[개인정보보호위원회] 기술적·관리적 보호조치 기준(제2021-3호) 해설서 (2022.10)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 기술적·관리적 보호조치 기준(제2021-3호) 해설서 (2022.10) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 기술적·관리적 보호조치 기준 해설서

○ 발행일 : 2022년 10월

○ 주관부처 : 개인정보보호위원회, 한국인터넷진흥원

---

[개요]

□ 추진배경

본 해설서는 '개인정보보호법'에 따라, 정보통신서비스 제공자 등이 이용자의 개인정보를 처리함에 있어, 안전성 확보조치를 위하여 필요한 '개인정보의 기술적·관리적 보호조치 기준' 해설을 목적으로 합니다.

• 본 해설서에서 안내하고 있는 방법이나 예시 등은 정보통신서비스 제공자 등이 처리하는 개인정보의 유형 및 중요도, 개인정보를 처리하는 방법 및 환경, 보안 위험요인 등에 따라, 다르게 적용될 수 있으니 참고 바랍니다.

□ 적용 대상

○ 정보통신서비스 제공자

○ 정보통신서비스 제공자로부터 개인정보를 제공받은 자

○ 정보통신서비스 제공자로부터 개인정보 처리를 위탁받은 자(이하 '수탁자', 준용)

○ 방송사업자(준용)

정보통신서비스 제공자 등이 이용자의 개인정보를 처리할 때 분실·도난·유출·위조·변조 또는 훼손되는 것을 방지하고 개인정보의 안전성 확보조치를 위하여 필요한 보호조치의 기준을 정함.

---

개인정보의 기술적·관리적 보호조치 기준(제2021-3호) 해설서(2022.10.).pdf

1.23MB

개인정보의 기술적·관리적 보호조치 기준 해설서(2020.10) : 개인정보보호위원회, 한국인터넷진흥원

[관련 법령]

개인정보보호법 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전한 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.

• 개인정보보호법 시행령 제48조의2 제3항(개인정보의 안전성 확보조치에 관한 특례)
• 개인정보보호법 제39조의15 제1항 제5호(과징금의 부과 등에 대한 특례)
• 개인정보보호법 제73조 제1호(벌칙)
• 개인정보보호법 제75조 제2항 제6호(과태료)

개인정보보호법 시행령 제48조의2 ① 정보통신서비스 제공자 ('정보통신망이용촉진 및 정보보호 등에 관한 법률' 제2조 제1항 제3호에 해당하는 자를 말한다. 이하 같다.)와 그로부터 이용자(같은 법 제2조 제1항 제4호에 해당하는 자를 말한다. 이하 같다.)의 개인정보를 법 제17조 제1항 제1호에 따라 제공받은 자(이하 '정보통신서비스 제공자 등'이라 한다.)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라, 다음 각 호의 안전성 확보조치를 해야 한다.

② 보호위원회는 정보통신서비스 제공자 등이 제1항에 따른 안전성 확보조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.

③ 제1항에 따른 안전성 확보조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.

---

[목차]

Ⅰ. '개인정보의 기술적·관리적 보호조치 기준' 개요

• 개요
• 법적 근거

Ⅱ. '개인정보의 기술적·관리적 보호조치 기준' 전문

Ⅲ. '개인정보의 기술적·관리적 보호조치 기준' 해설

• 제1조 (목적)
• 제2조 (정의)
• 제3조 (내부관리계획의 수립·시행)
• 제4조 (접근통제)
• 제5조 (접속기록의 위·변조 방지)
• 제6조 (개인정보의 암호화)
• 제7조 (악성프로그램 방지)
• 제8조 (물리적 접근 방지)
• 제9조 (출력·복사 시 보호조치)
• 제10조 (개인정보 표시 제한 보호조치)
• 제11조 (재검토 기한)
• [부칙]

Ⅳ. 부록

• 정보통신서비스 제공자 등을 위한 망분리 해설
•  FAQ

---

※ 예시된 표준 해석례는 개인정보보호위원회 홈페이지 내 보도자료에서 확인할 수 있습니다.