개인정보의 안전성 확보조치 기준(제2020-2호)(20200811)

(개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준(개인정보보호위원회고시)

(제2020-5호)(20200811)

 

 

목차

Ⅰ. 「개인정보의 안전성 확보조치 기준」 개요 
1. 개 요 
2. 법적 근거 

    o 개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한), 제29조(안전조치의무)
    o 같은 법 시행령 제21조(고유식별정보의 안전성 확보 조치), 제30조(개인정보의 안전성 확보 조치)

Ⅱ. 「개인정보의 안전성 확보조치 기준」 전문 
Ⅲ. 「개인정보의 안전성 확보조치 기준」 해설 
[제1조] 목적 
[제2조] 정의 
[제3조] 안전조치 기준 적용 

    유형1 : 만미 소개단(1만명 미만, 소기업/개인/단체) 
    유형2 : 백미중(백만명 미만 중소기업),

                십미대견공(10만명 미만, 대기업/공공기관/중견기업),   

                만이소개단(1만명 이상, 소기업/개인/단체)
    유형3 : 십이대견공(10만이상, 대기업/중견기업/공공기관),  백이중단(100만이상, 중소기업/단체)

[제4조] 내부 관리계획의 수립시행 
[제5조] 접근 권한의 관리

    유형1은 제외 가능 : 
    ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한

        최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
    ⑥ 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우

        개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.

  
[제6조] 접근통제 

    유형1 제외 가능 항목
    ② VPN 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다
    ④ 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
    ⑤ 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
[제7조] 개인정보의 암호화 

    ￭ 인터넷 구간이나 DMZ 구간 저장

    ￭ 송신, 전달

     고유식별정보(주여외운-주민등록번호, 여권번호, 외국인번호, 운전면허번호), 비밀번호, 바이오정보를

     정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

     송신하는 경우에는 SSL 등의 통신 암호 프로토콜이 탑재된(http:// -> https) 기술을 활용하여야 한다.

    ￭ 비밀번호, 바이오정보 저장하는 경우

    ￭ 내부망에 주민등록번호를 저장하는 경우

      “개인정보 영향평가”나 암호화 미적용시 “위험도 분석”의 결과에 관계없이 암호화 하여야 한다.

      주민등록번호를 제외한 고유식별정보를 저장하는 경우 다음에 따라 암호화의
      적용여부 및 적용범위를 정하여 시행할 수 있다.

      - 「개인정보 보호법」 제33조 및 시행령 제35조에 따라 영향평가의 대상이 되는 개인정보
         파일을 운용하는 공공기관은 해당 “개인정보 영향평가”의 결과

 

 

유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.

⑥  안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.

 

[제8조] 접속기록의 보관 및 점검 

    ① 개인정보처리시스템에 접속한 기록을 1년 이상 보관‧관리하여야 한다. 

     다만, 5만 명 이상 경우에는 2년 이상 보관·관리하여야 한다.

    ② 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검

        특히 개인정보를 다운로드한 것이 발견되었을 경우에는  

        그 사유를 반드시 확인하여야 한다.

[제9조] 악성프로그램 등 방지

    1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시

    2. 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시  

[제10조] 관리용 단말기의 안전조치 
[제11조] 물리적 안전조치 
[제12조] 재해.재난 대비 안전조치 

    ￭ 유형3만 해당

   ① 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 

       대응절차를 마련하고 정기적으로 점검하여야 한다.

   ② 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.

[제13조] 개인정보의 파기 

    ① 어느 하나의 조치 (초(밥)덮(밥) 완소)

    1. 완전파괴(소각‧파쇄 등)
    2. 전용 소자장비를 이용하여 삭제
    3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행 (3회 이상 권고)

 

  ② 개인정보의 일부만을 파기하는 경우

   (저장중인 개인정보 중 보유기간이 경과한 일부 개인정보를 파기 등),

      제1항의 방법으로 파기하는 것이 어려울 때

[제14조] 재검토기한 
[부칙] 
[별표] 
[붙임] FAQ 
[참고] 안전조치 기준 적용 유형