개인정보의 안전성 확보조치 기준 / ①

문제2) 개인정보보호를 위한 개인정보의 안전성 확보조치 기준 고시 내용 중 다음을 설명하시오.

 

가. 내부관리꼐획 수립·이행

나. 암호화 적용방안

 

답)

 

 

1. 개인정보의 안전성 확보조치 기준 개요

구분	설명
법적근거	개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한), 제29조(안전조치의무) 같은 법 시행렬 제21조(고유식별정보의 안전성 확보 조치), 제30조(개인정보의 안전성 확보 조치)
과장금 부과 및 법칙	2년 이하의 징역 또는 2천만원 이하의 벌금(법 제73조- 제1호) 3천만원 이하의 과태료(법 제75조 제2항 제6호)
적용 대상	개인정보처리자 개인정보처리자로부터 개인정보를 제공받은 자 개인정보처리자로부터 개인정보 처리를 위탁받은 자(이하 '수탁자',준용)
목적	개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실도난 유출 위조 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적, 관리적 및 물리적 안전조치에 관한 최소한의 기준을 정함
성격	반드시 준수해야 하는 최소한의 기준
주요 내용	내부 관리계획의 수립 시행 접근 권한의 관리 접근 통제 개인정보의 암호화 접속기록의 보관 및 점검 악성프로그램 등 방지 관리용 단말기의 안전조치 물리적 안전조치 재해 재난 대비 안전조치 개인정보의 파기
2023.7.7 개인정보의 안전성 확보조치 기준 일부개정고시안(이하 "개정안"을 행정예고 함

 

2. 내부관리계획 수립·이행 상세 설명

① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다. 다만, 1만명 미만의 정보주체 에 관하여 개인정보를 처리하는 소상공인·개인·단체의 경우에는 생략할 수 있다. 1. 개인정보 보호 조직의 구성 및 운영에 관한 사항 2. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항 3. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항 4. 개인정보취급자에 대한 관리·감독 및 교육에 관한 사항 5. 접근 권한의 관리에 관한 사항 6. 접근 통제에 관한 사항 7. 개인정보의 암호화 조치에 관한 사항 8. 접속기록 보관 및 점검에 관한 사항 9. 악성프로그램 등 방지에 관한 사항 10. 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항 11. 물리적 안전조치에 관한 사항 12. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항 13. 위험 분석 및 관리에 관한 사항 14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 15. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항 16. 그 밖에 개인정보 보호를 위하여 필요한 사항 ② 개인정보처리자는 다음 각 호의 사항을 정하여 개인정보 보호책임자 및 개인정보 취급자를 대상으로 사 업규모, 개인정보 보유 수, 업무 성격 등에 따라 차등화 하여 필요한 교육을 정기적으로 실시하여야 한다. 1. 교육목적 및 대상 2. 교육 내용 3. 교육 일정 및 방법 ③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계 획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다. ④ 개인정보 보호책임자는 접근 권한 관리, 접속기록 보관 및 점검, 암호화조치 등 내부 관리계획의 이행 실태를 연1회 이상 점검·관리 하여야한다. III. 암호화 적용 방안 ① 개인정보처리자는 비밀번호, 생체인식 정보 등 인증정보를 저장 또는 정보통신망을 통하여 송·수신하는 경우에 이를 안전한 암호 알고리즘으로 암호화하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되 지 아니하도록 일방향 암호화하여 저장하여야 한다. ② 개인정보처리자는 다음 각 호의 해당하는 이용자의 개인정보에 대해서는 안전한 암호 알고리즘으로 암 호화하여 저장하여야 한다. 1. 주민등록번호 2. 여권번호 3. 운전면허번호 4. 외국인등록번호 5. 신용카드번호 6. 계좌번호 7. 생체인식정보 ③ 개인정보처리자는 이용자가 아닌 정보주체의 개인정보를 다음 각 호와 같이 저장하는 경우에는 암호화 하여야 한다. 1. 인터넷망 구간 및 인터넷망 구간과 내부망의 중간 지점(DMZ : Demilitar ized Zone)에 고유식별정보를 저 장하는 경우 2. 내부망에 고유식별정보를 저장하는 경우(다만, 주민등록번호 외의고유식별정보를 저장하는 경우에는 다음 각 목의 기준에 따라 암호화의적용여부 및 적용범위를 정하여 시행할 수 있다) 가. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결 과 나. 암호화 미적용시 위험도 분석에 따른 결과 ④ 개인정보처리자는 개인정보를 정보통신망을 통하여 인터넷망 구간으로 송·수신하는 경우에는 이를 안전 한 암호 알고리즘으로 암호화하여야 한다. 다만, 고유식별정보, 생체인식정보를 정보통신망(내부망을 포함한 다)을 통하여 송·수신하는 경우에는 이를 안전한 암호 알고리즘으로 암호화하여야 한다. ⑤ 개인정보처리자는 이용자의 개인정보 또는 이용자가 아닌 정보주체의 고유 식별정보, 생체인식정보를 개 인정보취급자의 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 상용 암호화 소프트웨어 또는 안 전한 암호화알고리즘을 사용하여 암호화한 후 저장하여야 한다. ⑥ 10만명 이상의 정보주체에 관하여 개인정보를 처리하는 대기업·중견기업· 공공기관 또는 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 중소기업·단체에 해당하는 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기등에 관한 절차를 수립·시행하여야 한다.

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥