개인정보의 안전성 확보조치 기준
[시행 2023. 9. 22] [개인정보보호위원회 제2023-6호, 2023. 9. 22, 일부개정] | 개인정보의 안전성 확보조치 기준
[시행 2025. 10. 31] [개인정보보호위원회 제2025-9호, 2025. 10. 31, 일부개정] |
제2조(정의)
이 기준에서 사용하는 용어의 뜻은 다음과 같다. | 제2조(정의)
이 기준에서 사용하는 용어의 뜻은 다음과 같다. |
| 1. ∼ 7. (생 략) | 1. ∼ 7. (현행과 같음) |
8. “비밀번호”란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. | 8. “비밀번호”란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 인증할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. |
| 9. ∼ 14. (생 략) | 9. ∼ 14. (현행과 같음) |
제4조(내부 관리계획의 수립ㆍ시행 및 점검)
① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다. | 제4조(내부 관리계획의 수립ㆍ시행 및 점검)
① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다. |
| 1. ∼ 5. (생 략) | 1. ∼ 5. (현행과 같음) |
6. 접근 통제에 관한 사항 | 6. 접근통제에 관한 사항 |
| 7. ∼ 11. (생 략) | 7. ∼ 11. (현행과 같음) |
| <신 설> | 12. 출력ㆍ복사시 안전조치에 관한 사항 |
<신 설>
| 13. 개인정보의 파기에 관한 사항 |
| 12. 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항 | 14. 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항 |
| 13. 위험 분석 및 관리에 관한 사항 | 15. 위험 분석 및 관리에 관한 사항 |
| 14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 | 16. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 |
| 15. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항 | 17. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항 |
| 16. 그 밖에 개인정보 보호를 위하여 필요한 사항 | 18. 그 밖에 개인정보 보호를 위하여 필요한 사항 |
| ② ∼ ④ (생 략) | ② ∼ ④ (현행과 같음) |
제5조(접근 권한의 관리)
① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다. | 제5조(접근 권한의 관리)
① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다. |
| ② ∼ ⑤ (생 략) | ② ∼ ⑤ (현행과 같음) |
⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. | ⑥ 개인정보처리자는 정당한 권한을 가진 자만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. |
제6조(접근통제)
① (생 략) | 제6조(접근통제)
① (현행과 같음) |
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다. | ② 개인정보처리자는 개인정보처리시스템에 대한 정당한 접근 권한을 가진 자(다만, 정보주체는 제외한다)가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다. |
| ③ ∼ ⑤ (생 략) | ③ ∼ ⑤ (현행과 같음) |
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다. | <삭 제> |
| <신 설> | 제6조의2(인터넷망의 차단 조치 등)
① 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 개인정보취급자의 컴퓨터 등에 대해 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자
2. 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자 |
| <신 설> | ② 제1항제2호에도 불구하고 개인정보처리자는 내부 관리계획에서 정한 위험 분석 결과가 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 인터넷망 차단 조치를 하지 아니할 수 있다. 다만, 법 제23조에 따른 민감정보 또는 제7조제1항ㆍ제2항에 따른 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터 등에 대해서는 그러하지 아니하다.
1. 위험 분석 결과 확인된 위험이 현저히 낮은 경우
2. 위험 분석 결과 확인된 위험을 감소시킬 수 있는 보호조치를 적용한 경우. 이 경우 개인정보처리자는 [별표]에 따른 예시를 고려하여야 한다.
|
제8조(접속기록의 보관 및 점검)
① 개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관ㆍ관리하여야 한다. | 제8조(접속기록의 보관 및 점검)
① 개인정보처리자는 개인정보처리시스템에 접속한 자(다만, 정보주체는 제외한다)의 접속기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관ㆍ관리하여야 한다. |
| 1. ∼ 3. (생 략) | 1. ∼ 3. (현행과 같음) |
② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. | ② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보취급자의 개인정보처리시스템에 대한 접속기록 및 개인정보 다운로드 상황을 확인하고 점검하는 주기ㆍ방법ㆍ사후조치절차 등을 내부 관리계획으로 정하고 이행하여야 한다. <후단 삭제> |
| ③ (생 략) | ③ (현행과 같음) |
게시일 : 2025년 10월 31일
개인정보보호법의 하위 행정규칙인 개인정보 안전성 확보조치 기준이 시행되었습니다.
아래는 2023년과 2025년의 신구조문대비표 입니다.
(※ 행정규칙에 대한 최신 안내서가 발간되었습니다. -> https://www.cela.kr/4/?q=YToxOntzOjEyOiJrZXl3b3JkX3R5cGUiO3M6MzoiYWxsIjt9&bmode=view&idx=168843276&t=board)
개인정보 안전성 확보조치 기준
[시행 2023. 9. 22] [개인정보보호위원회 제2023-6호, 2023. 9. 22, 일부개정]
[시행 2025. 10. 31] [개인정보보호위원회 제2025-9호, 2025. 10. 31, 일부개정]
이 기준에서 사용하는 용어의 뜻은 다음과 같다.
이 기준에서 사용하는 용어의 뜻은 다음과 같다.
식별할수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다.
① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다.
접근 통제에 관한 사항① 개인정보처리자는 개인정보처리시스템에 대한 접근
권한을 개인정보취급자에게만업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.
개인정보취급자 또는 정보주체만이개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다.① (생 략)
① (현행과 같음)
개인정보취급자가정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다.⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다.① 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 개인정보취급자의 컴퓨터 등에 대해 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자
2. 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자
1. 위험 분석 결과 확인된 위험이 현저히 낮은 경우
2. 위험 분석 결과 확인된 위험을 감소시킬 수 있는 보호조치를 적용한 경우. 이 경우 개인정보처리자는 [별표]에 따른 예시를 고려하여야 한다.
① 개인정보처리자는
개인정보취급자의 개인정보처리시스템에 대한접속기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관ㆍ관리하여야 한다.① 개인정보처리자는 개인정보처리시스템에 접속한 자(다만, 정보주체는 제외한다)의 접속기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관ㆍ관리하여야 한다.
개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야한다.특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.눈여겨 봐야할 부분은 제6조의2(인터넷 차단 조치 등) 입니다.
개인정보를 다운로드 또는 파기할 수 있는 개인정보 취급자 중에서
위험 분석 결과 확인된 위험을 감소시길 수 있는 보호조치를 적용한 경우는 인터넷망 차단 조치를 안 할 수 있다는 내용인데요.
그에 따른 위험분석 예시가 [별표]에 명시되었습니다.
위험을 감소시킬 수 있는 보호조치 예시 (제6조의2 관련)
- 개인정보 파일 저장 시 안전한 암호 알고리즘으로 암호화
- 개인정보 다운로드 건수 제한
- 개인정보 다운로드 권한을 가진 개인정보취급자 최소화
- 개인정보 출력시 마스킹, 암호화 등 표시제한 조치 적용
- 개인정보 파기시 관리자 또는 팀별 부서 승인 설정
※ 비고
“예시”는 개인정보처리자가 개인정보에 대한 접근을 통제하기 위해 필요한 조치를 마련하는 과정에서 필요한 조치가 무엇인지 선택·적용하도록 하는 안전조치 사항이면서, 실제 사례에서는 구체적 사실관계에 따라 필요한 부분을 선택적으로 적용할 수 있음.
다시 말하면,
개인정보 파일을 다운로드할 수 있는 개인정보처리자라 하더라도, 위 보호조치를 적용한다면 인터넷망 차단조치를 적용하지 않아도 된다는 의미입니다.
그동안 개인정보 파일을 다운로드할 때 인터넷망 차단 때문에 불편을 겪던 현업 담당자분들이 이제는 조금 숨통이 트이지 않을까 싶네요.
추가로, 아래는 개인정보보호 위원회에서 '일률적 인터넷망 차단조치 제도 개선 본격 시행'으로 안내된 보도자료 내용을 정리한 내용입니다.
업무에 참고하시기 바랍니다.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
개인정보 안전성 확보조치 기준 개정 고시 주요 내용 (10월 31일 발효)
■ 개정 고시 시행 개요
‘일평균 100만명 이상 개인정보를 저장‧관리하는 개인정보처리자’에게 일률적으로 적용되어 온 인터넷망 차단조치 제도 개선안이 본격 시행됨.
개인정보보호위원회는 해당 내용을 포함한 「개인정보의 안전성 확보조치 기준」 개정안을 10월 31일부터 시행한다고 발표함.
이번 개정안에는
인터넷망 차단조치 제도 개선
오픈마켓 판매자 등에 대한 플랫폼 사업자의 책임 강화
개인정보처리자 자율보호 체계 강화
내부관리계획 수립 항목 확대
등의 내용이 포함됨.
1. 인터넷망 차단조치 제도 개선
적용 대상: 일평균 100만명 이상 개인정보를 저장·관리하는 개인정보처리자.
기존 제도:
개인정보처리시스템에서 개인정보를 내려받거나 파기할 수 있는 개인정보취급자는 사용하는 모든 기기의 인터넷망을 차단해야만 했음.
개선 내용:
개인정보취급자의 기기에 대해 위험 분석을 실시하여,
위험성이 감지될 경우 → 이를 낮출 수 있는 보호조치 적용
위험하지 않은 것으로 판단되는 경우 → 인터넷망 차단조치 대상에서 제외 가능
단서 조항:
접근권한 설정이 가능한 컴퓨터,
민감정보‧암호화 대상 정보를 다운로드할 수 있는 컴퓨터 등 중요·민감정보를 다루는 컴퓨터는 기존과 동일하게 인터넷망 차단조치 적용.
기대 효과:
기존의 네트워크 차단 중심 조치에서 데이터 중요도 기반 보호체계로 전환.
AI·클라우드 활용이 원활해지고 업무 효율성 향상.
2. 오픈마켓 판매자 등에 대한 플랫폼 사업자의 책임 강화
개인정보처리시스템 접근권한 차등부여 및 접속기록 보관 대상을 확대함.
기존 문제점:
오픈마켓 판매자 등 플랫폼을 이용해 개인정보를 처리하는 자들은 안전한 인증수단 적용, 접속기록 보관 등의 조치 의무 대상에서 제외되어 있었음.
일부 주요 플랫폼 사업자들은 자율규약을 통해 일부 기능을 제공해 오고 있었음.
개선 내용:
접근권한 차등부여 대상
기존: ‘개인정보취급자’
변경: ‘업무수행자’ 전체로 확대
일정 횟수 이상 인증 실패 시 접근 제한 대상
기존: ‘개인정보취급자 또는 정보주체’
변경: ‘개인정보처리시스템에 접근하는 모든 자’
외부에서 개인정보처리시스템 접속 시 안전한 인증수단 적용 대상
기존: 일부
변경: ‘정당한 접근권한을 가진 자(정보주체 제외)’
접속기록 보관 대상
기존: ‘개인정보취급자’
변경: ‘개인정보처리시스템에 접속한 자(정보주체 제외)’
기대 효과:
소상공인·입점 판매자 등 플랫폼 이용자의 개인정보 처리 안전성 강화.
3. 개인정보처리자 자율보호 체계 강화
기존 안전성 확보조치 기준이 접속기록 점검, 다운로드 사유 확인 등 형식적 절차에 집중했다는 지적을 반영.
개선 내용:
개인정보처리자가 내부 관리계획을 스스로 수립하고 점검 주기, 점검 방법, 사후조치 절차 등을 자율적으로 설정 가능.
예외 사항:
제8조제1항 개정으로 접속기록 보관 대상이 ‘개인정보처리시스템에 접속한 자(정보주체 제외)’로 확대됨.
이에 따라 오픈마켓 판매자 등 비정규적 이용자의 접속기록은 보관하되, 점검 및 사후조치는 현실적 여건을 고려하여 ‘개인정보취급자’로 한정하여 수행.
4.내부 관리계획 수립 항목 확대
기존 내부관리계획에는 포함되지 않았던 항목을 추가함.
추가되는 항목:
출력·복사 시 안전조치(제12조),
개인정보 파기 관련 사항(제13조)
개선 필요성이 제기되어 온 부분을 반영한 조치임.
5. 시행 시기 구분
즉시 시행되는 조항
제2조(정의)
제6조의2(인터넷망의 차단조치 등)
1년 유예기간이 부여되는 조항
제4조(내부 관리계획의 수립·시행 및 점검)
제5조(접근 권한의 관리)
제6조(접근통제)
제8조(접속기록의 보관 및 점검)
6. 향후 계획
개인정보위는 본 개정 내용과
최근 9월 발표한 「개인정보 안전관리 체계 강화 방안」(암호화 확대 등)을 반영한
‘개인정보의 안전성 확보조치 안내서’를 연내 발간 예정.
관계자 설명회 등을 개최하여 세부 내용을 안내할 계획.
출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS216&mCode=G010020010&nttId=11599