개인정보의 기술적, 관리적 보호조치 기준 주요 개녕 내용 정리
- 방통위 고시 개정, 2015년 5월 18일 시행 개정 내용
※ 주의: 법률은 변경될 수 있고, 정리해놓은 것이 혼자 보려고 정리해 놓은 걸 올리는 것이어서 보기 힘들 수 있습니다.
법제처 최신 법을 다운로드 받아 같이 보면 이해가 빠를 것 같습니다.
- 주요내용
준용 사업자(방송사업자, 수탁자)도 의무 적용 대상
정보통신서비스 제공자등(법 제67조에 따라 준용되는 자를 포함한 다. 이하 같다)이 이용자의 개인정보를 취급함에 있어서 개인정보가 분실, 도난, 누출, 변조, 훼손 등이 되지 아니하도록 안전성을 확보하기 위하여 취하여야 하는 기술적 관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다.
개인정보관리책임자, 개인정보취급자 정의 변경
- 물리적 공간으로 한정된다는 오해 소지 없앰
1. "개인정보관리책임자”란 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.
2. "개인정보취급자”란 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자 를 말한다.
(사업장 내로 한정 되지 않음, 시스템 운영자와 정보보호 담당자가 업무를 위해 개인정보 취급시 포함됨)
모바일 기기 등 정의 신설
기술 환경 변화에 따라 적용 환경 추가
13. "모바일 기기”란 스마트폰, 태블릿PC 등 무선망을 이용할 수 있는 휴대용 기기를 말한다.
14. "보조저장매체”란 이동형 하드디스크(HDD), USB메모리, CD (Compact Disk) 등 자료를 저장할 수 있는
매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 쉽게 분리 접속할 수 있는 저장매체를 말한다.
(참고: 4. "개인정보처리시스템”이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.)
내부 관리 계획에 대한 수탁자 관리 감독 의무 명시
제3조(내부관리계획의 수립 시행) 1 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호 조직을 구성 운영하여야 한다.
5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
(위반시 관련 매출액 3%이하 과징금 부과)
내부 관리계획 작성 시 유출 사고 대응 절차 및 방법 등 매뉴얼 작성, 개인 정보 발생 시 추가 피해 방지
6. 개인정보의 분실 도난 누출 변조 훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
매년 2회 이상의 개인 정보 교육 실시 -> 사업 현장의 특성에 맞게 정기적으로 교육 실시
2 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보관리책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수 등을 고려하여 필요한 교육을 정기적으로 실시하여야 한다.
1. 교육목적 및 대상
2. 교육 내용
1. 교육목적 및 대상
2. 교육 내용
3. 교육 일정 및 방법
망분리 대상 사업자의 범위를 명시
전년도 말 기준 직전 3개월간 그 개인정보가 저장 관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.
접근 통제, 외부에서 시스템 접속시 추가 인증 수단 예시 삭제
- 공인 인증서만 안전하다는 오해 소지 없앰
- ID/PASSWD 인증과 별도의 인증 수단, 보안 토큰, 휴대폰 인증, OTP, 바이오 정보등 사용 가능
4 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필 요한 경우에는 안전한 인증 수단을 적용하여야 한다.
세부적인 비밀번호 작성 규칙을 간략화 표시
정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용 운용하여야 한다.
1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것 을 권고
접근 통제 대상에 모바일 기기 추가
9 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기 기에 조치를 취하여야 한다.
여권번호, 운전면허번호, 외국인 등록번호를 암호화 대상에 추가
- 개인정보보호법과의 정합성 확보를 위함
바이오정보 일방향 암호화에서 안전한 암호화 알고리즘으로 암호화로 완화
- 비밀번호만 일방향, 나머지는 암호화(일, 양방향)
제6조(개인정보의 암호화) 1 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.
2 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.
(1. 주민등록번호 2. 여권번호 3. 운전면허번호 4. 외국인등록번호 5. 신용카드번호 6. 계좌번호 7. 바이오정보)
개인 정보 시스템의 자동 로그아웃, 최대 접속 시간 제한 (해킹사고 방지)
10 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.
개인 정보를 저장 매체에 저장 할 때 암호화, 매체에 모바일 기기, 보조 저장 매체 추가
4 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화해야 한다.
보안 프로그램 최신 유지, 악성 프로그램 관련 경보 발령시 보안 패치 받아야 함
- 악성 프로그램을 위한 보안 프로그램 설치, 운영, 일 1회 이상 업데이트 실시
제7조(악성프로그램 방지) 정보통신서비스 제공자등은 악성 프로그램 등을 방지 치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치 운영하여야 하며, 다음 각호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
2. 악성프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시
물리적 접근 통제 신설
제8조(물리적 접근 방지) 1 정보통신서비스 제공자등은 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소에 대한 출입통제 절차를 수립 운영하여야 한다.
2 정보통신서비스 제공자등은 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관 하여야 한다.
3 정보통신서비스 제공자등은 개인정보가 포함된 보조저장매체의 반출입 통제를 위한 보안대책을 마련하여 야 한다.
개인정보 표시 제한 보호 조치 권고 사항 정비
제10조(개인정보 표시 제한 보호조치) 정보통신서비스 제공자 등은 개인정보 업무처리를 목적으로 개인정보의 조 회, 출력 등의 업무를 수행하는 과정에서 개인정보보호를 위하여 개인정보를 마스킹하여 표시제한 조치를 취할 수 있다.