(1) 법적 근거 및 목적 : 1조
1조 : 이 기준은 개인정보보호법 23조2항, 24조3항 및 29조, 개인정보보호법 시행령 21조 및 30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.
(2) 정의 : 2조
- 개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
| 유형 | 적용 대상 |
| 유형1 (완화) |
- 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 |
| 유형2 (표준) |
- 1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 - 10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관 - 100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업 |
| 유형3 (강화) |
- 10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관 - 100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체 |
- 개인정보처리시스템 : 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성된 시스템(엑셀, PC에 문서로 저장된 다량의 자료 제외, 개인정보가 저장된 DB, 개인정보가 처리되는 애플리케이션, 개인정보 DB와 연동되는 WAS 서버나 ERP 서버 등 해당)
- 위험도 분석 : 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별, 평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위해 종합적으로 분석하는 행위
- 비밀번호 : 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터, 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유 문자열로서 타인에게 공개되지 않는 정보
- 바이오정보(생체인식정보) : 지문,얼굴,홍채,음성,필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함
- 접속기록 : 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등이 계정,접속일시,접속지정보,처리한 정보주체 정보,수행업무 등을 전자적으로 기록한 것
- 내부망 : 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이 통제, 차단되는 구간
- 관리용 단말기 : 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기
(3) 내부관리계획 수립 및 시행 : 4조
4조 1항 : 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다.
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항
2항 : 유형1에 해당하는 개인정보처리자는 1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, 유형2에 해당하는 개인정보처리자는 1항12호부터 14호까지를 내부 관리계획에 포함하지 아니할 수 있다.
3항 : 개인정보처리자는 1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
4항 : 개인정보 보호책임자는 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연 1회 이상으로 점검·관리 하여야 한다.
- 내부관리계획은 가능한 경우 정기적으로 개정되어야 하며, 최고경영진의 내부 승인을 거쳐 전체 개인정보취급자에게 공표·배포 되는 것이 바람직하다. 최고경영진의 공식적인 승인은 단순한 요식행위가 아닌 개인정보보호의 중요성을 천명할 수 있는 중요한 의식이며, 이를 통해 개인정보보호의 가치를 대내·외에 알릴 수 있다.
- 개인정보 보호책임자는 개인정보보호법 31조(개인정보 보호책임자의 지정) 및 시행령 32조(개인정보 보호책임자의 업무 및 지정요건)에 따른다.
- 개인정보책임자 및 취급자를 대상으로 정기적으로 교육 실시하면 되고, 횟수에 대한 기준은 폐지했다.
- 일반적으로 개인정보처리시스템의 비밀번호 변경 주기는 6개월로 수립한다. 공공기관은 3개월 단위로 서버의 비밀번호 변경해야 한다. 집적정보통신시설의 시스템 관련 비밀번호는 1개월마다 변경해야 한다. 민간 기관의 경우 고객 인원에 상관없이 6개월마다 변경해야 한다.
- 비밀번호 규칙은 연속되는 알파벳이나 숫자 조합은 사용하지 않도록 하고, 영문자 숫자 특수문자를 3가지로 조합할 경우 8자리 이상, 2가지로 조합할 경우 10자리 이상으로 설정해야 한다.
- 위험도 분석의 한 항목이라도 충족되지 않을 경우, 고유식별정보 암호화해야 한다. 주민등록번호는 위험도 분석과 관계없이 암호화해야 한다.
- 위험도 분석 기준에 해당 사항이 없는 경우 '해당 없음' 항목에 체크하고, '예'로 적용한다. 위험도 분석 결과 보고서는 개인정보보호 책임자 또는 해당 부서장의 결제를 받고 보관한다. 위험도 분석 기준은 개인정보 파일 단위이다.
- 위험도 분석 이후 개인정보처리시스템 변경 시 재수행해야 할 기간은 지정되어 있지는 않으나 빠른 시일 내에 하는 것이 좋다.
- 개인정보 위험도 분석 결과 보고서 : 현황 조사(개인정보 파일 현황, 고유식별정보 현황, 네트워크 및 시스템 구성도) / 기관 기준 보호조치 현황(정책 기반 보호조치, 네트워크 기반 보호조치) / 개인정보처리시스템 기준 보호조치 현황(DB 및 애플리케이션 기반 보호조치, 웹 기반 보호조치) / 위험도 분석 결과(위험도 분석 점검에 의한 암호화 여부 판정 결과 등)
(4) 접근권한 관리 : 5조
5조 1항 : 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
2항 : 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
3항 : 개인정보처리자는 1항 및 2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
4항 : 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
5항 : 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
6항 : 개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.
7항 : 유형1에 해당하는 개인정보처리자는 1항 및 6항을 아니할 수 있다.
- 개인정보처리시스템의 사용자계정은 타인과 공유하여 사용할 수 없다. 이는 개인정보 처리내역에 대한 책임 추적성을 확보하기 위한 조치이다.
- 개인정보의 기술적, 관리적 보호조치 기준 4조에 따르면, 정보통신서비스 제공자 등은 접근권한 변경 또는 말소 기록을 최소 5년간 보관한다는 점에서 차이가 있다.
(5) 접근통제 : 6조
6조 1항 : 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP 주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
2항 : 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 안전한 접속수단(VPN,전용선 등)을 적용하거나 안전한 인증수단(PKI,보안토큰,OTP 등)을 적용하여야 한다.
3항 : 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
4항 : 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
5항 : 개인정보처리자는 개인정보처리시스템이 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
6항 : 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제나 보안 프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
7항 : 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
8항 : 유형1에 해당하는 개인정보처리자는 2항, 4항, 5항의 조치를 아니할 수 있다.
- DB 방화벽, 침입탐지시스템(IDS), 침입방지시스템(IPS), 웹방화벽, 보안 운영체제 등을 도입할 수 있다.
- 홈페이지 취약점 점검은 고유식별정보를 처리할 때만 필수로 명시되어 있다.
(6) 개인정보 암호화 : 7조
7조 1항 : 개인정보처리자는 고유식별정보, 비밀번호, 생체인식정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
2항 : 개인정보처리자는 비밀번호 및 생체인식정보를 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
3항 : 개인정보처리자는 인터넷 구간 및 인터넷 구간과 중간 지점(DMZ)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
4항 : 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 개인정보보호법 33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보
영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
5항 : 개인정보처리자는 1항, 2항, 3항, 4항에 따라 개인정보를 암호화하는 경우 안전한 암호 알고리즘으로 암호화하여 저장하여야 한다.
6항 : 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.
7항 : 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
8항 : 유형1 및 유형2에 해당하는 개인정보처리자는 6항을 아니할 수 있다.
- DMZ(Demilitarized Zone) : 물리적인 네트워크 구성에서 외부 네트워크(인터넷 구간)와 내부 네트워크(내부망) 사이에 위치한 중간지점으로 내부 시스템을 보호하기 위해 접근통제시스템으로 접근통제를 수행하여 인터넷으로부터의 접근과 내부망으로의 접근을 허용해주는 구간
- 비밀번호는 MD5, SHA-256, SHA-512 등의 암호화 알고리즘 적용한다(SHA-1은 불가).
- 콜센터 등 일반 민원상담시 저장되는 음성기록이나 일반 사진정보는 반드시 암호화 대상이 될 수는 없다고 명시
- 아이디 그 자체는 식별 정보로서 법적인 암호화 대상이 아니다.
(7) 접속기록 보관 및 점검 : 8조
8조 1항 : 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다.
2항 : 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
3항 : 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
- 접속기록은 개인정보처리시스템에 누가, 언제, 어떤 경로에서 접속하여 무엇을 했는지에 대한 정보를 자동화된 시스템으로 저장한 것이다.
- 개인정보 흐름도와 그룹웨어를 통해서는 개인정보 처리 오남용 여부를 직접적으로 확인 불가
- 개인정보 처리 오남용 여부 확인 자료 : 개인정보처리시스템 관리자 페이지 접속 로그(개별 ID의 로그인 기록 확인), 개인정보취급자 권한 부여 관리대장(조회, 삭제 등 권한 확인), WAS 서버 애플리케이션 Access 로그(개별 ID, IP의 애플리케이션 접속 시간 확인), DB 접근제어 솔루션(개별 ID, IP의 DB 접속 시간 확인), 개인정보 파일 검색 시스템(특정 PC에 저장된 개인정보 파일 검색, 로그 확인)
(8) 악성프로그램 등 방지 : 9조
9조 : 개인정보처리자는 악성프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신 상태로
유지
2. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의
제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시
3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
(9) 관리용 단말기 안전조치 : 10조
10조 : 개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.
1. 인가받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
2. 본래 목적 외로 사용되지 않도록 조치
3. 악성프로그램 감염 방지 등을 위한 보안조치 적용
(10) 물리적 안전조치 : 11조
11조 1항 : 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립·운영하여야 한다.
2항 : 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
3항 : 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.
(11) 재해, 재난 대비 안전조치 : 12조
12조 1항 : 개인정보처리자는 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
2항 : 개인정보처리자는 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.
3항 : 유형1 및 유형2에 해당하는 개인정보처리자는 1항, 2항의 조치를 이행하지 아니할 수 있다.
(12) 개인정보 파기 : 13조
13조 1항 : 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
1. 완전파괴(소각·파쇄 등)
2. 전용 소자장비(Degausser)를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
2항 : 개인정보처리자는 개인정보의 일부만을 파기하는 경우, 1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
2. 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제
- 개인정보 파기시 빠른 포맷하면 추후 복구될 수 있으므로 완전 포맷(3회 이상 권고), 데이터 영역에 무작위 값, 0, 1 등으로 덮어쓰기(3회 이상 권고), 해당 드라이브를 안전한 알고리즘으로 암호화하여 저장한 후 삭제하고 키는 완전 폐기 및 무작위 값 덮어쓰기 등 방법 사용 권고
