행정안전부는 백화점·학원·병원·부동산중개업 등 정보통신망법상 준용사업자가 개인정보 취급시 반드시 준수해야 할 세부적인 보호조치 기준을 고시한다고 29일 밝혔다.

이 기준은 최근 일련의 고객정보 유출사고를 계기로 우선적으로 개인정보보호가 요청되는 정유사, 백화점 등 24개 업종 35만여 사업자를 대상으로 적용된다.

그동안 행안부는 전문기관의 용역을 통해 기준안을 마련하고 전문가 자문회의와 법적용 대상인 24개 민간협회 및 대한상공회의소 등을 대상으로 토론회를 거쳐 의견을 수렴했다고 밝혔다.

개인정보 보호조치 기준은 사업자가 개인정보 보호를 위해 암호화, 보안 프로그램 설치 등 기술적 분야와 내부관리계획 수립, 책임자 지정 등 관리적 분야를 포함해 총 10개 항목으로 구성돼 있다.

이번 기준에는 정보수집·이용·파기 등 각 단계별 보호조치 및 개인정보취급자에 대한 교육 등이 포함된 내부관리계획을 수립하고, 개인정보관리책임자의 의무와 책임을 명시한 내부지침을 마련하며, 년 1회 이상 정기적인 자체 감사 실시 등이 규정돼 있다.

또한, 개인정보시스템에 불법 접근을 차단하기 위해 침입차단시스템을 설치·운영해야 하며, 주민등록번호 등 민감한 개인정보에 대해서는 반드시 암호화해 저장하도록 규정하고 있다.

보호조치 기준 고시로 개인정보를 취급하는 사업자는 개인정보보호를 위한 기술적·관리적 보호조치가 보다 강화되고 내부직원 및 해커 등 비인가자에 의한 개인정보 유출사고 등이 줄어들 것으로 기대된다고 행안부는 밝혔다.

한편, 고시된 개인정보 보호조치 기준을 위반할 경우 관계법에 따라 최고 3000만원의 과태료가 부과될 수 있고, 기준을 준수하지 않아 이용자의 개인정보를 분실·도난·유출·변경 한 경우 2년 이하의 징역 또는 1000만 원 이하의 벌금이 부과될 수 있다.

강성주 행안부 정보기반정책관은 “앞으로 행안부는 관련 업계를 대상으로 보호조치 기준에 대해 순회교육을 실시하고, 일반인도 관련 내용을 쉽게 이해할 수 있도록 조문별 해설서를 만들어 배포할 예정”이라고 밝혔다.

(출처=행정안전부)