개인정보의 보호 기준에는 개인정보의 안전성 확보조치 기준, 개인정보의 기술적·관리적 보호조치 기준
이렇게 크게 두 가지의 기준이 존재합니다.
1. 개인정보의 안전성 확보조치 기준 (링크)
2. 개인정보의 기술적·관리적 보호조치 기준 (링크)
두 기준의 가장 큰 차이점은 개인정보의 '기술적·관리적 보호조치 기준'은 "정보통신서비스 제공자 등"에 해당하는 개인정보처리자에게 적용되고 '개인정보의 안전성 확보조치 기준'은 "개인정보처리자" 모두에게 적용된다는 점입니다.
오늘 포스팅에서는 이 두 가지의 기준이 어떻게 다른지에 대해 다루겠습니다.
[차이점 찾기: 개인정보의 안전성 확보조치 기준 vs 개인정보의 기술적·관리적 보호조치 기준]
1. 기준 적용 대상
서두에서도 언급했듯이 두 기준의 가장 큰 차이점은 개인정보의 '기술적·관리적 보호조치 기준'은 "정보통신서비스 제공자 등"에 해당하는 개인정보처리자에게 적용됩니다.
'개인정보의 안전성 확보조치 기준'은 개인정보처리자 모두에게 적용됩니다. 하지만 "정보통신서비스 제공자 등"은 '기술적·관리적 보호조치 기준' 적용이 우선되어, 동일한 조항이 있을 경우 '기술적·관리적 보호조치 기준' 을 따릅니다.
개인정보의 안전성 확보조치 기준 | 개인정보의 기술적·관리적 보호조치 기준 |
개인정보처리자 | '정보통신서비스 제공자 등'에 해당하는 개인정보처리자 |
2. 내부 관리계획 구성
개인정보의 분실·도난·유출·위조·변조·훼손을 방지하기 위해 내부 관리계획을 수행해야 합니다. 두 개의 기준은 상당수 동일한 조항을 갖고 있지만, '12. 위험도 분석 및 대응방안 마련에 관한 사항, 13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항'에 대한 내용은 개인정보의 안전성 확보조치 기준에만 존재합니다.
개인정보의 안전성 확보조치 기준 | 개인정보의 기술적·관리적 보호조치 기준 |
1. 개인정보 보호책임자의 지정에 관한 사항 2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 3. 개인정보취급자에 대한 교육에 관한 사항 4. 접근 권한의 관리에 관한 사항 5. 접근 통제에 관한 사항 6. 개인정보의 암호화 조치에 관한 사항 7. 접속기록 보관 및 점검에 관한 사항 8. 악성프로그램 등 방지에 관한 사항 9. 물리적 안전조치에 관한 사항 10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항 11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항 12. 위험도 분석 및 대응방안 마련에 관한 사항 13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 15. 그 밖에 개인정보 보호를 위하여 필요한 사항 | 1. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항 2. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항 3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항 4. 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항 5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 6. 개인정보의 분실·도난·유출·위조·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항 7. 그 밖에 개인정보보호를 위해 필요한 사항
제4조(접근통제) 제5조(접속기록의 위·변조방지) 제6조(개인정보의 암호화) 제7조(악성프로그램 방지) 제8조(물리적 접근 방지) |
2.1 (개인정보의 안전성 확보조치 기준 적용대상의 경우)12. 위험도 분석 및 대응방안 마련에 관한 사항
위험도 분석은 '개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위'입니다.
위험도 분석은 개인정보파일 단위로 분석하고 결과보고서를 작성하며, 개인정보파일을 위탁한 경우에는 위탁기관이 위험도 분석 결과보고서를 작성합니다. 위험도 분석은 최초 분석 이후에 개인정보처리시스템을 증설하거나, 내․외부망과 연계하거나, 기타 운영환경이 변경된 경우에도 지속적으로 실시하여야 합니다
위험도 분석에 대한 평가방법에 대해서는 '[4] 개인정보 위험도 분석 기준 및 해설서에 자세히 기술되어있습니다.
2.2 (개인정보의 안전성 확보조치 기준 적용대상의 경우)13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
개인정보의 안전성 확보조치 기준에는 "재해 및 재난 대비"로부터 개인정보처리시스템의 물리적 안전조치에 관한 조항이 존재합니다.
제12조(재해·재난 대비 안전조치) ① 개인정보처리자는 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
② 개인정보처리자는 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.
③ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제1항부터 제2항까지 조치를 이행하지 아니할 수 있다.
따라서, 재해 및 재난으로부터 개인정보처리시스템을 보호하기 위해 백업 및 복구 계획, 그리고 위기대응 매뉴얼을 작성하고 정기적으로 점검하는 것이 의무입니다. 점검에는 정기적으로 변경된 시스템 및 환경에 따라 매뉴얼을 업데이트하고 재난복구훈련을 수행하는 것이 포함됩니다.
3. 접근권한 변경(부여,변경,말소) 기록 보존기간
개인정보처리자 그리고 정보통신서비스 제공자 등은 개인정보처리시스템에 대한 접근권한에 변경(권한 부여, 변경 또는 말소)이 발생하는 경우 해당 기록을 보존해야 하는 의무가 있습니다. 단, 개인정보의 안전성 확보조치 기준에서는 최소 3년이지만 개인정보의 기술적·관리적 보호조치 기준에 적용될 경우 최소 5년간 보존이 필요합니다.
개인정보의 안전성 확보조치 기준 | 개인정보의 기술적·관리적 보호조치 기준 |
최소 3년 | 최소 5년 |
4. 개인정보의 암호화 대상
각 기준에서는 개인정보처리자가 암호화된 개인정보를 안전하게 보관하기 위하여 저장시 암호화해야하는 항목을 지정했습니다. 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 바이오정보, 비밀번호가 이에 해당됩니다. 개인정보의 기술적·관리적 보호조치 기준에서는 신용카드번호와 계좌번호를 암호화해야하는 대상으로 추가 지정했습니다.
개인정보의 안전성 확보조치 기준 | 개인정보의 기술적·관리적 보호조치 기준 |
1. 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가 해당)
2. 바이오정보
3. 비밀번호 | 1. 주민등록번호 2. 여권번호 3. 운전면허번호 4. 외국인등록번호
5. 신용카드번호 6. 계좌번호 7. 바이오정보 |
5. 개인정보처리시스템 접속기록 보존기간
두 기준에 의거해서 개인정보처리자는 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존·관리하여야 합니다. 단, 개인정보의 안전성 확보조치 기준에서는 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리할 것을 명시했습니다.
개인정보의 안전성 확보조치 기준 | 개인정보의 기술적·관리적 보호조치 기준 |
개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리
- 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리 | 개인정보처리시스템에 접속한 기록을 최소 1년 이상 보존·관리 |
개인정보의 기술적·관리적 보호조치 기준에만 존재하는 보호기준이 세 가지 존재합니다.
6. 출력·복사시 보호조치
첫 번째는 출력·복사시 보호조치로입니다. 개인정보를 출력 할 경우 용도에 따라 최소화해야 하며, 안전하게 관리하기 위해 출력 및 복사기록을 보존하는 등의 보호조치가 별도로 필요합니다.
개인정보의 안전성 확보조치 기준 | 개인정보의 기술적·관리적 보호조치 기준 |
| 관련 내용 없음 | ① 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보의 출력시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 한다.
② 정보통신서비스 제공자등은 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 출력·복사 기록 등 필요한 보호조치를 갖추어야 한다. |
7. 개인정보 표시 제한 보호조치
두 번째로 개인정보의 기술적·관리적 보호조치 기준에만 존재하는 보호기준입니다. 개인정보보호를 위해 개인정보를 조회하거나 출력하는 경우 등에서는 가능한 경우 개인정보를 마스킹하여 표시제한해야 합니다.
개인정보의 안전성 확보조치 기준 | 개인정보의 기술적·관리적 보호조치 기준 |
| 관련 내용 없음 | 정보통신서비스 제공자등은 개인정보 업무처리를 목적으로 개인정보의 조회, 출력 등의 업무를 수행하는 과정에서 개인정보보호를 위하여 개인정보를 마스킹하여 표시제한 조치를 취할 수 있다. |
8. 망분리 대상 정의
마지막 망분리 대상입니다. 개인정보의 기술적·관리적 보호조치 기준에는 망분리 대상자에 대해 구체적인 기준을 명시했습니다.
하지만 개인정보의 안전성 확보조치 기준에는 망분리에 대한 내용은 존재하나 망분리 대상자 기준은 명시되어 있지 않습니다.
* 개인정보의 기술적·관리적 보호조치 기준 > 망분리 대상자
– 전년도말 기준 직전 3개월간 개인정보가 저장․관리되고 있는 이용자수가 일일평균 100만명 이상
– 정보통신서비스 부문 전년도(전 사업년도) 매출액이 100억원 이상
– 개인정보 다운로드 가능자
– 개인 정보 파기 가능자
– 개인정보 접근권한 설정 가능자
개인정보의 안전성 확보조치 기준 | 개인정보의 기술적·관리적 보호조치 기준 |
| 관련 내용 없음 | 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다. |
지금까지 잘 따라오셨나요? 이 글을 끝까지 읽으셨다면 여러분들은 두 가지 기준에 대해 상당한 이해를 갖고 계실겁니다. 아니라구요? 스스로를 믿으세요.
다소 까다로운 내용인데 끝까지 따라와주셔서 감사합니다 !
----
[1] 개인정보 보호법
http://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%20%EB%B3%B4%ED%98%B8%EB%B2%95
[2] (개인정보보호위원회) 개인정보의 안전성 확보조치 기준
http://www.law.go.kr/LSW//admRulLsInfoP.do?admRulSeq=2100000192069
[3] (개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준
http://www.law.go.kr/LSW//admRulLsInfoP.do?admRulSeq=2100000192070
[4] 개인정보 위험도 분석 기준 및 해설서
http://law.go.kr/admRulInfoP.do?admRulSeq=2000000073638&vSct=%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8
