1. 개인정보보호조치 기준 요약
- 개인정보의 안전성 확보조치 기준
- 규제기관: 개인정보보호위원회
- 대상자: 개인정보처리자
- 고시근거
- 개인정보보호법
- 제23조의 2항 (민감정보의 처리 제한)
- 제24조의 3항 (고유식별정보의 처리 제한(
- 제29조 (안전조치의무)
- 개인정보보호법 시행령
- 제21조 (고유식별정보의 안전성 확보조치)
- 제30조 (개인정보의 안전성 확보 조치)
- 개인정보보호법
- 처벌 규정
- 안전성 확보에 필요한 조치를 하지 않은 자 (제29조 위반)
- 5천만 원 이하 과태료 (제75조 제2항 제5호)
- 개인정보처리자가 처리하는 개인정보가 분실, 도난, 유출, 위조, 변조, 훼손된 경우
- 위반행위와 관련한 매출액의 100분의 3 이하 과징금 (제64조의 2 제1항 제9호)
- 다만, 개인정보가 분실, 도난, 유출, 위조, 변조, 훼손되지 아니하도록 개인정보처리자가 제29조 (제26조 제8항에 따라 준용되는 경우를 포함한다)에 따른 안전성 확보에 필요한 조치를 다한 경우에는 그러하지 아니함
- 안전성 확보에 필요한 조치를 하지 않은 자 (제29조 위반)
2. 개인정보 안전성 확보조치 기준 23년 9월 개정 요약
- 일반대상자에게만 적용되던 안전조치 기준을 확대 적용
- 개인정보처리자 및 정보통신서비스 제공자 중 일방에만 적용되던 규정을 전체 개인정보처리자로 확대 적용 확대한 규정을 새로 적용받는 대상자의 경우 24.9.15.부터 적용
- (개인정보처리자 의무를 전체 정보통신서비스 제공자에게도 적용) 일정 횟수 인증 실패 시 조치 (제5조 제6항), 접속기록 점검 (제8조 제2항) 등 (개인정보를 대규모로 처리하는 정보통신서비스 제공자에게도 적용) 암호키 관리 절차 수립, 시행(제7조 제6항) 재해, 재난 대비 안전조치(제11조) 등
- (정보통신서비스 제공자 의무를 개인정보처리자에게도 적용) 인터넷망 구간 전송 시 암호화 (제7조 제4항), 출력, 복사 시 보호조치 (제12조 등)
- 개인정보처리자 및 정보통신서비스 제공자 중 일방에만 적용되던 규정을 전체 개인정보처리자로 확대 적용 확대한 규정을 새로 적용받는 대상자의 경우 24.9.15.부터 적용
- 양 대상자 간 상이한 안전조치 기준 일원화
- (유형 삭제) 별표의 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준을 삭제하여 모든 개인정보 처리자에 동일 규정 적용
- 단, 기존 유형 1에 적용되던 내부 관리계획 수립 예외 (제4조 제1항), 기존 유형 3에 적용되던 암호키 관리(제7조 제6항), 재해 재난 대비 안전 조치 (제11조)는 본문에 반영
- (내부 관리계획) 내부 관리계획 수록사항 중 중복삭제 및 상이 내용을 통합하여 총 16개 항목으로 정비 (제4조)
- 조직, 개인정보 보호책임자 지정, 개인정보 보호책임자와 개인정보취급자의 역할 및 책임, 개인정보 취급자에 대한 관리감독 및 교육, 접근권한 관리, 접근통제, 개인정보의 암호화조치, 접속기록 보관 및 점검, 악성프로그램 등 방지, 취약점 점검, 물리적 안전조치, 개인정보 유출사고 대응 계획 수립, 위험 분석 및 관리, 수탁자 관리 및 감독, 개인정보 내부관리계획의 수립, 변경 및 승인, 기타
- (권한 변경 관리) 시스템 권한 변경 내역 보관기간을 3년 이내로 통일 (제5조 제3항)
- (기존 특례규정) 권한 부여, 변경 또는 말소에 대한 내역을 최소 5년간 보관
- (전송 시 암호화) 특례규정의 인터넷망 구간 전송 시 암호화 (보안 서버 적용 등)를 전체 개인정보처리자로 확대 (제7조 제4항)
- (유형 삭제) 별표의 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준을 삭제하여 모든 개인정보 처리자에 동일 규정 적용
- 수범자의 부담이 우려되는 일부 상이한 규정은 현행 유지
- 외부에서 접속 시 안전조치 (제6조 제2항), 인터넷망 차단(제6조 제6항)
- 저장 시 암호화 (제7조 제2항, 제3항, 제5항) 등 수범자 부담이 우려되는 규정은 기존과 동일하게 유지
- 이용자의 개인정보를 처리하는 경우(현행 특례 규정 적용범위와 동일)와 그 밖의 경우를 구분하여 규정
3. 보호조치 목적
- 개인정보보호조치 기준
- 이 기준에서 최소한으로 정하는 수준 이상의 기술적, 관리적 및 물리적 보호 조치
- 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경 -> 분기별 1회 이상 변경
- 그 밖에 개인정보보호를 위해 필요한 사항
- 웹 해킹 위험이 높은 경우에는 웹방화벽을 도입하고 정책설정, 이상행위 대응 등 운영, 관리에 관한 사항 등을 수립 등
- 이 기준에서 최소한으로 정하는 수준 이상의 기술적, 관리적 및 물리적 보호 조치
4. 안전성 확보조치 정의 설명
- 개인정보처리시스템
- 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템
- 일반적으로 DB 내의 데이터에 접근할 수 있도록 해주는 응용시스템을 의미하며, 데이터베이스를 구축하거나 운영하는데 필요한 시스템
- 개인정보처리시스템은 개인정보처리자의 개인정보 처리 방법, 시스템 구성 및 운영환경 등에 따라 달라질 수 있음
- 업무용 컴퓨터의 경우에도 데이터베이스 응용프로그램이 설치, 운영되어 다수의 개인정보 취급자가 개인정보를 처리하는 경우에는 개인정보처리시스템에 해당
- 데이터베이스 응용프로그램이 설치, 운영되지 않는 PC, 노트북과 같은 업무용 컴퓨터는 개인정보처리시스템에서 제외
- 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템
- 이용자
- 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자
- 개인정보보호법: 정보주체란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람
- 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자
- 접속 기록
- 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것. 접속이란 개인정보 처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태
- 접속기록은 이력정보를 남기는 기록으로서, 접속에 관한 정보와 서비스 이용에 관한 정보 등을 개인정보 처리 시스템의 로그 파일 또는 로그관리시스템 등에 전자적으로 기록
- 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리 정보주체 정보, 수행업무는 개인정보취급자 등의 개인정보 처리시스템에 접속한 사실과 접속하여 수행한 업무내역을 확인
- 계정 (ID 등 계정 정보), 접속일시 (접속한 시점 또는 업무를 수행한 시점), 접속지 정보 (컴퓨터 또는 서버의 IP 주소), 처리한 정보주체 정보 (누구의 개인정보를 처리하였는지를 알 수 있는 식별정보), 수행업무 (처리한 내용을 알 수 있는 정보)
- 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것. 접속이란 개인정보 처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태
- 정보통신망
- 이용기술을 활용하여 정보를 수집, 가공, 저장, 검색, 송신 또는 수신하는 정보통신체계
- 설비를 이용하거나 이용 기술을 활용한 정보통신체계
- 이용기술을 활용하여 정보를 수집, 가공, 저장, 검색, 송신 또는 수신하는 정보통신체계
- P2P (Peer to Peer)
- 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유
- 중간매개자 없이 정보 제공자(개인)와 정보 수신자(개인)가 직접 연결되어 각 개인이 가지고 있는 파일 등을 공유하는 것(개인 <->개인)
- 제공자가 어떠한 파일을 공유하면 정보수신자가 그 파일을 내려받을 수 있는 형태
- 개인 <->서버와는 다른 개념
- 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유
- 공유 설정
- 컴퓨터 소유자의 파일을 타인이 조회, 변경, 복사 등을 할 수 있도록 설정
- 모바일 기기
- 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿 PC 등 개인정보 처리에 이용되는 휴대용 기기
- 개인 소유의 휴대용 기기라 할지라도 개인정보처리자의 업무 목적으로 개인정보처리에 이용되는 경우 모바일 기기에 포함
- 개인정보처리자의 업무 목적으로 개인정보 처리에 이용되지 않는 휴대용 기기는 모바일 기기에서 제외
- 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿 PC 등 개인정보 처리에 이용되는 휴대용 기기
- 비밀번호
- 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보
- 생체 정보
- 개인의 신체적, 생리적, 행동적 특징
- 특정 개인을 인증, 식별하거나 개인에 관한 특징 (연령, 성별, 감정 등)을 알아보기 위해 일정한 기술적 수단
- 신체적 특징: 지문, 얼굴, 홍채, 망막의 혈관 모양, 손바닥, 손가락의 정맥 모양, 장문, 귓바퀴의 모양
- 생리적 특징: 뇌파, 심전도, 유전정보 등
- 행동적 특징: 음성, 필적, 걸음걸이, 자판입력 간격 속도
- 추출한 특징점 등을 이용(비교, 대조)
- 인증 (저장된 정보와 대조하여 본인 여부 확인) , 식별
- 생체 인식 정보
- 생체 정보 중 특정 개인을 인증, 식별할 목적으로 처리되는 정보
- 개인을 인증, 식별하기 위한 목적으로 처리되는 생체인식정보와 인증 식별 목적이 아닌, 개인에 관한 특징 (연령, 성별 감정)등을 알아보기 위해 처리되는 일반적인 생체정보
- 생체 정보 중 특정 개인을 인증, 식별할 목적으로 처리되는 정보
- 인증정보
- 시스템 등이 요구한 식별자의 신원을 검증하는 데 사용되는 정보
- 식별자는 해당 시스템에 접속하여 업무를 수행, 시스템에게 알려줘야 하는 ID 등의 정보로서, 시스템에 등록 시 이용자가 선택하거나 계정 (또는 권한) 관리자가 부여한 고유한 문자열
- 정당한 식별자임을 증명하기 위하여 식별자와 연계된 정보로서 비밀번호, 생체인식정보, 전자 서명값
- 시스템 등이 요구한 식별자의 신원을 검증하는 데 사용되는 정보
- 내부망
- 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제
- 인터넷 구간과 물리적으로 망이 분리
- 접근통제시스템에 의하여 인터넷 구간에서의 직접 접근이 불가능하도록 통제, 차단
- 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제
- 위험도 분석
- 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별, 평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안
- 개인정보 처리 시 다양한 위험요소를 사전에 식별, 평가
- 통제할 수 있는 방안 마련, 종합적으로 분석
- 관리적인 측면, 기술적인 측면, 물리적인 측면
- 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별, 평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안
- 보조 저장매체
- 자료를 저장할 수 있는 매체, 개인용 컴퓨터 등과 용이하게 연결 분리할 수 있는 저장매체
- 스마트폰도 보조저장매체가 될 수 있음
- 자료를 저장할 수 있는 매체, 개인용 컴퓨터 등과 용이하게 연결 분리할 수 있는 저장매체
5. 금번 안전성 확보 조치 기준 개정에서 삭제된 기술적 관리적 보호조치 기준 용어
- 개인정보보호책임자
- 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정
- 이용자의 고충을 처리
- 개인정보 보호책임자, 지정
- 개인정보 취급자
- 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자
- 고용관계가 없더라도 실질적으로 개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 자는 개인정보취급자에 포함
- 정규직, 비정규직, 파견직, 시간제 근로자 등이 모두 이에 해당
- 고용관계가 없더라도
- 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자
- 망분리
- 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정
'정보보안 자격증 > CPPG' 카테고리의 다른 글
| CPPG 28. 접근 권한의 관리 (1) | 2024.07.23 |
|---|---|
| CPPG 27. 안전조치 기준 적용 (0) | 2024.07.23 |
| CPPG 예상문제 7 (0) | 2024.07.21 |
| CPPG 25. 영업의 양도 양수 (0) | 2024.07.21 |
| CPPG 24. 위탁 증가와 위험 (0) | 2024.07.21 |