[개인정보보호 포털] (신)개인정보보호법 이해하기 (3강)

---

3. 개인정보의 안전한 관리 

학습 목표

• 개인정보의 안전조치의무에 대해 이해할 수 있다.

• 개인정보 보호책임자 지정에 대해 이해할 수 있다.

• 개인정보파일 등록 및 공개에 대해 이해할 수 있다.

• 개인정보 처리방침 수립 공개에 대해 이해할 수 있다.

• 개인정보 영향평가에 대해 이해할 수 있다.

학습 내용

• 개인정보의 안전조치의무

• 개인정보 보호책임자 지정

• 개인정보파일의 등록 및 공개

• 개인정보 처리방침 수립 공개

• 개인정보 영향평가

개인정보의 안전조치 의무	위 기준은 최소한의 기준을 제시하는 것이므로 그 이상의 조치를 취해야한다. ex) - 50만명 이상의 개인정보를 보유한 대기업이라면 유형3 - 5만명의 개인정보를 보유한 중소기업이라면 유형2 적용 - 500명의 개인정보를 보유한 소상공인이라면 유형1 적용 1> 관리적 안전조치  개인정보처리자는 개인정보의 안전한 관리를 위하여 관리적 안전조치로 내부 관리계획을 수립 시행해야 한다. **내부 관리 계획 : 개인정보처리자가 개인정보가 분실 도난 유출 위조 변조 또는 훼손되지 아니하도록 안전하게 처리하기 위하여 내부 의사결정절차를 통하여 수립 시행하는 내부 기준 2> 기술적 안전조치  ① 접근권한의 관리  - 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한 범위로 업무 담당자에 따라 차등 부여 (유형1 제외) ** 개인정보처리시스템 : DB등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템 - 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한 변경 또는 말소 --> 권한 부여, 변경 또는 말소에 대한 내역 기록하고, 그 기록 최소 3년간 보관 - 개인정보처리시스템 접속이 가능한 사용자계정은 개인정보취급자별로 발급하고 다른 개인정보취급자와 공유되지 않도록 조치 - 비밀번호 작성규칙을 수립하여 적용 - 개인정보처리시스템에 대한 접근 제한하는 등 필요한 기술적 조치(ex 비밀번호 일정 횟수) (유형1 제외) ② 접근 통제  ③ 개인정보의 암호화  개인정보가 암호화되지 않고 저장 또는 전송되는 경우 불법 노출 및 위변조 등의 위협 有 ④ 접속기록 보관 및 점검 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 1년 이상 안전하게 보관 (5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관 및 관리) - 개인정보처리자의 업무환경에 따라 책임추적성 확보에 필요한 항목은 추가로 기록 - 개인정보의 유출 위조 변조 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검 - 개인정보를 다운로드한 것이 발견되었을 경우에는 내부 관리계획으로 정하는 바에 따라 그 사유를 반드시 확인 ⑤ 악성프로그램 등 방지 악성프로그램 등을 방지 치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치 운영 ⑥ 관리용 단말기의 안전조치 물리적 안전조치로는 아래와 같이 확인할 수 있다.
개인정보 보호책임자 지정	1> 개인정보 보호책임자 지정  개인정보처리자는 개인정보 처리에 관한 업무를 총괄해서 책임질 법이 정한 일정한 요건을 갖춘 자를 개인정보보호 책임자로 지정하여야 한다. => 공공기관, 법인, 단체 등의 개인정보처리자 내부의 관리체계를 더욱 공고히 하는 기능을 수행 2> 개인정보 보호책임자의 자격 및 업무 의무  * 의무 - 개인정보보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우 즉시 개선조치하고 필요하면 소속 기관 또는 단체의 장에게 개선조치 보고 - 업무를 수행함에 있어서 정당한 이유 없이 불이익을 주거나 받게 하여서는 아니 됨
개인정보파일등록 및 공개	1> 개인정보파일 개념 2> 개인정보파일 등록 의무 대상 3> 개인정보파일 등록 및 절차 * 개인정보파일 등록사항 ① 개인정보파일의 명칭, 운영 근거 및 목적, 개인정보 항목 ② 개인정보의 처리방법 및 보유기간, 반복적인 제공의 경우 제공받는 자 ③ 공공기관의 명칭, 개인정보의 정보주체 수, 개인정보 처리 업무 담당 부서 ④ 개인정보의 열람 요구를 접수 처리하는 부서와 열람을 제한 거절할 수 있는 개인정보의 범위 및 사유 4> 개인정보파일 등록 예외 ex) 임직원 전화번호부, 비상 연락망, 인사기록파일, 경품 추천 에서 개인정보를 즉시 파기하는 경우 5> 개인정보파일 공개 개인정보파일은 궁극적으로는 국민 개개인이 그 내역을 손쉽게 확인할 수 있도록 공개 => 정보주체가 자신의 개인정보를 확인하고 열람 및 정정 등을 요구할 수 있음
개인정보 처리방침 수립 공개	1> 개인정보 처리방침 수립 공개 개인정보 처리방침이란? : 개인정보처리자가 개인정보 처리에 관한 자신의 내부 방침을 정해 공개하는 자율규제 장치의 일종
개인정보 영향평가	1>개인정보 영향평가란? 2> 개인정보 영향평가 시행 목적 목적 : 평가대상 시스템 활용에 따른 개인정보 침해위험을 사전에 평가하여 개선 3> 개인정보 영향평가 수행 대상 (1) 공공기관 영향평가 의무화 개인정보를 대량으로 시스템화하여 상호 연동하는 등 개인정보 침해 우려가 높으므로 행정정보 공유 및 전자정부 추진사업의 신뢰성 제고 4> 개인정보 영향평가 수행방법 공공기관의 장이 개인정보 영향평가를 실시하고자 하는 경우에는 개인정보 영향평가기관 중에서 의뢰하여야 한다. 5> 영향평가 수행 후 후속조치 -영향평가서 영향평가기관으로부터 제출 받은 날로부터  2개월 내  -개선사항 이행 확인서 개선사항으로 지적된 부분에 대한 이행 현황을 영향평가서를 제출 받은 날로부터 1년 이내 개인정보보호 종합지원시스템에 제출

---

 

---

 

summary_03.zip

0.27MB