제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. ∼ 7. (생략) | 제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. ∼ 7. (현행과 같음) |
8. “비밀번호”란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. | 8. “비밀번호”란 정보주체 및 개인정보취급자 등이 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 인증할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다. |
| 9.∼14. (생략) | 9.∼14. (현행과 같음) |
제4조(내부 관리계획의 수립ㆍ시행 및 점검)
① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다. | 제4조(내부 관리계획의 수립ㆍ시행 및 점검)
① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다. |
| 1. ∼ 11. (생략) | 1. ∼ 11. (현행과 같음) |
| <신 설> | 12. 출력·복사시 안전조치에 관한 사항 |
| <신 설> | 13. 개인정보의 파기에 관한 사항 |
| 12. ∼ 16. (생략) | 14. ∼ 18. (현행 제12호부터 제16호까지와 같음) |
| ② ∼ ④ (생략) | ② ∼ ④ (현행과 같음) |
제5조(접근 권한의 관리)
① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보취급자에게만 업무 수행에 필요한 최소한의 범위를 차등 부여하여야 한다.
② ∼ ⑤ (생략) | 제5조(접근 권한의 관리)
① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위를 차등 부여하여야 한다.
② ∼ ⑤ (현행과 같음) |
⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. | ⑥ 개인정보처리자는 정당한 권한을 가진 자가 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다.
|
제6조(접근통제)
① (생략) | 제6조(접근통제)
① (현행과 같음) |
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우, 인증서, 보안 토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다.
| ② 개인정보처리자는 개인정보처리시스템에 대한 정당한 접근권한을 가진 자(다만, 정보주체는 제외한다)가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우, 인증서, 보안 토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다.
|
| ③ ∼ ⑤ (생 략) | ③ ∼ ⑤ (현행과 같음) |
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에관한법률」제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를하여야 한다. | <삭 제> |
| <신 설> | 제6조의2(인터넷망의 차단 조치등)
① 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 다음 각 호의 어느하나에 해당하는 개인정보취급자의컴퓨터 등에 대해 인터넷망 차단 조치를 하여야 한다.
1. 개인정보처리시스템에 대한접근 권한을 설정할 수 있는개인정보취급자
2. 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수있는개인정보취급자
② 제1항제2호에도 불구하고 개인정보처리자는 내부 관리계획에서 정한 위험 분석 결과가 다음 각 호의 어느하나에 해당하는 경우에는제1항에 따른 인터넷망 차단 조치를 하지 아니할 수 있다. 다만, 법 제23조에 따른민감정보 또는 제7조제1항·제2항에 따른 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터 등에 대해서는 그러하지 아니하다.
1. 위험 분석 결과 확인된 위험이 현저히 낮은 경우
2. 위험 분석 결과 확인된 위험을 감소시킬 수 있는 보호조치를 적용한경우. 이 경우 개인정보처리자는 [별표]에 따른 예시를 고려하여야한다. |
제8조(접속기록의 보관 및 점검)
① 개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상보관ㆍ관리하여야 한다.
| 제8조(접속기록의 보관 및 점검)
① 개인정보처리자는 개인정보처리시스템에 접속한 자 (다만, 정보주체는 제외한다)의 접속기록을 1년 이상보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상보관ㆍ관리하여야 한다.
|
| 1. ∼ 3. (생략) | 1. ∼ 3. (현행과 같음) |
② 개인정보처리자는 개인정보의 오ㆍ남용,분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그사유를 반드시 확인하여야 한다. | ② 개인정보처리자는 개인정보의 오ㆍ남용,분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 및 개인정보 다운로드 상황을 확인하고 점검하는 주기·방법·사후조치절차 등을 내부 관리계획으로 정하고 이행하여야 한다. <후단삭제>
|
| ③ (생략) | ③ (현행과 같음) |
게시일 : 2025년 10월 31일
개인정보보호법의 하위 행정규칙인 개인정보 안전성 확보조치 기준이 시행되었습니다.
아래는 2025년 7월 22일 기준 행정예고 공고 입니다.
최신 개정 사항 게시글 : https://www.cela.kr/4/?bmode=view&idx=168696184&back_url=&t=board&page=
=========================================================================================================
게시일 : 2025년 7월 22일
개인정보보호위원회에서 개인정보보호법 하위 행정규칙인 개인정보의 안전성 확보조치 기준 일부개정고시(안) 행정예고가 공고되었습니다.
본 고시안은 행정예고 중이므로 향후 내용이 변경될 수 있으니 이 점 염두하시어 참고 부탁드리겠습니다.
[개정 배경 및 목적]
기반 기술 변화 대응
인공지능(AI), 클라우드 등 기반 기술의 급격한 발전과 데이터 중심 보호 체계로의 전환에 따라 제도 개선 필요
인터넷망 차단 조치 제도 개선
기존의 일률적인 인터넷망 차단 조치를 개선
개인정보처리자가 각자의 환경에 따라 위험 분석을 실시하고, 그 결과에 따라 차등 적용 가능
이를 통해 개인정보처리 환경을 개선하고 신규 서비스 개발 등 지원 확대
접근권한 및 통제 강화
개인정보처리시스템에 대한
▪ 접근권한 부여
▪ 접근통제 조치
▪ 접속기록 보관
관련 조항을 개인정보취급자 외 오픈마켓 판매자 등까지 확대 적용
비인가자의 접근 차단 및 개인정보 오남용·유출 시 책임추적성 확보 목적
기타 조정 사항
용어 및 문구 수정
내부 관리계획과 고시 조항 간 불일치 해소를 통해 개인정보처리자의 혼선 방지
[주요 내용]
가. 내부 관리계획의 수립·시행 및 점검 (안 제4조 제1항 제12호 및 제13호)
내부 관리계획 수립 대상 조항 추가
제12조: 출력·복사 시 안전조치
제13조: 개인정보의 파기
나. 접근 권한의 관리 (안 제5조 제1항 및 제6항)
접근 권한 부여 기준
최소한의 범위로 차등 부여
정당한 권한을 가진 자만 접근 가능
다. 접근통제 (안 제6조 제2항)
안전한 인증수단 적용 대상
개인정보처리시스템에 정당한 접근 권한을 가진 자(단, 정보주체는 제외)
라. 인터넷망의 차단 조치 등 (안 제6조의2) ← 신설 조항
인터넷망 차단 예외 조건(개인정보 권한설정, 다운로드, 파기하는 컴퓨터 대상)
내부 관리계획에 따른 위험 분석 실시 & 적절한 통제대책 적용 시 제외 가능
마. 접속기록의 보관 및 점검 (안 제8조 제1항, 제2항)
접속기록 관리 대상 확대
대상: 개인정보처리시스템에 접속한 자 (정보주체 제외)
접속기록 관리 방법(기존 월 1회 점검 삭제)
내부 관리계획을 통해 아래 내용을 수립하여 자율 설정 가능
▪ 점검 주기
▪ 점검 방법
▪ 사후조치 절차
[상세 신구 대비표]
1. ∼ 7. (생략)
1. ∼ 7. (현행과 같음)
식별할수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다.
① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는소상공인ㆍ개인ㆍ단체의 경우에는 생략할 수 있다.
① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을
개인정보취급자에게만업무 수행에 필요한 최소한의 범위를 차등 부여하여야 한다.② ∼ ⑤ (생략)
① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위를 차등 부여하여야 한다.
② ∼ ⑤ (현행과 같음)
개인정보취급자 또는 정보주체만이개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다.① (생략)
① (현행과 같음)
개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우, 인증서, 보안 토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다.⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에관한법률」제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를하여야 한다.① 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 다음 각 호의 어느하나에 해당하는 개인정보취급자의컴퓨터 등에 대해 인터넷망 차단 조치를 하여야 한다.
1. 개인정보처리시스템에 대한접근 권한을 설정할 수 있는개인정보취급자
2. 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수있는개인정보취급자
② 제1항제2호에도 불구하고 개인정보처리자는 내부 관리계획에서 정한 위험 분석 결과가 다음 각 호의 어느하나에 해당하는 경우에는제1항에 따른 인터넷망 차단 조치를 하지 아니할 수 있다. 다만, 법 제23조에 따른민감정보 또는 제7조제1항·제2항에 따른 개인정보를 다운로드 또는 파기할 수 있는 개인정보취급자의 컴퓨터 등에 대해서는 그러하지 아니하다.
1. 위험 분석 결과 확인된 위험이 현저히 낮은 경우
2. 위험 분석 결과 확인된 위험을 감소시킬 수 있는 보호조치를 적용한경우. 이 경우 개인정보처리자는 [별표]에 따른 예시를 고려하여야한다.
① 개인정보처리자는
개인정보취급자의 개인정보처리시스템에 대한접속기록을 1년 이상보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상보관ㆍ관리하여야 한다.① 개인정보처리자는 개인정보처리시스템에 접속한 자 (다만, 정보주체는 제외한다)의 접속기록을 1년 이상보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상보관ㆍ관리하여야 한다.
접속기록 등을 월 1회 이상 점검하여야 한다.특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그사유를 반드시 확인하여야 한다.출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=11369#LINK