4과목 개인정보 보호조치

개인정보의 안전성 확보조치 기준 (개인정보보호법 하위고시)

---

제 1조 목적

개인정보의 안정성 확보조치 기준은 

 

개인정보 보호법 법률

제23조(민감정보의 처리 제한)제2항

제24조(고유식별정보의 처리 제한)제3항

제29조(안전조치의무)

 

개인정보 보호법 시행령

제21조(고유식별정보의 안전성 확보 조치) 및

제30조(개인정보의 안전성 확보 조치)에 근거한다.

 

이 기준을 위반해 조치를 하지 않을 경우 - 3000만원 이하의 과태료

조치를 하지 않을 경우 분도유위변훼 발생 시 - 2년 이하의 징역 또는 2천만원 이하의 벌금

 

※ 과태료는 조치를 안했을 경우, 벌금은 조치를 안해 피해가 발생한 경우

 

 

---

제 2조 정의

"대기업" 이란 

 

"중견기업" 이란

 

"중소기업" 이란

 

"소상공인" 이란

 - 상시 근로자 수가 10명 미만일 경우 (상시라는 말은 계약직을 포함하지 않는다는 말.)

 

 ※  1. 광업 제조업 건설업 운수업 : 10명 미만 

     2. 나머지 : 5명 미만

 

"개인정보처리시스템" 이란

 - 일반적으로 DB 내의 데이터에 접근할 수 있도록 해주는 응용시스템을 의미 (일반적으로 대,중견,중소 기업)

 

 - 업무용 컴퓨터의 경우에도 DB 응용프로그램(MS-Access, Excel)이 설치/운영되어 다수의 개인정보취급자가

개인정보를 처리하는 경우에는 개인정보처리시스템이 해당될 수 있다.

 (다만, DB 응용프로그램이 설치/운영되지 않는 PC, 노트북과 같은 업무용 컴퓨터는 개인정보처리시스템에서 제외된다.)

 

"위험도 분석" 이란

- 개인정보 처리 시 다양한 위험요소를 사전에 식별/평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위하여 종합적으로 분석하는 행위를 의미한다.

 

- 위험요소 식별/평가 및 통제방안으로는 개인정보처리시스템 등 자산식별, 위협확인, 위험확인, 대책마련, 사후관리 

 등이 해당될 수 있다.

 

※ 위협 * 취약점 * 자산 = 위험 Risk)

 

"비밀번호" 란

- 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

 

※ 사용자 인증 및 비밀번호의 기능으로 생체인식, 보안카드, OTP 가 사용되기도 한다.

 

"정보통신망" 이란

- 전기통신기본법 제2조제2항에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다.

 

※ IT 전반을 말함.

 

"공개된 무선망" 이란

 - 불특정 다수가 AP를 통해 인터넷을 이용할 수 있는 망이다

 

※ 회사 내에 업무를 위해 설치해둔 AP는 공개된 무선망에서 제외된다.

※ CDMA, WCDMA 등의 기술을 사용하는 이동통신망은 공개된 무선망에서 제외된다.

 

"모바일 기기" 란

- 이동통신망, 와이파이 등의 무선망을 이용하여 개인정보 처리에 이용되는 휴대용 기기.

 

※ 개인정보처리자의 "업무 목적"으로 "개인정보 처리"에 이용되지 않는 휴대용기기는 "모바일 기기"에서 제외된다.

 

"바이오 정보" 란

- 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.

 

- 신체적 특징 : 홍채, 지문, 얼굴, 정맥, 음성, 망막, 손 모양, 손가락 모양, 열상 등

- 행동적 특징 : 걸음걸이, 키보드 타이핑, 필적, 입술 움직임

 

- 원본 정보 : 사람의 신체적 또는 행동적 특징을 입력장치를 통해 최초로 수집되어 가공되지 않은 정보

- 특징 정보 : 원본 정보를 특정 알고리즘을 통해 특징만을 추출하여 생성된 정보

 

"내부망" 이란

- 인터넷 구간과 물리적으로 망이 분리되어 있거나, 비인가된 불법적인 접근을 차단하는 기능 등을 가진 접근통제시스템에 의하여 인터넷 구간에서의 직접 접근이 불가능하도록 통제·차단되어 있는 구간을 말한다.

※ 중간지점안에 있어야 하는것들, WWW, EMAIL, DNS, PROXY

 

"접속기록" 이란

- 개인정보취급자 등이 개인정보처리시스템에 접속 및 운영 등에 관한 이력 정보를 남기는 기록으로서, 접속에 관한 정보와 서비스 이용에 관한 정보 등을 개인정보처리시스템의 로그 파일 또는 로그관리시스템 등에 전자적으로 기록한 것을 말한다.

 

※ 접속기록

- 계정 : 개인정보처리시스템에서 접속자를 식별할 수 있도록 부여된 ID 등 계정 정보

- 접속일시 : 접속한 시점 또는 업무를 수행한 시점(1995-09-29, 22:11:00)

- 접속지 정보 : 개인정보처리시스템에 접속한 자의 컴퓨터 또는 서버의 IP 주소 등

- 처리한 정보주체 정보 :

 개인정보취급자가 누구의 개인정보를 처리하엿는지를 알 수 있는 식별정보(ID, 고객번호, 학번, 사번)

- 수행업무 : 개인정보취급자가 개인정보처리시스템을 이용하여 개인정보를 처리한 내용을 알 수 있는 정보(검색, 열람, 조회, 입력, 수정, 삭제, 출력, 다운로드 등)

 

"관리용 단말기" 란

- 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.

 

※ 직접 접속이란 물리적 구조와 상관없이 단말기에서 개인정보처리시스템에 대하여 관리, 운영, 개발, 보안 등의 목적으로 활용할 수 있는 명령어 등을 직접 입력하여 처리할 수 있는 상태를 말한다(관리자 모드로 들어갈 수 있는 상태)

 

 

---

제 3조 안전조치 기준 적용

- 개인정보처리자 유형 및 개인정보 보유량에 따른.

- 입증은 개인정보처리자가 부담한다.

 

유형1 (완화)

- 1만명 미만의 개인정보를 보유한 소상공인 단체 개인

 

유형2 (표준)

- 1만명 이상의 개인정보를 보유한 소상공인 단체 개인 

- 10만명 미만의 개인정보를 보유한 대기업 중견기업 공공기관

- 100만명 미만의 개인정보를 보유한 중소기업

 

유형3 (강화) → 안전조치 기준 전체 적용

- 10만명 이상의 개인정보를 보유한 대기업 중견기업 공공기관

- 100만명 이상의 개인정보를 보유한 중소기업 단체