중소기업이라 하더라도 100만명 이상 개인정보를 보유한 곳은 개인정보 보호 조직을 운영해야 한다. 개인정보 보유량이 1만명 미만인 소상공인은 안전대책 기준이 완화된다.
행정자치부는 4일 서울 중구 포스타워에서 공청회를 열고 이 같은 내용을 담은 `개인정보 안전성 확보조치 기준(고시)` 개정안을 발표한다.
안전성 확보조치 기준은 기업이나 공공기관이 개인정보를 수집·이용할 때 준수해야 하는 안전조치를 담았다. 개인정보 유출 사고로 인한 법적 분쟁 또는 행정 처분 시 사업자 위법성을 판단하는 잣대로 활용한다.
지금까지 안전조치 기준은 기업 규모나 개인정보 보유량과 관계없이 모든 사업자에 동일한 의무를 부여했다. 대규모 사업자는 규모에 비해 보호 책임이 낮은 반면에 영세사업자는 과도한 부담을 떠안았다.
정부는 불합리한 점을 개선하기 위해 개인정보를 많이 보유한 기업일수록 보호 조치를 강화하는 방향으로 기준을 개정한다. 10만명 이상 개인정보를 가진 대기업·공공기관과 100만명 이상 개인정보를 다루는 중소기업은 개인정보 보호 조직을 운영해야 한다. 연 1회 안전성 취약점을 점검, 조치해야 한다. 개인정보 유출 사고와 재해·재난에 대비한 계획 수립이 의무화된다.
개인정보가 1만명 미만인 소상공인에는 접근권한 차등 부여, 가상사설망(VPN) 활용을 제외하는 등 꼭 필요한 안전 조치 의무만 부여한다. 중소기업 가운데 개인정보가 100만명 미만인 곳은 소상공인보다 높고 대기업보다는 낮은 안전 조치 의무를 적용받는다.
행자부는 기업을 △보유량 1만명 미만 소상공인(유형1·완화) △보유량 100만명 미만 중소기업, 보유량 10만명 미만 대기업(유형2·표준) △보유량 10만명 이상 대기업, 보유량 100만명 이상 중소기업(유형3·강화) 세 가지로 나눠 관리한다.
행자부는 공청회 이후 의견 수렴과 규제심사 과정을 거쳐 8월 개정안을 최종 확정한다. 이인재 전자정부국장은 “그동안 안전성 확보 조치 기준의 획일화된 규제는 불합리한 측면이 있었다”면서 “안전 조치 차등화로 대규모 정보처리자에게 높은 수준의 보안 의식을 촉구하고, 사회 전반에 걸쳐 개인정보 보호 수준이 높아지는 계기가 되길 바란다”고 말했다.
[표] 개인정보 안전성 확보조치 기준(고시) 개정안
자료:행정자치부
이호준 SW/콘텐츠 전문기자 newlevel@etnews.com
