본문 바로가기

개인정보116

728x90
개인정보의 기술적·관리적 보호조치 기준 (개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준 [시행 2020. 8. 11.] [개인정보보호위원회고시 제2020-5호, 2020. 8. 11., 제정] 목차 제1조 (목적) 제2조 (정의) 제3조 (내부관리계획의 수립․시행) 제4조 (접근통제) 제5조 (접속기록의 위․변조방지) 제6조 (개인정보의 암호화) 제7조 (악성프로그램 방지) 제8조 (물리적 접근 방지) 제9조 (출력․복사시 보호조치) 제10조 (개인정보 표시 제한 보호조치) 제11조 (재검토 기한) 개인정보의_기술적_관리적_보호조치_기준(제2020-5호)_해설서(2020.12월) 개인정보의_안전성_확보조치_기준(제2020-2호)_해설서(2020.12월) 제1조(목적) ① 이 기준은 「개인정보 보호법」(이하 "법"이라 한다) 제29.. 2021. 1. 8.
728x90

(개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준

[시행 2020. 8. 11.] [개인정보보호위원회고시 제2020-5호, 2020. 8. 11., 제정]

 

목차

제1조 (목적)
제2조 (정의)
제3조 (내부관리계획의 수립․시행)
제4조 (접근통제)
제5조 (접속기록의 위․변조방지)
제6조 (개인정보의 암호화)
제7조 (악성프로그램 방지)
제8조 (물리적 접근 방지)
제9조 (출력․복사시 보호조치)
제10조 (개인정보 표시 제한 보호조치)
제11조 (재검토 기한)

 

개인정보의_기술적_관리적_보호조치_기준(제2020-5호)_해설서(2020.12월) 개인정보의_안전성_확보조치_기준(제2020-2호)_해설서(2020.12월)

 

제1조(목적) ① 이 기준은 「개인정보 보호법」(이하 "법"이라 한다) 제29조 및 같은 법 시행령 제48조의2제3항에 따라 정보통신서비스 제공자등(법 제39조의14에 따라 준용되는 자를 포함한다. 이하 같다)이 이용자의 개인정보를 처리함에 있어서 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성 확보를 위하여 필요한 기술적·관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다.

② 정보통신서비스 제공자등은 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행하여야 한다.

 

제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.

1. "개인정보 보호책임자"란 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.

2. "개인정보취급자"란 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자를 말한다.

3. "내부관리계획"이라 함은 정보통신서비스 제공자등이 개인정보의 안전한 처리를 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말한다.

4. "개인정보처리시스템"이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.

5. "망분리"라 함은 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.

6. "비밀번호"라 함은 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

7. "접속기록"이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.

8. "바이오정보"라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.

9. "P2P(Peer to Peer)"라 함은 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.

10. "공유설정"이라 함은 컴퓨터 소유자의 파일을 타인이 조회·변경·복사 등을 할 수 있도록 설정하는 것을 말한다.

11. "보안서버"라 함은 정보통신망에서 송·수신하는 정보를 암호화하여 전송하는 웹서버를 말한다.

12. "인증정보"라 함은 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정보를 말한다.

13. "모바일 기기"란 스마트폰, 태블릿PC 등 무선망을 이용할 수 있는 휴대용 기기를 말한다.

14. "보조저장매체"란 이동형 하드디스크(HDD), USB메모리, CD(Compact Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 쉽게 분리·접속할 수 있는 저장매체를 말한다.

 

제3조(내부관리계획의 수립·시행) ① 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보보호 조직을 구성·운영하여야 한다.
1. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
2. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항

3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항

4. 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항

5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

6. 개인정보의 분실·도난·유출·위조·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항

7. 그 밖에 개인정보보호를 위해 필요한 사항

② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수 등을 고려하여 필요한 교육을 정기적으로 실시하여야 한다.

1. 교육목적 및 대상

2. 교육 내용

3. 교육 일정 및 방법

③ 정보통신서비스 제공자등은 제1항 및 제2항에 대한 세부 계획, 제4조부터 제8조까지의 보호조치 이행을 위한 세부적인 추진방안을 포함한 내부관리계획을 수립·시행하여야 한다.

 

제4조(접근통제) ① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.

② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.

③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.

④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.

⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.

⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.

⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다.

1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고

3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

⑨ 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.

⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.

 

제5조(접속기록의 위·변조방지) ① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존·관리하여야 한다.

② 단, 제1항의 규정에도 불구하고 「전기통신사업법」 제5조의 규정에 따른 기간통신사업자의 경우에는 보존·관리해야할 최소 기간을 2년으로 한다.

③ 정보통신서비스 제공자등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다.

 

제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.

② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.

1. 주민등록번호

2. 여권번호

3. 운전면허번호

4. 외국인등록번호

5. 신용카드번호

6. 계좌번호

7. 바이오정보

③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.

1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화해야 한다.

 

제7조(악성프로그램 방지) 정보통신서비스 제공자등은 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 하며, 다음 각호의 사항을 준수하여야 한다.

1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지

2. 악성프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시

 

제8조(물리적 접근 방지) ① 정보통신서비스 제공자등은 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소에 대한 출입통제 절차를 수립·운영하여야 한다.

② 정보통신서비스 제공자등은 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.

③ 정보통신서비스 제공자등은 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다.

 

제9조(출력·복사시 보호조치) ① 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보의 출력시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 한다.

② 정보통신서비스 제공자등은 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 출력·복사 기록 등 필요한 보호조치를 갖추어야 한다.

 

제10조(개인정보 표시 제한 보호조치) 정보통신서비스 제공자등은 개인정보 업무처리를 목적으로 개인정보의 조회, 출력 등의 업무를 수행하는 과정에서 개인정보보호를 위하여 개인정보를 마스킹하여 표시제한 조치를 취할 수 있다.

 

제11조(재검토 기한) 개인정보보호위원회는 「훈령·예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2020년 8월 11일을 기준으로 매 3년이 되는 시점(매 3년째의 8월 10일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.

728x90
개인정보보호법 위반 행정처분 결과 공표 개인정보 보호 소홀히 한 11개 기업 명단 공개행정자치부, 개인정보보호법 위반 기업(기관) 행정처분 결과 발표http://www.moi.go.kr/frt/bbs/type010/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000008&nttId=58304 「개인정보보호법」제66조제1항에 따라 행정처분의 내용 및 결과를 붙임과 같이 공표합니다. 2017. 5. 4.
728x90

개인정보 보호 소홀히 한 11개 기업 명단 공개

행정자치부, 개인정보보호법 위반 기업(기관) 행정처분 결과 발표

http://www.moi.go.kr/frt/bbs/type010/commonSelectBoardArticle.do?bbsId=BBSMSTR_000000000008&nttId=58304



「개인정보보호법」제66조제1항에 따라 행정처분의 내용 및 결과를 붙임과 같이 공표합니다.

170426 개인정보보호법 위반 행정처분 결과 공표(4차).pdf




728x90
우리 기업을 위한 GDPR 안내서 유럽 개인정보보호규정(GDPR) 승인의 의미와 전망http://journal.kiso.or.kr/?p=7403 EU, 개인정보보호 규정 강화https://news.kotra.or.kr/user/globalAllBbs/kotranews/album/2/globalBbsDataAllView.do 2017. 5. 2.
728x90

20170428_-_우리_기업을_위한_GDPR_안내서(최종).pdf


유럽 개인정보보호규정(GDPR) 승인의 의미와 전망

http://journal.kiso.or.kr/?p=7403


EU, 개인정보보호 규정 강화

https://news.kotra.or.kr/user/globalAllBbs/kotranews/album/2/globalBbsDataAllView.do

728x90
CEO-CPO 대상 개인정보보호 교육 본 과정은 전액 무료로 진행되는 네트워크 모임 형식의 프로그램으로, 참가자 분들께는 개인정보보호 교재와 관련 법령 자료집, 그리고 오찬이 제공됩니다. 교육신청 => http://cpoforum.or.kr/news/notice.asp?Board_Id=notice&wurl=/news/notice.asp&num=279&page=1&search=&key=&B_Mode=BView 2016. 10. 24.
728x90

본 과정은 전액 무료로 진행되는 네트워크 모임 형식의 프로그램으로참가자 분들께는 개인정보보호 교재와 관련 법령 자료집그리고 오찬이 제공됩니다.


교육신청 => http://cpoforum.or.kr/news/notice.asp?Board_Id=notice&wurl=/news/notice.asp&num=279&page=1&search=&key=&B_Mode=BView

728x90
2016년 정보보호실태조사 안내 2016년 정보보호실태조사 안내 한국인터넷진흥원은 국내 민간기업과 개인인터넷 이용자의 정보보호 현황 등을 파악하기 위하여, 정기적으로 실태조사를 실시하고 있습니다. 본 조사 결과는 국내외 정보보호 정책 수립의 기초자료로 귀중하게 활용됩니다. □ 실태조사 개요 조사명조사 시기조사 기관2016 정보보호실태조사 기업부문8.1 ~ 10.31포커스컴퍼니(02-3456-0252/0214)2016 정보보호실태조사 개인부문8.1 ~ 9.30포커스컴퍼니(02-3456-0261/0245) □ 기타 - 응답해주신 소중한 의견은 통계작성 목적으로만 활용되며, 귀하의 개인정보는 통계법 제 33조(비밀의 보호 등)에 의거하여 철저하게 보호됨을 알려드립니다.- 다소 번거로우시더라도 우리나라의 정책 자료 제공을 위한 적극적인 협조와.. 2016. 8. 1.
728x90

2016년 정보보호실태조사 안내

 

 

한국인터넷진흥원은 국내 민간기업과 개인인터넷 이용자의 정보보호 현황 등을 파악하기 위하여정기적으로 실태조사를 실시하고 있습니다본 조사 결과는 국내외 정보보호 정책 수립의 기초자료로 귀중하게 활용됩니다.

 

 

 

 

□ 실태조사 개요

 

조사명

조사 시기

조사 기관

2016 정보보호실태조사 기업부문

8.1 ~ 10.31

포커스컴퍼니

(02-3456-0252/0214)

2016 정보보호실태조사 개인부문

8.1 ~ 9.30

포커스컴퍼니

(02-3456-0261/0245)

 

 

 

 

□ 기타

 

응답해주신 소중한 의견은 통계작성 목적으로만 활용되며귀하의 개인정보는 통계법 제 33(비밀의 보호 등)   의거하여 철저하게 보호됨을 알려드립니다.

다소 번거로우시더라도 우리나라의 정책 자료 제공을 위한 적극적인 협조와 참여를 부탁드립니다.

728x90
728x90