내부 직원의 개인정보 유출을 방지하려면

Q. 내부 직원이 개인정보처리시스템에서 개인정보를 유출하는 행위를 방지하기 위해서는 어떤 조치가 필요한가요?

A. 개인정보를 다루는 내부 직원에 의한 개인정보 유출을 완벽하게 차단할 수는 없으나 가장 기본적이 조치로 접근통제 정책과 책임추적성 통제 정책 입니다.

최소한 개인정보처리시스템의 접속기록의 보존 및 위조∙변조 방지를 위한 조치를 취하여야 합니다. 


<정보통신망 이용촉진 및 정보보호 등에 관한 법률>

제28조 (개인정보의 보호조치) ① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적ㆍ관리적 조치를 하여야 한다.
 

3. 접속기록의 위조ㆍ변조 방지를 위한 조치 


<정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙>

제9조(개인정보의 보호조치) ② 법 제28조제1항 및 제67조제1항에 따른 개인정보의 안전성 확보에 필요한 기술적 조치는 다음 각 호와 같다.
 

3. 접속기록의 위조ㆍ변조 방지를 위한 조치 


<사업자의 개인정보 보호조치 기준 (제정 2010.12.30. 행정안전부 고시 제2010-86호>

제12조(접속기록의 위∙변조방지) ① 사업자는 개인정보취급자가 개인정보처리 시스템에 접속한 기록을 월 1회 이상 정기적으로 확인∙감독하여야 하며, 최소 6개월 이상 접속기록을 보존∙관리하여야 한다.
 

② 개인정보취급자의 접속기록이 위∙변조되지 않도록 해당 접속기록을 별도의 물리적인 저장 장치에 보관하고 정기적으로 백업을 수행하여야 한다.


[접속기록 위∙변조 방지조치 취지]

개인정보의 대량 유출사고는 해킹과 같은 외부의 공격으로 발생하는 경우도 있으나, 내부의 직원(본사 직원, 대리점∙영업점 직원 등)에 의해 유출되는 경우도 상당수 발생하고 있습니다. 

그러나 만일 내부 직원의 개인정보처리시스템 접속 현황에 대한 기록이 없거나 위∙변조되었다면, 실제 내부 직원에 의한 개인정보 유출이 발생했다 하더라도 유출사고의 원인조차 파악할 수 없게 됩니다.

 

- 따라서 개인정보처리시스템의 접속기록를 보존하고 해당 접속기록이 위∙변조 되지 않도록 관리하는 것은 내부 직원에 의한 악의적인 접근∙유출시도를 예방하고, 사고 발생시 사고원인을 파악할 수 있는 중요한 수단이 됩니다.

즉, 책임추적성을 위한 조치이고, 법률은 개인정보처리시스템에 대한 접속기록을 보존하고 위∙변조 되지 않도록 조치를 취할 것을 규정하고 있습니다.


[접속기록 위∙변조 방지조치 세부 내용]

사업자는 개인정보 취급자(직원 등)가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보존∙관리해야 하며, 월 1회 이상 정기적으로 확인∙감독하여야 합니다.

 

- 접속기록의 항목에는 개인정보 취급자의 식별정보, 이용자(고객)의 식별정보, 접속일시, 접속지, 수행업무 등이 포함되어야 합니다.

 

[벌칙]

접근기록의 위조∙변조 방지를 위한 조치 등 기술적∙관리적 조치를 하지 아니하여 이용자의 개인정보를 분실∙도난∙

누출∙변조∙훼손한 자에 대해서는 2년 이하의 징역 또는 1천만원 이하의 벌금 부과


[관련 위반 사례]

○○쇼핑몰은 고객 개인정보처리시스템 접속기록에 대한 보존∙관리 조치를 전혀 실시하지 않아, 내부직원이 직무수행상 필요한 경우가 아님에도 불구하고 단순 호기심 등으로 고객 개인정보 및 구매내역 등을 손쉽게 무단 열람

○○학원은 개인정보처리시스템에 대한 접속기록의 저장 공간이 부족하다는 이유로, 접속기록을 최소 6개월 간 보존해야 함에도 불구하고 단지 1개월간만 보관한 뒤 모두 파기 




개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)