개인정보의 기술적 관리적 보호조치 기준 해설서(개정)
개정(’14. 12, ’15. 5.)된 고시 내용에 따른 "개인정보의 기술적 관리적 보호조치 기준"해설서입니다.
[첨부파일]
개인정보의_기술적_관리적_보호조치_기준_해설서(2017.12.).pdf
개인정보의_기술적_관리적_보호조치_기준_해설서(2017.12.).pdf
[관련링크] 방송통신위원회
http://www.kcc.go.kr/user.do?boardId=1008&page=A02020600&dc=&boardSeq=45260&mode=view
법적 근거
o 이 기준은「정보통신망법」제28조제1항 및 같은 법 시행령 제15조제6항에 근거한다.
o 따라서, 정보통신서비스 제공자등은 개인정보를 처리할 때 이 기준을 준수하여야
한다.
o 이 기준에 따른 기술적․관리적 조치를 하지 아니한 자 등에게는 관련 법률에
따라 과징금, 벌칙(징역 또는 벌금), 과태료를 부과할 수 있다.
정보통신망법
제28조(개인정보의 보호조치)
① 정보통신서비스 제공자등이 개인정보를 처리할 때에는 개인정
보의 분실․도난․유출․위조․변조 또는 훼손을 방지하고 개인정보의 안전성을 확보하기 위
하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적․관리적 조치를 하여야 한다.
1. 개인정보를 안전하게 처리하기 위한 내부관리계획의 수립․시행
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치․운영
3. 접속기록의 위조․변조 방지를 위한 조치
4. 개인정보를 안전하게 저장․전송할 수 있는 암호화기술 등을 이용한 보안조치
5. 백신 소프트웨어의 설치․운영 등 컴퓨터바이러스에 의한 침해 방지조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치
② 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한
하여야 한다.
제64조의3(과징금의 부과 등)
① 방송통신위원회는 다음 각 호의 어느 하나에 해당하는
행위가 있는 경우에는 해당 정보통신서비스 제공자등에게 위반행위와 관련한 매출액의
100분의 3 이하에 해당하는 금액을 과징금으로 부과할 수 있다.
6. 이용자의 개인정보를 분실․도난․유출․위조․변조 또는 훼손한 경우로서 제28조제1항
제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 조치를 하지 아니한 경우
제73조(벌칙)
다음 각 호의 어느 하나에 해당하는 자는 2년 이하의 징역 또는 2천만원
이하의 벌금에 처한다.
1. 제28조제1항제2호부터 제5호까지(제67조에 따라 준용되는 경우를 포함한다)의 규정에
따른 기술적․관리적 조치를 하지 아니하여 이용자의 개인정보를 분실․도난․유출․
위조․변조 또는 훼손한 자
제76조(과태료)
① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의
경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다.
3. 제28조제1항(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적․관리적 조치를
하지 아니한 자
정보통신망법 시행령
제15조(개인정보의 보호조치)
① 법 제28조제1항제1호에 따라 정보통신서비스 제공자등
은 개인정보의 안전한 처리를 위하여 다음 각 호의 내용을 포함하는 내부관리계획을
수립․시행하여야 한다.
1. 개인정보 보호책임자의 지정 등 개인정보보호 조직의 구성․운영에 관한 사항
2. 정보통신서비스 제공자의 지휘․감독을 받아 이용자의 개인정보를 처리하는 자
(이하 이 조에서 "개인정보취급자"라 한다)의 교육에 관한 사항
3. 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항
② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인
접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는
전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일
평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를
말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다.
1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리
시스템"이라 한다)에 대한 접근권한의 부여․변경․말소 등에 관한 기준의 수립․시행
2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치․운영
3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단
4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영
5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치
③ 법 제28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조․변조․
방지를 위하여 다음 각 호의 조치를 하여야 한다.
1. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속
일시, 처리내역 등의 저장 및 이의 확인․감독
2. 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관
④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장․
전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다.
1. 비밀번호의 일방향 암호화 저장
2. 주민등록번호, 계좌정보 및 바이오정보(지문, 홍채, 음성, 필적 등 개인을 식별할
수 있는 신체적 또는 행동적 특징에 관한 정보를 말한다) 등 방송통신위원회가
정하여 고시하는 정보의 암호화 저장
3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신․수신하는 경우 보안
서버 구축 등의 조치
4. 그 밖에 암호화 기술을 이용한 보안조치
⑤ 법 제28조제1항제5호에 따라 정보통신서비스 제공자등은 개인정보처리시스템 및
개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어
등 악성프로그램의 침투 여부를 항시 점검․치료할 수 있도록 백신소프트웨어를
설치하여야 하며, 이를 주기적으로 갱신․점검하여야 한다.
⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6
호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적
인 기준을 정하여 고시하여야 한다.
제4조(접근통제)
① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을
서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다.
② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가
변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.
③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에
대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.
④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인
정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.
⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치․운영하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은
접근을 제한
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출
시도를 탐지
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장․관리되고 있는 이용자 수가
일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업
연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리
시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한
접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로
망분리 하여야 한다.
⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호
작성규칙을 수립하고, 이행한다.
⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을
포함하는 비밀번호 작성규칙을 수립하고, 이를 적용․운용하여야 한다.
1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류
이상을 조합하여 최소 8자리 이상의 길이로 구성
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한
비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
⑨ 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정
등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보
처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.
⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의
접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.
