· 개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여할 것
· 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소할 것
· 개인정보처리자는 접근권한의 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관할 것
· 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급해야 하며, 다른 개인정보취급자와 공유되지 않도록 할 것
· 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용할 것
접근통제 시스템 설치 및 운영
· 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위한 기능을 포함한 시스템을 설치·운영할 것[개인정보처리자가 별도의 개인정보처리시스템을 이용하지 않고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근통제 기능을 이용할 수 있음]
· 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용할 것
· 인터넷 홈페이지에서 정보주체의 본인확인을 위해 성명, 주민등록번호를 사용할 수 있는 경우에도 정보주체의 추가적인 정보를 확인할 것
· 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통해 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터 및 모바일 기기 등에 조치를 취할 것
· 인터넷 홈페이지를 통해 고유식별정보가 유출·위조·변조·훼손되지 않도록 연 1회 이상 취약점을 점검할 것
· 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 할 것
개인정보의 암호화
(고유식별정보, 비밀번호 및 바이오정보만 해당함)
· 개인정보를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화할 것
· 비밀번호 및 바이오정보는 암호화하여 저장할 것(단, 비밀번호를 저장하는 경우에는 복호화되지 않도록 일방향 암호화하여 저장할 것)
· 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화할 것
· 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장할 것
· 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용해 암호화한 후 저장할 것
접속기록의 보관 및 점검
· 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리할 것
· 개인정보의 유출·위조·변조·훼손 등에 대응하기 위해 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검할 것
· 개인정보취급자의 접속기록이 위조·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관할 것
악성프로그램 등 방지
· 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영해야 하며, 다음의 사항을 준수할 것
√ 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트 실시해 최신의 상태로 유지
√ 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트 실시
물리적 접근 방지
· 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립·운영할 것
· 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관할 것
· 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련할 것
개인정보의 파기
· 개인정보를 파기할 경우 다음 하나의 조치를 할 것
√ 완전파괴(소각·파쇄 등)
√ 전용 소자장비를 이용하여 삭제
√ 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
· 개인정보의 일부만을 파기하는 경우 위의 방법으로 파기하는 것이 어려운 때에는 다음의 조치를 취할 것
√ 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
√ 전자적 파일 형태 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제
유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
개인정보처리자의 대응조치 및 피해 구제절차
정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있습니다(「개인정보 보호법」 제34조제4항 및 「개인정보 보호법 시행령」 제40조제1항 단서).
이를 위반하여 정보주체에게 위의 각 사실을 않은 자는 3천만원 이하의 과태료를 부과받습니다(「개인정보 보호법」 제75조제2항제8호).
개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때나 유출 사실을 알고 긴급한 조치를 한 후에도 유출된 개인정보의 항목 및 유출된 시점과 그 경위의 구체적인 유출 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출된 사실과 유출이 확인된 사항만을 서면 등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있습니다(「개인정보 보호법」 제34조제4항 및 「개인정보 보호법 시행령」 제40조제2항).
1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 개인정보 유출에 관한 위의 사실을 7일 이상 게재해야 합니다. 다만, 인터넷 홈페이지를 운영하지 않는 개인정보처리자의 경우에는 서면 등의 방법과 함께 사업장등의 보기 쉬운 장소에 7일 이상 게시해야 합니다(「개인정보 보호법」 제34조제4항 및 「개인정보 보호법 시행령」 제40조제3항).
피해구제를 위한 조치
개인정보처리자는 개인정보가 유출된 경우 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 해야 합니다(「개인정보 보호법」 제34조제2항).
개인정보 유출에 대한 신고
개인정보처리자는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 피해 최소화를 위한 조치 결과를 지체 없이 행정안전부장관 또는 한국인터넷진흥원에 신고해야 합니다(「개인정보 보호법」 제34조제3항 전단 및 「개인정보 보호법 시행령」 제39조).
행정안전부장관은 개인정보처리자가 처리하는 주민등록번호가 분실·도난·유출·위조·변조 또는 훼손된 경우에는 다음 사항을 고려하여 산정하되, 위반정도에 따른 산정기준액과 안전성 확보에 필요한 조치의 이행 노력 정도 등에 따른 조정, 위반행위의 기간 및 횟수에 따른 조정을 거쳐 개인정보처리자의 현실적 부담능력이나 그 위반행위가 미치는 효과, 위반행위로 인해 취득한 이익의 규모 등을 고려하여 5억원 이하의 과징금을 부과·징수할 수 있습니다(「개인정보 보호법」 제34조의2제1항 본문 및 제2항, 「개인정보 보호법 시행령」 제40조의2제1항 및 별표1의2).
과징금 부과대상자는 그 통지를 받은 날부터 30일 이내에 행정안전부장관이 정하는 수납기관에 과징금을 납부해야 합니다. 다만, 천재지변이나 그 밖에 부득이한 사유로 인해 그 기간 내에 과징금을 납부할 수 없는 경우에는 그 사유가 없어진 날로부터 7일 이내에 과징금을 납부해야 합니다(「개인정보 보호법」 제34조의2제5항 및 「개인정보 보호법 시행령」 제40조의2제3항).
가산금 징수
행정안전부장관은 과징금을 내야 할 자가 납부기한까지 내지 않으면 납부기한의 다음 날부터 과징금을 낸 날의 전날까지의 기간에 대하여 내지 않은 과징금의 연 100분의 5에 상당하는 금액을 가산한 금액을 징수합니다. 이 경우 가산금을 징수하는 기간은 60개월을 초과하지 못합니다(「개인정보 보호법」 제34조의2제3항 및 「개인정보 보호법 시행령」 제40조의2제4항).
독촉 등
행정안전부장관은 과징금을 내야 할 자가 납부기한까지 내지 않으면 기간을 정하여 독촉을 하고, 그 지정한 기간 내에 과징금 및 가산금을 내지 않으면 국세 체납처분의 예에 따라 징수합니다(「개인정보 보호법」 제34조의2제4항).