안녕하세요, 미스터 베리입니다. 지난 포스팅을 통해 개인정보 담당자를 위한 법령 해석하는 방법에 대해 배웠습니다.
여기서 또 궁금한 점이 생깁니다. 개인정보 보호. 도대체 어떻게 하라는 걸까요? 오늘은 법령에서 정의한 개인정보 보호 기준에 대해 알아보겠습니다.
“개인정보 보호법”에 들어가서 [법령체계도]를 선택하면 개인정보 보호에 관한 법령이 모두 노출됩니다.
행정규칙을 보면 개인정보의 안전성 확보조치 기준, 개인정보의 기술적·관리적 보호조치 기준 이렇게 두 가지의 기준이 존재합니다. 오늘은 적용되는 기준 확인방법과 이 기준들이 공통적으로 어떤 내용들을 담고 있는지에 대해 이야기하겠습니다.
[적용되는 기준 찾기]
1. 적용되는 기준 찾기 (개인정보의 안전성 확보조치 기준 vs 개인정보의 기술적·관리적 보호조치 기준)
두 기준의 가장 큰 차이점은 개인정보의 '기술적·관리적 보호조치 기준'은 "정보통신서비스 제공자 등"에 해당하는 개인정보처리자에게 적용되고 '개인정보의 안전성 확보조치 기준'은 모든 "개인정보처리자"에게 해당한다는 점입니다.
하지만 특례 우선적용 원칙에 따라 정보통신서비스 제공자 등에 해당하며 개인정보처리자의 경우는 '기술적·관리적 보호조치 기준'을 준수해야 합니다.
데이터3법 개정 전 기준 개인정보의 안전성 확보조치 기준은 개인정보 보호법의 하위고시이며 개인정보의 기술적·관리적 보호조치 기준은 정보통신망법의 하위고시입니다. 특례에 의거해서 정보통신자 등은 개인정보의 기술적·관리적 보호조치 기준를 준수해야 합니다.
2 (개인정보의 안전성 확보조치 기준 적용대상) 적용되는 유형 찾기
개인정보의 안전성 확보조치 기준 적용대상에 포함되는 개인정보 처리자는 개인정보처리자의 유형(소상공인, 단체, 개인, 중소기업, 대기업, 중견기업, 공공기관)과 보유하고 있는 개인정보량에 따라 적용되는 안전조치 기준이 달라집니다.
즉, 유형1에 해당하는 ‘1만명 미만의 정보주체의 개인정보를 보유한 소상공인’의 경우 안전조치 기준 제4조(내부 관리계획의 수립·시행)가 의무가 아닙니다. 하지만 유형2, 유형3에 해당한다면 제4조(내부 관리계획의 수립·시행)는 필수입니다.
[목차 살펴보기]
두 기준은 개인정보의 분실·도난·유출·위조·변조·훼손을 방지하기 위해 최소한의 안전성 확보를 위해 만들어진 기준으로 상당히 유사한 조항을 포함하고 있습니다.
내부관리계획, 접근통제, 접속기록, 개인정보의 암호화, 악성프로그램 방지, 물리적 안전조치 조항은 두 개 기준에서 모두 존재합니다.
그러면 여기서 의문점이 남습니다. 이렇게 같은 기준들을 하나로 통합하면 되지, 왜 정부는 따로 만든걸까요?
이유는 정보통신서비스제공자등에게 적용되는 개인정보 보호기준과 그 외 개인정보처리자에게 개인정보 안전성 확보조치기준에 차이점이 있기 때문입니다. 어떤 점이 다른지는 다음 포스팅에서 다루겠습니다.
[1] (개인정보보호위원회) 개인정보의 안전성 확보조치 기준
http://www.law.go.kr/LSW//admRulLsInfoP.do?admRulSeq=2100000192069
[2] (개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준
http://www.law.go.kr/LSW//admRulLsInfoP.do?admRulSeq=2100000192070