본문 바로가기
교육 및 자격증/정보보안기사 : 실기

Sec17; 정보보안 법규

forgetissimo 2023. 3. 6. 15:51
728x90

 

1. 법규관련 개요

 - 대한민국의 법체계는 최상위인 헌법부터 법률, 시행령, 시행규칙, 고시로 이뤄져 있다.

 - 상위로 갈수록 개념적, 방향제시, 하위로 갈수록 세부적, 구체적으로 기술된다.

 

구분

1. 헌법  : 대한민국 모든 법의 최상위 법

2. 법률 : 헌법을 바탕으로 국회에서 제정 또는 개정

3. 시행령 : 대통령이 정해서 국회를 통과한 명령

4. 시행규칙 : 시행령 내에서 각부장관이 정하는 명령

5. 고시 : 행정기관의 법령규정에 따른 실제 행동지침으로 행정처벌 등의 제재가능

 

2. 개인정보보호법(시행:2020.08.05.)

(1) 개요

  1) 목적

이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다.

  2) 주요내용

구분 주요 내용
제 1장 총칙 ○ 개인저옵의 정의, 개인정보 보호 원칙, 정보주체의 권리, 다른 법률과의 관계
제 3장 개인정보의 처리 ○ 개인정보 수집, 이용, 제공에 관한 사항
  ▶ 개인정보 수집/이용/제공
   목적 외 이용/제공 제한, 파기
 개인정보 처리 제한
   주민등록번호, 고유식별번호, 민감정보 처리 제한
   영상정보처리기기 설치/운영 제한
제 4장 개인정보의 안전한 관리 ○ 안전조치 의무
   기술적, 관리적, 물리적 보호조치
○ 보호책임자 지정, 처리방침 공개
○ 유출 시 조치 해야 할 사항
   통지 및 신고, 대책 수립 및 시행
제 6장 정보통신서비스제공자 특례 수집/이용, 파기 등 특례
 개인정보 이용내역 통지
손해배상의 보장
 국내대리인 지정
제5,7,8장 정보주체의 권리 보장 및 구제  정보주체의 권리 보장
   열람, 정정, 삭제, 처리 정지, 손해배상 등
 개인정보 분쟁조정
   조정의 신청, 절차 등
단체소송
   단체소송 대상, 절차 등

 

  3) 다른 법률간 관계

타 법률에 특별한 규정이 없는 경우 -> 개인정보 보호법 적용

타 법률에 특별한 규정이 없는 경우 -> 해당 법률 규정 적용[정보통신망법, 신용정보법, 전자금융거래법, 의료법, 고등 교육법..]

 

(2) 제 1장 총칙

  1) 용어 정리

1. 개인정보 : 살아 있는 개인에 관한 정보로서 다음 어느 하나에 해당하는 정보

  • 성명, 주민번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
  • 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와  쉽게 결합하여 알아볼 수 있는 정보
  • 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용/결합 없이는 특정 개인을 알아볼 수 없는 정보(가명정보)

2. 가명처리 : 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.

3. 처리 : 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다.

4. 정보주체 : 처리되는 정보에 의해 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

5. 개인정보파일 : 개인정보를 쉽게 검색할 수 있도록  일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.

6. 개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

7. 개인정보 보호책임자 : 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자를 말한다.

8. 개인정보 취급자 : 개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등을 말한다.

9. 개인정보처리시스템 : 데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 응용시스템을 말한다.

10. 영상정보처리기기 : 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유/무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치를 말한다.

 

  2) 개인정보 정의

1. 살아있는 특정 개인을 식별할 수 있는 정보

  • 주민등록번호, 영상정보, 문자, 음성 등

2. 다른 정보와 결합하여 살아있는 특정 개인을 식별할 수 있는 정보

  • 성명, 전화번호, 주소는 다른 정보와 쉽게 결합하여 개인을 식별할 수 있는 정보로서 개인정보보호법상의 개인정보이다.
  • ex) 이름+전화번호, 이름 + 주소..

3. 가명처리함으로써 추가 정보 없이는 특정 개인을 알아볼 수 없는 가명정보

  • 익명정보(더 이상 특정 개인을 알아볼 수 없도록 비식별 조치가 되어있는 정보)는 개인정보보호법의 적용을 받지 않는다.

 

  3) 개인정보의 종류

1. 일반적 정보 : 이름, 주소, 주민등록번호 등

2. 정신적 정보 : 기호, 성향, 신념, 사상 등

3. 신체적 정보 : 신체정보, 의료, 건강정보 등

4. 재산적 정보 : 개인 금융/신용 정보

5. 통신/위치 정보 : 통화, IP 주소, GPS 정보 등

6. 사회적 정보 : 교육 정보, 근로 정보, 자격 정보 등

 

(3) 제 3장 개인정보의 처리

  1) 개인정보 처리단계별 보호조치

1. 수집 - 수집 이용 기준[15조], 최소 수집[16조], 14세미만 법정 대리인 동의 [22조], 처리제한(민감정보[23조], 고유식별정보[24조], 주민번호[24조의 2])

2. 이용 3. 제공 - 목적외 이용제공 제한[18조], 제3자 제공[17조], 처리위탁[26조], 영업양도양수[27조], 국외이전[17조]

4. 관리 - 안전조치 의무[29조], 처리방침[30조], 개인정보 유출 통지/신고[34조], 개인정보파일 등록[32조]

5. 파기 - 파기[21조]

 

  2) 제 15조 개인정보 수집/이용

(가) - 개인정보처리자가 업무수행을 위한 정보주체로부터 개인정보를 적법하게 수집/이용하는 과정 및 절차를 말한다.

(나) - 개인정보처리자는 다음의 경우에 개인정보를 수집할 수 있고 그 수집 목적 범위 내에서 이용할 수 있다.

  1. 정보주체의 동의를 받은 경우
  2. 법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우
  3. 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우
  4. 정보주체와의 계약의 체결 및 이행을 위해 불가피한 경우
  5. 명백히 정보주체 등의 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우
  6. 개인정보처리자의 정당한 이익을 달성하기 위해서 필요한 경우로 명백하게 정보 주체의 권리보다 우선하는 경우

(다) - 정보 주체 동의 시 고지 의무 사항

  1. 개인정보의 수집/이용 목적
  2. 수집하려는 개인정보 항목
  3. 개인정보의 보유 및 이용 기간
  4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

 

  3) 제 16조 개인정보 수집 제한

(가) - 개인정보처리자는 그 목적에 필요한 최소한의 개인정보를 수집해야 하며 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다.

  ①목적에 필요한 최소한의 범위를 벗어난 개인정보는 선택정보로서 필수정보와 구분하여 동의를 얻어야하며 정보주체가 동의를 하는 경우에는 수집이 가능하다.

(나) - 개인정보처리자는 필요한 "최소한의 개인정보(필수 정보) 이외의 개인정보(선택 정보)" 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 개인정보를 수집해야 한다.

(다) - 개인정보처리자는 필요한 "최소한의 개인정보(필수 정보) 이외의 개인정보(선택 정보)" 수집에는 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부할 수 없다.

 

  4) 제 17조 개인정보의 제공 : 수집 목적 범위내 제3자 제공

(가) - 개인정보처리자는 다음의 경우에 수집한 개인정보를 제3자에게 제공할 수 있다.

     ① 정보주체의 동의를 받은 경우

     ② 다음의 경우에 따라 수집한 목적 범위 내에서 제공하는 경우

  • 법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우
  • 공공기관이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우
  • 명백히 정보주체 등의 급박한 생명, 신체, 재산의 이익을 위해 필요한 경우

(나) - 제 3자 제공에 따른 정보주체 동의 시 고지 의무 사항

  1. 개인정보를 제공받는 자
  2. 개인정보를 제공받는 자의 개인정보 이용 목적
  3. 제공하는 개인정보의 항목
  4. 개인정보를 제공받는 자의 개인정보 보유 및 이용기간
  5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

 

  5) 제 18조 개인정보의 목적 외 이용/제공 제한

(가) - 개인정보를 목적 외 이용하거나 제3자에게 제공하는 것은 원칙적으로 금지한다.

단, 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없는 경우 예외적으로 다음에 한해서 허용한다.

  ① 정보주체의 별도 동의를 받은 경우

  ② 다른 법률에 특별한 규정이 있는 경우

  ③ 명백히 정보주체 또는 제3자의 생명, 신체, 재산의 이익에 필요한 경우

 

(나) - 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 개인정보를 제공받는 자에게 이용목적, 이용방법, 그 밖에 필요한 사항에 대하여 제한 및 개인정보의 안전성 확보를 위해 필요한 조치를 마련하도록 요청하고 개인정보를 제공받는 자는 개인정보 안전성 확보 조치를 이행한다.

 

  6) 제 19조 개인정보를 제공받은 자의 이용/제공 제한

(가) - 개인정보처리자로부터 개인정보를 제공받은 자는 다음 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공해서는 안된다.

  ① 정보주체로부터 별도의 동의를 받은 경우

   다른 법률에 특별한 규정이 있는 경우

 

  7) 제 20조 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지

(가) - 정보주체 이외로부터 수집한 개인정보를 처리할 때, 정보주체의 요구가 있으면 즉시 다음 사항을 알려야 한다.

  ① 개인정보의 수집 출처

   개인정보 처리 목적

  ③ 개인정보 처리의 정지를 요구할 권리가 있다는 사실

 

  8) 제 21조 개인정보의 파기

(가) - 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체없이(정당한 사유가 없는 한 5일 이내) 그 개인정보를 파기한다. 다만, 다른 법령에 규정이 있으면 보존이 가능하다.

(나) - 개인정보를 파기할 떄에는 복구 또는 재생되지 않도록 조치한다.

(다) - 다른 법령에 따라 보존 시 다른 개인정보와 분리하여 저장/관리해야 한다.

 

 파기방법

 > 기록물, 인쇄물, 서면 , 기록매체 : 파쇄 또는 소각

 > 전자적 파일 형태 : 복원이 불가능한 방법으로 영구 삭제

 파기절차

 > 개인정보처리자 : 개인정보의 파기에 관한 사항을 기록 및 관리

 > 개인정보 보호책임자 : 개인정보 파기 시행 후 파기 결과를 확인

 

  9) 제 22조 동의를 받는 방법

(가)

정보주체의 동의를 각각의 동의 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도록 알리고 각각의 동의를 받아야 한다. 포괄적 동의를 금지한다.

  ① 일반적인 개인정보 수집/이용 동의, 제3자 제공 동의, 민감정보 처리 동의, 고유 식별정보 처리 동의 등의 사항을 구분하여 동의를 받는다.

   약관과 개인정보 처리에 대한 동의를 일괄로 받을 경우 정보주첵 자신의 개인정보처리에 대한 사항을 자세히 인지하지 못할 우려가 있고 정보주체의 선택권 행사가 어려울 수 있으므로 개인정보 처리에 대한 동의는 약관에 대한 동의와 별도로 받아야한다.

(나)

정보주체의 동의 없이 처리할 수 있는 개인정보와 정보주체의 동의가 필요한 개인정보를 구분하여야 한다. 이 경우 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.

  ① 구분의 이유는 정보주체가 자신이 처리에 동의한 개인정보만 처리가 이뤄지는 것으로 오해하고 개인정보의 처리에 관한 불완전한 정보만을 제공받지 않기 위함이다.

(다)

재화나 서비스를 홍보하거나 판매를 권유(마케팅)하기 위하여 개인정보의 처리에 대한 동의를 받으려는 때에는 정보주체가 이를 명확하게 인식할 수 있도록 알리고 동의를 받아야 한다.

(라) - 선택적으로 동의할 수 있는 사항을 동의하지 않는다는 이유로 재화 또는 서비스의 제공을 거부해서는 안된다.

(마)

14세 미만 아동의 개인정보를 처리하려면 법정대리인의 동의를 받아야한다. 이 경우 법정 대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정 대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.

 

  10) 제23조/제24조 민감정보/고유식별정보의 처리 제한

(가) 민감정보 및 고유식별 정보는 원칙적으로 처리를 금지한다.

  • 민감정보 - 사상, 신념, 노동조합/정당가입, 건강정보, 유전정보, 범죄경력 정보, 바이오식별정보, 인종 및 민족 정보, 성생활 등에 관한 정보, 그 밖에 정보 주체의 사생활을 현저히 침해할 우려가 있는 개인정보
  • 고유식별정보 - 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호

(나) 다음의 경우에는 민감정보 및 고유식별정보의 처리가 가능하다.

  ① 다른 개인정보의 처리에 대한 동의와 별도로 동의를 얻은 경우

  ② 법령에서 구체적으로 처리를 요구하거나 허용하는 경우

  • 위 규정에도 불구하고 주민등록번호는 법령에 구체적으로 처리근거가 있어야 처리가 가능하다

(다) 개인정보처리자는 수집한 민감정보 및 고유식별정보가 분실/도난/유출/위조/변조/훼손되지 않도록 안전성 확보 조치를 해야한다.

 

  11) 제 24조의 2 주민등록번호 처리의 제한

(가) 고유식별정보 중 주민등록번호는 정보주체의 동의를 받아도 처리가 불가하다.

즉, [주민등록번호 수집 법정주의]를 도입하고 있다.

  ① 주민등록번호 수집 법정주의 : 법려의 근거가 없으면 주민등록번호 수집 불가

 

(나) 다음의 어느 하나에 해당하는 경우에만 주민등록번호의 처리가 가능하다.

  ① 법률/대통령령/국회규칙/대법원규칙/헌법재판소규칙/중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우

   정보주체 또는 제3자의 급박한 생명, 신체, 재산의 보호

  ③ 위의 사항에 준하는 경우로서 보호위원회가 고시로 정하는 경우

 

(다) 주민등록번호를 처리하는 경우에도 정보주체가 인터넷으로 회원가입 시 주민등록번호를 사용하지 않는 가입방법(대체수단)을 제공해야 한다. 예) I-PIN,  휴대폰 인증, 인증서

 

  12) 제 25조 영상정보처리기기의 설치/운영 제한

(가) 누구든지 공개된 장소에서는 영상정보처리기기 설치 및 운영을 원칙적으로 금지한다.

(나) 다음의 어느 하나에 해당할 경우에는 설치 및 운영이 가능하다.

  1. 법령에서 구체적으로 허용하는 경우
  2. 범죄의 예방 및 수사
  3. 시설안전 및 화재 예방
  4. 교통 단속
  5. 교통정보의 수집/분석 및 제공

(다) 누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소는 영상정보처리기기의 설치/운영을 금지한다.

(라) 영상정보처리기기운영자는 정보주체가 쉽게 인식할 수 있도록 다음 사항이 포함된 안내판을 설치하는 등 필요한 조치를 해야 한다.

  1. 설치 목적 및 장소
  2. 촬영 범위 및 시간
  3. 관리책임자 성명 및 연락처
  4. 그 밖에 대통령령으로 정하는 사항

 

  13) 제 26조 업무위탁에 따른 개인정보의 이전 제한

(가) 개인정보의 제3자 제공과 위탁의 차이점

  제3자 제공 위탁
처리 목적 제공받는 자의 이익/목적 제공하는 자의 이익/목적
관리 범위 제공받는 자의 책임 제공하는 자의 책임
예시 ▶경찰에 수사자료 제공
▶감사기관 등에 감사자료 제출
▶마트 이벤트 고객정보를 보험회사(제휴사) 마케팅에 제공		 ▶민원 처리 만족도 조사를 위해 리서치 업체에 직원 정보 제공
▶직원 교육을 위해 위탁업체에 직원 명단 제공
▶SMS를 통한 홍보를 위해 고객의 전화번호를 문자발송 업체에 전달

 

(나) 개인정보의 처리 업무를 위탁하는 경우는 다음 내용이 포함된 문서에 의하여야 한다.

  1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
  2. 개인정보의 기술적/관리적 보호조치
  3. 그 밖의 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항
  • 위탁업무의 목적 및 범위
  • 재위탁 제한
  • 개인정보에 대한 접근 제한 등 안전성 확보 조치
  • 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등의 감독
  • 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등의 책임

(다) 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 "수탁자"라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개해야 한다.

  1. 인터넷 홈페이지를 통한 공개
  2. 인터넷 홈페이지에 게재할 수 없는 경우에는 위탁자의 사업장 등의 보기 쉬운 장소에 게시하는 등 하나 이상의 방법으로 공개한다.

(라) 재화 또는 서비스의 홍보, 마케팅 업무 위탁 시 업무 내용과 수탁자를 정보주체에게 고지해야 한다.

(마) 위탁자는 수탁자가 개인정보를 안전하게 관리할 수 있도록 수탁자를 교육하고 감독한다.

(바) 수탁자는 위탁받은 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공해서는 안된다.

(사) 수탁자의 이 법 위반으로 발생한 손해배상책임에 대해서는 수탁자를 위탁자의 소속 직원으로 본다. 위탁자에게 손해배상책임이 있다.

 

(4) 제 4장 개인정보의 안전한 관리

  1) 제 29조 안전조치의무

(가) 개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 해야 한다.

 

(나) 개인정보보호법 시행령 제 30조 - 개인정보의 안전성 확보 조치

개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.

  1. 개인정보의 안전한 처리를 위한 내부관리계획의 수립/시행
  2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
  3. 개인정보를 안전하게 저장/전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
  4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조/변조 방지를 위한 조치
  5. 개인정보에 대한 보안프로그램의 설치 및 갱신
  6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

 

  2) 제 30조 개인정보 처리방침의 수립 및 공개

(가) 개인정보처리자는 다음 사항이 포함된 개인정보 처리방침을 정하여야 한다.

  1. 개인정보의 처리 목적
  2. 개인정보의 처리 및 보유 기간
  3. 개인정보의 제3자 제공에 관한 사항(해당하는 경우에만)
  4. 개인정보의 파기절차 및 파기방법(개인정보를 보존해야 하는 경우에는 보존 근거와 보존하는 개인정보 항목을 포함)
  5. 개인정보처리의 위탁에 관한 사항
  6. 정보주체와 법정대리인의 권리/의무 및 그 행사방법에 관한 사항
  7. 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
  8. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치/운영 및 그 거부에 관한 사항
  9. 그 밖의 개인정보의 처리에 관하여 대통령령으로 정한 사항

(나) 개인정보 처리방침을 수립하거나 변경한 경우에는 정보주체가 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개해야 한다.

  1. 인터넷 홈페이지에 지속적으로 게재함
  2. 인터넷 홈페이지에 게재할 수 없는 경우에는 개인정보처리자의 사업장 등의 보기 쉬운 장소에 게시하는 등 하나 이상의 방법으로 공개한다.

 

  3) 제 31조 개인정보 보호책임자의 지정

(가) 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 "개인정보보호책임자"를 지정해야 한다.

  1. 개인정보 보호 계획의 수립 및 시행
  2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  4. 개인정보 유출 및 오/남용 방지를 위한 시스템 구축
  5. 개인정보파일의 보호 및 관리감독
  6. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
  • 개인정보 처리방침의 수립/변경 및 시행
  • 개인정보 보호 관련 자료의 관리
  • 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

 

  4) 제 33조 개인정보 영향평가(공공기관만 해당)

(가) 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 하고 그 결과를 보호위원회에 제출하여야 한다.

 

(나) 개인정보보호법 시행령 제35조(개인정보 영향평가의 대상)를 살펴보면, 대통령령으로 정하는 기준에 해당하는 개인정보파일이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음 각 호의 어느 하나에 해당하는 개인정보 파일을 말한다.

  1. 구축/운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감 정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
  2. 구축/운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축/운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
  3. 구축/운용 또는 변경하려는 개인정보파일로써 100만명 이상의 정보주체에 관한 개인정보파일
  4. 개인정보 영향 평가를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.

(다) 개인정보 영향평가를 하는 경우에는 다음 사항을 고려해야 한다.

  1. 처리하는 개인정보의 수
  2. 개인정보의 제3자 제공 여부
  3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
  4. 그 밖에 대통령령으로 정한 사항으로 개인정보보호법 시행령 제36조를 살펴보면 다음 각 호의 사항을 말한다.
  • 민감정보 또는 고유식별 정보의 처리 여부
  • 개인정보 보유기간

 

  5) 제 34조 개인정보 유출 통지 등

(가) 개인정보 유출 사실을 인지하였을 경우에는 지체 없이(정당한 사유가 없는 한 5일 이내) 정보주체에게 관련 사실 통지 및 전문기관에 신고 등 조치를 취해야 한다.

  1. 신고기관 : 1천명 이상의 개인정보가 유출된 경우 보호위원회 또는 한국인터넷진흥원에 신고한다.

(나) 정보주체 통지 방법

구분 내용
통지대상 1건이라도 개인정보 유출 시 정보주체에게 유출관련 사실을 통지
통지시기 지체 없이 (5일 이내)
통지방법 개별 통신 - 서면, 전자우편, 전화, 팩스, 문자전송 등
1천명 이상의 개인정보가 유출된 경우, 서면 등의 방법과 함께 인터넷 홈페이지에 7일 이상 게재한다.
통지내용 유출된 개인정보의 항목
▶유출된 시점과 그 경위
▶유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
▶개인정보처리자의 대응조치 및 피해 구제절차
▶정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

 

(5) 제 6장 정보통신서비스제공자 특례

  1) 제 39조의6 개인정보의 파기에 대한 특례

(가) 정보통신서비스 제공자 등은 정보통신 서비스를 1년 동안 이용하지 아니하는 이용자의 개인정보는 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장/관리한다.(개인정보 유효기간제)

  1. 예외) 다른 법령에서 별도의 기간을 정하고 있는 경우 해당 법령에 따라 보존하고 이용자의 요청에 따라 기간을 달리 정한 경우 달리 정한 기간 동안 보관한다.
  • ex) 전자상거래법 : 거래 기록(5년), 소비자 불만/분쟁처리에 관한 기록(3년)
  • ex) 의료법 : 환자명부 기록(5년)

(나) 정보통신서비스 제공자 등은 기간 만료 30일전까지 다음 사항을 이용자에게 통지해야 한다.

  1. 개인정보 파기시 : 파기 사실, 기간 만료일, 파기되는 개인정보 항목
  2. 개인정보 분리 보관시 : 분리 보관 사실, 기간 만료일, 분리 보관되는 개인정보 항목

 

  2) 제 39조의 8 개인정보 이용내역의 통지 

(가) 정보통신서비스 제공자 등은 수집한 이용자 개인정보의 이용내역을 주기적으로 이용자에게 통지해야 한다.

  1. 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우에는 예외로 한다.

(나) 통지방법 및 주기

  1. 통지 방법 : 전자우편, 서면 등의 방법
  2. 주기 : 연 1회 이상

(다) 통지사항

  1. 개인정보의 수집/이용 목적 및 수집한 개인정보의 항목
  2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목

 

3. 개인정보의 안전성 확보조치 기준(시행:2020.08.11.)

(1) 법적 근거 및 목적 : 제1조

1) 법적 근거

(가) 개인정보보호법 제29조(안전조치의무) 개인정보처리자는 개인정보가 분식/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 해야 한다.

(나) 개인정보보호법 시행령 제 30조(개인정보의 안전성 확보 조치)

 - 개인정보처리자는 법 제29조에 따라 다음의 기술적/관리적/물리적 안전성 확보조치를 해야 한다.

  • 개인정보의 안전한 처리를 위한 내부관리계획의 수립/시행
  • 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
  • 개인정보를 안전하게 저장/전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
  • 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조/변조 방지를 위한 조치
  • 개인정보에 대한 보안프로그램의 설치 및 갱신
  • 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

(다) 개인정보의 안전성 확보 조치에 관한 세부 기준은 개인정보보호위원회위원장이 정하여 고시한다.

 - 개인정보보호위원회 고시 : 개인정보의 안전성 확보조치 기준

 

2) 목적

 - 이 기준은 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적/관리적/물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.

 

(2) 용어정리 : 제2조

  1. 정보주체 : 처리되는 정보에 의해 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
  2. 개인정보파일 : 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.
  3. 개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
  4. 개인정보 보호책임자 : 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.
  5. 개인정보취급자 : 개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
  6. 개인정보처리시스템 : 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
  7. 위험도 분석 : 개인정보 유출에 영향을 미칠 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.
  8. 비밀번호 : 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 떄 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
  9. 정보통신망 : [전기통신기본법] 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집/가공/저장/검색/송신 또는 수신하는 정보통신체계를 말한다.
  10. 공개된 무선망 : 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.
  11. 모바일 기기 : 무선망을 이용할 수 있는 PDA, 스마트폰, 태플릿 등 개인정보처리에 이용되는 휴대용기기를 말한다.
  12. 바이오정보 : 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
  13. 접속기록 : 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보 주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 접속이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.
  14. 보조저장매체 : 이동형 하드디스크, USB메모리, CD, DVD 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결/분리할 수 있는 저장매체를 말한다.
  15. 내부망 : 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단된느 구간을 말한다.
  16. 관리용 단말기 : 개인정보처리시스탬의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.

 

(3) 내부관리계획의 수립/시행 : 제4조

(가) 개인정보처리자는 개인정보가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음의 사항을 포함하는 내부관리계획을 수립/시행한다.

  1. 개인정보 보호책임자의 지정에 관한 사항
  2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
  3. 개인정보취급자에 대한 교육에 관한 사항
  4. 접근 권한의 관리에 관한 사항
  5. 접근 통제에 관한 사항
  6. 개인정보의 암호화 조치에 관한 사항
  7. 접속기록 보관 및 점검에 관한 사항
  8. 악성프로그램 등 방지에 관한 사항
  9. 물리적 안전조치에 관한 사항
  10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
  11. 개인정보 유출사고 대응 계획 수립/시행에 관한 사항
  12. 위험도 분석 및 대응방안 마령에 관한 사항
  13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
  14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

(나) 위 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부관리계획을 수정하여 시행하고 그 이력을 관리한다.

(다) 개인정보 보호책임자는 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부관리계획의 이행 실태를 연 1회 이상으로 점검/관리한다.

 

(4) 접근 권한의 관리 : 제5조

(가) 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여

(나) 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.

(다) 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자별로 사용자계정을 발급하고 다른 개인정보취급자와 공유되지 않도록 조치

(라) 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용한다.

(마) 개인정보처리자는 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 수행한다.

(5) 접근 통제 : 제6조

(가)개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음의 기능을 포함한 조치를 수행한다.

  1. 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한한다.
  2. 개인정보처리시스템에 접속한 IP 주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응한다.

(나) 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 안전한 접속수단을 적용하거나 안전한 인증수단을 적용해야 한다.

  1. 안전한 접속수단 : 가상사설망, 전용선 등
  2. 안전한 인증수단 : 인증서(PKI), 보안토큰, 일회용비밀번호 등

(다) 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.

(라) 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출/변조/훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.

 

(마) 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.

(바) 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 

 

(6) 개인정보의 암호화 : 제7조

(가)

 

(나) 

 

(다) 

 

(7) 접속기록의 보관 및 점검 : 제8조

(가)

 

(나) 

 

(다) 

 

(8) 악성프로그램 등 방지 : 제9조

(가)

 

(나) 

 

(다) 

 

(9) 관리용 단말기의 안전조치 : 제10조

(가)

 

(나) 

 

(다) 

 

(10) 물리적 안전조치 : 제11조

(가)

 

(나) 

 

(다) 

 

(11) 재해/재난 대비 안전 조치 : 제12조

(가)

 

(나) 

 

(다) 

 

(12) 개인정보의 파기 : 제13조

(가)

 

(나) 

 

(다) 

 

4. 개인정보의 기술적/관리적 보호조치 기준(시행:2020.08.11.)

(1) 법적 근거 및 목적 : 제1조

 

(2) 용어정리 : 제2조

 

(3) 내부관리계획의 수립/시행 : 제3조

 

(4) 접근통제 : 제4조

 

(5) 접속 기록의 위/변조 방지 : 제5조

 

(6) 개인정보의 암호화 : 제6조

 

(7) 악성프로그램 등 방지 : 제7조

 

(8) 물리적 접근 방지 : 제8조

 

(9) 출력/복사시 보호조치 : 제9조

 

(10) 개인정보 표시 제한 보호조치 : 제10조

 

 

 

5. 정보통신망 이용촉진 및 정보보호 등에 관한 법률(시행:2020.12.10.)

(1) 개요

 

(2) 제 4장 정보통신서비스의 안전한 이용환경 조성

 

(3) 제6장 정보통신망의 안정성 확보 등

 

(4) 정보통신서비스 제공자등을 위한 망분리 해설

 

 

6. 정보통신기반보호법(시행:2020.12.10.)

(1) 개요

 

 

(2) 주요 내용 정리

 

 

 

 

 

 

 

7. 전자서명법(시행:2020.12.10.)

(1) 개요

 

 

(2) 주요 내용 정리

 

 

 

 

8. 위치정보의 보호 및 이용 등에 관한 법률(시행:2021.02.05.)

(1) 개요

 

 

(2) 주요 내용 정리

 

 

 

 

 

'교육 및 자격증 > 정보보안기사 : 실기' 카테고리의 다른 글

part2. 네트워크(sec4,5,6)  (0) 2023.04.07
sec2 UNIX, Linux 서버 취약점; sec3 윈도우 서버 취약점  (0) 2023.04.07
정보보안기사 실기 기출 분석 및 출제 범위  (0) 2023.03.31
sec 01; 시스템 기본 학습  (0) 2023.03.06
목차  (0) 2022.09.06

'교육 및 자격증/정보보안기사 : 실기' Related Articles

티스토리툴바