기업ㆍ공공기관 개인정보 접속기록 관리 강화...앞으로 매달 점검해야

기업ㆍ공공기관 개인정보 접속기록 관리 강화...앞으로 매달 점검해야: 박인규 / 기사승인 : 2019-06-06 13:35:56

▲출처=연합뉴스

정부가 기업과 공공기관 개인정보처리자의 접속기록 관리 의무를 강화했다. 접속기록 보존기간을 기존 6개월에서 1년으로 늘리고, 점검 주기도 상하반기 2회에서 월 1회로 짧아져 개인정보 보호가 한층 강화될 것으로 기대된다.

행정안전부 7일부터 이러한 내용의 '개인정보의 안전성 확보조치 기준'(고시)가 적용된다고 6일 밝혔다.

이번 개정은 개인정보 관리자에 대한 기록 관리 강화에 초점이 맞춰졌다.

개인정보를 수집해 관리하는 기업이나 공공기관에서 내부 관리자에 의해 개인정보가 오·남용되거나 유출되는 사태를 예방하고, 사고가 일어나더라도 원인을 규명하는 데 실질적으로 도움이 되도록 하기 위한 것이라고 행안부는 설명했다.

기존 접속기록으로는 개인정보 취급자가 누구의 개인정보를 취급했는지 분명하지 않았다. 6개월이 지난 침해사고 원인을 규명하기 어려웠고, 반기별 자체 점검으로는 예방효과가 떨어지는 문제가 있기 때문이다.

이를 위해 접속기록 항목을 구체적으로 명시했다. 내부 관리자가 개인정보처리시스템에 접속한 기록을 보관하는 최소 기간을 기존 6개월에서 1년으로 연장했다. 이에 따라 각 기관은 모든 개인정보처리시스템의 접속기록을 1년 이상 보관·관리해야 한다.

특히 개인정보 보유량이 많거나 민감한 내용의 개인정보, 고유식별정보를 수집하는 경우 보관 기간을 2년 이상으로 더 늘렸다.

민감정보는 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보, 유전자검사 등의 결과로 얻어진 유전정보, 범죄경력 자료에 해당하는 정보 등이다. 고유식별정보는 개인을 고유하게 구별하기 위해 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호 등이다.

접속기록 자체 점검 주기도 기존 상반기와 하반기 각 1회에서 매달 1회로 강화했다. 또 개인정보를 다운로드한 경우 그 사유를 반드시 확인해야 한다.

접속기록으로 남겨야 하는 항목도 더 구체화했다.

기존에는 개인정보처리시스템에 접속한 계정과 접속 일자, 접속한 사람의 정보, 수행업무 등을 기록하게 돼 있었는데 개정된 기준은 접속한 사람이 누구의 개인정보를 처리했는지에 대한 정보(처리한 정보주체 정보)와 접속한 장소 등도 추가로 기록하도록 했다.

행안부는 기업과 기관이 바뀐 내용을 쉽게 이해할 수 있도록 개정 기준을 반영한 '개인정보의 안전성 확보조치 기준 해설서'를 개인정보보호 종합 포털에 올렸다.

최장혁 행안부 전자정부국장은 "이번 고시 개정은 개인정보수집과 관련한 가장 기초적 업무인 개인정보처리시스템의 접속기록 관리를 강화해 공공과 민간 분야에서 개인정보보호 수준을 높이기 위한 것"이라며 "앞으로 접속기록 관리 실태를 점검하고 평가해 개정된 사항이 적극적으로 이행되도록 하겠다"고 말했다.