개인정보의 안전성 확보조치 기준 안내서 요약 ('24.10)

개인정보의 안전성 확보조치 기준 안내서(2024.10).pdf

5.79MB

 

개인정보의 안전성 확보조치 기준 안내서는 개인정보 처리 시 요구되는 필수적인 기술적, 관리적, 물리적 조치를 설명하여 개인정보가 안전하게 보호될 수 있도록 안내하는 문서입니다. 블로그 포스팅 시 독자들이 이해하기 쉽도록 주요 내용을 간략하고 명확하게 설명하는 것이 중요합니다.

1. 법적 근거

• 개인정보 보호법 제29조(안전조치의무)
• 개인정보 보호법 시행령 제16조제2항(개인정보의 파기방법), 제30조(개인정보의 안전성 확보 조치), 제30조의2(공공시스템 운영기관 등의 개인정보 안전성 확보 조치)

2. 적용 대상

• 개인정보처리자: 업무를 목적으로 개인정보 파일을 운용하는 공공기관, 법인, 단체 및 개인 등.
• 개인정보처리자로부터 개인정보를 제공받은 자: 개인정보의 제공을 받은 제3자.
• 수탁자: 개인정보처리자로부터 개인정보 처리를 위탁받은 자.

3. 목적

• 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 규정하여 최소한의 기준을 마련함.

4. 주요 내용

1) 내부 관리계획의 수립 및 시행

• 개인정보처리자는 내부 관리계획을 수립하고 이를 시행해야 하며, 개인정보의 안전성 확보를 위해 정기적으로 점검해야 합니다.
• 내부 관리계획에는 개인정보 보호 조직의 구성, 보호책임자 및 취급자의 역할과 책임, 접근 권한 관리, 접근통제, 암호화 조치 등이 포함됩니다.

2) 접근 권한의 관리

• 개인정보처리자는 개인정보취급자에게 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여해야 합니다.
• 접근 권한 부여, 변경, 말소에 대한 내역을 기록하고 최소 3년간 보관해야 합니다.
• 개인정보처리시스템에 접근할 수 있는 계정은 정당한 사유가 없는 한 개인정보취급자 별로 발급해야 하며, 공유되지 않도록 해야 합니다.

3) 접근통제

• 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 대한 접근 권한을 인터넷 프로토콜(IP) 주소 등으로 제한해야 합니다.
• 개인정보 유출 시도 탐지 및 대응을 위해 접속 IP 주소를 분석하고, 일정 시간 이상 업무를 수행하지 않는 경우 자동으로 접속을 차단하는 등의 조치를 해야 합니다.

4) 개인정보의 암호화

• 개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 안전한 암호 알고리즘으로 암호화하여 저장해야 합니다.
• 주민등록번호, 여권번호, 운전면허번호 등 고유식별정보는 안전한 암호 알고리즘으로 암호화하여 저장해야 하며, 개인정보 송수신 시에도 암호화를 적용해야 합니다.

5) 접속기록의 보관 및 점검

• 개인정보처리자는 개인정보취급자의 개인정보처리시스템 접속기록을 1년 이상 보관해야 하며, 5만명 이상의 개인정보를 처리하는 경우에는 2년 이상 보관해야 합니다.
• 접속기록의 위변조 및 도난, 분실 방지를 위해 안전하게 보관해야 하며, 월 1회 이상 점검해야 합니다.

6) 악성프로그램 등 방지

• 개인정보처리자는 악성프로그램 등을 방지하기 위해 보안 프로그램을 설치하고, 자동 업데이트 기능을 사용하거나 일일 1회 이상 업데이트를 통해 최신 상태를 유지해야 합니다.
• 악성프로그램 관련 경보 발령 시 즉시 대응 조치를 해야 합니다.

7) 물리적 안전조치

• 전산실, 자료보관실 등 개인정보를 보관하는 물리적 장소에 출입통제 절차를 수립해야 합니다.
• 개인정보가 포함된 서류, 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관해야 합니다.

8) 출력 및 복사 시 안전조치

• 개인정보처리자는 개인정보의 출력 시 용도를 특정하고, 용도에 따라 출력 항목을 최소화해야 합니다.
• 출력물과 복사된 외부 저장매체 등을 안전하게 관리하기 위한 조치를 마련해야 합니다.

9) 재해 및 재난 대비 안전조치

• 10만명 이상의 개인정보를 처리하는 개인정보처리자는 화재, 홍수, 단전 등 재해 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼을 마련하고 정기적으로 점검해야 합니다.

10) 개인정보의 파기

• 개인정보처리자는 개인정보 파기 시 완전 파괴, 전용 소자장비 사용, 데이터 초기화 등의 방법으로 복원이 불가능하도록 해야 합니다.
• 일부만 파기하는 경우에도 복원되지 않도록 관리 및 감독해야 합니다.

5. 과징금 및 과태료

• 과징금: 개인정보가 분실, 도난, 유출, 위조, 변조, 훼손된 경우 전체 매출액의 100분의 3을 초과하지 않는 범위에서 과징금 부과.
• 과태료: 안전성 확보 조치를 하지 않은 경우 최대 3천만원 이하의 과태료 부과.