| 개인정보처리자는 처리하는 개인정보의 보유 수, 유형 및 정보주체에게 미치는 영향 등을 고려하여 스스로의 환경에 맞는 개인정보의 안전성 확보에 필요한 조치를 적용하여야 한다. |
안전조치 기준 제3조에서는 안전성 확보조치를 적용할 책임이 개인정보처리자, 즉 우리 가이드의 맥락에서는 각 단체에게 있음을 명시하고 있습니다. 우리 단체가 적용해야 하는 안전조치가 무엇인지 알아야 하고, 그 조치를 이행해야 한다는 것입니다.
안전성 확보조치를 적용하지 않으면 어떤 위험이 있을까요?
- 보안이 미흡하여 개인정보가 유출/남용되는 사고가 생길 위험이 커집니다.
- 사고 발생 여부와 무관하게, 안전조치에 관한 법적 요구사항을 이행하지 못했다는 사실 자체도 위험이 됩니다.
개인정보 사고가 발생했을 경우, 관할 부처인 개인정보보호위원회가 벌칙을 부과할 수 있습니다. 이때 안전성 확보조치 이행 여부가 감경 사유로 작용하는 등 벌칙 판단에 영향을 미칠 수 있어, 조치를 이행하는 편이 유리합니다. 또, 사고 발생과 무관하게 안전성 확보조치 미이행은 과태료 부과 대상입니다. 통상 3천만원 이하의 과태료를 부과할 수 있습니다. (법 제75조제2항제5호)
그렇다면 안전성 확보조치는 어떻게 이행해야 할까요? 안전조치 기준 제4조의 ‘내부 관리계획’에서 그 윤곽을 확인할 수 있습니다. 안전조치에는 시스템이나 단말기 등에 적용하는 전산 관련 기술적 조치도 있지만, 내부 정책이나 운영방침 등을 통해 실행하여 업무방식 및 조직문화에 연관되는 사항도 있습니다.