제16조(개인정보의 파기방법) ① 개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 해야 한다.<개정 2014. 8. 6., 2022. 7. 19.>
1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제. 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치해야 한다.
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각
② 제1항에 따른 개인정보의 안전한 파기에 관한 세부 사항은 보호위원회가 정하여 고시한다.<신설 2014. 8. 6., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.<개정 2023. 9. 12.>
1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부 관리계획의 수립ㆍ시행 및 점검
가. 법 제28조제1항에 따른 개인정보취급자(이하 “개인정보취급자”라 한다)에 대한 관리ㆍ감독 및 교육에 관한 사항
나. 법 제31조에 따른 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항
다. 제2호부터 제8호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항
2. 개인정보에 대한 접근 권한을 제한하기 위한 다음 각 목의 조치
가. 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템(이하 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행
나. 정당한 권한을 가진 자에 의한 접근인지를 확인하기 위해 필요한 인증수단 적용 기준의 설정 및 운영
다. 그 밖에 개인정보에 대한 접근 권한을 제한하기 위하여 필요한 조치
3. 개인정보에 대한 접근을 통제하기 위한 다음 각 목의 조치
가. 개인정보처리시스템에 대한 침입을 탐지하고 차단하기 위하여 필요한 조치
나. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등으로서 보호위원회가 정하여 고시하는 기준에 해당하는 컴퓨터 등에 대한 인터넷망의 차단. 다만, 전년도 말 기준 직전 3개월 간 그 개인정보가 저장ㆍ관리되고 있는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 따른 이용자 수가 일일평균 100만명 이상인 개인정보처리자만 해당한다.
다. 그 밖에 개인정보에 대한 접근을 통제하기 위하여 필요한 조치
4. 개인정보를 안전하게 저장ㆍ전송하는데 필요한 다음 각 목의 조치
가. 비밀번호의 일방향 암호화 저장 등 인증정보의 암호화 저장 또는 이에 상응하는 조치
나. 주민등록번호 등 보호위원회가 정하여 고시하는 정보의 암호화 저장 또는 이에 상응하는 조치
다. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망을 통하여 정보주체의 개인정보 또는 인증정보를 송신ㆍ수신하는 경우 해당 정보의 암호화 또는 이에 상응하는 조치
라. 그 밖에 암호화 또는 이에 상응하는 기술을 이용한 보안조치
5. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 다음 각 목의 조치
가. 개인정보처리시스템에 접속한 자의 접속일시, 처리내역 등 접속기록의 저장ㆍ점검 및 이의 확인ㆍ감독
나. 개인정보처리시스템에 대한 접속기록의 안전한 보관
다. 그 밖에 접속기록 보관 및 위조ㆍ변조 방지를 위하여 필요한 조치
6. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치ㆍ운영과 주기적 갱신ㆍ점검 조치
7. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
8. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치
② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.<개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.<개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
제30조의2(공공시스템 운영기관 등의 개인정보 안전성 확보 조치 등) ① 개인정보의 처리 규모, 접근 권한을 부여받은 개인정보취급자의 수 등 보호위원회가 고시하는 기준에 해당하는 개인정보처리시스템(이하 “공공시스템”이라 한다)을 운영하는 공공기관(이하 “공공시스템운영기관”이라 한다)은 법 제29조에 따라 이 영 제30조의 안전성 확보 조치 외에 다음 각 호의 조치를 추가로 해야 한다.<개정 2024. 3. 12.>
1. 제30조제1항제1호에 따른 내부 관리계획에 공공시스템별로 작성한 안전성 확보 조치를 포함할 것
2. 공공시스템에 접속하여 개인정보를 처리하는 기관(이하 이 조에서 “공공시스템이용기관”이라 한다)이 정당한 권한을 가진 개인정보취급자에게 접근 권한을 부여ㆍ변경ㆍ말소 등을 할 수 있도록 하는 등 접근 권한의 안전한 관리를 위해 필요한 조치
3. 개인정보에 대한 불법적인 접근 및 침해사고 방지를 위한 공공시스템 접속기록의 저장ㆍ분석ㆍ점검ㆍ관리 등의 조치
② 공공시스템운영기관 및 공공시스템이용기관은 정당한 권한 없이 또는 허용된 권한을 초과하여 개인정보에 접근한 사실이 확인되는 경우에는 지체 없이 정보주체에게 해당 사실과 피해 예방 등을 위해 필요한 사항을 통지해야 한다. 이 경우 다음 각 호의 어느 하나에 해당하는 경우에는 통지를 한 것으로 본다.
1. 법 제34조제1항에 따라 정보주체에게 개인정보의 분실ㆍ도난ㆍ유출에 대하여 통지한 경우
2. 다른 법령에 따라 정보주체에게 개인정보에 접근한 사실과 피해 예방 등을 위해 필요한 사항을 통지한 경우
③ 공공시스템운영기관(공공시스템을 개발하여 배포하는 공공기관이 따로 있는 경우에는 그 공공기관을 포함한다. 이하 이 조에서 같다)은 해당 공공시스템의 규모와 특성, 해당 공공시스템이용기관의 수 등을 고려하여 개인정보의 안전한 관리에 관련된 업무를 전담하는 부서를 지정하여 운영하거나 전담인력을 배치해야 한다.
④ 공공시스템운영기관은 공공시스템별로 해당 공공시스템을 총괄하여 관리하는 부서의 장을 관리책임자로 지정해야 한다. 다만, 해당 공공시스템을 총괄하여 관리하는 부서가 없을 때에는 업무 관련성 및 수행능력 등을 고려하여 해당 공공시스템운영기관의 관련 부서의 장 중에서 관리책임자를 지정해야 한다.
⑤ 공공시스템운영기관은 공공시스템의 안전성 확보 조치 이행상황 점검 및 개선에 관한 사항을 협의하기 위하여 다음 각 호의 기관으로 구성되는 공공시스템운영협의회를 공공시스템별로 설치ㆍ운영해야 한다. 다만, 하나의 공공기관이 2개 이상의 공공시스템을 운영하는 경우에는 공공시스템운영협의회를 통합하여 설치ㆍ운영할 수 있다.
1. 공공시스템운영기관
2. 공공시스템의 운영을 위탁하는 경우 해당 수탁자
3. 공공시스템운영기관이 필요하다고 인정하는 공공시스템이용기관
⑥ 보호위원회는 공공시스템운영기관이 개인정보의 안전성 확보 조치를 이행하는데 필요한 지원을 할 수 있다.
⑦ 제1항부터 제6항까지에서 규정한 사항 외에 공공시스템운영기관 등의 개인정보의 안전성 확보 조치에 필요한 사항은 보호위원회가 정하여 고시한다.
[본조신설 2023. 9. 12.]
✅ 1. 법적 구조 개요
| 상위법 | 개인정보 보호법 제29조(안전조치의무) |
| 시행령 | 제16조(파기방법), 제30조(안전성 확보 조치), 제30조의2(공공시스템의 조치 등) |
| 고시 | 개인정보의 안전성 확보조치 기준 안내서 (개인정보보호위원회 고시) |
→ 이 구조에서 ‘고시’는 시행령에서 위임받은 세부 기준을 담고 있으며, 위반 시 법 제29조 및 시행령 위반으로 간주됩니다.
✅ 2. 각 조항과 ‘안내서’의 관계 및 위반 시 법 위반이 되는 이유
🔹 [제16조] 개인정보의 파기방법
- ①항에서 개인정보를 파기할 때는 ‘복원이 불가능한 방법’으로 해야 한다고 규정함.
- ②항에서 "안전한 파기에 관한 세부사항은 보호위원회가 고시한다"고 명시 → ‘안내서’가 바로 그 고시임.
📌 따라서 안내서에 제시된 파기 방법(논리적 삭제, 물리적 파쇄 등)을 따르지 않으면, 시행령 제16조②를 위반하고, 이는 결국 법 제21조 및 **제29조(안전조치의무)**를 위반하는 결과로 이어집니다.
🔹 [제30조] 개인정보의 안전성 확보조치
- ①항의 각 호는 기술적‧관리적‧물리적 보호조치를 포괄적으로 명시함.
- ③항에서 "세부 기준은 보호위원회가 정하여 고시한다"고 규정 → ‘안내서’가 해당 고시.
📌 즉, 이 조항은 법 제29조의 위임을 받아 보호조치의 세부사항을 고시로 정한 것이며,
안내서의 기준(예: 내부관리계획 구성요소, 암호화 수준, 접근권한 통제, 백신 등)을 지키지 않으면
시행령 제30조 위반, 더 나아가 법 제29조 위반이 성립합니다.
🔹 [제30조의2] 공공시스템 운영기관의 조치
- 공공기관 대상 특례조항으로, 제30조의 보호조치 외에 추가적인 사항(운영협의회, 접속기록 점검 등)을 규정
- ⑦항에서 "필요사항은 보호위원회가 고시한다"고 규정 → ‘안내서’ 및 공공부문 특화 고시와 연결
📌 공공기관이 ‘안내서’에서 요구한 기준을 따르지 않으면 제30조의2의 조치 의무 위반, 이는 법 제29조 및 관련 시행령 위반과 동일한 법적 책임으로 이어짐.
✅ 3. 정리: 안내서 미준수 = 법령 위반이 되는 이유
| 법률적 위임 | 시행령 각 조항은 개인정보보호위원회 고시에 세부사항 위임을 명시함 |
| 고시의 효력 | 고시는 단순 참고자료가 아니라 법령상 의무 이행의 구체 기준임 |
| 미준수 시 결과 | 안내서 기준 미준수는 시행령 위반, 나아가 개인정보 보호법 제29조 위반이 됨 |
| 법적 책임 | 보호법 위반은 행정처분(과태료 등) 및 형사처벌 대상이 될 수 있음 |
✅ 결론
‘개인정보의 안전성 확보조치 기준 안내서’는 시행령이 위임한 법령상 세부기준 고시이므로, 이를 준수하지 않으면 단순한 권고사항 위반이 아니라 개인정보 보호법 제29조 및 그 시행령(제16조, 제30조, 제30조의2)을 위반한 것과 동일한 법적 책임이 발생합니다.
'개인정보 > ♥개인정보의 안전성 확보조치 기준 안내서(2024.10)' 카테고리의 다른 글
| 개인정보의 안전성 확보조치 제14조 (공공시스템운영기관의 안전조치 기준 적용) (0) | 2025.05.28 |
|---|---|
| 개인정보의 안전성 확보조치 제8조(접속기록의 보관 및 점검) (0) | 2025.05.26 |
| 개인정보 보호법[법률 제19234호, 2023. 3. 14., 일부개정] 제29조(안전조치의무) (0) | 2025.05.22 |