2020년 3월 30일
개인정보 안전성 확보조치 기준
I. 개인정보 안전성 확보조치 기준 개요
가. 개인정보 안전성 확보조치 기준의 개념
- 개인정보처리자가 개인정보를 처리함에 있어 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 않도록 하는 안전성 확보에 필요한 관리적/기술적/물리적 안전조치에 관한 최소한의 기준
나. 개인정보 안전성 확보조치 기준의 법적 근거
- 개인정보보호법 제23조(민감정보의 처리 제한
- 개인정보보호법 제24조(고유식별 정보의 처리 제한)
- 개인정보보호법 제29조(안전조치의무)
- 개인정보보호법 시행령 제21조(고유식별정보의 안전성 확보 조치)
- 개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치)
다. 개인정보 안전성 확보조치 기준 적용 대상
- 개인정보처리자
- 개인정보처리자로부터 개인정보를 제공받은 자
- 개인정보처리자로부터 개인정보 처리를 위탁받은 자(수탁자)
II. 개인정보 안전성 확보조치 기준에 따른 안전조치 사항
가. 관리적 안전조치 사항
구분 | 안전조치 사항 | 세부 내용 |
---|---|---|
조직 관리 측면 | 개인정보보호 조직 구성 및 운영 |
|
수탁자에 대한 관리 및 감독 |
| |
사고 대응 측면 | 개인정보 유출사고 대응 |
|
위험도 분석 및 대응 |
|
나. 기술적 안전조치 사항
구분 | 안전조치 사항 | 세부 내용 |
---|---|---|
개인정보 처리시스템 접근제어 측면 | 접근권한 관리 |
|
접근통제 |
| |
개인정보 유출 방지 측면 | 개인정보의 암호화 |
|
접속기록의 보관 및 점검 |
| |
악성 프로그램 방지 |
|
다. 물리적 안전조치 사항
구분 | 안전조치 사항 | 세부 내용 |
---|---|---|
물리적 접근제어 측면 | 물리적 안전조치 |
|
재난 대응 측면 | 재해 및 재난 대비 안전조치 |
|
- 개인정보의 보유기간 경과, 처리 목적 달성 등 개인정보 불필요 시 완전 파괴(소각, 파쇄) 및 전용 소자 장비(디가우저 등) 이용, 초기화/덮어쓰기 등 개인정보를 지체없이 삭제하는 것이 필요
[참고]
- 한국인터넷진흥원(KISA), “개인정보의 안전성 확보조치 기준 해설서”, 2019.6