프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2016.09.06 – 9.1일부터 시행! <개인정보의 안전성 확보조치 기준>

목록

9월1일부터 시행,
개인정보보호법고시
<개인정보의 안전성 확보조치 기준>
계정 오입력시 접근제한
5조
⑥ ID, PW 일정횟수 이상 잘못 입력시 접근제한
불법유출시도 대응
6조
① 2. 접속 IP등을 분석, 불법유출시도 탐지 및
대응
시간경과시 접속차단
⑤ 일정시간 업무처리를 하지 않을 경우 자동접속차단
관리용단말기 보안조치
6조
관리용단말기에 네트워크를 통한 유출방지조치
10조
1. 비인가자가 임의조작 못하도록 조치
2. 본래 목적외로 사용되지 않도록 조치
3. 악성프로그램 감염방지등을 위한 보안조치 적용
화재, 홍수, 단전시
재해 재난 대비
12조
① 위기대응매뉴얼 등 대응절차마련, 정기점검
② 백업 및 복구계획마련
암호키 절차 수립
7조
⑥ 암호키 생성, 이용, 보관, 배포 및
파기 절차 수립 시행
내부관리계획
항목이
15개
로 증가
기술적 보호조치 신설 및 추가
내부관리계획 강화
CPO가
연1회 이상
내부관리계획
이행실태 점검
고시 4조 ④항
3개 유형으로 분류, 차별적으로 법 적용
적용대상자의 변화
공공기관,대기
10만명 이상
개인정보를 보유한
공공기관,대기업, 중견기업
100만명 이상
개인정보를 보유한
중소기업 , 단체
유형
3
강화
(49개 적용)
유형
2
표준
(45개 적용)
개인정보
10만명 미만
공공기관,대기업, 중견기업
개인정보
100만명 미만
중소기업
유형
1
완화
(24개 적용)
1만명 미만
개인정보를 보유한
소상공인
단체, 개인
개인정보
1만명 이상
소상공인, 단체, 개인
적용대상 정보의 변화
근거가 되는 법조항에
개인정보보호법 23조 ②항 추가
② 민감정보 처리시 민감정보가 분실/도난/유출/위조/변조/훼손되지 아니하도록
29조에 따른 <안전성확보에 필요한 조치> 를 하여야 한다.
→ 미조치시 과태료 3천만원 이하 (75조 ②항 6
),
미조치로 유출시 2년 이하 징역 2천만원 벌금 (73조)
<민감정보>에 적용
Privacy Report
2016.09
개정 개인정보보호법고시
원문보기
내용
유형별 적용여부
보호조치
유형 3
유형 2
유형 1
1조
목적
(법
23조 ②
,
24조 ③,
29조, 시행령 21조 30조에 따라)
개인정보가
분실,도난,유출,
위조,
변조,훼손되지 않도록
(개인정보처리자가 지켜야 하는) 안전성확보기준을 정함
2조
정의
<총
20개
의 용어정의>
정보주체, 개인정보파일, 개인정보처리자,
대기업, 중견기업, 중소기업,
소상공인,개인정보보호책임자,
개인정보취급자, 개인정보처리시스템, 위험도분석, 비밀번호,
정보통신망, 공개된 무선망,모바일기기, 바이오정보,보조저장매체,
내부망,
접속기록,
관리용단말기
대기업
독점규제 및 공정거래에 관한 법률 14조에 따라
공정위가 지정한 기업
중견기업
중견기업 성장촉진 및 경쟁력강화에 따른 특별법 2조 해당기업
중소기업
중소기업 기본법 2조 및 시행령 3조에 따른 기업
내부망
물리적망분리, 접근통제시스템등에 의해
인터넷구간에서의 접근이 통제 or 차단되는 구간
관리용단말기
개인정보처리시스템의 관리, 운영, 개발, 보안등의 목적으로
개인정보처리시스템에 직접 접속하는 단말기
3조
적용
유형별로 안전조치기준을 적용해야한다.
이 경우 개인정보처리자가 어느 유형에 해당하는지 입증책임은
개인정보처리자가 부담한다
4조
내부관리
계획의
수립/
시행
① 내부관리계획에 포함되는 사항
컨설팅
1. 개인정보보호책임자지정
X
2. 개인정보보호책임자 및 취급자의 역할·책임
X
3. 개인정보취급자에 대한 교육
X
4. 접근권한의 관리에 관한 사항
X
5. 접근통제에 관한 사항
X
6. 개인정보의 암호화 조치에 관한 사항
X
7. 접속기록 보관 및 점검에 관한 사항
X
8. 악성프로그램 등 방지에 관한 사항
X
9. 물리적안전조치에 관한 사항
X
10. 개인정보보호조직에 관한 구성 및 운영에 관한 사항
X
11. 개인정보유출사고 대응계획 수립 시행에 관한 사항
X
12. 위험도 분석 및 대응방안 마련
X
X
13. 재해,재난대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
X
X
14. 개인정보처리업무를 위탁하는 경우 수탁자관리 및 감독에 대한 사항
X
X
15. 그 밖에 필요한 사항
X
② 내용생략(유형별적용여부규정임)
에 변화가 생길시, 즉시 수정 및 시행 후 이력관리
X
④ 개인정보보호책임자는 연1회 이상으로
내부관리계획의 이행실태 점검 관리
X
<개인정보의 안전성 확보조치 기준> 고시 상세규정보기 1/3
파란색 텍스트
:
신설 or 추가된 규정
내용
유형별 적용여부
보호조치
유형 3
유형 2
유형 1
5조
개인정보
처리
시스템
접근권한
관리
① 최소한의 범위로 개인정보처리시스템 접근권한 차등부여
X
개인정보처리시스템
접근통제솔루션
[DB] DB-i
[WAS]
WAS-i
[SAP] App-i
② 인사이동시 지체없이 개인정보처리시스템
접근권한 변경 또는 말소
③권한 부여 및 변경 말소 내역 최소 3년간 보관
④ 취급자별 한개의 접속계정사용, 공유금지
⑤ (취급자 or정보주체대상) PW 작성규칙수립 및 적용
⑥ ID or PW 일정횟수 오입력시 개인정보처리시스템 접근제한
X
6조
개인정보
처리
시스템
접근통제
① 불법접근, 침해방지를 위해
다음 기능 포함조치
1. 접속권한을 IP주소 등으로 제한
2. 접속 IP등을 분석, 불법유출시도 탐지
대응
② 정보통신망으로 외부접속시 VPN or 전용선 등
안전한 접속수단을 적용하거나 안전한 인증수단을 적용
X
③ 홈페이지,P2P,공유설정,공개된 무선망으로
공개,유출되지 않도록 개인정보처리시스템, 컴퓨터, 모바일기기,
관리용단말기
에 접근통제조치
[Network DLP] Mail-i
[Endpoint DLP] Privacy-i
④ 홈페이지에서 고유식별정보가 유출,변조,훼손되지 않도록
연1회 이상 취약점을 점검하고 필요한 보완조치를 해야 함
X
취급자가 일정시간 이상 업무처리를 하지 않을 경우
자동으로 개인정보처리시스템접속 차단
X
DB-i
컴퓨터 or 모바일로 개인정보처리시 ①항 미적용 가능 할
OS나 보안프로그램 등에서 제공하는 접근통제기능 사용
[모바일 내 검출,파기,
암호화솔루션]
Smart-i
⑦ 모바일기기의 분실, 도난으로 개인정보가 유출, 변조,
훼손되지 않도록 모바일기기에 비밀번호 설정
7조
개인
정보의
암호화
① 고유식별정보, 비밀번호, 바이오정보를 정보통신망으로
송수신, 보조저장매체로 전달시 암호화
Server-i
② 비밀번호,바이오정보는 암호화저장. 비밀번호는
복호화되지 않도록 일방향 암호화
③ 인터넷구간, 인터넷과 내부망의 중간지점(DMZ)에
고유식별정보 저장시 암호화
④ 내부망에 고유식별정보 저장시 암호화 적용여부 및 범위
1. 영향평가대상 공공기관 경우 영향평가결과에 따름
2. 암호화 미적용시 위험도분석 결과에 따름
⑤ (고유식별정보,비밀번호,바이오정보)
안전한 암호알고리즘으로 암호화저장
⑥ 암호화된 개인정보를 안전하게 보관하기 위하여 안전한
암호키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차 수립 시행
X
X
⑦ 업무용컴퓨터 or모바일기기에 고유식별정보저장시
상용암호화SW or 안전한 암호화 알고리즘으로 암호화저장
[PC] Privacy-i
[모바일] Smart-i
<개인정보의 안전성 확보조치 기준> 고시 상세규정보기
2/3
내용
유형별 적용여부
보호조치
유형 3
유형 2
유형 1
8조
접속기록의
보관 및
점검
① 개인정보처리시스템 접속기록 최소 6개월이상 보관/관리
개인정보처리시스템
접근통제솔루션
[D B] DB-i
[WAS]
WAS-i
[SAP] App-i
② 개인정보처리시스템 접속기록 반기별로 1회 이상 점검
③ 위/변조 및 도난, 분실되지 않도록 해당접속기록을 안전보관
9조
악성
프로그램
방지
악성프로그램등을 방지, 치료 할 수 있는 백신소프트웨어 등의
보안프로그램을 설치, 운영해야 하며 다음사항을 준수해야 한다
1. 보안프로그램 자동업데이트 사용 or 일 1회 이상 업데이트
2. 악성프로그램 경보발령 및 사용중인 응용프로그램이
OS·SW업체 보안업데이트 공지시 즉시 업데이트 실시
3. 발견된 악성프로그램 등에 대해 삭제 등 대응조치
[방지]
세이프브라우징
솔루션 웹키퍼
[치료]
바이러스 백신
10조
관리용
단말기의
안전조치
유출 등 침해사고방지를 위하여
관리용단말기에 다음
의 안전조치
1. 비인가자가 관리용단말기
에 접근,임의조작 못하도록 조치
2. 본래 목
적외로 사용되지 않도록 조치
3. 악성프로그램 감염방지등을 위한 보안조치 적용
11조
물리적
안전조치
① 전산실 자료보관실 등 물리적 보관장소에 대한
출입통제절차 수립/운영
[Endpoint DLP]
Privacy-i
개인정보의
매체, 서류 복제를
최소화,
물리접근방지대상
최소화 효과
② 개인정보포함 서류,보조저장매체 등을
잠금장치 있는 안전한장소에 보관
③ 개인정보포함 보조저장매체의 반출입통제를 위한
보안대책 마련
(별도의 개인정보처리시스템을 운영하지 않고
업무용컴퓨터 또는 모바일기기로 개인정보처리시 적용하지 않음)
12조
재해/재난
대비
안전조치
① 화재, 홍수, 단전 등 재해재난시 개인정보처리시스템
보호를 위한 위기대응매뉴얼 등 대응절차를 마련하고
정기점검
X
② 재해,재난발생시 개인정보처리시스템
백업 및 복구를 위한 계획마련
X
13조
파기
① 개인정보 파기시 다음 중 하나의 조치를 해야 한다
1. 완전파괴 (소각, 파쇄 등)
2. 전용소자장비를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 or 덮어쓰기 수행
[Endpoint DLP] Privacy-i
복구 불가능 하도록7회이상 파기
② 개인정보의 일부만을 파기할 때에는
①의 방법으로 파기하는 것이 어려운 경우다음 각 호의 조치를 하여야 한다
1. 전자적파일 : 삭제 후 복구 및 재생되지 않도록 관리 및 감독
2. 제 1호 외의 기록물, 인쇄물, 서면 그 밖의 기록매체인 경우 부분을 마스킹, 천공 등으로 삭제
<개인정보의 안전성 확보조치 기준> 고시 상세규정보기
3/3
소만사의 의견:9조에 2016년 유출사고 판결문 상의 해석을 반영해야 합니다
서울중앙지법 판결에 따르면고시 9조의 <보안프로그램>의 기능은다음을 포함한다PC에서 USB로개인정보 복제를차단
+
개인정보 복제차단이
작동하는지관리/감독
개인정보유출통제(DLP)=
서울중앙지법 2016년 판결문