2019년 7월 13일 토요일

개인정보의 안전성 확보조치 기준 해설서 (제2019-47호 / 2019-07-10)


제정·개정이유 : 제2019-47호(2019.6.7. 개정)

◇ 제·개정 이유 
 개인정보처리시스템의 접속기록에 대한 관리기준을 명확하게 하여 개인정보 유출 및 오·남용과 같은 개인정보 침해사고의 사전 예방과 사후추적 관리를 강화하고자 함
    
◇ 주요내용 

  가. 접속기록의 기록항목 구체화(제2조)
    - 접속기록에 기록하여야 하는 항목을 육하원칙에 따라 보다 구체적으로 명시하여 규정
    
  나. 접속기록 보관기간을 최소 1년 이상 보관하도록 차등적 연장(제8조제1항) 

    ※ 6개월 이상 → 모든 개인정보처리시스템은 1년 이상, 다만, 5만명 이상 개인정보를 처리하거나 고유식별정보나 민감정보를 처리하는 시스템은 2년 이상

  다. 접속기록 점검에 관한 사항 개선(제4조 및 제8조제2항)
    - 내부 관리계획 이행실태 점검에 접속기록에 관한 사항 포함
    - 접속기록 점검 주기 단축 : 반기별 1회 이상 → 월 1회 이상
    - 개인정보를 다운로드한 경우 그 사유를 반드시 확인(신설)



[참고] 개인정보의 안전성 확보조치 기준 개요

□ 목 적
o 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실 도난 유출 위조 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적 관리적 및 물리적 안전조치에 관한 최소한의 기준을 정함

법적 근거
o 개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별 정보의 처리 제한), 제29조(안전조치의무)
o 동법 시행령 제21조(고유식별정보의 안전성 확보 조치), 제30조(개인정보의 안전성 확보 조치)
과징금 부과 및 벌칙
o 2년 이하의 징역 또는 2천만원 이하의 벌금(법 제73조제1호)
o 3천만원 이하의 과태료(법 제75조제2항제6호)

적용 대상
o 개인정보처리자
o 개인정보처리자로부터 개인정보를 제공받은 자
o 개인정보처리자로부터 개인정보 처리를 위탁받은 자(이하 ‘수탁자’, 준용)

성 격
o 반드시 준수해야 하는 최소한의 기준

주요 내용
o 내부 관리계획의 수립 시행
o 접근 권한의 관리
o 접근통제
o 개인정보의 암호화
o 접속기록의 보관 및 점검
o 악성프로그램 등 방지
o 관리용 단말기의 안전조치
o 물리적 안전조치
o 재해 재난 대비 안전조치
o 개인정보의 파기




컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com




댓글 없음:

댓글 쓰기