개인정보 보호법 시행령 제48조의2

IT위키

내용

제48조의2(개인정보의 안전성 확보 조치에 관한 특례)
  • ① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 제30조에도 불구하고 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.
    • 1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립ㆍ시행
  • 가. 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항
  • 나. 정보통신서비스 제공자등의 지휘ㆍ감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 “개인정보취급자”라 한다)의 교육에 관한 사항
  • 다. 제2호부터 제6호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항
    • 2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치
  • 가. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행
  • 나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영
  • 다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다]
  • 라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영
  • 마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치
    • 3. 접속기록의 위조ㆍ변조 방지를 위한 다음 각 목의 조치
  • 가. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인ㆍ감독
  • 나. 개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관
    • 4. 개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위한 다음 각 목의 조치
  • 가. 비밀번호의 일방향 암호화 저장
  • 나. 주민등록번호, 계좌정보 및 제18조제3호에 따른 정보 등 보호위원회가 정하여 고시하는 정보의 암호화 저장
  • 다. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버 구축 등의 조치
  • 라. 그 밖에 암호화 기술을 이용한 보안조치
    • 5. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신ㆍ점검 조치
    • 6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치
  • ② 보호위원회는 정보통신서비스 제공자등이 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.
  • ③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.
  • [본조신설 2020. 8. 4.]
  • [종전 제48조의2는 제48조의14로 이동 <2020. 8. 4.>]

해설

관련 판례