개인정보의 기술적, 관리적 보호조치 기준 해설서 스터디

개보법 시행령을 공부하려다가,, 엄두가 안나서(?) 개인정보의 기술적, 관리적 보호조치 기준 공부를 해보려고 합니다.

 

---

제1조 목적

1. 이 기준은 정보통신서비스 제공자등이 이용자의 개인정보 취급할 때 개인정보가 분실, 도난, 누출, 변조 등이 되지 않도록 안전성을 확보하기 위해 취하는 최소한의 기술적, 관리적 보호조치 기준을 정하는 것을 목적으로 한다.

2. 정보통신서비스 제공자등은 사업규모, 개인정보 보유 수 등을 고려하여 개인정보 보호조치 기준을 수립, 시행해야 한다.

 

대상자가 정보통신서비스 제공자등 이라는거!

 

제2조 정의

1. 개인정보관리책임자 : 이용자의 개인정보보호 업무 총괄, 최종 결정 임직원

2. 개인정보취급자 : 이용자의 개인정보 수집, 보관, 처리, 이용, 제공, 관리, 파기하는 자

3. 내부관리계획 : 정보통신서비스 제공자등이 개인정보의 안전한 취급을 위해 규정한 계획

4. 개인정보처리시스템 : 개인정보를 처리하도록 체계적으로 구성한 DB시스템

5. 망분리 : 업무망과 외부 인터넷망 분리하는 망 차단조치

6. 비밀번호 : 정당한 접속권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야하는 고유의 문자열

7. 접속기록 : 이용자, 정보통신서비스 제공자등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대해 접속한 사실을 전자적으로 기록한 것

8. 바이오정보 : 개인 식별 가능한 신체적, 행동적 특징 정보

9. P2P : 서버도움 없이 개인과 개인이 직접 연결되어 파일 공유

10. 공유설정 : 컴퓨터 소유자의 파일을 타인이 조회, 변경, 복사할 수 있도록 설정하는 것

11. 보안서버 : 정통망에서 송수신하는 정보 암호화하여 전송

12. 인증정보 : 식별자의 신원 검증하는 데 사용되는 정보

 

제3조 내부관리계획의 수립, 시행

1. 정보통신서비스 제공자등은 각 호를 정하여 개인정보보호조직을 구성, 운영해야 함

• 개인정보관리책임자의 자격요건, 지정 관한 사항
• 개인정보관리책임자, 개인정보취급자 역할, 책임에 관한 사항
• 개인정보 내부관리계획의 수립, 승인에 관한 사항
• 개인정보 기술적, 관리적 보호조치 이행여부 내부점검에 관한 사항
• 개인정보 처리업무 위탁 시 수탁자 관리감독 사항
• 개인정보 분실, 도난, 누출, 변조, 훼손 시 대응절차에 관한 사항
• 이 외

2. 정보통신서비스 제공자등은 각 호를 정하여 교육을 정기적으로 실시해야 한다.

• 교육목적, 대상
• 교육내용
• 교육일정, 방법

3. 정보통신서비스 제공자등은 1,2항에 대한 세부계획, 4~8조까지의 보호조치 이행을 위한 추진방안을 포함한 내부관리계획을 수립, 시행해야 한다.

 

여러가지를 고려해서 개인정보보호조직을 구성해야 하고, 교육도 정기적으로 실시해야 한다.

 

제4조 접근통제

1. 정보통신서비스 제공자등은 접근권한을 서비스 제공을 위해서 필요한 개인정보관리책임자, 취급자에만 부여한다.

2. 정보통신서비스 제공자등은 인사이동 발생으로 개인정보취급자가 변경된 경우 접근권한을 지체없이 변경, 말소한다.

3. 정보통신서비스 제공자등은 1,2항에 의한 권한부여, 변경, 말소에 대한 내역을 기록하고 최소 5년 보관한다.

4. 정보통신서비스 제공자등은 개인정보취급자가 외부에서 개인정보처리시스템에 접속이 필요한 경우 안전한 인증수단을 적용해야 한다.

5. 정보통신서비스 제공자등은 정보통신망을 통한 불법접근, 침해사고 방지를 위해 각 호 기능을 포함한 시스템을 설치, 운영해야 한다.

• 접속 권한을 IP주소 등으로 제한
• 개인정보처리시스템에 접속한 IP주소를 재분석하여 불법 유출 시도 탐지

6. 전년도 말 기준 직전 3개월간 개인정보가 저장, 관리되고 있는 이용자수가 일평균 100만명 이상이거나 전년도 매출액이 100억 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드, 파기할 수 있거나 개인정보취급자의 컴퓨터를 망분리해야 한다.

7. 정보통신서비스 제공자등은 안전한 비밀번호를 이용하도록 비밀번호 작성규칙을 수립, 이행한다.

8. 정보통신서비스 제공자등은 개인정보 취급자 대상으로 각 호 사항을 포함하는 비밀번호 작성규칙을 수립, 적용해야 한다.

• 영문, 숫자, 특수문자 중 2종류 이상 조합하여 10자리 이상/ 3종류 조합하여 8자리 이상 길이로 구성
• 추측하기 쉬운 아이디 비밀번호는 사용하지 않기를 권고
• 비밀번호에 유효기간 설정하여 반기별 1회 이상 변경

9. 정보통신서비스 제공자등은 취급중인 개인정보가 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자 컴퓨터와 모바일기기에 조치를 취해야한다.

10. 정보통신서비스 제공자등은 개인정보취급자의 접속 시간을 제한하는 등의 조치를 취해야 한다.

 

제5조 접속기록의 위변조 방지

1. 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월1회 이상 확인, 감독해야 하며, 시스템의 이상 유무 확인을 위해 최소 6개월 이상 접속기록을 보존, 관리해야 한다.

2. 1항의 규정에도 불구하고 기간통신사업자의 경우에는 최소 2년 보존, 관리해야 한다.

3. 정보통신서비스 제공자등은 개인정보취급자 접속기록이 위변조되지 않도록 별도 물리저장장치에 보관하고, 정기적으로 백업을 수행해야 한다.

 

기간통신사업자는 전기 통신 회선 설비를 설치하고, 이를 이용하여 공공의 이익과 국가 산업에 미치는 영향, 역무의 안정적 제공의 필요성 등을 참작하여 전신/전화(시내, 시외, 국제)/전기 통신 회선 임대, 주파수를 할당받아 제공하는 서비스 등의 전기 통신 역무를 제공하기 위하여 정부의 허가를 받은 사업자라고 한다.

 

제6조 개인정보의 암호화

1. 정보통신서비스 제공자등은 비밀번호를 일방향 암호화하여 저장한다.

2. 정보통신서비스 제공자등은 다음 각 호에 대해서는 안전한 알고리즘으로 암호화하여 저장한다.

• 주민등록번호
• 여권번호
• 운전면허번호
• 외국인등로건호
• 카드번호
• 계좌번호
• 바이오정보

3. 정보통신서비스 제공자등은 개인정보, 인증정보를 송수신할 때 안전한 보안서버 구축 등의 조치를 통해 암호화해야 한다. 보안서버는 각 호 중 하나의 기능을 갖춰야 한다.

• 웹서버에 SSL인증서를 설치하여 전송하는 정보를 암호화하여 송수신
• 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신

4. 정보통신서비스 제공자등은 개인정보를 저장할 때 암호화해야 한다.

 

제7조 악성프로그램 방지

정보통신서비스 제공자등은 악성 프로그램 등을 방지, 치료할 수 있는 보안 프로그램을 설치, 운영해야 하며 각 호를 준수해야 한다.

1, 보안프로그램 자동 업데이트 기능 사용 혹은 일1회 이상 업데이트 실시

2. 보안 업데이트 공지가 있는 경우 즉시 업데이트 실시

 

악성 프로그램을 방지하기 위해서 업데이트를 자주 해야한다.

 

제8조 물리적 접근 방지

1. 정보통신서비스 제공자등은 개인정보를 보관하고 있는 물리적 보관 장소에 대한 출입통제 절차를 수립해야 한다.

2. 정보통신서비스 제공자등은 개인정보 포함된 서류 등을 잠금장치 있는 장소에 보관해야 한다.

3. 정보통신서비스 제공자등은 개인정보 포함된 보조저장매체의 반출입통제 위한 보안대책을 마련해야 한다.

 

제9조 출력, 복사 시 보호조치

1. 정보통신서비스 제공자등은 개인정보 출력시 용도를 특정해야하며, 출력항목을 최소화해야 한다.

2. 정보통신서비스 제공자등은 개인정보 포함된 인쇄물, 외부 저장매체 등을 관리하기 위해 출력, 복사를 기록하는 등 보호조치를 갖춰야 한다.

 

제10조 개인정보 표시제한 보호조치

정보통신서비스 제공자등은 개인정보 업무처리를 목적으로 개인정보 조회, 출력 업무 수행 과정에서 개인정보를 마스킹하여 표시제한 조치를 할 수 있다.

 

제11조 규제의 재검토

방송통신위원회는 이 고시에 대해 3년마다 타당성을 검토하여 개선 등의 조치를 해야 한다.