개인정보에 대한 안전조치 기준이 개인정보 보유량과 기업 규모에 따라 차등 적용된다.
행정자치부는 개인정보 보유량이 적은 영세사업자의 안전조치는 완화하고 보유량이 많은 기업은 강화는 내용의 `개인정보의 안전성 확보조치 기준`을 9월 1일부터 적용한다고 31일 밝혔다.
새 기준에 따르면 개인정보 보유량이 1만명 미만인 소상공인과 단체는 내부관리계획 수립이 면제된다. 시스템에 대한 접근제한과 접근통제를 위한 기술적 안전조치 가운데 가상사설망(VPN) 적용의무와 고유식별정보 취약점 점검 등도 면제된다.
보유량이 100만명 미만인 중소기업과 10만명 미만 대기업·공공기관은 재난·재해 대비 안전조치 사항인 개인정보시스템 백업, 복구 등을 면제하되 개인정보처리시스템에 대한 접근권한과 접근통제 조치는 강화한다.
보유량이 10만명 이상인 대기업·공공기관과 100만명 이상인 중소기업은 위험도 분석·대응과 안전한 암호 키 관리 절차, 재해·재난 대비 안전조치 의무화 등 비상시 대응절차가 강화된다.
개정 기준은 또 개인정보 유출 사고 예방을 위해 개인정보 보호조직 구성·운영과 유출행위 탐지·대응, 개인정보처리시스템에 접촉하는 단말기에 대한 안전조치 등의 규정을 신설했다.
행자부는 지금까지 개인정보 보유량과 상관없이 안전성 확보조치 기준이 획일적으로 규제해 불합리한 측면이 있었으나 앞으로 대다수 영세사업자의 규제부담을 완화하면서 상대적으로 대규모 개인정보 보유기관의 보호수준을 높이는 계기가 될 것이라고 밝혔다.
[디지털뉴스팀]
뉴스