개인정보 물리적인 접근 제한 조치를 하려면

Q. 고객을 대상으로 이벤트를 진행하고 있는데, 개인정보가 포함된 응모권을 사무실에 놔두고 있습니다. 이렇게 개인정보 자료를 보관해도 특별한 문제는 없는지요?

A. 사업자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관장소에 대한 별도의 출입통제 절차를 수립하여야 하며, 접근기록을 보관하여야 합니다.

 

이벤트 응모권 등 개인정보가 기재된 자료∙서류는 사무실 내의 별도의 장소에 보관하고 출입통제를 하거나, 최소한 잠금장치를 마련하여 보관하는 등 물리적인 접근방지 조치를 취하여야 합니다.


<정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙>

제9조 (개인정보의 보호조치) ① 법 제28조제1항 및 제67조제1항에 따른 개인정보의 안전성 확보에 필요한 관리적 조치는 다음 각 호와 같다.
 

3. 개인정보의 안전한 보관을 위한 잠금장치 등 물리적 접근방지 조치 


<사업자의 개인정보 보호조치 기준 (제정 2010.12.30. 행정안전부 고시 제2010-86호)>

제6조(물리적 접근 제한) ① 사업자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소에 대한 별도의 출입통제 절차를 수립하여야 하며 접근기록을 보관 하여야 한다.
 

② 사업자는 개인정보가 포함된 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다. 



[물리적 접근제한 조치]

개인정보를 취급하는 사업자는 그 개인정보를 시스템에 보관하거나 또는 문서, 출력물 등으로 보관하는 경우도 많습니다. 따라서 개인정보처리시스템에 대한 전산적 접근통제 외에, 이러한 물리적 보관 장소에 대해서도 접근제한 조치를 취할 필요가 있습니다. 

물리적 보관 장소에 대해서는 잠금장치 등이 마련되어야 하고, 사업장에 출입하는 절차와는 별도의 출입통제 절차가 마련되어야 합니다. 즉, 개인정보를 물리적으로 보관하는 장소에 출입할 수 있는 권한을 부여받은 직원만이 출입이 가능하도록 해야 하며, 그 외에는 비록 직원이라도 출입을 허용해서는 안됩니다.

어느정도 규모가 있는 회사의 경우에는 서버 등 전산시스템을 별도 공간에 마련하고 인가된 사람만 출입할 수 있도록 하는 등 조치를 하겠지만, 작은 소기업에서는 물리적인 공간까지 별도 마련하여 접근통제 하기가 쉽지는 않습니다.

그러나 최소한의 조치로, 개인정보가 담긴 문서는 서랍, 캐비넸 등에 보관하고 잠금장치를 통해 관리하고, NAS 등 소규모 스토리지를 사용하면서 개인정보 DB를 관리하고 있다면 해당 장비는 함부로 가져갈 수 없도록 고정한다던지 하는 방법을 활용할 수 있겠습니다.


[보조저장매체의 보관]

최근에는 USB 메모리, 외장하드디스크와 같은 이동식 보조저장매체를 사용하여 업무를 처리하는 경우가 늘어나면서, 이러한 이동식 보조저장매체를 통한 개인정보 유출이 새로운 문제가 되고 있습니다.

사업자는 개인정보가 포함된 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 합니다.

특히, 직원들이 개인적으로 사용하는 외장하드, USB 등이 문제가 될 수 있습니다. 큰 회사의 경우에는 회사내에서는 개인용 저장매체를 반입할 수 없거나, 인가되지 않은 저장매체는 컴퓨터에서 사용이 불가하도록 프로그램을 설치하는 방법을 이용하기도 합니다.

작은 기업의 경우에는 설비투자가 어려운 경우에는 관리자가 적극적으로 직원들을 관리 하는 방법밖에는 없습니다.


[벌칙]

물리적인 접근제한 조치 등 기술적∙관리적 조치를 하지 아니하여 이용자의 개인정보를 분실∙도난∙누출∙변조∙

훼손한 자에 대해서는 2년 이하의 징역 또는 1천만원 이하의 벌금 부과


[관련 위반 사례]

○○정유사의 직원 A는 고객 개인정보를 아무런 통제절차 없이 외장형 하드디스크, USB 메모리 등에 편집∙저장한 뒤 외부로 유출 




개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)