개인정보 안전성 확보조치 개정사항 10가지 요약

현재의 모습 (AS-IS)과 이상적인 모습 (TO-BE)

유형1,유형2,유형3은 삭제 , 개정사항은 2023년 9월15일부터

1. 용어 정의삭제 및 개정된내용이 개선되어 더욱 구체화됨(삭제된부분있음)

2. 내부관리계획 수립시행에대한 내용이 일부개정됨에따라 개인정보처리자는 개정된 내용에 맞춰현재 운영중인 내부관리계획을 9월15일이전에 개정해야된다(삭제된부분있음)

3. 개인정보보호교육은 차등화된 보호교육을 실시할 수 있는 내용으로 강화 됐다(삭제된부분)

4.접근권한 부여 변경 말소기록이 전자적으로 개선됨

5.안전한 인증 수단부문, 인터넷 차단 대상 둘 다 확대됨

6.인터넷 차단 대상이 확대되었다/

7.암호화 저장대상이 통합되고, 수립되었다/

8.재난 대비 안전조치사항이 개선됨

9.출력,복사 시 암호화 저장대상을 강화하여 안전성을 높임

10.공공시스템 운영기간에 대한 특례사항이 신설됐다

> 여러가지 개선점을 정확하게 살피기

 

유형1

개인정보 기술적 관리적 보조치의 내용과 개인정보 안전성 확보 조치에 있는 각각의 용어가 통합되면서 일부 삭제되거나 개정이 됐다는 개념

 

2번항목, 자격요건 추가, 4번 관리감동사항 추가 

5번부터 9번까지 개인정보안정성 확보조치 고시가 통합되면서 각각 조항별로 새롭게 개정된 사항들이 있음, 그렇기 때문에 내부적으로 이미 규정하신 내부관리 계획 안에서도 이번 고시가 통합되면서 개정된 사항이 우리 내부 관리 계획에도 잘 반영될 수 있도록 수정 작업을 해야됨 

10번 신규시설

:우리가 보호해야 될 개인정보 처리 시스템에 대해서 개인정보시스템 내에 저장하고 있는 개인정보에 대한 유출 도난 방지를 위한 취약점 점검을 어떻게 할 것인지에 대한 내용도 이번에 내부 관리 계획에 포함해서 반영될 수 있도록 개정되어야 할 것 

15번 신규신설

 

기존에 개인정보 책임자를 포함해서 개인정보 취급자를 한꺼번에 몰아서 개인정보 인식 교육을 했다면, 이번에 고시에 정한 내용에 따라서 업무 성격(예를 들어 개발자면 개발업무 성격, 관리자면 관리자 업무 성격)에 맞춰서 또는 보직에 따라서 맞춤형 교육이 될 수 있도록 교육 계획을 좀 더 심도 있게 세울 것,

 

말소하다: 기록되어 있는 사실 따위를 지워서 아주 없애 버리다.

기존에는 무엇인가 대장에 여러분들이 기록했었고, 그거에 대해 문제가 되지 않았지만, 이번에 개정된 고시에서는 전자적 기록이기 때문에, 이 대장 서식의 기록해서 하는 것들은 이 법에서 요구하는 것과 다르다는 것, 가장 중요한 포인트는 이제 대장은 안 된다는 것

비밀번호라는 번호 문구가 삭제되고 개인정보 취급자 또는 정보주체가 인증수단을 안전하게 적용하고 관리하여야 한다고 바뀌었음,

개인정보 처리 시스템이 클라우드 컴퓨팅 서비스에 올라가는 경우가 있음, 이런 경우도 이번 고시에서는 클라우드 컴퓨팅 서비스를 이용해서 개인정보 처리 시스템을 구축 운영하는 경우에는 해당 서비스에 대한 접속 외에 인터넷을 차단하는 조치를 하도록 규정하고 있기 

암호화 대상이 기존의 공공기관에 없던 신용카드 번호와 계좌번호가 추가되었으므로, 정보통신 서비스 제공자가 아닌 공공기관에서도 해당 정보가 있다면 적절한 보안 조치를 고민하고 개선 조치를 해 주는 것이 좋다.

전송 시 암호화는 정보통신망을 통해서 인터넷 망으로 송수신, 또한 고유식별 정보 및 생체 인식 정보 전송 시에도 괄호 안의 내부 망 또한 암호화 대상이므로 유의해야 한다.

개인정보 처리 시스템에서 개인정보를 출력 시 그 용도를 특정하고, 그 용도에 따라 최소한의 출력 항목만 출력하여야 함.예측되는 기술적 보호 조치 사항이 매우 중요해질 것으로 예상됨.

 

 

보호조치>안전조치란단어로 사용할것을 수정 

 

제13조3항

13조4항

 

 

안전 조치 수행에 대한 추가적인 노력이 필요하며, 개인정보 처리자들은 이에 대해 적극적으로 고려하고 준수해야 한다.