5. 개인정보처리시스템 ‘망 분리’ 제도
| 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 시행령 제15조(개인정보의 보호조치) ② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다. 1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 “개인정보처리시스템”이라 한다)에 대한 접근권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행 2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영 3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단 4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영 5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치 ‘개인정보의 기술적ㆍ관리적 보호조치 기준’ 제4조(접근통제) ⑥ 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등은 물리적 또는 논리적으로 망 분리 하여야 한다. |
○ 망 분리에 대해서는 위에서 간단힌 설명한 바 있기 때문에, 여기에서는 벌칙 또는 행정처리벌 및 기타 사항에 대해서만 간략히 설명한다.
○ ‘정보통신망법’ 시행령에서는 사업자의 망분리 구축기간을 고려하여 6개월의 유예기간을 부여하였기 때문에, 망분리 대상이 되는 일정규모 이상의 정보통신서비스 제공자 등은 2013년 2월 18일까지 망분리를 완료하면 된다.
○ 망분리 등 기술적ㆍ관리적 보호조치를 하지 않았을 경우 3천만원 이하의 과태료가 부과될 수 있다(‘정보통신망법’ 제76조제1항제3호). 또한 망분리 등 기술적ㆍ관리적 보호조치를 하지 않아 개인정보를 분실, 도난, 누출, 변조 또는 훼손한 자는 2년 이하의 징역 또는 1천만원 이하의 벌금과 1억원 이하의 과징금에 처하게 된다. (‘정보통신망법’ 제73조1호, 제64조의3제1항6호)
6. 주민등록번호 수집 및 이용 제한 제도
| 「정보통신망 이용촉진 및 정보보호 등에 관한 법류」 제23조의2(주민등록번호의 사용 제한) ① 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집ㆍ이용할 수 없다. 1. 제23조의3에 따라 본인확인기관으로 지정받은 경우 2. 법령에서 이용자의 주민등록번호 수집ㆍ이용을 허용하는 경우 3. 영업상 목적을 위하여 이용자의 주민등록번호 수집ㆍ이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우 ② 제1항제2호 또는 제3호에 따라 주민등록번호를 수집ㆍ이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(이하 “대체수단”이라 한다)을 제공하여야 한다. 제2조(주민등록번호 수집ㆍ이용 제한에 관한 경과조치) ① 이 법 시행 당시 주민등록번호를 사용한 회원가입 방법을 제공하고 있는 정보통신서비스 제공자는 이 법 시행일부터 2년 이내에 보유하고 있는 주민등록번호를 파기하여야 한다. 다만, 제23조의2제1항 각호의 어느 하나에 해당하는 경우는 제외한다. ② 제1항에 따른 기간 이내에 보유하고 있는 주민등록번호를 파기하지 아니한 경우에는 제23조의2제1항의 개정규정을 위반한 것으로 본다. |
○ 정보통신사업자는 원칙적으로 온ㆍ오프라인에서의 주민등록번호 수집 및 이용이 제한된다. 단, 아래의 경우에는 예외적으로 허용된다.
1. ‘정보통신망법’ 제23조의3(본인확인기관의 지정 등)에 따라 본인확인기관으로 지정받은 경우
2. 법령에서 이용자의 주민등록번호 수집, 이용을 허용하는 경우
3. 방송통신위원회가 영업상 목적을 이유로 주민등록번호 수집, 이용이 불가피한 것으로 고시하는 경우
단, 위와 같은 원칙에도 불구하고 오프라인에서의 주민번호 수집ㆍ이용은 ‘주민번호 수집, 이용 최소화 종합대책(2012. 4. 20)’에 따른 법률정비 이후에 제한될 예정이다. 따라서 고객센터 운영을 목적으로 오프라인 신분증을 제시받거나, 사본을 제출하게 하는 방식으로 주민등록번호를 수집ㆍ이용하는 것은 한시적으로 허용된 상태이다.
○ 기존에 수집ㆍ보관하고 있는 주민등록번허의 경우에는 타 법령에서 별도로 그것의 보존을 명시하고 있지 않은 경우 2014년 8월 17일까지 파기해야 한다.
○ 방송통신위원회는 ‘인터넷 사업자를 위한 주민번호 사용 제한 정책 안내서(2012. 6)’를 통해 주민등록번호 대체수단의 도입을 위한 시스템 변경 등 사업자의 준비를 위한 소요시간 등을 고려하여 6개월의 계도기간을 부여하였다. 따라서 실질적으로 주민번호 수집 및 이용제한이 본격 시행되는 것은 2013년 2월 18일부터 이다.
○ 본 규정을 위반하여 주민등록번호를 수집ㆍ이용하거나 필요한 조치를 하지 아니한 경우에는 3천만원 이하의 과태료가 부과될 수 있다.(‘정보통신망법’ 제76조제1항2호)
<참고, 주민등록번호 사용 명시 법률 (출처: ‘주민번호 사용 제한 정책 안내서’ 등)>
| 근거 법령 | 내용 | |
| 금융실명거래법 | 법 제3조, 시행령 제3조 |
금융거래 시 설명, 주민등록번호 등으로 실지명의 확인 (*실지명의: 주민등록표에 기재된 성명 및 주민등록번호, 외국인의 경우 외국인등록번호 및 여권번호) |
| 부가가치세법 | 법 제16조, 시행령 제53조 |
재화, 용역을 공급받은 자에게 세금계산서를 교부하는 경우, 세금계산서에 공급받은 자의 주소, 성명, 주민번호 기재 (*공급받은 자가 사업자가 아닌 개인인 경우) |
| 법 제17조의2, 시행령 제63조의2 |
사업자가 관할 세무서에 대손세액공제를 신고하는 경우, 신고서에 재화, 용역을 공급받은 자의 주민번호 기재 | |
| 법 제33조 시행령 제84조 |
납세관리인을 관할 세무서에 신고하는 경우, 납세 관리인 선정 신고서에 납세관리인(부가통신사업자)의 주민번호 기재 | |
| 소득세법 | 법 제145조, 시행령 제193조 |
원천징수의무자는 기타 소득을 지급할 때, 원천징수영수증을 발급해야 하며 영수증에 주민번호 기재 |
| 법 제164조, 시행령 제213조 |
기타소득 등에 대한 지급명세서를 관할 세무서에 제출 시, 기타소득자의 주민번호 기재 | |
| 신용정보보호법 | 법 제34조, 시행령 제29조 |
신용정보회사는 신용정보 제공 시, 이용자로부터 본인의 동의를 얻은 뒤 주민번호 등 개인정보를 수집 가능 |
| 전자서명법 | 법 제15조, 시행규칙 제13조의2 |
공인인증서 발급 시, 발급자의 성명ㆍ주민등록번호 등으로 신원확인 |
| 전자상거래법 | 법 제6조 | 전자상거래 및 통신판매에서의 거래에 관한 기록 보존 시(성명, 주시, 주민등록번호 등 거래의 주체를 식별할 수 있는 정보) |
2) 개인정보의 기술적ㆍ관리적 보호조치 기준 조문별 해설
(1) 목적
제1조(목적) 이 기준은「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하“법”이라 한다) 제28조제1항 및 같은 법 시행령 제15조제6항에 따라 정보통신서비스 제공자등이 이용자의 개인정보를 취급함에 있어서 개인정보가 분실∙도난∙누출∙변조∙훼손 등이 되지 아니하도록 안전성을 확보하기 위하여 취하여야 하는 기술적∙관리적 보호조치의 구체적인 기준을 정하는 것을 목적으로 한다.
기준의 근거가 되는 법률∙시행령과 목적을 밝히고 있다. 법 제28조 및 같은 법 시행령 제15조제6항에 근거한 기준은 법률과 시행령의 규정을 구체화하여 개인정보가 분실∙도난∙누출∙변조∙훼손 등이 되지 아니하도록 안전성을 확보하기 위함임을 밝히고 있다.
이 기준을 준수하여야 하는 자는 ① 정보통신서비스 제공자 ② 정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자 ③ 개인정보의 취급 업무를 위탁받은 자(수탁자)이다. 다만 위의 자에 해당하더라도 이용자의 개인정보를 전혀 수집∙이용하지 않는다면 이 기준의 적용대상에서 제외된다.
“정보통신서비스 제공자”는 ① 전기통신사업법에 의한 전기통신사업자(기간∙별정∙부가통신사업자) 및 ② 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공∙매개하는 자를 말한다.
※ “영리를 목적으로 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자”는 인터넷 홈 페이지 등을 이용하여 정보 및 서비스를 제공하는 자를 의미하며, 보통 영업 행위를 하는 주체가 홈페이지를 개설하고 회원가입을 받는 경우에는 모두 적용 대상이 된다.
- 특히 ‘영리 목적’은 자기 또는 제3자의 재산적 이익을 얻기 위한 목적을 말하는 것으로 해석하고 있으며 여기서의 이익은 계속적, 반복적일 필요는 없다.
“정보통신서비스 제공자로부터 이용자의 개인정보를 제공받은 자”는 법 제24조의 2제1항에 따라 사전에 이용자로부터 제3자 제공에 대한 동의를 받고 정보통신서비스 제공자로부터 개인정보를 제공받은 자를 의미한다.
- 정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자를 합하여 “정보통신서비스 제공자 등”이라 칭하고 있다(법 제25조제1항).
“수탁자”는 정보통신서비스 제공자등으로부터 개인정보의 수집∙보관∙처리∙이용∙제공∙관리∙파기 등의 업무를 위탁받은 자를 말한다(법 제25조제1항).
- 개인정보의 기술적∙관리적 보호조치는 정보통신서비스 제공자등 외에도 수탁자에 대하여 보호조치 내용이 준용하여 적용된다(법 제67조제2항).
<보호조치 기준 적용 대상자 일람>
이 외에 기준의 적용 여부가 문제되는 경우로는, ① 이른바 “준용사업자”및 ② “다른 법률에 따라 정보통신망법의 개인정보보호 규정 준수가 요구되는 자” 등이 있다.
- “준용사업자”는 정보통신서비스 제공자 등이 아니지만 정보통신망법에 따라 개인정보보호 의무가 준용하여 적용되는 사업자를 의미한다(법 제67조제1항). 원칙적으로 준용사업자는 정보통신망법 상의 개인정보보호 의무규정이 모두 적용되나, 제28조에 따른 기술적∙관리적 보호조치에 대해서는 안전행정부에서 제정하는 시행규칙의 적용을 받으므로 본 고시 기준 및 해설서의 적용대상이 되지 않는다.
- 정보통신망법 외의 다른 법률에서 정보통신망법 상의 개인정보보호 의무를 준용할 것을 명시하거나, 정보통신망법의 기준에 따라 공정하게 수집∙이용할 것을 규정한 경우가 있다. 이 중에서 “정보통신망법의 준용”이 명시된 경우에는 보호조치 기준 역시도 적용되며, 그 외의 경우에도 최대한 정보통신망법의 기준에 따라 보호조치를 이행할 의무가 있다고 해석하여야 할 것이다.
<보호조치 기준 적용 대상자 일람>
| [FAQ] [문] 부가통신사업자로 신고를 하였지만 부가통신사업 중에 특별히 개인정보를 수집하고 있지는 않습니다. 대신 오프라인으로 컴퓨터를 판매하는 과정에서 고객의 정보를 수집하고 있습니다. 이런 경우에도 보호조치 기준을 이행하여야 합니까? [답] 아닙니다. 부가통신사업자로 신고하여“정보통신서비스 제공자등”의 범위에 속하는 전기통신사업자에 해당하더라도 실제로는 부가통신역무를 비롯한 정보통신서비스의 제공과 연관이 없는 경우에(예시: 내부직원 개인정보, 오프라인에서의 컴퓨터 등 물품 판매 또는 물품 AS 등) 개인정보 수집∙이용에 대해서는 이 보호조치 기준이 적용되지 아니 합니다. [문] 홈페이지를 운영하고 있지 않는 여행사입니다. 그렇지만 여행상품 계약 등을 위해 고객의 개인정보를 수집하고 있습니다. 오프라인으로 개인정보를 수집하고 있기 때문에 이 보호조치 기준을 이행하지 않아도 된다고 생각되는데요? [답] 여행사와 같이 정보통신망을 이용하여 서비스를 제공하고 있지 않은 준용사업자의 경우 따로 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙」제9조에 따라 안전행정부장관이 업종별 특성을 반영하여 정하는 보호 조치 기준을 적용받으므로, 본 고시 및 해설서의 적용대상이 되지는 않습니다. [문] 회사 내부에서 직원의 관리 등을 위해서만 사용하는 시스템의 경우도 보호 조치 기준의 적용대상에 해당 됩니까? [답] 전기통신사업자의 전기통신역무를 이용하여 고객에게 정보를 제공하거나 정보의 제공을 매개하지 않고 내부에서만 직원관리 용도 등으로 사용하는 경우에는 보호조치 기준의 적용대상에 해당되지 않습니다. [문] 특별법에 의한 특수법인이 웹사이트를 통한 교육 등 유료사업을 수행하는 경우에 정보통신서비스 제공자등에 해당됩니까? [답] 아닙니다. 특별법에 의해 설립된 공공법인은 유료(영리) 여부를 떠나 “공공 기관의 개인정보보호에 관한 법률”의 공공기관에 해당하여, 웹사이트를 운영하는 경우라 할지라도 정보통신서비스 제공자등에 해당하지 않습니다. [문] 금융업종에서 개인정보보호와 관련하여 준수하여야 하는 법 규정 범위가 어디까지인지, 법에 있는 내용을 준수하여야 하는지요? (정보통신서비스 제공자등에 포함되는지 여부) [답] 금융업종에 속하는 사업자의 경우 우선적으로 “신용정보의 이용 및 보호에 관한 법률”의 적용을 받습니다. 다만, 해당 사업자가 인터넷 홈페이지 등을 이용하여 정보 및 서비스를 제공하는 경우에는 영리를 목적으로 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자에 해당하므로 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」의 적용 대상이 됩니다. [문] 당사는 자동차판매회사로서 고객정보가 취득되는 경로를 보면 당사 차량 구입고객정보, 오토카드, 정비고객, 영업사원 취득정보, 이벤트 참여고객, 홈페이지 회원 정보 등으로 나누어지는데 금번 보호조치 기준을 이행하여야 하는 고객정보는 홈페이지 회원 정보만 해당되는 건가요? [답] 자동차 판매회사는‘09년 7월부터 시행된 법 시행규칙 제6조에 따라 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」의 개인정보보호 규정이 준용되는 사업자에 포함되기 때문에 따로「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙」제9조에 따라 안전행정부장관이 업종별 특성을 반영하여 정하는 보호조치기준을 적용받습니다. 다만, 인터넷 홈페이지를 통해 서비스를 제공하는 부분에 대해서는 “영리를 목적으로 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자(정보통신서비스 제공자등)”로 보아 본 고시 및 해설서의 적용대상에 해당됩니다. |
(2) 정의
법 제2조(정의)에서 정의한 용어 이외에 같은 법 시행령과 「개인정보의 기술적∙관리적 보호조치 기준」의 신규 용어에 대한 해석상의 혼란을 방지하기 위함이다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1.“ 개인정보관리책임자”라 함은 정보통신서비스 제공자의 사업장 내에서 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.
법 제27조와 시행령 제13조에 따라 개인정보관리책임자의 지정범위는 임원, 부서의 장 또는 대표자(개인정보관리책임자를 지정하지 않은 소규모 사업자)로 제한된다. 이와 같은 지위를 갖는 자가 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하도록 정하고 있는 것은 사내의 중요 의사결정을 수행하는 중역으로서 개인정보 보호 요구사항을 적극적으로 반영할 수 있도록 하기 위함이다.
2.“ 개인정보취급자”라 함은 정보통신서비스 제공자의 사업장 내에서 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자를 말한다.
업무를 하는 자가 서비스 제공을 위해 개인정보처리시스템에 접속하여 이용자의 개인정보를 조회할 수 있는 권한만을 갖고 있다고 하더라도 개인정보취급자에 포함된다.
시스템(데이터베이스 포함) 운영자와 정보보호담당자 등이 업무 수행을 위해 개인정보를 취급할 경우 개인정보취급자에 포함시키는 것이 바람직하다. 또한, 서비스 개발 또는 개선과 관련한 테스트 시 우선적으로 가상 데이터를 활용하는 것이 바람직하나, 반드시 실제 데이터가 필요하여 이용자의 개인정보를 식별할 수 없는 형태로 변환하여 사용하는 경우가 발생할 수 있다. 이 경우, 변환된 정보를 제공받아 테스트하는 개발자는 개인정보취급자에 포함되지 않으나, 개인정보를 변환하여 개발자에게 제공하는 자는 개인정보취급자에 포함된다.
개인정보취급자의 지정과 함께 중요하게 고려할 사항은 지정된 개인정보취급자가 개인정보보호 의무를 다하도록 하는 것이다.
3.“ 개인정보처리시스템”이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.
개인정보처리시스템은 법 시행령 제15조제2항제1호에 따라 개인정보를 보관∙처리하기 위한 데이터베이스시스템이다. 일반적으로 체계적인 데이터 처리를 위해 DBMS(Database Management System)를 사용하고 있으나, 이용자의 개인정보 보관∙처리를 위해 파일처리시스템 등으로 구성한 경우 개인정보처리시스템에 포함시키는 것이 타당하다.
4. “비밀번호”라 함은 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 사용하는 식별자는 소유자 식별을 위한 목적의 ID, 사용자이름, 사용자 계정명 등을 말한다. ‘시스템에 전달해야 하는 고유의 문자열’은 영문 대문자(A~Z), 소문자(a~z), 숫자(0~9), 특수문자( ~ ∙ ! @ # $ % ^ & * ( ) _ - + = { } [ ] | \ ; :‘ “< > , . ? / ) 중 2가지 이상을 조합하여 구성한 문자열을 의미한다.
‘타인에게 공개되지 않는 정보’의 의미는 개인정보취급자 중 계정관리자라 할지라도 이용자 및 개인정보취급자의 비밀번호를 알 수 있는 형태로 관리되어서는 안 된다는 것이다. 비밀번호가 알 수 있는 형태로 관리되는 경우 해당 정보에 접근할 수 있는 관리 담당자에 의한 도용이 가능하기 때문이다. 이와 관련하여 제6조제1항은 비밀 번호를 복호화되지 않도록 일방향 암호화하도록 규정하고 있다.
비밀번호의 안전성은 컴퓨터의 성능 향상, 해킹 기술 발달 등에 따라 주기적으로 검토되어야 하고, 비밀번호의 길이는 시간이 지남에 따라 길어지고, 변경 주기는 짧아지게 된다.
5. “접속기록”이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.
‘접속하여 수행한 업무 내역’이라 함은 이용자 또는 개인정보취급자가 개인정보처리 시스템을 이용하여 수행한 업무를 알 수 있는 정보이다. 이용자 측면에서는 자신의 개인정보 조회, 수정, 탈퇴 등의 업무를 의미한다. 개인정보취급자 측면에서는 이용자의 개인정보를 서비스 제공을 위해 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 의미한다.
‘식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등’은 접속한 사실을 확인하는데 사용되는 정보이다. 식별자는 접근자의 ID 또는 계정명이 해당되며, 접속 일시는 접속한 시점 또는 업무를 수행한 시점의“xxxx년 xx월 xx일 xx시 xx분 xx초“에 대한 정보이다. 접속지를 알 수 있는 정보는 개인정보처리시스템에 접속한 자의 PC 또는 서버의 IP 주소를 의미한다. 수행업무는 개인정보에 대한 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등을 확인할 수 있도록 기호로 표기한 정보이다.
‘전자적으로 기록한 것’의 의미는 개인정보취급자가 수기로 작성한 문서가 아니라 시스템 로그와 같이 자동적으로 기록된 정보를 의미한다.
접속기록은 최근 해킹에 의한 침해 또는 개인정보취급자의 권한 남용 등이 발생한 경우 신속한 대응을 수행하는데 있어서 참고하는 가장 중요한 정보이다. 따라서 정보통신서비스 제공자등은 접속기록이 위∙변조되지 않도록 관리 및 보관하는 절차를 마련하여야 한다.
6. “바이오정보”라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
지문, 얼굴, 홍채, 정맥, 음성, 필적은 개인을 식별할 수 있는 신체적 특징과 행동적 특징의 예를 든 것에 불과하며, 이에 한정되지 않는다.
- 신체적 특징: 지문, 얼굴, 홍채, 정맥, 음성, 망막, 손 모양, 손가락 모양, 열상 등
- 행동적 특징: 필적, 키보드 타이핑, 입술 움직임, 걸음걸이 등
※ 유전자(DNA)를 이용한 개인식별에 대해서는「생명윤리 및 안전에 관한 법률」이 적용됨.
‘개인을 식별할 수 있는‘의 의미는 특정 개인을 다른 사람과 구별할 수 있다는 것(Identification)이다. 또한, 바이오정보는 개인에 따라 고유의 특성을 가지므로 개인을 특정지어 본인임을 인증(Authentication)하는 수단으로 활용되고 있다.
바이오정보는 사람의 신체적 또는 행동적 특징을 입력장치를 통해 최초로 수집되어 가공되지 않은‘원본정보’와 그 중 특정 알고리듬을 통해 특징만이 추출, 생성된 ‘특징정보’로 구분된다.
7. “P2P(Peer to Peer)”라 함은 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.
‘정보통신망을 통해 서버의 도움 없이’는 기존의 서비스가 공급자와 소비자, 서버와 클라이언트 등의 주종관계나 상하 관계를 벗어나 참여자 모두가 참여하는 동등한 관계를 의미한다.
‘개인이 직접 연결되어’는 파일을 보유하고 있는 참여자와 파일을 갖고자 하는 참여자가 직접 연결된 상태를 의미한다.
8. “공유설정”이라 함은 컴퓨터 소유자의 파일을 타인이 조회∙변경∙복사 등을 할 수 있도록 설정하는 것을 말한다.
‘컴퓨터 소유자의 파일을 타인이 조회∙변경∙복사 등을 할 수 있도록’의 의미는 컴퓨터 소유자가 파일을 사용하는 시간이 다르므로 타인이 해당 파일을 조회, 변경, 복사 등을 할 수 있도록 설정하는 것이다.
9. “보안서버”라 함은 정보통신망에서 송∙수신하는 정보를 암호화하여 전송하는 웹서버를 말한다.
보안서버는 인터넷상에서 사용자 PC와 웹서버 사이에 송∙수신되는 개인정보를 암호화하여 전송하는 서버를 의미한다. 또한 보안서버는 해당 전자거래업체의 실존을 증명하여 사용자와 웹서버간의 신뢰를 형성하고, 웹브라우저와 웹서버 간에 전송되는 데이터의 암∙복호화를 통하여 보안채널을 형성하므로 안전한 전자거래를 보장한다.
10. “인증정보”라 함은 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정보를 말한다.
‘시스템 등이 요구한 식별자’는 해당 시스템에 접속하여 업무를 수행하기 위해서 시스템에게 알려주어야 하는 계정 또는 ID 등의 정보로서, 시스템에 등록 시 이용자가 선택하거나 또는 계정(또는 권한) 관리자가 부여한 고유한 문자열이다.
‘신원을 검증하는데 사용되는 정보’는 해당 시스템에서 업무를 수행할 수 있는 권한을 갖고 있음을 시스템에게 증명하기 위하여 식별자와 연계된 정보로서 비밀번호, 바이오정보, 전자서명값 등이 있다.
'정보보호관리체계(ISMS-P) > 개인정보보호' 카테고리의 다른 글
| 개인정보의 기술적•관리적 보호조치 기준 및 해설(4) (0) | 2022.06.12 |
|---|---|
| 개인정보의 기술적•관리적 보호조치 기준 및 해설(3) (0) | 2022.06.12 |
| 개인정보의 기술적•관리적 보호조치 기준 및 해설(1) (0) | 2022.06.12 |
| 개인정보의 안전성 확보조치 기준 및 해설(3) (0) | 2022.06.12 |
| 개인정보의 안전성 확보조치 기준 및 해설(2) (0) | 2022.06.12 |