저희 회사의 경우 개인정보처리자이자 정보통신서비스 제공자에 해당하는데요
이럴 경우 개인정보의 안전성 확보조치 기준에 맞게 작성을 해야하나요?
아니면 개인정보의 기술적 관리적 보호조치 기준에 따라야 하나요?
그리고 두가지 차이점이 무엇인지 너무 헷갈리는데 확실하게 알려주실 분 부탁드립니다.
개인정보 관리 내부계획 작성중에 기준 관련해서 질문
저희 회사의 경우 개인정보처리자이자 정보통신서비스 제공자에 해당하는데요
이럴 경우 개인정보의 안전성 확보조치 기준에 맞게 작성을 해야하나요?
아니면 개인정보의 기술적 관리적 보호조치 기준에 따라야 하나요?
그리고 두가지 차이점이 무엇인지 너무 헷갈리는데 확실하게 알려주실 분 부탁드립니다.
1개의 답변이 있습니다.
개인정보의 기술적·관리적 보호조치 기준와 개인정보의 안전성 확보조치 기준은 모두 개인정보 보호법에서 나온 것으로 행정사무의 통일을 기하기 위하여 기준을 제시한 행정 규칙에 해당하고, 서로 별개의 동떨어진것이 아니라 모두 서로 관련된 것입니다.
개인 정보 내부 관리 계획을 작성한다면 둘 모두에 맞게 작성해야 하겠고요.
법은
헌법이 제일 위에 있는 최고의 상위법이 되겠고요.
그 아래에 각종 법률이 있는데...
개인 정보 보호법이 법률에 해당하고요.
법률을 좀 더 구체화해서 시행하기 위해 대통령령으로 시행령을 두고 있겠는데,
개인정보 보호법 시행령이 이에 해당하고요.
시행령을 좀더 구체화해서 총리령으로 시행 규칙을 두고 있는데,
개인정보 보호법 시행 규칙이 이에 해당하고...
그 아래에 조례, 규칙, 예규(지침), 훈령(규정) 등으로 자치 법규가 만들어 지게 됩니다.
개인정보의 기술적·관리적 보호조치 기준와 개인정보의 안전성 확보조치 기준은 자치 법규의 일종으로 예규(지침)에 해당됩니다.
만들려고 하는 개인 정보 보호 내부 관리 계획은 개인 개인정보 보호법의 하위 법인 개인정보 보호법 시행령 및 개인정보 보호법 시행령의 하위법인 개인정보 보호법 시행 규칙에 기반해서 작성해야 하겠고...
개인정보의 기술적·관리적 보호조치 기준와 개인정보의 안전성 확보조치 기준을 참고해서 만들면 되겠네요.
zero000 | 2년 이하 전
상당히 정성스런 답변 정말 감사합니다. 두개 모두 참고해서 만드는데 기준이 동일하면 고민이 없겠으나, 안전성 확보조치 기준이랑 기술적 보호조치 기준이 달라서 그렇습니다.
예를 들어 개인정보처리시스템 접속기록 점검 항목이었나..? 확보조치 기준에서는 분기별 점검이고 기술적 보호조치 기준으로는 월 1회 점검으로 서로 다른 기준을 가지고 있네요
wansoo | 2년 이하 전
기준이 다르다면 둘다를 만족시킬 수 있는 걸로해서 만들면 될 것 같고요.
예를 들어 한쪽은 분기별 점검해야 한다이고, 다른쪽은 월 1회 점검이라면...
월 1회 이상 점검하면 양쪽 모두 만족 시킬 수 있는 것이겠고요.
한쪽이 1년 이상 보관해야 하고, 다른 쪽이 3년 이상 보관해야 한다면,
3년 이상 보관하는 걸로 만든다면 양쪽 모두 만족 시킬 수 있는 것이겠고요.
wansoo | 2년 이하 전
양쪽 자료 중에 기간이 명시된 내용들을 한번 뽑아 내어 보았는데요.
(개인정보보호위원회) 개인정보의 안전성 확보조치 기준
제4조(내부 관리계획의 수립·시행)
④ 개인정보보호책임자는 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상으로 점검·관리 하여야 한다.
제5조(접근 권한의 관리)
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
제6조(접근통제)
④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
제8조(접속기록의 보관 및 점검)
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다.
② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
제9조(악성프로그램 등 방지)
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
제14조(재검토 기한) 개인정보보호위원회는 「훈령·예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2020년 8월 11일을 기준으로 매 3년이 되는 시점(매 3년째의 8월 10일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
=====================
(개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준
제4조(접근통제)
③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.
⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다.
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
제5조(접속기록의 위·변조방지) ① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존·관리하여야 한다.
② 단, 제1항의 규정에도 불구하고 「전기통신사업법」 제5조의 규정에 따른 기간통신사업자의 경우에는 보존·관리해야할 최소 기간을 2년으로 한다.
제7조(악성프로그램 방지)
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
제11조(재검토 기한) 개인정보보호위원회는 「훈령·예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2020년 8월 11일을 기준으로 매 3년이 되는 시점(매 3년째의 8월 10일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
=======================
혼동이 느껴질만한 내용들이 있는 것 같긴해 보이네요...
wansoo | 2년 이하 전
(개인정보보호위원회) 개인정보의 안전성 확보조치 기준
제4조(내부 관리계획의 수립·시행)
④ 개인정보보호책임자는 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상으로 점검·관리 하여야 한다.
(개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준
제5조(접속기록의 위·변조방지) ① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존·관리하여야 한다.
=====
(개인정보보호위원회) 개인정보의 안전성 확보조치 기준
제5조(접근 권한의 관리)
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
(개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준
제4조(접근통제)
③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.
=====
(개인정보보호위원회) 개인정보의 안전성 확보조치 기준
제8조(접속기록의 보관 및 점검)
② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
(개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준
제5조(접속기록의 위·변조방지) ① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존·관리하여야 한다.
=====
(개인정보보호위원회) 개인정보의 안전성 확보조치 기준
제9조(악성프로그램 등 방지)
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
(개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준
제7조(악성프로그램 방지)
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
=====
(개인정보보호위원회) 개인정보의 안전성 확보조치 기준
제14조(재검토 기한) 개인정보보호위원회는 「훈령·예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2020년 8월 11일을 기준으로 매 3년이 되는 시점(매 3년째의 8월 10일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
(개인정보보호위원회) 개인정보의 기술적·관리적 보호조치 기준
제11조(재검토 기한) 개인정보보호위원회는 「훈령·예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2020년 8월 11일을 기준으로 매 3년이 되는 시점(매 3년째의 8월 10일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.
===================
문구상 유사성이 있는 내용들만 뽑아서 정리해 보았는데요...
내용들을 잘 읽어 본다면 완전히 같은 개념은 아닌걸로 보여지고...
모호성이 느껴진다면...
앞에서 말한것 처럼, 양쪽 모두를 만족 시킬 수 있는 기준으로 해서 서류를 만들어 버리면 될걸로 보여지네요.