개인정보의 안전성 확보조치 요약 (제3조부터 제18조)

기억하기 쉽게 개인적으로 요약한 것입니다. 조금 이상하셔도 양해 부탁드립니다.

개인정보처리자는 처리자, 개인정보취급자는 취급자, 개인정보시스템은 시스템으로 변경하여 작성하였습니다.

개인정보처리자, 개인정보취급자, 개인정보시스템 전부 다 적은 것도 있지만 처리자, 취급자, 시스템으로 적혀있다면 위처럼 이해하시면 됩니다. 아래에는 개인정보 안전성 확보조치 안내서와 제가 작성한 요약 첨부하였습니다.

 

개인정보의 안전성 확보조치 기준 안내서（2024.10）.pdf

5.78MB

개인정보의 안전성 확보조치 요약.docx

0.02MB

---

 

제3조(안정조치의 적용 원칙)

처리하는 개인정보의 보유 수, 유형 및 정보주체에 미치는 영향 등을 고려하여 스스로의 환경에 맞는 개인정보 안전성 확보 조치 적용

 

 

제4조(내부 관리계획의 수립·시행 및 점검)

① 개인정보의 분실·도난·유출· 위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 내부 관리계획 수립·시행하고, 1만명 미만 처리하는 소상공인·개인·단체의 경우 생략 가능

1.     개인정보 보호 조직의 구성 및 운영

2.     보호책임자의 자격요건 및 지정

3.     보호책임자와 개인정보취급자의 역할 및 책임

4.     개인정보취급자에 대한 관리·감독 및 교육

5.     접권 관한 관리

6.     접근 통제

7.     개인정보 암호화 조치

8.     접속기록 보관 및 점검

9.     악성프로그램 등 방지

10.  개인정보 유출, 도난 방지 등 취약점 점검

11.  물리적 안전조치

12.  개인정보 유출사고 대응 계획 수립·시행

13.  위험 분석 및 관리

14.  개인정보 처리 업무 위탁 시 수탁자 관리 감독

15.  개인정보 내부 관리계획 수립, 변경 및 승인

16.  그 밖에 개인정보 보호 필요 사항

 

 

② 개인정보처리자는 개인정보 보호책임자 및 개인정보 취급자를 대상으로 사업규모, 개인정보 보유 수, 업무성격 등에 따라 차등화하여 정기교육 실시

1.     교육목적 및 대상

2.     교육 내용

3.     교육 일정 및 방법

 

③ 개인정보처리자는 제1항 사항이 중요한 변경이 있는 경우 이를 즉시 반영하여 내부 관리계획 수정 및 시행하고 관리한다.

④ 개인정보 보호책임자는 접근 권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상 점검 및 관리

 

 

제5조(접근 권한의 관리)

① 개인정보처리자는 개인정보처리시스템 접근 권한을 개인정보취급자에게만 최소한의 범위로 차등 부여

② 개인정보처리자는 개인정보취급자 또는 개인정보취급자 업무 변경 시 지체 없이 접근 권한 변경 및 말소

③ 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역 기록 및 최소 3년 보관

④ 개인정보처리시스템에 접근할 수 있는 계정을 발급하는 경우 정당한 사유가 없는 한 취급자별로 계정 발급하고 다른 취급자와 미공유

⑤ 처리자는 취급자 또는 정보주체의 인증수단 안전하게 적용 및 관리

⑥ 처리자는 정당한 권한을 가진 취급자 또는 정보주체만이 시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 시스템에 대한 접근 제한 등 조치

 

 

제6조(접근통제)

① 처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 안전조치 적용

1.     시스템에 대한 접속 권한 인터넷 프로토콜(IP) 주소 등을 제한하여 인가 받지 않은 접근 제한

2.     시스템에 접속한 IP 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응

② 처리자는 취급자가 정보통신망을 통해 외부에서 시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단 적용. 정보주체의 개인정보 처리하는 시스템일 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단 적용

③ 처리자는 처리하는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 권한이 없는 자에게 공개되거나 유출되지 않도록 처리시스템, 취급자 컴퓨터 및 모바일 기기 등에 조치

④ 처리자는 시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 취급자가 일정시간 이상 업무처리를 하지 않는 경우 자동으로 접속 차단 조치

⑤ 처리자는 업무용 모바일 기기 분실,도난 등으로 개인정보 유출되지 않도록 모바일 기기 비밀번호 설정 등 보호조치

⑥ 개인정보처리자는 전년도 말 기준 직전 3개월(4분기) 동안 일일평균 100만 명 이상 이용자의 개인정보를 저장·관리하는 경우, 개인정보 다운로드 및 파기 권한이 있는 취급자의 컴퓨터는 인터넷망을 차단 조치. 다만, 클라우드컴퓨팅 서비스를 이용해 시스템을 운영하는 경우 해당 서비스 접속 외에는 인터넷망을 차단

 

 

제7조(개인정보 암호화)

① 처리자는 비밀번호, 생체인식정보 등 인증정보를 저장 또는 송,수신 시 암호화하고, 비밀번호 저장 시 일방향 암호화 저장

② 안전한 암호 알고리즘 적용대상

1.     주민등록번호

2.     여권번호

3.     운전면허번호

4.     외국인등록번호

5.     신용카드번호

6.     계좌번호

7.     생체인식정보

③ 처리자는 이용자가 아닌 정보주체의 개인정보를 저장 시 암호화

1.     인터넷망 구간 및 DMZ(내,외부망 중간지점)에 고유식별 정보 저장 시

2.     내부망에 고유식별정보 저장 시(주민등록번호 외 고유식별정보 저장 시)

A.     법 제33조에 따른 개인정보 영향평가 대상이 되는 공공기ㄱ관의 경우 개인정보 영향평가 결과에 따라

B.     암호화 미적용시 위험도 분석에 따른 결과

④ 처리자는 개인정보를 정보통신망을 통하여 인터넷망 구간으로 송·수신 시 암호화 사용

⑤ 처리자는 이용자의 개인정보 또는 이용자가 아닌 정보주체 고유식별정보, 생체인식정보를 취급자의 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장 시 암호화 후 저장

⑥ 10만명 이상 정보주체 처리하는 대기업·중견기업·공공기관 또는 100만명 이상 정보주체 처리하는 중소기업·단체에 해당하는 처리자는 개인정보 보관 시 암호 키 생성,이용,보관,배포 및 파기 등에 관한 절차를 수립,시행

 

 

제8조(접속기록의 보관 및 점검)

① 처리자는 취급자의 시스템에 대한 접속기록을 1년 이상 보관,관리. 다만, 다음 각 호시 2년 보관

1.     5만명 이상 정보추체 처리하는 시스템

2.     고유식별정보 또는 민감정보 처리 시스템

3.     처리자로서 전기통신사업법 제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자

② 처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손등에 대응하기 위하여 시스템 접속기록 등을 월 1회 이상 점검, 개인정보 다운로드 확인 시 내부 관리계획 등으로 그 사유 반드시 확인

③ 처리자는 접속기록이 위·변조 및 도난, 분실되지 않도록 접속기록 안전하게 보관 조치

 

 

제9조(악성프로그램 등 방지)

① 처리자는 악성프로그램 등을 방지·치료할 수 있는 보안 프로그램 설치·운영하고 다음 준수

1.     프로그램의 자동 업데이트 기능 사용 또는 정당한 사유가 없는 한 일 1회 이상 업데이트 실시 등 최신 상태 유지

2.     발견된 악성프로그램 등에 대해 삭제 등 대응 조치

② 처리자는 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용프로그램이나 운영체제 소프트웨어 제작업체에서 보안 업데이트 공지가 있는 경우 정당한 사유가 없는 한 즉시 업데이트 실시

 

제10조(물리적 안전조치)

① 처리자는 전산실, 자료보관실 등 개인정보 보관하고 있는 물리적 보관 장소를 별도로 둘 시 출입통제 절차 수립, 운영

② 처리자는 개인정보가 포함된 서류, 보조저장매체 등 잠금장치 사용하여 안전한 장소 보관

③ 처리자는 개인정보가 포함된 보조저장매체 반출·입 통제를 위한 보안대책 마련. 다만 별도 시스템 운영하지 않고 업무용 컴퓨터 또는 모바일 기기 이용하여 처리 시 미적용

 

제11조(재해·재난 대비 안전조치)

10만명 이상의 정보주체 처리하는 대기업·중견기업·공공기관 또는 100만명 이상 정보주체 처리하는 중소기업·단체 시 처리자는 화재, 홍수, 단전 등 재해·재난 발생 시 처리시스템 보호를 위한 다음 각 호 조치

1.     위기대응 매뉴얼 등 대응절차 마련하고 정기적 점검

2.     시스템 백업 및 복구 위한 계획 마련

 

 

제12조(출력·복사 시 안전조치)

① 처리자는 시스템에서 개인정보 출력 시(인쇄, 화면표시, 파일생성 등) 용도 특정, 용도에 따라 출력 항목 최소화

② 처리자는 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보 출력·복사물 안전하게 관리하기 위한 안전조치 마련

 

 

제13조(개인정보의 파기)

① 처리자는 개인정보 파기 시 다음 각 호 중 하나의 조치

1.     완전파괴(소각·파쇄 등)

2.     전용 소자장비(자기장을 이용해 이용장치의 데이터를 삭제하는 장비)를 이용하여 삭제

3.     데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행

② 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독

제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제

③ 기술적 특성으로 1항 및 2항 방법 힘들 시 법 제58조의2에 해당하는 정보로 처리하여 복원 불가 조치

 

 

제14조(공공시스템운영기관의 안전조치 기준 적용)

① 시스템 중에서 보호위원회가 지정하는 공공시스템을 운영하는 공공시스템운영기관은 제2장의 개인정보 안전성 확보 조치 외에 이 장의 조치를 하여야 한다.

1.     2개 이상 기관의 공통 또는 유사한 업무 지원 시 단일 시스템 구축하여 다른 기관이 접속할 수 있도록 단일접속 시스템으로서 다음 각 목의 어느 하나 해당 시

A.     100만명 이상 정보주체에 관한 개인정보 처리 시스템

B.     시스템에 대한 취급자수가 200명 이상인 시스템

C.     정보주체 사생활을 현저히 침해할 우려가 있는 민감 정보 처리 시스템

2.     2개 이상 기관의 공통 또는 유사한 업무 지원을 위하여 표준이 되는 시스템을 개발하여 다른 기관이 운영할 수 있도록 배포한 표준배포 시스템으로서 대국민 서비스를 행정업무 또는 민원업무 처리용으로 사용 시

3.     기관의 고유한 업무 수행을 지원하기 위하여 기관별로 운영하는 개별 시스템으로서 다음 각 목의 어느 하나에 해당 시

A.     100만명 이상의 정보주체 처리 시스템

B.     시스템에 대한 취급자 수가 200명 이상인 시스템

C.     주민등록법에 따른 주민등록정보시스템과 연계하여 운영되는 시스템

D.     총 사업비가 100억 이상인 시스템

② 제1항에도 불구하고 보호위원회는 다음 각 호의 어느 하나에 해당하는 시스템에 대하여는 공공 시스템 지정하지 않을 수 있다.

1.     체계적인 개인정보 검색 어려운 경우

2.     내부적 업무처리만을 위하여 사용 시

3.     그 밖에 개인정보가 유출될 가능성이 상대적으로 낮은 경우로서 보호위원회가 인정할 시

 

 

제15조(공공시스템운영기관의 내부 관리계획의 수립·시행)

공공시스템운영기관은 공공시스템 별로 다음 각 호의 사항을 포함하여 내부 관리계획 수립

1.     영 제30조의2제4항에 따른 관리책임자 지정

2.     관리책임자 역할 및 책임

3.     제4조제1항제3호에 관한 사항 중 취급자의 역할 및 책임

4.     제4조제1항제4호부터 제6호까지 및 제8호 관한 사항

5.     제16조 및 제17조에 관한 사항

 

 

 

제16조(공공시스템운영기관의 접근 권한의 관리)

① 공공시스템운영기관은 공공시스템에 대한 접근 권한 부여, 변경 또는 말소 시 인사정보와 연계

② 공공시스템운영기관은 인사정보에 등록되지 않은 자에게 제5조제4항에 따른 계정을 발급해서는 안된다. 다만, 긴급상황 등 불가피한 사유가 있을 시 그러하지 아니하며, 그 사유를 제5조제3항에 따른 내역 포함

③ 공공시스템운영기관은 제5조제4항에 따른 계정 발급 시 개인정보 보호 교육 실시 및 보안 서약 작성

④ 공공시스템운영기관은 정당한 권한을 가진 취급자에게만 접근 권한 부여·관리되고 있는 지 확인하기 위하여 제5조제3항에 따른 접근 권한 부여, 변경 또는 말소 내역 반기별 1회 이상 점검

⑤ 공공시스템에 접속하여 개인정보 처리하는 기관은 소관 취급자의 계정 발급 등 접근 권한의 부여·관리를 직접하는 경우 제2항부터 제4항까지 조치

 

 

제17조(공공시스템운영기관의 접속기록의 보관 및 점거)

① 공공시스템 접속기록 등을 자동화된 방식으로 분석하여 불법적인 개인정보 유출 및 오용·남용 시도를 탐지하고 그 사유를 소명하도록 하는 조치

 

 

제18조(재검토 기한)

개인정보보호위원회는 행정규제기본법 제8조 및 훈령·예규 등의 발령 및 관리에 관한 규정에 따라 이 고시에 대하여 2023년 9월15일을 기준으로 매3년이 되는 시점(매 3년째의 9월14일까지를 말한다)마다 그 타당성 검토하여 개선 조치