101230(개인정보보호과)백화점 등 약_35만개_사업자의_개인정보보호조치_기준_고시[1]
1. 작성과 개인정보보호과
보 도 자 료 과 장 강 신 기
02-2100-1738
2010년 12월 29일(수) 12:00 작성자 사무관 박문희
이후부터 보도될 수 있도록 02-2100-4494
협조 부탁드립니다. 011-9717-2205
선택이 아닌 필수, 사업자가 지켜야 할 개인정보 보호수칙 마련
- 행정안전부, ‘사업자의 개인정보 보호조치 세부기준’고시 -
□ 행정안전부는 백화점· 학원· 병원· 부동산중개업 등 사업자(정보
통신망법상준용사업자)가 개인정보 취급시 반드시 준수해야
할 세부적인 보호조치 기준을 고시한다.
○ 이 기준은 최근 일련의 고객정보 유출사고를 계기로 우선적으로
개인정보보호가 요청되는 정유사, 백화점 등 24개 업종 35만여개
사업자를 대상으로 적용된다.
○ 그동안 행안부는 전문기관의 용역을 통해 기준안을 마련하고
전문가 자문회의와 법적용 대상인 24개 민간협회 및 대한상공
회의소 등을 대상으로 토론회를 거쳐 의견을 수렴했다.
□ 개인정보 보호조치 기준은 사업자가 개인정보 보호를 위해
암호화, 보안 프로그램 설치 등 기술적 분야와 내부관리계획
수립, 책임자 지정 등 관리적 분야를 포함하여 총 10개 항목
으로 구성되어 있다.
○ 이번 기준에는, 정보수집 이용 파기 등 각 단계별 보호조치
및 개인정보취급자에 대한 교육 등이 포함된 내부관리계획을
수립하고, 개인정보관리책임자의 의무와 책임을 명시한 내부
지침을 마련하며, 년 1회 이상 정기적인 자체 감사 실시 등이
규정되어 있다.
- 1 -
2. ○ 또한, 개인정보시스템에 불법 접근을 차단하기 위해 침입차단
시스템을 설치·운영해야 하며 주민등록번호 등 민감한 개인정보에
대해서는 반드시 암호화하여 저장하도록 규정하고 있다.
□ 이번 기준은 부동산중개업 같은 소상공인과 대기업이 처한 상황을
고려하여 반영했고, 실태점검을 통해 확인된 업종별 특성을
반영함으로써 소상공인도 보다 쉽게 개인정보 보호조치 기준을
이행할 수 있도록 했다.
<사업자 상황을 고려한 보호조치 항목(예시) >
- 소상공인 내부관리계획 수립시 일부 항목 적용 제외
(사업자 규모)
- (개 인정 보 보 유량 ) 개인정보를 보관하고 있는 전산실·자료보관실 등은 별도의
출입통제 절차 수립이 필요하나 전산실·자료보관실이 없는 영세사업자는 적용 제외
- (개인정보 민감도) 성별·연령 등 일반개인정보는 암호화 대상에서 제외되나 병력
(病歷)·주민등록번호 등 민감 개인정보는 반드시 암호화하여 저장
□ 보호조치 기준 고시로 개인정보를 취급하는 사업자는 개인정보보호를
위한 기술적·관리적 보호조치가 보다 강화되고 내부직원 및 해커 등
비인가자에 의한 개인정보 유출사고 등이 줄어들 것으로 기대된다.
○ 한편, 고시된 개인정보 보호조치 기준을 위반할 경우 관계법에 따라
최고 3천만원의 과태료가 부과될 수 있고, 기준을 준수하지 않아
이용자의 개인정보를 분실·도난·유출·변경 한 경우 2년 이하의
징역 또는 1천만원 이하의 벌금이 부과될 수 있다.
□ 강성주 행정안전부 정보기반정책관은 “앞으로 행정안전부는 관련
업계를 대상으로 보호조치 기준에 대해 순회교육을 실시하고,
일반인도 관련 내용을 쉽게 이해할 수 있도록 조문별 해설서를
만들어 배포할 예정”이라고 밝혔다.
【참고】 사업자의 개인정보 보호조치 기준
- 2 -
3. [참고]
사업자의 개인정보 보호조치 기준
제정 2010.12.30. 행정안전부 고시 제2010 - 86호
제1조(목적) 이 기준은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 "법"이라
한다) 제28조제1항 및 같은 법 시행규칙 제9조에 따라 사업자가 준수하여야 할 개인정보의
기술적ㆍ관리적 보호조치에 관한 세부적인 사항을 규정함을 목적으로 한다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. “사업자”라 함은 법 제67조, 같은 법 시행령 제71조 및 같은 법 시행규칙 제6조에서
규정한 정보통신서비스 제공자 외의 자를 말한다.
2. “소상공인”이라 함은 제2조제1호에 따른 사업자중 「소기업 및 소상공인 지원을 위한
특별조치법 시행령」 제2조에 해당하는 자를 말한다.
3. “이용자”라 함은 사업자가 제공하는 서비스를 이용하는 자로서 처리되는 정보에 의하여
식별이 되는 당해 정보의 주체를 말한다.
4. “개인정보관리책임자”라 함은 사업자의 사업장 내에서 이용자의 개인정보보호 업무를
총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.
5. “개인정보취급자”라 함은 사업자의 사업장 내에서 이용자의 개인정보를 수집, 보관,
처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자를 말한다.
6. “정보통신망”이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나
전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검
색·송신 또는 수신하는 정보통신체계를 말한다.
7. “내부관리계획”이라 함은 사업자가 자체적으로 이용자의 개인정보를 보호하기 위하여
수립한 기본지침 및 계획 등을 말한다.
8. “개인정보처리시스템”이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터
베이스시스템을 말한다.
9. “비밀번호”라 함은 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할
때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있는 타인에게
공개되지 않는 정보를 말한다.
10. "접속기록"이라 함은 이용자 및 개인정보취급자 등이 개인정보처리시스템에 접속하여
수행한 업무내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무
- 3 -
4. 등 접속한 내역을 전자적으로 기록한 것을 말한다.
11. “바이오정보”는 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적
또는 행동적 특징에 관한 정보를 말하며 가공되지 않은 원본정보와 원본정보에서 추출되어
생성된 특징정보를 포함한다.
제3조(적용범위) 이 기준은 서비스 제공을 목적으로 정보통신망을 통하여 수집ㆍ이용ㆍ제공
또는 관리되는 개인정보뿐만 아니라 서면 등 정보통신망 이외의 수단을 통하여 수집ㆍ이용
ㆍ제공 또는 관리되는 개인정보에 관해서도 적용된다.
제4조(내부관리계획의 수립· 시행) ① 사업자는 이용자의 개인정보를 보호하기 위해 다음
각 호의 사항을 포함하여 내부관리계획을 수립․시행하여야 한다.
1. 내부관리계획의 수립 및 시행에 관한 사항
2. 개인정보관리책임자의 의무와 책임에 관한 사항
3. 개인정보의 처리단계별 기술적·관리적 보호조치에 관한 사항
4. 정기적 자체감사에 관한 사항
5. 개인정보취급자에 대한 교육 등 그 밖에 개인정보보호를 위해 필요한 사항
② 소상공인은 제1항 제1호 및 제2호를 생략하여 내부관리계획을 수립할 수 있다.
제5조(개인정보관리책임자 의무와 책임의 명시) 사업자는 개인정보관리책임자의 의무와
책임 등을 명시한 내부지침 등을 마련하거나 내부관리계획에 포함하여 작성할 수 있다.
제6조(물리적 접근 제한) ① 사업자는 전산실, 자료보관실 등 개인정보를 보관하고 있는
물리적 보관 장소에 대한 별도의 출입통제 절차를 수립하여야 하며 접근기록을 보관 하여야 한다.
② 사업자는 개인정보가 포함된 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관
하여야 한다.
제7조(정기적 자체 감사 실시) 사업자는 개인정보의 기술적·관리적 보호조치 이행 여부에
대하여 정기적 자체 감사를 년 1회 이상 실시하여야 한다.
제8조(출력·복사시 보호조치) ① 개인정보취급자가 개인정보를 종이로 출력 또는 보조저장
매체에 복사할 경우에는 다음 각 호의 사항을 기록하고 개인정보관리책임자의 승인을
받아야 한다. 출력․복사물을 다시 출력 또는 복사하는 경우에도 또한 같다.
1. 출력․복사물 일련번호
2. 출력․복사물의 형태
3. 출력․복사일시
4. 출력․복사의 목적
5. 출력· 복사한 자의 소속 및 성명
6. 출력․복사물을 전달 받을 자
- 4 -
5. 7. 출력․복사물의 파기(예정)일자
8. 출력․복사물의 파기 책임자 등
제9조(접근권한, 인증 및 계정관리) ① 사업자는 개인정보처리시스템에 대한 접근권한을
업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여 하여야 한다.
② 사업자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우에는
지체없이 접근권한을 변경 또는 말소하여야 하며, 주기적으로 접근권한을 관리하여야
한다.
③ 사업자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고,
그 기록을 최소 5년간 보관하여야 한다.
④ 사업자는 사용자계정(이하 “아이디”라 한다.) 발급시 개인정보취급자별로 한 개의 사용자
계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
⑤ 사업자는 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을
수립하고 이를 적용·운용하여야 한다.
1. 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을
조합하여 최소 8자리 이상의 길이로 구성
가. 영문 대문자(26개)
나. 영문 소문자(26개)
다. 숫자(10개)
라. 특수문자(32개)
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는
사용하지 않을 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
제10조(개인정보의 암호화) ① 사업자는 주민등록번호, 신용카드번호, 계좌번호 등 중요
개인정보에 대해서는 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
② 사업자는 비밀번호 및 바이오정보가 복호화 되지 아니하도록 일방향 암호화하여 저장하
여야 한다.
③ 사업자는 정보통신망을 통해 이용자의 개인정보 등을 송·수신할 때에는 보안서버 등의
조치를 통해 이를 암호화하여야 한다.
④ 중요 개인정보를 업무용 컴퓨터에 저장하여 관리하는 경우 암호화 소프트웨어나 일반
업무용 프로그램(엑셀, 한글 등)에서 제공하는 암호화 방법을 사용하여야 한다.
제11조(접근통제) ① 사업자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를
위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.
- 5 -
6. 1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을
제한
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출시도를
탐지
② 사업자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템을 접속하는
경우 가상사설망(VPN) 등 안전한 보호대책을 마련하여야 한다.
③ 사업자는 업무용 컴퓨터에 대하여 상용(常用) 침입차단 프로그램 또는 업무용 컴퓨터
운영체제에서 제공되는 침입차단 프로그램을 사용하여 불법적인 접근을 차단할 수 있도록
하여야 한다.
제12조(접속기록의 위· 변조방지) ① 사업자는 개인정보취급자가 개인정보처리시스템에
접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 최소 6개월 이상 접속기록을
보존·관리하여야 한다.
② 개인정보취급자의 접속기록이 위·변조되지 않도록 해당 접속기록을 별도의 물리적인
저장 장치에 보관하고 정기적으로 백업을 수행하여야 한다.
제13조(보안프로그램의 설치 및 운영) 사업자는 개인정보를 개인정보처리시스템 또는 업무
용 컴퓨터에 보관하는 경우에는 보안프로그램을 설치·운영하여야 하며, 다음 각 호의
사항을 준수하여야 한다.
1. 개인정보의 취급 및 처리와 관련된 모든 업무용 컴퓨터에 대해 백신 소프트웨어의
자동 업데이트 사용 또는 엔진 업데이트 여부를 최소 일 1회 이상 확인
2. 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 소프트웨어의 제작업체에서
업데이트 공지가 있는 경우 관련 백신 소프트웨어의 엔진 업데이트 및 패치 설치
부칙
이 기준은 고시한 날부터 시행한다.
- 6 -
