개인정보 보호법에 따른 안전한 관리 방법

개인정보 보호법에 따라 개인정보의 안전성 확보를 위해 3가지 조치가 이루어져야 하는데 관리적, 물리적, 기술적 조치를 취해야만 합니다. 개인정보 보안 점검에서도 주로 이 3가지를 가지고 주요 체크 사항으로 체크를 진행하게 됨으로 여기서 어떤 것을 의미하는 지는 알고 있어야하겠습니다.

 

개인정보 보호법 제29조, 시행령 제30조, 안전성 확보조치 기준 고시

• 관리적 조치
  - 내부관리계획의 수립.시행(개인정보보호책임자지정 등)
  - 접근 권한의 관리
• 기술적 조치
  - 접근 통제 시스템의 설치 및 운영
  - 접근 권한의 관리
  - 개인정보의 암호화
  - 접속 기록의 보관 및 위.변조 방치 여부
  - 백신 등 보안 프로그램의 설치 및 운영
• 물리적 조치
  - 개인정보의 안전한 보관을 위한 보관시설 구비
  - 개인정보가 포함된 미디어의 반출.입 통제
  - 개인정보의 안전한 파기

관리적 조치에서 언급하는 내부관리계획에서는 개인정보 보호 책임자의 지정과 개인정보 보호책임자 및 개인정보 취급자의 역할 및 책임에 관한 사항, 개인정보의 안전성 확보에 필요한 조치에 관한 사항, 개인정보취급자에 대한 교육, 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 등의 내용이 포함이 되어야 합니다.

 

접근 권한 관리에는 개인정보시스템을 운영하는 경우 시스템에 대한 불필요한 접근 차단을 위한 접근 관리가 필요 합니다.

시스템별로 권한 레벨을 두어 레벨별 접근 차등 부여와 비인가자의 경우 접근이 원천적으로 차단이 될 수 있는 조치가 마련되어야 합니다.

 

접근통제 시스템 설치 및 운영에서는 시스템에 대한 불필요한 접근과 비인가 접근 차단을 위한 접근권한 관리가 필요합니다.

특히나 개인식별정보 또는 바이오정보 등을 수집하거나 처리하는 경우에는 안전한 알고리즘을 이용하여 암호화를 해야하는데 비밀번호의 경우에는 복호화가 되지 않도록 일방향 암호화로 저장하여야 하며, 고유식별정보를 저장하는 경우에는 인터넷망과 인터넷 차단이 되는 내부망으로 망분리를 하여 안전하게 보관하여야 합니다.

 

접속기록의 보관 및 위변조 방지를 위한 조치로는 개인정보취급자가 개인정보처리시스템에 접속한 기록은 최소 6개월 이상 위변조나 도난, 분실이 되지 않도록 안전하게 보관하여야 합니다.

접속기록 항목으로는 ID(개인정보취급자 식별정보), 날짜 및 시간(접속일시), 접속자IP주소(접속지 정보), 처리한 업무(열람, 수정, 삭제, 출력, 입력 등) 항목들이 필수 항목으로 기록되어야 합니다.

또한 위변조 방지를 위해서는 개인정보 접속기록을 최소 반기별로 1회이상 점검이 이루어져야 합니다.

 

개인정보처리자 및 취급자는 보안프로그램을 설치를 필수로 해야하는데 악성 프로그램 감염으로 부터 안전성을 확보하며, 바이러스를 통항 예방을 위해 백신 소프트웨어는 정기적으로 최신 업데이트 되어 운영되어야 합니다.

최신 업데이트를 위해서는 자동 업데이트 기능을 사용하거나 일 1회 이상 업데이트를 수동으로라도 해야하며, 악성프로그램에 대한 보안 긴급공지가 있는 경우 소프트웨어 제작사를 통해 긴급 업데이트를 진행해야 합니다.

 

안전한 보관을 위한 물리적 조치로는 개인정보가 포함된 서류, 보조저장매체, 개인정보접속 기록 등은 시건장치가 있는 안전한 장소에 보관되어야하며, 정.부로 관리자를 나누어 관리를 해야 합니다.

 

개인정보 안전성 확보 보호조치로 크게 3가지를 다루어보았는데, 관리적, 물리적, 기술적 조치에 따른 세부적인 조치 항목도 나누어져 있어 이부분은 추후 각 조치에 어떠한 항목들이 세부적으로 나누어져있는지에 대해 다루어 보도록 하겠습니다.