[보안뉴스]해외 기업 개인정보보호 외면 막는다...국내대리인 제도 개선 시행령 의결

내용 요약

‘개인정보 보호법’ 시행령이 개정되어 해외 기업이 국내에 지배력을 갖는 법인을 둔 경우, 국내대리인 지정과 데이터 관리 책임이 구체화되었습니다. 지방출자·출연기관(공공기관 포함)까지 개인정보 관리 안정성을 강화하도록 요구하고, 전반적인 데이터 보호 정책이 보다 체계적·실효성 있게 수행될 수 있도록 조치했습니다.

핵심 포인트

• 국내대리인 지정 요건 구체화 – 해외사업자가 국내에서 개인정보 보호를 담당할 인력·기관을 명확히 할 의무가 확대됩니다.
• 지방출자·출연기관 책임 강화 – 지역별 지점, 후원기관, 공공기관 등 모든 조직이 개인정보 관리 체계를 확보하도록 요구됩니다.
• 정책·프로세스 통합 관리 – 개인정보 보호위원회가 가이드라인을 제공해, 정책 수립·이행·감사를 일원화하고 위험을 줄입니다.

기술 세부 내용

1️⃣ 국내대리인 지정 (Domestic Representative Designation)

• 목적: 해외사업자가 국내에서 발생하는 개인정보 처리 활동을 감독·관리하도록 책임 인물을 명시합니다.
• 요건:
  1. 법적 지배력이 있는 법인 또는 지배권이 있는 조직이자
  2. 정해진 인력(대표자, 개인정보 보호책임자 등)과 소통 수단(전화번호, 이메일 등)을 제공해야 합니다.
• 운영 절차:
  1. 지정 서류를 개인정보 보호위원회에 제출 → 검토·등록.
  2. 정기 보고(월간/분기별) 및 정책 업데이트를 통해 현행화.
  3. 비상대응 매뉴얼(보안 사고 발생 시 연락망, 대응 단계)을 준비.

2️⃣ 지방출자·출연기관(Regional Sponsors) 개인정보 관리 강화

• 목적: 공공기관·지방자치단체·후원기관 등 국내 조직이 보유·처리하는 개인정보를 통합적으로 보호합니다.
• 요건:
  1. 데이터 보관: 물리적·가상 보안(방화벽, IDS/IPS, 암호화) 이행.
  2. 접근 통제: RBAC(Role‑Based Access Control) 적용 및 정기 권한 검토.
  3. 데이터 최소화: 필요 데이터만 수집·보유하고, 비상시 자동 삭제 정책 도입.
• 운영 절차:
  1. 정책 매트릭스(공공기관별 요구사항과 통합 데이터 보호 기준)를 작성.
  2. 정기 감시(내부/외부 감사)를 통해 규정 위반 여부 확인.
  3. 위험 평가(위협·취약점 분석) 후 보안 조치를 업데이트.

3️⃣ 개인정보 보호 정책·프로세스 통합 관리

• 목적: 기업·기관 전체에 걸쳐 일관된 개인정보 보호 체계를 구축합니다.
• 핵심 요소:
  1. 정책 프레임워크: GDPR, PIPA 상호 연계 표준(데이터 처리 목적, 보유 기간, 접근 권한).
  2. 프로세스 자동화: 데이터 흐름 시각화, 위험 자동 알림(AI 기반 이상 행위 탐지).
  3. 교육·인식 프로그램: 매월 교육 모듈 제공, 시뮬레이션을 통한 사고 대응 훈련.
• 운영 절차:
  1. 정책 승인 → 전사 배포(문서·시스템).
  2. 정기 업데이트: 법령·규정 변경 시 자동 알림.
  3. 감사·보고: 디지털 기록(로깅·감사 trail) 보존 및 외부 감사 대응.

---

이 개정안은 해외 기업이 국내에서 개인정보 보호를 책임지는 구조를 명확히 하고, 지방 및 공공기관까지 포괄하는 통합 데이터 거버넌스를 도입함으로써 전반적인 개인정보 보안 수준을 크게 향상시킵니다. ️

 

출처: http://www.boannews.com/media/view.asp?idx=139282&kind=&sub_kind=