개인정보처리자 유형

IT위키

개인정보의 안전성 확보조치 기준 별표

제외 기준(요약)[편집 | 원본 편집]

개인정보의 안전성 확보조치 기준의 원본(아래 문단 참고)에는 각 유형별로 해당되는 안전조치 기준들이 나열되어 있다. 하지만 해당되는 수많은 기준들을 외우기 보단, 기본적으로 안전성 확보조치 기준을 모두 따른다고 보고, 영세한 개인정보처리자에게 제외되는 기준을 보는 것이 이해하기 편하다.

유형3(강화)는 안전성 확보조치 기준이 전부 해당되는 경우이므로 따로 눈여겨 볼 필요가 없다. 큰 틀에서 유형1(완화)은 정말 소규모 회사나, 자영업자 수준의 조직이다. 개발·구축비용이 소모되는 것들과 암호키 관리, 위험도 분석, 재해·재난, 백업·복구 등 고도화된 관리체계들이 제외된다. 그리고 유형2(표준)은 개인정보를 많이 다루는 중소기업이나 개인정보를 적게 다루는 대기업까지 정도로 볼 수 있는데 유형1에서 제외된 항목들 중 개발비용이 소모되는 항목들은 준수해야 한다. 하지만 여전히 고도화된 관리체계를 갖추는 것은 제외된다.

유형 적용 대상 안전조치 제외 기준
유형1

(완화)

  • 정보주체 1만명 미만 소상공인, 단체, 개인
  • 제4조: 내부 관리계획 수립
  • 제5조 ①: 개인정보처리권한 차등 부여
  • 제5조 ⑥: 비밀번호 연속 오입력 차단
  • 제6조 ②: 외부에서 개인정보처리시스템 접속 시 전용선·VPN 등 사용
  • 제6조 ④: 연1회 취약점 점검
  • 제6조 ⑤: 세션 타임아웃
  • 제7조 ⑥: 암호키 관리
  • 제12조 ①: 재해재난 대비
  • 제12조 ②: 백업 및 복구 계획
유형2

(표준)


  • 정보주체 1만명 이상 소상공인, 단체, 개인
  • 정보주체 100만명 미만 중소기업
  • 정보주체 10만명 미만 대기업, 중견기업, 공공기관


  • 제4조 ①: 내부 관리계획 수립 시 아래 사항 제외
    • 위험도 분석 및 대응방안 마련에 관한 사항
    • 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
    • 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
  • 제7조 ⑥: 암호키 관리
  • 제12조 ①: 재해재난 대비
  • 제12조 ②: 백업 및 복구 계획
유형3

(강화)

  • 정보주체 10만명 이상 대기업, 중견기업, 공공기관
  • 정보주체 100만명 이상 중소기업, 단체
없음 (전체 다 해당)

해당 기준(원본)[편집 | 원본 편집]

유형 적용 대상 안전조치 기준
유형1

(완화)

  • 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인
  • 제5조:제2항부터 제5항까지
  • 제6조:제1항, 제3항, 제6항 및 제7항
  • 제7조:제1항부터 제5항까지, 제7항
  • 제8조
  • 제9조
  • 제10조
  • 제11조
  • 제13조
유형2

(표준)


  • 100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업
  • 10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
  • 1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인


  • 제4조:제1항제1호부터 제11호까지 및 제 15호, 제3항부터 제4항까지
  • 제5조
  • 제6조:제1항부터 제7항까지
  • 제7조:제1항부터 제5항까지, 제7항
  • 제8조
  • 제9조
  • 제10조
  • 제11조
  • 제13조
유형3

(강화)

  • 10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
  • 100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체
  • 제4조부터 제13조까지 (전체)