- 내부관리계획은 개인정보처리자가 개인정보보호를 위한 사항을 전사적인 차원에서 명시적으로 구체화하는 것이다.
- 내부관리계획은 가능한 정기적으로 개정되어야 한다.
- 내부관리계획은 가능한 최고경영진의 승인을 거쳐 전사에 공표되어야 한다.
- 내부관리계획은 연 1회 이상 개인정보보호책임자에 의해 이행 실태 점검이 이루어져야 한다.
- 기업 입장에서 내부관리 계획은 민사소송 들에 대하여 방어기제로 활용될수 있다.
- 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인은 내부관리계획을 수립하지 않을 수 있다.
1.2 내부관리계획의 포함 내용
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 개인정보의 암호화 조치에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조지겡 관한 구성 및 운영에 관한 사항
11. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위해 필요한 사항
- 보유 개인정보 100만명 미만의 중소기업, 또는 10만명 미만의 대기업, 중견기업, 공기업은 12~14 생략 가능
개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행) ① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다.
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항
② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.
③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다.
정보통신망법 시행령 제15조(개인정보의 보호조치) ① 법 제28조제1항제1호에 따라 정보통신서비스 제공자등은 개인정보의 안전한 처리를 위하여 다음 각 호의 내용을 포함하는 내부관리계획을 수립·시행하여야 한다. <개정 2016.9.22.>
1. 개인정보 보호책임자의 지정 등 개인정보보호 조직의 구성·운영에 관한 사항
2. 정보통신서비스 제공자의 지휘·감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 "개인정보취급자"라 한다)의 교육에 관한 사항
3. 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항
② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다. <개정 2012.8.17.>
1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 "개인정보처리시스템"이라 한다)에 대한 접근권한의 부여·변경·말소 등에 관한 기준의 수립·시행
2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치·운영
3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷망 차단
4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영
5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치
③ 법 제28조제1항제3호에 따라 정보통신서비스 제공자등은 접속기록의 위조·변조 방지를 위하여 다음 각 호의 조치를 하여야 한다.
1. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인·감독
2. 개인정보처리시스템에 대한 접속기록을 별도 저장장치에 백업 보관
④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장·전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다. <개정 2014.11.28., 2017.3.22.>
1. 비밀번호의 일방향 암호화 저장
2. 주민등록번호, 계좌정보 및 바이오정보 등 방송통신위원회가 정하여 고시하는 정보의 암호화 저장
3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신·수신하는 경우 보안서버 구축 등의 조치
4. 그 밖에 암호화 기술을 이용한 보안조치
⑤ 법 제28조제1항제5호에 따라 정보통신서비스 제공자등은 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검·치료할 수 있도록 백신소프트웨어를 설치하여야 하며, 이를 주기적으로 갱신·점검하여야 한다.
⑥ 방송통신위원회는 제1항부터 제5항까지의 규정에 따른 사항과 법 제28조제1항제6호에 따른 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치의 구체적인 기준을 정하여 고시하여야 한다.
1.3 각 항목별 해설
1.3.1 개인정보 보호책임자의 지정에 관한 사항
- 정보통신망법에선 ①임원 또는 ②개인정보 고충처리 담당부서장을 CPO로 지정하도록 정하고 있다.
- 단, 종업원수가 5명미만인 경우 CPO를 별도로 정하지 않고 대표자가 CPO가 될수 있다.
- 단, 인터넷 정보통신서비스가 주업무인 경우 종업원수가 5명 미만이면서 직전 3개월간 일일 평균 이용자 수가 1천명 이하여야 한다.
제27조(개인정보 보호책임자의 지정) ① 정보통신서비스 제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보 보호책임자를 지정하여야 한다. 다만, 종업원 수, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자등의 경우에는 지정하지 아니할 수 있다. <개정 2016.3.22.>
② 제1항 단서에 따른 정보통신서비스 제공자등이 개인정보 보호책임자를 지정하지 아니하는 경우에는 그 사업주 또는 대표자가 개인정보 보호책임자가 된다. <개정 2016.3.22.>
③ 개인정보 보호책임자의 자격요건과 그 밖의 지정에 필요한 사항은 대통령령으로 정한다. <개정 2016.3.22.>
④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 정보통신서비스 제공자등의 사업주 또는 대표자에게 개선조치를 보고하여야 한다. 다만, 제2항에 따라 사업주 또는 대표자가 개인정보 보호책임자가 되는 경우에는 개선조치 보고에 대한 사항을 적용하지 아니한다. <신설 2016.3.22.>
시행령 제13조(개인정보 보호책임자의 자격요건 등) ① 정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)가 법 제27조제1항 본문에 따라 지정하는 개인정보 보호책임자는 다음 각 호의 어느 하나에 해당하는 지위에 있는 자로 하여야 한다. <개정 2009.1.28, 2016.9.22>
1. 임원
2. 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장
② 법 제27조제1항 단서에서 "대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자등"이란 상시 종업원 수가 5명 미만인 정보통신서비스 제공자등을 말한다. 다만, 인터넷으로 정보통신서비스를 제공하는 것을 주된 업으로 하는 정보통신서비스 제공자등의 경우에는 상시 종업원 수가 5명 미만으로서 전년도 말 기준으로 직전 3개월간의 일일평균이용자가 1천명 이하인 자를 말한다. <개정 2009.1.28>
표준 개인정보 보호지침 제22조(개인정보 보호책임자의 공개) ① 개인정보처리자가 개인정보 보호책임자를 지정하거나 변경하는 경우 개인정보 보호책임자의 지정 및 변경 사실, 성명과 부서의 명칭, 전화번호 등 연락처를 공개하여야 한다.
② 개인정보처리자는 개인정보 보호책임자를 공개하는 경우 개인정보 보호와 관련한 고충처리 및 상담을 실제로 처리할 수 있는 연락처를 공개하여야 한다. 이 경우 개인정보 보호책임자와 개인정보 보호 업무를 처리하는 담당자의 성명, 부서의 명칭, 전화번호 등 연락처를 함께 공개할 수 있다.
- 개인정보보호법에선 ①대표자 또는 ②임원 또는 ③개인정보 고충처리 담당부서장을 CPO로 지정하도록 하고 있다.
- 공공기관인 경우 규모에 따라 3~4급 이상의 공무원, 학교인 경우 행정사무 총괄자 등 CPO의 자격을 정하고 있다.
제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.
② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.
⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.
⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.
제32조(개인정보 보호책임자의 업무 및 지정요건 등) ① 법 제31조제2항제7호에서 "대통령령으로 정한 업무"란 다음 각 호와 같다.
1. 법 제30조에 따른 개인정보 처리방침의 수립·변경 및 시행
2. 개인정보 보호 관련 자료의 관리
3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
② 개인정보처리자는 법 제31조제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다. <개정 2016.7.22.>
1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등
가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단에 속하는 공무원(이하 "고위공무원"이라 한다) 또는 그에 상당하는 공무원
나. 가목 외에 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원
다. 가목 및 나목 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
라. 가목부터 다목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
마. 시·도 및 시·도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
바. 시·군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원
사. 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
아. 가목부터 사목까지의 규정에 따른 기관 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.
2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
가. 사업주 또는 대표자
나. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
③ 행정안전부장관은 개인정보 보호책임자가 법 제31조제2항의 업무를 원활히 수행할 수 있도록 개인정보 보호책임자에 대한 교육과정을 개설·운영하는 등 지원을 할 수 있다. <개정 2013.3.23., 2014.11.19., 2017.7.26.>
- 단, 동창회, 동호회 등 친목 도모를 위한 단체는 CPO를 별도로 정하지 않고 대표자가 CPO가 될수 있다.
제58조(적용의 일부 제외) ① 다음 각 호의 어느 하나에 해당하는 개인정보에 관하여는 제3장부터 제7장까지를 적용하지 아니한다.
1. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보
2. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보
3. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보
4. 언론, 종교단체, 정당이 각각 취재·보도, 선교, 선거 입후보자 추천 등 고유 목적을 달성하기 위하여 수집·이용하는 개인정보
② 제25조제1항 각 호에 따라 공개된 장소에 영상정보처리기기를 설치·운영하여 처리되는 개인정보에 대하여는 제15조, 제22조, 제27조제1항·제2항, 제34조 및 제37조를 적용하지 아니한다.
③ 개인정보처리자가 동창회, 동호회 등 친목 도모를 위한 단체를 운영하기 위하여 개인정보를 처리하는 경우에는 제15조, 제30조 및 제31조를 적용하지 아니한다.
④ 개인정보처리자는 제1항 각 호에 따라 개인정보를 처리하는 경우에도 그 목적을 위하여 필요한 범위에서 최소한의 기간에 최소한의 개인정보만을 처리하여야 하며, 개인정보의 안전한 관리를 위하여 필요한 기술적·관리적 및 물리적 보호조치, 개인정보의 처리에 관한 고충처리, 그 밖에 개인정보의 적절한 처리를 위하여 필요한 조치를 마련하여야 한다.
1.3.2 개인정보보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보보호책임자는 개인정보 처리에 관한 업무를 총괄해서 책임진다.
- 개인정보보호책임자는 전사적으로 개인정보 관리실태를 평가하고 통제할수 있어야 한다. - 법에서 정한 개인정보책임자의 역할은 아래 법률조항 참조
제31조(개인정보 보호책임자의 지정) ① 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정하여야 한다.
② 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
③ 개인정보 보호책임자는 제2항 각 호의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
④ 개인정보 보호책임자는 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다.
⑤ 개인정보처리자는 개인정보 보호책임자가 제2항 각 호의 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 된다.
⑥ 개인정보 보호책임자의 지정요건, 업무, 자격요건, 그 밖에 필요한 사항은 대통령령으로 정한다.
시행령 제32조(개인정보 보호책임자의 업무 및 지정요건 등) ① 법 제31조제2항제7호에서 "대통령령으로 정한 업무"란 다음 각 호와 같다.
1. 법 제30조에 따른 개인정보 처리방침의 수립·변경 및 시행
2. 개인정보 보호 관련 자료의 관리
3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
- 개인정보취급자는 고용관계 및 근무의 방식과 무관하게 개인정보를 직접 처리하는 모든 직원이다.
- 임직원 뿐만 아니라 계약직, 파견직, 시간제 근로자 등 예외 없음
- 개인정보취급자는 일방적으로 지시를 받기만 하는 수동적인 역할이 아니라 또 하나의 자발적인 개인정보보호 주체이다.
- 개인정보취급자의 역할과 책임은 아래와 같다.
(1) 개인정보보호 활동 참여
(2) 내부관리계획의 준수 및 이해
(3) 개인정보의 기술적·관리적 보호조치 기준 이행
(4) 개인정보 침해행위 점검
1.3.3 개인정보취급자에 대한 교육
- 조직의 환경, 지식수준, 업무특성에 따라 다양한 방식으로 진행 가능하다. 집체교육, 온라인 교육, 외부 교육 참여 등
- 교육 내용 또한 기술적 보안조치 내용, 관리적 컴플라이언스 내용 등 대상자에 따라 다양하게 구성 가능하다.
- 정보통신망법 적용 사업자는 규모, 개인정보보유수 등을 고려하여 계획계획을 수립하여 고육하여야 한다.
개인정보보호법 제28조(개인정보취급자에 대한 감독) ① 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자(이하 "개인정보취급자"라 한다)에 대하여 적절한 관리·감독을 행하여야 한다.
② 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 정기적으로 필요한 교육을 실시하여야 한다.
개인정보의 기술적 관리적 보호조치 기준 제3조(내부관리계획의 수립·시행) ① 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호 조직을 구성·운영하여야 한다.
1. 개인정보관리책임자의 자격요건 및 지정에 관한 사항
2. 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
(중간생략)
② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보관리책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수 등을 고려하여 필요한 교육을 정기적으로 실시하여야 한다.
1. 교육목적 및 대상
2. 교육 내용
3. 교육 일정 및 방법
③ 정보통신서비스 제공자등은 제1항 및 제2항에 대한 세부 계획, 제4조부터 제8조까지의 보호조치 이행을 위한 세부적인 추진방안을 포함한 내부관리계획을 수립·시행하여야 한다.
1.3.4 개인정보 안전성 확보에 필요한 조치에 관한 사항
- 관리적·물리적·기술적 보호조치에 대한 내용이 포함되어 있어야 한다.
- 침해사고, 자연재해 등 비상시에 대한 대응체계를 구축하여야 한다.
1.3.5 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
- 개인정보보호법 26조 및 동법 시행령 28조에 따른 관리 감독 내용이 포함되어야 한다.
- 개인정보 업무 위탁 시 법에서 정한 내용을 포함한 문서에 의해야 한다.
- 개인정보 업무 위탁 시 개인정보 안전성 확보 조치에 관한 관리 감독 계획이 있어야 한다.
1.3.6 그 밖에 개인정보 보호를 위하여 필요한 사항
- 법에서 필수적으로 정한 사항들 외에 개인정보 내부 관리를 위한 내용은 모두 포함 시킬 수 있다.
- 보안서약서 작성, 개인정보처리방침 수립 방안 등
2. 접근권한 관리
- 많은 사고가 잘못된(과다한) 권한 부여에서 기인한 경우가 많다.
- 접근 권한은 역할, 직급 등에 의해 차등 부여되어야 하고, 필요한 시기에만 부여되어야 한다.
2.1 접근 권한의 부여
- 입사 즉시, 개인정보를 주로 처리하는 부서에 배치받은 즉시 권한을 부여 하는 것은 옳지 않다.
- 권한은 부서, 팀별로 관리되기 보다 처리자의 역할에 기반하여 1:1로 관리되어야 한다.
- 권한 부여는 명시적인 문서를 통해 담당 팀장 또는 책임자의 결재를 받고 부여하는 것이 바람직하다.
- 접근 권한은 최소한의 범위로 부여 되어야 한다.
2.2 접근 권한의 변경
- 인사이동이 발생하여 더 이상 개인정보취급이 필요 없어지는 경우, 또는 상이한 개인정보를 취급하게 된 경우 그 즉시 권한을 파기 또는 변경 하여야 한다.
- 개인정보처리시스템의 권한관리는 인사시스템과 연동 되는 것이 바람직하다.
- 인사이동 발생시 모든 권한이 말소되며, 다시 필요한 권한에 대해 신청 하도록 하는 것 또한 바람직하다.
2.3 권한 변경 내역의 기록 및 보관
- 개인정보취급자의 권한 부여·변경·말소 기록은 최소 3년간 보관되어야 한다.
- 정보통신망법을 적용받은 정보통신서비스제공자는 최소 5년을 보관하여야 한다.
2.4 접근 계정 관리
- 계정은 책임 추적성을 보장하기 위해 1인 1계정을 부여 하여야 한다.
- 관리적·기술적 계정공용 방지 대책을 마련하여야 한다.
- SSO, IP주소 구분, SMS인증 등을 통하여 아이디/비밀번호만으로 타인의 권한을 쉽게 사용할 수 없는 환경을 구성하여야 한다.
- 일정 기준 이상의 정보통신서비스제공자[각주:1]는 IP주소 구분, IP접근기록 분석[각주:2] 등이 의무이다.
2.5 비밀번호 관리
- 비밀번호 강도 : 길이, 복잡성, 예측불가성에 의해 결정된다.
- (개보법) 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정할 수 있도록 작성규칙을 수립하여 운영하여야 한다.
- (망법) 비밀번호는 영문, 숫자, 특수문자 중 2가지를 조합한 경우 10자리 이상이어야 한다.
- (망법) 비밀번호는 영문, 숫자, 특수문자 중 3가지를 조합한 경우 8자리 이상이어야 한다.
- (망법) 비밀번호 사용에 유효기간을 정하여 반기별 1회 이상 변경토록 하여야 한다.
- (개보법) 비밀번호 연속 오류 시 접근을 제한하는 기능 등 필요한 조치를 하여야 한다.
- 위와 같이 개인정보보호법과 정보통신망법에 비밀번호에 관한 규제가 나누어져 있다. 기본적인 내용이므로 개보법만 적용 받는 사업자라도 둘다 적용 하는 것이 바람직하다.
전년도 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자 [본문으로]
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
2.개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지 [본문으로]