개인정보의 안전한 처리 보장

문제4) 최근 개인정보보호위원회는 마이데이터 전송 시 개인정보의 안전한 처리를 보장하기 위한 가이드라인(마이데이터 전송 보안 안내서, 2023.09.)을 발간하였다. 이와 관련하여 다음을 설명하시오.

가. 전송대상 개인정보 보호책임자의 지정

나. 전송대상 개인정보처리시스템의 접근 관리

다. 전송대상 개인정보관리 및 재해재난 대비 조치

 

답)

 

 

1. 국민의 보편적 권리의 안전한 처리 , 마이데이터 전송 보안 안내서 개요

개념	개인정보의 안전성 확보조치 기준 및 해설서를 기본으로 하여, 마이데이터 전송에 필요한 사항을 안내
법적근거	「개인정보 보호법」 제29조 (안전조치의무) 「개인정보의 안전성 확보조치 기준」 제1조(목적) 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다
마이데이터의 전송대상 개인정보가 분실, 도난, 유출 등 훼손되지 않도록 안전한 처리를 위해 기술적, 관리적 , 물리적 조치에 대한 가이드 발행

 

2. 개인정보 업무 총괄, 전송대상 개인정보 보호책임자의 지정

가. 전송대상 개인정보 보호 책임자의 지정 법적 근거

법적근거	「개인정보 보호법」제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다 「개인정보 보호법」 시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등) ② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다
마이데이터 개인정보관련 처리 업무를 이해하고 의사결정 할 수 있는 권한이 있는 자로 지정 필요

 

나. 전송대상 개인정보 보호 책임자의 지정 상세 설명

구분	핵심	설명
책임자 지정	전반 사항 결정 및 책임지는 자	마이데이터 참여주체는 전송대상 개인정보 처리에 관한 전반적인 사항을 결정하고 이로 인한 제반 결과에 대하여 책임 지는자를 전송대상 개인정보 보호책임자로 지정
책임자 자격	실질적 권한 및 의사결정 지위 필요	전송대상 개인정보 수집․이용․제공 등 처리에 대하여 실질적인 권한을 가지고 있어야 하며 조직 내에서 어느 정도 독자적인 의사결정을 할 수 있는 지위에 있는 자여야 한다
책임자 주역할	관리계획 수립, 시행 내부 관리 체계 강화	책임자는 전송대상 개인정보 내부 관리계획 수립․시행 등의 업무를 수행하여야 하며, 내부 관리체계를 강화하고 마이데이터 활성화 등 실질적인 권한과 의무를 수행하여야 한다
직무 및 권한분리	직무별 권한 책임 분산	마이데이터 전송에 참여하는 개인정보 취급자와 관련자에 대하여 직무별 권한과 책임을 분산, 명확하게 기술하여 직무 및 권한 분리 기준을 수립하여야 한다
조직의 구성, 운영	개인정보 보호 조직 구성에 준하여 운영	전송대상개인정보 보호조직을 구성하고 운영 필요 전송대상 개인정보 보호조직은 처리하는 전송대상 정보의 종류․중요도 및 보유량, 처리하는 방법 및 환경 등을 고려하여 개인정보처리자 스스로 구성 및 운영하도록 한다
개인정보 보호 책임자를 지정한 후, 전송대상 개인정보 관리계획 수립 및 전송대상 개인정보취급자 교육실시하며 , 접속 권한/접근 기록등 개인정보처리시스템 접근 관리 진행 필요

 

3. 권한과 기록의 확인 , 전송대상 개인정보처리시스템의 접근 관리

가. 전송대상 개인정보처리시스템의 접근 관리 법적 근거

법적근거	｢개인정보의 안전성 확보조치 기준｣ 제5조 (접근 권한의 관리) 업무 수행에 필요한 최소한의 범위로 차등 부여 등
	｢개인정보의 안전성 확보조치 기준｣ 제8조 (접속 기록의 보관 및 점검) ① 개인정보처리시스템에 대한 접속 기록을 1년 이상 보관·관리 (예외로 2년이상 관리) ② 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검 ③ 접속기록 위·변조 및 도난, 분실되지 않도록 안전하게 보관
개인정보처리시스템에 대한 접근 권한 관리 및 기록 보관, 점검에 준하여 통제

 

나. 전송대상 개인정보처리시스템의 접근 관리 상세 설명

구분	핵심	설명
접근 권한 관리	최소한의 권한 차등 부여	전송대상 개인정보의 분실․도난․유출․변조 또는 훼손을 방지하기 위하여 전송 대상 개인정보처리시스템에 대한 접근권한을업무 수행 목적에 따라 필요한 최소한의 범위로 업무 담당자에게 차등부여하고 접근통제를 위한 안전조치를 취해야 한다.
	권한 변경 및 말소 확인	전송대상 개인정보취급자의 전보 또는 퇴직 등 인사이동 및 업무변경시에는 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소한다.
	외부 접근 관리 방안	외부에서 전송대상 개인정보처리시스템 접속 시 VPN과 같은 안전한 접속 수단 또는 안전한 인증 수단을 적용한다
접속 기록 관리	접속 일시, 내역 기록 보관 의무	전송대상 개인정보처리시스템에 접속하여 전송대상정보를 처리한 경우, 접속 일시 및 수행업무 등 접속 내역을 기록하고 보관하여야 한다.
	월 1회 정기점검 및 다운로드 여부 확인 필요	접속 기록은 월1회 이상 정기적으로 점검하고, 특히 다운로드여부등을 확인하여야 하며, 위·변조 및 도난, 분실되지 않도록 안전하게보관하기 위한 조치를 하여야 한다
API 관련 시스템 보안	보안 공격 대비, 비정상 접근 모니터링	전송대상 정보를 처리하는 API와 관련된시스템에 대해서는 보안 공격 시도에 대비하고 비정상적 접근 등을 모니터링하고 접근 제한 등을 수행할 수 있어야 한다
접근 통제 관리를 하며 정보 주체의 보호와 전송대상 개인정보의 보관 기간 및 파기에 대한 규정도 명확히 하며, 재해 재난 대비 조치내용 가이드

 

4. 개인정보 보관,파기 및 위기대응 체계수립, 전송대상 개인정보 관리 및 재해재난 대비 조치

가. 전송대상 개인정보 관리 및 재해재난 대비 조치 법적 근거

구분	법령	상세 법 조항
전송대상 개인정보 관리	｢개인정보의 안전성 확보조치 기준｣ 제13조(개인정보의 파기)	① 개인정보 파기 조치 1. 완전 파괴(소각·파쇄 등) 2. 전용 소자 장비(자기장을 이용해 저장장치의 데이터를 삭제하는 장비)를 이용하여 삭제 3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
재해ᆞ재난 대비 조치	｢개인정보의 안전성 확보 조치 기준｣ 제11조(재해·재난 대비 안전조치)	1. 위기대응 매뉴얼 등 대응 절차를 마련하고 정기적 점검 2. 개인정보처리시스템 백업 및 복구를 위한 계획을 마련
조치기준의 개인정보의 파기에 준하여 삭제 처리하며, 개인정보처리시스템의 재해․재난 대비 안전조치 등 내부관리계획에 준하여 적용

 

나. 전송대상 개인정보처리시스템의 접근 관리 상세 설명

구분	핵심	설명
전송대상 개인정보 관리	서비스 활용	정보제공자 등은 전송대상 개인정보의 제공 또는활용에대해 정보주체에게 적정한 방법으로 알려야 한다
		전송대상 정보의 수집 및 이용 시에는 법에 따른 적정한 업무범위내에서 수집하고 처리목적을 명확히 한다
	처리 기록 보존	정보제공자와 정보수신자 등은 전송대상 개인정보처리에 대한 기록을 보존하여야 한다. (아래 표 기준)
	대표
	전송대상 정보 파기	정보주체의 전송 요구 철회 또는 마이데이터 서비스 탈퇴 시해당정보주체의 전송대상 정보를 파기하여야 한다
재해ᆞ재난 대비 조치	위기대응 체계 수립	마이데이터 참여주체는 재해･재난 발생시전송대상 개인정보의 손실 방지 및 유출사고 등 예방을 위해위기대응 절차를 문서화하고 정기적으로 훈련하여야 한다
	백업 및 복구 시스템 운영	신속한 위기 대응을 위해 전송대상개인정보 처리시스템의 백업 및 복구 시스템을 구축 및 운영하여야 한다
관리적 보안 사항 외 물리적 보안 사항 (설비의 접근 통제 / 저장 매체 반출입 통제) 및 기술적 보안 사항( 정보전송 암호화 / 통신 구간 암호화 /시스템 구축,운영 보안 ) 가이드. 해당 가이드는 정보제공자, 수신자, 참여자 모두 대상으로 하며 국민 주도의 마이데이터 생태계가 안전하게 구축· 활용 될 수 있도록 지침 준수하며 지속적인 노력 필요

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥