- 침입탐지시스템(IDS), 침입차단시스템(IPS)를 추가적으로 운영하는 것이 바람직하다.
1.2 외부접속 시 안전한 접속수단·인증수단의 적용
- 안전한 접속수단 : VPN, 전용선
- 안전한 인증수단 : OTP인증, 보안토큰, 인증서 등
- 인증수단만을 이용하는 경우 외부에서 우회접근을 시도할 수 있으므로 안전한 접근수단이 더 권장된다.
1.3 개인정보 유출 예방을 위한 조치
- 개인정보취급 단말기에선 공개Wifi를 통합 접속, P2P프로그램 사용, 공유설정 등이 불가능하도록 차단하여야 한다.
- 실무적으로 DLP솔루션을 도입하여 중앙통제 정책을 통하여 기술적으로 차단한다.
1.4 취약점 점검
- 고유식별정보를 처리하는 경우 연 1회 이상 취약점점검이 필요하다.
- 취약점점검은 자체적으로 수행할 수도 있고 외부 보안업체에 의뢰 할 수도 있다.
- 취약점점검결과는 보고서를 통해 개인정보보호 책임자, 또는 보안책임자에게 보고되어야 한다.
1.5 타임 아웃 설정
- 일정 시간동안 입력이 없는 경우 타임아웃 설정을 통해 세션이 끊겨야 한다.
- 실무적으로 한시간 이내가 적당하다.
1.6 모바일 기기 보호 조치
- 모바일 단말 분실·도난 시 개인정보가 유출되지 않도록 비밀번호, 패턴, PIN등을 통한 잠금기능을 설정한다.
- 실무적으로 MDM을 설치하여 보안 중앙통제가 이루어질 수 있도록 하는 것이 가장 안전하다.
- 현실적으로 MDM적용이 힘들 경우 업무용 모바일 어플리케이션에 자체 잠금 및 2채널 인증 등을 적용한다.
제6조(접근통제) ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
⑤개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
⑦ 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다.
2. 접속기록의 위ㆍ변조 방지
2.1 접속기록의 보관
- 개인정보 침해사고 발생 시 책임 추적성 보장을 위해 접속 기록을 6개월 이상 보존·관리 하여야 한다.
- 접속기록이 위·변조 및 분실·도난 되지 않도록 안전하게 보관하여야 한다.
- (정보통신망법) 별도의 물리적인 저장 장치에 보관 하여야 하며 정기적인 백업을 수행하여야 한다.
- (정보통신망법) 기간통신사업자의 경우 2년 이상 보존해야 한다.
- 실무적으론 정기적으로 백업하여 백업전용 스토리지나 테이프, CD 등의 수정 불가한 매체 저장하여야 한다.
2.2 접속기록의 점검
- (개인정보보호법) 반기별로 1회 이상 점검하여야 한다.
- (정보통신망법) 월 1회 이상 정기적으로 점검하여야 한다.
- 실무적으론 각 팀별 담당자가 접속 기록의 이상 유무를 확인하고 담당 팀장 또는 개인정보보호/보안 관리자에게 보고하고 확인 결재 받음
개인정보보호법 관련 행정규칙
개인정보의 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관·관리하여야 한다.
② 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
정보통신망법 관련 행정규칙
개인정보의 기술적 관리적 보호조치 기준 제5조(접속기록의 위·변조방지) ① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 6개월 이상 접속기록을 보존·관리하여야 한다.
② 단, 제1항의 규정에도 불구하고 「전기통신사업법」 제5조의 규정에 따른 기간통신사업자의 경우에는 보존·관리해야할 최소 기간을 2년으로 한다.
③ 정보통신서비스 제공자등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다.
3. 개인정보의 암호화
3.1 암호화 대상 개인정보
- 비밀번호 : 비밀번호는 어느 법을 불문하고 무조건 일방향(해시) 암호화 대상이다.
- 바이오정보 : 필수 일방향 암호화 대상은 아니나, 실무적으로 인증을 위한 바이오 정보는 일방향으로 저장하는게 바람직하다.(행안부 해설서 및 CPPG 가이드라인 권고)
- 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
- (정보통신망법) 계좌번호, 카드번호
3.2 개인정보 송·수신 시 암호화
- (개인정보보호법) 고유식별정보, 비밀번호, 바이오정보 송신 및 전달 시 암호화
- (정보통신망법) 개인정보 송·수신 시 보안서버(SSL) 구축 등 암호화
3.3 고유식별번호 암호화
- 개인정보 영향평가 대상인 공공기관인 경우 영향평가의 결과에 따라 암호화 여부를 결정한다.
- (개인정보보호법) 송·수신·전달 시, DMZ구간 저장 시, 업무용PC저장 시
- (정보통신망법) 기본 암호화 대상
※ 의외로, 개보법에 한정해서 보면 주민등록번호를 저장할때 암호화를 필수로 요구하고 있지 않다. 정보통신망법에선 기본 암호화 대상으로 명시되어 있지만 개보법에선 전송할 때, DMZ에 저장할 때, 업무용 PC에 저장할 때만 암호화 해서 저장하라고 하고 있다.
3.4 안전한 암호화 알고리즘
- 미국 NIST, 일본 CRYPTREC, 유럽 ECRYPT, 국내 암호 연구기관 등에서 권고하는 알고리즘
- 일방향 : SHA-256이상
- 양방향 : AES, SEED, ARIA
- 취약한 알고리즘 : SHA-1, MD5
개인정보보호법 관련 행정규칙
개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.
⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.
정보통신망법 관련 행정규칙
개인정보의 기술적 관리적 보호조치 기준 제6조(개인정보의 암호화) ① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.
② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.
1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호
5. 신용카드번호
6. 계좌번호
7. 바이오정보
③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화해야 한다.
4. 악성프로그램 방지
- 개보법이나 망법이나 거의 동일하게 백신프로그램을 필수로 요구하고 있다.
- 백신프로그램은 자동 업데이트로 설정해두거나 망분리 등으로 자동업데이트가 안될 경우 일 1회 이상 업데이트 하여야 한다.
- 실무적으로 망분리가 된 경우 업데이트 서버를 별도로 두고, 업데이트 서버의 방화벽을 잠깐 오픈시키는 방법으로 업데이트를 받아온 뒤 PMS를 통해 중앙집중적으로 패치를 적용시킨다.
개인정보보호법 관련 행정규칙
개인정보의 안전성 확보조치 기준 제9조(악성프로그램 등 방지) 개인정보처리자는 악성프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
2. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시
3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
정보통신망법 관련 행정규칙
개인정보의 기술적 관리적 보호조치 기준 제7조(악성프로그램 방지) 정보통신서비스 제공자등은 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 하며, 다음 각호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
2. 악성프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시
5. 물리적 접근 방지
5.1 출입통제 절차
- 전산실, 자료보관실 등 개인정보를 별도로 보관하고 있는 장소가 있는 경우 출입통제 절차를 수립·운영 하여야 한다.
- 별도의 문서고나 서버가 없고 각 취급자별 업무용 PC에서만 작업이 이루어지는 경우엔 해당되지 않는다.
- 출입통제는 출입권한 관리, 출입기록 관리·점검, 절차에 대한 감사, 방재 대책 등이 종합적으로 고려되어야 한다.
5.2 안전한 장소에 보관
- 개인정보가 포함된 서류나 보장저장매체 등이 있는 경우 잠금장치가 있는 안전한 장소에 보관하여야 한다.
- (행안부 해설서) 금고, 캐비넷에 넣고 잠궈 두는 것을 의미함
- (CPPG 가이드북) 잠금장치 뿐만 아니라 1항의 출입통제가 되고 있는 곳이 안전한 곳이다.
5.3 보조저장매체 반출입 통제
- 개인정보가 보조저장매체 반출·입 통제 절차를 마련하여야 한다.
- (개인정보보호법) 개인정보처리시스템을 운영하지 않고 업무용 PC에서 처리하는 경우는 제외
- 실무적으로 아예 USB등을 사용할 수 없도록 DLP솔루션등을 이용하여 매체 사용을 차단한다.
개인정보보호법 관련 행정규칙
개인정보의 안전성 확보조치 기준 제11조(물리적 안전조치) ① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립·운영하여야 한다.
② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.
정보통신망법 관련 행정규칙
개인정보의 기술적 관리적 보호조치 기준 제8조(물리적 접근 방지) ① 정보통신서비스 제공자등은 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소에 대한 출입통제 절차를 수립·운영하여야 한다.
② 정보통신서비스 제공자등은 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 정보통신서비스 제공자등은 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다.
6. 개인정보 파기
6.1 개인정보 파기 원칙
6.1.1 파기시점
- 개인정보의 처리 목적이 달성되거나 보유기간(동의를 받은 기간)이 만료된 경우 지체없이 파기 하여야 한다.
- 다른 법령에서 별도로 정한 경우 해당 기간까지 보관할 수 있다. 단, 이 경우 분리 보관 하여야 한다.
ex) 전자상거래법을 적용받는 경우 동의 여부와 무관하게 거래정보는 5년동안 보관 되어야 한다.
6.1.2 파기방법
- 개인정보를 파기하는 경우 복구 또는 재생되지 않도록 조치를 하여야 한다.
- 완전파괴 : 파쇄기로 파기하거나 용해, 소각 등으로 완전 파괴
- 디가우징 : 전용 소자장비를 이용하여 하드디스크의 자성 제거
- 덮어쓰기 : 데이터를 복원할 수 없도록 3회 이상 덮어쓰기 수행
개인정보보호법 제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.
② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.
③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장·관리하여야 한다.
④ 개인정보의 파기방법 및 절차 등에 필요한 사항은 대통령령으로 정한다.
개인정보보호법 시행령 제16조(개인정보의 파기방법) ①개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 하여야 한다. <개정 2014.8.6>
1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각
② 제1항에 따른 개인정보의 안전한 파기에 관한 세부 사항은 행정안전부장관이 정하여 고시한다. <신설 2014.8.6, 2014.11.19, 2017.7.26>
개인정보의 안전성 확보조치 기준 제13조(개인정보의 파기) ① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
1. 완전파괴(소각·파쇄 등)
2. 전용 소자장비를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제
정보통신망법 제29조(개인정보의 파기) ①정보통신서비스 제공자등은 다음 각 호의 어느 하나에 해당하는 경우에는 지체 없이 해당 개인정보를 복구·재생할 수 없도록 파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야 하는 경우에는 그러하지 아니하다. <개정 2012.2.17., 2014.5.28.>
1. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 수집·이용 목적이나 제22조제2항 각 호에서 정한 해당 목적을 달성한 경우
2. 제22조제1항, 제23조제1항 단서 또는 제24조의2제1항·제2항에 따라 동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우
3. 제22조제2항에 따라 이용자의 동의를 받지 아니하고 수집·이용한 경우에는 제27조의2제2항제3호에 따른 개인정보의 보유 및 이용 기간이 끝난 경우
4. 사업을 폐업하는 경우
..(생략)..
6.2 개인정보 일부 파기 시 예외
6.2.1운영 중인 개인정보 파일들 중 일부만 삭제하는 경우
- 전문 완전 삭제 프로그램을 사용하여 삭제
- 담당자가 주기적으로 관리·감독 하여 복구되지 않도록 함(파기 확인 기안·결재 등)
6.2.2 종이문서에 기록된 정보 중 일부 개인정보만을 제거하는 경우
- 해당 부분 천공, 마스킹, 절삭 등으로 삭제
개인정보의 안전성 확보조치 기준 제13조(개인정보의 파기) ..(생략)..
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제
6.3 개인정보의 유효기간 제도
- 개인정보 유출사고 시 장기간 서비스를 이용하고 있지 않은 이용자 또한 피해를 받을 수 있음
- 정보통신망법에선 1년 동안 이용이 없는 고객에 대해선 삭제하거나 분리저장 하도록 규정하고 있다.
- 삭제·분리 하는 경우 30일 전 까지 아래 항목을 이용자에게 알려야 한다.
1. 개인정보가 파기되거나 분리되어 저장·관리된다는 사실
2. 기간 만료일
2. 해당 개인정보 항목
- 1년이란 기간은 다른 법령에서 별도로 정의되어 있거나, 이용자의 요청이 있는 경우만 달리 정할 수 있다.
정보통신망법 제29조(개인정보의 파기) ..(생략)..
② 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다. <신설 2012.2.17., 2015.12.1.>
③ 정보통신서비스 제공자등은 제2항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다. <신설 2015.12.1.>
[전문개정 2008.6.13.]
정보통신망법 시행령 제16조(개인정보의 파기 등) ① 삭제 <2016.5.31>
② 정보통신서비스 제공자등은 이용자가 정보통신서비스를 법 제29조제2항의 기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 한다. 다만, 법 제29조제2항 본문에 따른 기간(법 제29조제2항 단서에 따라 이용자의 요청에 따라 달리 정한 경우에는 그 기간을 말한다)이 경과한 경우로서 다른 법령에 따라 이용자의 개인정보를 보존하여야 하는 경우에는 다른 법령에서 정한 기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하여야 한다. <개정 2016.5.31, 2016.9.22>
③ 정보통신서비스 제공자등은 제2항에 따라 개인정보를 별도로 저장·관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다.
④ 법 제29조제3항에서 "개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등 대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다. <개정 2016.5.31>
1. 개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목
2. 다른 이용자의 개인정보와 분리하여 개인정보를 저장·관리하는 경우: 개인정보가 분리되어 저장·관리되는 사실, 기간 만료일 및 분리·저장되어 관리되는 개인정보의 항목
⑤ 법 제29조제3항에서 "전자우편 등 대통령령으로 정하는 방법"이란 전자우편·서면·모사전송·전화 또는 이와 유사한 방법을 말한다. <신설 2016.5.31>