티스토리 뷰
2019년 6월 7일, 행정안전부에서는 "개인정보의 안전성 확보조치 기준" (고시)를 개정했습니다.
2011년 9월30일 개인정보 보호법이 시행된 이후 4번째로 개정된 사항이며, 이는 갈수록 심각해지는 개인정보 유출 및 개인정보 보호에 대한 제도를 강화하기 위함 입니다. 그러나, 개인정보 처리자 입장에서는 해야할 일들이 너무 많아지고 관리적으로든 기술적으로든 인력과 예산이 같이 수반되어져야 하는 부분입니다.
- 1. 개인정보의 안전성 확보조치 기준
[시행 2019. 6. 7.] [행정안전부고시 제2019-47호, 2019. 6. 7., 일부개정]
- 2. 개인정보의 안전성 확보조치 기준
[시행 2017. 7. 26.] [행정안전부고시 제2017-1호, 2017. 7. 26., 타법개정]
- 3. 개인정보의 안전성 확보조치 기준
[시행 2016. 9. 1.] [행정자치부고시 제2016-35호, 2016. 9. 1., 전부개정]
- 4. 개인정보의 안전성 확보조치 기준
[시행 2014. 12. 30.] [행정자치부고시 제2014-7호, 2014. 12. 30., 일부개정]
- 5. 개인정보의 안전성 확보조치 기준
[시행 2011. 9. 30.] [행정안전부고시 제2011-43호, 2011. 9. 30., 제정]
이번 개정된 안전성 확보조치 기준은 행안부고시 제2019-47호 입니다. 행안부 고시 번호가 들어가는 문서는 개인정보 보호법과 관련된 표준위탁계약서 부분인데요. 표준위탁계약서에 개인정보의 안전성 확보조치 라는 부분에 고시 번호가 들어가 있는데 그 부분을 제2019-47호로 변경해서 사용하시기 바랍니다.
그럼, 이번 개정으로 어떤 사항들이 변경되었는지 알아보도록 하죠.
1. 제2조(정의) 부분에서 19번에 있는 "접속기록" 의 의미가 확장되었습니다.
[변경 전] 기존에 접속기록은 “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다. 에서 접속기록 보관시 위 4가지 사항에 대해서만 로그를 남기면 되었습니다.
이번에 개정된 접속기록의 정의는
[변경 후] “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.
즉, 접속지 정보(접속한 자의 PC, 모바일기기 등 단말기 정보 또는 서버의 IP주소 등 접속 주소) 추가.
처리한 정보주체 정보 : 개인정보취급자가 누구의 개인정보를 처리하였는지를 알 수 있는 이름, ID 등 도 기록하게 되었습니다.
2. 제4조(내부관리계획의 수립.시행) 4항입니다.
[변경 전] ④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검․관리하여야 한다.
[변경 후] ④ 개인정보 보호책임자는 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연 1회 이상으로 점검‧관리 하여야 한다.
CPO가 연 1회 이상 내부관리계획의 이행실태를 점검.관리 하는 것은 동일하나 이행 실태 항목에 대하여 구체적으로 명기 하였습니다.
3. 제8조(접속기록의 보관 및 점검) 1항과 2항 입니다.
[변경 전] ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관․관리하여야 한다.
[변경 후] ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관‧관리하여야 한다. 다만, 5만 명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다.
기존 6개월에서 1년 이상으로, 또 5만 명 이상의 개인정보가 있다면 최소 2년 이상 보관 관리 해야 합니다. 접속기록을 보관하려면 그에 따른 저장장치 및 관리시스템도 최소한 4배이상 필요하지 않을까 생각합니다.
또, 이부분은 과연 2년 이상 접속기록을 보관할 필요가 있을까라는 생각도 해봅니다. 그런데, 고시 에서는 "개인정보처리자는 접속기록을 최소 보관기간 이후에도 삭제하지 않고 보관·관리할 수 있도록 개인정보처리시스템에 저장된 개인정보의 중요도 및 민감도 등을 고려하여 내부 관리계획으로 보관기간을 정하여 이행하여야 한다." 라고 하여 추가적으로 더 보관하라고 유도하고 있습니다.
●접속기록 항목 예시
․ 계정 : A0001(개인정보취급자 계정)
․ 접속일시 : 2019-02-25, 17:00:00
․ 접속지 정보 : 김길동PC 또는 192.168.100.1 (접속한 자의 단말기 정보 또는 IP주소)
․ 정보주체 정보 : 홍길동 (정보주체를 특정하여 처리한 경우 정보주체의 식별정보)
․ 수행업무 : 회원목록 조회, 수정, 삭제, 다운로드 등
※ 위 정보는 반드시 기록하여야 하며 개인정보처리자의 업무환경에 따라 책임 추적성 확보에 필요한 항목은 추가로 기록해야 한다.
다음은 2항입니다.
[변경 전] ② 개인정보처리자는 개인정보의 분실․도난․유출․위조․변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.
[변경 후] ② 개인정보처리자는 개인정보의 오‧남용, 분실‧도난‧유출‧위조‧변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부 관리계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
매 월 개인정보처리시스템의 접속기록을 정기적으로 점검해야 하며, 이를 통해 비인가된 개인정보 처리, 대량의 개인정보에 대한 조회, 정정, 다운로드, 삭제 등의 비정상 행위를 탐지하고 적절한 대응조치를 할 필요가 있습니다.
개인정보보호 담당자와 CPO께서 할 일이 많이 늘어났죠?
접속기록 비정상 행위는 다음과 같은 사례입니다.
․ 계정 : 접근권한이 부여되지 않은 계정으로 접속한 행위 등
․ 접속일시 : 출근시간 전, 퇴근시간 후, 새벽시간, 휴무일 등 업무시간 외에 접속한 행위 등
․ 접속지 정보 : 인가되지 않은 단말기 또는 지역(IP)에서 접속한 행위 등
․ 정보주체 정보 : 특정 정보주체에 대하여 과도하게 조회, 다운로드 등의 행위 등
․ 수행업무 : 대량의 개인정보에 대한 조회, 정정, 다운로드, 삭제 등의 행위 등
․ 그 밖에 짧은 시간에 하나의 계정으로 여러 지역(IP)에서 접속한 행위 등
아울러, 내부관리계획에 개인정보 다운로드에 대한 사유를 추가하여 작성해야 합니다. 즉, 다운로드에 대하여 보다 더 엄격하게 관리를 해야 한다는 것입니다.
따라서, 고시 제4조(내부관리계획의 수립. 시행) 제1항 제7호의 접속기록 보관 및 점검에 관한 사항에 개인정보처리자의 업무 현황을 고려하여 다운로드 한 사유를 확인하여야 하는 다운로드 기준을 책정해야 한다는 것입니다.
다운로드 사유확인이 필요한 기준 책정 예시는 다음과 같습니다.
․ (다운로드 정보주체의 수) 통상적으로 개인정보 처리 건수가 일평균 20건 미만인 소규모 기업에서 개인정보취급자가 100명 이상의 정보주체에 대한 개인정보를 다운로드 한 경우 사유 확인
․ (일정기간 내 다운로드 횟수) 개인정보취급자가 1시간 내 다운로드한 횟수가 20건 이상일 경우 단시간에 수차례에 걸쳐 개인정보를 다운로드 한 행위에 대한 사유 확인
․ (업무시간 외 다운로드 수행) 새벽시간, 휴무일 등 업무시간 외 개인정보를 다운로드 한 경우 사유 확인
위 내용을 정리해보면 각 기관의 개인정보보호 담당자께서 해야할 일은 다음과 같습니다.
1. 개인정보 안전성 확보조치 기준 고시 개정(2019-47호)을 기준으로 각 기관의 내부관리계획을 개정해야 합니다. (위에 있는 제2조 용어 정의부터 제4조, 제8조 1항 2항)
2. 내부관리계획 제4조 제1항 제7호의 접속기록 보관 및 점검 항목에 다운로드 사유확인이 필요한 기준을 책정해서 기재해야 합니다.
3. 접속기록을 1년 이상 보관하기 위해 스토리지 추가 구입 등에 필요한 예산을 편성해서 신청해야 겠죠?
4. 기존에 접속기록 시스템에 있다면 접속지 정보 등이 추가가 가능한지 확인이 필요합니다.
5. 매월 접속기록 및 비정상 행위에 대한 관리 감독 및 내부결재 등이 필요할 것입니다.
6. 표준위탁계약서의 내용을 변경해야 합니다.(고시번호)
7. 새롭게 수립된 내부관리계획에 대해 최고경영자의 승인을 득한 후 구성원들에게 전파하고 교육을 해야 합니다.
-더 자세한 개정사항 해설은 첨부 파일을 참조하시면 됩니다.
행정안전부 개인정보보호 교육 전문강사 강문석박사
'개인정보보호' 카테고리의 다른 글
| 2019년 새만금개발공사 개인정보보호 교육(2019.6.21) - 강문석 박사 (0) | 2019.06.30 |
|---|---|
| 2019년 대전복지재단 개인정보보호교육 (2019. 6. 4)- 강문석 박사 (0) | 2019.06.29 |
| 공무원 임용이나 공공기관 채용지원서에 주민등록번호를 기재하도록 해도 되는건가요? (0) | 2019.04.12 |
| 2019년 새만금개발청 개인정보보호교육 - 강문석 박사 (0) | 2019.04.12 |
| 2019년 침례신학대학교 개인정보보호 및 정보보안교육 - 강문석 박사 (0) | 2019.04.10 |
- Total
- Today
- Yesterday
- 혜천대학
- DST
- 창대체육관
- 광고홍보디자인과
- 대전과학기술대학
- 대전과학기술대학교노동조합
- 전국대학노동조합대전과기대지부
- 개인정보보호교육
- 학위수여식
- 평생교육원
- 대전과학기술대
- 개인정보보호법
- 강문석박사
- 식품조리계열
- 중앙도서관
- 가을캠퍼스
- 대전과기대노동조합
- 혜천대
- RNTC
- 대전과기대노조
- 대전과기대 강문석
- 개인정보보호전문강사
- 개인정보보호교육전문강사
- 정보보호
- 대전과학기술대학교
- 이효인 부총장
- 혜천대학교
- 개인정보보호
- 강문석
- 대전과기대
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |