개인정보처리시스템 접속기록: Difference between revisions
From IT Wiki
(→접속기록 백업: 고시의 명칭 변경) |
|||
| (6 intermediate revisions by 4 users not shown) | |||
| Line 3: | Line 3: | ||
'''접속기록'''이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. | '''접속기록'''이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. | ||
* 이 경우 '''접속'''이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.<ref>개인정보의 안전성 확보조치 기준 제2조(용어정의)</ref> | *이 경우 '''접속'''이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.<ref>개인정보의 안전성 확보조치 기준 제2조(용어정의)</ref> | ||
== | == 관련 법적 근거 == | ||
* | * 개인정보 보호법 - 개인정보의 안전성 확보조치 기준 | ||
* | * 개인정보 보호법 - 개인정보의 기술적·관리적 보호조치 기준 | ||
* | * 신용정보법 - 신용정보업 감독규정 [별표 3] 기술적·물리적·관리적 보안대책 마련 기준(제20조 관련) | ||
== | ==접속기록에 반드시 포함되어야 할 항목== | ||
{| class="wikitable" | |||
!개인정보의 안전성 확보조치 기준 | |||
!개인정보의 기술적·관리적 보호조치 기준 | |||
!신용정보업 감독규정 별표3 | |||
!비고 | |||
|- | |||
|계정 | |||
|식별자 | |||
| | |||
|개인정보취급자 ID 등 | |||
|- | |||
|접속일시 | |||
|접속일시 | |||
|처리일시 | |||
|접속한 시간 또는 업무를 수행한 시간 (연월일 및 시분초) | |||
|- | |||
|접속지 정보 | |||
|접속지를 알 수 있는 정보 | |||
| | |||
|접속자 IP주소 등 | |||
|- | |||
|처리한 정보주체 정보 | |||
| rowspan="2" |수행업무 | |||
| rowspan="2" |처리내역 | |||
|개인정보취급자가 누구의 개인정보를 처리하였는지 알 수 있는 식별정보 (정보주체 또는 이용자 ID, 고객번호, 학번, 사번 등) | |||
|- | |||
|수행업무 | |||
|개인정보 조회, 변경, 입력, 삭제, 출력 다운로드 등 | |||
|} | |||
==접속기록 보존기간== | |||
* | *개인정보처리자 : 1'''년 이상''' | ||
**다만 5만 명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우 2년 이상 | |||
*정보통신서비스 제공자 등 : 1'''년 이상''' | |||
**※ 「전기통신사업법」 제5조에 따른 기간통신사업자 : 최소 2년 이상 | |||
*신용정보회사등 : '''1년 이상''' | |||
== 각주 == | == 접속기록 점검 == | ||
* 월 1회 이상 점검<ref>관련 근거법에서 모두 동일하게 정의</ref> | |||
== 접속기록 백업 == | |||
접속기록은 위변조되지 않도록 보관하여야 한다. | |||
* '''개인정보처리자''' | |||
** 근거: 개인정보의 안전성 확보조치 기준 | |||
** 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 '''안전하게 보관''' | |||
* '''정보통신서비스 제공자''' | |||
** 근거: 개인정보의 기술적·관리적 보호조치 기준: | |||
** 개인정보취급자의 접속기록이 위·변조되지 않도록 '''별도의 물리적인 저장 장치에 보관'''하여야 하며 '''정기적인 백업'''을 수행 | |||
* '''신용정보회사등''' | |||
** 근거: 신용정보업 감독규정 별표 3 | |||
** 접속기록이 위·변조되지 않도록 '''별도 저장장치에 백업 보관''' | |||
==참고 문헌== | |||
*개인정보의 안전성 확보조치 기준 해설서(2020.12, 개정) | |||
*ISMS-P 인증기준 안내서(2022.4, KISA, 143페이지) | |||
==각주== | |||
<references /> | <references /> | ||
Latest revision as of 09:43, 9 November 2023
접속기록이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다.
- 이 경우 접속이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.[1]
관련 법적 근거[edit | edit source]
- 개인정보 보호법 - 개인정보의 안전성 확보조치 기준
- 개인정보 보호법 - 개인정보의 기술적·관리적 보호조치 기준
- 신용정보법 - 신용정보업 감독규정 [별표 3] 기술적·물리적·관리적 보안대책 마련 기준(제20조 관련)
접속기록에 반드시 포함되어야 할 항목[edit | edit source]
| 개인정보의 안전성 확보조치 기준 | 개인정보의 기술적·관리적 보호조치 기준 | 신용정보업 감독규정 별표3 | 비고 |
|---|---|---|---|
| 계정 | 식별자 | 개인정보취급자 ID 등 | |
| 접속일시 | 접속일시 | 처리일시 | 접속한 시간 또는 업무를 수행한 시간 (연월일 및 시분초) |
| 접속지 정보 | 접속지를 알 수 있는 정보 | 접속자 IP주소 등 | |
| 처리한 정보주체 정보 | 수행업무 | 처리내역 | 개인정보취급자가 누구의 개인정보를 처리하였는지 알 수 있는 식별정보 (정보주체 또는 이용자 ID, 고객번호, 학번, 사번 등) |
| 수행업무 | 개인정보 조회, 변경, 입력, 삭제, 출력 다운로드 등 |
접속기록 보존기간[edit | edit source]
- 개인정보처리자 : 1년 이상
- 다만 5만 명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우 2년 이상
- 정보통신서비스 제공자 등 : 1년 이상
- ※ 「전기통신사업법」 제5조에 따른 기간통신사업자 : 최소 2년 이상
- 신용정보회사등 : 1년 이상
접속기록 점검[edit | edit source]
- 월 1회 이상 점검[2]
접속기록 백업[edit | edit source]
접속기록은 위변조되지 않도록 보관하여야 한다.
- 개인정보처리자
- 근거: 개인정보의 안전성 확보조치 기준
- 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관
- 정보통신서비스 제공자
- 근거: 개인정보의 기술적·관리적 보호조치 기준:
- 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행
- 신용정보회사등
- 근거: 신용정보업 감독규정 별표 3
- 접속기록이 위·변조되지 않도록 별도 저장장치에 백업 보관
참고 문헌[edit | edit source]
- 개인정보의 안전성 확보조치 기준 해설서(2020.12, 개정)
- ISMS-P 인증기준 안내서(2022.4, KISA, 143페이지)
