[CPPG] 개인정보의 보호조치 도메인 학습

주말이다 보니, 맘 잡고 CPPG 공부 좀 해 볼까 합니다.

 

개인정보의 보호조치 도메인을 보다 보니, 웹 검색하면서 관련된 자료들이 많다는 것을 알게 되었고,

향후 공부를 위해 자료 관리 차 포스팅합니다.

 

우선 개인정보의 보호조치는

개인정보 보호법 제23조의 2항, 제24조의 3항, 제 29조와 

개인정보 보호법 시행령 제 21조, 제 30조, 제 48조 2 와 관련 있습니다.

 

개인정보처리자 위한 개인정보의 안전성 확보조치 기준과

정보통신서비스 제공자 등을 위한 개인정보의 기술적 · 관리적 보호조치 기준들과 관계 있습니다.

 

---

 

개인정보 보호법 

 

제23조(민감정보의 처리 제한)

 

① 개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. <개정 2016. 3. 29.>

1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우

2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다. <신설 2016. 3. 29.>

 

제24조(고유식별정보의 처리 제한) 

 

① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리할 수 없다.

1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우

2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

② 삭제 <2013. 8. 6.>

③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. <개정 2015. 7. 24.>

④ 보호위원회는 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다. <신설 2016. 3. 29., 2017. 7. 26., 2020. 2. 4.>

⑤ 보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있다. 
<신설 2016. 3. 29., 2017. 7. 26., 2020. 2. 4.>

 

제29조(안전조치의무) 

 

※ 분도유위변훼

분실, 도난, 유출, 위조, 변조, 훼손

 

개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. <개정 2015. 7. 24.>

 

---

 

 

---

개인정보 보호법 시행령

 

제21조(고유식별정보의 안전성 확보 조치) 

 

① 법 제24조제3항에 따른 고유식별정보의 안전성 확보 조치에 관하여는 제30조 또는 제48조의2를 준용한다. 이 경우 “법 제29조”는 “법 제24조제3항”으로, “개인정보”는 “고유식별정보”로 본다. <개정 2020. 8. 4.>

② 법 제24조제4항에서 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다.

1. 공공기관

2. 5만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 자

③ 보호위원회는 제2항 각 호의 어느 하나에 해당하는 개인정보처리자에 대하여 법 제24조제4항에 따라 안전성 확보에 필요한 조치를 하였는지를 2년마다 1회 이상 조사해야 한다. <개정 2017. 7. 26., 2020. 8. 4.>

④ 제3항에 따른 조사는 제2항 각 호의 어느 하나에 해당하는 개인정보처리자에게 온라인 또는 서면을 통하여 필요한 자료를 제출하게 하는 방법으로 한다.

⑤ 법 제24조제5항에서 “대통령령으로 정하는 전문기관”이란 다음 각 호의 기관을 말한다.
<개정 2017. 7. 26., 2020. 8. 4.>

1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원(이하 “한국인터넷진흥원”이라 한다)

2. 법 제24조제4항에 따른 조사를 수행할 수 있는 기술적ㆍ재정적 능력과 설비를 보유한 것으로 인정되어 보호위원회가 정하여 고시하는 법인, 단체 또는 기관

[전문개정 2016. 9. 29.]

 

제30조(개인정보의 안전성 확보 조치) 

 

① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행

2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치

3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치

4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치

5. 개인정보에 대한 보안프로그램의 설치 및 갱신

6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

② 보호위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. 
<개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다. 
<개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26., 2020. 8. 4.>

 

제48조의2(개인정보의 안전성 확보 조치에 관한 특례)

 

① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.

1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립ㆍ시행

가. 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항

나. 정보통신서비스 제공자등의 지휘ㆍ감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 “개인정보취급자”라 한다)의 교육에 관한 사항

다. 제2호부터 제6호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치

가. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행

나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영

다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다]

라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영

마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치

3. 접속기록의 위조ㆍ변조 방지를 위한 다음 각 목의 조치

가. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인ㆍ감독

나. 개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관

4. 개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위한 다음 각 목의 조치

가. 비밀번호의 일방향 암호화 저장

나. 주민등록번호, 계좌정보 및 제18조제3호에 따른 정보 등 보호위원회가 정하여 고시하는 정보의 암호화 저장

다. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버 구축 등의 조치

라. 그 밖에 암호화 기술을 이용한 보안조치

5. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신ㆍ점검 조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치

② 보호위원회는 정보통신서비스 제공자등이 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.

③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.

 

참고 자료

 

개인정보처리자 위한 개인정보의 안전성 확보조치 기준과

정보통신서비스 제공자 등을 위한 개인정보의 기술적 · 관리적 보호조치 기준에 대한

정보 및 해설 내용은 아래 링크된 자료를 참고하시길 바랍니다.

 

(개인정보보호위원회)개인정보의안전성확보조치기준 (law.go.kr)

(개인정보보호위원회)개인정보의안전성확보조치기준

 

지침‧가이드라인 | 개인정보보호위원회 > > 정책 · 법령>법령정보 (pipc.go.kr)

개인정보보호위원회

 

(개인정보보호위원회)개인정보의기술적·관리적보호조치기준 (law.go.kr)

(개인정보보호위원회)개인정보의기술적·관리적보호조치기준

 

지침‧가이드라인 | 개인정보보호위원회 > > 정책 · 법령>법령정보 (pipc.go.kr)

개인정보보호위원회