개인정보의 암호화 기준 (개보법 및 망법)

개인정보에 대한 암호화 기준 및 참고사항을 정리해봅니다.

■ (개보법) 개인정보의 안전성 확보조치 기준  <<보기>>

제7조(개인정보의 암호화)

① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.

※ 고유식별정보 암호화저장 의무: 인터넷구간, DMZ 저장시

④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.

1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
▶(행자부고시 준수필요: 개인정보 위험도 분석기준)

※ 위험도분석은 개인정보처리시스템에 적용하고 있는 개인정보보호를 위한 수단과 유출시정보주체의 권리를 침해할 위험의 정도를 「위험도 분석 기준」을 이용하여 분석하는 행위로서 개인정보파일 단위로 분석하고 결과보고서를 작성힘.  「위험도 분석 기준」은 내부망에 고유식별정보를 암호화하지 않고 저장하는 경우 개인정보처리자가 이행하여야 할 최소한의 보호조치 기준으로 어느 하나의 항목이라도 ‘아니오’에 해당하는 경우 암호화 대상임

⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.

안전한 암호화알고리즘:  SEED, ARIA-128이상, LEA(국내), AES-128이상
안전한 일방향암호화알고리즘: SHA-256이상

⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.

⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.

MS오피스, 한컴오피스, 알집 등에서 제공하는 암호기능 활용 가능

⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.

 

■ (망법) 개인정보의 기술적·관리적 보호조치 기준 <<보기>>

제6조(개인정보의 암호화)

① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.

② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리듬으로 암호화하여 저장한다.

1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호
5. 신용카드번호
6. 계좌번호
7. 바이오정보

③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.

1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능

④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화해야 한다.

 

개인정보시스템에 대한 접근권한 관리

 

● (개보법) 개인정보의 안전성 확보조치 기준

– 제5조(접근 권한의 관리)

① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.

② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.

③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.

④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.

⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.

⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다

– 제6조(접근통제)

① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응

② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.

③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.

④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.

⑤개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.

⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.

⑦ 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.

⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다.

 

● (정통망법) 개인정보의 기술적·관리적 보호조치 기준

– 제4조(접근통제)

① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다.

② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.

③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.

④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.

⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리하여야 한다.

⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.

⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용·운용하여야 한다.

1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

⑨ 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.

⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.

 

개인정보영향평가(PIA) 수행 절차 요약

27개인정보영향평가의 전체 수행절차는 아래 표와 같습니다.  이글에서 소개하는 도표와 그림들은 KISA에서 발간한 개인정보영향평가 수행안내서에서 발췌한 것임을 밝힙니다. (2016.04)

※ 개인정보영향평가는 새로운 시스템을 구축하는 경우에 발생할 수 있는 개인정보 침해요인을 사전에 분석하는 것이므로 개발초기단계 즉 개발에 대한 설계조정이 가능한 시점에 수행되어야 한다.

※ 영향평가 수행결과 개선사항에 대한 이행여부는 시스템 구축사업의 테스트단계에서 점검하는 것이 바람직함

※ 영향평가 의무수행 대상 여부를 확인할 때는 개인정보보호법 시행령 제 35조에  근거
① 5만명 이상의 정보주체에 관한 민감/고유식별정보 포함 여부
② 내/외부의 다른 개인정보파일과 연계 시 50만명 이상의  개인정보 포함 여부
③ 구축ㆍ운용 또는 변경 대상시스템에 100만명 이상의 개인정보 포함 여부
④  영향평가 받은 후 개인정보파일의 운용체계를 변경하려는 경우

1. 영향평가계획 수립

1-1. 영향평가 수행계획서 작성

평가과정에 필요한 사항들을 정리하고 영향평가팀 내부적으로 공유하기위해 세부적인 평가계획을 수립한다.

1-2. 영향평가팀 구성 (역할배분)

영향평가팀은 개인정보보호책임자, 사업주관부서, 평가기관, 시스템개발부서, 자문위원 등으로 구성할 수 있으며 영향평가 수행을 위한 역할과 업무배분을 통해 수행됨
-> 내부인력뿐 아니라 업무위탁을 하고 있는 경우에는 위탁업체 직원까지 영향평가팀에 포함 (평가수행인력은 프리랜서, 타사인력(50%)도 활용 가능

1-3. 영향평가팀 운영계획서 작성

2. 평가자료 수집

대상사업 및 개인정보보호 관련 기관 내·외부 정책환경 분석을 위한 자료 수집

개인정보보호 관련 법규 및 상위기관의 지침과 해당기관 내부규정 현황을 파악하고
당해 사업을 이해하고 분석하기 위해 필요한 자료 등 취합 및 분석

3. 개인정보 흐름분석

대상사업에서 처리되는 개인정보 흐름에 대한 파악을 위해 정보시스템 내 개인정보
흐름 분석

① 개인정보 처리업무 현황 분석 후 개인정보 영향도 등급표, 개인정보 처리 업무표 및 업무흐름도 작성
② 개인정보 처리 업무표를 기반으로 개인정보 흐름표 작성
③ 개인정보 흐름표를 기반으로 개인정보 흐름도 작성
④ 기관 내 네트워크 및 보안시스템 구조 등을 분석하여 정보시스템 구조도 작성

3-1. 개인정보 처리업무 현황 분석

개인정보처리 업무표 작성

개인정보 업무 흐름도 작성

3-2. 개인정보 흐름표 작성

분석된 업무흐름을 기반으로 개인정보 처리업무별로 개인정보의 수집, 보유, 이용·제공, 파기로
구분하여 개인정보 흐름을 분류

※개인정보 흐름표에는 업무명을 기준으로 개인정보의 수집, 보유, 이용·제공, 파기에 이르는 LifeCycle별 현황을 기재하여 개인정보 흐름을 한 눈에 이해할 수 있도록 작성

 

3-3. 개인정보 흐름도 작성

작성된 개인정보 흐름표를 기반으로 수집, 보유, 이용·제공, 파기되는 개인정보 처리단계 별로
흐름을 한 눈에 파악할 수 있도록 ‘개인정보 흐름도’를 작성

※영향평가대상사업 또는 시스템전체의 개인정보 흐름을 총괄적으로 표현한 ‘총괄 개인정보
흐름도’를 작성하고 개별업무별로 ‘업무별 개인정보 흐름도’를 함께 작성

1) 총괄흐름도 작성

2) 업무별 흐름도 작성

3-4 정보시스템 구조도 작성

– 방화벽, 침입탐지시스템 및 전송데이터 암호화, DB 암호화 등 기술적·물리적 보안 등 보안시스템
현황을 분석 가능하도록 상세히 작성하고 인터넷 구간, DMZ 구간, 외부 연계 구간, 내부망 영역 등 네트워크 성격에 따른 구분이 표시

※ 네트워크 접근제어의 미흡, 서비스 거부 공격에 대한 방어, 네트워크 가용성 확보 미흡 등과 같이 시스템 설계상 내재된 개인정보 침해요인을 분석, 위험도 산정 등에 활용

 

개인정보 처리시스템에 대한 보호 대책의 적정성을 검토하고 효과적인 침해 요인 분석 및
위험도 산정이 가능하도록 ‘정보보호 시스템 목록’을 작성  

 

4.  개인정보 침해요인 분석

개인정보의 흐름에 따른 개인정보 조치사항 및 계획 등을 파악하고 개인정보 침해
위험성 도출

① 평가기준 수립 및 개인정보보호 조치사항 파악을 위한 평가항목 작성
② 자료 분석, 현장 및 시스템 실사, 담당자 인터뷰 등을 통해 개인정보보호 조치
현황 파악
③ 파악한 조치 현황을 기반으로 개인정보 침해요인 도출
④ 도출된 개인정보 침해요인에 대한 위험도 산정

4-1. 평가항목 구성

5개 영역 25개 세부 평가분야
① 대상 기관의 개인정보보호 관리체계
② 대상 시스템의 개인정보보호 관리체계
③ 개인정보 처리단계별 보호조치
④ 대상 시스템의 기술적 보호조치
⑤ 특정 IT기술 활용 시 개인정보보호

4-2 개인정보 보호조치 현황파악(항목별 평가)

4-3 개인정보 침해요인 도출

개인정보 흐름 분석 및 개인정보보호 조치 현황에 대한 평가결과를 기반으로 개인정보 침해
요인 분석

※  ‘이행(Y)’ 및 ’해당없음(N/A)’로 평가된 항목은 침해요인이 없는 것으로 판단하고  ‘미이행(N)’ 및 ‘부분이행(P)’로 평가된 항목은 평가결과를 근거로 구체적인 침해요인 분석 및 도출 필요

4-4  개인정보 위험도 산정

도출된 침해요인은 모두 개선하는 것이 원칙이나, 기관내 자원이 부족한 경우 위험도분석 결과에 따라 개선사항의 우선 순위를 정하여 선택적 조치 가능 (법적 의무사항은 필수적으로 조치 필요)

위험도 = 개인정보 영향도 + (침해요인 발생가능성 X 법적 준거성) X 2

 

5. 개선계획 수립

개인정보 침해 요인별 위험도 분석에 기반하여, 위험요소를 제거하거나 최소화하기 위한 개선방안 및 개선계획을 수립

개선방안은 위험도의 우선순위에 따라 해당기관이 수용 가능한 수준을 정하여 단기, 중·장기로 구분하고, 수행 시기는 가능한 구체적으로 제시하고  개선방안의 실질적인 이행을 위하여 담당부서 및 담당자를 명확히 지정

5-1 개선방안 도출

도출된 개선방안을 기반으로 대상기관 내 보안조치현황, 예산, 인력, 사업 일정 등을 고려하여 개선계획 수립하고 도출된 개선계획은 위험평가 결과를 참고하여 위험도가 높은 순서의 개선방안을 먼저 실행하도록 개선계획표 작성

침해요인 도출 단계와의 연계성 및 추적성을 확보할 수 있도록 개선과제와 관련된 평가항목 번호 (질의문 코드) 표기

5-2 개선계획 수립

도출된 개선사항에 대하여 실질적인 개선이 가능하도록 상세 개선방안 제시

6. 영향평가서 작성

영향평가의 모든 과정 및 산출물을 정리하여 영향평가서 작성
영향평가결과를 사업완료 후 2개월 이내에 행정안전부 장관에게 제출해야 함

영향평가 추진경과 및 중간산출물 등의 내용을 정리하고 도출된 위험요소 및 개선계획 등 최종산출물들을 모두 취합하여 영향평가서를 작성함

※ 행정안전부는 개인정보보호위원회의 심의·의결을 거쳐 해당 사업에 대한 의견을 제시할 수 있음

7. 이행점검

개인정보 침해요인에 대한 조치내역을 확인

7-1  개선사항 반영여부 점검(개인정보파일 구축·운용 前)

시스템 구축이나 변경사업의 경우에는 테스트 단계에서 침해요인별 조치가 적절하게 수행
되었는지 점검(권고 사항)

영향평가 사업종료 후 영향평가 기관 사업 담당자가 사후 관리의 일환으로 개선 계획에 대한
이행 여부의 점검 가능

7-2  개선계획 이행 점검

영향평가서를 제출받은 공공기관의 장은 개선사항으로 지적된 부분에 대한 이행 현황을 영향평가서를 제출받은 날로부터 1년 이내에 행정자치부장관에게 제출(「개인정보 영향평가에 관한 고시」 제14조)

 

 

개인정보보호법 추진체계 (개인정보보호위원회,행안부)

개인정보보호법의 일원화된 운용을 위해 공공/민간분야의 운용체계를 아래와 같이 일원화하여 운영하고 있다.

보호위원회(심의/의결) – 행정안전부(총괄 집행) – 부처(소관 집행)

※ 예외적 적용사항
– 헌법기관(국회/법원/헌재/선관위):기본계획 및 시행계획의 수립시행 권한
– 방통위, 과학기술정보통신부: 정보통신분야에서의 개인정보보호관련 집행
– 금감위:  금융/신용 분야의 개인정보보호관련 집행

2016년 7월 25일 시행된 개정법에 의해 개인정보보호위원회의 총괄조정이 강화되어 개인정보보호위원회가 개인정보 침해요인 평가, 기본계획 수립·자료제출 진술요구권한과 분쟁조정위원회의 위원 임명(위촉)권한을 갖게 됨

■ 개인정보보호위원회

개인정보보호위원회는 법이 정하는 개인정보보호에 관한 사항을 심의·의결하기 위하여 대통령소속으로 설립된 독립적인 감독기구로 법 제 7조가 정한바에 따라 그 권한에 속하는 업무를 독립하여 심의·의결함

1. 개인정보보호위원회의 구성
– 대통령이 위촉한 위원장 1명 (공무원이 아닌 사람)
– 대통령이 임명하거나 위촉한 15명이내의 위원
(상임위원은 정무직 공무원으로 임명)
※ 위원장과 위원의 임기는 3년, 1차에 한하여 연임 가능
※ 위원장이 필요하다고 인정하거나 제적 위원 1/4이상의 요구가 있을 때 위원회가 소집되며 재적위원 과반수 출석과 출석위원 과반수 찬성으로 의결함

– 심의·의결사항에 대해 전문적으로 검토하기 위하여 분야별 전문위원회를 둘 수  있음
– 사무지원을 위해  사무국을 운영

2. 개인정보보호위원회의 주요 업무
– 기본·시행계획의 심의·의결
– 개인정보보호와 관련된 정책, 제도 개선, 권고 등에 대한 심의·의결
– 개인정보 오·남용 감시
– 이행실태 조사
– 공공기관 간의 의견조정
– 법령해석·운용에 대한 심의·의결
– 연차보고서의 작성·제출
– 영향평가결과에 대한 의견제시
– 개선방안 연구
– 개인정보 침해요인 평가
– 기본계획 수립·자료제출 진술요구 권한
– 분쟁조정위원회의 위원 임명(위촉) 권한

3. 개인정보보호 기본 계획의 수립
개인정보보호위원회는 개인정보 보호와 정보주체의 권익보장을 위해 3년마다 아래 내역이 포함된 개인정보 기본계획을 관계 중앙행정기관장과 협의하여 수립하고 있음

– 개인정보 보호의 기본목표와 추진방향
– 개인정보  호호와 관련된 제도 및 법령의 개선
– 개인정보 침해 방지를 위한 대책
– 개인정보 보호 자율규제의 활성화
– 개인정보 보호 교육·홍보의 활성화
– 개인정보 보호를 위한 전문인력의 양성
– 그밖의 개인정보 보호를 위하여 필요한 사항

※ 매년 12월 31일까지 차차년도 시행계획의 작성방법 등에 대한 지침을 마련하여 관계 중앙행정기관장에게 통보해야 함
※ 관계중앙행정기관장은 지침에 따라 기본계획중 차년도에 시행해야할 소관분야의 시행계획을 작성하여 매년 2월말까지 보호위원회에 제출해야 함
※ 보호위원회는 시행계획을 4월30일가지 심의·의결해야 함

■ 행정안전부

① 개인정보관리 수준 및 실태파악을 위한 조사를 실시할 수 있음
②  시행계획의 효율적인 수립,추진을 위해 자료제출이나 의견의 진술을 요구할 수  있음
– 개인정보처리자가  처리하는 개인정보 및 개인정보파일의 관리와 영상정보처리기기의 설치,운영에 관한  사항
– 개인정보 보호책임자의 지정여부에 관한  사항
– 개인정보의 안전성확보를 위한 기술적,관리적,물리적 조치에 관한  사항
– 정보주체의 열람, 개인정보의 정정·삭제·처리정비의 요구 및 조치현황에 관한 사항
– 그밖의 법령의 준수에 관한 사항 등 기본계획의 수립·추진을 위해 필요한 사항
③ 표준개인정보보호 지침을 정하여 개인정보처리자에게 준수를 요구할 수 있음
④ 개인정보처리자의 자율적인 개인정보보호활동을 촉진하고 지원하기 위해 다음의 필요한 시책을 마련해야 함
– 개인정보 보호에 관한 교육,홍보
– 개인정보 보호와 관련된 기관,단체의 육성 및 지원
– 개인정보 보호 인증마크의 도입,시행 지원
– 개인정보 처리자의 자율적인 규약의 제정, 시행 지원
⑤ 공공기관과 민간분야의 개인정보를 총괄 집행
⑥ 행정안전부의 주요 업무
– 표준개인정보보호지침의 제정
– 개인정보처리방침 작성지침의 제정,권고
– 개인정보열람창구 구축,운영
– 개인정보유출신고제도 운영
– 개인정보파일 등록 접수 및 현황 공개
– 자율규제 촉진 및 지원 시책
– 개인정보영향평가 관리,운영
– 법 위반행위 조사, 시정권고 및 명령, 과태료 부과

■ 기타 부처

각 소관부야의 개인정보처리와 관련된 개인정보 보호치침을 정하여 그 준수를 권장하고 개인정보 시행계획을 수립,시행함

※ 소관법률에 따라 소관분야의 개인정보처리실태 개선을 위한 권고 및 시정조치, 감독기능 수행
– 소관분야 법령등의 개선추지 평가
– 소관분야 자율규제 촉진 및 지원
– 법 위반행위 조사, 시정권고 및 명령, 과태료 부과

개인정보 분쟁조정 위원회

개인정보보호위원회의 산하에 있으며 개인정보침해와 관련된 분쟁을 당사자 사이의 합리적이고 신속하게 해결하기 위한 기구로 심의를 통하여 손해배상을 결정하며 개인정보피해예방 활동, 법제도 개선 건의, 시정권고등을 통해 국민의 권리 보호 및 건전한 개인정보보호 이용환경 구축 등의 업무를 담당

 개인정보 침해신고 센터

개인정보침해와 관련된 신고접수와 상담을 수행하고 신고된 개인정보처리자의 법률위반 여부를 조사하여 후속조치 지원

개인정보 침해의 유형 및 요인

개인정보에 대한 사회적 가치가 증가됨에 따라서 개인정보의 유출 관련 침해사건이 지속적으로 늘어나고 있습니다.   개인정보가 인격권의 성격과 더불어 재산적 성격을 가진다는 점에서 개인정보의 유출 피해는 정보주체의 정신적·경제적 피해를 양산하고 있으며  민간·공공분야에서 수집,처리되는 과정에서 유출되게 될 경우 기업/정부 등 국가 전반에 악영향을 끼칠 수 있습니다.

■ 주체별 유출에 따른 침해유형

1. 정보주체(개인):  정신적 피해, 명의도용/보이스피싱에 의한 금전적 손해, 범죄에 노출
2. 기업: 이미지 실추, 소비자단체 불매운동, 집단 손해배상 시 기업경영에 타격
3. 정부: 국가브랜드 하락, 전자정부 신뢰성 하락, IT산업 수출애로

■ 개인정보의 피해 유형

1. 1차 피해:  수집,이용 등 처리과정에서 부주의,실수,악의적 목적으로 개인정보 유출
2. 2차 피해: 명의도용 통한 회원가입, 개인정보 불법유통, 불법스팸, 보이스피싱, 스미싱 등

■ 개인정보의 침해 요인

1. 주체별 침해요인
① 정보주체:  개인이 정보를 생성하고 공유하는 웹 2.0 환경은 정보의 공유와 확산이 증가하여 개인정보의 노출로 이어지기 쉬움.  이력서,주소록 등의 민감정보가 포함된 파일이 정보주체의 부주의로 타인에게 노출되고 공유되기도 함 (사례: P2P 등 이용시 발생하기 쉬움)
② 개인정보처리자:
민간부문: 활발한 개인정보의 이용에도 불구하고 개인정보보호에 대한 인식이 부족하고 중분한 보호조치가 취해지지 않아 개인정보가 인터넷상에 노출되는 사례가 많음.  가입자 유치를 하는 업체가 복잡한 하위 유통망을 운영하는 경우 규모가 영세한 영업점을 통해 개인정보 유출이 빈번히 발생함. 이외에도 내부직원에 의한 개인정보유출 및 개인정보 불법수집 및 제공 등도 발생하고 있음
공공부문:  정보통신기술활용한 서비스 고도화 및 정보활용이 증가됨에 따라 개인정보의 수집, 활용 형태가 민간기업과 유사하게 증가하고 있음.  민원인 부주의에 의한  침해, 홈페이지 설계 오류로 인한 침해, 업무담당자의 부주의 등에 의해 침해사고 발생.  공공기관의 경우 정보주체의 동의없이 개인정보를 처리하는 경우가 민간보다 현저히 많다는 점에서 철저한 개인정보 관리가 요구됨

2. 시스템 영역별 침해요인
① PC 등 개인 단말기: 
  기업,공공기관의 내부자가 취급하는 개인단말기의 경우, 이메일, 메신저 등의 정보서비스 활용 시 악성코드 감염으로 취약점이 발생하거나 악성프로그램이 노출 가능
사례) 해킹메일읕 통헤 시스템 관리자 PC가 악성코드에 감염 → 공격자가 관리자 계정/패스워드 획득하여 서버에 접근, 대량의 고객정보 획득 가능 
② 네트워크 영역: 
개인정보가 전송되는 인터넷망 등 전송구간에 대한 암호화조치 미비로 개인정보가  전송중에 패킷 스니핑, 패킷 가로채기(MITM) 등을 통해 공격자에게 노출 가능
③ 서버/DB 영역:  서버 및 DB에 저장된 개인정보에 대한 암호화 미비, 패치관리 미흡, 설계 오류, 접근제어 미흡으로 해커나 접근권한이 없는 자에게 고객DB가 노출, 탈취될 수 있음.  DB와 연동되는 웹서버를 해킹하여 DB접근권한 정보를 획득하거나 DB설계 오류로 인해 접근통제가 미흡한 내부 웹페이지를 통해 타인정보가 열람될 수 있음