정보보안 법규는 반복학습을 통한 암기가 필수
대분류
1. 개인정보보호법
2. 관련 고시
3. 정보통신망법
개인정보기술적관리적보호조치 <- 폐지됨
정보통신서비스제공자 특례 <- 삭제후 일반규정으로 통합됨
최신법규 원문확인
1. 국가 법령정보센터 http://www.law.go.kr 접속
2. 개인정보보호법 입력
3. 행정규칙에서 고시 확인 가능
개인정보 보호법
개요
- 개인정보의 정의, 보호 원칙, 정보주체의 권리, 다른 법률과의 관계
- 개인정보보호법은 일반법이므로, 타 법률에 특별한 규정이 있으면 해당 법률에 따름
개인정보의 처리
1. 수집
2. 이용
3. 제공 (제 3자 제공)
4. 관리(보관)
5. 파기
개인정보보호법 총칙
- 개인정보의 처리 및 보호에 관한 사항을 정함으로써, 개인의 자유와 권리를 보호하고 나아가 개인의 존엄과 가치를 구현함을 목적으로 함
용어정리
- 개인정보 : 살아있는 개인에 관한 정보 (성명, 주민등록번호 및 개인을 알아볼 수 있는 정보, 가명정보, 다른 정보와 결합하여 알아볼 수 있는 정보)
- 가명처리 : 개인정보의 일부를 삭제 또는 대체하여 추가정보 없이는 특정 개인을 알아볼 수 없도록 처리하는 것
- 처리 : 개인정보의 수집, 생성, 연계, 공개, 파기, 그 밖에 이와 유사한 행위
- 정보주체 : 처리되는 정보에 의하여 알아볼 수 있는 사람. 그 정보의 주체인 사람.
- 개인정보파일 : 규칙에 의해 체계적으로 배열하거나 구성한 개인정보의 집합물
- 개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위해 개인정보를 처리하는 공공기관, 법인, 단체, 개인 등
- 개인정보 보호책임자CPO : 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자
( 정보보호 최고책임자CISO ↑ 구분가능해야 함 )
- 개인정보 취급자 : 개인정보처리자의 지휘/감독을 받아 개인정보를 처리하는 임직원, 근로자 등
- 고정형 영상정보 처리기기 : 일정 공간에 설치되어 지속적 또는 주기적으로 사람 또는 사물의 영상을 촬영하거나 이를 유무선망을 통하여 전송하는 장치
- 이동형 영상정보 처리기기 : 사람이 신체에 착용/휴대하거나 이동 가능한 물체에 부탁/거치하여 사람/사물의 영상을 촬영하거나 이를 유무선망을 통하여 전송하는 장치
- 착용형 장치 : 안경, 시계
- 휴대형 장치 : 스마트폰 등
- 부착/거치형 장치 : 차량, 드론 등
특정 개인 식별정보 : 특정 개인에 관한 정보
가명정보 : 가명처리하여 추가정보 없이 알아볼 수 없는 정보
익명정보 : 더 이상 특정 개인을 알아볼 수 없도록 비식별 조치가 된 정보
| 특정 개인 식별정보 | 가명정보 | 익명정보 (개인정보 아님) |
| 이름 : 홍길동 성별 : 남자 주소 : 서울시 XX동 XX번지 |
이름 : 홍XX 성별 : 남자 주소 : 서울시 소재 |
서울 사는 남성 |
개인정보의 종류
- 민감정보 : 사생활을 현저히 침해할 우려가 있는 개인정보 (사상, 신념, 건강, 성생활, 정당 가입/탈퇴 등)
- 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
- 일반적 정보 : 이름, 주소, 전화번호 등
- 그 외 정신적 정보, 신체적 정보, 사회적 정보, 재산적 정보, 통신 위치정보 등
개인정보의 처리 > 1절 개인정보의 수집, 이용, 제공 등
1) 개인정보처리자는 다음의 경우 개인정보를 수집할 수 있고, 그 수집 목적 범위 내에서만 이용할 수 있다.
가) 정보주체의 동의를 받은 경우
나) 법률에 특별한 규정이 있거나, 법령상 의무 준수하기 위해 불가피한 경우
다) 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위해 불가피한 경우
라) 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위해 필요한 경우
마) 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우
바) 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로 명백하게 정보주체의 권리보다 우선하는 경우
사) 공중위생 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우
2) 정보주체로부터 개인정보 수집, 이용 동의를 받을 때에는 다음 사항을 고지해야 한다.
가) 개인정보의 수집, 이용 목적
나) 수집하려는 개인정보 항목
다) 개인정보의 보유 및 이용 기간
라) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이이익의 내용
개인정보 수집, 이용 주요 위반 사례
| [개인정보 수집 및 이용 동의] 1. 개인정보 수집 항목 2. 개인정보 수집 및 이용 목적 3. 개인정보의 보유 및 이용 기간 : 처리목적 달성시까지 개인정보 수집 및 이용 동의에 대해 거부할 수 있으나 동의 거부 시 대입원서 접수의 제한이 있을 수 있습니다. |
=> 위반사유 : 정보주체의 동의여부 체크 항목이 없다
| [개인정보 수집 및 이용 동의] 1. 개인정보 수집 항목 2. 개인정보 수집 및 이용 목적 3. 개인정보의 보유 및 이용 기간 : 처리목적 달성시까지 지원자는 개인정보 수집 및 이용에 동의하십니까? □ 동의함 □ 동의하지 않음 |
=> 위반사유 : 개인정보 수집이용 동의시 동의를 거부할 권리 및 동의 거부시 불이익 고지가 없음
| [개인정보 수집 및 이용 동의] 1. 개인정보 수집 항목 2. 개인정보 수집 및 이용 목적 3. 개인정보의 보유 및 이용 기간 : 처리목적 달성시까지 개인정보 수집 및 이용 동의에 대해 거부할 수 있으나 동의 거부 시 불이익이 있을 수 있습니다. 지원자는 개인정보 수집 및 이용에 동의하십니까? □ 동의함 □ 동의하지 않음 |
=> 위반사유 : 개인정보 수집이용 동의시 동의를 거부할 권리 및 동의 거부시 불이익 고지가 있으나, 불이익의 내용을 고지하지 않음
| [개인정보 수집 및 이용 동의] 1. 개인정보 수집 항목 2. 개인정보 수집 및 이용 목적 개인정보 수집 및 이용 동의에 대해 거부할 수 있으나 동의 거부 시 대입원서 접수의 제한이 있을 수 있습니다. 지원자는 개인정보 수집 및 이용에 동의하십니까? □ 동의함 □ 동의하지 않음 |
=> 위반사유 : 개인정보의 보유 및 이용 기간 고지 하지 않음
개인정보의 수집 제한
1) 개인정보처리자는 수집 목적에 필요한 최소한의 개인정보를 수집해야 하며, 입증책임은 개인정보처리자가 부담한다.
- 최소한의 범위를 벗어난 개인정보는 선택정보이고 필수정보와 구분하여 동의를 얻어야 한다.
2) 개인정보처리자는 필요한 최소한의 개인정보(필수정보) 이외의 개인정보(선택정보) 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 고지하고, 개인정보를 수집해야 한다
3) 개인정보처리자는 필요한 최소한의 개인정보(필수정보)이외의 개인정보(선택정보) 수집에는 동의하지 않는다는 이유로 정보주체에 재화나 서비스 제공을 거부할 수 없다
(제17조) 개인정보 수집 목적 범위 내 제 3자 제공
1) 개인정보처리자는 다음의 경우 수집한 개인정보를 제3자에게 제공할 수 있다
가) 정보주체의 동의를 받은 경우
나) 법률에 특별한 규정이 있거나, 법령상 의무 준수하기 위해 불가피한 경우
다) 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위해 불가피한 경우
라) 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우
마) 개인정보처리자의 정당한 이익을 달성하기 위해 필요한 경우로 명백하게 정보주체의 권리보다 우선하는 경우
바) 공중위생 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우
2) 개인정보 제3자 제공에 따른 정보주체의 동의를 받을 때는 다음 사항을 고지해야 한다
가) 개인정보를 제공받는 자
나) 개인정보를 제공받는 자의 개인정보 이용 목적
다) 제공하는 개인정보의 항목
라) 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
마) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 불이익 내용
실무형 문제 서술형 예시
| 서비스 이용 신청서 |
| 개인정보 수집/이용 동의 1. 개인정보 수집 및 이용 목적 2. 수집하는 개인정보 항목 신청자는 개인정보 제공에 동의할 수 있으며 동의 거부시 불이익이 있을 수 있음 동의하시겠습니까? |
| □ 동의함 □ 동의하지 않음 |
| 개인정보 제 3자 제공 서비스 영역 : ~ 제공받는 업체 : ~ 제공받는 이용 목적 : ~ 제공하는 항목 : ~ 신청자는 개인정보 제공에 동의할 수 있으며 동의 거부시 필수적인 정보제공이 이루어지지 않으므로 서비스가 불가합니다. 동의하시겠습니까? |
| □ 동의함 □ 동의하지 않음 |
| 2024. 00. 00 서명자 (인) |
=> 개인정보의 보유 및 이용기간이 누락됨
=> 불이익의 유무만 고지하고 불이익의 내용을 고지하지 않음
=> 제3자 제공시 제공받는자의 개인정보 보유 및 이용기간이 누락됨
개인정보의 목적 외 이용/제공 제한
1) 개인정보를 목적 외 용도로 이용하거나 제3자에게 제공하는 것은 원칙적으로 금지된다.
2) 단, 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없는 경우 예외적으로 다음에 한해 허용함
- 정보주체로부터 별도 동의를 받은 경우
- 다른 법률에 특별한 규정이 있는 경우
- 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위해 필요하다고 인정되는 경우
- 기타 공공기관 : 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 보호위원회의 심의, 의결이 거친 경우 등
- 공중위생 등 공공의 안전과 안녕을 위해 긴급히 필요한 경우
(제 19조) 개인정보를 제공받은 자의 이용, 제공 제한
- 정보주체로부터 별도의 동의를 받거나, 다른 법률에 특별한 규정이 있는 경우를 제외하면 제한된다
(제 20조) 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지
정보주체의 요구가 있으면 즉시 다음 사항을 알려야 한다
- 개인정보의 수집 출저
- 개인정보의 처리 목적
- 개인정보 처리의 정리르 요구하거나 동의를 철회할 권리가 있다는 사실
(제 20조의 2) 개인정보 이용, 제공 내역의 통지
1) 일정 기준 이상의 개인정보처리자는 수집한 개인정보의 이용/제공 내역이나 이용/제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지해야 한다
가) 통지의무 대상 개인정보처리자
- 5만명 이상의 정보주체에 관해 민감정보 또는 고유식별정보를 처리하는자
- 100만명 이상 정보주체에 대한 개인정보를 처리하는 자
나) 통지해야 하는 정보
- 개인정보의 수집 이용 목적 및 수집한 개인정보 항목
- 개인정보를 제공받은 제3자와 그 제공 목적 및 제공한 개인정보 항목
다) 통지방법 및 주기 : 연 1회 이상 다음 중 하나의 방법으로 통지
- 서면, 전자우편, 전화, 문자전송 등 정보주체가 쉽게 확인할 수 있는 방법
- 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있게 알림창을 통해 고지
( 통지할 수 있는 개인정보를 수집/보유하지 않았을 때는 통지하지 않을 수 있다 )
(제21조) 개인정보의 파기
1) 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때는 지체없이 파기해야 한다.
- 개인정보 보유기간을 고지하고 동의받는 경우 보유기간을 정할 때는 필요 최소한으로 정해야 한다.
2) 개인정보를 파기할 때는 복구 또는 재생되지 않도록 조치
3) 다른 법령에 따라 보존해야 할 때는 다른 개인정보와 분리하여 저장, 관리해야 한다.
법규1 END --
(제22조) 동의를 받는 방법
1) 정보주체의 동의를 받을 때는 각각의 동의 사항을 구분하여, 정보주체가 이를 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다.
- 개인정보 수집, 이용 동의
- 개인정보 제 3자 제공 동의
- 개인정보의 목적 외 이용제공 동의
- 개인정보를 제공받은 자의 목적 외 이용제공 동의
- 민감정보의 처리 동의
- 고유식별정도 처리 동의
- 재화나 서비스 홍보 또는 판매를 권유하기 위해 개인정보 처리에 동의받는 경우
2) 정보주체의 동의 없이 처리할 수 있는 개인정보는 그 항목과 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 전자우편 등으로 정보 주체에 알려야 한다
3) 선택적으로 동의할 수 있는 사항을 동의하지 않는다는 이유로 재화나 서비스 제공을 거부해서는 안 된다.
예시
| - 개인정보 수집 이용 내역 ~ 위와 같이 개인정보를 제3자 제공하는 데 동의하십니까? 동의/비동의 - 민감정보 처리 내역 ~ 위와 같이 개인정보를 제3자 제공하는 데 동의하십니까? 동의/비동의 - 개인정보 제3자 제공 내역 ~ 위와 같이 개인정보를 제3자 제공하는 데 동의하십니까? 동의/비동의 - 기타 고지 사항 개인정보 보호법 제 15조 ~~ 에 따라 정보주체의 동의 없이 개인정보를 수집, 이용합니다. - 개인정보 처리 사유 : ~ - 개인정보 항목 : ~ - 수집 근거 : ~ ㅁㅁ년 ㅁㅁ월 ㅁㅁ일 본인 성명 (서명 또는 인) |
=> 분리하여 동의를 받아야한다. 기타고지사항은 동의를 안 받아도 되지만, 고지해야한다.
위반사례
| [개인정보 수집 및 이용 동의] ~와 같이 개인정보를 수집, 이용합니다. 수집 목적 - 회원 식별 및 회원제 서비스 제공 (아이디, ~월 ~일 까지) - 고객상담 및 AS 관리 (연락처, ~월 ~일 까지) - 서비스 변경사항 및 고지사항 전달 (이메일, ~월 ~일 까지) - 마케팅 및 광고 활용 (이메일, 연락처, ~월 ~일 까지) * 귀하는 ㅁㅁ이용에 필요한 필수정보 수집, 이용에 동의하지 않을 권리가 있고 동의 거부한 내용에 대해 서비스 제공이 어려울 수 있습니다. |
| 동의하십니까? □ 동의함 □ 동의하지 않음 |
=> 마케팅 목적으로 수집하는 경우 분리하여 따로 동의받아야 한다
개선사례
| [개인정보 수집 및 이용 동의] ~와 같이 개인정보를 수집, 이용합니다. 수집 목적 - 회원 식별 및 회원제 서비스 제공 (아이디, ~월 ~일 까지) - 고객상담 및 AS 관리 (연락처, ~월 ~일 까지) - 서비스 변경사항 및 고지사항 전달 (이메일, ~월 ~일 까지) * 귀하는 ㅁㅁ이용에 필요한 필수정보 수집, 이용에 동의하지 않을 권리가 있고 동의 거부한 내용에 대해 서비스 제공이 어려울 수 있습니다. |
| 동의하십니까? □ 동의함 □ 동의하지 않음 |
| [마케팅 및 광고 활용 동의] ~와 같이 개인정보를 수집, 이용합니다. 수집 목적 - 이메일 잡지 발송 (이메일, 연락처, ~월 ~일 까지) * 귀하는 ㅁㅁ이용에 필요한 필수정보 수집, 이용에 동의하지 않을 권리가 있고 동의 거부한 내용에 대해 서비스 제공이 어려울 수 있습니다. |
| 동의하십니까? □ 동의함 □ 동의하지 않음 |
(제22조의 2) 아동의 개인정보 보호
1) 만 14세 미만 아동의 개인정보를 처리하려면 법정대리인의 동의를 받아야 하며, 법정대리인이 동의하였는지 확인해야 한다.
2) 법정대리인의 동의를 받기 위해 필요한 최소한의 정보는 해당 아동으로부터 직접 수집할 수 있다.
- 필수정보 : 법정대리인의 성명 및 연락처
위반사례
| 회원가입 성명 : 홍길동 생년월일 : 2016년 11월 11일 비밀번호 : ~ 비밀번호 확인 : ~ 이메일 : ~ ... |
| [회원 가입] [취소] |
=> 만 14세 미만 아동의 가입 항목에 법정대리인 동의가 없음
개선사례
| 회원가입 성명 : 홍길동 생년월일 : 2016년 11월 11일 비밀번호 : ~ 비밀번호 확인 : ~ 이메일 : ~ [ 법정대리인 휴대전화 인증 ] (만 14세 미만 필수) 이름 : ㅇㅇㅇ 생년월일 : 성별 : 이동통신사 : 연락처 : 인증번호 입력 : [인증 확인] ... |
| [회원 가입] [취소] |
=> 법정대리인 동의 관련 정보를 입력받아야 한다
개인정보의 처리 > 2절 개인정보의 처리 제한
가. (제23조/제24조) 민감정보 / 고유식별정보의 처리 제한
1) 민감정보 및 고유식별정보는 원칙적으로 처리를 금지한다.
2) 단, 다음의 하나에 해당하면 처리가능
가) 정보주체에게 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
나) 법령에서 구체적으로 처리를 요구하거나 허용하는 경우
(단, 주민등록번호는 법률 또는 법령 등에 구체적으로 처리근거가 있어야 처리 가능)
3) 개인정보처리자는 분실/도난/위조/변조/훼손되지 않도록 안정성 확보조치를 해야한다
4) 고유식별정보 수집 시 다른 개인정보 수집과 별도로 동의받아야 한다
위반사례
실무형 문제 서술형 예시
| 서비스 이용 신청서 |
| 개인정보 수집/이용 동의 필수항목 1. 개인정보 수집 및 이용 목적 : ~ 2. 수집하는 개인정보 항목 : ~ 3. 보유기간 : ~ 단, 타법에 의해 보관이 필요한 경우 추가보관하며 세부적인 내용은 ㅁㅁ홈페이지의 개인정보 처리방침을 확인하시기 바랍니다. 신청자는 필수 개인정보 수집 및 이용동의를 거부할 수 있습니다. 단, 거부시 서비스 가입이 불가합니다. |
| (필수항목) 동의하시겠습니까? □ 동의함 □ 동의하지 않음 |
| 선택항목 수집 및 이용 동의 1. 개인정보 수집 및 이용 목적 : ~ 2. 수집하는 개인정보 항목 : 이메일, 질병, 키, 몸무게 ←!! 민감정보 !! 3. 보유기간 : ~ 단, 타법에 의해 보관이 필요한 경우 추가보관하며 세부적인 내용은 ㅁㅁ홈페이지의 개인정보 처리방침을 확인하시기 바랍니다. 신청자는 필수 개인정보 수집 및 이용동의를 거부할 수 있습니다. 단, 거부시 ㅁㅁ서비스 이용에 제한이 있을 수 있습니다. |
| (선택항목) 동의하시겠습니까? □ 동의함 □ 동의하지 않음 |
| 회원 정보 양식 성명 : 홍길동 성별 : 여 생년월일 : 2012.11.11 전화번호 : 000 0000 0000 이메일 : ghdrlfehd@naver~ 질병 : 천식 키 : 165 몸무게 57 |
| 2024. 00. 00 서명자 (인) |
=> 민감정보(건강)는 따로 분리하여 동의를 받아야 함
=> 만 14세 미만 아동은 법정대리인 동의가 필요함
(제24조 2) 주민등록번호 처리의 제한
1) 고유식별정보 중 주민등록번호는 정보주체의 별도 동의를 받아도 처리가 불가하다. 단, 아래의 경우만 예외적으로 허용
- 법률, 대통령령, 대법원규칙 등에서 구체적으로 주민등록번호의 처리를 요구하거나 허용할 때
- 정보주체 또는 제3자의 급박한 생명, 신체, 재산상 이익을 위해 명백히 필요하다고 인정될 때
- 위의 사항에 준하는 경우 보호위원회가 고시로 정할때
2) 인터넷으로 회원가입시 주민등록번호를 사용하지 않는 가입 방법 (대체수단)을 제공해야 한다
- 대체 수단 : 아이핀, 휴대폰인증, 인증서 등
위반사례 기출문제 예시
실무형 문제 서술형 예시
| 서비스 이용 신청서 |
| 개인정보 수집/이용 동의 필수항목 1. 개인정보 수집 및 이용 목적 : ~ 2. 수집하는 개인정보 항목 : 이름, 전화번호, 사진, 주민등록번호, 주소 3. 보유기간 : 영구보관 신청자는 필수 개인정보 수집 및 이용동의를 거부할 수 있습니다. 단, 거부시 서비스 가입이 불가합니다. |
| 개인정보 제3자 제공 내역 1. 제공기관 2. 제공 : 이름, 전화번호, 사진, 주민등록번호, 주소 3. 제공목적 4. 보유기간 : ㅇㅇ서비스 만료시까지 |
| 개인정보 취급업무 위탁 내역 1. 위탁받는 업체 2. 업무 내용 |
| 위와 같이 개인정보 수집, 이용 및 제공, 위탁하는데 동의하시겠습니까? □ 동의함 □ 동의하지 않음 |
| 2024. 00. 00 서명자 (인) |
=> 필수항목, 제 3자 제공 동의 여부에 대해 항목별로 동의 여부를 따로 확인받아야 한다 (포괄적 동의 금지)
=> 주민등록번호는 정보주체의 동의여부와 관계 없이, 관련 법령에서 처리를 요구하거나 허용하지 않는 한 처리할 수 없다.
=> 제공기간은 필요한 최소한의 기간으로 정해야 한다.
=> 제 3자 제공 동의시 정보주체는 거부할 권리가 있으며, 거부할 시의 불이익이 있을 경우 불이익까지 고지해야 한다.
(제 25조) 고정형 영상정보처리기기의 설치, 운영 제한
1) 다음의 경우를 제외하고는 공개된 장소에 고정형 영상정보처리기기 설치, 운영이 금지된다
가) 법령에서 구체적으로 허용
나) 범죄의 예방 및 수사
다) 시설의 안전 및 관리, 화재 예방
라) 교통 단속을 위하여
마) 교통정보의 수집, 분석 및 제공을 위함
바) 영상정보를 저장하지 아니하는 경우로서 대통령령으로 정하는 경우
-> 통계값 또는 통계적 특성값 산출을 위해 촬영된 영상정보를 일시적으로 처리할 때
2) 개인의 사생활을 현저히 침해할 우려가 있는 장소 (목욕탕, 화장실, 탈의실, 발한실 등)
3) 다음 사항을 포함하여 안내판을 설치해야 한다
- 설치 목적 및 장소
- 촬영 범위 및 시간
- 관리책임자의 연락처
- 그밖의 대통령령으로 정하는 사항
(제 25조 2) 이동형 영상정보처리기기의 설치, 운영 제한
1) 업무를 목적으로 운영하려는 자는 다음의 경우를 제외하고 공개된 장소에 이동형 영상정보처리기기의 운영을 금지함
가) 제 15조 1항에 따라 개인정보 수집/이용시
나) 촬영사실을 명확히 표시하여 정보주체가 촬영사실을 알 수 있도록 하였음에도 거부 의사를 밝히지 않았을 때
2) 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있는 이동형 영상정보처리기기 운영 금지
3) 사람 또는 사람과 관련된 사물을 촬영할 경우 불빛, 소리, 안내판 등으로 촬영 사실을 표시하고 알려야 한다.
(제 26조) 업무 위탁에 따른 개인정보의 처리 제한
1) 개인정보의 제3자 제공과 위탁의 차이점
| 제3자 위탁 (위탁자) 처리 목적 : 제공받는자의 이익/목적 제공하는자의 이익/목적 관리 책임 : 제공받는자 책임 제공하는자 책임 |
(위탁시, 위탁자와 수탁자(통계분석을 위해 통계업체에 정보 제공시 통계업체가 수탁자)가 있음)
2) 개인정보 처리 업무를 위탁하는 경우 다음 내용이 포함된 문서로 해야 한다.
가) 위탁업무 수행 목적 외 개인정보 처리금지에 관한 사항
나) 개인정보의 기술적 관리적 보호조치에 관한 사항
다) 그 밖의 대통령령으로 정한 사항 등
3) 개인정보처리자(위탁자)는 위탁하는 업무의 내용과 위탁받아 처리하는자(수탁자)를 정보주체가 확인할 수 있게 대통령령으로 정하는 방법에 따라 공개해야 한다 (3가지 이상 암기)
가) 위탁자의 인터넷 홈페이지에 지속적으로 게재
나) 위탁자의 사업장 등의 보기 쉬운 장소에 게시
다) 관보나 일반 일간 신문, 주간 신문 등에 싣는 방법
라) 같은 제목으로 연 2회이상 발행해 정보주체에게 배포하는 간행물, 홍보지, 청구서 등에 지속해서 싣는 방법
마) 위탁자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급
4) 재화 또는 서비스의 홍보나 판매를 권유하는 업무(마케팅)를 위탁할 때는 서면 등의 방법으로 정보주체에게 알려야 함
5) 정보를 안전하게 관리할 수 있도록 수탁자를 교육하고 감독
6) 위탁받은 업무 범위를 초과하여 이용하거나 제3자에게 제공해서는 안됨
7) 수탁자는 업무를 제3자에게 다시 위탁하려는 경우 위탁자의 동의를 받아야 함
8) 수탁자는 법위반의 손해배상책임에 대해서 위탁자의 소속 직원으로 본다. 위탁자에게 손해배상책임이 있다.
(3장) 개인정보의 처리 > 제3절 가명정보의 처리에 관한 특례
가. (제 28조) 가명정보의 처리 등
1) 개인정보 처리자는 통계작성, 과학적 연구, 공익적 기록 보존등을 위해 정보주체의 동의없이 가명정보를 처리할 수 있다
2) 가명정보를 제3자에게 제공시, 특정 개인을 알아보기 위해 사용될 수 있는 정보는 포함해선 안된다.
나. (제 28조 3) 가명정보의 결합 제한
- 서로 다른 개인정보처리가 간의 가명정보의 결합은 지정된 전문기관이 수행
다. (제 28조 4) 가명정보에 대한 안전조치 의무
1) 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관, 관리. 안전성 확보에 필요한 기술적 관리적 및 물리적 조치 필요
2) 가명정보의 처리목적, 제3자 제공시 제공받는 자 등 가명정보의 처리내용에 대한 기록을 작성하여 보관
- 처리목적, 개인정보 항목, 이용내역, 제3자 제공시 제공받는자, 처리기간(정한경우), 그 외 보호위원회 필요 사항
(4장) 개인정보의 안전한 관리
가. (제 29조) 안전조치의무
- 분실도난유출위조변조훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적 관리적 물리적 조치를 해야 한다.
(제 30조) 개인정보 처리방침의 수립 및 공개
1) 개인정보 처리 방침 (4가지 이상 암기)
가) 개인정보의 처리 목적
나) 개인정보의 처리 및 보유기간
다) 개인정보의 제 3자 제공에 관한 사항 (해당시)
라) 개인정보의 파기절차 및 파기방법
마) 민감정보의 공개 가능성 및 비공개를 선택하는 방법 (해당시)
바) 개인정보처리의 위탁 사항 (해당시)
사) 가명정보의 처리 관련 사항 (해당시)
아) 정보주체와 법정대리인의 권리, 의무 및 그 행사방법
자) 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 연락처
차) 인터넷 접속정보파일 등 개인정보를 자동 수집하는 장치의 설치, 운영 및 그 거부에 관한 사항 (해당시)
카) 그 밖의 대통령령으로 지정된 사항
- 처리하는 개인정보의 항목
- 개인정보의 안정성 확보 조치에 관한 사항
2) 개인정보 처리방침을 수립하거나 변경하는 경우 정보주체가 쉽게 확인할 수 있게 대통령령으로 정한 방법에 따라 공개
(3가지 이상 암기)
가) 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재
나) 다음 중 하나 이상의 방법으로 공개
- 개인정보처리자의 사업장 등의 보기 쉬운 장소에 게시
- 관보(공공기관만 해당) 또는 해당지역을 주된 보급지역으로 하는 일반 일간/주간 신문 또는 인터넷 신문에 게재
- 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물, 소식지, 홍보지, 청구서 등에 지속적으로 싣기
- 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급
(제 31조) 개인정보 보호책임자CPO의 지정
1) 개인정보처리자는 개인정보 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자CPO를 지정해야 한다.
개인정보 보호책임자CPO 업무
- 개인정보 보호 계획의 수립 시행, 개인정보 처리 실태 및 관행의 정기적 조사 및 개선, 개인정보 처리와 관련된 불만의 처리 및 피해 구제, 개인정보 유출 및 오용남용 방지를 위한 내부통제시스템 구축, 개인정보 보호 교육 계획의 수립 및 시행 등...
(제 33조) 개인정보 영향평가PIA (공공기관만)
1) 공공기관 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인해 정보주체의 개인정보 침해가 우려되는 경우 그 위험요인 분석과 개선 사항 도출을 위한 평가를 하고 그결과를 보호위원회에 제출해야한다.
2) 개인정보보호법 시행령 제 35조를 살펴보면 대통령령 기준, 개인정보파일이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일이다. 다음과 같은 4가지 유형.
가) 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
나) 다른 개인정보파일과 연계할 때, 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
다) 100만명 이상의 정보주체에 관한 개인정보파일
라) 개인정보파일의 운용체계를 변경하려는 경우의 개인정보파일 (변경된 부분으로 한정)
3) 개인정보 영향평가를 하는 경우 다음 사항을 고려
- 처리하는 개인정보의 수, 개인정보의 제3자 제공 여부, 정보주체의 권리를 해할 가능성 및 그 위험 정도, 그 밖의 대통령령으로 정한 사항
(제 34조) 개인정보 유출 등의 통지, 신고
1) 개인정보 처리자는 개인정보의 유출, 도난 등 사실을 알게 되었을 때 지체없이 (정당한 사유가 없을 시 72시간 내) 정보주체에게 관련 사실을 통지하고 전문기관에 신고하는 등 조치해야 한다
2) 유출 통지 방법
통지 대상 : 1건이라도 유출되었음을 알게 되었을 때, 해당 정보주체에게 통지
통지 시기 : 72시간 내
통지 방법 : 개별 통지 또는 연락처를 알 수 없을 경우 홈페이지에 30일 이상 공개하는 것으로 갈음
통지 내용 : 유출된 개인정보의 항목
유출된 시점과 경위
정보주체가 할 수 있는 피해 최소화 방법
개인정보처리자의 대응조치 및 피해 구제절차
정보주체에게 피해가 발생한 경우 신고등을 접수할 수 있는 담당부서 및 연락처
(통지내용 다섯 가지 전부 암기 필수)
3) 개인정보 유출 신고 방법
| 신고대상 | - 1천명 이상 정보주체에 관한 개인정보 유출시 - 민감정보 또는 고유식별정도가 유출 - 개인정보처리시시스템 또는 개인정보 처리에 이용하는 정보기기에 대한 외부로부터 불법적인 접근에 의한 개인정보 유출 |
| 신고 기관 | 개인정보보호위원회 또는 한국인터넷진흥원 |
| 신고 시기 | 72시간 내 |
보안법규 2 END --
개인정보의 안전성 확보조치 기준
(제 1조) 목적
가. 법적 근거
1) 개인정보 보호법 제 29조
- 대통령령으로 정하는 바에 따라 안정성 확보에 필요한 기술적, 관리적 및 물리적 조치를 해야 한다
2) 개인정보보호법 시행령 제 16조 2항, 제 30조 및 제 30조의 2
- 안전한 파기에 관한 세부 사항은 보호위원회가 정하여 고시함
가) 개인정보 안전성 확보를 위한 관리적 조치
- 개인정보의 안전한 처리를 위한 내부 관리계획의 수립, 시행 및 점검
나) 개인정보 안전성 확보를 위한 기술적 조치
- 개인정보에 대한 접근 권한을 제한하기 위한 조치
- 개인정보에 대한 접근을 통제하기 위한 조치
- 개인정보를 안전하게 저장, 전송하기 위한 조치
- 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조, 변조 방지를 위한 조치
- 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 바이러스, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검, 치료할 수 있도록 하는 기능이 포함된 프로그램의 설치, 운영과 주기적 갱신, 점검 조치
다) 개인정보 안전성 확보를 위한 물리적 조치
- 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
(참고) 개인정보의 안전성 확보조치 개정 시행 (고시 통합)
개인정보의 기술적, 관리적 보호조치 기준 폐지
=> 개인정보의 안전성 확보조치 기준으로 통합 개정됨.
개선
가) 구체적인 비밀번호 작성 규칙을 삭제. 인증수단을 안정하게 적용, 관리하는 방법을 자율적으로 정할 수 있도록 함
나) 정당한 사유가 있는 경우 사용자 계정 공유 / 개인정보 보호에 필요한 프로그램 업데이트 지연 허용
다) 클라우드 컴퓨팅 서비스를 이용하여 개인정보시스템을 구성, 운영하는 경우 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치 허용
라) 블록체인 등 기술적 특성으로 영구삭제가 곤란한 경우 익명정보로 처리를 파기 방법으로 허용
(제 2조) 용어 정의
가. 개인정보처리시스템 : 데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템
나. 이용자 : 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자
(이용자가 아닌 정보주체 = 비고객)
다. 접속 기록 : 개인정보처리시스템에 접속하는 자가 개인정보처리시스템에 접속하여 수행한 업무내역에 대해 식별자, 접속일시, 접속자 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것. 이 때 접속이란? 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다. (괄호넣기 단답형 기출 이력 있음)
라. 정보통신망 : 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터 이용 기술을 활용하여 정보를 수집, 가공, 저장, 검색, 송신 또는 수신하는 정보통신체계
마. P2P : 정보통신망을 통해 개인과 개인이 직접 연결되어 파일을 공유하는 것
바. 공유설정 : 컴퓨터 소유자의 파일을 타인이 조회, 변경, 복사 등 할 수 있도록 설정
사. 모바일 기기 : 무선망을 이용할 수 있는 개인정보 처리에 이용되는 휴대용 기기
아. 비밀번호 : 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자임을 식별할 수 있도록 시스템에 전달해야 하는 고유한 문자열.
자. 생체정보 : 지문, 얼굴, 필적 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보. 특정 개인을 인증, 식별하거나 개인에 관한 특징을 알아보기 위해 기술적 수단을 통해 처리되는 정보
차. 생체인식정보 : 생체정보 중 특정 개인을 인증 또는 식별할 목적으로 기술적 수단을 통해 처리되는 정보 (생체정보와 구분)
카. 인증정보 : 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속을 요청하는 자의 신원 검증에 사용되는 정보
타. 내부망 : 인터넷망 차단, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간
파. 위험도 분석 : 개인정보 유출에 영향을 미칠 수 있는 다양한 위험 요소를 식별, 평가, 적절하게 통제하는 방안 마련을 위한 종합적 분석 행위
하. 보조저저장매체 : 이동형 하드디스크, USB 메모리 등 자료를 저장할 수 있는 매체. 개인정보처리시스템 또는 개인용 컴퓨터 등과 쉽게 연결, 분리할 수 있음.
(제 4조) 내부 관리계획의 수립, 시행 및 점검
가. 개인정보처리자는 개인정보가 분실, 도난, 유출, 위조, 변조, 훼손되지 않도록 내부 의사결정 절차를 통해 내부 관리계획을 수립, 시행해야 한다.
- 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인, 개인 단체의 경우 생략 가능
나. 내부 관리 계획의 포함 사항
- 개인정보취급자에 대한 관리감독 및 교육에 관한 사항
- 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항
- 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항
- 개인정보 보호 조직의 구성 및 운영에 관한 사항
- 개인정보 보호책임자CPO의 자격요건 및 지정에 관한 사항
- 개인정보취급자의 역할 및 책임에 관한 사항
- 접근 권한의 관리에 관한 사항
- 접근 통제에 관한 사항
- 개인정보의 암호화 조치에 관한 사항
- 접속기록의 보관 및 점검에 관한 사항
- 악성프로그램 등 방지에 관한 사항
- 개인정보 처리업무 위탁시 수탁자에 대한 관리 및 감독에 관한 사항
... 등등. (읽고 무엇에 관한 사항인가? 답변할 수 있도록 알아둘 것)
내부 관리계획 수립 및 시행에 관한 사항
1) 개인정보처리자는 개인정보 보호책임자CPO 및 개인정보취급자를 대상으로 사업 규모, 개인정보 보유수, 업무성격 등에 따라 차등화하여 정기적 교육을 실시해야 한다.
- 교육 목적 및 대상, 교육 비용, 교육일정 및 방법
2) 중요변경사항이 있는 경우 즉시반영하여 수정하여 시행하고 수정 이력을 관리해야 한다.
내부관리계획의 이행 실태 및 점검 관리에 관한 사항
- 개인정보 보호책임자CPO는 내부관리계획의 이행 상태를 연 1회 이상 점검, 관리해야 한다.
(제 5조) 접근 권한의 관리
가. 접근 권한의 부여, 변경, 말소에 관한 사항
1) 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게만 업무 수행에 필요한 최소한의 범위로 차등부여 해야 한다.
2) 개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우, 지체없이 접근권한을 변경 또는 말소
3) 개인정보처리자는 접근 권한 부여, 변경, 말소에 대한 내역을 기록하고 그 기록을 최소 3년간 보관해야 한다.
나. 계정 발급에 관한 사항
1. 개인정보처리자는 개인정보처리시스템에 접근할 수 있는 계정 발급시, 정당한 사유가 없는 한 개인정보취급자 별로 발급하고 공유되지 않도록 해야 한다. (책임추적성)
다. 인증수단 관리에 관한 사항
1) 개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리해야 한다.
2) 개인정보처리자는 개인정보취급자 또는 정보주체가 일정 횟수 이상 인증에 실패한 경우 접근을 제한하는 등 필요한 조치를 해야 한다.
| 접근 권한의 부여, 변경, 또는 말소에 관한 기록의 최소 보관 기간은? => 3년 접근 권한의 관리기준 중 3가지를 서술하시오 => 권한은 최소한의 범위로 차등 부여한다. 개인정보취급자가 변경된 경우 지체없이 접근 권한을 변경 또는 말소한다. 정당한 사유가 없는 한 개인정보취급자 별로 계정을 별도 발급한다. 인증 실패에 대한 임계값을 설정한다. |
(제 6장) 접근통제
가. 정보통신망을 통한 접근에 대한 통제
1) 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 안전조치를 해야 한다.
가) 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한, 비인가 접근 제한
나) 개인정보처리시스템에 접속한 IP 주소등을 분석하여 개인정보 유출 시도 탐지 및 대응
2) 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속할 경우, 안전한 인증수단(인증서, 보안토큰, 일회용 비밀번호 등)을 적용해야 한다. 단, 이용자가 아닌 정보주체의 개인정보를 처리할 경우 안전한 접속수단(가상사설망)도 적용할 수 있다.
(이용자가 아닌 정보주체의 개인정보 = 비고객 정보 = 임직원 등)
<참고> 개인정보의 안전성 확보조치 기준
- 외부 접속시 안전한 인증 수단 예시 : 2-Factor 인증 접속 (SSL VPN 이용하여 패스워드 인증 + 인증서나 휴대폰으로 2차 인증)
안전한 인증수단
- 인증서PKI
- 보안토큰
- 일회용 비밀번호OTP
- 2-Factor 인증
<참고> 안전한 접속 수단 적용 또는 안전한 인증수단 적용
- VPN 또는 전용선을 통한 사용자 단말기로 안전하게 연결
안전한 접속수단
- 가상사설망VPN
- 전용선
개인정보처리시스템 및 개인정보취급자의 컴퓨터 등에 대한 접근통제
- 일정시간 이상 업무처리를 하지 않는 경우 자동으로 접속이 차단되도록 조치 (세션 타임아웃)
- 업무용 모바일 기기에 비밀번호 설정 등의 보호조치
개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치 적용 (망분리)
1) 적용 대상 : 전년도 말 기준 직전 3개월간 그 개인정보가 저장, 관리되고 있는 이용자수가 일평균 100만명 이상인 개인정보 처리자
2) 적용 범위 : 개인정보를 다운로드 또는 파기할 수 있거나, 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터
3) 예외 사항 : 클라우드 컴퓨팅 서비스를 이용하여 구성, 운영하는 경우 해당 서비스에 대한 접속 외 인터넷 차단 조치
(제 7조) 개인정보의 암호화
가. 개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 저장하는 경우 안전한 암호 알고리즘으로 암호화 해야 한다.
1) 비밀번호 저장시 복호화되지 않도록 일방향 암호화
2) 주요 권장 일방향 암호 알고리즘은 SHA-256/384/512 등이 있고 암호화시 솔트SALT, 반복횟수 등을 추가해 암호 강도를 높인다.
나. 정보통신망 송수신시 안전한 암호 알고리즘으로 암호화하는 경우
1) 비밀번호, 생체인식정보 등 인증정보를 정보통신망을 통해 송수신하는 경우
2) 개인정보를 정보통신망을 통해 인터넷망 구간으로 송수신 하는 경우
다. 개인정보처리시스템에 개인정보를 저장하는 경우
1) 다음의 이용자 개인정보를 안전한 암호 알고리즘으로 암호화하여 저장한다
- 고유식별정보 (주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)
- 신용카드번호, 계좌번호, 생체인식정보
2) 안전성 기준 및 암호 알고리즘
- 대칭키 또는 비대칭키 암호 알고리즘을 사용해 암호화 하여야 한다
- 주요 권장 대칭키 암호 알고리즘은 SEED, ARIA-128 이상, AES-128 이상 등이 있고 공개키 암호 알고리즘에는 RSA 키길이 2048bit 이상 등이 있다
3) 다음의 이용자가 아닌 정보주체, 비고객의 개인정보는 안전한 암호 알고리즘으로 암호화하여 저장한다
- 인터넷 구간 또는 DMZ 구간에 고유식별정보를 저장
- 내부망에 고유식별정보를 저장하는 경우 (단, 주민등록번호는 무조건 암호화하고, 나머지 고유식별정보는 개인정보 영향평가의 결과나 위험도 분석에 따른 결과에 따라 암호화 여부가 결정됨)
라. 개인정보취급자의 컴퓨터, 모바일 기기 등에 개인정보를 저장하는 경우
1) 이용자의 개인정보는 무조건 안전한 암호 알고리즘으로 암호화 저장
2) 이용자가 아닌 정보주체의 고유식별정보, 생체인식정보는 암호화 저장
마. 암호화 관리 절차 수립, 시행에 관한 사항
1) 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립, 시행해야 하는 기준
- 10만명 이상의 정보주체에 관한 개인정보를 처리하는 대기업/중견기업/공공기관
- 100만명 이상의 정보주체에 관한 개인정보를 처리하는 중소기업/단체
| 구분 | 암호화 대상 | ||
| 정보통신망 송수신 | 인증정보(비밀번호, 생체인식정보) 인터넷망 송수신시 개인정보 |
||
| 개인정보처리시스템 저장 | 이용자의 개인정보 | 고유식별정보 인증정보 신용카드 정보, 계좌번호 등 |
|
| 이용자 외 정보주체 개인정보 |
인터넷, DMZ | 고유식별정보 인증정보 |
|
| 내부망 | 고유식별정보 (단, 주민등록번호는 필수. 나머지는 개인정보 영향평가 또는 위험도 분석 결과에 따라 다름) 인증정보 |
||
| 개인정보취급자의 컴퓨터/기기 |
이용자의 개인정보 | 개인정보 | |
| 이용자 외 정보주체 개인정보 |
고유식별정보 인증정보 |
||
안전한 암호화 알고리즘 요약
일방향 : SHA-256 이상
양방향
- 대칭키 : SEED, ARIA-128 이상, AES-128 이상
- 비대칭키(공개키) : RSA 키길이 2048bit 이상
(제 8조) 접속기록의 보관 및 점검
가. 보관대상
- 개인정보취급자의 개인정보처리시스템 접속 기록
나. 보관 항목
1) 수행한 업무내역에 대해 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 필수 보관
- 식별자 : 접속자 식별 ID
- 접속일시
- 접속지 정보 : 컴퓨터 ip 또는 서버 ip 주소
- 처리한 정보주체 정보 : 누구의 개인정보를 처리하였는지 알 수 있는 식별정보
- 수행업무 : 처리한 내용을 알 수 있는 정보
다. 보관 기간
1) 접속기록을 1년 이상 보관 관리
2) 다음에 해당할 경우 접속기록을 2년 이상 보관 관리
- 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템 접속기록
- 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템 접속기록
- 개인정보처리자로서 기간통신사업자
라. 점검주기
1) 월 1회 이상 점검
2) 개인정보의 다운로드가 확인된 경우 내부관리 계획 등으로 정하는 바에 따라 사유를 반드시 확인
마. 보관 방법
- 위변조, 도난, 분실되지 않도록 안전하게 보관
(제 9조) 악성 프로그램 등 방지
가. 개인정보처리자는 보안프로그램을 설치, 운영해야 한다.
1) 자동 업데이트 기능을 사용하거나, 정당한 사유가 없는 한 일 1회 이상 업데이트 실시
2) 발견된 악성프로그램 삭제 조치
나. 개인정보처리자는 악성프로그램 관련 경보가 발령된 경우, 보안업데이트 공지가 있는 경우 정당한 사유가 없는 한 즉시 업데이트를 실시
(정당한 사유 : 보안 업데이트의 무결성 테스트, 시스템에 대한 영향 사전 점검 등)
(제 10조) 물리적 안전조치
가. 개인정보를 보관하는 물리적 보관 장소를 별도로 둘 때, 이에 대한 출입통제 절차를 수립, 운영해야 한다.
나. 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관
다. 개인정보가 포함된 보조저장매체의 반출/반입 통제를 위한 보안대책을 마련해야 한다. (단 별도의 시스템이 없고 업무용 컴퓨터나 모바일 기기로 처리하는 경우 미적용)
(제 11조) 재해, 재난 대비 안전조치
가. 10만명 이상 정보주체에 관해 개인정보를 처리하는 대기업/중견기법/공공기관, 또는 100만명 이상의 정보주체에 관해 개인정보를 처리하는 중소기업/단체에 해당할 경우 재해, 재난 발생 시 개인정보처리시스템 보호를 위한 조치를 해야 한다
- 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검 (ex BCP 매뉴얼)
- 개인정보처리시스템 백업 및 복구를 위한 계획 마련
(제 12조) 출력, 복사시 안전조치
- 개인정보 출력시 용도를 특정해야 하며, 용도에 따라 출력항목을 최소화 해야 한다.
(제 13조) 개인정보의 파기
가. 개인정보처리자는 파기시 조치를 해야한다
- 완전파괴 (소각)
- 전용 소자장비를 이용하여 삭제 (디가우저 장비)
- 데이터가 복원되지 않도록 초기화, 덮어쓰기
나. 개인정보의 일부만을 파기하는 경우 파기가 어려울 때
- 전자적 파일 형태 : 삭제 후 복구 및 재생되지 않도록 관리 감독
- 기록물, 인쇄물, 서면 등 기록매체인 경우 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제
다. 기술적 특성으로 파기가 현저히 곤란한 경우 복원이 불가능하도록 조치
- 법 제 58조 2에 해당 : 익명정보 (더 이상 개인을 알아 볼 수 없는 정보)
- 블록체인 등 기술적 특성에 해당 : 익명정보로 처리
법규 과목은 정말 외울게 많고 내용도 많고 중복도 많고
힘들군...
'(실기) 정보보안기사&산업기사' 카테고리의 다른 글
| 보안기사 실기 신규강의1 (0) | 2024.07.31 |
|---|---|
| 정보보안법규 4 (0) | 2024.04.19 |
| 정보보안일반관리 5~8 (0) | 2024.04.17 |
| 정보보안 일반/관리 1~4 (0) | 2024.04.16 |
| 주요 취약점 1~4 (0) | 2024.04.15 |
