[Career history]
- There will be no updates
during the project period
from June to November.
- Information security consultant : 1 Year
> Penetration testing
> Infrastructure diagnosis
> Personal information
- Cyber security monitoring : 1.5 Year
- Symantec Engineer : 1.9 Year
제14조(공공시스템운영기관의 안전조치 기준 적용) ① 다음 각 호의 어느 하나에 해당하는 개인정보처리시스템 중에서 개인정보보호위원회(이하 “보호위원회”라 한다)가 지정하는 개인정보처리시스템(이하 “공공시스템”이라 한다)을 운영하는 공공기관(이하 “공공시스템 운영기관”이라 한다)은 제2장의 개인정보의 안전성 확보 조치 외에 이 장의 조치를 하여야 한다. 1. 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 단일 시스템을 구축하여 다른 기관이 접속하여 이용할 수 있도록 한 단일접속 시스템으로서 다음 각 목의 어느 하나에 해당하는 경우 16 개인정보의 안전성 확보조치 기준 안내서 가. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템 나. 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템 다. 정보주체의 사생활을 현저히 침해할 우려가 있는 민감한 개인정보를 처리하는 시스템 2. 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 표준이 되는 시스템을 개발하여 다른 기관이 운영할 수 있도록 배포한 표준배포 시스템으로서 대국민 서비스를 위한 행정업무 또는 민원업무 처리용으로 사용하는 경우 3. 기관의 고유한 업무 수행을 지원하기 위하여 기관별로 운영하는 개별 시스템으로서 다음 각 목의 어느 하나에 해당하는 경우 가. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템 나. 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템 다. 「주민등록법」에 따른 주민등록정보시스템과 연계하여 운영되는 시스템 라. 총 사업비가 100억원 이상인 시스템 ② 제1항에도 불구하고 보호위원회는 다음 각 호의 어느 하나에 해당하는 개인정보처리 시스템에 대하여는 공공시스템으로 지정하지 않을 수 있다. 1. 체계적인 개인정보 검색이 어려운 경우 2. 내부적 업무처리만을 위하여 사용되는 경우 3. 그 밖에 개인정보가 유출될 가능성이 상대적으로 낮은 경우로서 보호위원회가 인정하는 경우
✅ 제14조 공공시스템운영기관의 안전조치 기준 적용
🔹 개념 요약
특정 요건에 해당하는 공공기관의 개인정보처리시스템 중, 개인정보보호위원회가 ‘공공시스템’으로 지정한 시스템에 대해서는 기본 안전조치(제2장) 외에 추가적인 강화 조치(제3장)를 반드시 이행해야 함.
✅ ① 공공시스템의 지정 대상 요건
다음 세 유형의 시스템 중 하나에 해당하면서, 보호위원회가 별도로 지정한 시스템이 ‘공공시스템’임.
1. 단일접속 시스템
정의: 두 개 이상 기관이 공동으로 사용하는 중앙 시스템에 접속해 처리
조건(아래 중 하나 이상 충족 시 대상):
가. 100만 명 이상의 정보주체 개인정보를 처리
나. 개인정보취급자 수가 200명 이상
다. 민감정보를 다루며 사생활 침해 우려가 큰 경우
2. 표준배포 시스템
정의: 특정 기관이 표준 시스템을 개발하여 다른 기관들이 운영 가능하도록 배포한 시스템
대상 조건: 대국민 서비스, 민원처리 등 행정업무에 활용될 경우 해당
3. 개별 시스템
정의: 개별 공공기관이 자체적으로 운영하는 시스템 중 아래 조건 중 하나에 해당하는 경우
조건:
가. 100만 명 이상 개인정보 처리
나. 개인정보취급자 200명 이상
다. 주민등록정보시스템과 연계되는 경우
라. 총 사업비 100억 원 이상
✅ ② 예외 규정: 보호위원회가 ‘공공시스템’으로 지정하지 않을 수 있는 경우
다음 요건을 만족할 경우에는 요건을 충족하더라도 공공시스템으로 지정하지 않을 수 있음:
1. 체계적 검색 불가
개인정보 검색이 구조적으로 어렵거나 제한된 시스템
2. 내부 업무 전용
내부업무 처리 전용 시스템(예: 근태관리, 회의록 관리 등)
3. 낮은 유출 가능성
기술적, 물리적, 행정적 통제가 강하여 유출 우려가 낮다고 보호위가 판단한 경우
✅ 요약 표
단일접속 시스템
① 100만명 이상 개인정보, ② 취급자 200명 이상, ③ 민감정보
표준배포 시스템
대국민 행정/민원 서비스용으로 표준 배포된 시스템
개별 시스템
① 100만명 이상, ② 취급자 200명 이상, ③ 주민등록 연계, ④ 총사업비 100억 이상
주민등록번호, 휴대폰번호 등은 사실상 공용정보가 된 상태로 더 이상 보호받는 정보로 인식되지 않음.
SKT 해킹 사건은 국민 개인정보 보호 인식 고취에 긍정적인 계기로 작용.
🔹 2. 신고 관련 현실과 문제
개인정보 유출 시 신고 기준:
개인정보보호법 시행령: 72시간 이내
정보통신망법: 24시간 이내
관련 법에는 과기정통부, KISA 등에 신고하도록 되어 있으나, 수사권이 없어 실질적 대응에 한계.
실제론 언론 보도로 경찰이 사안을 인지하는 경우도 많음.
경찰 신고는 법에 명시돼 있지 않지만 필수, 수사권은 경찰만이 가짐.
🔹 3. 수사 역량과 국제 공조
최근 개인정보 침해 사건은 해외 해커 조직이 주도.
한국 경찰의 국제 공조 수사 능력은 세계 최고 수준.
동유럽 현지에서 해커조직 검거 사례 공개.
🔹 4. 기업들의 신고 기피와 경찰의 입장
언론 노출 우려로 신고 꺼리는 경우 많음.
경찰은 신고자 보호를 최우선으로 수사 진행.
🔹 5. 과태료 vs 과징금
과태료(3,000만원 이하)만 인식하는 경우 많으나,
실제 매출액의 최대 30%에 달하는 과징금이 더 위협적이고 중대함.
🔹 6. 개인정보 유출 원인 구분
내부 요인:
내부자 소행
제3자 제공 시 동의 누락
단체 메일 발송
홈페이지 게시판에 개인정보 업로드 등
외부 요인:
시스템 공격 (입력값/파라미터 변조, 세션 하이재킹 등)
인적 공격 (스피어 피싱, 워터링 홀 등)
유출 원인 중 51%는 원인 미상, 추적 어려움.
▲APT 공격을 통한 개인정보 탈취 [자료: 국수본]
🔹 7. 보안담당자 실무 대응 방안
아웃바운드 트래픽 및 로그 모니터링 강화
로그 보존 정책 철저히 수립
내부 방화벽 관리
침해 발생 시 원본 디스크 및 로그 이미지 백업 확보 필요
▲아웃바운드 트래픽 등에 대한 모니터링 및 로그 보존 정책 강화 [자료: 국수본]
📌 요약: 이지용 경감은 "개인정보는 이미 공용정보가 된 상태"라며, 지금이야말로 보호 인식 강화가 필요한 시점이라고 강조했습니다. 신고 체계의 불명확성과 수사권 부재 문제를 지적하며 실제 사건 수사는 경찰이 주도해야 하므로 즉시 경찰에 신고할 것을 당부했습니다. 또, 기업과 보안 담당자들은 유출 방지 및 사고 발생 시 철저한 대응을 위한 준비가 필요하다고 조언했습니다.
제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자의 개인정보처리 시스템에 대한 접속기록을 1년 이상 보관·관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관·관리하여야 한다. 1. 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우 2. 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우 3. 개인정보처리자로서 「전기통신사업법」제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우 14 개인정보의 안전성 확보조치 기준 안내서 ② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. ③ 개인정보처리자는 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하기 위한 조치를 하여야 한다.
✅ 제8조 접속기록의 보관 및 점검
◼️ ① 접속기록의 보관 기간
개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접근한 모든 접속기록을 최소 1년 이상 보관·관리해야 함.
단, 아래 세 가지 조건 중 하나라도 해당될 경우, 2년 이상 보관해야 함:
1. 대규모 처리
5만 명 이상의 정보주체에 관한 개인정보를 처리하는 시스템
2. 민감한 정보 처리
고유식별정보(예: 주민등록번호) 또는 민감정보를 처리하는 시스템
3. 특정 통신사업자
전기통신사업법 제6조 제1항에 따라 등록·신고된 기간통신사업자
📌 해당 조건에 해당하는 시스템은 로그를 2년 이상 장기 보관해야 하며, 보관 장소와 포맷도 위변조 방지를 고려해야 함.
◼️ ② 접속기록의 점검 주기 및 항목
접속기록은 월 1회 이상 정기적으로 점검해야 함.
점검 목적은 오·남용, 분실, 도난, 유출, 위조, 변조, 훼손 등 보안 위협 탐지.
🔎 특히 중요!
개인정보 다운로드 발생 시 → 내부관리계획 기준에 따라 사유 확인 필수 (예: 누가, 언제, 왜 다운로드 했는지 기록 및 분석 필요)
우리나라에서는 ‘기업의 기밀 정보’만 유출된 경우, 이를 상위 기관이나 정부 기관에 지체 없이 신고해야 할 법적 의무는 현재 명시적으로 규정되어 있지 않습니다. 즉, 법적 강제력은 개인정보 유출에 비해 약합니다.
개인정보 보호법
[시행 2025. 10. 2.] [법률 제20897호, 2025. 4. 1., 일부개정]
제34조(개인정보 유출 등의 통지ㆍ신고)① 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출(이하 이 조에서 “유출등”이라 한다)되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만, 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.<개정 2023. 3. 14.>
1. 유출등이 된 개인정보의 항목
2. 유출등이 된 시점과 그 경위
3. 유출등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
② 개인정보처리자는 개인정보가 유출등이 된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다.<개정 2023. 3. 14.>
③ 개인정보처리자는 개인정보의 유출등이 있음을 알게 되었을 때에는 개인정보의 유형, 유출등의 경로 및 규모 등을 고려하여대통령령으로 정하는 바에 따라 제1항 각 호의 사항을 지체 없이 보호위원회 또는대통령령으로 정하는 전문기관에 신고하여야 한다. 이 경우 보호위원회 또는대통령령으로 정하는 전문기관은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.<개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 2. 4., 2023. 3. 14.>
④ 제1항에 따른 유출등의 통지 및 제3항에 따른 유출등의 신고의 시기, 방법, 절차 등에 필요한 사항은대통령령으로 정한다.<개정 2023. 3. 14.>
[제목개정 2023. 3. 14.]
🔹 즉, 개인정보 유출은 “지체 없이 통지 + 신고”가 의무입니다. 🔹 랜섬웨어에 의해 개인정보가 유출되었을 경우도 여기에 해당합니다.
제48조의3(침해사고의 신고 등)① 정보통신서비스 제공자는 침해사고가 발생하면 즉시 그사실을 과학기술정보통신부장관이나 한국인터넷진흥원에 신고하여야 한다. 이 경우 정보통신서비스 제공자가 이미 다른 법률에 따른 침해사고 통지 또는 신고를 했으면 전단에 따른 신고를 한 것으로 본다.<개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26., 2022. 6. 10.>
1. 삭제<2022. 6. 10.>
2. 삭제<2022. 6. 10.>
② 과학기술정보통신부장관이나 한국인터넷진흥원은 제1항에 따라 침해사고의 신고를 받거나 침해사고를 알게 되면 제48조의2제1항 각 호에 따른 필요한 조치를 하여야 한다.<개정 2009. 4. 22., 2013. 3. 23., 2017. 7. 26.>
③ 제1항 후단에 따라 침해사고의 통지 또는 신고를 받은 관계 기관의 장은 이와 관련된 정보를 과학기술정보통신부장관 또는 한국인터넷진흥원에 지체 없이 공유하여야 한다.<신설 2022. 6. 10.>
④ 제1항에 따른 신고의 시기, 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.<신설 2024. 2. 13.>
5. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 다음 각 목의 조치
가. 개인정보처리시스템에 접속한 자의 접속일시, 처리내역 등 접속기록의 저장ㆍ점검 및 이의 확인ㆍ감독
나. 개인정보처리시스템에 대한 접속기록의 안전한 보관
다. 그 밖에 접속기록 보관 및 위조ㆍ변조 방지를 위하여 필요한 조치
6. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치ㆍ운영과 주기적 갱신ㆍ점검 조치
7. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
8. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치
② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.<개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은보호위원회가 정하여 고시한다.<개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>
제30조의2(공공시스템 운영기관 등의 개인정보 안전성 확보 조치 등)① 개인정보의 처리 규모, 접근 권한을 부여받은 개인정보취급자의 수 등보호위원회가 고시하는기준에 해당하는 개인정보처리시스템(이하 “공공시스템”이라 한다)을 운영하는 공공기관(이하 “공공시스템운영기관”이라 한다)은법제29조에 따라 이영제30조의 안전성 확보 조치 외에 다음 각 호의 조치를 추가로 해야 한다.<개정 2024. 3. 12.>
1.제30조제1항제1호에 따른 내부 관리계획에 공공시스템별로 작성한 안전성 확보 조치를 포함할 것
2. 공공시스템에 접속하여 개인정보를 처리하는 기관(이하 이 조에서 “공공시스템이용기관”이라 한다)이 정당한 권한을 가진 개인정보취급자에게 접근 권한을 부여ㆍ변경ㆍ말소 등을 할 수 있도록 하는 등 접근 권한의 안전한 관리를 위해 필요한 조치
3. 개인정보에 대한 불법적인 접근 및 침해사고 방지를 위한 공공시스템 접속기록의 저장ㆍ분석ㆍ점검ㆍ관리 등의 조치
② 공공시스템운영기관 및 공공시스템이용기관은 정당한 권한 없이 또는 허용된 권한을 초과하여 개인정보에 접근한 사실이 확인되는 경우에는 지체 없이 정보주체에게 해당 사실과 피해 예방 등을 위해 필요한 사항을 통지해야 한다. 이 경우 다음 각 호의 어느 하나에 해당하는 경우에는 통지를 한 것으로 본다.
2. 다른 법령에 따라 정보주체에게 개인정보에 접근한 사실과 피해 예방 등을 위해 필요한 사항을 통지한 경우
③ 공공시스템운영기관(공공시스템을 개발하여 배포하는 공공기관이 따로 있는 경우에는 그 공공기관을 포함한다. 이하 이 조에서 같다)은 해당 공공시스템의 규모와 특성, 해당 공공시스템이용기관의 수 등을 고려하여 개인정보의 안전한 관리에 관련된 업무를 전담하는 부서를 지정하여 운영하거나 전담인력을 배치해야 한다.
④ 공공시스템운영기관은 공공시스템별로 해당 공공시스템을 총괄하여 관리하는 부서의 장을 관리책임자로 지정해야 한다. 다만, 해당 공공시스템을 총괄하여 관리하는 부서가 없을 때에는 업무 관련성 및 수행능력 등을 고려하여 해당 공공시스템운영기관의 관련 부서의 장 중에서 관리책임자를 지정해야 한다.
⑤ 공공시스템운영기관은 공공시스템의 안전성 확보 조치 이행상황 점검 및 개선에 관한 사항을 협의하기 위하여 다음 각 호의 기관으로 구성되는 공공시스템운영협의회를 공공시스템별로 설치ㆍ운영해야 한다. 다만, 하나의 공공기관이 2개 이상의 공공시스템을 운영하는 경우에는 공공시스템운영협의회를 통합하여 설치ㆍ운영할 수 있다.
1. 공공시스템운영기관
2. 공공시스템의 운영을 위탁하는 경우 해당 수탁자
3. 공공시스템운영기관이 필요하다고 인정하는 공공시스템이용기관
⑥ 보호위원회는 공공시스템운영기관이 개인정보의 안전성 확보 조치를 이행하는데 필요한 지원을 할 수 있다.
⑦ 제1항부터 제6항까지에서 규정한 사항 외에 공공시스템운영기관 등의 개인정보의 안전성 확보 조치에 필요한 사항은보호위원회가 정하여 고시한다.
[본조신설 2023. 9. 12.]
출처 : 개인정보보호위원회, 「개인정보의 안전성 확보조치 기준 안내서」 2024.10.
✅ 1. 법적 구조 개요
상위법
개인정보 보호법 제29조(안전조치의무)
시행령
제16조(파기방법), 제30조(안전성 확보 조치), 제30조의2(공공시스템의 조치 등)
고시
개인정보의 안전성 확보조치 기준 안내서 (개인정보보호위원회 고시)
→ 이 구조에서 ‘고시’는 시행령에서 위임받은 세부 기준을 담고 있으며, 위반 시 법 제29조 및 시행령 위반으로 간주됩니다.
✅ 2. 각 조항과 ‘안내서’의 관계 및 위반 시 법 위반이 되는 이유
🔹 [제16조] 개인정보의 파기방법
①항에서 개인정보를 파기할 때는 ‘복원이 불가능한 방법’으로 해야 한다고 규정함.
②항에서 "안전한 파기에 관한 세부사항은 보호위원회가 고시한다"고 명시 → ‘안내서’가 바로 그 고시임.
📌 따라서 안내서에 제시된 파기 방법(논리적 삭제, 물리적 파쇄 등)을 따르지 않으면, 시행령 제16조②를 위반하고, 이는 결국 법 제21조 및 **제29조(안전조치의무)**를 위반하는 결과로 이어집니다.
🔹 [제30조] 개인정보의 안전성 확보조치
①항의 각 호는 기술적‧관리적‧물리적 보호조치를 포괄적으로 명시함.
③항에서 "세부 기준은 보호위원회가 정하여 고시한다"고 규정 → ‘안내서’가 해당 고시.
📌 즉, 이 조항은 법 제29조의 위임을 받아 보호조치의 세부사항을 고시로 정한 것이며, 안내서의 기준(예: 내부관리계획 구성요소, 암호화 수준, 접근권한 통제, 백신 등)을 지키지 않으면 시행령 제30조 위반, 더 나아가 법 제29조 위반이 성립합니다.
🔹 [제30조의2] 공공시스템 운영기관의 조치
공공기관 대상 특례조항으로, 제30조의 보호조치 외에 추가적인 사항(운영협의회, 접속기록 점검 등)을 규정
⑦항에서 "필요사항은 보호위원회가 고시한다"고 규정 → ‘안내서’ 및 공공부문 특화 고시와 연결
📌 공공기관이 ‘안내서’에서 요구한 기준을 따르지 않으면 제30조의2의 조치 의무 위반, 이는 법 제29조 및 관련 시행령 위반과 동일한 법적 책임으로 이어짐.
✅ 3. 정리: 안내서 미준수 = 법령 위반이 되는 이유
법률적 위임
시행령 각 조항은 개인정보보호위원회 고시에 세부사항 위임을 명시함
고시의 효력
고시는 단순 참고자료가 아니라 법령상 의무 이행의 구체 기준임
미준수 시 결과
안내서 기준 미준수는 시행령 위반, 나아가 개인정보 보호법 제29조 위반이 됨
법적 책임
보호법 위반은 행정처분(과태료 등) 및 형사처벌 대상이 될 수 있음
✅ 결론
‘개인정보의 안전성 확보조치 기준 안내서’는 시행령이 위임한 법령상 세부기준 고시이므로, 이를 준수하지 않으면 단순한 권고사항 위반이 아니라 개인정보 보호법 제29조 및 그 시행령(제16조, 제30조, 제30조의2)을 위반한 것과 동일한 법적 책임이 발생합니다.
제29조(안전조치의무)개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.
출처 : 개인정보보호위원회, 「개인정보의 안전성 확보조치 기준 안내서」 2024.10.출처 : 개인정보보호위원회, 「개인정보의 안전성 확보조치 기준 안내서」 2024.10.
1. 법적 근거: 개인정보 보호법 제29조(안전조치의무)
「개인정보 보호법」 제29조는 개인정보처리자에게 개인정보의 유출, 위조, 변조, 훼손 등 각종 침해로부터 안전하게 보호하기 위한 조치를 법적으로 의무화하고 있습니다.
해당 조항에 따르면, 개인정보처리자는 다음과 같은 조치를 반드시 이행해야 합니다.
내부 관리계획의 수립
접속기록의 보관 및 점검
접근 통제 시스템 운영
암호화 등의 기술적 조치
물리적 접근 제한 조치 등
🔹 핵심 요지: 제29조는 "기술적‧관리적‧물리적 조치"를 대통령령에 따라 필수로 이행해야 한다고 명시하고 있습니다.
2. 안내서의 법적 지위와 최소 기준의 역할
「개인정보의 안전성 확보조치 기준 안내서」는 법령에서 위임한 대통령령 및 고시의 구체적인 실행기준으로서 다음과 같은 성격을 가집니다.
‘제29조의 기술적‧관리적‧물리적 조치’는 추상적이기 때문에, 구체적인 이행 기준은 안내서에서 정리하고 있음.
따라서 이 안내서의 기준은 단순 참고자료가 아닌, 법적으로 요구되는 최소한의 의무 수준에 해당함.
안내서 기준을 준수하지 않으면, 곧바로 제29조 위반으로 판단될 수 있습니다.
🔹 핵심 요지: 안내서는 법의 추상적 의무를 구체화한 기준서이며, 이 기준을 지키지 않으면 법 위반으로 간주됩니다.
3. "왜 반드시 따라야 하는가?" – 제도적/실무적 이유
이유설명
① 법적 위반 소지
안내서 기준을 지키지 않으면 개인정보보호법 제29조 위반으로 행정처분(과태료 등) 또는 형사처벌을 받을 수 있습니다.
② 감사 및 조사 시 기준이 됨
개인정보보호위원회, 공공기관, 감사원 등에서 수행하는 감사 및 조사 시, 해당 기준의 준수 여부가 핵심 점검 항목입니다.
③ 보안사고 발생 시 책임 판정 근거
만약 정보 유출 등 사고가 발생했을 경우, 안내서 기준을 따르지 않았다면 과실 책임이 더 크게 인정되어 손해배상 책임이 커질 수 있습니다.
④ 행정처분 면책 가능성 확보
반대로 기준을 충실히 이행했다면, 사고 발생 시 면책 사유로 작용할 수 있습니다.
4. 결론
👉 「개인정보의 안전성 확보조치 기준 안내서」는 단순한 권고사항이 아니라, 법 제29조를 준수하기 위한 최소한의 기준이며, 이를 따르지 않으면 법적 책임을 피할 수 없습니다. 👉 따라서 모든 개인정보처리자는 업무 특성, 처리환경, 위험요소를 고려하여 기준에 따라 필요한 보호조치를 반드시 시행해야 합니다.
법률이 아닌 시행령, 시행규칙, 고시, 조례 등에 개인정보 보호법과 다른 특별한 규정이 있을 경우에도 개인정보 보호법을 우선하여 적용하는 것이 현재의 개인정보 보호법이다.그러나 그 시행령 등이 법률의 위임을 받은 것일 경우에 한하여 그 시행령 등이 우선하여 적용될 수 있다는 것도 개인정보 보호법이다.
이와 관련하여, 개인정보 보호법 제6조는 다음과 같이 규정하고 있습니다.
제6조(다른 법률과의 관계) 개인정보 보호에 관하여는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 이 법에서 정하는 바에 따른다.
또한, 개인정보 보호법 제18조 제2항 제2호는 다음과 같이 규정하고 있습니다.
제18조(개인정보의 목적 외 이용·제공 제한) ② 제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있다.
다른 법률에 특별한 규정이 있는 경우
이러한 규정에 따라, 법률에 특별한 규정이 있는 경우에는 해당 법률이 개인정보 보호법보다 우선 적용될 수 있습니다.그러나 시행령, 시행규칙, 고시, 조례 등은 법률의 위임을 받은 경우에 한하여 개인정보 보호법보다 우선 적용될 수 있습니다.
이와 관련하여, 개인정보 보호위원회는 다음과 같이 해석하고 있습니다.
'법률'로 한정되어 있으므로 시행령·시행규칙에만 관련 규정이 있는 경우에는 제2호에 따른 목적 외 이용·제공이 허용되지 않는다. 다만 법률에 위임근거가 있고 이에 따라 시행령·시행규칙에 제공 관련 규정이 있는 경우는 허용된다.
또한 목적 외 이용·제공과 관련하여 '특별한 규정이 있는 경우'에 한하므로, 법률에서 개인정보의 목적 외 이용·제공을 구체적으로 허용하고 있어야 하며, '법령상 의무이행'과 같이 포괄적으로 규정된 경우에는 허용되지 않는다.
다만, 해당 법률에 목적 외 이용·제공되는 개인정보의 항목이 구체적으로 열거되어 있지 않더라도 당해 업무의 목적, 성격 등을 고려하였을 때 목적 외 이용·제공 대상에 개인정보가 포함될 것이 합리적으로 예견되는 경우에는 허용될 수 있다.
그러나 현재까지 확인된 바로는, 이러한 내용을 수행한 구체적인 판례는 확인되지 않았습니다.