제1조(목적) 이 기준은 「개인정보 보호법」(이하 “법”이라 한다.) 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다.) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실․도난․유출․변조․훼손되지 아니하도록 안전성을 확보하기 위하여 취하여야 하는 세부적인 기준을 정하는 것을 목적으로 한다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
2. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
3. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
4. “소상공인”이란 「소기업 및 소상공인 지원을 위한 특별조치법 시행령」제2조에 해당하는 자를 말한다.
5. “중소사업자”란 상시 근로자 수가 5인 이상 50인 미만인 개인정보처리자를 말한다. 다만 「소기업 및 소상공인 지원을 위한 특별조치법 시행령」제2조제1항제1호에 따른 광업․제조업․건설업 및 운수업의 경우에는 상시근로자 수가 10인 이상 50인 미만인 개인정보처리자를 말한다.
6. “개인정보 보호책임자”라 함은 개인정보의 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항제1호 및 제2호에 해당하는 자를 말한다.
7. “개인정보취급자”란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등을 말한다.
8. “정보통신망”이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다.
9. “개인정보처리시스템”이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다. 다만 소상공인 또는 중소사업자가 내부 직원의 개인정보만을 보유한 시스템은 제외한다.
10. “내부망”이라 함은 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.
11. “내부관리계획”이란 개인정보처리자가 개인정보를 안전하게 처리하기 위하여 내부 의사결정절차를 통하여 수립․시행하는 내부 기준을 말한다.
12. “비밀번호”라 함은 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
13. “접속기록”이라 함은 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속자를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.
14. “바이오정보”라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
15. “P2P(Peer to Peer)”라 함은 정보통신망을 통해 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.
16. “공유설정”이라 함은 컴퓨터 소유자의 파일을 타인이 조회·변경·복사 등을 할 수 있도록 설정하는 것을 말한다.
17. “보조저장매체”라 함은 이동형 하드디스크(HDD), USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 분리할 수 있는 저장매체를 말한다.
18. “위험도 분석”이란 개인정보처리시스템에 적용되고 있는 개인정보보호를 위한 수단과 유출시 정보주체의 권리를 해할 가능성과 그 위험의 정도를 분석하는 행위를 말한다.
제3조(내부관리계획의 수립․시행) ① 개인정보처리자는 개인정보의 안전한 처리를 위하여 다음 각 호의 사항을 포함하는 내부관리계획을 수립․시행하여야 한다.
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보의 안전성 확보에 필요한 조치에 관한 사항
4. 개인정보취급자에 대한 교육에 관한 사항
5. 그 밖에 개인정보 보호를 위하여 필요한 사항
② 소상공인은 제1항에 따른 내부관리계획을 수립하지 아니할 수 있다.
③ 개인정보처리자는 제1항 각호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
제4조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
제5조(비밀번호 관리) 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
제6조(접근통제 시스템 설치 및 운영) ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치․운영하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN: Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하여야 한다.
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치를 취하여야 한다.
④ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터만을 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터의 운영체제(OS: Operating System)나 보안프로그램 등에서 제공하는 접근통제 기능을 이용할 수 있다.
제7조(개인정보의 암호화) ① 영 제21조 및 영 제30조제1항제3호에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다.
② 개인정보처리자는 제1항에 따른 개인정보를 정보통신망을 통하여 송․수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
③ 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
④ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ: Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
⑤ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 위험도 분석에 따른 결과
⑥ 개인정보처리자는 제1항에 따른 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑦ 개인정보처리자는 제3항, 제4항 및 제5항에 따른 개인정보 저장시 암호화를 적용하는 경우, 이 기준 시행일로부터 3개월 이내에 다음 각 호의 사항을 포함하는 암호화 계획을 수립하고, 2012년 12월 31일까지 암호화를 적용하여야 한다. 단 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ: Demilitarized Zone)에 고유식별정보를 저장하는 경우 위험도 분석과 관계없이 암호화를 적용하여야 한다.
1. 개인정보의 저장 현황분석
2. 개인정보의 저장에 따른 위험도 분석절차(또는 영향평가 절차) 및 방법
3. 암호화 추진 일정 등
⑧ 개인정보처리자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
제8조(접속기록의 보관 및 위․변조방지) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리하여야 한다.
② 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
제9조(보안프로그램 설치 및 운영) 개인정보처리자는 악성 프로그램 등을 방지․치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치․운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시
2. 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시
제10조(물리적 접근 방지) ① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립․운영하여야 한다.
② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
부칙
제1조 이 기준은 고시한 날부터 시행한다.
제2조(영상정보처리기기에 대한 안전성 확보조치의 적용 제외) 영상정보처리기기에 대한 안전성 확보조치에 대해서는 「표준 개인정보 보호지침」 중에서 영상정보처리기기 설치․운영 기준이 정하는 바에 따른다.
제3조(전산센터, 클라우드컴퓨팅센터 등의 운영환경에서의 안전조치) 개인정보처리자가 전산센터(IDC: Internet Data Center), 클라우드컴퓨팅센터(Cloud Computing Center) 등에 계약을 통해 하드웨어, 소프트웨어 등을 임차 또는 임대하여 개인정보를 처리하는 경우에는 계약서 또는 서비스수준협약서(SLA: Service Level Agreement)에 이 기준에 준하는 수준의 안전조치 내용이 포함되어 있으면 이 기준을 이행한 것으로 본다.
2) 개인정보의 안전성 확보조치 조문별 해설
(1) 목적
제1조(목적) 이 기준은 「개인정보 보호법」(이하 “법”이라 한다.) 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다.) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실․도난․유출․변조․훼손되지 아니하도록 안전성을 확보하기 위하여 취하여야 하는 세부적인 기준을 정하는 것을 목적으로 한다.
■ 개인정보 보호법 제24조 제3항 및 제29조와 같은 법 시행령 제21조 및 제30조에 근거한 기준으로서, 법률 및 시행령의 규정을 구체화하여 개인정보가 분실․도난․유출․변조․훼손 등이 되지 아니하도록 안전성을 확보하기 위한 세부적 기준 제시를 목적으로 한다.
■ 이 기준은 모든 개인정보처리자에게 적용된다. 따라서 업무를 목적으로 개인정보를 처리하는 모든 공공기관, 법인, 단체 및 개인 등은 이 기준을 준수하여 개인정보의 안전성 확보에 필요한 조치를 이행하여야 한다.
․개인정보 보호법 제2조에서 “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등으로 정의함
- 개인정보 보호법은 개인정보보호를 위한 일반법이므로 개인정보를 수집, 이용, 제공 등 처리하는 모든 자에 적용될 수 있도록 ‘개인정보처리자’의 개념을 폭넓게 정의
: 공공기관, 영리목적의 민간분야 사업자, 협회·동창회 등 비영리 기관·단체를 모두 포괄
※ 예시: 중앙행정기관, 중앙선거관리위원회·국회 등 헌법기관, 정유사, 대형마트, 비디오대여점, 렌트카업체, 부동산중개업자, 자동차매매업자, 학교, 보험회사, 은행, 통신사, 여행사, 항공사, 호텔, 학원, 협회, 동창회, 동호회 등
- 사적인 영역에서의 개인정보 처리는 배제하기 위하여 판례상 확립된 ‘업무상 목적’으로 ‘개인정보파일을 운용하기 위하여’ 개인정보를 처리하는 자로 한정
※ 예시: 사적인 친분관계를 위하여 개인이 휴대폰에 저장한 연락처정보, 이메일 주소록 등
(2) 정의
■ 법 제2조(정의)에서 정의한 용어 이외에 같은 법 시행령과 「개인정보의 안전성 확보조치 기준」의 신규 용어에 대한 해석상의 혼란을 방지하기 위함이다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
■ “정보주체”는 처리되는 정보에 의하여 알아볼 수 있는 사람으로서, 개인정보 보호법에 의해 보호대상이 되는 존재를 말한다.
2. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
■ “개인정보파일”은 개인의 이름이나 고유식별자 등을 사용하여 색인·분류되어 있는 등 일정한 기준에 따라 쉽게 개인정보를 검색할 수 있도록 체계적으로 배열 또는 구성된 개인정보의 집합물을 말한다.
3. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
■ “개인정보처리자”란 법 제2조제5호에 따라 개인정보를 처리하는 모든 공공기관, 영리목적의 사업자, 협회ㆍ동창회 등 비영리기관ㆍ단체, 개인 등을 말한다.
■ “개인정보 처리”란 개인정보를 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
■ “공공기관”이란 법 제2조제6호 및 시행령 제2조에 따른 기관을 말한다.
| 개인정보보호법 제2조제6호 제2조(정의) 이법에서 사용하는 용어의 정의는 다음과 같다. 6. “공공기관”이란 다음 각 목의 기관을 말한다. 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체 나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관 |
4. “소상공인”이란 「소기업 및 소상공인 지원을 위한 특별조치법 시행령」제2조에 해당하는 자를 말한다.
■ “소상공인”은 “소기업 및 소상공인 지원을 위한 특별조치법”의 제2조제2호에서 정의하고 있는 사업자로서, ‘광업․제조업․건설업 및 운수업’의 경우에는 10인 미만의 사업자, 그 외의 업종의 경우에는 5인 미만의 사업자를 말한다.
| 소기업 및 소상공인 지원을 위한 특별조치법 제2조제2호 제2조(정의) 이법에서 사용하는 용어의 정의는 다음과 같다. <개정 2005.12.23> 1. “소기업”이라 함은 중소기업기본법 제2조제2항의 규정에 의한 소기업을 말한다. 2. “소상공인”이라 함은 소기업중 상시근로자 10인 미만의 사업자로서 업종별 상시근로자수 등이 대통령령이 정하는 기준에 해당하는 자를 말한다. |
| 소기업 및 소상공인 지원을 위한 특별조치법 시행령 제2조 제2조(소상공인의 범위 등) ① 「소기업 및 소상공인 지원을 위한 특별조치법」(이하 “법”이라 한다.) 제2조 제2호에서 “업종별 상시근로자수 등이 대통령령이 정하는 기준에 해당하는 자”라 함은 주된 사업에 종사하는 상시근로자의 수가 다음 각호의 1에 해당하는 사업자를 말한다. <개정 2005.3.23> 1. 광업․제조업․건설업 및 운수업의 경우에는 10인 미만 2. 제1호외의 업종의 경우에는 5인 미만 ② 제1항의 규정에 의한 주된 사업의 기준과 상시근로자의 범위 및 그 산정방법에 관하여는 「중소기업기본법 시행령」제4조 및 제5조의 규정을 준용한다. <개정 2007.9.10> ③ 중소기업청장은 소기업 또는 소상공인에 해당하는지 여부에 대한 확인을 위하여 필요하다고 인정하는 경우에는 그 확인방법 및 절차에 관한 사항을 따로 정하여 고시할 수 있다. [전문개정 2001.9.27] |
5. “중소사업자”란 상시 근로자 수가 5인 이상 50인 미만인 개인정보처리자를 말한다. 다만 「소기업 및 소상공인 지원을 위한 특별조치법 시행령」제2조제1항제1호에 따른 광업․제조업․건설업 및 운수업의 경우에는 상시근로자 수가 10인 이상 50인 미만인 개인정보처리자를 말한다.
| 중소기업기본법 시행령 제4조 및 제5조 제4조(주된 사업의 기준) 하나의 기업이 둘 이상의 서로 다른 사업을 영위하는 경우에는 제7조에 따라 산정한 매출액 중 매출액의 비중이 가장 큰 사업을 주된 사업으로 본다. 제5조(상시 근로자) ① 제3조제1호에 따른 상시 근로자는 「근로기준법」제2조제1항제1호에 따른 근로자 중 다음 각 호의 어느 하나에 해당하는 자를 제외한 자를 말한다. 1. 일용근로자 2. 3개월 이내의 기간을 정하여 근로하는 자 3. 「기술개발촉진법」제7조제1항제2호에 따른 기업부설연구소의 연구전담요원 ② 제1항에 따른 상시 근로자 수는 다음 각 호의 방법에 따라 산정한다. 1. 직전 사업연도의 사업기간이 12개월 이상인 기업: 직전 사업연도의 매월 말일 현재의 상시 근로자 수를 합하여 12로 나눈 인원 2. 전년도 또는 해당 연도에 창업하거나 합병한 기업으로서 제1호에 해당하지 아니하는 기업: 다음 각 목에 따라 산정한 인원 가. 창업하거나 합병한 지 12개월 이상인 기업: 산정일이 속하는 달부터 소급하여 12개월이 되는 달까지의 기간의 매월 말일 현재의 상시 근로자 수를 합하여 12로 나눈 인원 나. 창업하거나 합병한 지 12개월 미만인 기업: 창업일이나 합병일이 속하는 달부터 산정일까지의 기간의 매월 말일 현재의 상시 근로자 수를 합하여 해당 월수로 나눈 인원 |
6. “개인정보 보호책임자”라 함은 개인정보의 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항 제1호 및 제2호에 해당하는 자를 말한다.
■ “개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자로서, 법 제31조와 시행령 제32조에 따른 지위에 해당하는 자를 말한다.
■ 법령에서 특정한 지위를 갖는 자가 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정 하도록 정하고 있는 것은 사내의 중요 의사결정을 수행하는 중역으로서 개인정보 보호 요구사항을 적극적으로 반영할 수 있도록 하기 위함이다.
7. “개인정보 취급자”란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등을 말한다.
■ “개인정보취급자”란 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 말한다.
※ ‘개인정보취급자’는 기업․단체,․공공기관의 임직원, 외부기관에서 또는 외부기관으로 파견된 근로자, 계약직원, 아르바이트 직원 등의 시간제근로자 등이 해당될 수 있다
8. “정보통신망”이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다.
■ 정보통신망은 전기통신기본법 제2조제2호에 따라 전기통신을 하기 위한 기계․기구․선로 등 기타 전기통신에 필요한 설비를 이용하거나 컴퓨터 및 컴퓨터 이용기술을 활용하여 정보를 수집․가공․저장․검색․송신 또는 수신하는 정보통신체계를 의미한다.
9. “개인정보처리시스템”이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다. 다만 소상공인 또는 중소사업자가 고객의 개인정보를 보유하지 않고 내부 직원의 개인정보만을 보유한 시스템은 제외한다.
■ “개인정보처리시스템”이란 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.
■ 개인정보처리시스템은 일반적으로 개인정보의 체계적인 처리를 위한 DBMS(Database Management System)을 말한다.
․PC, 노트북과 같은 업무용 컴퓨터는 개인정보처리시스템에서 제외된다.
10. “내부망”이라 함은 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.
■ “내부망”이란 인터넷 구간과 물리적으로 망이 분리 되어 있거나, 비인가된 불법적인 접근을 차단하는 기능 등을 가진 접근통제시스템에 의하여 인터넷 구간에서의 직접 접근이 불가능하도록 통제․차단되어 있는 구간을 말한다.
예시) 내부망 구성도 1
예시) 내부망 구성도 2
11. “내부관리계획”이란 개인정보처리자가 개인정보를 안전하게 처리하기 위하여 내부 의사결정절차를 통하여 수립․시행하는 내부 기준을 말한다.
■ ‘내부관리계획’은 개인정보처리자가 정보주체의 개인정보를 보호하기 위하여 수립하는 것으로 기본 지침 또는 계획을 의미합니다. 내부관리계획에는 사업자가 취급하는 개인정보가 분실․도난․누출․변조 또는 훼손되지 아니하도록 안전성을 확보하기 위한 개인 정보보호 교육․감사 등 개인정보보호 활동에 대한 조직 내부의 개인정보 관리내용 등을 포함하여야 한다.
12. “비밀번호”라 함은 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
■ ‘비밀번호’는 허가 없이 개인정보처리시스템 또는 업무용 컴퓨터에 인가된 사용자만 접속할 수 있도록 하기위한 대책의 한 가지로서, 정보주체 또는 개인정보취급자가 컴퓨터 시스템 또는 통신망에 접속할 때 사용자 ID와 함께 입력하여 정당한 사용자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열이다. 회원제로 운영되는 온라인 정보 서비스의 경우, 비밀번호가 없으면 이용할 수 없으며, 서비스 제공자는 입력된 사용자 ID와 비밀번호를 시스템에 등록되어 있는 것과 대조하여 일치해야 접속을 허용하게 된다.
■ ‘타인에게 공개되지 않는 정보’의 의미는 개인정보취급자 중 계정관리자라 할지라도 정보주체 및 개인정보취급자의 비밀번호를 알 수 있는 형태로 관리되어서는 안 된다는 것이다. 비밀번호가 알 수 있는 형태로 관리되는 경우 해당 정보에 접근할 수 있는 내부자, 해커 등의 외부공격자 등에 의한 도용이 가능하기 때문이다.
13. “접속기록”이라 함은 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속자를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.
■ ‘접속기록’은 개인정보취급자, 개인정보처리자 등이 개인정보처리시스템에 접속하여 운영하였던 이력정보로서, 시스템 식별․인증 정보(일시, 컴퓨터․IP 명, 접속지역, ID 등), 서비스 이용정보(생성, 수정, 삭제, 검색, 출력 등) 등이 개인정보처리시스템에 있는 로그 파일에 자동으로 기록되는 것이다.
■ ‘접속하여 수행한 업무 내역’이라 함은 정보주체 또는 개인정보취급자가 개인정보처리시스템을 이용하여 수행한 업무를 알 수 있는 정보이다. 정보주체 측면에서는 자신의 개인정보 조회, 수정, 탈퇴 등의 업무를 의미한다. 개인정보처리자 측면에서는 정보주체의 개인정보를 서비스 제공을 위해 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄) 등의 업무를 의미한다.
■ '식별자, 접속일시, 접속지를 알 수 있는 정보'는 접속한 사실을 확인하는데 필요한 정보를 말합니다. 개인정보 취급자의 사용자 계정 또는 사용자명 등이 식별자에 해당하며, 접속일시는 접속한 시점 또는 업무를 수행한 시점의 "년-월-일, 시:분:초"가 해당됩니다. 접속지를 알 수 있는 정보로는 개인정보처리시스템에 접속한 자의 PC 또는 서버의 IP 주소를 의미하며, 접속기록상의 "수행업무"는 개인정보에 대한 수집, 보관, 처리, 제공, 파기 중 어떤 행위를 수행했는지를 알 수 있는 로그정보 등 구체적인 접속정보를 의미한다.
․IP 주소(Internet Protocol address, 인터넷 규약주소)는 컴퓨터 네트워크에서 장치들이 서로를 인식하고 통신을 하기 위해서 사용하는 특수한 번호
■ ‘전자적으로 기록한 것’의 의미는 개인정보취급자가 수기로 작성한 문서가 아니라 시스템 로그와 같이 자동적으로 기록된 정보를 의미한다.
14. “바이오정보”라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
■ 지문, 얼굴, 홍채, 정맥, 음성, 필적 등의 바이오정보는 각 개인마다 고유의 특징을 가지기 때문에 개인을 식별하는 정보로 사용되며, 이러한 바이오정보는 신체적 특징과 행동적 특징을 기반으로 생성된 정보로 다음과 같은 것들이 있다.
- 신체적 특징: 지문, 얼굴, 홍채, 정맥, 음성, 망막, 손 모양, 손가락 모양, 열상 등
- 행동적 특징: 필적, 키보드 타이핑, 입술 움직임, 걸음걸이 등
■ 바이오정보는 사람의 신체적 또는 행동적 특징을 입력장치를 통해 최초로 수집되어 가공되지 않은 ‘원본정보’와 그 중 특정 알고리즘을 통해 특징만을 추출하여 생성된 ‘특징정보’로 구분된다.
15. “P2P(Peer to Peer)”라 함은 정보통신망을 통해 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.
■ ‘P2P'는 PC대 PC, 개인대 개인처럼 서버를 거치지 않고 일대일 통신을 하는 관계를 의미한다. 인터넷에서는 주로 개인들간의 파일 공유 수단으로서 PC와 PC를 상호 공유토록 연결해 주는 것을 의미하는데 중앙의 서버가 콘텐츠 정보를 가지고 있지 않고 단지 개인간 접속과 공유를 위한 도구를 제공하는 방식, 그리고 서버가 콘텐츠 정보를 여러 사람이 공유하도록 지원하는 다대다의 구성 방식 등이 있다.
■ ‘개인이 직접 연결되어’는 파일을 보유하고 있는 참여자와 파일을 갖고자 하는 참여자가 직접 연결된 상태를 의미한다.
16. “공유설정”이라 함은 컴퓨터 소유자의 파일을 타인이 조회·변경·복사 등을 할 수 있도록 설정하는 것을 말한다.
■ “공유설정”은 복수의 사용자가 네트워크상에서 공용 서버 또는 컴퓨터에 저장되어 있는 파일들을 요구, 열람, 변경하는 컴퓨터 파일 사용 방법을 의미한다. 하나의 파일이 복수의 다른 프로그램이나 다른 기종(機種)의 컴퓨터에서 사용될 때에는 파일 공유를 위하여 상호 접속 가능한 형식으로의 변환을 필요로 하는 경우가 있다. 하나의 파일이 다수의 사용자에 의해 공용될 때에는 파일 암호화 또는 이용자 제한, 파일의 동시 변경을 금지하기 위한 파일 잠금(file locking)과 같은 수단으로 파일에 대한 접근을 규제할 수 있다.
■ ‘컴퓨터 소유자의 파일을 타인이 조회․변경․복사 등을 할 수 있도록’의 의미는 컴퓨터 소유자가 파일을 사용하는 권한이나 시간이 다르므로 타인이 해당 파일을 조회, 변경, 복사 등을 할 수 있도록 설정하는 것이다.
17. “보조저장매체”라 함은 이동형 하드디스크(HDD), USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 분리할 수 있는 저장매체를 말한다.
■ “보조저장매체”는 컴퓨터에 장착된 하드디스크(HDD) 등의 저장매체 이외에 전자적으로 자료를 저장할 수 있는 매체로서 이동형 하드디스크(HDD), USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓, 자기 테이프 등 개인정보처리시스템, 업무용 컴퓨터 또는 개인용 컴퓨터 등과 용이하게 분리할 수 있는 저장매체를 말한다.
18. “위험도 분석”이란 개인정보처리시스템에 적용되고 있는 개인정보보호를 위한 수단과 유출시 정보주체의 권리를 해할 가능성과 그 위험의 정도를 분석하는 행위를 말한다.
■ “위험도 분석”이란 개인정보처리시스템에 적용되고 있는 개인정보보호를 위한 수단과 유출시 정보주체의 권리를 해할 가능성과 그 위험의 정도를 분석하는 행위를 말한다.
'정보보호관리체계(ISMS-P) > 개인정보보호' 카테고리의 다른 글
| 개인정보의 안전성 확보조치 기준 및 해설(3) (0) | 2022.06.12 |
|---|---|
| 개인정보의 안전성 확보조치 기준 및 해설(2) (0) | 2022.06.12 |
| 개인정보 생명주기 관리 - 이용자의 개인정보에 대한 권리 (0) | 2022.06.12 |
| 개인정보 생명주기 관리 - 개인정보 파기 (0) | 2022.06.12 |
| 개인정보 생명주기 관리 - 개인정보 기술적·관리적 보호조치 (0) | 2022.06.12 |