개인정보 안전성 확보조치 기준

I. 개인정보 안전성 확보조치 기준 개요

가. 개인정보 안전성 확보조치 기준의 개념

• 개인정보처리자가 개인정보를 처리함에 있어 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 않도록 하는 안전성 확보에 필요한 관리적/기술적/물리적 안전조치에 관한 최소한의 기준

나. 개인정보 안전성 확보조치 기준의 법적 근거

• 개인정보보호법 제23조(민감정보의 처리 제한
• 개인정보보호법 제24조(고유식별 정보의 처리 제한)
• 개인정보보호법 제29조(안전조치의무)
• 개인정보보호법 시행령 제21조(고유식별정보의 안전성 확보 조치)
• 개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치)

다. 개인정보 안전성 확보조치 기준 적용 대상

• 개인정보처리자
• 개인정보처리자로부터 개인정보를 제공받은 자
• 개인정보처리자로부터 개인정보 처리를 위탁받은 자(수탁자)

 

II. 개인정보 안전성 확보조치 기준에 따른 안전조치 사항

가. 관리적 안전조치 사항

구분	안전조치 사항	세부 내용
조직 관리 측면	개인정보보호 조직 구성 및 운영	개인정보처리자가 개인정보의 종류, 중요도 및 보유량, 처리방법 및 환경을 고려하여 조직을 구성하고 운영
	수탁자에 대한 관리 및 감독	개인정보 처리업무 위탁 시 개인정보가 유출되지 않도록 수탁자 교육 및 관리감독
사고 대응 측면	개인정보 유출사고 대응	개인정보 유출사고 예방을 위한 안전조치 및 상시 모니터링 수행 개인정보 유출사고 시 단계별 대응절차 수립 및 운영
	위험도 분석 및 대응	자산식별 위협확인, 위험확인, 대책마련, 사후관리 단계로 위험도 분석 수행

나. 기술적 안전조치 사항

구분	안전조치 사항	세부 내용
개인정보 처리시스템 접근제어 측면	접근권한 관리	개인정보취급자 등에게 업무수행에 필요한 최소한의 범위로 접근 권한의 부여 비밀번호 작성규칙 수립 및 적용
	접근통제	정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위한 침입차단, 침입탐지 기능을 포함한 조치 외부에서 개인정보처리시스템에 접속하는 경우 안전한 접속수단 또는 안전한 인증수단의 적용
개인정보 유출 방지 측면	개인정보의 암호화	고유식별정보, 비밀번호 및 바이오 정보를 저장하거나 정보통신망을 통해 송신 시 안전한 알고리즘으로 암호화
	접속기록의 보관 및 점검	개인정보처리시스템의 접속기록을 월 1회 이상 점검하고 1년 간 보관
	악성 프로그램 방지	백신 소프트웨어 등 보안 프로그램 설치 및 운영 보안 프로그램은 일 1회 이상 업데이트

다. 물리적 안전조치 사항

구분	안전조치 사항	세부 내용
물리적 접근제어 측면	물리적 안전조치	전산실 등 출입통제 절차 수립 및 운영 서류, 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관하고 반출입 통제
재난 대응 측면	재해 및 재난 대비 안전조치	재해 및 재난 발생 시 개인정보처리시스템 보호를 위한 대응절차 마련, 백업 및 복구를 위한 계획 마련 등

• 개인정보의 보유기간 경과, 처리 목적 달성 등 개인정보 불필요 시 완전 파괴(소각, 파쇄) 및 전용 소자 장비(디가우저 등) 이용, 초기화/덮어쓰기 등 개인정보를 지체없이 삭제하는 것이 필요

 

[참고]

• 한국인터넷진흥원(KISA), “개인정보의 안전성 확보조치 기준 해설서”, 2019.6