개인정보의 기술적 관리적 보호조치 기준 해설서(개정)

개인정보의 기술적 관리적 보호조치 기준 해설서(개정)

개정(’14. 12, ’15. 5.)된 고시 내용에 따른 "개인정보의 기술적 관리적 보호조치 기준"해설서입니다.

[첨부파일]

개인정보의_기술적_관리적_보호조치_기준_해설서(2017.12.).pdf

개인정보의_기술적_관리적_보호조치_기준_해설서(2017.12.).pdf

[관련링크] 방송통신위원회

http://www.kcc.go.kr/user.do?boardId=1008&page=A02020600&dc=&boardSeq=45260&mode=view

법적 근거

o 이 기준은「정보통신망법」제28조제1항 및 같은 법 시행령 제15조제6항에 근거한다. 

o 따라서, 정보통신서비스 제공자등은 개인정보를 처리할 때 이 기준을 준수하여야 한다. 

o 이 기준에 따른 기술적․관리적 조치를 하지 아니한 자 등에게는 관련 법률에 따라 과징금, 벌칙(징역 또는 벌금), 과태료를 부과할 수 있다. 

정보통신망법 

제28조(개인정보의 보호조치) 

① 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정 보의 분실․도난․유출․위조․변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위 하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적․관리적 조치를 하여야 한다. 

1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립․시행 

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치․운영 

3. 접속기록의 위조․변조 방지를 위한 조치 

4. 개인정보를 안전하게 저장․전송할 수 있는 암호화기술 등을 이용한 보안조치 

5. 백신 소프트웨어의 설치․운영 등 컴퓨터바이러스에 의한 침해 방지조치 

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치 

② 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한 하여야 한다. 

제64조의3(과징금의 부과 등) 

① 방송통신위원회는 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 

6. 이용자의 개인정보를 분실․도난․유출․위조․변조 또는 훼손한 경우로서 제28조제1항 제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 조치를 하지 아니한 경우 

제73조(벌칙) 

다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다. 

1. 제28조제1항제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 규정에 따른 기술적․관리적 조치를 하지 아니하여 이용자의 개인정보를 분실․도난․유출․ 위조․변조 또는 훼손한 자 

제76조(과태료) 

① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다. 

3. 제28조제1항(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적․관리적 조치를 하지 아니한 자 

정보통신망법 시행령

제15조(개인정보의 보호조치) 

① 법 제28조제1항제1호에 따라 정보통신서비스 제공자등 은 개인정보의 안전한 처리를 위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립․시행하여야 한다. 

1. 개인정보 보호책임자의 지정 등 개인정보보호 조직의 구성․운영에 관한 사항 

2. 정보통신서비스 제공자의 지휘․감독을 받아 이용자의 개인정보를 처리하는 자 (이하 이 조에서 "개인정보취급자"라 한다)의 교육에 관한 사항 

3. 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항 

② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일 평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다. 

1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리 시스템"이라 한다)에 대한 접근권한의 부여․변경․말소 등에 관한 기준의 수립․시행 

2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치․운영 

3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단 

4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영 

5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치 

③ 법 제28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조․변조․ 방지를 위하여 다음 각 호의 조치를 하여야 한다. 

1. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속 일시, 처리내역 등의 저장 및 이의 확인․감독 

2. 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관 

④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장․ 전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다. 

1. 비밀번호의 일방향 암호화 저장 

2. 주민등록번호, 계좌정보 및 바이오정보(지문, 홍채, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 말한다) 등 방송통신위원회가 정하여 고시하는 정보의 암호화 저장 

3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신․수신하는 경우 보안 서버 구축 등의 조치 

4. 그 밖에 암호화 기술을 이용한 보안조치 

⑤ 법 제28조제1항제5호에 따라 정보통신서비스 제공자등은 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검․치료할 수 있도록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로 갱신․점검하여야 한다. 

⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6 호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적 인 기준을 정하여 고시하여야 한다.

제4조(접근통제) 

① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다. 

② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다. 

③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다. 

④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인 정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다. 

⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치․운영하여야 한다. 

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한 

2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지 

⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장․관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업 연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리 시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다. 

⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.

⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용․운용하여야 한다. 

1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 

2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고 

3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경 

⑨ 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보 처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다. 

⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.