[개인정보보호위원회] 개인정보 위험도 분석 기준 및 해설서 (2020.12)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 개인정보 위험도 분석 기준 및 해설서 (2020.12) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 개인정보 위험도 분석 기준 및 해설서

○ 발행일 : 2020년 12월

○ 주관부처 : 개인정보보호위원회, 한국인터넷진흥원

---

[개요]

□ 추진배경

본 기준 및 해설서는 '개인정보보호법' 제24조 제3항, 제29조와 같은 법 시행령 제30조에 따른 '개인정보의 안전성 확보 조치 기준'에 따라, 내부망에 고유식별정보를 저장하는 경우, 암호화의 적용 여부 및 적욕 범위 결정을 위한 '위험도 분석'의 세부 기준 제시를 목적으로 합니다.

□ 적용 대상

개인정보처리자

개인정보처리자는 '개인정보 영향평가' 또는 '위험도 분석' 결과에 따라, 암호화 기술의 적용 또는 이에 상응하는 조치를 이행하여야 합니다.

※ 개인정보 영향평가 : 개인정보보호법 제33조, 같은 법 시행령 제38조

□ 위험도 분석 기준

• 위험도 분석은 개인정보처리시스템에 적용하고 있는 개인정보 보호조치 이행 여부와 개인정보 유출 시 정보주체의 권리를 침해할 위험의 정도를 '위험도 분석 기준'을 이용하여 분석하는 행위입니다.
• '위험도 분석 기준'은 개인정보처리자가 내부망에 고유식별정보(단, 주민등록번호 제외)를 암호화하지 않고, 저장하는 경우, 이행하여야 할 최소한의 보호조치 기준으로, 어느 하나의 항목이라도 '아니오'에 해당하는 경우, 암호화 대상입니다.
• 해당 사항이 없는 경우, '해당 없음' 항목에 체크하며, '해당 없음' 체크항목도 '예'로 적용합니다.
• 개인정보처리자는 '위험도 분석 기준'에 따른 결과를 허위로 작성해서는 안되며, '위험도 분석 결과보고서'는 개인정보 보호책임자 또는 해당 부서의 장의 결재를 득한 후 보관합니다.
• '위험도 분석'은 개인정보 파일 단위로 분석하고 결과보고서를 작성하며, 개인정보 파일을 위탁하여 관리하는 경우에도 위탁기관의 책임 하에 작성합니다.
• 결과보고서는 기관의 문서관리 규정에 따라 '대외비' 등으로 관리하시기 바랍니다.
• '위험도 분석'은 최초 분석 이후에도 해당 개인정보 파일과 관련된 개인정보처리시스템의 증설, 내·외부망의 연계, 기타 운영환경 변화의 경우에 지속적으로 실시하여야 합니다.

---

개인정보 위험도 분석 기준 및 해설서 (2020.12) : 개인정보보호위원회, 한국인터넷진흥원

---

[관련 법령]

• 개인정보보호법 제24조 제3항
• 개인정보보호법 제29조
• 개인정보보호법 시행령 제30조
• 개인정보의 안전성 확보조치 기준 제7조

---

[목차]

Ⅰ. 개요

1. 추진 근거
2. 위험도 분석 기준이란?
3. 위험도 분석 기준의 구성
4. 위험도 구분 절차

Ⅱ. 위험도 분석 기준

1. 현황 조사
2. 위험도 분석 점검 항목
3. 위험도 분석 결과보고서

Ⅲ. 위험도 분석 기준 해설

1. 현황 조사
2. 위험도 분석 점검 항목
3. 위험도 분서 결과보고서

---

※ 본 수칙은 개인정보보호위원회 홈페이지 정책·법령 지침·가이드라인 및 KISA 한국인터넷진흥원 홈페이지에서 확인할 수 있습니다.