ISMS-P 개인정보보호법 주요내용 정리(6) 제29조 ~ 제32조

개인정보보호법 제4장 "개인정보의 안전한 관리"(제29조 ~ 제34조의2) 에서는 개인정보의 안전조치 의무, 개인정보 처리방침의 수립, 개인정보 보호책임자의 지정, 개인정보 파일의 등록 및 공개, 개인정보 보호 인증, 개인정보 영향평가, 개인정보 유출 통지, 과징금 부과 등에 대한 내용을 다루고 있다. 

오늘은 4장을 살펴보겠다.  

 

---

ISMS-P 개인정보보호법 주요내용 정리(6) 제29조 ~ 제32조

 

제29조(안전조치 의무) 

ㅇ 개인정보 처리자는 개인정보의 안전성 확보를 위하여 다음과 같은 조치를 하여야 한다. 

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행
2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치
5. 개인정보에 대한 보안프로그램의 설치 및 갱신
6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
7. 자세한 내용은 개인정보의 안전성 확보조치 기준 고시에 따른다. 

(개인정보보호위원회) 개인정보의 안전성 확보조치 기준

ㅇ 정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자는 다음 안전성 확보 조치를 하여야 한다. 

 1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립ㆍ시행

   가. 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항

   나. 개인정보 취급자의 교육에 관한 사항

   다. 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항

 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치

  가. 개인정보처리시스템에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행

  나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영

  다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단
[전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당

  라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영

  마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치

 3. 접속기록의 위조ㆍ변조 방지를 위한 다음 각 목의 조치

  가. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인ㆍ감독

  나. 개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관

 4. 개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위한 다음 각 목의 조치

  가. 비밀번호의 일방향 암호화 저장

  나. 민감정보, 고유식별정보, 계좌번호, 바이오정보의 암호화 저장

  다. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버 구축 등의 조치

  라. 그 밖에 암호화 기술을 이용한 보안조치

 5. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 백신소프트웨어 설치 및 주기적 갱신ㆍ점검 조치

 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치

 

(개인정보 안전성 확보조치 기준에 관한 내용은 별도 포스팅에서 자세하게 다루기로 하겠다. )

 

 

제30조(개인정보 처리방침의 수립 및 공개)

ㅇ 개인정보 처리자는 다음 사항이 포함된 개인정보 처리방침을 수립하여야 한다. 

1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보의 파기절차 및 파기방법(개인정보를 보존하여야 하는 경우에는 보존근거와 보존하는 개인정보 항목 포함)
5. 개인정보처리의 위탁에 관한 사항
6. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
7. 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
8. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항
9. 처리하는 개인정보의 항목
10. 개인정보의 안전성 확보 조치에 관한 사항

ㅇ 개인정보 처리자가 개인정보 처리방침을 수립하거나 변경할 경우 인터넷 홈페이지에 지속적으로 게재하거나 다음 방법을 통하여 공개하여야 한다.

1. 개인정보처리자의 사업장등의 보기 쉬운 장소에 게시하는 방법
2. 관보(공공기관인 경우만 해당)나 개인정보처리자의 사업장등이 있는 시ㆍ도 이상의 지역을 주된 보급지역으로 하는 신문에 싣는 방법
3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물ㆍ소식지ㆍ홍보지 또는 청구서 등에 지속적으로 싣는 방법
4. 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

ㅇ 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.

 

 

제31조(개인정보 보호책임자의 지정)

ㅇ 개인정보처리자는 개인정보 처리에 관한 업무를 총괄하여 책임질 개인정보 보호책임자를 지정하여야 한다. 

ㅇ 개인정보 보호책임자의 업무는 다음과 같다. 

1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리ㆍ감독
7. 개인정보 처리방침의 수립ㆍ변경 및 시행
8. 개인정보 보호 관련 자료의 관리
9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
10. 개인정보 보호와 관련하여 이 법 또는 다른 관계 법 위반 사실을 알게 된 경우 즉시 개선조치 및 필요시 소속기관 또는 단체에 장에게 개선조치 보고 

ㅇ 개인정보 보호책임자의 자격요건은 다음과 같다. 

 [공공기관의 경우]

1. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관: 고위공무원단 또는 그에 상당하는 공무원
2. 정무직공무원을 장(長)으로 하는 국가기관: 3급 이상 공무원(고위공무원을 포함한다) 또는 그에 상당하는 공무원
3. 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관: 4급 이상 공무원 또는 그에 상당하는 공무원
4. 그 외의 국가기관(소속 기관을 포함한다): 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
5. 시ㆍ도 및 시ㆍ도 교육청: 3급 이상 공무원 또는 그에 상당하는 공무원
6. 시ㆍ군 및 자치구: 4급 공무원 또는 그에 상당하는 공무원
7. 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
8. 그 외의 공공기관: 개인정보 처리 관련 업무를 담당하는 부서의 장. 다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.

[공공기관 이외의 개인정보처리자]

1. 사업주 또는 대표자
2. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

ㅇ 개인정보처리자가 소상공인인 경우 별도의 지정하지 않은 경우 사업주 또는 대표자를 개인정보 보호책임자로 지정한 것으로 본다. 

 

 

제32조(개인정보파일의 등록 및 공개)

해당 조문은 공공기관만 해당된다. 

ㅇ 공공기관의 장이 개인정보 파일을 운용하는 경우에는 다음 각 호의 사항을 보호위원회에 등록하여야 한다. 

1. 개인정보파일의 명칭
2. 개인정보파일의 운영 근거 및 목적
3. 개인정보파일에 기록되는 개인정보의 항목
4. 개인정보의 처리방법
5. 개인정보의 보유기간
6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
7. 개인정보파일을 운용하는 공공기관의 명칭
8. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
9. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
10. 개인정보의 열람 요구를 접수ㆍ처리하는 부서
11. 개인정보파일의 개인정보 중 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유

ㅇ 개인정보 파일을 등록하지 않아도 되는 기관

1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
3. 범칙행위 조사에 관한 사항을 기록한 개인정보파일
4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
5. 다른 법령에 따라 비밀로 분류된 개인정보파일