[안전성 확보조치] 제 14조 공공시스템운영기관의 안전조치 기준 적용

• 국민의 개인정보를 대량으로 처리하는 공공시스템을 운영하는 기관은 시행령 제30조에 따른 개인정보의 안전성 확보조치 외에 시행령 제30조의2 및 이 기준의 제14조부터 제17조에 해당하는 안전성 확보조치를 추가로 이행하여야 한다.
  • 제14조부터 제17조까지는 사전 준비를 위해 1년간 유예기간을 부여하여, 2024년 9월 15일부터 시행되었다.
• 공공부문의 개인정보처리시스템은 운영 형태에 따라 단일접속시스템, 표준 배포시스템, 개별시스템 등으로 구분되며, 위원회는 처리되는 개인정보의 규모나 성격, 취급자의 수 등이 이 기준 제14조에서 정하는 기준에 부합할 경우 공공시스템으로 지정할 수 있다.
  • 단일접속 시스템 : 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 단일 시스템을 구축하여 다른 기관이 접속하여 이용할 수 있는 시스템
  • 표준배포 시스템 : 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 표준이 되는 시스템을 개발하여 다른 기관이 운영될 수 있도록 배포한 시스템
  • 개별 시스템 : 기관의 고유한 업무 수행을 지원하기 위하여 기관별로 운영하는 시스템
• 보호위원회는 공공시스템의 운영 목적, 개인정보 처리 현황, 정보주체에 미치는 영향 등을 평가하여 다음 각 호에 해당하는 경우에는 이 기준에 따른 안전조치를 이행하여야 하는 공공시스템에서 제외할 수 있다.
  • 체계적인 개인정보 검색이 어려운 경우 : 개인정보가 데이터베이스에 테이블 형태로 저장되지 않고, 문서나 이미지 내에 텍스트로 포함되어 있는 경우
  • 내부적 업무처리만을 위하여 사용되는 경우 : 인사, 회계, 예산이나 전자문서결재 등 기관 내부 직원들이 업무처리를 위해 사용하는 ERP 시스템 등
  • 그 밖에 개인정보가 유출될 가능성이 상대적으로 낮은 경우 : 개인정보취급자 수가 적거나 개인정보의 수가 적은 경우 등 유출될 가능성이 상대적으로 낮은 경우로서 보호위원회가 인정하는 경우
  • 다만, 이 기준에서 규정하는 안전조치를 이행해야 하는 공공시스템에서 제외되는 경우라도, 이 기준에 따른 개인정보의 안전성 확보를 위하여 필요한 추가적인 조치를 할 수 있다.(권장사항)