본문 바로가기
개인정보보호

[개인정보] 공공시스템 운영기관 등의 개인정보 안전성 확보조치

by jangThang 2024. 12. 13.
반응형

 개인정보의 안전성 확보조치 기준 내 공공시스템 운영기관의 안전조치 기준 적용에 대해 알아봅니다.

 

[ Contents ]

     

     

    1. 공공시스템 운영기관 등의  개인정보 안전성 확보조치 대상

    1) 2개 이상 기관이 공통 또는 유사 업무 처리를 위해 구축한 단일 시스템 중 아래에 해당되는 경우
      - 정보주체 100만 명이상
      - 개인정보취급자 200명 이상
      - 민감정보 처리
      - 대국민 서비스 행정업무 혹은 민원업무 처리

    2) 기관 고유 업무를 위한 개별 시스템 중 아래에 해당되는 경우
     - 정보주체 100만 명 이상
     - 개인정보취급자 200명 이상
     - 주민등록정보시스템과 연계된 시스템
     - 총 사업비가 100억원 이상인 시스템

    단, 체계적인 개인정보 검색이 어렵거나, 내부업무 처리용, 개인정보 유출이 낮아 보호위원회가 인정하는 경우는 예외

     

     국민의 개인정보를 대량으로 처리하는 공공시스템을 운영하는 기관은 해당 지침을 준수해야 합니다. 개인정보 영향평가 의무수행 대상 조건과 비슷하게, 100만 명 이상의 개인정보를 처리하는 경우가 포함됩니다.

     여러 기관이 이용하는 단일접속 시스템의 경우에는 정보주체의 사생활을 현저히 침해할 우려가 있는 민감정보 처리 시 대상에 포함되며, 기관 고유의 개별 시스템의 경우에는 고유식별정보인 주민등록정보 시스템과 연계될 경우 대상에 포함됩니다.

     개별 시스템의 경우, 총 사업비가 100억원 이상이면 포함된다는 비용 조건도 있습니다. 근래에는 인건비 상승으로 차세대 시스템만 도입해도 SW사업비용이 100억 원을 넘어가는 경우가 많기 때문에, 아래에 예외 조항이 걸려 있습니다. ERP와 같이 내부업무만을 처리하기 위한 시스템은 예외됩니다.

     

     

     

    2. 공공시스템 운영기관 개인정보 안전성 확보조치

    1) 내부 관리계획 수립·시행

    공공시스템 별로 아래 사항을 포함하여 내부 관리계획을 수립
    - 관리책임자 지정 및 역할, 책임에 관한 사항
    - 개인정보취급자의 역할 및 책임에 관한 사항
    - 개인정보취급자에 대한 관리·감독 및 교육에 관한 사항
    - 접근 권한 관리에 관한 사항
    - 접근 통제 관한 사항
    - 접속기록 보관 및 점검에 관한 사항

     

     내부 관리계획은 기관의 내부 규정처럼 여겨지는 문서로, 단일 문서로 관리하는 경우가 많았습니다.

     하지만 공공시스템이 존재할 경우, 공공시스템별로 내부 관리계획을 관리하라는 점에서 개인정보보호법과 차별되는 조항입니다. 

     

     

    2) 접근권한 관리

    - 접근권한 부여, 변경 또는 말소 시 인사정보 연계
    - 인사정보에 등록되지 않은 자에게 계정 발급 금지 (단, 불가피한 상황 제외)
    - 계정 발급 시 개인정보 보호 교육 실시 및 보안 서약서 징수
    - 접근권한 부여, 변경 또는 말소 내역 반기별 1회 이상 점검
    - 개인정보취급자의 계정 발급 등 접근권한 부여 관리를 직접 하는 경우, 위 사항 준수

     

     주의깊게 봐야할 점은 접근권한을 인사정보와 연계해서 관리한다는 점입니다.

     보통은 인사발령이 난 후에, 필요한 권한을 임의로 부여/말소하는 편이죠. 이를 인사정보와 연계해서 관리하려면 추가적인 시스템 개선이 필요할 것으로 보입니다. 사실 업무분장에 따라 권한을 같이 부여/말소하는 건 이론적으로는 가능한 일이지만, 실무적으로는 어려움이 많은 기능이긴 합니다.

     업무분장에 없더라도, 전임자가 인수인계를 위해 권한을 임시 부여받는 경우가 있고.. 또는 부재 중에 대리 업무 수행을 위해 권한을 받는 경우도 있고.. 상급자가 업무 관리를 위해 권한을 달라는 경우도 있기 때문입니다.

     

     

    3) 접속기록 보관 및 점검

    - 자동화된 방식으로 분석하여 불법적인 개인정보 유출 및 오용·남용 시도를 탐지하고, 그 사유를 소명
    - 개인정보취급자의 접속기록을 직접 점검할 수 있는 기능 제공

     

     개인정보보호법 강화로 인해, 뜻하지 않게 수혜를 받고 있는 접속기록 관리시스템에 대한 사항입니다.

     시스템별로 접속기록을 보관 및 점검하는 기능이 있긴 하지만, 이를 자동화된 방식으로 분석해서 불법적인 개인정보 유출 및 오용·남용 시도를 탐지하고 모니터링하는 기능은 구현하기 어렵습니다. 그렇기에 별도의 솔루션을 도입하는 경우가 많으며, 관련 기업의 매출이 크게 늘었죠.

     여기까지 공공시스템 운영기관의 개인정보 안전성 확보조치에 대해 알아봤습니다. 공공 쪽에서 해야할 일은 점점 늘고 있는데.. 인력과 예산도 뒷받침해줬으면 좋겠네요.

     

    star가 되고나서 Tistory

    반응형
    저작자표시 비영리 변경금지

    '개인정보보호' 카테고리의 다른 글

    [개인정보] 내부관리계획 수립 시 필수 포함 항목 (개인정보의 안전성 확보조치 기준 제4조)  (2) 2024.12.14
    [개인정보] 개인정보의 안전성 확보조치 : 고시 목적, 기준 법령, 주요 내용 알아보기  (2) 2024.12.07
    [개인정보] 법률 적용의 원칙: 상위법 우선의 원칙, 특별법 우선의 원칙, 신법 우선의 원칙  (0) 2024.09.11
    [개인정보] 법령의 종류, 상위법과 하위법: 헌법, 법률, 명령, 조례, 규칙  (2) 2024.09.11
    [보안] 개인정보 목적 외 이용 및 제3자 제공: 개념과 사례, 목적 내 제3자 제공과의 차이점  (0) 2024.05.26

    관련글

    댓글

    티스토리툴바