| 우선순위 | 1순위: 개인정보의 기술적 관리적 보호조치 2순위: 개인정보의 안전성 확보조치 |
| 관련 근거 | 제48조의2(개인정보의 안전성 확보 조치에 관한 특례) ① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 (개인정보보호법 시행령) 제30조(개인정보의 안전성 확보 조치)에도 불구하고 (개인정보보호)법 제29조(안전조치의무)에 따라 다음 각 호의 안전성 확보 조치를 해야 한다. 1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립ㆍ시행 가. 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항 나. 정보통신서비스 제공자등의 지휘ㆍ감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 “개인정보취급자”라 한다)의 교육에 관한 사항 다. 제2호부터 제6호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치 가. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행 나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영 다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다] 라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영 마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치 3. 접속기록의 위조ㆍ변조 방지를 위한 다음 각 목의 조치 가. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인ㆍ감독 나. 개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관 4. 개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위한 다음 각 목의 조치 가. 비밀번호의 일방향 암호화 저장 나. 주민등록번호, 계좌정보 및 제18조제3호에 따른 정보 등 보호위원회가 정하여 고시하는 정보의 암호화 저장 다. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버 구축 등의 조치 라. 그 밖에 암호화 기술을 이용한 보안조치 5. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신ㆍ점검 조치 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치 ② 보호위원회는 정보통신서비스 제공자등이 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. ③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다. |
| 구분 | 개인정보의 기술적ㆍ관리적 보호조치 | 개인정보의 안전성 확보조치 |
| 개정 일 | 2022년 10월 | 2020년 12월 |
| 법적 근거 | - 개인정보 보호법 제29조(안전조치의무) - 같은 법 시행령 제48조의2의제3항(개인정보의 안전성 확보조치에 관한 특례) |
- 개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별 정보의 처리 제한), 제29조(안전조치의무) - 같은 법 시행령 제21조(고유식별정보의 안전성 확보 조치), 제30조 (개인정보의 안전성 확보 조치) |
| 과징금 부과 및 벌칙 |
- 위반행위와 관련한 매출액의 100분의 3 이하의 과징금(법 제39조의15제1항제5호) - 2년 이하의 징역 또는 2천만원 이하의 벌금(법 제73조제1호) - 3천만원 이하의 과태료(법 제75조제2항제6호) |
- 2년 이하의 징역 또는 2천만원 이하의 벌금(법 제73조제1호) - 3천만원 이하의 과태료(법 제75조제2항제6호) |
| 적용 대상 | - 정보통신서비스 제공자 - 정보통신서비스 제공자로부터 개인정보를 제공받은 자 - 정보통신서비스 제공자로부터 개인정보 처리를 위탁받은 자(이하 ‘수탁자’, 준용) - 방송사업자(준용) |
- 개인정보처리자 - 개인정보처리자로부터 개인정보를 제공받은 자 - 개인정보처리자로부터 개인정보 처리를 위탁받은 자(이하 ‘수탁자’, 준용) |
| 대상 범위 비교: 정보통신서비스 제공자 > 개인정보처리자 - 정보통신서비스 제공자: 개인정보의 기술적ㆍ관리적 보호조치 - 개인정보처리자: 개인정보의 안전성 확보조치 - 정보통신서비스 제공자 + 개인정보처리자: 개인정보의 기술적ㆍ관리적 보호조치 + 개인정보의 안전성 확보조치 |
||
| 목적 | - 정보통신서비스 제공자등이 이용자의 개인정보를 처리할 때 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되는 것을 방지하고 개인정보의 안전성 확보를 위하여 필요한 보호조치의 기준을 정함 | - 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실 도난 유출 위조 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적 관리적 및 물리적 안전조치에 관한 최소한의 기준을 정함 |
| 성격 | - 반드시 준수해야 하는 최소한의 기준 | |
| 구분 | 항목 | 개인정보 기술적 관리적 보호조치 | 개인정보의 안전성 확보조치 |
| 1 | 내부관리계획의 이행실태 점검 및 관리 | 정기적 실시 | 년 1회 이상 |
| 2 | 접근 권한 계정 부여ㆍ삭제 등 기록 보관 | 최소 5년간 | 최소 3년간 |
| 3 | 접근 권한 검토 | - | - |
| 4 | 비밀번호 유효 기간 | 반기 1회 이상 | - |
| 5 | 접근통제 점검 | - | - |
| 6 | 홈페이지 취약점 점검 및 보완 조치 | - | 고유식별정보가 홈페이지 저장 시 년 1회 이상 |
| 7 | 접속기록 보관 ㆍ 관리 | 1년 이상 (기간통신 사업자의 경우 2년 이상) |
1년 이상 5만명 이상의 개인정보나 고유식별정보가 있는 경우 2년 이상 |
| 8 | 접속기록 점검 | 월 1회 이상 | 월 1회 이상 |
| 9 | 개인정보 표시 보호 | 표시제한 적용 | - |
* 개인정보 표시 제한은 "개인정보 기술적 관리적 보호조치"에서만 적용
* 비밀번호 유효 기간은 "개인정보 기술적 관리적 보호조치"에서만 적용
'개인정보보호법 > CPPG_38회_기준' 카테고리의 다른 글
| 암호 알고리즘 (0) | 2023.03.08 |
|---|---|
| 개인정보의 보호조치 비교 (자세히) (0) | 2023.03.07 |
| ISMS-P 인증의 표시 (0) | 2023.03.07 |
| 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 (1) | 2023.03.06 |
| 개인정보 영향평가에 관한 고시 (0) | 2023.03.06 |