개인정보 안전성 확보조치

개인정보보호법에서는 개인정보 처리자가 개인정보를 처리함에 있어 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 않도록 기술적, 물리적으로 최소한의 안전성 확보를 하도록 기준을 정하고 있습니다. 

 

개인정보 처리자 유형 및 개인정보 보유량에 따른 안전조치 기준

유형	적용대상	안전조치기준
유형1 (완화)	1만 명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인	- 제5조 : 제 2항부터 제5항까지 - 제6조 : 제1항, 제3항, 제6항 및 제7항 - 제7조 : 제1항부터 제5항까지, 제7항 - 제8조 : 제9조, 제10조, 제11조, 제13조
유형2 (표준)	- 100만 명 미만의 정보주체에 관한 개인정보를 보유한 중소기업 - 10만 명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견 기업, 공공 기관 - 1만 명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인	- 제4조 : 제1항제1호부터 제11호까지 및 제15호, 제3항부터 제4항까지 - 제5조 - 제6조 : 제1항부터 제7항까지 - 제7조 : 제1항부터 제5항까지, 제7항 - 제8조, 제9조, 제10조, 제13조
유형3 (강화)	- 10만 명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견 기업, 공공기관 - 100만 명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체	- 제4조부터 제13조까지

 

개인정보 보유량 및 개인정보 처리자 유형에 따른 안전조치 분류

개인정보 보유량/ 개인정보처리자 유형	공공기관	대기업	중견기업	중소기업	소상공인	개인	단체
1만 명 미만	유형2 (표준)	유형2 (표준)	유형2 (표준)	유형2 (표준)	유형1 (완화)	유형1 (완화)	유형1 (완화)
1만 명~10만 명 미만					유형2 (표준)	유형2 (표준)	유형2 (표준)
10만 명~100만 명 미만	유형3 (강화)	유형3 (강화)	유형3 (강화)
100만 명 이상				유형3 (강화)			유형3 (강화)

 

개인정보의 안전성 확보조치 기준(개인정보보호법)

1. 개인정보보호책임자의 지정에 관한 사항
2. 개인정보보호책임자 및 개인정보 취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보보호조직에 관한 구성 및 운영에 관한 사항
11. 개인정보 유출사고 대응 계획 수립 시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그밖에 개인정보보호를 위하여 필요한 사항