개인정보 안정성 확보조치 기준의 법적 근거

※ 개인정보보호법 제23조(민감정보 처리제한)

○ 1항 : 개인정보처리자는 사상, 신념, 노동조합ㆍ정당의 가입ㆍ탈퇴 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보(민감정보)를 처리하여서는 안된다.

  - 예외사항

   1. 정보주체에게 제15조 제2항 또는 제 17조 제2항 각 호의 사실을 알리고 다른 개인정보의 처리에 대해 동의를 받은 경우

    ＊ 정보보호법 제15조 제2항

       - 개인정보 수집ㆍ이용 목적

       - 수집하려는 개인정보의 항목

       - 개인정보의 보유 및 이용기간

       - 동의를 거부할 권리가 있다는 사실과 거부에 따른 불이익

 

  ＊ 정보보호법 제17조 제2항

      - 개인정보를 제공받는 자

      - 개인정보를 제공받는 자의 개인정보 이용 목적

      - 제공하는 개인정보의 항목

      - 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

      - 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익

 

2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

 

○ 2항 : 개인정보처리자가 민감정보를 처리하는 경우 안정성 확보에 필요한 조치를 하여 도난ㆍ유출ㆍ분실 등으로부터 민감정보를 보호해야 한다.

 

※ 개인정보보호법 제24조(고유식별 정보 처리제한)

○ 1항 개인정보 처리자는 다음 각 호의 경우를 제외하고는 개인을 고유하게 구별하기 위하여 부여된 식별정보(고유식별정보)를 처리할 수 없다.

    * 예외사항

       1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도의 동의를 구한 경우

       2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

 

○ 2항. 삭제

 

○ 3항. 개인정보처리자가 고유식별정보를 처리하는 경우에는 대통령령으로 정한 바에 따라 암호화 등 안정성 확보에 필요한 조치를 하여 분실ㆍ도난ㆍ유출 등으로부터 고유식별정보를 보호해야한다.

 

○ 4항. 행정안전부장관은 처리하는 개인정보의 종류ㆍ규모ㆍ종업원 수 및 매출액 규모에 따라 3항에 대한 안정성 확보가 조치되었는지 정기적으로 조사하여야 한다.

 

○ 5항. 행정안전부장관은 대통령령으로 정하는 전문기관을 통해 4항(안정성 확보조치에 대한 조사)을 수행하게 할 수 있다.

 

※ 개인정보보호법 제29조(안전조치 의무)

○ 1항 : 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 내부관리계획 수립, 접속기록 보관 등 안정성 확보에 필요한 기술적ㆍ관리적ㆍ물리적 조치를 해야한다.

 

※ 개인정보보호법 시행령 제21조(고유식별정보의 안정성 확보조치)

○ 1항 : 법 제24조제3항에 따른 고유식별정보의 안정성 확보에 대한 조치에 관하여는 제 30조로 준용한다. 이 경우 “법 제29조”는 “법 제24조제3항”으로, “개인정보”는 “고유식별정보”로 본다.

 

○ 2항 : “대통령이 정한 개인정보 처리자”

    1. 공공기관

    2. 5만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 자

 

○ 3항 : 행정안전부장관은 개인정보처리자에 안정성 확보에 대한 조치를 하였는지 2년마다 1회 이상 조사해야 한다.

 

○ 4항 : 2년마다 조사 시 개인정보처리자에게 온라인 또는 서면을 통해 필요한 자료를 제출하게 하는 방법으로 조사 실시

 

○ 5항 : 제24조제5항에서 말한 “대통령령으로 정하는 전문기관”

    1. KISA

    2. 개인정보처리자한테 조사를 수행할 수 있는 기술적ㆍ재정적 능력과 설비를 보유한 것으로 인정되어 행정안전부장관이 정하여 고시하는 법인, 단체 또는 기관

 

※ 개인정보보호법 시행령 제30조(개인정보의 안정성 확보 조치)

○ 1항 : 개인정보처리자는 개인정보의 안정성 확보 조치를 위하여 각 호의 안전성 조치를 확보해야한다.

   1. 내부관리 계획 수립ㆍ시행

   2. 개인정보에 대한 접근 통제 및 접근 권한 제한 조치

   3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치

   4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치

   5. 개인정보에 대한 보안프로그램의 설치 및 갱신

   6. 개인정보의 안전한 보관을 위한 장치 마련 등 물리적 조치

 

○ 2항 : 행정안전부장관은 개인정보처리자가 1항 각호의 안정성 확보 조치를 할 수 있도록 지원할 수 있다.

 

○ 3항 : 안정성 확보조치에 관한 세부 기준은 행정안전부 장관이 정하여 고시

 

○ 개인정보 안정성 확보조치 기준 적용 대상

    1. 개인정보 처리자

    2. 개인정보처리자로부터 개인정보를 제공받은 자

    3. 개인정보처리자로부터 개인정보 처리를 위탁받은 자(수탁자)

 

○ 개인정보 안정성 확보조치 목적

- 개인정보처리자가 개인정보를 처리함에 있어 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 안정성 확보에 필요한 기술적ㆍ관리적 및 물리적 안전조치에 관한 최소한의 기준을 정함