1. 개인정보 보안기준 소개
법적 근거
1. 개인정보 보호법 제29조
2. 같은 법 시행령 제30조제1항
↓
“개인정보의 분실, 도난, 누출, 변조, 변조 및 훼손을 막기 위한 기술적, 관리적, 물리적 보안조치에 대한 최소한의 기준을 설정합니다”
개인정보보호법 제29조(보안조치 의무)
개인정보관리책임자는 개인정보가 분실, 도난, 누출, 변조, 변조 등을 방지하기 위하여 내부관리계획을 수립하고 접속기록을 보관하는 등 개인정보 열람에 필요한 기술적/관리적 및 물리적 조치를 하고 있습니다.
대통령령이 정하는 바에 따른 안정성 또는 손해.
개인정보 보호법 시행령 제30조(개인정보의 안정성 확보조치)
① 개인정보관리책임자는 이 법 제29조에 따라 다음 각 호의 안정성 확보를 위한 조치를 합니다.
1. 개인정보의 안전한 처리를 위한 내부관리계획 수립 및 시행
2. 개인정보에 대한 접근통제 및 접근권한의 제한
3. 개인정보의 안전한 저장 및 전송을 위한 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고에 대한 접속기록의 보관 및 위변조 방지를 위한 대책
5. 개인정보 보안프로그램의 설치 및 갱신
6. 개인정보를 안전하게 보관할 수 있는 보관설비를 갖추거나 잠금장치 등의 물리적 장치를 설치합니다.
② 보호위원회는 제1항의 안정성 확보를 위한 조치를 위하여 개인정보처리자 제도구축 등 필요한 지원을 할 수 있다.
③ 제1항의 안정성유지조치의 구체적인 기준은 보호위원회가 정하여 고시한다.
2. 개인정보처리자의 종류 및 수에 따른 기준
개인정보관리책임자의 업무규모/개인정보보유량/최신 보안기술 적용 등 귀사의 환경에 적합한 보호기준을 수립합니다.
- 유형 1 – 완화
> 대상
– 정보주체 1만 명 미만의 개인정보를 보유한 중소기업, 단체 및 개인
> 안전 조치 기준
– 제5조: 2~5항
– 제6조: 제1항, 제3항, 제6항, 제7항
– 제7조: 제1항 내지 제5항, 제7항
– 제8조, 9조, 10조, 11조, 13조
- 유형 2 – 표준
> 대상
– 정보주체의 개인정보가 100만 미만인 중소기업
– 개인정보가 100,000위안 미만인 대기업, 중견기업, 기관
– 1만 명 이상의 정보주체의 개인정보를 보유하고 있는 중소기업, 단체 및 개인
> 안전 조치 기준
– 제4조: 1~11항 및 15항, 3~4항
– 제5조
– 제6조: 1~7항
– 제7조: 제1항 내지 제5항, 제7항
– 제8조, 9조, 10조, 11조, 13조
- 유형 3 – 고급
> 대상
– 개인정보가 100,000위안 미만인 대기업, 중견기업, 기관
– 정보주체의 개인정보를 100만 이상 보유하고 있는 중소기업 및 단체
> 안전 조치 기준
– 제4조~제13조
아마도 대부분이 유형 표준에 속할 것입니다.
3. 핵심 용어의 정의
- 정보주체
처리 중인 정보에 의하여 식별이 가능한 자로서 그 정보의 주체인 자
- 프로필 파일
개인정보 조회를 용이하게 하기 위하여 일정한 규칙에 따라 체계적으로 수집 또는 정리한 개인정보의 집합체
- 개인정보처리자
개인정보를 영리 목적으로 처리하거나 타인에게 개인정보파일을 위탁하여 운용하는 기관, 법인, 단체 및 개인
- 개인정보 보호책임자
개인정보관리책임자의 개인정보 처리책임자가 개인정보 보호법 시행령 제32조 제2호에 해당하는 경우
- 개인정보처리자
개인정보관리책임자의 지도·감독하에 개인정보를 취급하는 직원, 파견근로자, 파견근로자 등
- 개인정보처리시스템
개인정보를 처리하는 시스템 구성, 데이터베이스 시스템 등