[전문]개인정보보호 신규제도 안내서

[서문]

최근 해킹 등으로 인한 대규모 개인정보 누출 사고가 연이어 발생하면서 기업의 개인정보 보호체계를 전면적으로 강화할 필요가 있다는 사회적 공감대가 형성되었습니다. 이에, 방송통신위원회는 개인정보 대량 유출사고의 재발 방지와 2차 피해 예방을 위해 2011년 8월 ‘인터넷상 개인정보보호 강화방안’을 발표한 바 있습니다.

인터넷상 개인정보보호 강화방안은 개인정보의 과도한 수집 제한 및 기업의 개인정보 관리 강화, 이용자의 자기정보 통제 강화를 주요 골자로 하는 20개 세부 실천과제를 포함하고 있으며, 이 가운데 주민번호 수집ㆍ이용 제한, 개인정보 유효기간제, 개인정보 이용내역 통지제, 개인정보 누출 통지ㆍ신고제 등의 신규제도가 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 “정보통신망법”) 개정을 통해 신설되었습니다. 개정 정보통신망법은 2011년 12월 29일 국회 본회의를 통과하여, 2012년 2월 17일 공포후 6개월 경과한 8월18일부터 시행됩니다.

본 안내서는 개정 정보통신망법의 시행에 따라 새롭게 실시되는 개인정보보호 제도의 도입 취지를 설명하고, 법령 규정사항과 사업자 조치사항 등을 안내함으로써 제도의 조기 정착 및 사업자의 제도 이행력을 높이기 위한 목적으로 마련되었습니다. 신규제도 이행을 위한 보다 구체적인 사항은 방송통신위원회와 한국인터넷진흥원에서 발간한 ‘정보통신서비스 제공자를 위한 개인정보보호 가이드’ 및 ‘개인정보의 기술적ㆍ관리적 보호조치 기준 해설서’ 증보판 등을 참고해 주시기 바랍니다.1. 개인정보 누출 통지·신고 제도

◎ 제도 도입 취지 ◎

개인정보 누출 통지․신고제도는 개인정보의 분실․도난․누출 사고 발생시 이용자에게 해당 사실을 지체 없이 통지하고 주무부처인 방송통신위원회에 신고하도록 함으로써 명의도용, 스팸, 전화사기 등 개인정보 누출로 인한 2차 피해 확산을 방지하기 위해 도입되었습니다.

◎ 근거법령 ◎

법 제27조의3(개인정보 누출등의 통지·신고)① 정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ누출(이하 “누출등”이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게 알리고 방송통신위원회에 신고하여야 한다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령이 정하는 바에 따라 통지에 갈음하는 조치를 취할 수 있다.

1. 누출등이 된 개인정보 항목

2. 누출등이 발생한 시점

3. 이용자가 취할 수 있는 조치

4. 정보통신서비스 제공자등의 대응 조치

5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처

② 제1항에 따른 통지 및 신고의 방법ㆍ절차 등에 관하여 필요한 사항은 대통령령으로 정한다.

③ 정보통신서비스 제공자등은 개인정보의 누출등에 대한 대책을 마련하고 그 피해를 최소화할 수 있는 조치를 강구하여야 한다.

시행령 제14조의2(개인정보 누출등의 통지·신고)① 정보통신서비스 제공자등은 개인정보의 분실․도난․누출(이하 “누출등”이라 한다)의 사실을 안 때에는 지체 없이 법 제27조의3제1항 각 호의 모든 사항을 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 이용자에게 알리고 방송통신위원회에 신고하여야 한다.

② 정보통신서비스 제공자등은 제1항에 따른 통지․신고를 하려는 경우 법 제27조의3제1항제1호 또는 제2호의 사항에 관한 구체적인 내용이 확인되지 아니하였으면 그때까지 확인된 내용과 같은 항 제3호부터 제5호까지의 사항을 우선 통지․신고한 후 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지․신고하여야 한다.

③ 정보통신서비스 제공자등은 법 제27조의3제1항 각 호 외의 부분 단서에 따른 정당한 사유가 있는 경우에는 법 제27조의3제1항 각 호의 사항을 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 제1항의 통지를 갈음할 수 있다.

④ 천재지변이나 그 밖의 정당한 사유로 제3항에 따른 홈페이지 게시가 곤란한 경우에는 「신문 등의 진흥에 관한 법률」에 따른 전국을 보급지역으로 하는 둘 이상의 일반일간신문에 1회 이상 공고하는 것으로 제3항에 따른 홈페이지 게시를 갈음할 수 있다.

◎ 사업자 조치사항 ◎

○ 정보통신서비스 제공자등은 개인정보가 분실․도난․누출(이하 “누출등”)된 사실을 알았을 때 다음의 항목을 지체 없이 해당 이용자에게 알리고 방송통신위원회에 신고하여야 합니다.

- 개인정보 누출 시 통지․신고해야 할 항목

① 누출등이 된 개인정보 항목 ② 누출등이 발생한 시점

③ 이용자가 취할 수 있는 조치 ④ 정보통신서비스 제공자등의 대응 조치

⑤ 이용자가 상담 등을 할 수 있는 부서 및 연락처

※ ‘지체 없이’란 ‘합리적인 이유 및 근거가 없는 한 즉시’를 의미합니다.

○ 누출등이 된 개인정보의 항목과 누출등이 발생한 시점을 구체적으로 알 수 없는 경우 당시까지 확인된 사항을 이용자가 취할 수 있는 조치, 사업자의 대응조치, 이용자가 상담 등을 접수할 수 있는 부서 및 연락처와 함께 통지․신고하고 추가로 확인되는 사항은 확인되는 즉시 통지․신고하여야 합니다.

○ 개인정보 누출 신고는 신속한 접수 및 처리를 위해 인터넷(kcc.go.kr, i-privacy.kr)신고를 권장하며 전자우편, 서면, 전화, 팩스를 통해 신고한 경우 접수 여부를 반드시 확인하여야 합니다.

○ 온·오프라인에서 사업을 영위하는 경우에는 방송통신위원회(kcc.go.kr, i-privacy.kr)와 행정안전부(mopas.go.kr, privacy.go.kr)에 신고를 하여야 합니다.

※ (개인정보보호법에 따른 신고) 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우 mopas.go.kr, privacy.go.kr에 신고

◎ 시행령 규정사항 ◎

○ 통지에 갈음하는 조치

- 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 정보통신서비스 제공자등의 인터넷 홈페이지에 30일 이상 게시하는 것으로 누출등의 통지를 대신할 수 있습니다.

․또한, 천재지변이나 그 밖의 정당한 사유로 홈페이지 게시도 곤란할 경우 전국구 일간지 2곳 이상에 1회 이상 공고하는 것으로 대신할 수 있습니다.

○ 누출 통지 및 신고의 방법․절차

- 개인정보 누출 통지의 방법 : 전자우편, 서면, 전화, 팩스 또는 이와 유사한 방법

- 개인정보 누출 신고의 방법 : 전자우편, 서면, 전화, 팩스 또는 이와 유사한 방법 (인터넷 : kcc.go.kr, i-privacy.kr)

※ 인터넷(개인정보보호 포털서비스 : i-privacy.kr)을 통한 개인정보 누출 신고 방법

방송통신위원회 홈페이지(고객민원/사업자 개인정보 누출신고 클릭) → 개인정보보호 포털(i-privacy.kr) 연결 → 개인정보누출신고서 작성 → 신고접수

◎ 벌칙 및 행정처벌 ◎

개인정보 누출등의 발생시 이용자 및 방송통신위원회에 알리거나 신고하지 않은 경우 3천만원 이하의 과태료가 부과됩니다.(정보통신망법 제76조제1항제2의2호)

2. 개인정보 유효기간 제도

◎ 제도 도입 취지 ◎

최근 발생하는 개인정보 누출 사고는 현재 정보통신서비스를 이용하고 있는 이용자의 개인정보 뿐만 아니라 장기간 미이용자의 개인정보도 상당부분 포함하고 있어 해킹으로 인한 개인정보가 유출된 사실조차 인지하지 못하는 경우도 있는 것으로 나타나고 있습니다. 따라서 장기간 서비스를 이용하지 않고 방치되는 개인정보로 인한 이용자의 피해를 방지하고 사업자의 불필요한 개인정보 보관을 최소화함으로써 개인정보의 오․남용과 누출을 방지하기 위해 도입되었습니다.

◎ 근거법령 ◎

법 제29조 (개인정보의 파기)② 정보통신서비스 제공자등은 정보통신서비스를 대통령령으로 정하는 기간동안 이용하지 않는 이용자의 개인정보를 보호하기 위하여 대통령령이 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취해야 한다.

시행령 제16조(개인정보의 파기 등)① 법 제29조제2항에서 “대통령령으로 정하는 기간”은 3년 을 말한다. 다만, 다음 각 호의 경우에는 해당 호에 따른 기간으로 한다.

1. 다른 법령에서 별도의 기간을 정하고 있는 경우: 해당 법령에서 정한 기간

2. 이용자의 요청에 따라 달리 정한 경우: 달리 정한 기간

② 정보통신서비스 제공자등은 이용자가 정보통신서비스를 제1항의 기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장․관리하여야 한다.

③ 정보통신서비스 제공자등은 제2항에 따라 개인정보를 별도로 저장ㆍ관리하는 경우에는 법 또는 다른 법률에 특별한 규정이 있는 경우를 제외하고는 해당 개인정보를 이용하거나 제공하여서는 아니 된다.

④ 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되거나 분리되어 저장․관리되는 사실과 기간 만료일 및 해당 개인정보의 항목을 전자우편․서면․모사전송․전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 이용자에게 알려야 한다.

◎ 사업자 조치사항 ◎

○ 유효기간 제도의 기산 시점은 기존 이용자의 경우 개정 법령이 시행되는 2012년 8월 18일이며, 3년이 경과한 2015년 8월 이후에는 해당 정보통신서비스를 이용하지 않는 기존 이용자의 개인정보를 파기하거나 다른 이용자의 개인정보와 분리하여 별도로 저장․관리하여야 합니다.

- 2012년 8월 18일 이후 신규가입한 이용자는 해당 정보통신서비스 미이용시점부터 유효기간 3년이 적용됩니다. 다른 법령에서 별도의 기간을 정하고 있는 경우나, 이용자 요청에 따라 달리 정하는 경우에는 그 기간에 따라 적용됩니다.

- 개인정보 유효기간이 경과한 미이용자의 개인정보를 파기할 때에는 재생할 수 없는 상태로 파기해야 하며 별도로 저장․관리된 개인정보는 일반 회원(고객)의 개인정보DB와 분리하여 일반 직원들의 접근을 제한하여야 합니다.

○ 전자우편, 서면, 팩스, 전화 등의 방법 중 하나를 선택하여 개인정보가 파기 또는 분리 저장․관리 되는 사실과 일시, 개인정보 항목을 해당 이용자에게 유효기간 만료 30일 전까지

※ 기존 이용자의 개인정보 유효기간(3년)제도 적용시

2012년 8월 18일부터 기산 → 2015년 7월 18일까지 사전 통지(기간 만료 30일전) → 2015년 8월 18일까지 파기 또는 분리 ․저장관리 조치

통지하여야 합니다.

(예시①) 미이용 시 파기 등의 조치를 취하는 개인정보 유효기간은 □년으로 요청합니다.

※ 다만, 별도의 요청이 없을 경우 개인정보 유효기간은 3년으로 합니다.

(예시②) 개인정보 유효기간을 1년 □, 5년 □, 7년 □ 으로 요청합니다.

※ 다만, 별도의 요청이 없을 경우 개인정보 유효기간은 3년으로 합니다.

◎ 시행령 규정사항 ◎

○ 유효기간

- 원칙 : 3년의 개인정보 유효기간이 적용됩니다.

․예외① : 다른 법령(통신비밀보호법, 전자상거래 등에서의 소비자보호에 관한 법률 등) 에서 별도의 기간을 정하고 있는 경우 → 해당 법령에서 정한 기간 적용

․예외② : 이용자의 요청에 따라 기간을 달리 정한 경우 → 달리 정한 기간 적용

※ 미이용기간에 대한 기준은 ‘로그인’ 등의 여부로 판단하며 온․오프라인 연계 서비스의 경우에는 온라인 서비스 이용이 없더라도 오프라인 서비스 이용기간은 미이용기간에 해당하지 않습니다.

○ 개인정보 파기 등 필요한 조치

- 정보통신서비스 제공자등은 유효기간 동안 정보통신서비스를 이용하지 않은 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다른 개인정보와 별도로 분리하여 저장․관리하여야 합니다.

- 분리 저장․관리된 개인정보는 이용․제공할 수 없지만 이용자의 요구가 있거나 형사소송법, 통신비밀보호법, 전기통신사업법 등 다른 법률에 특별한 규정이 있는 경우는 예외적으로 재이용이 가능합니다.

○ 유효기간 만료에 대한 통지 시기 및 내용

- 유효기간 만료 30일 전까지 전자우편, 서면, 팩스, 전화 등의 방법 중 하나를 선택하여 이용자의 개인정보가 파기 또는 분리하여 저장․관리되는 사실, 일시 및 해당 개인정보 항목을 통지하면 됩니다.

◎ 벌칙 및 행정처벌 ◎

개인정보 유효기간 만료 후 개인정보 파기 등의 조치를 취하지 않는 경우 3천만원 이하의 과태료가 부과됩니다. (정보통신망법 제76조제1항제4호)

3. 개인정보 이용내역 통지 제도

◎ 제도 도입 취지 ◎

개인정보 이용내역 통지 제도는 정보통신서비스 제공자등으로 하여금 수집한 이용자의 개인정보 이용내역을 해당 이용자에게 주기적으로 통지하도록 함으로써 이용자가 자신의 개인정보 이용내역을 정확히 알고 자기정보를 스스로 통제할 수 있도록 하기 위하여 도입되었습니다.

◎ 근거법령 ◎

법 제30조의2(개인정보 이용내역의 통지)① 정보통신서비스 제공자등으로서 대통령령으로 정하는 기준에 해당하는 자는 제22조 및 제23조제1항 단서에 따라 수집한 이용자 개인정보의 이용내역(제24조의2에 따른 제공 및 제25조에 따른 개인정보취급위탁을 포함한다)을 주기적으로 이용자에게 통지하여야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우에는 그러하지 아니하다.

② 제1항에 따라 이용자에게 통지하여야 하는 정보의 종류, 통지 주기 및 방법, 그 밖에이용내역 통지에 필요한 사항은 대통령령으로 정한다.

시행령 제17조(개인정보 이용내역의 통지)① 법 제30조의2제1항에서 대통령령으로 정하는 기준에 해당하는 자란 전년도 말 기준 직전 3개월간 그 개인정보가 저장․관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등을 말한다.

② 법 제30조의2제1항에 따라 이용자에게 통지하여야 하는 정보의 종류는 다음 각 호와 같다.

1. 개인정보의 수집ㆍ이용 목적 및 수집한 개인정보의 항목

2. 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목. 다만, 「통신비밀보호법」제13조, 제13조의2, 제13조의4 및 「전기통신사업법」제83조제3항에 따라 제공한 정보는 제외한다.

3. 법 제25조에 따른 개인정보 취급위탁을 받은 자 및 그 취급위탁을 하는 업무의 내용

③ 법 제30조의2제1항에 따른 통지는 전자우편ㆍ서면ㆍ모사전송ㆍ전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 연 1회 이상 하여야 한다.

◎ 사업자 조치사항 ◎

○ 전년도 말 기준 직전 3개월간 개인정보가 저장․관리되고 있는 이용자 수가 일일 평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자등은 이용자의 개인정보 이용내역을 연 1회 이상 해당 이용자에게 통지하여야 합니다.

○ 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」제83조제3항에 따라 수사기관에 제공한 정보는 제외됩니다.

※ 적시된 법률에 의한 경우와 개별 법률에서 별도의 통지절차를 규정하고 있는 수사기관에 대한 정보제공은 이용내역 통지 대상에서 제외

○ 개인정보의 수집․이용 목적 및 항목만을 통지하면 되므로 해당 정보통신서비스의 개별적인 이용내역은 통지대상에 해당하지 않습니다.

○ 이용자의 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우에는 그렇지 않습니다.

◎ 개인정보 이용내역 통지 예시

▶ (수집․이용 목적)

⇒ (개인정보 수집․이용 목적 기재)

▶ (수집한 개인정보의 항목)

⇒ (수집한 개인정보의 항목 기재)

▶ (개인정보 제3자 제공 관련)

⇒ 개인정보를 제공 받은자 : (개인정보 제공 받은자 기재. 다수일 경우 00등 00사)

⇒ 제공 목적 : (제3자 제공과 관련해서 동의를 받은 목적 중 해당사항 기재)

⇒ 제공한 개인정보 항목 : (제공한 개인정보의 항목 기재)

▶ (개인정보 취급위탁 관련)

⇒ 개인정보의 수탁자 : (개인정보를 취급위탁 받은자 기재. 다수일 경우 00등 00사)

⇒ 취급위탁 목적 : (개인정보 취급위탁 업무 내용 기재)

※ 보다 자세한 사항은 홈페이지를 통해 확인 가능합니다.

※ 개인정보를 제3자 제공이나 취급위탁시 실제로 제공․위탁한 내역을 통지하면 됩니다.

◎ 시행령 규정사항 ◎

○ 이용내역 통지의무 대상

- 전년도 말 기준 직전 3개월간 개인정보가 저장․관리되고 있는 이용자 수가 일일 평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보 이용내역을 통지하여야 합니다.

○ 이용내역 통지 정보의 종류

- 개인정보의 수집․이용 목적 및 수집한 개인정보의 항목

- 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목

- 개인정보 취급 위탁을 받은 자 및 그 취급위탁을 하는 업무의 내용

○ 이용내역 통지 주기 및 방법

- 개인정보 이용내역의 통지는 전자우편․서면․팩스․전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 연 1회 이상 하여야 합니다.

◎ 벌칙 및 행정처벌 ◎

개인정보 이용내역을 통지하지 아니한 경우 3천만원 이하의 과태료가 부과됩니다. (정보통신망법 제76조제1항제5의2호)

4. 개인정보처리시스템 망분리

◎ 제도 도입 취지 ◎

개인정보처리시스템 망분리는 해킹 등으로 인한 개인정보 유출 사고 근절을 위하여 개인정보처리시스템과 외부 인터넷망을 분리시키는 것을 주요 내용으로 개인정보에 대한 불법적인 접근을 보다 근본적으로 차단하기 위해 도입되었습니다.

◎ 근거법령 ◎

법 제28조 (개인정보의 보호조치)① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립ㆍ시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치ㆍ운영

3. 접속기록의 위조ㆍ변조 방지를 위한 조치

4. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치ㆍ운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

② 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.

시행령 제15조 (개인정보의 보호조치)② 법 제28조제1항제2호에 따라 정보통신서비스 제공자등은 개인정보에 대한 불법적인 접근을 차단하기 위하여 다음 각 호의 조치를 하여야 한다. 다만, 제3호의 조치는 전년도 말 기준 직전 3개월간 그 개인정보가 저장․관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다.

1. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 개인정보처리시스템이라 한다)에 대한 접근권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행

2. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영

3. 개인정보처리시스템에 접속하는 개인정보취급자 컴퓨터 등에 대한 외부 인터넷 망 차단

4. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정과 운영

5. 그 밖에 개인정보에 대한 접근통제를 위하여 필요한 조치

개인정보의 기술적․관리적 보호조치 기준 고시 제4조(접근통제)⑥ 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등은 물리적 또는 논리적으로 망분리 하여야 한다.

◎ 사업자 조치사항 ◎

○ 망분리에는 전송망, PC 등을 이원화하여 내부 업무망과 외부 인터넷망의 접근 경로를 차단시키는 물리적 망분리와, 하나의 전송망이나 PC를 사용하지만 가상화 등의 방법을 사용하여 내부 업무망과 외부 인터넷망이 서로 접근할 수 없도록 구성하는 논리적 망분리 등이 있습니다.

- 물리적․논리적 망분리 모두 허용되므로 사업자는 각각의 방법에 따른 장․단점을 고려하여 자신에게 적절한 망분리 시스템을 구축하시면 됩니다.

○ 정보통신망법 시행령에서는 사업자의 망분리 구축기간을 고려하여 6개월의 유예기간을 부여하였습니다. 따라서 망분리 대상이 되는 일정규모 이상의 정보통신서비스 제공자등은 2013년 2월 18일까지 망분리를 완료하여야 합니다.

◎ 시행령 및 고시 규정사항 ◎

○ 개인정보처리시스템 망분리 의무화 대상

- 전년도 말 기준 직전 3개월간 그 개인정보가 저장․관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자등 가운데 다음에 해당하는 자는 망분리를 하여야 합니다.

․건수에 상관없이 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템의 접근권한을 설정할 수 있는 개인정보취급자

※ CS센터, 마케팅부서와 같이 개인정보를 단순 조회하거나 열람하는 권한만을 가진 개인정보취급자는 대상에서 제외됩니다.

▶ 망분리 대상 관련 용어 정의

․ 다운로드 : 개인정보처리시스템에 접근하여 컴퓨터 등에 개인정보를 엑셀, 워드 등의 파일형태로 저장하는 것

․ 파기 : 개인정보처리시스템에 저장된 개인정보 테이블 또는 DB전체를 삭제하는 것

․ 접근권한 설정 : 개인정보처리시스템에 접근하는 개인정보취급자의 다운로드, 파기에 대한 접근권한을 설정하는 것

◎ 벌칙 및 행정처벌 ◎

○ 망분리 등 기술적․관리적 보호조치를 하지 않았을 경우 3천만원 이하의 과태료와 1억원 이하의 과징금이 부과될 수 있습니다. (정보통신망법 제76조제1항3호, 제64조의3제1항6호)

○ 망분리 등 기술적․관리적 보호조치를 아니하여 개인정보를 분실․도난․누출․변조 또는 훼손한 자는 2년 이하의 징역 또는 1천만원 이하의 벌금에 처하게 됩니다. (정보통신망법 제73조1호)

5. 그 외 법령 개정사항

◎ 법령 개정사항 ◎

법 제23조의2(주민등록번호의 사용제한)① 정보통신서비스 제공자는 다음 각 호에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집․이용할 수 없다.

1. 제23조의3에 따라 본인확인기관으로 지정받은 경우

2. 법령에서 이용자의 주민등록번호 수집․이용을 허용하는 경우

3. 영업상 목적을 위하여 이용자의 주민등록번호 수집․이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우

② 제1항제2호 및 제3호에 따라 주민등록번호를 수집․이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(이하 “대체수단”이라 한다)을 제공하여야 한다.

법 제67조(방송사업자에 대한 준용)① 「방송법」 제2조제3호가목부터 마목까지와 같은 조 제6호․제9호․제12호 및 제14호에 해당하는 자가 시청자의 개인정보를 수집․이용 또는 제공하는 경우에는 제22조부터 제32조까지를 준용한다. 이 경우 “정보통신서비스 제공자” 또는 “정보통신서비스 제공자등”은 “「방송법」 제2조제3호가목부터 마목까지와 같은 조 제6호․제9호․제12호 및 제14호에 해당하는 자”로, “이용자”는 “시청자”로 본다.

② 제25조제1항에 따른 수탁자에 관하여는 제22조부터 제24조의2와 제26조부터 제31조까지를 준용한다.

법 제76조(과태료)① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다.

3. 제28조제1항(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적ㆍ관리적 조치를 하지 아니한 자

법 제28조(개인정보의 보호조치)① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리계획의 수립･시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치･운영

3. 접속기록의 위조･변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치

5. 백신 소프트웨어의 설치･운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

◎ 세부 내용 ◎

○ 주민등록번호의 수집･이용 제한

- 정보통신망법 개정에 따라 정보통신서비스 제공자는 8월 18일부터는 본인확인기관이거나 법령에서 주민등록번호의 수집·이용을 요구하는 경우가 아니면 신규로 주민등록번호를 수집할 수 없습니다.

․따라서 주민등록번호 관련 법령에 의해 수집·이용되는 경우를 제외하고 주민번호를 사용할 수 없도록 서비스 절차, 시스템 등을 변경하여야 하고 기존에 보유하고 있는 주민등록번호도 2014년 8월 이전까지 삭제하여야 합니다.

- 법령 등에 따라 주민등록번호를 수집․이용할 수 있는 예외적인 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인할 수 있는 방법(대체수단)을 제공하여야 합니다.

․방송통신위원회는 본인 확인과 개인 식별이 가능한 아이핀(i-PIN(internet Personal Identification Number))이라는 대체수단을 개발․보급하고 있습니다.

․이외에도 휴대폰 인증, 공인인증서 인증 등의 대체수단을 이용할 수 있습니다.

※ 아이핀 발급 및 이용에 관한 자세한 사항은 개인정보보호 포털(www.i-privacy.kr) 또는 한국인터넷흥원 아이핀 홈페이지(http://i-pin.kisa.or.kr)에 참고자료와 함께 자세히 소개되어 있습니다.

○ 정보통신망법 적용 대상 확대

- 개정 정보통신망법은 방송사업자 및 수탁자에 대해서도 정보통신서비스 제공자가 취해야 할 정보통신망법상의 개인정보 보호조치를 준용하도록 하였습니다.

○ 기술적･관리적 보호조치 위반에 대한 과태료 추가

- 정보통신망법 제28조제1항 제2호부터 제5호까지의 조치의무 위반에 대하여 과태료 부과 규정이 추가되었습니다.

※ (과태료 추가 사항) 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치･운영(제2호), 접속기록의 위조･변조 방지를 위한 조치(제3호), 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치(제4호), 백신 소프트웨어의 설치･운영 등 컴퓨터바이러스에 의한 침해 방지조치(제5호)

◎ 벌칙 및 행정처벌 ◎