최신 개인정보의 안전성 확보조치 기준 변경점

1. 개요

1) 배경

 - (개인정보보호위원회고시) 개인정보의 안전성 확보조치 기준 2025.10.31. 개정

 

2) 목적

 -  이전 고시와의 변경점에 대해 정리

 

2. 변경점

1) 신구대비표

시행 2023. 9.22.	시행 2025.10.31.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.	제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
8. “비밀번호”란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.	8. “비밀번호”란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 인증할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
제4조(내부 관리계획의 수립 ·시행 및 점검)	제4조(내부 관리계획의 수립 ·시행 및 점검)
6.접근 통제에 관한 사항	6. 접근통제에 관한 사항
12. 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항	12. 출력ㆍ복사시 안전조치에 관한 사항
13. 위험 분석 및 관리에 관한 사항	13. 개인정보의 파기에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항	14. 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항
15. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항	15. 위험 분석 및 관리에 관한 사항
16. 그 밖에 개인정보 보호를 위하여 필요한 사항	16. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
<신 설>	17. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항
<신 설>	18. 그 밖에 개인정보 보호를 위하여 필요한 사항
제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.	제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.
⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다.	⑥ 개인정보처리자는 정당한 권한을 가진 자만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다.
제6조(접근통제)
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다.	② 개인정보처리자는 개인정보처리시스템에 대한 정당한 접근 권한을 가진 자(다만, 정보주체는 제외한다)가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다.
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다.	<삭 제>
<신 설>	제6조의2(인터넷망의 차단 조치 등) ① 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 개인정보취급자의 컴퓨터 등에 대해 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다. 1. 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자 2. 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자 ② 제1항제2호에도 불구하고 개인정보처리자는 내부 관리계획에서 정한 위험 분석 결과가 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 인터넷망 차단 조치를 하지 아니할 수 있다. 다만, 법 제23조에 따른 민감정보 또는 제7조제1항ㆍ제2항에 따른 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터 등에 대해서는 그러하지 아니하다. 1. 위험 분석 결과 확인된 위험이 현저히 낮은 경우 2. 위험 분석 결과 확인된 위험을 감소시킬 수 있는 보호조치를 적용한 경우. 이 경우 개인정보처리자는 [별표]에 따른 예시를 고려하여야 한다.
제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관ㆍ관리하여야 한다.	제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보처리시스템에 접속한 자(다만, 정보주체는 제외한다)의 접속기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관ㆍ관리하여야 한다.
② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.	② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보취급자의 개인정보처리시스템에 대한 접속기록 및 개인정보 다운로드 상황을 확인하고 점검하는 주기ㆍ방법ㆍ사후조치절차 등을 내부 관리계획으로 정하고 이행하여야 한다.

 

2) 분석

 - 제2조 용어에서 비밀번호에 대한 정의가 변경되었음을 확인

 - 제4조 내부관리계획에 필수 기재사항이 추가되었음

  : 출력·복사 시 안전조치에 관한 사항, 개인정보의 파기에 관한 사항

 - 제5조, 제6조 개인정보취급자로 한정하지 않고 정당한 권한을 가진 자로 적용범위가 확대됨

 - 제6조제6항이 제6조의2로 신설되었음 

  : 인터넷망 차단 조치에 대해 좀 더 상세히 풀어서 명시함

- 제8조 개인정보취급자 뿐만 아니라 개인정보처리시스템에 접속한 자로 변경하여 적용범위가 확대됨

- 제8조제2항 기존에는 월 1회 이상 점검을 의무화 하고 있었으나, 내부 관리계획에 점검 주기·방법·사후조치 절차를 정하여 이행하는 것으로 수정됨

 

3. 정리

- 개인정보처리자는 해당 고시 변경안을 반영하여 내부 규정 및 지침을 개정해야 함

 : 용어 수정, 항목 추가, 내용 변경, 접속기록 점검방법 정의 등

---