[CPPG] 개인정보 관리사 4단원 요약

● 개요

▶ 제,개정의 배경
→ 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실도난 유출 위조 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적 관리적 및 물리적 안전조치에 관한 최소한의 기준을 정함 

▷ 개인정보의 기술적 관리적 보호조치 기준
→ 이 기준은「개인정보 보호법」제29조 및 같은 법 시행령 제48조의2의제3항에 근거한다. 따라서, 정보통신서비스 제공자등은 개인정보를 처리할 때 이 기준을 준수하여야 한다. 이 기준에 따른 기술적․관리적 조치를 하지 아니한 자 등에게는 관련 법률에 따라 과징금, 벌칙(징역 또는 벌금), 과태료를 부과할 수 있다.

▷ 개인정보의 안전성 확보조치 기준
→ 이 기준은 「개인정보 보호법」(이하 “법”이라 한다) 제23조제2항, 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적․관리적 및 물리적 안전조치에 관한 최소한의 기준을
정하는 것을 목적으로 한다. 적용 대상자는 타 법률에 정해지지 않은 모든 사업자로 한다.

▶ 기준의 법적 성격 ?? 

▶ 용어의 정의
▷ 정보주체
→ 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람
▷개인정보파일
→ 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물
▷ 개인정보처리자
→ 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인
▷ 개인정보취급자
→ 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자
▷개인정보처리시스템
→ 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템
▷ 위험도 분석
→ 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별․평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위
▷ 정보통신망
→ 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체계
▷ 모바일 기기
→ 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기
▷ 바이오정보 (생체정보)
→ 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함
▷ 내부망
→ 물리적 망분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이
통제 또는 차단되는 구간
▷접속
→ 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태
▷ 접속기록
→ 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에
대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무
등을 전자적으로 기록한 것
▷관리용 단말기
→ 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리 시스템에 직접 접속하는 단말기
▷ 내부관리계획
→ 정보통신서비스 제공자등이 개인정보의 안전한 처리를 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획

 

 

●개인정보의 기술적·관리적 보호조치 기준

개인정보의_기술적_관리적_보호조치_기준(제2021-3호)_해설서(2022.10.).pdf

1.23MB

▶ 내부관리계획의 수립·시행
→ 내부관리계획은 개인정보처리자가 정보주체의 개인정보를 안전하게 취급ㆍ처리하기 위하여 그 기준ㆍ계획을 정하는 것으로 개인정보보호책임자의 지정, 개인정보 보호책임자 및 개인정보취급자의 역할과 책임, 개인정보 안전성 확보를 위한 시책, 개인정보취급자 교육 등의 사항을 구체화 하는 것
→ 가능한 경우 정기적으로 개정되어야 하며, 최고경영진의 내부 승인을 거쳐 전체 개인정보취급자(또는 전사)에 공표ㆍ배표가 필요하고 내부관리 계획은 기업의 Risk관리에 있어 핵심 구성요소이기 때문에 내부 관리계획을 수립·시행 해야한다.

▷ 개인정보보호 책임자 지정에 관한 사항
→ 개인정보보호책임자는 사업주ㆍ대표자ㆍ개인정보처리 관련 업무를 담당하는 부서의 장 또는 개인정보보호에 관한 소양이 있는 사람 가운데 사정에 맞게 선정할 수 있다. 여기서 ‘개인정보보호에 관한 소양이 있는 사람’이란 관련 개인정보 처리 업무 경험이 있는 자로서, 개인정보보호를 위한 기술적ㆍ관리적ㆍ물리적 보호조치를 할 수 있는 자를 말한다
→ 친목단체는「개인정보보호법」 제58조제3항에 따라 개인정보 보호책임자를 지정하지 아니할 수 있다.

▷ 개인정보보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
→ 개인정보보호책임자는 개인정보의 처리에 관한 업무를 총괄해서 책임지는 자로서, 개인정보가 적정하게 관리되고 있는지를 개인정보를 생명주기 전반에 걸쳐 정기ㆍ비정기적으로 평가하고, 문제가 발견될 경우 이를 개선하거나 적정한 통제조치(Control)를 부여하여야 한다.
→ 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
① 법 제30조에 따른 개인정보 처리방침의 수립ㆍ변경 및 시행
② 개인정보 보호 관련 자료의 관리
③ 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
→ 개인정보취급자는 개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 자로서, 개인정보를 처리함에 있어 개인정보가 침해ㆍ훼손ㆍ유출 등의 방식으로 변조ㆍ임의변경 되지 않도록 안전하게 관리하여야 한다. 즉, 개인정보의 무결성(Integrity)을 유지하는 것이 매우 중요하다.
→ 개인정보취급자의 역할 및 책임
1. 개인정보보호 활동 참여
2. 내부관리계획의 준수 및 이행
3. 개인정보의 기술적ㆍ관리적 보호조치 기준 이행
4. 소속 직원 또는 제3자에 의한 위법ㆍ부당한 개인정보 침해행위에 대한 점검 등

▷ 개인정보취급자에 대한 교육
→ 개인정보취급자에 대한 교육은 수립된 교육계획에 의거, 매년 정기적으로 실시되어야 하며,개인정보보호 교육의 목적은 개인정보취급자의 개인정보보호에 대한 인식(Awareness)을 일정수준으로 유지하기 위함이다

▷ 개인정보 안전성 확보에 필요한 조치에 관한 사항
→ 안전성 확보조치는 개인정보를 보호하기 위한 기술적ㆍ관리적 보호조치뿐만 아니라 개인정보 및 개인정보처리시스템에 대한 물리적 접근 방지 및 재해ߵ재난에 대비한 물리적 안전조치, 개인정보 보호조직에 관한 구성 및 운영, 개인정보 유출사고 대응 계획 수립, 위험도 분석 및 대응방안 마련에 대한 사항까지도 포함한다
→ 개인정보처리자는 자연재앙, 해킹, 통신장애, 전력중단 등의 요인으로 인해 개인정보처리 시스템 중단 또는 파손 등 피해가 발생할 경우를 대비하여 비상 시 복구조직, 비상연락체계, 복구절차 등 재해․재난을 대비한 재해복구 체계(BCDR)를 다음과 같이 구축하여 내부관리계획에 반영하여야 한다.

▷ 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
→ 개인정보처리자는 개인정보 처리업무 위탁 시 수탁자에게 제공된 개인정보를 안전하게 관리 할 책임이 있다. 따라서 개인정보 처리업무를 위탁하는 경우, 개인정보보호법 제26조 및 동법 시행령에 규정된 사항을 준수하고 수탁자가 개인정보를 안전하게 처리할 수 있도록 수탁자 관리 및 감독에 관한 사항을 내부관리계획에 포함해야 한다.
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적·관리적 보호조치에 관한 사항
3. 위탁업무의 목적 및 범위
4. 재위탁 제한에 관한 사항
5. 접근통제 등 안전성 확보 조치에 관한 사항
6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등에 관한 사항 등

▷ 그 밖에 개인정보 보호를 위하여 필요한 사항
→ 기타 개인정보보호를 위한 조치를 내부관리계획에 포함할 수 있다. 기타 계획으로는 보안서약서의 작성, 개인정보보호정책의 수립, (개인정보) 저장매체의 파기 등의 개인정보보호를 위하여 필요한 사항을 포함할 수 있다.

▷ 내부관리계획의 점검 및 수정 등
→ 내부관리계획의 내용에 대하여 연 1회 이상 정기적으로 점검하여여야 하며, 중요한 변경 및 개선 사항이 있는 경우 이를 즉시 반영하여 계획을 수정ㆍ시행하고 그 수정 이력을 관리하여야 한다. 그러나, 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인에 대해서는 내부관리계획의 수립 의무가 부과되지 않는다

▶ 접근통제
→ 접근 권한의 관리 또는 접근 통제(Access Control)는 개인정보처리시스템에 대한 인가되지 않은 접근을 차단하여, 개인정보의 불법사용ㆍ누출ㆍ변조ㆍ훼손 등을 방지하는 것이다. 즉, 접근 권한의 관리를 통해 개인정보처리시스템에 대한 본래의 업무목적 외 불필요한 접근을 제어하고, 개인정보취급자의 인사발령의 경우 이를 개인정보처리시스템에 지체없이 반영하여 권한을 변경, 삭제하여 개인정보 유출을 예방할 수 있는 것으로 접근 권한은 가능한 경우 개인정보취급자 개개인의 직무 특성을 분석하여 최소한의 권한을 부여하는 것을 목적으로 하여야 한다

▷ 접근 권한의 부여
→ 개인정보처리자는 접근권한을 부여할 때, 해당 시스템에 접근 가능한 인원 및 그들의 직무를 사전에 파악하여야 한다. 동일한 부서에 속한 개인정보취급자일 경우에도 실제 수행하는 업무는 상이할 수 있기 때문에 권한관리는 1:1로 관리되어야 한다. 업무 수행에 필요한 ‘최소한의 범위’는 해당 업무를 수행함에 있어 개인정보처리시스템 접근이 필수불가결한 요소인지를 확인하는 것과 동일한 의미이다

▷ 접근권한의 변경
→ 개인정보처리자가 인사이동이 발생하여 더 이상 개인정보취급의 필요성이 없어지거나, 또는 기존에 취급하던 것과 상이한 개인정보를 취급하는 경우 개인정보처리시스템의 접근 권한을 변경 또는 파기하여야 한다. 가장 좋은 방법은 임직원 데이터베이스와 개인정보처리시스템을 연동(Sync)하여 실시간으로 인사이동에 따른 권한관리를 가능케 하는 것이다.

▷ 개인정보취급자 권한변경 내역의 기록 및 보관
→ 개인정보취급자에 대한 권한부여, 변경 또는 말소에 대한 내역은 기록으로 유지되어야 하며, 최소 3년 이상 보관되어야 하며, 조직 내의 임직원 전보 또는 퇴직 등 인사이동을 통해 사용자 계정의 변경ㆍ삭제가 필요한 경우에는 공식적인 사용자 계정 관리절차에 따라 통제될 수 있도록 한다.

▷ 개인정보처리시스템 사용자 계정 등
→ 개인정보처리시스템에 접속할 수 있는 계정은 타인과 공유하여 사용할 수 없다. 이는 개인정보 처리내역에 대한 책임 추적성(Accountability)을 확보하기 위한 조치이다
※ 책임 추적성이란 개인정보 취급에 따른 문제 발생 시 사용자계정을 기반으로 책임소재를 파악하는 것

▷ 안전성 확보조치 기준 vs 기술적 관리적 보호조치 기준의 접근 통제 차이
→ 안전성 확보조치 기준의 경우 개인정보처리자의 접근권한에 대해 접근권한의 차등부여, 인사이동과 접근권한의 동기화, 권한부여ㆍ변경ㆍ말소 내역의 보관(3년), 계정공유의 금지 등 기본적인 내용을 담고 있는데 반해, 정보통신서비스 제공자 등에 적용되는 '정보통신망법 에 대한 방송통신위원회의 기술적ㆍ관리적 ' ‘ 보호조치 기준’은 보다 자세한 접근통제 방식을 정의하고 있다.
→ ‘정보통신방법’은 일정규모 이상의 정보통신서비스 제공자등이 개인정보에 대한 불법적인 접근을 차단하기 위해, 개인정보처리시스템에 접속하는 업무망(개인정보취급자의 컴퓨터 등)과 외부 인터넷 망의 분리를 의무화하고 있으며, 망분리 방법은 다음과 같다.

▷ 비밀번호 관리
→ 비밀번호 작성규칙은 개인정보취급자 및 정보주체가 안전한 비밀번호, 즉 일정 강도 이상의 비밀번호를 설정할 수 있도록 기준을 제시하는 동시에, 이를 ‘적용’하여 안전하지 못한 비밀번호의 사용을 강제적으로 제한하는 의미를 갖는다. 비밀번호에는 적정한 기간의 유효기간이 설정되어야 하며, 비밀번호의 강도에 따라 차등적 변경기간을 적용하는 방안도 권고할만하다.

▷ 계정 잠금 등
→ 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.

▷ 불법적인 접근 및 침해사고 방지 시스템을 설치ㆍ운영
→  DB 방화벽 , 침입탐지 시스템, 침입차단 시스템

▷ 안전한 접속수단 및 인증수단의 적용
→ 가상사설망은 이용자를 인증하는 한편 인가받지 않은 외부자가 전송되는 정보를 읽어내지 못하도록 데이터를 암호화함으로써 안전한 정보의 전송을 담보할 수 있는 장점이 있다
→ 외부에서 개인정보처리시스템에 접근하는 경우, 아이디 및 패스워드만을 확인하는 방식에 의존 할 때에는 이미 탈취된 계정을 보유한 침입자에 취약하기 때문에 공인인증서, SMS, OTP, 생체인식 등의 방식을 고려할 수 있다.

▷개인정보 유출 예방을 위한 조치
→ 안전성 확보조치 기준은 개인정보처리자가 직접 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 ‘조치를 취해야 한다.’며 구체적인 행동을 취할 것을 지시하고 있기 때문에 단순히 ‘개인정보취급자 PC의 공유설정 금지’와 같이 선언적 내용으로 보안정책을 수립하는 것만으로는 의무를 다 하였다고 할 수 없다.

▷타임 아웃 설정
→ 일정시간 동안 입력이 없는 세션은 타임아웃 설정을 통해 개인정보처리시스템에 대한 연결이 차단되도록 조치하여야 한다. 단, 세션 타임아웃의 예외가 있는 경우 충분히 타당성을 검토하고 관련 책임자의 승인을 받아야 한다.

▷모바일 기기 보호 조치
→ 스마트폰, 태블릿PC와 같이 업무에 사용되는 모바일 기기는 분실·도난으로 개인정보가 유출되지 않도록 개인정보처리자의 기기 운영 환경 및 처리되는 개인정보의 중요도 등을 고려하여 조치가 필요

 

▶ 고유식별정보
→ 인터넷 홈페이지를 통해 고유식별정보(주민등록번호, 운전면허번호, 외국인등록번호, 여권번호)를 처리하는 경우에, 개인정보처리자는 고유식별정보가 유출·변조·훼손되지 않도록 해당 인터넷 홈페이지에 대해 연 1회 이상 취약점을 점검하여야 하며, 문제점이 발견된 경우 그에 따른 개선 조치를 하여야 한다.

▶ 개인정보의 암호화
→ 신상정보, 특히 민감한 개인정보 항목의 경우 침해사고 등으로 인하여 외부에 유ㆍ노출되었을 경우 정보주체에게 상당한 물질적ㆍ재산적ㆍ정신적 피해를 야기할 수 있기 때문에 적절한 보호가 필요하다. 개인정보의 암호화는 유ㆍ노출 가능성이 있는 민감한 개인정보를 보호할 수 있는 가장 기본적인 방법이다. 

▷암호화 대상 개인정보
→ ① 주민등록번호 ② 여권번호 ③ 운전면허번호 ④ 외국인등록번호

▷ 전송 개인정보 및 보조저장매체를 통해 전달되는 개인정보의 암호화
→ 개인정보인 고유식별정보ㆍ비밀번호ㆍ바이오정보를 정보통신망을 통하여 송ㆍ수신하거나 USB 메모리 등 보조저장매체 등을 통하여 전달하는 경우 이를 암호화해야한다

▷ 비밀번호 및 바이오정보의 암호화
→ 개인정보처리자는 비밀번호를 저장하는 경우 반드시 일방향 암호화(해쉬함수)하여야 한다. 비밀번호는 계정소유주 외 시스템 관리자라 할지라도 알아서는 안 되는 정보이다. 비밀번호를 분실하는 경우에는 기존의 비밀번호를 확인할 수 없기 때문에 재발급해야 한다.

▷ 고유식별정보의 PC 또는 모바일 기기 저장과 암호화
→ 개인정보처리자가 별도의 개인정보처리시스템이 아닌 개인정보취급자의 업무용 컴퓨터(PC) 또는 모바일 기기에 고유식별정보를 저장해야 할 필요가 있는 경우에는 암호화 의무를 개별 개인정보취급자에게 부여 후 개인정보를 필수적으로 암호화 해야한다.

 

▶접속기록의 위·변조 방지
→ 접속기록은 개인정보를 담고 있는 개인정보처리시스템에 누가, 언제, 어떤 경로(접속지)에서 접속하여 무엇을(Action)했는지에 대한 정보를 자동화된 시스템으로 저장한 것이다

▷ 접속기록의 보관
→ 접속기록은 최소 1년 이상 보관‧관리하여야 하고, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 개인정보 유출 등으로 인한 피해 가능성이 매우 높은 특수성 등으로 인하여 해당 개인정보처리시스템에 대한 접속기록을 최소 2년 이상 보관·관리하여야 한다.

▷ 접속 기록의 항목 
→ 계정, 접속일시 ,접속지 정보, 정보주체 정보, 수행 업무 내용

▷ 접속기록의 점검
→ 개인정보처리자는 개인정보처리시스템의 접속기록을 월 1회 이상 정기적으로 점검하여야 하며, 이를 통해 비인가된 개인정보 처리, 대량의 개인정보에 대한 조회, 정정, 다운로드,삭제 등의 비정상 행위를 탐지하고 적절한 대응조치를 할 필요가 있다.

▷ 접속기록의 위ㆍ변조 방지
→ 접속기록의 위ㆍ변조를 예방하기 위해서는 접속기록을 백업하여 원본과 복사본의 비교를 통해 동일성을 확인하는 방법을 사용할 수 있다. 접속기록에 대한 위ㆍ변조를 방지하기 위해 CD-ROM 등과 같은 덮어쓰기 방지 매체를 사용하는 것이 바람직하다. 정기적으로 접속기록 백업을 수행하여 개인정보처리시스템 이외의 별도의 보조저장매체 나 별도의 저장장치에 보관하여야 한다.

▶ 악성프로그램 방지
→ 악성프로그램(Malware)은 시스템 운영 장애를 유발하며, 개인정보를 수집 또는 불법 침입, 기타 침해 행위를 하기 때문에 보안프로그램을 통해 악성프로그램을 방지해야한다. 이때, 보안프로그램의 경우 자동 업데이트 기능을 사용하거나, 최소 1일 1회 이상 업데이트를 수행해야 한다. 이는 개인정보취급자 개인이 직접 보안업데이트를 수행할 수도 있으나, PMS(Patch Management System)를 통해 중앙집중적으로 개인정보취급자에게 일괄적ㆍ강제적으로 패치를 시행할 수도 있다.

▶ 출력·복사시 보호조치

▶ 출입 통제
▷ 출입 통제 절차
→ 보안구역에 출입이 인가된 대상자의 구분, 인가자의 (출입)권한 관리, 출입기록 관리, 정기ㆍ비정기적 감사 등의 내용이 포함되어야 하고, 개인정보와 같이 중요한 정보자산의 보호를 위해 물리적 출입통제 뿐만 아니라 방재(防災)에 대한 고
려도 함께 이루어져야 한다.

▷안전한 장소에의 보관
→ 개인정보가 포함된 서류 및 및 저장장치 등은 금고와 같은 잠금장치가 있는 안전한 장소에 보관하여야 한다. 잠금장치는 디지털 도어락ㆍ자물쇠 등 일정한 물리적 충격에 저항할 수 있는 기능을 갖추어야 한다.
→ 안전한 장소는 출입통제 절차가 적용되어, 비인가자의 출입으로부터 자유로우며 외부의 물리적 침입에 대한 방비가 되어 있는 장소를 의미하며 단순히 ‘잠금장치=안전한 장소’가 아님에 유의

▶개인정보 파기

▷ 개인정보 파기 원칙
→ 개인정보처리자는 개인정보를 파기하는 경우 복구 또는 재생되지 아니하도록 개인정보가 저장된 매체 형태에 따라 다음 중 어느 하나의 조치를 하여야 한다.
① 완전파괴 ② 전용 소자장비를 이용한 삭제 ③ 데이터가 복원되지 않도록 초기화 또는 덮어쓰기  ④전자적 파일 형 태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독 ⑤ 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제

▷ 개인정보 파기 원칙의 예외
→ 개인정보의 일부만 파기하는 경우는 저장중인 개인정보 중 보유기간이 경과한 일부 개인정보를 파기하는 경우를 의미하며, 전체 삭제가 아닌 해당하는 개인정보에 한해 일부 삭제 조치

▶ 개인정보 유효기간제도
→ 개인정보 누출 등의 사고 대상이 정보누출시점에 해당 정보통신서비스를 이용하고 있는 이용자뿐만 아니라, 장기간 서비스를 이용하고 있지 않은 이용자의 개인정보 역시 피해 대상이 될 수 있기 때문에 이에 대한 피해를 예방하기 위해 도입된 제도이다.
→ 원칙적으로 1년간 서비스 미이용시 개인정보 분리 또는 파기해야하며 1년 이외의 기간으로 유효기간을 정하는 경우에는 반드시 ‘이용자의 요청’이 있어야 한다. 즉, 사업자 임의로 1년 이외의 기간을 정하여 회원가입 조건(계약) 등으로 내걸 수없다는 의미이다. 또한, 개인정보가 파기 또는 분리저장시 유효기간 만료 30일 전까지 전자우편, 서면, 팩스, 전화 등의 방법 중 하나를 선택하여 개인정보가 파기 또는 분리 저장ㆍ관리되는 사실과 일시, 개인정보 항목을 해당 이용자에게 통지해야한다.

 ▶ 개인정보 표시제한 보호조치

▶ CCTV 영상/운영

● 개인정보의 안전성 확보조치 기준

개인정보의_안전성_확보조치_기준(제2020-2호)_해설서(2020.12월).pdf

1.49MB