개인정보 관련 개념 이해(입문)_개인정보 처리 단계별 절차 이해-저장/관리

개인정보 저장.관리 개요

필요성)

개인정보처리자는 수집.이용을 위해 저장 중인 개인정보를 안전하게 관리해야 함

개인정보 유출 사고는 추가적 오남용으로 이어질 수 있음

 

법적 근거)

제3조(개인정보 보호 원칙)

제29조(안전조치의무)

 

안전 관리 주요 대상)

개인정보취급자: 임직원, 파견근로자, 시간제근로자 등 개인정보처리자의 지휘.감독을 받음

개인정보처리시스템: 개인정보 처리할 수 있도록 체계적으로 구성한 시스템

 

 

 

• 대부분 다크웹을 중심으로 개인정보의 유출 및 불법적인 거래가 이루어진 사례들을 확인할 수 있음

 

안전성 확보조치 주요내용

개인정보 내부관리계획)

전사 규정으로 마련 CEO 등 최고경영층 내부 결재 등 승인

 

접근 권한의 안전한 관리)

필요성: 대형 개인정보 유출사고의 시작은 관리자 권한의 획득에서 시작

-접근 권한의 안전한 관리가 매우 중요

 

 

접근권한의 안전한관리)

1. 차등 부여

2. 접근권한 변경 또는 말소

3. 기록 최소 3년보관

4. 공유금지

5. 인증수단 안전 적용

6. 인증 실패 시 접근 제한

 

접근 통제)

1. 방화벽 등 침입차단 탐지 시스템 구축 및 운영

2. 외부에서 시스템 접속 시 OTP 등 안전한 인증 수단 적용

3. 인터넷 홈페이지, P2P, 공유 설정 등을 통한 공개 및 유출 방지 조치

4. 일정시간 시스템 미접속 시 자동 접속 차단 등 조치

5. 업무용 모바일 기기.분실.도난 등으로 인한 유출 방지 위해 모바일기기 비밀번호 설정 등 조치

6. 인터넷망 차단(구 망분리) 적용

 

법적 주요 암호화 대상 및 절차)

-정보통신망을 통한 개인정보 송수신시 암호화

-비밀번호 일방향 암호화 저장

-이용자 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보

-대규모 개인정보 처리 시 안전한 암호키 관리 절차 수립.시행

 

접속기록의 보관.점검)

접속기록: 식별자, 접속일시, 접속자 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록

 

<법적 의무 사항>

1. 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 2년 이상 보관.관리

2. 접속기록 등을 주기적으로 점검(특히 다운로드 사유 확인)

3. 접속기록 안전 보관 조치(별도 저장매체에 분리보관 등)

 

<개인정보취급자 유의사항>

접속 기록 소명 요청 대응

다운로드 최소화 및 필요시 사유 입력

개발자: 접속기록 생성 및 다운로드 시 사유 입력 기능 마련 등

 

악성프로그램)

<법적 의무 사항>

보안프로그램 설치 운영

 

물리적 안전조치)

필요성: 개인정보 저장하는 물리적 보관장소를 별도로 두고 있는 경우 비인가자의 출입 등으로 인한 개인정보의 유출 등을 방지

 

재해.재난 대비 안전조치)

적용 대상: 

-10만 명 이상의 개인정보를 처리하는 대기업.중견기업.공공기관

-100만 명 이상의 정보주체에 관하여 개인정보를 처리하는 중소기업.단체

 

출력.복사 시 안전조치)

1. 개인정보 출력 시 용도 특정하며, 용도에 따라 출력 항목을 최소화

2. 안전하게 관리

 

개인정보 파기)

<법적 의무 사항>

1. 개인정보 파기 방법

• 완전파괴(소각, 파쇄 등)
• 전용 소자장비를 이용하여 삭제
• 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행

2. 개인정보 일부만을 파기

-전자적 파일: 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리.감독

-기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제

 

3. 기술적 특성으로 파기가 현저히 곤란한 경우에는 법: 익명처리가능

 

개인정보취급자 실천수칙)

1. 개인정보 내부 관리계획 확인

2. 1인 1계정, 공유 금지

3. 불필요한 접근 권한 즉시 반납

4. 소명 요청 적극대응하기

5. 개인정보의 화면.문서 출력은 용도에 맞게 최소화하기

6. 잠금장치가 있는 안전한 곳에 보관하기

7. 불필요한 개인정보 파일 즉시 파기하기

8. 개인정보 저장 파일은 반드시 비밀번호 설정 혹은 암호화 저장하기

9. 개인정보 유출 사고 대응 훈련-적극 참여

10. 이상징후 발생시 즉시 개인정보보호 조직에 공유하기

 

---

1번. 개인정보 저장·관리의 필요성으로 가장 적절한 것은?

① 개인정보는 수집 후 별도의 관리가 필요하지 않다.
② 개인정보 유출 사고는 추가적인 오남용으로 이어질 수 있기 때문에 안전하게 관리해야 한다.
③ 개인정보는 내부 직원만 접근하므로 유출 위험이 없다.
④ 개인정보는 암호화하지 않아도 법적 문제가 없다.

 

정답: 2번

풀이:
개인정보처리자는 수집·이용을 위해 저장 중인 개인정보를 안전하게 관리해야 한다. 특히 개인정보가 유출되면 다크웹 등을 통한 불법 거래나 추가 오남용으로 이어질 수 있으므로 철저한 관리가 필요하다.

---

2번. 개인정보 보호와 관련된 법적 근거로 제시된 조항은?

① 제3조 개인정보 보호 원칙, 제29조 안전조치의무
② 제15조 개인정보 수집 제한, 제20조 개인정보 열람권
③ 제10조 정보주체 권리, 제35조 개인정보 정정권
④ 제1조 목적, 제5조 국가의 책무

 

정답: 1번

풀이:
제공된 내용에서는 개인정보 저장·관리의 법적 근거로 제3조 개인정보 보호 원칙과 제29조 안전조치의무가 제시되었다. 이는 개인정보처리자가 개인정보를 안전하게 관리해야 하는 기본 근거가 된다.

---

3번. 접근권한의 안전한 관리에 해당하지 않는 것은?

① 접근권한을 업무 필요에 따라 차등 부여한다.
② 접근권한 변경 또는 말소 기록을 관리한다.
③ 여러 사람이 하나의 계정을 공유하여 효율적으로 사용한다.
④ 인증 실패 시 접근을 제한한다.

 

정답: 3번

풀이:
접근권한의 안전한 관리에서는 1인 1계정 사용과 계정 공유 금지가 중요하다. 계정을 공유하면 누가 어떤 행위를 했는지 추적하기 어렵고, 사고 발생 시 책임 소재 파악도 어려워진다.

---

4번. 접속기록의 보관·점검에 대한 설명으로 옳은 것은?

① 접속기록은 6개월만 보관하면 된다.
② 접속기록에는 식별자, 접속일시, 접속자 정보, 수행업무 등이 포함될 수 있다.
③ 다운로드 사유는 확인하지 않아도 된다.
④ 접속기록은 개인정보취급자가 임의로 삭제할 수 있다.

 

정답: 2번

풀이:
접속기록은 개인정보처리시스템에 접속하여 수행한 행위를 전자적으로 기록한 것이다. 식별자, 접속일시, 접속자 정보, 처리한 정보주체 정보, 수행업무 등이 포함된다. 법적으로는 개인정보취급자의 접속기록을 2년 이상 보관·관리해야 하며, 다운로드 사유 등을 주기적으로 점검해야 한다.

---

5번. 단답형 문제

개인정보취급자가 지켜야 할 실천수칙 중, 계정 사용과 관련하여 반드시 지켜야 할 원칙은 무엇인가?

 

정답:
1인 1계정 사용 및 계정 공유 금지

풀이:
개인정보처리시스템에서는 누가 어떤 개인정보에 접근했는지 명확히 확인할 수 있어야 한다. 따라서 여러 사람이 하나의 계정을 공유하면 안 되며, 개인정보취급자는 개인별 계정을 사용해야 한다. 이는 접근권한 관리와 접속기록 추적을 위해 매우 중요하다.