정보 전송요구권 신설 : ‘공공 민간 금융 전분야 마이데이터’  확산

– 개인정보 사적이용시 ‘5년이하 징역 또는 5천만원 이하 벌금’

– 침해사고 사전예방목적 ‘사전 실태점검’ 시행

– 자동화 결정에 대한 정보주체권리(거부권, 설명요구권) 신설

 

 

 

 

 

 

 

 

 

 

 

 

 

 

❗출처

– 의안정보 시스템: http://likms.assembly.go.kr/bill/billDetail.do?billId=PRC_M2G2Z1U1I2C3V1E3N4W8K5I4J2L5W6

 

 

2021년 9월 28일,
개인정보호법 전면개정안이 국무회의를 통과하여 국회 제출
이 중 기존 형사처벌 중심 제재를 경제적 제재로 전환

관련링크
2021-9-28, 개인정보보호법 21대 국회 상정 의안원문(https://likms.assembly.go.kr/bill/billDetail.do?billId=ARC_O2N1V0O9E2Y8Q1D8V2C5N4E9A0K8E2)

 

 

[Privacy Report] 「개인정보 보호법」 일부개정법률(안) 입법예고

​

1. 개인정보침해사고시 전체매출의 3%이하 과징금

· 관련매출의 3% 부과에서 전체 매출액의 3% 부과로 변경

· 부과대상은 ‘정보통신서비스 제공자’ → ‘개인정보처리자’로 확대

​

2. 개인정보 형사처벌은 본인 혹은 제3자 이익목적으로 개인정보가 침해되었을 때 해당

· 해커에 의해 개인정보 유출사고가 발생한 경우 개인정보처리자에게 형사처벌을 묻지 않음

· 자기 또는 제3자 이익을 목적으로 개인정보를 탈취한 경우 2년 이하 징역 또는 2천만원 이하 벌금 부과

​

3. 가명정보도 파기의무 대상

· 개인정보처리자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위해 정보주체 동의 없이 개인정보를 가명처리 하거나 가명정보를 처리할 수 있음

· 가명정보 처리목적 달성시에는 파기

​

4. 개인정보 전송요구권 도입

· 정보주체는 내 정보를 보유하고 있는 기업/기관에게 나의 개인정보를 자신, 기업/기관, 개인정보관리 전문기관에 전송/전달 할 것을 요구할 수 있음

​

5. 보호위가 인정하는 안전한 국가/기관으로는 동의없이 개인정보 국외이전 허용

· EU GDPR 등 해외법제와 상호운용성 확보

· 개인정보를 적정하게 보호하고 있지 않을 경우 중지명령

 

[Privacy Report] 개인정보 침해사고시 ‘전체’ 매출액 과징금 3%
– 개인정보 보호위원회, 개인정보보호법 2차개정 추진

​
1) 개인정보 침해사고시 ‘전체’ 매출액 과징금 3%
– 기존 법령은 ‘위반행위 관련’ 매출액 3%
– GDPR 수준으로 과징금 강화 (GDPR: 2천만 유로 또는 전세계 매출액의 4% 과징금 중 높은 금액 부과)
– 형벌 중심에서 경제벌 중심으로 전환

​ 2) 개인정보 형사처벌은 ‘자기 혹은 제3자 이익의 목적’으로 개인정보가 침해되었을 때
– 해커에 의해 개인정보 유출사고 발생시, 개인정보 처리자에게 형사처벌을 묻지 않을 것

​ 3) 개인정보 이동권, 금융/공공분야에서 전 분야로 확대
– 내 개인정보가 언제, 누구에게, 어디까지 이용제공 되는지 스스로 결정
– 기존 개인신용정보 전송요구권(신용정보법), 공공분야 데이터 이동권(전자정부법)에서 전 분야로 마이데이터 확산

​ 4) 보호위가 인정하는 안전한 국가/기관이라면 동의없이 개인정보 국외이전 허용(GDPR 국외 이전제도)
– 법을 위반하여 개인정보를 국외이전하거나 적절하게 보호하지 않는 경우 중지명령
​
5) 모든 기업/기관 개인정보처리자 분쟁조정 의무대응
– 분쟁조정시 의무적으로 응해야하는 대상을 공공기관에서 모든 개인정보처리자로 확대




https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=7017&fbclid=IwAR3F9GGOXgKDb9rQqb5OlPIJ7OZnX1YI5pxAxGiNjuauOoxZWWg_7cx-ZKY#LINK

[Privacy Report] 개인정보의 안전성 확보조치 기준 고시 개정안 (11.13)

 

– 정보통신망법 고시와 개인정보법 고시의 통합본
– 망법에는 있었으나 개보법에는 없었던 내용을 포함하는것이 주요 개정 이유

 

<주요 변경 사항>

1. 망분리 요건 포함

2. 암호화대상 개인정보 확대 : 카드번호, 계좌번호 포함

3. 내부망과 DMZ의 구분 폐지로 인한 암호화 대상 확대
– 기존에는 주민번호 이외 개인정보는 내부망에서 암호화는 선택 사항이었음.

4. 출력물 보호조치 강화
– 단말에 파일생성도 출력으로보고 최소화하고, 통제하도록함.

5. 개인정보 마스킹
– 화면 개인정보 출력시 마스킹 통제 요건 포함