개인정보에 대한 접근권한은 최소한으로

Q. 고객모집 영업을 위해서 본사 외에 대리점, 위탁점에도 개인정보처리시스템 접속을 허용하려고 합니다. 접근권한을 부여할 때 지켜야 할 기준은 무엇이 있나요?

A. 사업자는 개인정보를 취급하는 자를 최소한으로 제한하여야 합니다. 특히 개인정보처리시스템에 대한 접근권한은 업무수행에 필요한 최소한의 범위로 업무담당자에 따라 차등 부여하여야 합니다.

 

대리점, 위탁점에 개인정보처리시스템에 대한 접근권한을 부여하는 경우에도 업무의 성격에 따라 반드시 필요한 범위 내에서 최소한의 자에게 접근권한을 부여해야 합니다.

그러나, 현실에서는 업무상의 편리, 보안의식 미흡으로 누구에게나 개인정보처리시스템에 접근을 허용해 놓은 경우가 많습니다. 동일한 계정으로 대리점 직원 모두가 접속하여 업무를 처리하는 거죠. 사실 일선에서는 고객상담, 업무처리 등 각종 업무를 몇몇 직원이 모두 처리해야 되는데, 일일히 별도 계정을 발급하고, 업무 권한 별로 접근 권한을 달리 설정하는 일은 말처럼 쉽지 않죠.

그러다, 보니 나중에 직원에 의해 개인정보가 유출되는 사고가 발생한 경우에도 누구에 의해 유출되었는지 확인이 어려운 책임추적성 통제 위험이 발생하게 됩니다.



<정보통신망 이용촉진 및 정보보호 등에 관한 법률>

제28조 (개인정보의 보호조치) ② 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.


<사업자의 개인정보 보호조치 기준 (제정 2010.12.30. 행정안전부 고시 제2010-86호)>

제9조(접근권한, 인증 및 계정관리) ① 사업자는 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여 하여야 한다.
 

② 사업자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우에는 지체없이 접근권한을 변경 또는 말소하여야 하며, 주기적으로 접근권한을 관리하여야 한다.
 

③ 사업자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관하여야 한다. 


[개인정보 취급자의 제한]

사업자는 개인정보 취급자를 최소한으로 제한하여야 합니다. 이는 개인정보에 대한 접근권한이 무분별하게 부여됨에 따라 해당 직원에 의해 개인정보의 접근 및 유출, 오∙남용이 발생하는 것을 방지하기 위한 취지입니다.

개인정보 취급자의 전보, 퇴직 등으로 인사이동이 발생한 경우에 그 사람이 보유하고 있던 접근권한에 대한 관리가 즉시 이루어지지 않으면 예기치 않은 불법적 접근∙침해가 발생할 우려가 있습니다. 따라서 인사이동이 있는 경우에는 그 사람이 보유하고 있는 접근권한을 지체없이 변경 또는 말소해야 합니다. 개인정보 취급자의 인사이동에 따른 접근권한 관리를 보다 효율적으로 처리하기 위해서는, 업무인수 인계서 또는 퇴직 점검표 등에 개인정보처리시스템 접근권한 관리 항목을 반영 하고 확인을 받는 것이 좋습니다.

외국의 경우에는 퇴직결정이 나게 되면 회사의 보안관리 담당직원이 퇴직자에게 붙어 모든 계정권한을 말소하고 사무실 정리과정에서 회사 시스템에 권한 없이 접속하지 않는 등 회사 밖으로 나갈 때 까지 따라다니며 관리하는 경우도 있다고 합니다.

또한, 사업자는 개인정보 처리시스템에 대한 접근권한 부여, 변경, 말소에 대한 내역을 기록하고, 그 기록을 최소한 5년간 보관하여야 합니다. 이는 책임추적성을 위한 것으로 사고에 대비하여 사고 원인을 찾을 수 있도록 하기 위함입니다.


[관련 위반 사례]

○○통신사업자는 본사 및 대리점의 직원에 대해 개인정보처리시스템에 대한 접근권한을 제한없이 부여하여 왔으며, 위탁영업점(대리점)의 직원 A는 이를 악용하여 사전 승인 없이 개인정보를 임의로 열람∙조회∙출력 

개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)