프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2016.05.04 – 2016.8월 확정! <개인정보의 안전성 확보조치 기준> 개정안

목록

016년 5월 공청회실시→의견수렴→8월 확정예정
개인정보보호법고시
<개인정보의 안전성 확보조치 기준>개정안
계정 오입력시 접근제한
5조
⑥ ID, PW 일정횟수 이상 잘못 입력시 접근제한
불법유출시도 대응
① 2. 접속 IP등을 분석, 불법유출시도 탐지 및 대응
공인인증서
6조
② 외부접속시 안전한 접속수단으로
VPN, 전용선, 공인인증서
관리용단말기
④ 관리용단말기에 네트워크를 통한 유출방지조치
시간경과시 접속차단
⑥ 일정시간 특정업무처리를 하지 않을 경우
자동 접속차단
연1회
취약점점검→ 보완
⑨ 연1회 이상 취약점을 점검,
필요한 보완조치를 하여야 한다
접속기록점검으로
취약점발견→즉시 보완
⑩ 접속기록점검결과 취약점발견시 즉시 보완조치
관리용단말기 보안조치
10조
1. 비인가자가 임의조작 못하도록 조치
2. 본래 목적외로 사용되지 않도록 조치
3. 악성프로그램 감염방지등을 위한 보안조치 적용
화재, 홍수, 단전시
재해 재난 대비
12조
① 위기대응매뉴얼 등 대응절차마련, 정기점검
② 백업 및 복구계획마련
암호키 절차 수립
7조
⑥ 암호키 생성, 이용, 보관, 배포 및
파기 절차 수립 시행
반드시
포함해야 하는
항목이
기존 6개→15개
로 증가
3개 유형별로
차별적 적용
유형
3
강화
(56개 적용)
10만명 이상
개인정보를 보유한
공공기관,
대기업, 중견기업
100만명 이상
개인정보를 보유한
유형
2
표준
(49개 적용)
10만명 미만
개인정보를 보유한
공공기관,
대기업, 중견기업
100만명 미만
개인정보를 보유한
유형
1
완화
(28개 적용)
1만명 미만
개인정보를 보유한
소상공인
단체, 개인
수탁자
(위탁자의 유형에 따라 동일한 안전조치 기준 적용)
+
+
+
3개 유형으로 분류, 차별적으로 법 적용
적용대상자의 변화
중소기업
중소기업
기술적 보호조치 신설 및 추가
내부관리계획 강화
CPO가 연1회 이상
내부관리계획
이행실태 점검
고시 4조 ④항
내용
유형별 적용여부
보호조치
유형 3
유형 2
유형 1
1조
목적
(법 24조③항
·29조, 시행령 21·30조에 따라)
개인정보가 분실,도난,유출,
위조,
변조,훼손되지 않도록
(개인정보처리자가 지켜야하는) 안전성확보기준을 정함
2조
정의
<총
20개
의 용어정의>
정보주체, 개인정보파일, 개인정보처리자,
대기업, 중견기업, 중소기업
,
소상공인,개인정보보호책임자, 개인정보취급자, 개인정보처리시스템,
위험도분석, 비밀번호, 정보통신망, 공개된 무선망. 모바일기기,
바이오정보,보조저장매체,
내부망
,
내부관리계획,
접속기록,
관리용단말기
대기업
(→독점규제 및 공정거래에 관한 법률 14조에 따라 공정위가 지정한 기업)
중견기업
(→중견기업 성장촉진 및 경쟁력강화에 따른 특별법 2조 해당기업)
중소기업
(→중소기업 기본법 2조 및 시행령에 따른 기업)
내부망
(→물리적망분리, 접근통제시스템등에 의해
인터넷구간에서의 접근이 통제 or 차단되는 구간)
관리용단말기
(→개인정보처리시스템의 관리, 운영, 개발, 보안등의 목적으로
개인정보처리시스템에 직접 접속하는 단말기)
3조
적용
개인정보처리자 유형 및 개인정보보유량에 따른 안전조치기준을
적용해야한다. 이 경우 개인정보처리자가 어느 유형에 해당하는지
입증책임은 개인정보처리자가 부담한다
4조
내부관리
계획의
수립/
시행
① 내부관리계획에 포함되는 사항
[컨설팅]
1. 개인정보보호책임자지정
X
2. 개인정보보호책임자 및 취급자의 역할·책임
X
3. 개인정보취급자교육
X
4. 접근권한의관리에 관한 사항
X
5. 접근통제에 관한 사항
X
6. 개인정보의 암호화 조치에 관한 사항
X
7. 접속기록 보관 및 점검에 관한 사항
X
8. 악성프로그램 등 방지에 관한 사항
X
9. 물리적안전조치에 관한 사항
X
10. 개인정보보호조직에 관한 구성 및 운영에 관한 사항
X
11. 개인정보유출사고 대응계획 수립 시행에 관한 사항
X
X
12. 위험도 분석 및 대응방안 마련
X
X
13. 재해 및 재난대비 개인정보처리시스템의
물리적 안전조치에 관한 사항
X
X
14. 개인정보처리업무를 위탁하는 경우
수탁자에 대한 관리 및 감독에 대한 사항
X
X
15. 그 밖에 필요한 사항
X
② 유형1은 수립제외. 유형2는 11~14 적용제외
에 변화가 생길시, 즉시 수정 및 시행 후 이력관리
X
④ 개인정보보호책임자는 연1회 이상으로
내부관리계획의 이행실태 점검 관리
X
<개인정보의 안전성 확보조치 기준> 고시 상세규정보기
TEXT
(취소선)
: 삭제된 규정
파란색 텍스트
: 신설 or 추가된 규정
내용
유형별 적용여부
보호조치
유형 3
유형 2
유형 1
5조
개인정보
처리
시스템
접근권한
관리
① 최소한의 범위로 개인정보처리시스템 접근권한 차등부여
X
접근통제솔루션
[DB] DB-i
[ WAS ]
WAS-i
[SAP] App-i
② 인사이동시 개인정보처리시스템 접근권한 변경 또는 말소
③ 권한 부여 및 변경 말소 내역 최소 3년간 보관
④ 취급자별 한개의 접속계정사용, 공유금지
⑤ (취급자 or정보주체대상) PW 작성규칙수립 및 적용
⑥ ID or PW 일정횟수 오입력시 개인정보처리시스템 접근제한
X
⑦ 유형별 적용여부 규정임
6조
개인정보
처리
시스템
접근통제
① 불법접근, 침해방지를 위해
다음 기능 포함조치
1. 접속권한을 IP주소,
MAC주소
등으로 제한
2. 접속 IP등을 분석, 불법유출시도 탐지
및 대응
② 정보통신망으로 외부접속시 VPN or 전용선,
공인인증서
안전한 접속수단 적용
X
③ 인터넷홈페이지에서 (다른 법령에 근거하여)
성명, 주민번호로 본인확인시 추가인증수단제공
④ 홈페이지,P2P,공유설정,공개된 무선망으로 공개,유출되지 않도록
개인정보처리시스템, 컴퓨터, 모바일기기,
관리용단말기
조치
[Network DLP] Mail-i
[Endpoint DLP] Privacy-i
⑤ 홈페이지에서 고유식별정보가 유출,변조,훼손되지 않도록
연1회 이상 취약점점검
X
[웹사이트 개인정보검출]
웹프라이버시
⑥ 불법접근 및 침해사고방지를 위하여 취급자가 일정시간 이상
업무처리를 하지 않을 경우 자동으로 개인정보처리시스템접속 차단
X
컴퓨터 or 모바일기기로 개인정보처리시 ① 미적용가능
OS나 보안프로그램 등에서 제공하는 접근통제기능을 사용한다
[모바일 내 검출,파기,
암호화솔루션]
⑧ 모바일기기의 분실, 도난으로 개인정보가 유출, 변조,
훼손되지 않도록 모바일기기에 비밀번호설정을 해야 한다
⑨ 개인정보처리시스템 취약점점검 연1회이상, 보완조치 수행
X
X
접근통제솔루션
[DB] DB-i
[ WAS ]
WAS-i
[SAP] App-i
서버 개인정보점검
Server-i
⑩ 개인정보처리시스템 접속기록 점검결과 비인가자의 접속 등
개인정보처리시스템 취약점 발견시 즉시 보완조치
X
X
⑪ 유형별 적용여부 규정임
7조
개인
정보의
암호화
① 고유식별정보, 비밀번호, 바이오정보를 정보통신망으로
송수신, 보조저장매체로 전달시 암호화
[DB]DB암호화
[서버]Server-i
[PC, 매체] Privacy-i
[DRM]
[보안서버(SSL 외)]
② 비밀번호,바이오정보는 암호화저장. 비밀번호는
복호화되지 않도록 일방향 암호화한다
③ 인터넷구간, 인터넷과 내부망의 중간지점(DMZ)에
고유식별정보 저장시 암호화
④ 내부망에 고유식별정보 저장시 암호화 적용여부 및 범위
1. 영향평가대상 공공기관 경우 영향평가결과에 따름
2. 위험도분석 결과에 따름
주민번호 경우 내부망에
있더라도 암호화 해야 함
100만명 미만 보관하는
처리자는 2016.12.31까지
100만명 이상 보관하는
처리자는 2017.12.31까지
적용
⑤ (고유식별정보,비밀번호,바이오정보) 안전한 암호알고리즘으로
암호화저장
⑥ 암호화된 개인정보를 안전하게 보관하기 위하여 안전한
암호키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립 시행
X
X
⑦ 업무용 컴퓨터 또는 모바일기기에 고유식별정보저장시
상용암호화SW 또는 안전한 암호화 알고리즘으로 암호화저장
[PC] Privacy-i
[모바일] Smart-i
⑧ 유형별 적용여부규정
내용
유형별 적용여부
보호조치
유형 3
유형 2
유형 1
8조
접속기록의
보관 및
점검
① 개인정보처리시스템 접속기록 최소 6개월이상 보관/관리
접근통제솔루션
[D B] DB-i
[WAS]
WAS-i
[SAP] App-i
② 개인정보처리시스템 접속기록 반기별로 1회 이상 점검
③ 위·변조 및 도난, 분실되지 않도록 해당접속기록을 안전하게 보관
9조
악성
프로그램
방지
키보드, 화면, 메모리탈취 등 신종/변종을 포함한
악성프로그램등을 방지, 치료 할 수 있는 백신소프트웨어 등의
보안프로그램을 설치, 운영해야 하며 다음사항을 준수해야 한다
1. 보안프로그램 자동업데이트 사용 or 일 1회 이상 업데이트실시
2. 악성프로그램 경보발령 및 사용중인 응용프로그램이
OS·SW업체 보안업데이트 공지시 즉시 업데이트 실시
3. 발견된 악성프로그램 등에 대해 삭제 등 대응조치
[치료]
바이러스 백신
[방지]
세이프브라우징
솔루션 웹키퍼
[USB쓰기제한
방지&관리감독]
DLP솔루션
유출사고
집단소송
판례 상의
고시9조
해석
[기관 및 기업의 의무사항]
① 보안프로그램에는 특별한 사정이 없는 한 USB 쓰기 제한 기능이 있어야 하며
② 그 기능이 작동하는지 관리·감독하는 조치가 수반되어야 함
[의무사항] 의 근거
·일정규모이상 개인정보처리기관은 보안프로그램으로 PC에 USB를 연결하여
쓰기 기능을 사용하지 못하도록 제한하고 있는 점
·PC에 개인정보가 저장되어 있고 USB 쓰기 기능이 활성화된 경우 몰래 숨겨
반입/반출이 용이한 USB를 이용하여 쉽게 개인정보를 유출할 위험성이 매우 높아지는 점
·크기가 작고 다른 물건으로 오인될 수 있도록 제작이 가능한 USB 자체의
반입/반출을 원천적으로 차단하는 데에는 한계가 있는 점
·PC에 있는 개인정보 등을 USB에 저장하여 유출할 가능성을 누구나 쉽게 예측할 수 있는 점
10조
관리용
단말기의
안전조치
유출 등 침해사고방지를 위하여 관리용단말기에 다음
의 안전조치
1. 비인가자가 관리용단말기
에 접근,임의조작 못하도록 조치
2. 본래 목
적외로 사용되지 않도록 조치
3. 악성프로그램 감염방지등을 위한 보안조치 적용
11조
물리적
안전조치
① 전산실 자료보관실 등 물리적 보관장소에 대한
출입통제절차 수립/운영
Privacy-i
개인정보의
매체, 서류 복제를
최소화,
물리접근방지대상
최소화 효과
② 개인정보포함 서류,보조저장매체 등을
잠금장치 있는 안전한장소에 보관
③ 개인정보포함 보조저장매체의 반출입통제를 위한 보안대책 마련
(별도의 개인정보처리시스템을 운영하지 않고
업무용컴퓨터 또는 모바일기기로 개인정보처리시 적용하지 않음)
12조
재해/재난
대비
안전조치
① 화재, 홍수, 단전 등 재해재난시 개인정보처리시스템보호를 위한
위기대응매뉴얼 등 대응절차를 마련하고 정기점검
X
② 재해,재난발생시 개인정보처리시스템 백업 및
복구를 위한 계획마련
X
유형별 적용여부 규정임
X
소만사의 의견:
9조에 2016년 유출사고 판결문 상의 해석을 반영해야 합니다
내용
유형별 적용여부
보호조치
유형 3
유형 2
유형 1
13조
파기
① 개인정보 파기시 다음 중 하나의 조치를 해야 한다
1. 완전파괴 (소각, 파쇄 등)
2. 전용소자장비를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 or 덮어쓰기 수행
Privacy-i
복구 불가능 하도록
7회이상 파기
② 개인정보의 일부만을 파기할 때에는
①의 방법으로 파기하는 것이 어려운 경우
다음 각 호의 조치를 하여야 한다
1. 전자적파일 : 삭제 후 복구 및 재생되지 않도록 관리 및 감독
2. 제 1호 외의 기록물, 인쇄물, 서면 그 밖의 기록매체인 경우
해당 부분을 마스킹, 천공 등으로 삭제
14조
수탁자에
대한
관리감독
① 3자에게 개인정보처리업무 위탁시 수탁자는
해당 개인정보처리자의 안전조치 기준을 적용해야한다
② 위탁시 처리자는 수탁자가 이 기준을 준수하는지 여부를
정기점검하고 수탁자는 이에 협조해야한다
③ 처리자는
②점검에서 안전조치 기준위반등을 발견시
수탁자에게 적절한 안전조치 이행을 요청할 수 있다
소만사의 의견:
9조에 2016년 유출사고 판결문 상의 해석을 반영해야 합니다
서울중앙지법 판결에 따르면
고시 9조의 <보안프로그램>의 기능은
다음을 포함한다
PC에서 USB로
개인정보 복제를
차단
+
개인정보 복제차단이
작동하는지
관리/감독
개인정보유출통제(DLP)