프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2019.03-개인정보의 안전성 확보조치 기준 개정(안) 접속기록에 대한 관리기준 강화

목록

개인정보의 안전성 확보조치 기준 개정(안),
개인정보 처리시스템의 접속기록에 대한 관리기준 강화

1. 접속기록 항목 구체화
– 신설 : 접속기록을 육하원칙에 따라 구체적으로 명시, 특히! 누구의 개인정보를 조회했는지 기록 필요

2. 접속기록 보관시 보관기관 최소1년 이상 보관
– 접속기록 보관기간을 중요도에 따라 차등적 연장 검토

3. 접속기록 점검 주기 단축
– 접속기록 점검을 반기별 1회 이상에서 월1회 이상으로 단축

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2019.03 – 개인정보의 안전성 확보조치기준 개정(안)

목록

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2018.12.03 – 개인정보보호법제 3법의 변화 ②

목록

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2018.12.03 – 개인정보보호법제 3법의 변화 ①

목록

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2017.08.08- 개인정보보호법 시행령&시행규칙 개정안 입법예고

목록

Privacy Report 2017.07
1. [변경] 개인정보유출사고 발생시 관련기관(행정자치부, KISA)
의무 신고 범위가 현행 1만명이상에서 1천명 이상으로 변경
2. [신설] 수집·이용 동의시
중요정보는 9포인트 이상 표기
3. [신설] 정보주체가 열람, 정정·삭제, 처리정지를
전화, 이메일, 인터넷을 통해 요구가능
근거법령: 시행령 제39조
신고대상: 공공기관 및 민간기업 (정보통신서비스 제공자 제외)
신고기준: 1천명 이상 정보주체의 개인정보 유출 시
신고기한: 지체없이 (5일이내)
근거법령: 시행령 제17조 3항, 시행규칙 4조
아래 4가지 중요정보에 대해서(규칙 4조):
① 글자 크기 최소 9포인트 (3mm) 이상
② 동의서 다른 내용보다 20% 이상 크게 표기
③ 다른색 글씨 or 굵은글씨 or 밑줄 등을 사용
④ 중요한 내용이 많은 경우 보기쉽게 요약하여 제시
※ 정보통신서비스 제공자는 1건이라도
정보주체의 개인정보 유출 시 방송통신위원회
및 KISA에 24시간이내 보고
4. [변경] 개인정보 영향평가기관 신청절차 간소화
근거법령: 시행령 제37조, 시행규칙 별지3호 서식
① 영향평가기관 지정신청서(규칙별지3호)에 대표이사 이외의 임원 성명 기입 삭제
② 영향평가기관의 정관·대표자 등 기업정보 변경시 신고기간을 7일 14일로
변경, 양도·양수·합병신고시 30일  60일로 변경
5. [신설] 중소기업자에 대한 과태료 감경 근거 추가
(별표2 과대료의 부과기준 제1호 나목)

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2016.11.06 – 행자부, 11.25일까지 1,865개 공공기관 11,028개 개인정보처리시스템 일제점검

목록

행정자치부, 11.25일까지
1,865개 공공기관
11,028개
개인정보처리시스템 일제점검
·점검대상
1,865개 공공기관의 11,028개 개인정보처리시스템
*국가행정(345개), 지자체(529개), 교육(685개), 공사/공단(306개)
개인정보처리시스템의 정의
행자부 공문, [붙임1] 개인정보 처리시스템 자율점검표 발췌
개인정보를 처리할 수 있도록 체계적으로 구성한
데이터베이스시스템과
연결되어 업무에 이용되는 시스템
개인정보처리시스템
개인정보처리시스템 일제점검 원문보기
행정자치부
1,865개 공공기관에
<개인정보처리시스템 자율점검표>
배포
1,865개 공공기관
11.4일까지 <개인정보처리시스템 자율점검표> 28개 항목으로
11,028개 개인정보처리시스템 자체점검 실시 및
결과 <결과등록 시스템(intra.privacy.go.kr>에 등록
중앙행정기관,
광역자치단체
11월, 산하기관
확인점검
행정자치부
11.8~25일, 개인정보 반복/대량노출
및 개인정보 대량보유기관 현장점검
행정자치부
위반사항 적발시
과태료 부과
·점검일정
점검
항목
조항
세부점검내용
양호
개선
필요
해당
없음
개선
기한
대응책
1
26조
업무 위탁 계약문서에 필수 반영사항(7개)이 포함되었는지 여부
프라이버시
컨설팅
2
29조
내부관리계획수립/시행여부
3
30조
개인정보처리방침의 공개 및 필수 사항 포함 여부
4
32조
개인정보파일을 운용하는 경우
개인정보보호 종합지원시스템(intra.privacy.go.kr)에 등록여부
개인정보처리자 (공통항목)
<개인정보처리시스템 자율점검표>
개선이
필요하다면?
점검
항목
조항
세부점검내용
양호
개선
필요
해당
없음
개선
기한
대응책
5
15조
개인정보 수집시 정보주체의 동의 여부
6
개인정보 수집에 따른 정보주체의 동의 여부 및 동의를 받을 때
필수 사항(4개) 고지 및 내용의 적정성 여부
7
22조
만 14세 미만 아동의 개인정보 처리 시 법정대리인(부모 등)의 동의 여부
[만 14세 미만
아동의 주민번호
보유여부 검색]
Privacy-i
Server-i
8
17조
제3자에게 개인정보 제공시 법률 근거 여부, 정보주체의 동의 여부 및
동의를 받을 때 필수 사항(5개) 고지 및 내용의 적정성 여부
9
23조
24조
민감정보, 고유식별정보 수집에 따른 법령 근거 유무
또는 별도의 동의를 받고 있는지 여부
[민감정보,
주민번호
보유여부 검색]
Privacy-i
Server-i
10
24조의2
법령에 근거하지 않고 주민등록번호를 수집 및 처리하고 있는지 여부
11
21조
보유기간 경과, 처리 목적(제공받은 경우 제공받은 목적) 달성 후
지체 없이 영구 삭제하고 있는지 여부
[탈퇴회원정보
보유여부 검색]
Privacy-i
Server-i
개인정보처리시스템
개선이
필요하다면?
개인정보처리시스템
(개인정보보호법고시 반영 항목)
점검
항목
조항
고시
조항
세부점검내용
양호
개선
필요
해당
없음
개선
기한
대응책
12
29
5조
①항
④항
시스템에 대한 접근권한 부여시 필요 최소한의 범위로
업무 담당자에 따라 (1인 1계정) 차등 부여하는지 여부
[DB]
DB-i
[WAS]
WAS-i
[SAP]
APP-i
13
5조
③항
접근권한의 부여/변경/말소 내역을 기록 및 관리하고,
최소 3년간 보관하는지 여부
14
5조
⑤항
안전한 비밀번호 작성규칙을 수립 및 적용 하는지 여부
15
5조
⑥항
계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우
개인정보처리시스템에 대한 접근을 제한하는 등의 기술적 조치 여부
16
6조
①항
개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하거나
접속한 IP주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응 여부
17
6조
③항
고유식별정보를 처리하는 경우 인터넷 홈페이지를 통해
고유식별정보가 유출/변조/훼손되지 않도록
연 1회 이상 취약점 점검여부
18
6조
⑤항
개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는
자동으로 시스템 접속이 차단되도록 하는지 여부
DB-i
19
7조
①항
고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나,
보조저장매체 등을 통하여 전달하거나, 저장하는 경우
안전한 암호알고리즘으로 암호화 적용 여부
[DB] DB암호화
[서버] Server-i
[PC/매체]
Privacy-i
[DRM]
[보안서버(SSL)외]
20
7조
②항
비밀번호 암호화 저장 시 일방향 암호화(해쉬함수) 알고리즘 적용 여부
21
7조
③항
고유식별정보를 인터넷과 내부망의 중간지점(DMZ) 및
내부망에 저장하는 경우 암호화 조치 적용 여부
[DMZ 서버내
고유식별정보
검색/삭제/암호화
]
Server-i
[DB] DB암호화
22
7조
⑥항
안전한 키 생성, 이용, 보관, 배포 및 파기 등에 관한
절차의 수립/시행 여부
※10만명 이상의 개인정보를 보유한 공공기관(강화유형)만 해당
23
8조
①항
개인정보취급자의 접속기록을 최소 6개월 이상 보관 및 관리하고,
도난 및 분실되지 않도록 안전하게 보관 및 관리하는지 여부
[DB]
DB-i
[WAS]
WAS-i
[SAP]
APP-i
24
개인정보취급자의 접속이력 기록 시 필수 항목(4개)을
기록하고 있는지 여부
25
9조
보안 프로그램(백신)을 자동 업데이트 또는
1일 1회 이상 업데이트 하여 최신의 상태로 유지하고 있는지 여부
[바이러스 백신]
26
10조
관리용 단말기에 대한 안전조치 여부
[Endpoint DLP:
USB, 출력물,
인터넷전송을 통한
개인정보 유출통제]
Privacy-i
[바이러스 백신]
27
12조
①항
재해/재난 발생 시 개인정보처리시스템 보호를 위한
위기대응 매뉴얼 등 대응절차 마련·점검 여부
※10만명 이상의 개인정보를 보유한 공공기관(강화유형)만 해당
프라이버시
컨설팅
28
12조
②항
재해·재난 발생 시 개인정보처리시스템 백업 및
복구를 위한 계획 마련 여부
※10만명 이상의 개인정보를 보유한 공공기관(강화유형)만 해당
2016.9.1일 시행, 개인정보보호법고시
<개인정보의 안전성 확보조치 기준> 조항 모두 반영
개인정보보호법고시 개정안 Privacy Report 보
개선이
필요하다면?

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2016.09.06 – 9.1일부터 시행! <개인정보의 안전성 확보조치 기준>

목록

9월1일부터 시행,
개인정보보호법고시
<개인정보의 안전성 확보조치 기준>
계정 오입력시 접근제한
5조
⑥ ID, PW 일정횟수 이상 잘못 입력시 접근제한
불법유출시도 대응
6조
① 2. 접속 IP등을 분석, 불법유출시도 탐지 및
대응
시간경과시 접속차단
⑤ 일정시간 업무처리를 하지 않을 경우 자동접속차단
관리용단말기 보안조치
6조
관리용단말기에 네트워크를 통한 유출방지조치
10조
1. 비인가자가 임의조작 못하도록 조치
2. 본래 목적외로 사용되지 않도록 조치
3. 악성프로그램 감염방지등을 위한 보안조치 적용
화재, 홍수, 단전시
재해 재난 대비
12조
① 위기대응매뉴얼 등 대응절차마련, 정기점검
② 백업 및 복구계획마련
암호키 절차 수립
7조
⑥ 암호키 생성, 이용, 보관, 배포 및
파기 절차 수립 시행
내부관리계획
항목이
15개
로 증가
기술적 보호조치 신설 및 추가
내부관리계획 강화
CPO가
연1회 이상
내부관리계획
이행실태 점검
고시 4조 ④항
3개 유형으로 분류, 차별적으로 법 적용
적용대상자의 변화
공공기관,대기
10만명 이상
개인정보를 보유한
공공기관,대기업, 중견기업
100만명 이상
개인정보를 보유한
중소기업 , 단체
유형
3
강화
(49개 적용)
유형
2
표준
(45개 적용)
개인정보
10만명 미만
공공기관,대기업, 중견기업
개인정보
100만명 미만
중소기업
유형
1
완화
(24개 적용)
1만명 미만
개인정보를 보유한
소상공인
단체, 개인
개인정보
1만명 이상
소상공인, 단체, 개인
적용대상 정보의 변화
근거가 되는 법조항에
개인정보보호법 23조 ②항 추가
② 민감정보 처리시 민감정보가 분실/도난/유출/위조/변조/훼손되지 아니하도록
29조에 따른 <안전성확보에 필요한 조치> 를 하여야 한다.
→ 미조치시 과태료 3천만원 이하 (75조 ②항 6
),
미조치로 유출시 2년 이하 징역 2천만원 벌금 (73조)
<민감정보>에 적용
Privacy Report
2016.09
개정 개인정보보호법고시
원문보기
내용
유형별 적용여부
보호조치
유형 3
유형 2
유형 1
1조
목적
(법
23조 ②
,
24조 ③,
29조, 시행령 21조 30조에 따라)
개인정보가
분실,도난,유출,
위조,
변조,훼손되지 않도록
(개인정보처리자가 지켜야 하는) 안전성확보기준을 정함
2조
정의
<총
20개
의 용어정의>
정보주체, 개인정보파일, 개인정보처리자,
대기업, 중견기업, 중소기업,
소상공인,개인정보보호책임자,
개인정보취급자, 개인정보처리시스템, 위험도분석, 비밀번호,
정보통신망, 공개된 무선망,모바일기기, 바이오정보,보조저장매체,
내부망,
접속기록,
관리용단말기
대기업
독점규제 및 공정거래에 관한 법률 14조에 따라
공정위가 지정한 기업
중견기업
중견기업 성장촉진 및 경쟁력강화에 따른 특별법 2조 해당기업
중소기업
중소기업 기본법 2조 및 시행령 3조에 따른 기업
내부망
물리적망분리, 접근통제시스템등에 의해
인터넷구간에서의 접근이 통제 or 차단되는 구간
관리용단말기
개인정보처리시스템의 관리, 운영, 개발, 보안등의 목적으로
개인정보처리시스템에 직접 접속하는 단말기
3조
적용
유형별로 안전조치기준을 적용해야한다.
이 경우 개인정보처리자가 어느 유형에 해당하는지 입증책임은
개인정보처리자가 부담한다
4조
내부관리
계획의
수립/
시행
① 내부관리계획에 포함되는 사항
컨설팅
1. 개인정보보호책임자지정
X
2. 개인정보보호책임자 및 취급자의 역할·책임
X
3. 개인정보취급자에 대한 교육
X
4. 접근권한의 관리에 관한 사항
X
5. 접근통제에 관한 사항
X
6. 개인정보의 암호화 조치에 관한 사항
X
7. 접속기록 보관 및 점검에 관한 사항
X
8. 악성프로그램 등 방지에 관한 사항
X
9. 물리적안전조치에 관한 사항
X
10. 개인정보보호조직에 관한 구성 및 운영에 관한 사항
X
11. 개인정보유출사고 대응계획 수립 시행에 관한 사항
X
12. 위험도 분석 및 대응방안 마련
X
X
13. 재해,재난대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
X
X
14. 개인정보처리업무를 위탁하는 경우 수탁자관리 및 감독에 대한 사항
X
X
15. 그 밖에 필요한 사항
X
② 내용생략(유형별적용여부규정임)
에 변화가 생길시, 즉시 수정 및 시행 후 이력관리
X
④ 개인정보보호책임자는 연1회 이상으로
내부관리계획의 이행실태 점검 관리
X
<개인정보의 안전성 확보조치 기준> 고시 상세규정보기 1/3
파란색 텍스트
:
신설 or 추가된 규정
내용
유형별 적용여부
보호조치
유형 3
유형 2
유형 1
5조
개인정보
처리
시스템
접근권한
관리
① 최소한의 범위로 개인정보처리시스템 접근권한 차등부여
X
개인정보처리시스템
접근통제솔루션
[DB] DB-i
[WAS]
WAS-i
[SAP] App-i
② 인사이동시 지체없이 개인정보처리시스템
접근권한 변경 또는 말소
③권한 부여 및 변경 말소 내역 최소 3년간 보관
④ 취급자별 한개의 접속계정사용, 공유금지
⑤ (취급자 or정보주체대상) PW 작성규칙수립 및 적용
⑥ ID or PW 일정횟수 오입력시 개인정보처리시스템 접근제한
X
6조
개인정보
처리
시스템
접근통제
① 불법접근, 침해방지를 위해
다음 기능 포함조치
1. 접속권한을 IP주소 등으로 제한
2. 접속 IP등을 분석, 불법유출시도 탐지
대응
② 정보통신망으로 외부접속시 VPN or 전용선 등
안전한 접속수단을 적용하거나 안전한 인증수단을 적용
X
③ 홈페이지,P2P,공유설정,공개된 무선망으로
공개,유출되지 않도록 개인정보처리시스템, 컴퓨터, 모바일기기,
관리용단말기
에 접근통제조치
[Network DLP] Mail-i
[Endpoint DLP] Privacy-i
④ 홈페이지에서 고유식별정보가 유출,변조,훼손되지 않도록
연1회 이상 취약점을 점검하고 필요한 보완조치를 해야 함
X
취급자가 일정시간 이상 업무처리를 하지 않을 경우
자동으로 개인정보처리시스템접속 차단
X
DB-i
컴퓨터 or 모바일로 개인정보처리시 ①항 미적용 가능 할
OS나 보안프로그램 등에서 제공하는 접근통제기능 사용
[모바일 내 검출,파기,
암호화솔루션]
Smart-i
⑦ 모바일기기의 분실, 도난으로 개인정보가 유출, 변조,
훼손되지 않도록 모바일기기에 비밀번호 설정
7조
개인
정보의
암호화
① 고유식별정보, 비밀번호, 바이오정보를 정보통신망으로
송수신, 보조저장매체로 전달시 암호화
Server-i
② 비밀번호,바이오정보는 암호화저장. 비밀번호는
복호화되지 않도록 일방향 암호화
③ 인터넷구간, 인터넷과 내부망의 중간지점(DMZ)에
고유식별정보 저장시 암호화
④ 내부망에 고유식별정보 저장시 암호화 적용여부 및 범위
1. 영향평가대상 공공기관 경우 영향평가결과에 따름
2. 암호화 미적용시 위험도분석 결과에 따름
⑤ (고유식별정보,비밀번호,바이오정보)
안전한 암호알고리즘으로 암호화저장
⑥ 암호화된 개인정보를 안전하게 보관하기 위하여 안전한
암호키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차 수립 시행
X
X
⑦ 업무용컴퓨터 or모바일기기에 고유식별정보저장시
상용암호화SW or 안전한 암호화 알고리즘으로 암호화저장
[PC] Privacy-i
[모바일] Smart-i
<개인정보의 안전성 확보조치 기준> 고시 상세규정보기
2/3
내용
유형별 적용여부
보호조치
유형 3
유형 2
유형 1
8조
접속기록의
보관 및
점검
① 개인정보처리시스템 접속기록 최소 6개월이상 보관/관리
개인정보처리시스템
접근통제솔루션
[D B] DB-i
[WAS]
WAS-i
[SAP] App-i
② 개인정보처리시스템 접속기록 반기별로 1회 이상 점검
③ 위/변조 및 도난, 분실되지 않도록 해당접속기록을 안전보관
9조
악성
프로그램
방지
악성프로그램등을 방지, 치료 할 수 있는 백신소프트웨어 등의
보안프로그램을 설치, 운영해야 하며 다음사항을 준수해야 한다
1. 보안프로그램 자동업데이트 사용 or 일 1회 이상 업데이트
2. 악성프로그램 경보발령 및 사용중인 응용프로그램이
OS·SW업체 보안업데이트 공지시 즉시 업데이트 실시
3. 발견된 악성프로그램 등에 대해 삭제 등 대응조치
[방지]
세이프브라우징
솔루션 웹키퍼
[치료]
바이러스 백신
10조
관리용
단말기의
안전조치
유출 등 침해사고방지를 위하여
관리용단말기에 다음
의 안전조치
1. 비인가자가 관리용단말기
에 접근,임의조작 못하도록 조치
2. 본래 목
적외로 사용되지 않도록 조치
3. 악성프로그램 감염방지등을 위한 보안조치 적용
11조
물리적
안전조치
① 전산실 자료보관실 등 물리적 보관장소에 대한
출입통제절차 수립/운영
[Endpoint DLP]
Privacy-i
개인정보의
매체, 서류 복제를
최소화,
물리접근방지대상
최소화 효과
② 개인정보포함 서류,보조저장매체 등을
잠금장치 있는 안전한장소에 보관
③ 개인정보포함 보조저장매체의 반출입통제를 위한
보안대책 마련
(별도의 개인정보처리시스템을 운영하지 않고
업무용컴퓨터 또는 모바일기기로 개인정보처리시 적용하지 않음)
12조
재해/재난
대비
안전조치
① 화재, 홍수, 단전 등 재해재난시 개인정보처리시스템
보호를 위한 위기대응매뉴얼 등 대응절차를 마련하고
정기점검
X
② 재해,재난발생시 개인정보처리시스템
백업 및 복구를 위한 계획마련
X
13조
파기
① 개인정보 파기시 다음 중 하나의 조치를 해야 한다
1. 완전파괴 (소각, 파쇄 등)
2. 전용소자장비를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 or 덮어쓰기 수행
[Endpoint DLP] Privacy-i
복구 불가능 하도록7회이상 파기
② 개인정보의 일부만을 파기할 때에는
①의 방법으로 파기하는 것이 어려운 경우다음 각 호의 조치를 하여야 한다
1. 전자적파일 : 삭제 후 복구 및 재생되지 않도록 관리 및 감독
2. 제 1호 외의 기록물, 인쇄물, 서면 그 밖의 기록매체인 경우 부분을 마스킹, 천공 등으로 삭제
<개인정보의 안전성 확보조치 기준> 고시 상세규정보기
3/3
소만사의 의견:9조에 2016년 유출사고 판결문 상의 해석을 반영해야 합니다
서울중앙지법 판결에 따르면고시 9조의 <보안프로그램>의 기능은다음을 포함한다PC에서 USB로개인정보 복제를차단
+
개인정보 복제차단이
작동하는지관리/감독
개인정보유출통제(DLP)=
서울중앙지법 2016년 판결문

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2016.07.20 – 7.15일 <개인정보보호법고시> 개정안 행정예고. 5월 공청회 대비 변동사항분석

목록

7.15일 개인정보보호법고시

<개인정보의 안전성 확보조치 기준>
개정안 행정예고
5.4일 공청회 대비 고시 변동사항
행정예고 원문보기
이전 Report보기
<개인정보의 안전성 확보조치 기준>
◆1조 (목적):
– 고시제정기준에 개인정보보호법
23조2항 추가
(민감정보 처리제한 규정)
– 안전성 확보에 필요한 기준을
세부적인
최소한의 기준
으로 변경
◆6조 (개인정보처리시스템 접근통제):
– 1항: 접속권한 제한조항
MAC주소
용어삭제
– 2항: 외부접속시 안전상 접속수단 사용조항
공인인증서
용어삭제
– 3항:
인터넷 홈페이지 본인확인시 추가인증수단 제공
규정삭제
– 5항: 유휴시간 시스템 접속 차단범위 확대 (
특정
업무처리를 하지 않는 경우)
– 9항:
개인정보처리시스템 연1회이상 취약점 점검 규정
삭제
– 10항:
개인정보처리시스템 접속기록 점검결과 취약점 발견시 보완조치
삭제
– 11항: 9,10항이 삭제됨으로써 유형2도 6조를 전부 이행해야 하는 것으로 변경
◆7조 4항 2호 (개인정보의 암호화):
위험도 분석결과는
암호화 미적용
시 한정적용
◆8조 (접속기록의 보관 및 점검):
개인정보처리시스템 접속기록 보관대상
개인정보취급자
로 명확화
◆14조 (수탁자에 대한 관리감독):
삭제
개인정보보호법고시 <개인정보의 안전성 확보조치 기준>
변동사항 요약
내용
유형별 적용여부
보호조치
유형 3
유형 2
유형 1
1조
목적
(
법 23조2항
, 24조3항·29조, 시행령 21·30조에 따라)개인정보가
분실,도난,유출, 위조, 변조,훼손되지 않도록 (개인정보처리자가 지켜야하는)
세부적인
최소한의
안전성확보기준을 정함
법 제23조(민감정보의 처리 제한)
② 개인정보처리자가 민감정보를 처리하는 경우에는 그 민감정보가
분실·도난·유출·위조·변조 또는 훼손되지 아니하도록
제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다. <신설 2016.3.29.>
6조
개인정보
처리시스템
접근통제
① 불법접근, 침해방지를 위해 다음 기능 포함조치
1. 접속권한을 IP주소,
MAC주소
등으로 제한
2. 접속 IP등을 분석, 불법유출시도 탐지 및 대응
O
O
O
[DB] DB-i
[WAS]WAS-i
[SAP] App-i
② 정보통신망으로 외부접속시 VPN or 전용선,
공인인증서
안전한 접속수단 적용
O
O
X
③ 인터넷홈페이지에서 (다른 법령에 근거하여)
성명, 주민번호로 본인확인시 추가인증수단제공
O
O
O
④→
홈페이지,P2P,공유설정,공개된무선망으로 공개,유출되지 않도록
개인정보처리시스템, 컴퓨터, 모바일기기,관리용단말기 조치
O
O
O
[Network DLP]Mail-i
[Endpoint DLP]
Privacy-i
⑤→
홈페이지에 고유식별정보가 유출,변조,훼손되지 않도록
연1회 이상 취약점점검
O
O
X
[웹사이트 개인정보검출]
웹프라이버시
⑥→
불법접근 및 침해사고방지를 위하여 취급자가 일정시간 이상
특정 업무처리를 하지 않을 경우
자동으로 개인정보처리시스템접속 차단
O
O
X
⑦→
컴퓨터 or 모바일기기로 개인정보처리시 ① 미적용가능 OS나
보안프로그램 등에서 제공하는 접근통제기능을 사용한다
O
O
O
[모바일 내 검출,파기,
암호화 솔루션]
⑧→
모바일기기의 분실, 도난으로 개인정보가 유출, 변조,
훼손되지 않도록 모바일기기에 비밀번호설정을 해야 한다
O
O
O
⑨ 개인정보처리시스템 취약점점검 연1회이상, 보완조치 수행
O
X
X
[DB] DB-i
[WAS] WAS-i
[SAP] App-i
서버 개인정보점검
Server-i
⑩ 개인정보처리시스템 접속기록 점검결과 비인가자의 접속 등
개인정보처리시스템 취약점 발견시 즉시 보완조치
O
X
X
⑪→
유형별 적용여부 규정
유형1 예외조치: 2항,4항, 5항
유형2,3: 6조 전부 이행
(취약점 점검조치 삭제되면서 6조 전부 이행)
7조
개인정보의
암호화
④ 내부망에 고유식별정보 저장시 암호화 적용여부 및 범위
1. 영향평가대상 공공기관 경우 영향평가결과에 따름
2.
암호화 미적용시
위험도분석 결과에 따름
O
O
O
주민번호 경우
내부망에 있더라도
암호화 해야 함
8조
접속기록의
보관 및
점검
개인정보취급자
가 개인정보처리시스템에 접속한 기록
최소 6개월이상 보관/관리
O
O
O
접근통제솔루션
[D B] DB-i
[WAS] WAS-i
[SAP] App-i
14조
수탁자에
대한
관리감독
① 3자에게 개인정보처리업무 위탁시 수탁자는
해당 개인정처리자의 안전조치 기준을 적용해야한다
O
O
O
② 위탁시 처리자는 수탁자가 이 기준을 준수하는지 여부를
정기점검하고 수탁자는이에 협조해야한다
O
O
O
③ 처리자는 ②항 점검에서 안전조치 기준위반등을 발견시
수탁자에게 적절한 안전조치 이행을 요청할 수 있다
O
O
O
TEXT
(취소선)
: 삭제된 규정
파란색 텍스트
: 신설 or 추가된 규정

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2016.05.25 – 개보법시행령 개정!정보주체에게 개인정보 수집사실 3개월이내 고지

목록

귀사가 이 경우에 해당한다면
개인정보를 제공받은 경우
3개월이내에 정보주체에게
제공받았다는 사실을 1:1로 알려줘야 합니다
5
만명이상
100만명이상
민감정보 or 고유식별정보 처리자
개인정보 처리자
or
*알린 사실을
(시기, 방법 포함)
해당정보 파기시까지 관리해야 함
2016.9.30
일부터 시행
(다른 처리자로부터)
연락처를 포함한
개인정보를 제공받은 때
제공받은 개인정보의
정보주체
에게
개인정보의 1.수집출처(제공받은 출처) 2.처리목적
3. 처리정지를 요구할 권리가 있다는 사실을
제공받은날로부터
3개월
이내에
서면·전화·문자전송·전자우편 등
의 방법으로 알림
·언제부터
·어떤 경우
·누구에게
·무엇을
·어떤 기한 내에
·어떤 방법으로
9.30일부터
무엇을
해야할까요?
DB서버, 웹서버, PC, 모바일, USB, 개인정보출력까지
주기적으로 점검
하여서
제공받은 개인정보가 있는지 확인해야 합니다
[예외] 공공기관 개인정보파일등록 및 공개대상에서 제외되는 파일은 예외
1. 국가 안전, 외교상 비밀, 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄수사, 공소제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일
조항
개정여부
내용
법 17조
(개인정보의 제공)
기존
① 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는
정보주체의 개인정보를 제3자에게 제공
(공유를 포함한다. 이하 같다.)
할 수 있다.
1. 정보주체의 동의를 받은 경우
법 20조
(정보주체
이외로부터 수집한
개인정보의 수집
출처 등 고지)
기존
① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는
정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
2016
신설
② 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여
대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라
정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는
제1항 각 호의 모든 사항을 정보주체에게 알려야 한다.
다만, 개인정보처리자가 수집한 정보에 연락처 등
정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.
③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기/방법 및 절차 등
필요한 사항은 대통령령으로 정한다.
2016
부분개정
④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다.
다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다.
1. 고지요구대상이 되는 개인정보가 제32조제2항 각호의 하나에 해당하는
개인정보파일에 포함되어 있는 경우
2. 고지로 인하여 다른 사람의 생명/신체를 해할 우려가 있거나
다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
법 32조
(개인정보파일의
등록 및 공개)
기존
② 다음 각 호의 어느 하나에 해당하는 개인정보파일에 대하여는
제1항
(개인정보파일 등록 및 공개)
을 적용하지 아니한다.
1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과
출입국관리에 관한 사항을 기록한 개인정보파일
3. 조세범처벌법에 따른 범칙행위 조사 및 관세법에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일
대통령령
(=시행령)
15조의2
(개인정보
수집 출처 고지
대상/방법/절차 등)
2016
신설
① 법 제20조제2항의 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”란
다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다.
1. 5만명 이상의 정보주체에 관하여 법 제23조에 따른 민감정보 or
법 제24조에 따른 고유식별정보를 처리하는 자
2. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 자
② 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는
서면/전화/문자전송/전자우편 등의 방법 중 어느 하나를 통하여
법 제20조 1항 각 호의 사항을 알려야 한다.
이 경우 개인정보를 제공받은 후 3개월을 경과하여서는 아니 된다.
③ 제1항 각 호의 어느 하나에 해당하는 개인정보처리자는 정보주체에게
제2항에 따라 알린 사실을
(시기 및 방법을 포함한다)
해당 정보를
파기할 때까지 관리하여야 한다.

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2016.05.24 – 개보법시행령 개정! 2년1회 고유식별정보에 <안전성 확보조치 기준> 적용여부 감사

목록

Privacy Report
2016.05
개인정보보호법 원문보기
시행령 원문보기
이전 Report보기
[개인정보의 안전성 확보조치 기준]
이 개인정보처리자는 누구일까요? 레터
귀사가 이 경우에 해당한다면
<고유식별정보>에
[개인정보의 안전성 확보조치 기준] 조치여부를
행자부에 2년에 1번씩 감사받게 됩니다
이 개인정보
처리자는
누구일까요?
레터 ①
민감정보에
[개인정보의 안전성
확보조치 기준]
미조치로 유출시
형사처벌
몰수추징
손해배상
민감정보
분실 도난 유출
위조 변조 훼손
되지 않도록
[개인정보의
안전성
확보조치 기준
]
적용
법 23조 ②항
주민등록번호를
수집할 수 있는 법령범위를
법률/대통령령/국회규칙/대법원규칙/
헌법재판소규칙/중앙선관위규칙 및
감사원규칙으로 한정
법 24조의2 ①항 1호
고유식별정보에 [개인정보의 안전성 확보조치 기준]
미조치로 유출시
형사처벌 몰수추징 손해배상
2016년 개정, 개인정보보호법 변화
PIMS인증
<관리적기술적 물리적보호대책> 포함
인증기준 고시예정
시행령 34조의4
PIA
평가항목에 기술적보호조치 20개 신설
(
2015.12.31 영향평가에 대한 고시)
③ <PIMS 인증 및 PIA>
대상으로 강화
2년에 1회 <고유식별정보>에
[개인정보의 안전성 확보조치 기준]
적용여부를
행자부(or KISA)에
온라인 or 서면 제출
개인정보보호법고시
[개인정보의
안전성
확보조치 기준]
강화
① <민감정보>
대상으로 강화
② <고유식별정보>
대상으로 강화
이전 Report보기
(
저장된 주민등록번호 명수가)
100만명 미만
일 경우
내부망
주민등록번호 암호화완료
~2017.01.01까지
~2018.01.01까지
(저장된 주민등록번호 명수가)
100만명 이상
일 경우
내부망
주민등록번호 암호화완료
주민등록번호
수집금지 가이드라인
이전 Report 보기
주민등록번호
암호화 완료일 확정
이전 Report 보기
주민등록번호
수집금지 가이드라인
이전 Report 보기
이전 Report보기
이전 Report보기
이 개인정보 처리자는 누구일까요? 레터 ②
귀사가 이 경우에 해당한다면
개인정보를 <제공>
받은 경우
3개월이내에 정보주체
에게
<우리가 당신의
개인정보를 제공받았음>을
1:1로 알려줘야 합니다
④ 그 외 규정들
관련기관에 정책/제도/법령
개선 권고 가능
법 9조의2
전문위원회 위원 증원
(5명→10명)
법 5조
<개인정보보호위원회> 강화
중앙행정기관의 개인정보
침해요인 평가절차규정
법 9조의3
임원
(없는 경우 개인정보 처리부서의 장)
32조
CPO 관련규정 명확화
개인정보처리방침에
CPO 성명 추가
(개인정보부서의 명칭, 연락처,
인터넷접속, 정보파일 등 개인정보
자동수집장치 내역을
개인정보처리방침에 추가)
30조 1항
다음 경우는 행정자치부 공무원이 직접 방문하여 감사
1. 행정자치부 장관이 요청한 자료를 제출하지 아니한 경우
2. 다음 규정의 위반사항 or 혐의발견시 3.다음 규정의 위반신고 or 민원 접수시
고유식별
정보규정
법24조
① 고유식별정보처리를 위해서는
1. (다른 개인정보와) 별도로 동의받아야 함 2. 법령에서 허용해야 함
③ <고유식별정보>에 암호화 등 안전성 확보에 필요한 조치를 해야 함
(고유식별정보중)
주민등록
번호규정
법24조의2
① 주민등록번호를 처리할 수 있는 경우 (시행일 2017.03.30)
1. 법률/대통령령/국회규칙/대법원규칙/헌법재판소규칙/중앙선관위 규칙 및 감사원규칙에서
구체적으로 처리를 요구, 허용한 경우
②주민등록번호 암호화
(주민번호 100만명 미만 보관시 2017.1월.1일까지, 100만명 이상 보관시 2018. 1월. 1일까지 완료)
③ 홈페이지 회원가입단계에서 주민등록번호를 사용하지 아니하고도
회원으로 가입할 수 있는 방법을 제공
행자부권한으로 가능한 처벌
·수사기관에 고발 ·대표자(기관장, CEO)징계 ·과태료/과징금 부과
어떤 처벌이
가능한가?
지금 무엇을
해야할까요?
DB서버, 웹서버, PC, 모바일, USB, 출력물까지
모두 점검
하여서
고유식별정보 특히 주민번호가 얼마나 있는지 확인해야 합니다
공공기관
or
5만명 이상 고유식별정보 처리자
대상으로
행정자치부, KISA
2016.9.30일부터 시행
2년에 한번씩
고유식별정보에
[개인정보의 안전성 확보조치 기준] 적용여부를
온라인 or 서면 자료제출 방식으로 감사
·누가
·언제부터
·어떤 주기로
·무엇을
·어떻게 감사하는가?
조항
개정여부
내용
법 24조
(고유
식별정보의
처리제한)
2015
개정
③ <고유식별정보> 처리시 분실/도난/유출/위조/변조/훼손되지 않도록
대통령령에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다
2016
신설
④ 행자부장관은 처리하는 개인정보의 종류/규모, 종업원수, 매출액에 따라 대통령령으로 정하는
개인정보처리자가 ③에 따라 안전성 확보에 필요한 조치를 하였는지 정기적으로 조사해야 한다
⑤ 행자부장관은 대통령령으로 정하는 전문기관으로 하여금 ④에 따른 조사를 수행하게 할 수 있다
법 24조의2
(주민
등록번호
처리제한)
2016
신설
① 다음 경우를 제외하고는 주민등록번호를 처리할 수 없다
1. 법률/대통령령/국회규칙/대법원규칙/헌법재판소규칙/중앙선거관리위원회규칙 및 감사원규칙에서
구체적으로 처리를 요구, 허용한 경우 (시행일 2017.03.30)
2015
개정
② 주민등록번호가 분실/도난/유출/위조/변조 또는 훼손되지 아니하도록 암호화 조치를 통하여
안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은
개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.
③ 개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도
정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는
주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다
시행령 18조
(고유
식별정보의
처리제한)
2016
신설
법 24조
항에 따른 “대통령령으로 정하는 기준에 해당하는 개인정보처리자”는 다음 각 호와 같다.
1. (법 제2조제6호에 따른) 공공기관
* 법 2조 6호: “공공기관”이란 다음 각 목의 기관을 말한다.
가. 국회, 법원, 헌법재판소, 중앙선관위의 행정사무 처리기관, 중앙행정기관(대통령/국무총리 소속기관 포함), 그 소속 기관, 지방자치단체
나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관
2. 5만명 이상의 정보주체에 관하여 (법 제24조에 따른) 고유식별정보를 처리하는 자
행정자치부장관은
의 개인정보처리자를 대상으로 고유식별정보의
안전성 확보조치 여부를 매 2년마다 1회 이상 조사하여야 한다.
법 24조
에 따른 조사는
각 호에 해당하는 개인정보처리자에게
온라인 또는 서면을 통하여 필요한 자료를 제출하게 하는 방법으로 수행한다.
⑤ 행자부장관은 대통령령으로 정하는 전문기관으로 하여금
④에 따른 조사를 수행하게 할 수 있다
내용
1
1. 행정자치부장관이 요청한 자료를 제출하지 아니한 경우
2
2. 다음규정의
위반사항 or
혐의발견
3. 위반신고 or
민원접수시
법24조
① 고유식별정보처리를 위해서는
1. (다른 개인정보와) 별도로 동의받아야함 2. 법령에서 허용해야 함
③ <고유식별정보>에 암호화 등 안전성확보에 필요한 조치를 해야함
법 24조의2
① 주민등록번호를 처리할 수 있는 경우 (시행일 2017.03.30)
1. 법률/대통령령/국회규칙/대법원규칙/헌법재판소규칙/
중앙선거관리위원회규칙 및 감사원규칙에서
구체적으로 처리를 요구, 허용한 경우
② 주민등록번호를 암호화하지 않은 경우, 2017년 2018년
③ 주민등록번호 처리시 홈페이지 회원가입단계에서
주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법 제공
⑥ 법 24조
에서 “대통령령으로 정하는 전문기관”이란
「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원을 말한다