사업자가 선택 아닌 필수적으로 지켜야 할 ‘개인정보 보호수칙’ 마련

소상공인 보다 쉽게 개인정보 보호조치 기준 이행할 수 있도록

[보안뉴스 김정완] 행정안전부(장관 맹형규)는 백화점·학원·병원·부동산중개업 등 사업자가 개인정보 취급시 반드시 준수해야 할 세부적인 보호조치 기준을 고시한다고 30일 밝혔다. 특히 이번 기준은 부동산중개업 같은 소상공인과 대기업이 처한 상황이 다르므로 이를 고려해 반영했고, 실태점검을 통해 확인된 업종별 특성을 반영함으로써 소상공인도 보다 쉽게 개인정보 보호조치 기준을 이행할 수 있도록 했다는 점이 주목된다.

이 기준은 최근 일련의 고객정보 유출사고를 계기로 우선적으로 개인정보보호가 요청되는 정유사, 백화점 등 24개 업종 35만여개 사업자를 대상으로 적용된다.

그동안 행안부는 전문기관의 용역을 통해 기준안을 마련하고 전문가 자문회의와 법적용 대상인 24개 민간협회 및 대한상공회의소 등을 대상으로 토론회를 거쳐 의견을 수렴했다.

개인정보 보호조치 기준은 사업자가 개인정보 보호를 위해 암호화, 보안 프로그램 설치 등 기술적 분야와 내부관리계획 수립, 책임자 지정 등 관리적 분야를 포함해 총 10개 항목으로 구성돼 있다.

사업자가 수행해야 할 주요 기준에는 정보수집·이용·파기 등 각 단계별 보호조치 및 개인정보취급자에 대한 교육 등이 포함된 내부관리계획을 수립하고, 개인정보관리책임자의 의무와 책임을 명시한 내부지침을 마련하며, 년1회 이상 정기적인 자체 감사 실시 등이 규정돼 있다.

또한 개인정보시스템에 불법 접근을 차단하기 위해 침입차단시스템을 설치·운영해야 하며 주민등록번호 등 민감한 개인정보에 대해서는 반드시 암호화하여 저장토록 규정하고 있다.

 

<사업자 상황을 고려한 보호조치 항목(예시)> - (사업자 규모) 소상공인 내부관리계획 수립시 일부 항목 적용 제외 - (개인정보 보유량) 개인정보를 보관하고 있는 전산실·자료보관실 등은 별도의 출입통제 절차    수립이 필요하나 전산실·자료보관실이 없는 영세사업자는 적용 제외 - (개인정보 민감도) 성별·연령 등 일반개인정보는 암호화 대상에서 제외되나 병력(病歷)·주민등록    번호 등 민감 개인정보는 반드시 암호화하여 저장

 

보호조치 기준 고시로 개인정보를 취급하는 사업자는 개인정보보호를 위한 기술적·관리적 보호조치가 보다 강화되고 내부직원 및 해커 등 비인가자에 의한 개인정보 유출사고 등이 줄어들 것으로 기대된다.

아울러 고시된 개인정보 보호조치 기준을 위반할 경우 관계법에 따라 최고 3천만원의 과태료가 부과될 수 있고, 기준을 준수하지 않아 이용자의 개인정보를 분실·도난·유출·변경 한 경우 2년 이하의 징역 또는 1천만원 이하의 벌금이 부과될 수 있다.

한편 행안부는 앞으로 관련 업계를 대상으로 보호조치 기준에 대해 순회교육을 실시하는 한편, 일반인도 관련 내용을 쉽게 이해할 수 있도록 조문별 해설서를 만들어 배포할 예정이다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>