개인정보 안전성 확보조치 기준

I. 개인정보 안전성 확보조치 기준 개요

가. 개인정보 안전성 확보조치 기준의 개념

  • 개인정보처리자가 개인정보를 처리함에 있어 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 않도록 하는 안전성 확보에 필요한 관리적/기술적/물리적 안전조치에 관한 최소한의 기준

나. 개인정보 안전성 확보조치 기준의 법적 근거

  • 개인정보보호법 제23조(민감정보의 처리 제한
  • 개인정보보호법 제24조(고유식별 정보의 처리 제한)
  • 개인정보보호법 제29조(안전조치의무)
  • 개인정보보호법 시행령 제21조(고유식별정보의 안전성 확보 조치)
  • 개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치)

다. 개인정보 안전성 확보조치 기준 적용 대상

  • 개인정보처리자
  • 개인정보처리자로부터 개인정보를 제공받은 자
  • 개인정보처리자로부터 개인정보 처리를 위탁받은 자(수탁자)

 

II. 개인정보 안전성 확보조치 기준에 따른 안전조치 사항

가. 관리적 안전조치 사항

구분안전조치 사항세부 내용
조직 관리
측면
개인정보보호
조직 구성 및 운영
  • 개인정보처리자가 개인정보의 종류, 중요도 및 보유량, 처리방법 및 환경을 고려하여 조직을 구성하고 운영
수탁자에 대한
관리 및 감독
  • 개인정보 처리업무 위탁 시 개인정보가 유출되지 않도록 수탁자 교육 및 관리감독
사고 대응
측면
개인정보
유출사고 대응
  • 개인정보 유출사고 예방을 위한 안전조치 및 상시 모니터링 수행
  • 개인정보 유출사고 시 단계별 대응절차 수립 및 운영
위험도
분석 및 대응
  • 자산식별 위협확인, 위험확인, 대책마련, 사후관리 단계로 위험도 분석 수행

나. 기술적 안전조치 사항

구분안전조치 사항세부 내용
개인정보
처리시스템
접근제어
측면
접근권한
관리
  • 개인정보취급자 등에게 업무수행에 필요한 최소한의 범위로 접근 권한의 부여
  • 비밀번호 작성규칙 수립 및 적용
접근통제
  • 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위한 침입차단, 침입탐지 기능을 포함한 조치
  • 외부에서 개인정보처리시스템에 접속하는 경우 안전한 접속수단 또는 안전한 인증수단의 적용
개인정보
유출 방지
측면
개인정보의
암호화
  • 고유식별정보, 비밀번호 및 바이오 정보를 저장하거나 정보통신망을 통해 송신 시 안전한 알고리즘으로 암호화
접속기록의
보관 및 점검
  • 개인정보처리시스템의 접속기록을 월 1회 이상 점검하고 1년 간 보관
악성 프로그램
방지
  • 백신 소프트웨어 등 보안 프로그램 설치 및 운영
  • 보안 프로그램은 일 1회 이상 업데이트

다. 물리적 안전조치 사항

구분안전조치 사항세부 내용
물리적
접근제어
측면
물리적
안전조치
  • 전산실 등 출입통제 절차 수립 및 운영
  • 서류, 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관하고 반출입 통제
재난 대응
측면
재해 및 재난 대비
안전조치
  • 재해 및 재난 발생 시 개인정보처리시스템 보호를 위한 대응절차 마련, 백업 및 복구를 위한 계획 마련 등
  • 개인정보의 보유기간 경과, 처리 목적 달성 등 개인정보 불필요 시 완전 파괴(소각, 파쇄) 및 전용 소자 장비(디가우저 등) 이용, 초기화/덮어쓰기 등 개인정보를 지체없이 삭제하는 것이 필요

 

[참고]

  • 한국인터넷진흥원(KISA), “개인정보의 안전성 확보조치 기준 해설서”, 2019.6

콘텐츠 사용 시 출처 표기 부탁 드리고, 궁금한 점이나 의견은 댓글 남겨주세요^^