개인정보보호
HOMEOTHER SERVICES개인정보보호
개인정보보호법[시행 2014.3.24.] [법률 제12504호, 2014.3.24., 일부개정]솔루션
"개인정보보호법 의무 위반 시 3천만원 이하 과태료"
"의무 위반으로 사고 발생시 2년 이하 징역 또는 1천만원 이하 벌금"
"주민등록번호가 분실/도난/유출/변조/훼손된 경우 5억원 이하 과징금 부과"
유씨캐스트는 개인정보보호법 기술적 준수를 위해 웹서버, DB서버에 정보보안 솔루션으로 안전하게 정보를 보호합니다.
[웹방화벽]과 [DB암호화] 솔루션 참조
개인정보보호법 (재정 2011.03.30. 법률 제 10465호 / 시행 2011.09.30)
대규모 개인정보 침해 사고 발발 : 점차 대형화, 지능화, 다양화 추세
일반법(통합법) 미비로 인한 법 적용 사각지대 발생 : 개별법간 보호원칙, 처리기준 및 추진체계 상이하여 혼란
개인정보보호법 체계의 일원화 의무적용대상
"350만 사업자 확대"
개인정보보호법
공공행정분야
공공기관의
개인정보 보호에 관한법률
전자 정부법
주민등록법
가족관계의
등록 등에 관한 법률
공공기관의
정보공개에 관한 법률 등
정보통신 분야
공정보통신망 이용촉진
및 정보보호등에
관한법률
통신비밀보호법
주민등록법
정보통신기반보호법
정기통신사업법 등
금융/신용 분야
신용정보의 이용 및
보호에 관한 법률
금융실명거래 및
비밀보장에 관한 법률
전자거개 기본법
전자상거래 등에서의
소비자 보호에 관한 법률
의료 분야
생명윤리 및
안전에 관한 법률
장기 등
이식에 관한 법률
응급의료에
응급의료에 관한 법률
교육분야
초중등 교육법
교육정보 시스템의
운영 등에 관한 규칙 등
개인정보보호법 (재정 2011.03.30. 법률 제 10465호 / 시행 2011.09.30.)
구분
주요내용
내부관리계획(제3조)
접근권한 관리 (제4조)
비밀번호 관리 (제5조)
접근통제시스템 (제6조)
암호화 (제7조)
접속기록 보관 (제8조)
보안프로그램 (제9조)
물리적 접근방지 (제10조)
보호책임자 지정 및 역할과 책임, 취급자 교육 등 (※ 소상공인은 내부관리계획 수립의무 면제)
업무수행에 필요한 최소한의 범위로 차등부여
접근권한 부여기록은 최소 3년간 보관
비밀번호 작성규칙 수립 의무화
방화벽 등 접근통제시스템 설치, 운영
업무용 컴퓨터만을 이용해 개인정보 처리 시, 접근통제시스템 설치 의무
암호화 대상 : 고유식별정보, 비밀번호, 바이오 정보
암호화 기준 : [전송시] 정보통신망 송수신등의 경우 암호화
[저장시] ① 비밀번호 및 바이오정보 암호화 (비밀번호 일방향 암호화)
② 고유식별정보는 인터넷 구간, DMZ구간 저장시 암호화하고 내부전산망 저장시
위험도 분석에 따라 암호화 적용여부, 적용범위 결정
최소 6개월 이상 보관
백신소프트웨어 등 보안프로그램 설치, 자동 또는 일1회이상 업데이트
개인정보 물리적 보관장소에 대한 출입 통제 절차 등
접근권한 관리
개인정보시스템 접근권한을 업무수행에 필요한 최소한 범위로 업무담당자별 차등부여
예) 개인정보 보호책임자에게는 전체권한(읽기/쓰기/변경)을 부여하거나, 개인정보 취급자에게는 읽기 권한만 제공하는 등 권한에 차등
개인정보 취급자 변경 시 지체 없이 개인정보처리시스템의 접근권한 변경 또는 말소
권한부여, 변경, 말소 내역 기록 및 최소 3년 보관
개인정보 취급자별 각각의 사용자 계정 발급 및 공유금지
비밀번호 관리
개인정보 취급자 또는 정보 추체가 안전한 비밀번호를 설정할 수 있도록 비밀번호 작성규칙 수립 및 적용
비밀번호 최소 길이
최소10자리 : 영대문자, 영소문자, 숫자, 특수문자 중 2종류 이상으로 구성
최소 8자리 : 영대문자, 영소문자, 숫자, 특수문자 중 3종류 이상으로 구성
추측하기 어려운 비밀번호 : love, happy, 12345678, qwerty (X)
비밀번호의 주기적 변경 : 유효기간 설정 및 6개월마다 변경
동일한 비밀번호 사용제한
접근통제시스템 설치 및 운영
접근통제(IP주소 등) 및 불법유출시도 탐지 기능 포함 시스템 설치 운영
① 침입차단시스템(Firewall) 또는 침입방지시스템 (IPS)
② 웹 방화벽, Secure OS, 네트워크 장비 ACL 기능이용
③ IDC, 클라우드 서비스에서 제공하는 보안서비스 사용
외부 접속시 가상사설명 (VPN) 또는 전용선 등 안전한 접속수단 이용
홈페이지 취약점 방지 조치( ※ SQL-Injection, XSS, 제로보드 취약점, 디렉토리 리스팅 취약점 등)
암호화
고유식별정보 (주민번호, 여권번호, 운전면허번호, 외국인등록번호), 비밀번호, 바이오정보는 암호화
암호화 기준
전송시
고유식별정보, 비밀번호, 바이오정보
양방향 암호화
저장시
비밀번호
바이오정보
고유식별정보
인터넷, DMZ구간
내부망
일방향 암호화
양방향 암호화
암호화
영향평가, 위험도 분석 결과에 따른 암호화
안전한 암호 알고리즘으로 암호화 저장 : 국내 SEED, ARIA 권고
2012년 12월까지 암호화 적용
접속기록보관 및 위·변조 방지
개인정보 취급자 접속기록 최소 6개월 이상 보관·관리
필수 기록 항목
설명
ID
날짜 및 시간
접속자 IP주소
수행업무
개인정보취급자 식별 정보
접속일시
접속자정보
열람, 수정, 삭제, 인쇄, 입력 등
접속기록 위·변조, 도난, 분식되지 않도록 안전하게 보관
(소상공인) 개인정보취급자가 1인 (Root, Admin등)인 경우 전자적 로그 남기지 않고 접속기록 수기 작성 후 상급자 승인 가능
실체법 위반은 징역형 또는 벌금, 절차법 위반은 과태로 부과
구분
주요내용
처벌 및 벌칙
수집·이용
정보주체의 동의 없는 개인정보 제 3자 제공 (17조)
개인정보의 목적 외 이용·제공(제18조, 제19조, 제20조)
민감정보 처리기준 위반(제23조)
고유식별정보 처리기준 위반(제24조)
부정한 수단이나 방법에 의해 개인정보를 취득하거나
개인정보처리에 관한 동의를 얻는 행위를 한자 (제59조)
만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의 획득의무 위반 (제22조)
탈의실·목욕실등 영상정보처리기기 설치 금지 위반 (제25조)
직접마케팅 업무위탁으로 인한 개인정보 제공시 정보주체에게 알려야 할 사항을
알리지 아니한 자 (제15조, 제17조, 제18조, 제26조)
최소한의 개인정보 외 정보의 미동의를 이유로
재화 또는 서비스 제공을 거부한자 (제16조, 제22조)
주민등록번호를 제공하지 아니할 수 있는 방법 미제공(제21조)
동의획득방법 위반하여 동의 받은자 (제22조)
5년이하 징역 또는 5천만원 이하 벌금
3년이하 징역 또는 3천만원 이하 벌금
5천만원 이하 과태료
1천만원 이하 과태료
제공·위탁
동의 없는 개인정보 제3자 제공 (17조)
개인정보의 목적 외 이용·제공 (제18조, 제19조, 제20조)
직접마케팅 업무위탁으로 인한 개인정보 제공시 정보주체에게 알려야 할 사항을
알리지 아니한 자 (제15조, 제17조, 제18조, 제26조)
업무위탁 시 공개의무 위반 (제26조)
5년이하 징역 또는 5천만원 이하 벌금
3천만원 이하 과태료
1천만원 이하 과태료
개인정보 안전관리
개인정보의 누설 또는 타인의 이용에 제공 (제59조)
개인정보의 훼손, 멸실, 변경, 위조, 유출 (제59조)
영상정보처리기기 설치목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 자
또는 녹음기능을 사용한 자 (제25조)
직무상 알게된 비밀을 누설하거나 직무상 목적 외 사용한 자(제60조)
안전성 확보에 필요한 보호조치를 취하지 않아 개인정보를 도난·유출·변조
또는 훼손당하거나 분실한 자 (제24조, 제25조, 제29조 위반)
안전성 확보에 필요한 조치의무 불이행 (제24조, 제25조, 제29조)
영상정보처리기기 설치·운영기준 위반 (제25조)
개인정보를 분리해서 저장, 관리하지 아니한 자 (제21조)
개인정보처리방침 미공개 (제30조)
개인정보관리책임자 미지정 (제31조)
영상정보처리기기 안내판 설치등 필요 조치 불이행 (제25조)
5년이하 징역 또는 5천만원 이하 벌금
3년이하 징역 또는 3천만원 이하 벌금
2년이하 징역 또는 1천만원 이하 벌금
3천만원 이하 과태료
1천만원 이하 과태료
정보주체 권익보호
개인정보의 정정·삭제요청에 대한 필요한 조치를 취하지 않고,
개인정보를 계속 이용하거나 제3자에게 제공한 자 (제36조)
개인정보의 처리정지 요구에 따라 처리를 중단하지 않고 계속 이용하거나
제3자에게 제공한 자 (제37조)
개인정보 유출사실 미 통지 (제34조)
정보주체의 열람 요구의 부당한 제한·거절 (제35조)
정보주체의 정정삭제요구에 따라 필요한 조치를 취하지 아니한 자 (제36조)
처리정지 된 개인정보에 대해 파기 등의 조치를 하지 않은 자 (제37조)
시정명령 불이행(제34조)
정보주체의 열람, 정정·삭제, 처리정지요구 거부시 동지의무 불이행 (제35조, 제36조, 제37조)
관계물품·서류 둥의 미제출 또는 허위제출 (제63조)
출입·검사를 거부·방해 또는 기피한 자 (제63조)
개인정보 미파기 (제21조)
2년이하 징역 또는 1천만원 이하 벌금
3천만원 이하 과태료
1천만원 이하 과태료
3천만원 이하 과태료
개인정보보호법 관련 법령
개인정보보호법
개인정보안정성 확보조치 고시
벌칙 및 과태료
개인정보의 안정성 확보조치 기준 고시 및 해설서
개인정보의 안정성 확보 조치 기준고사(행정안전부)
제3조 (전산센터, 클라우드 컴퓨팅센터 등의 운영환경에서의 안전조치) 개인정보처리자가 전산센터(IDC), 클라우드컴퓨터링센터 등에 계약을 통해 하드웨어, 소프트웨어 등을 임차 또는 임대하여 개인정보를 처리하는 경우에는 계약서 또는 서비스수준 협약서에 이 기준에 준하는 수준의 안전조치 내용이 포함되어 있으면 이 기준을 이행한 것으로 본다.