1. 개요 및 용어정의

1. 제, 개정의 배경

2. 기준의 법적 성격

3. 용어정의

보편적으로 널리 사용되는 용어와 본 정의상의 용어가 차이가 있을 경우, 본 정의에 의한 용어의 해석이 우선된다.

3.1. 정보주체 

정보주체는 처리되는 정보에 의해 식별되는 사람으로, 살아있는 자연인의 정보

- 정보주체의 정의는「개인정보보호법」의 내용을 그대로 인용한다. 

- ‘정보의 주체가 되는 사람’의 의미는, 해당 정보의 궁극적인 소유권을 보유하고 있는 사람으로서, 법에 의해 보호대상이 되는 존재를 의미한다.

- ‘정보통신망법’에서는 정보의 주체가 되는 사람을 ‘이용자(User)’로 표현하고 있지만, 이 역시 ‘정보주체’와 동일 개념으로 이해해야한다 

3.2. 개인정보파일

개인의 이름이나 고유한 식별자 등을 사용하여 일정한 규칙에 따라 ‘검색이 가능’하도록 구성된 집합물

- DB뿐만 아니라 엑셀이나 명합첩 등과 같은 수기 문서도 포함한다,

- 엑셀이나 텍스트 파일의 경우 정렬되어 있을 필요는 없다. 검색기능을 이용할 수 있으므로 개인정보파일이다.

- DB의 경우 고객정보를 구분짓는 기본키가 존재하지 않고 다른 테이블에 부수적으로 포함된 개인정보가 존재하더라도 개인정보 파일로 인정된다.

3.3. 개인정보처리자

업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 회사, 기관, 단체 등

- 반드시 스스로 개인정보를 처리할 필요는 없으며, 다른 사람을 통하여 개인정보를 처리하는 경우에도 해당된다

- 개인정보의 처리를 위탁하는 경우 수탁자뿐만 아니라, 위탁자 역시 개인정보처리자

- ‘처리’의 의미는 개인정보의 수집ㆍ생성ㆍ기록ㆍ저장ㆍ보유ㆍ가공ㆍ편집ㆍ검색ㆍ출력ㆍ정정ㆍ복구ㆍ이용ㆍ제공ㆍ공개ㆍ파기 등 모든 취급 일체

3.4. 개인정보처리자 유형

개인정보처리자의 유형 및 개인정보 보유량에 따라 적용대상을 3가지 유형으로 구분하여, 각각의 안전조치 의무 기준을 규정하고 있다.

※ 개인정보처리자가 어느 유형에 해당하는지에 대한 입증책임은 당해 개인정보처리자가 부담한다.

유형1(완화) 

 - 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인

유형2(표준) 

 - 100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업

 - 10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관

 - 1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인

유형3(강화) 

 -10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관

 -100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체

2.5. 개인정보 보호책임자

- 「개인정보보호법」에서 정한 개인정보보호 관련 각종 업무를 총괄하거나 책임지는자로서

- 「개인정보보호법 시행령」에서 정한 요건을 갖춘 자

2.6. 개인정보취급자

개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등

- 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 말한다. 

- 기업ㆍ단체ㆍ공공기관의 임직원뿐만 아니라 파견직ㆍ계약직ㆍ시간제(아르바이트 등) 등 고용형태를 불문하고 실질적으로 개인정보를 처리하는 모든 주체

- 개인정보에 대한 실질적 접근 가능성(Accessibility)이 발생하는 시점부터 개인정보취급자의 지위를 가진다고 본다.

- ‘처리’의 의미는 개인정보의 수집ㆍ생성ㆍ기록ㆍ저장ㆍ보유ㆍ가공ㆍ편집ㆍ검색ㆍ출력ㆍ정정ㆍ복구ㆍ이용ㆍ제공ㆍ공개ㆍ파기 등 모든 취급 일체

2.7. 개인정보처리시스템

데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로구성한 시스템

- 일반적으로 개인정보의 체계적인 처리를 위한 DBMS(DataBase Management System)를 말한다.

- 일반적인 PC는 개인정보처리시스템에서 제외되나, PC에 DBMS등을 이용하여 개인정보 처리를 위한 프로그램을 구현해 놓은 경우 인정될 수 있다.

2.8. 위험도 분석

개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별․평가하고, 적절하게 통제 방안 마련을 위한 분석

- 개인정보 유출상황을 가정하여, 개인정보가 침해되는 경우 정보주체의 Privacy에 대한 침해 가능성 및 피해의 정도를 가늠해보는 것

- 민감도 분석(Sensitivity Analysis)ㆍ시나리오 작성ㆍTree 분석 등의 방법을 활용할 수 있다.

- 사전 작업으로 개인정보 항목에 대한 가치산정 또는 민감성 분석을 수행하여야 한다. 

2.9. 비밀번호

비밀번호(Password)는 통상 식별자(ID)와 함께 인가된 사용자를 다른 사람과 구분하기 위한 자격증명 요소

“비밀번호”라 함은 정보주체 또는 개인정보취급자 등이 시스템에 접속할 때 식별자(ID)와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

2.10. 정보통신망

「전기통신기본법」 제2조제2호에 따른 전기통신설비, 컴퓨터 기술 등 활용하여 정보를 중계하는 정보통신체계

- 일반적 의미의 정보통신망은 원격통신 (Telecommunication)과 컴퓨터망 (Computer Network)의 두 요소를 포괄하는 개념을 말한다. 

- 간단하게는 전기통신 설비를 이용하거나 전기통신 설비와 컴퓨터 및 컴퓨터 이용 기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신 체계를 의미한다.

2.11. 공개된 무선망

불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수있는 망

ex) 카페, 도서관, 병원 등에서 여러 방문객이나 고객이 인터넷을 이용할수 와이파이를 제공하는 경우

- 회사 내부적으로 업무적용 와이파이를 제공하는 경우는 제외

- CDMA, WCDMA등의 기술을 사용하는 이동통신망(3G, 4G, LTE등)은 제외

2.12. 모바일 기기

무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기

- 법인폰이든 개인폰이든 관계 없이 업무목적으로 개인정보처리를 하는 경우

- 실무적으로, 업무처리를 위한 모바일앱이 별도로 제공된 경우 모바일 단말기에 대한 보안대책이 요구된다.

2.13. 바이오정보

신체·행동 양식에 기초하여 사람을 고유하게 식별하는데 활용되는 정보

- 원본정보 : 신체적 또는 행동적 특징을 기술적 방법으로 수집한 후 가공하지 않은 원본 상태 그대로 보존

- 특징정보 : 원본정보 중 특정 알고리즘을 위해 인증에 직접적으로 사용되는 정보

- 신체적 특징 : 지문, 얼굴, 홍채, 정맥, 망막, 손 모양, 손가락 모양, 열상 등

- 행동적 특징 : 필적, 키보드 타이핑, 입술 움직임, 걸음걸이 등

2.14. 보조저장매체

개인정보처리시스템 또는 PC 등과 용이하게 분리할 수 있는 저장매체로써, USB메모리, DVDㆍHDDㆍCD등

- 분리가 용이하다는 것은 별도의 조립·해체 과정 필요 없이 USB·Firewire 등의 표준 인터페이스를 통해 탈착이 가능한 것을 말한다.

- 블루투스(Bluetooth)와 같이 근거리 통신을 활용하여 저장기능을 지원하는 매체또한 포함된다.

215. 내부망

- 주로 사내에서 업무용으로 통신하기 위해 망을 구성한 인트라넷구간으로서

- 망분리, 접근통제시스템(ACS) 등에 의해 외부 인터넷 구간에서의 접근이 통제 또는 차단되는 구간

2.16. 접속기록

개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정,접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것

- '접속'이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.

- ‘수행업무’란 의미는 접속기록을 통해 수행한 개인청보 처리업무가 무엇인지 추정할 수 있는 정보를 의미한다. 

- 접속기록은 수기로 차후에 기록되어서는 안 되며, 실시간으로 전자적ㆍ자동적으로 기록되어야 한다.

- 접속기록은 책임 추적성(Accountability)을 위해 필수적이다.

2.17. 관리용 단말기

개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기

- 통상적으로 개발자, 서버관리자, DB관리자 등 전산개발·운영·관리자의 PC, 노트북 등을 의미

- 일반 개인정보취급자에 비해 비교적 광범위한, 또는 제한 없는 개인정보처리를 하는 담당자의 PC까지 포함할 수 있다.