개인정보의 안전성 확보조치 기준 안내서 정리 part2_3장

출처: https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=G010030020&nttId=11641

 

- 이 기준은 「개인정보 보호법」 제29조 및 같은 법 시행령 제16조 제2항, 제30조, 제30조의 2에 근거한다.

- 개인정보처리자는 개인정보를 처리할 때 이 기준을 준수하여야 한다.

- 이 기준에 따른 안전성 확보조치를 하지 아니한 자 등에게는 관련 법률에 따라 과징금, 과태료를 부과할 수 있다.

---

제3장 공공시스템운영기관 등의 개인정보 안전성 확보조치

제14조(공공시스템운영기관의 안전조치 기준 적용)

① 다음 각 호의 어느 하나에 해당하는 개인정보처리시스템 중에서 개인정보보호위원회(이하 “보호위원회”라 한다)가 지정하는 개인정보처리시스템(이하 “공공시스템”이라 한다)을 운영하는 공공기관(이하 “공공시스템 운영기관”이라 한다)은 제2장의 개인정보의 안전성 확보 조치 외에 이 장의 조치를 하여야 한다.

  1. 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 단일 시스템을 구축하여 다른 기관이 접속하여 이용할 수 있도록 한 단일접속 시스템으로서 다음 각 목의 어느 하나에 해당하는 경우

    가. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템

    나. 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템

    다. 정보주체의 사생활을 현저히 침해할 우려가 있는 민감한 개인정보를 처리하는 시스템

  2. 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 표준이 되는 시스템을 개발하여 다른 기관이 운영할 수 있도록 배포한 표준배포 시스템으로서 대국민 서비스를 위한 행정업무 또는 민원업무 처리용으로 사용하는 경우

  3. 기관의 고유한 업무 수행을 지원하기 위하여 기관별로 운영하는 개별 시스템으로서 다음 각 목의 어느 하나에 해당하는 경우

    가. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템

    나. 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템

    다. 「주민등록법」에 따른 주민등록정보시스템과 연계하여 운영되는 시스템

    라. 총 사업비가 100억원 이상인 시스템

② 제1항에도 불구하고 보호위원회는 다음 각 호의 어느 하나에 해당하는 개인정보처리시스템에 대하여는 공공시스템으로 지정하지 않을 수 있다.

  1. 체계적인 개인정보 검색이 어려운 경우

  2. 내부적 업무처리만을 위하여 사용되는 경우

  3. 그 밖에 개인정보가 유출될 가능성이 상대적으로 낮은 경우로서 보호위원회가 인정하는 경우

 

제15조(공공시스템운영기관의 내부 관리계획의 수립·시행)

공공시스템운영기관은 공공시스템 별로 다음 각 호의 사항을 포함하여 내부 관리계획을 수립하여야 한다.

  1. 영 제30조의2제4항에 따른 관리책임자(이하 “관리책임자”라 한다)의 지정에 관한 사항

  2. 관리책임자의 역할 및 책임에 관한 사항

  3. 제4조제1항제3호에 관한 사항 중 개인정보취급자의 역할 및 책임에 관한 사항

  4. 제4조제1항제4호부터 제6호까지 및 제8호에 관한 사항

  5. 제16조 및 제17조에 관한 사항

 

제16조(공공시스템운영기관의 접근 권한의 관리)

① 공공시스템운영기관은 공공시스템에 대한 접근 권한을 부여, 변경 또는 말소하려는 때에는 인사정보와 연계하여야 한다.

② 공공시스템운영기관은 인사정보에 등록되지 않은 자에게 제5조제4항에 따른 계정을 발급해서는 안된다. 다만, 긴급상황 등 불가피한 사유가 있는 경우에는 그러하지 아니하며, 그 사유를 제5조제3항에 따른 내역에 포함하여야 한다. ③ 공공시스템운영기관은 제5조제4항에 따른 계정을 발급할 때에는 개인정보 보호 교육을 실시하고, 보안 서약을 받아야 한다.

④ 공공시스템운영기관은 정당한 권한을 가진 개인정보취급자에게만 접근 권한이 부여· 관리되고 있는지 확인하기 위하여 제5조제3항에 따른 접근 권한 부여, 변경 또는 말소 내역 등을 반기별 1회 이상 점검하여야 한다.

⑤ 공공시스템에 접속하여 개인정보를 처리하는 기관(이하 “공공시스템이용기관”이라 한다)은 소관 개인정보취급자의 계정 발급 등 접근 권한의 부여·관리를 직접하는 경우 제2항부터 제4항까지의 조치를 하여야 한다.

 

제17조(공공시스템운영기관의 접속기록의 보관 및 점검)

① 공공시스템 접속기록 등을 자동화된 방식으로 분석하여 불법적인 개인정보 유출 및 오용·남용 시도를 탐지하고 그 사유를 소명하도록 하는 등 필요한 조치를 하여야 한다.

② 공공시스템운영기관은 공공시스템이용기관이 소관 개인정보취급자의 접속기록을 직접 점검할 수 있는 기능을 제공하여야 한다.

 

제18조(재검토 기한)

개인정보보호위원회는 「행정규제기본법」 제8조 및 「훈령·예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2023년 9월 15일을 기준으로 매 3년이 되는 시점(매 3년째의 9월 14일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.

부칙 <제2025-9호, 2025. 10. 31.> 이 고시는 발령한 날부터 시행한다. 다만, 제4조제1항 제12호 및 제13호, 제5조제1항 및 제6항, 제6조제2항, 제8조제1항 및 제2항은 발령한 날의 1년 후부터 시행한다.