이번 고시 개정안은 인공지능, 클라우드 등 기술의 급격한 발전과 데이터 중심 보호 체계로의 전환에 발맞춰, 개인정보처리자(이하 ‘처리자’)의 처리환경*에 맞는 개인정보 안전성 확보에 필요한 조치를 담고 있다.

  * 처리자가 처리하는 개인정보의 규모·유형, 처리 목적, 정보주체에 미치는 영향 등

  주요 개정내용은 다음과 같다.

  첫째, '일정 기준에 해당하는 처리자*(이하 ‘대규모처리자’)'에게 적용되는 인터넷 접속 차단 조치**를 개선한다. 기존 대규모처리자는 개인정보처리시스템(이하 ‘처리시스템’)에서 개인정보를 내려받거나 파기할 수 있는 개인정보취급자(이하 ‘취급자’)의 모든 기기에 대한 인터넷망을 차단해야만 했다. 그러나, 이번 개정으로 대규모처리자가 위험분석 후 위험수준이 낮은 것으로 판단되거나 위험을 감소시킬 수 있는 보호조치를 적용한 경우에는 선별적으로 취급자의 기기에 대한 인터넷망 접속이 가능하도록 했다. 

  * 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자

 ** 처리시스템에서 개인정보를 내려받거나 파기하거나 처리시스템에 대한 접근 권한을 설정할 수 있는 컴퓨터 등의 기기에 인터넷망을 차단하는 조치

  둘째, 처리자의 처리시스템 접속 인가 범위를 확대한다. 이번 개정으로 ①처리자가 처리시스템에 대한 접근권한을 부여·통제하는 대상 및 ②처리자가 처리시스템에 대한 접속기록을 보관·관리해야할 대상범위가 변경되었다.* 이에 따라 처리시스템 접속 시 처리자가 안전한 인증수단을 적용해야만 하는 대상이 확대되는 등 안전한 개인정보 처리를 위한 처리자의 의무를 강화하였다. 또한, 처리자에게 인가받지 못한 자의 처리시스템에 대한 접근을 막고, 처리시스템에 보관된 접속 기록 등을 통해 개인정보 유출 등 발생 시 책임성이 강화될 전망이다.

  * (기존) ‘취급자’ → (변경) ‘처리시스템에 대한 정당한 접근 권한을 가진자(오픈마켓 입점 판매자 등)’

  마지막으로, 처리자가 개인정보 처리환경에 맞게 처리시스템에 대한 접속기록 점검 주기 등*을 설정할 수 있도록 하였다. 기존에는 처리자가 처리시스템에 대해 월 1회 이상 접속기록을 점검하여야 했지만, 앞으로는 보유한 개인정보의 규모·유형 등의 처리환경을 고려하여, 처리시스템의 접속기록 점검 주기 등을 내부 관리계획에 반영하여 운영할 수 있다. 

  * 처리시스템의 접속기록 및 개인정보 내려받기 상황을 확인하고 점검하는 주기·방법·사후조치 절차 등