프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2016.07.20 – 7.15일 <개인정보보호법고시> 개정안 행정예고. 5월 공청회 대비 변동사항분석

목록

7.15일 개인정보보호법고시
<개인정보의 안전성 확보조치 기준>
개정안 행정예고
5.4일 공청회 대비 고시 변동사항
행정예고 원문보기
이전 Report보기
<개인정보의 안전성 확보조치 기준>
◆1조 (목적):
– 고시제정기준에 개인정보보호법
23조2항 추가
(민감정보 처리제한 규정)
– 안전성 확보에 필요한 기준을
세부적인
최소한의 기준
으로 변경
◆6조 (개인정보처리시스템 접근통제):
– 1항: 접속권한 제한조항
MAC주소
용어삭제
– 2항: 외부접속시 안전상 접속수단 사용조항
공인인증서
용어삭제
– 3항:
인터넷 홈페이지 본인확인시 추가인증수단 제공
규정삭제
– 5항: 유휴시간 시스템 접속 차단범위 확대 (
특정
업무처리를 하지 않는 경우)
– 9항:
개인정보처리시스템 연1회이상 취약점 점검 규정
삭제
– 10항:
개인정보처리시스템 접속기록 점검결과 취약점 발견시 보완조치
삭제
– 11항: 9,10항이 삭제됨으로써 유형2도 6조를 전부 이행해야 하는 것으로 변경
◆7조 4항 2호 (개인정보의 암호화):
위험도 분석결과는
암호화 미적용
시 한정적용
◆8조 (접속기록의 보관 및 점검):
개인정보처리시스템 접속기록 보관대상
개인정보취급자
로 명확화
◆14조 (수탁자에 대한 관리감독):
삭제
개인정보보호법고시 <개인정보의 안전성 확보조치 기준>
변동사항 요약
내용
유형별 적용여부
보호조치
유형 3
유형 2
유형 1
1조
목적
(
법 23조2항
, 24조3항·29조, 시행령 21·30조에 따라)개인정보가
분실,도난,유출, 위조, 변조,훼손되지 않도록 (개인정보처리자가 지켜야하는)
세부적인
최소한의
안전성확보기준을 정함
법 제23조(민감정보의 처리 제한)
② 개인정보처리자가 민감정보를 처리하는 경우에는 그 민감정보가
분실·도난·유출·위조·변조 또는 훼손되지 아니하도록
제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다. <신설 2016.3.29.>
6조
개인정보
처리시스템
접근통제
① 불법접근, 침해방지를 위해 다음 기능 포함조치
1. 접속권한을 IP주소,
MAC주소
등으로 제한
2. 접속 IP등을 분석, 불법유출시도 탐지 및 대응
O
O
O
[DB] DB-i
[WAS]WAS-i
[SAP] App-i
② 정보통신망으로 외부접속시 VPN or 전용선,
공인인증서
안전한 접속수단 적용
O
O
X
③ 인터넷홈페이지에서 (다른 법령에 근거하여)
성명, 주민번호로 본인확인시 추가인증수단제공
O
O
O
④→
홈페이지,P2P,공유설정,공개된무선망으로 공개,유출되지 않도록
개인정보처리시스템, 컴퓨터, 모바일기기,관리용단말기 조치
O
O
O
[Network DLP]Mail-i
[Endpoint DLP]
Privacy-i
⑤→
홈페이지에 고유식별정보가 유출,변조,훼손되지 않도록
연1회 이상 취약점점검
O
O
X
[웹사이트 개인정보검출]
웹프라이버시
⑥→
불법접근 및 침해사고방지를 위하여 취급자가 일정시간 이상
특정 업무처리를 하지 않을 경우
자동으로 개인정보처리시스템접속 차단
O
O
X
⑦→
컴퓨터 or 모바일기기로 개인정보처리시 ① 미적용가능 OS나
보안프로그램 등에서 제공하는 접근통제기능을 사용한다
O
O
O
[모바일 내 검출,파기,
암호화 솔루션]
⑧→
모바일기기의 분실, 도난으로 개인정보가 유출, 변조,
훼손되지 않도록 모바일기기에 비밀번호설정을 해야 한다
O
O
O
⑨ 개인정보처리시스템 취약점점검 연1회이상, 보완조치 수행
O
X
X
[DB] DB-i
[WAS] WAS-i
[SAP] App-i
서버 개인정보점검
Server-i
⑩ 개인정보처리시스템 접속기록 점검결과 비인가자의 접속 등
개인정보처리시스템 취약점 발견시 즉시 보완조치
O
X
X
⑪→
유형별 적용여부 규정
유형1 예외조치: 2항,4항, 5항
유형2,3: 6조 전부 이행
(취약점 점검조치 삭제되면서 6조 전부 이행)
7조
개인정보의
암호화
④ 내부망에 고유식별정보 저장시 암호화 적용여부 및 범위
1. 영향평가대상 공공기관 경우 영향평가결과에 따름
2.
암호화 미적용시
위험도분석 결과에 따름
O
O
O
주민번호 경우
내부망에 있더라도
암호화 해야 함
8조
접속기록의
보관 및
점검
개인정보취급자
가 개인정보처리시스템에 접속한 기록
최소 6개월이상 보관/관리
O
O
O
접근통제솔루션
[D B] DB-i
[WAS] WAS-i
[SAP] App-i
14조
수탁자에
대한
관리감독
① 3자에게 개인정보처리업무 위탁시 수탁자는
해당 개인정처리자의 안전조치 기준을 적용해야한다
O
O
O
② 위탁시 처리자는 수탁자가 이 기준을 준수하는지 여부를
정기점검하고 수탁자는이에 협조해야한다
O
O
O
③ 처리자는 ②항 점검에서 안전조치 기준위반등을 발견시
수탁자에게 적절한 안전조치 이행을 요청할 수 있다
O
O
O
TEXT
(취소선)
: 삭제된 규정
파란색 텍스트
: 신설 or 추가된 규정