개인정보보호법

제29조 안전조치의무

김웅냄 2024. 2. 18. 02:39

개인정보의 안전성 확보조치 기준

1. 목적

2. 정의

3. 안전조치의 적용 원칙

 

4. 내부 관리계획의 수립/시행 및 점검

(단, 1만명 미만 정보주체에 관하여 개인정보 처리하는 소상공인/개인/단체는 생략 가능)

 1) 개인정보 보호 조직의 구성 및 운영에 관한 사항 

 2) 개인정보 보호책임자의 자격요건 및 지정에 관한 사항

 3) 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항 

 4) 개인정보취급자에 대한 관리ㆍ감독 및 교육에 관한 사항 

 5) 접근 권한의 관리에 관한 사항 

 6) 접근 통제에 관한 사항 

 7) 개인정보의 암호화 조치에 관한 사항 

 8) 접속기록 보관 및 점검에 관한 사항 

 9) 악성프로그램 등 방지에 관한 사항 

 10) 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항 

 11) 물리적 안전조치에 관한 사항 

 12) 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항 

 13) 위험 분석 및 관리에 관한 사항 

 14) 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 

 15) 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항 

 16) 그 밖에 개인정보 보호를 위하여 필요한 사항

 - 개인정보처리자는 개인정보 책임자 및 개인정보 취급자를 대상으로 차등화 된 필요한 정기적인 교육 실시

 1) 교육 목적 및 대상

 2) 교육 내용

 3) 교육 일정 및 방법

 - 개인정보책임자는 내부 관리계획 이행 실태를 연 1회 이상 점검 및 관리해야함

 

5. 접근권한의 관리

 - 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게 차등부여 해야함

 - 개인정보정보취급자 또는 업무변경 시 접근 권한 변경 또는 말소

 - 위 변경 내용에 대해 변경 또는 말소에 대한 내역을 기록하고 최소 3년 보관해야함

 

6. 접근통제

 - IP등으로 제한하여 인가받지 않은 접근 제한

 - IP주소 동을 분석하여 개인정보 유출 시도 탐지 및 대응

 - 외부에서 개인정보처리시스템 접속하려할 때 인증서, 보안토큰, OTP 등 안전한 인증수단적용

(단, 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 VPN 등 안전한 접속수단 또는 인증수단 적용 가능)

 - 개인정보취급자가 일정시간 업무처리 하지 않을 경우 세션 차단

 - 전년도 말 기준 직전 3개월간 저장/관리되고있는 이용자수가 일평균 100만명 이상일 경우

다운로드, 파기, 접근 권한 설정할 수 있는 개인정보취급자 PC 인터넷망 차단 필요

 

7. 개인정보의 암호화

 - 개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 저장 또는 정보통신망을 통하여 송/수신하는 경우 안전한 암호 알고리즘 사용 필요 (단, 비밀번호는 일방향으로 저장)

 - 개인정보 저장 시 안전한 암호 알고리즘으로 암호화하여 저장해야한다

 1) 주민등록번호

 2) 여권번호

 3) 운전면허번호

 4) 외국인등록번호

 5) 신용카드번호

 6) 계좌번호

 7) 생체인식정보

<주여운외신계생>

 - 다음와 같이 저장 시 암호화 필요

 1) DMZ에 고유식별정보 저장 시

 2) 내부망에 고유식별정보 저장 시 (단, 주민번호 외 저장 시 다음 기준에 따라 적용여부 및 적용범위 정할 수 있음)

  가) 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과

  나) 암호화 미적용시 위험도 분석에 따른 결과

 - 인터넷망으로 송/수신하는 경우 안전한 암호 알고리즘으로 암호화

 - 10만명이상 개인정보처리하는 대기업/중견기업/공공기관 또는 100만명이상 개인정보처리하는 중소기업/단체에 해당하는 개인정보처리자는 암호화 된 개인정보를 안전하게 보관하기 위해 암호 키  관리 절차 수립 및 실행 필요

 

8. 접속기록의 보관 및 점검

 - 개인정보처리시스템 접속 기록을 1년 이상 보관 및 관리해야함

 - 단, 아래 해당하는 경우 2년 이상 보관 및 관리 해야함

 1) 5만명 이상 정보주체 개인정보 처리할 경우

 2) 고유식별정보 또는 민감 정보 처리할 경우

 3) 기간통신사업자에 해당하는 경우

 - 개인정보처리시스템 접속 기록등을 월 1회 이상 점검해야하며 개인정보 다운로드 확인 시 사유를 반드시 확인

 

9. 악성프로그램 등 방지 - 프로그램 자동 업데이트 기능 사용 또는 일 1회 이상 업데이트를 실시

 

10. 물리적 안전조치

 - 개인정보 보관하는 물리적 장소가 있을 경우 출입통제 절차를 수립/운영 해야함

 

11. 재해/재난 대비 안전조치

 - 10만명 이상 개인정보 처리하는 대기업/중견기업/공공기관 또는 100만명 이상 개인정보 처리하는 중소기업/단체에 해당하는 개인정보처리자는 재해/재난 발생 시 개인정보처리시스템 보호를 위해 다음 조치 필요

 1) 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검

 2) 개인정보처리시스템 백업 및 복구를 위한 계획을 마련

 

12. 출력/복사 시 안전조치

 - 개인정보처리시스템에서 개인정보 출력 시 용도를 특정해야하며 용도에 따라 출력 항목 최소화

 

13. 개인정보 파기

 - 소각/파쇄/디가우징/초기화 또는 덮어쓰기

 - 위 방법이 어려울 경우 해당 부분 마스킹 또는 구멍 뚫어 삭제

 - 전자적 파일일 경우 개인정보 삭제 후 복구 재생되지 않도록 관리 및 감독 필요

 

<목정안내 접통암기 악물재출 파>

 

공공시스템 운영기관 등의 개인정보 안전성 확보조치 생략