[개인정보보호위원회] 개인정보의 안전성 확보조치 기준 안내서 (2024.10)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 개인정보의 안전성 확보조치 기준 안내서 (2024.10) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 개인정보의 안전성 확보조치 기준 안내서

○ 발행일 : 2024년 10월

○ 주관부처 : 개인정보보호위원회, 한국인터넷진흥원

---

개인정보의 안전성 확보조치 기준 안내서(2024.10).pdf

5.79MB

개인정보의 안전성 확보조치 기준 안내서(2024.10) : 개인정보보호위원회, 한국인터넷진흥원

[목적]

• 본 안내서는 '개인정보보호법' (이하 '법이라 한다.') 제29조와 같은 법 시행령 (이하 '영'이라 한다.) 제16조 제2항, 제30조 및 제30조의2에 따라, 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.
• 본 안내서는 '개인정보보호법'과 '개인정보의 안전성 확보조치 기준' 등에 따라 개인정보처리자가 조치하여야 하는 최소한의 안전성 확보 기준을 안내하고 있습니다.
• 개인정보처리자는 본 안내서의 보호조치 이외에 개인정보의 유형 및 중요도, 개인정보를 처리하는 방법 및 환경, 보안위험요인 등을 고려하여 필요하다면 추가적인 보호조치를 적용하시기 바랍니다.

[법적 근거]

• 개인정보보호법 제29조(안전조치의무)
• 개인정보보호법 시행령 제16조 제2항(개인정보의 파기방법), 제30조(개인정보의 안전성 확보조치), 제30조의2(공공시스템 운영기관 등의 개인정보 안전성 확보조치 등)

[적용 대상]

• 개인정보처리자
• 개인정보처리자로부터 개인정보를 제공받은 자
• 개인정보처리자로부터 개인정보 처리를 위탁받은 자(이하 '수탁자', 준용)

[목적]

• 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정함

[성격]

• 반드시 준수해야 하는 최소한의 기준

[주요 및 내용]

• 내부 관리계획의 수립·시행
• 접근 권한의 관리
• 접근통제
• 개인정보의 암호화
• 접속기록의 보관 및 점검
• 악성프로그램 등 방지
• 물리적 안전조치
• 출력·복사 시 안전조치
•  재해·재난 대비 안전조치
• 개인정보의 파기
• 공공시스템 운영기관의 안전조치 기준 적용
• 공공시스템 운영기관의 접근 권한의 관리
• 공공시스템 운영기관의 접속기록의 보관 및 점검 등

[과징금 및 과태료]

• 개인정보가 분실·도난·유출·위조·변조·훼손된 경우 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금(법 제64조의2 제1항 제9호)
• 3천만원 이하의 과태료(법 제75조 제2항 제5호)