[문서읽기] 가명정보 처리 가이드라인 - 4장 안전성 확보 조치

가명정보 처리 가이드라인 - 개인정보보호위원회

개인정보위원회

제 1장 가이드라인 개요
제 2장 가명처리 및 가명정보의 처리
제 3장 가명정보 결합 및 반출
제 4장 안전성 확보 조치

---

제 4장 안전성 확보 조치

 

1. 관리적 보호조치

개인정보처리자는 가명정보 또는 추가정보의 안전한 관리를 위하여 내부 관리계획의 수립, 수탁자 관리 및 감독 등의 관리적 보호조치를 하여햐 한다.

 

2. 기술적 보호조치

개인정보처리자는 가명정보 및 추가정보의 분리 보관, 접근권한 관리, 접근통제 및 접속기록의 보관 및 점검 등의 기술적 보호조치를 하여야 함

 

1. 추가정보의 분리보관: 추가정보를 가명정보와 분리해 별도로 저장, 관리하고 추가정보가 가명정보와 불법적으로 결합되어 재식별에 악용되지 않도록 접근권한을 최소화하고 접근통제를 강화하는 등의 조치를 적용해야 한다.

• 추가정보와 가명정보는 분리 보관을 원칙으로! 안된다면 DB테이블 분리 등의 논리적 분리도 가능 (다만 엄격한 접근통제 적용해야 함)

2. 접근권한의 분리: 접근 가능한 담당자를 가명정보 처리 업무 목적달성에 필요한 최소한의 인원으로 엄격하게 통제해야 하며, 접근권한도 업무에 따라 차등부여 해야한다.

• 인사이동 등으로 가명정보 처리자가 변경된 경우 바로 권한을 변경이나 말소해야 함
• 접근권한 기록을 기록하고 최소 3년간 보관해야 함
• 사용자 계정을 발급하는 경우, 각각 발급해야 하며 가명정보처리자, 추가정보처리자 등등과 공유되지 않아야 함
• 비밀번호 작성 규칙을 수립해 적용해야 함
• 처리권한이 있는 자만 접근할 수 있도록 계정정보 또는 비밀번호 일정횟수 이상 잘못 입력시 접근 제한등의 기술적 조치 필요함

3. 가명정보 처리 관련 기록 작성 및 보관: 개인정보처리자는 가명정보의 처리목적, 가명처리한 개인정보 항목, 가명정보의 이용내역, 제3자 제공 시 제공받는 자를 작성해 보관해야 함

3.     물리적 보호조치

가명정보 또는 추가정보의 안전한 관리를 위해 물리적 안전조치를 취해야 함

ex) 출입통제, 잠금장치

 

4.     정보주체의 권리보장

개인정보처리자는 보호법 제37조에 따라 정보주체가 자신의 개인정보에 대한 가명처리 정지를 요구하는 경우 이를 보장해야 함(정보주체의 개인정보 처리의 전부 또는 일부를 정지해야함)

---

해당 포스트는 가명처리 프로젝트 사전지식을 위해 가명정보 처리 가이드라인을 읽으며 개인적으로 요약한 포스팅입니다.