앞으로는 기업체나 공공기관 등에서 내부 관리자가 개인정보처리시스템에 접속한 기록을 더욱 엄격하게 관리해야 한다.
접속기록을 보관하는 기간이 6개월에서 1년으로 늘어나고 자체적으로 접속기록을 점검하는 주기도 짧아진다.
행정안전부 이러한 내용으로 '개인정보의 안전성 확보조치 기준'(고시)을 개정해 오는 7일부터 적용한다고 6일 밝혔다.
이번 개정은 개인정보를 수집해 관리하는 기업이나 공공기관에서 내부 관리자에 의해 개인정보가 오·남용되거나 유출되는 사태를 예방하고, 사고가 일어나더라도 원인을 규명하는 데 실질적으로 도움이 되도록 하는 데 초점을 뒀다.
이를 위해 내부 관리자가 개인정보처리시스템에 접속한 기록을 보관하는 최소 기간을 기존 6개월에서 1년으로 늘렸다.
내부 관리자의 잘못으로 개인정보 관련 사고가 났을 때 6개월 이전의 접속기록이 남아 있지 않아 원인을 찾기 어렵다는 지적을 반영한 조치다.
이에 따라 각 기관은 모든 개인정보처리시스템의 접속기록을 1년 이상 보관·관리해야 한다.
개인정보 보유량이 많거나 민감한 내용의 개인정보를 수집하는 경우에는 접속기록 보관 기간이 더 길어진다.
5만명 이상의 개인정보 기록을 관리하거나 주민등록번호 등 고유식별정보를 처리하는 경우, 유전정보나 범죄경력 자료 등 민감정보로 분류된 내용을 처리하는 경우에는 개인정보처리시스템 접속기록을 2년 이상 보관하도록 했다.
기업과 기관이 내부 관리자의 개인정보처리시스템 접속기록을 자체 점검하는 주기도 매달 1차례로 단축했다. 기존에는 상반기와 하반기에 1차례씩 하게 돼 있었다.
접속기록으로 남겨야 하는 항목도 더 구체화했다.
기존에는 개인정보처리시스템에 접속한 계정과 접속 일자, 접속한 사람의 정보, 수행업무 등을 기록하게 돼 있었는데 개정된 기준은 접속한 사람이 누구의 개인정보를 처리했는지에 대한 정보(처리한 정보주체 정보)와 접속한 장소 등도 추가로 기록하도록 했다.
아울러 시스템 접속기록 점검 과정에서 개인정보를 다운로드한 내역이 발견될 경우 그 사유를 반드시 확인하도록 했다.
행안부는 기업과 기관이 바뀐 내용을 쉽게 이해할 수 있도록 개정 기준을 반영한 '개인정보의 안전성 확보조치 기준 해설서'를 개인정보보호 종합 포털(www.privacy.go.kr)에 올렸다.
최장혁 행안부 전자정부국장은 "이번 고시 개정은 개인정보수집과 관련한 가장 기초적 업무인 개인정보처리시스템의 접속기록 관리를 강화해 공공과 민간 분야에서 개인정보보호 수준을 높이기 위한 것"이라며 "앞으로 접속기록 관리 실태를 점검하고 평가해 개정된 사항이 적극적으로 이행되도록 하겠다"고 말했다.
(연합뉴스)