(개인정보보호위원회) 개인정보의 안전성 확보조치 기준 (제1조 ~ 제4조)

(개인정보보호위원회)개인정보의안전성확보조치기준 (law.go.kr)

(개인정보보호위원회)개인정보의안전성확보조치기준

 

시험 공부를 해야하는데, 이렇게 포스팅이라도 해야 법을 한번이라도 제대로 읽을 것 같아서 정리해 봤습니다.

아래 내용은 개인정보의 안전성 확보조치 기준에 대한 내용입니다.

 

(개인정보보호위원회) 개인정보의 안전성 확보조치 기준

 [시행 2020. 8. 11.] [개인정보보호위원회고시 제2020-2호, 2020. 8. 11., 제정]

 

제1조(목적)

 

이 기준은 「개인정보 보호법」(이하 "법"이라 한다) 제23조제2항, 제24조제3항 및 제29조와 같은 법 시행령(이하 "영"이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.

 

제2조(정의) 

 

이 기준에서 사용하는 용어의 뜻은 다음과 같다.  

1. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. 

2. "개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. 

3. "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. 

4. "대기업"이란 「독점규제 및 공정거래에 관한 법률」제14조에 따라 공정거래위원회가 지정한 기업집단을 말한다. 

5. "중견기업"이란「중견기업 성장촉진 및 경쟁력 강화에 관한 특별법」제2조에 해당하는 기업을 말한다. 

6. "중소기업"이란 「중소기업기본법」제2조 및 동법 시행령 제3조에 해당하는 기업을 말한다. 

7. "소상공인"이란 「소상공인 보호 및 지원에 관한 법률」제2조에 해당하는 자를 말한다. 

8. "개인정보 보호책임자"란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다. 

9. "개인정보취급자"란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다. 

10. "개인정보처리시스템"이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다. 

11. "위험도 분석"이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다. 

12. "비밀번호"란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. 

13. "정보통신망"이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다. 

14. "공개된 무선망"이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다. 

15. "모바일 기기"란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다. 

16. "바이오정보"란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다. 

17. "보조저장매체"란 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결·분리할 수 있는 저장매체를 말한다. 

18. "내부망"이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다. 

19. "접속기록"이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 "접속"이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다. 

20. "관리용 단말기"란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다. 

 

- 개인정보파일은 일반적으로 전자적 형태로 구성된 데이터베이스(DB: DataBase)를 의미하는 경우가 많지만, 그 외에 체계적인 검색․열람을 위한 색인이 되어 있는 컴퓨터 문서 파일, 수기(手記) 문서 자료 등도 포함된다.

 

- 보조저장매체에는 이동형 하드디스크, USB메모리, CD, DVD 등이 해당된다. 경우에 따라서는 스마트폰도 보조저장매체가 될 수 있다.

 

출처 : 개인정보의 안전성 확보조치 기준 해설서

 

제3조(안전조치 기준 적용) 

 

개인정보처리자가 개인정보의 안전성 확보에 필요한 조치를 하는 경우에는 [별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준을 적용하여야 한다. 이 경우 개인정보처리자가 어느 유형에 해당하는지에 대한 입증책임은 당해 개인정보처리자가 부담한다.

 

2022.08.29 - [(To-Be) CPPG (개인정보관리사)/개인정보의 보호조치] - 안전조치 기준 적용 - "십대견공 백소단"

안전조치 기준 적용 - "십대견공 백소단"

 

[별표]

 

 

제4조(내부 관리계획의 수립·시행) 

 

① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다. 

1. 개인정보 보호책임자의 지정에 관한 사항 

2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 

3. 개인정보취급자에 대한 교육에 관한 사항 

4. 접근 권한의 관리에 관한 사항 

5. 접근 통제에 관한 사항 

6. 개인정보의 암호화 조치에 관한 사항 

7. 접속기록 보관 및 점검에 관한 사항 

8. 악성프로그램 등 방지에 관한 사항 

9. 물리적 안전조치에 관한 사항 

10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항 

11. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항 

12. 위험도 분석 및 대응방안 마련에 관한 사항 

13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 

14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 

15. 그 밖에 개인정보 보호를 위하여 필요한 사항 

② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다. 

③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다. 

④ 개인정보보호책임자는 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상으로 점검·관리 하여야 한다. 

 

기출 문제

 

(관리 127-2-5)
개인정보 안전성 확보조치 기준에 명시된 내부관리 계획의 정의 및 필요성, 주요 내용에 대하여 설명하시오.

 

(응용 116-3-5)
개인정보 보호법 및 개인정보의 안전성 확보조치 기준과 관련하여 아래 사항을 설명하시오.

가. 개인정보 보호법 및 그 시행령에 명시된 개인정보 보호책임자가 수행해야할 업무
나. 개인정보의 안전성 확보조치 기준에 명시된 내부관리 계획의 수립-시행과 관련하여 기술적인 관점과 관리적인 관점에서 포함되어야 할 사항