개인정보 생명주기 관리 - 개인정보 기술적·관리적 보호조치

11.개인정보 기술적·관리적 보호조치

■■■ 개인정보보호법 ■■■ 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.

 

■■■ 정보통신망법 ■■■ 제28조(개인정보의 보호조치) ①정보통신서비스제공자등은 이용자의 개인정보를 취급함에 있어서 개인정보가 분실·도난·누출·변조 또는 훼손되지 아니하도록 정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 조치를 하여야 한다.

 

벌칙 규정	벌칙
안전성 확보에 필요한 보호조치를 취하지 않아 개인정보를 도난·유출·변조 또는 훼손당하거나 분실한 자	2년 이하 징역 또는 1천 만원 이하 벌금
안전성 확보에 필요한 조치의무 불이행	3천 만원 이하 과태료

 

○ (관리적 조치) 개인정보의 안전성 확보에 필요한 관리적 조치는 아래와 같다.

① 개인정보의 안전한 취급을 위한 내부 관리계획의 수립 및 시행

- 개인정보 내부 관리계획의 수립 및 승인에 관한 사항

- 개인정보관리책임자의 자격요건 및 지정에 관한 사항

- 개인정보취급자의 교육에 관한 사항

- 개인정보의 기술적·관리적 보호조치 이행여부의 내부 점검에 관한 사항

- 그 밖에 개인정보보호를 위해 필요한 사항

② 개인정보관리책임자의 의무와 책임을 규정한 내부 지침 마련

- 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항

- 개인정보보호의무 위반시 징벌에 관한 사항

③ 개인정보의 안전한 보관을 위한 잠금장치 등 물리적 접근방지 조치

- 제한구역 설정 및 허가받지 않은 자에 대한 통제

- 중요문서 접근 인가자 관리 및 안전한 시건장치 관리 등

④ 개인정보보호를 위한 정기적인 자체 감사 실시

- 개인정보보호 실태에 대한 감사절차(대상, 목적범위, 절차, 일정 등)에 관한 사항

- 감사결과에 따른 개선조치 이행에 관한 사항

⑤ 그 밖에 개인정보의 안전성 확보에 필요한 관리적 보호조치

 

○ (기술적 조치) 개인정보의 안전성 확보에 필요한 기술적 조치는 아래와 같다.

① 개인정보에 대한 접근 권한을 확인하기 위한 식별 및 인증 조치

- 개인정보처리시스템에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행

- 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영

- 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치

② 개인정보에 대한 권한 없는 접근을 차단하기 위한 암호화와 방화벽 설치 등의 조치

- 개인정보처리시스템에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 및 침입탐지시스템의 설치·운영

- 개인정보의 저장·전송 등 취급시 암호화 조치

③ 접속기록의 위·변조 방지를 위한 조치

- 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속 일시, 처리내역 등의 저장 및 이의 확인·감독

- 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관

④ 침해사고 방지를 위한 보안프로그램의 설치 및 운영

- 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투여부를 항시 점검하고 치료할 수 있는 백신소프트웨어 설치 및 주기적인 갱신·점검

⑤ 그 밖에 개인정보의 안전성 확보에 필요한 기술적 보호조치

<알아두기> 방송통신위원회는 사업자의 개인정보 기술적·관리적 조치 이행을 지원하기 위해 “개인정보의 기술적·관리적 보호조치 기준”을 개정하여 고시할 예정이다. 주요 내용은 아래와 같다. - 개인정보취급자가 사용하는 시스템 비밀번호 작성규칙 세부내용 - 접속기록 위변조 확인을 위해 접속기록 최소 6개월 보존 의무화 - 주민등록번호 및 계좌번호 등 금융정보의 암호화 저장 - 개인정보 표시제한 보호조치 보다 자세한 내용은 방송통신위원회의 「기술적·관리적 보호조치 기준」과 「기술적·관리적 보호조치 기준 해설서」를 참고하기 바란다. ※ 참조 사이트 - 방송통신위원회 홈페이지(www.kcc.go.kr) - 한국인터넷진흥원 홈페이지(www.1336.or.kr)