정부나 기업의 개인정보 관리자는 앞으로 자신이 개인정보에 접근한 기록을 1년까지 보관해야 한다. 접속기록 점검 주기도 6개월에서 한 달로 단축한다.

행정안전부는 이 같은 내용의 ‘개인정보 안전성 확보조치 기준’을 개정해 7일부터 적용한다고 6일 밝혔다. 개인정보를 수집해 관리하는 기업이나 공공기관의 내부 관리자가 개인정보를 오·남용하거나 유출하는 사태를 방지하자는 취지다.

행안부는 내부 관리자가 개인정보처리시스템에 접속한 기록을 보관하는 최소 기간을 기존 6개월에서 1년으로 늘렸다. 각 기관은 모든 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리해야 한다는 의미다. 개인정보 관련 사고가 났을 때 6개월 이전의 접속기록이 남아 있지 않아 사고 원인을 찾기 어렵다는 지적을 반영한 조치다.

행안부는 개인정보 보유량이 많거나 민감한 내용의 개인정보를 수집하는 경우 접속기록 최소 보관 기간을 2년으로 연장했다. 5만 명 이상의 개인정보를 관리하거나 주민등록번호 등 고유식별정보를 처리하는 기업 또는 기관이다. 유전정보와 범죄경력자료 등 민감정보로 분류된 내용을 처리하는 경우에도 해당한다.

기업과 기관이 내부 관리자의 개인정보처리시스템 접속기록을 자체 점검하는 주기는 매달 한 차례로 단축했다. 기존에는 상반기와 하반기 한 차례씩 하게 돼 있었다. 시스템 접근기록 점검에서 개인정보를 다운로드한 내역이 발견되면 그 사유를 반드시 확인하도록 의무화했다.

개인정보 관련 사고가 일어나더라도 빠른 후속조치를 위해 내부 관리자가 누구의 개인정보를 처리했는지 기록하고, 접속 장소도 기재하도록 했다.

박진우 기자 jwp@hankyung.com