개인정보처리시스템 접속기록: Difference between revisions

From IT Wiki
(새 문서: 분류:개인정보보호 분류:컴플라이언스 '''접속기록'''이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에...)
 
(→‎접속기록 백업: 고시의 명칭 변경)
 
(6 intermediate revisions by 4 users not shown)
Line 3: Line 3:
'''접속기록'''이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다.  
'''접속기록'''이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다.  


* 이 경우 '''접속'''이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.<ref>개인정보의 안전성 확보조치 기준 제2조(용어정의)</ref>
*이 경우 '''접속'''이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.<ref>개인정보의 안전성 확보조치 기준 제2조(용어정의)</ref>


== 해설 ==
== 관련 법적 근거 ==


* 접속기록은 개인정보취급자 등이 개인정보처리시스템에 접속 및 운영 등에 관한 이력정보를 남기는 기록으로서, 접속에 관한 정보와 서비스 이용에 관한 정보 등을 개인정보처리시스템의 로그(Log) 파일 또는 로그관리시스템 등에 전자적으로 기록한 것을 말한다.
* 개인정보 보호법 - 개인정보의 안전성 확보조치 기준
* "'''개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무'''"는 개인정보취급자 등의 개인정보처리시스템에 접속한 사실과 접속하여 수행한 업무내역을확인하는데 필요한 정보를 말한다.
* 개인정보 보호법 - 개인정보의 기술적·관리적 보호조치 기준
** 계정 : 개인정보처리시스템에서 접속자를 식별할 수 있도록 부여된 ID 등 계정 정보- 접속일시 : 접속한 시점 또는 업무를 수행한 시점(년-월-일, 시:분:초)
* 신용정보법 - 신용정보업 감독규정 [별표 3] 기술적·물리적·관리적 보안대책 마련 기준(제20조 관련)
** 접속지 정보 : 개인정보처리시스템에 접속한 자의 컴퓨터 또는 서버의 IP 주소 등
** 처리한 정보주체 정보 : 개인정보취급자가 누구의 개인정보를 처리하였는지를 알 수 있는 식별정보(ID, 고객번호, 학번, 사번 등)
** 수행업무 : 개인정보취급자가 개인정보처리시스템을 이용하여 개인정보를 처리한 내용을 알 수 있는 정보(검색, 열람, 조회, 입력, 수정, 삭제, 출력, 다운로드 등)


== 참고 문헌 ==
==접속기록에 반드시 포함되어야 할 항목==
{| class="wikitable"
!개인정보의 안전성 확보조치 기준
!개인정보의 기술적·관리적 보호조치 기준
!신용정보업 감독규정 별표3
!비고
|-
|계정
|식별자
|
|개인정보취급자 ID 등
|-
|접속일시
|접속일시
|처리일시
|접속한 시간 또는 업무를 수행한 시간 (연월일 및 시분초)
|-
|접속지 정보
|접속지를 알 수 있는 정보
|
|접속자 IP주소 등
|-
|처리한 정보주체 정보
| rowspan="2" |수행업무
| rowspan="2" |처리내역
|개인정보취급자가 누구의 개인정보를 처리하였는지 알 수 있는 식별정보 (정보주체 또는 이용자 ID, 고객번호, 학번, 사번 등)
|-
|수행업무
|개인정보 조회, 변경, 입력, 삭제, 출력 다운로드 등
|}
==접속기록 보존기간==


* 개인정보의 안전성 확보조치 기준 해설서(2020.12, 개정)
*개인정보처리자 : 1'''년 이상'''
**다만 5만 명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우 2년 이상
*정보통신서비스 제공자 등 : 1'''년 이상'''
**※ 「전기통신사업법」 제5조에 따른 기간통신사업자 : 최소 2년 이상
*신용정보회사등 : '''1년 이상'''


== 각주 ==
== 접속기록 점검 ==
 
* 월 1회 이상 점검<ref>관련 근거법에서 모두 동일하게 정의</ref>
 
== 접속기록 백업 ==
접속기록은 위변조되지 않도록 보관하여야 한다.
 
* '''개인정보처리자'''
** 근거: 개인정보의 안전성 확보조치 기준
** 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 '''안전하게 보관'''
* '''정보통신서비스 제공자'''
** 근거: 개인정보의 기술적·관리적 보호조치 기준:
** 개인정보취급자의 접속기록이 위·변조되지 않도록 '''별도의 물리적인 저장 장치에 보관'''하여야 하며 '''정기적인 백업'''을 수행
* '''신용정보회사등'''
** 근거: 신용정보업 감독규정 별표 3
** 접속기록이 위·변조되지 않도록 '''별도 저장장치에 백업 보관'''
 
==참고 문헌==
 
*개인정보의 안전성 확보조치 기준 해설서(2020.12, 개정)
*ISMS-P 인증기준 안내서(2022.4, KISA, 143페이지)
 
==각주==
<references />
<references />

Latest revision as of 09:43, 9 November 2023

접속기록이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다.

  • 이 경우 접속이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.[1]

관련 법적 근거[edit | edit source]

  • 개인정보 보호법 - 개인정보의 안전성 확보조치 기준
  • 개인정보 보호법 - 개인정보의 기술적·관리적 보호조치 기준
  • 신용정보법 - 신용정보업 감독규정 [별표 3] 기술적·물리적·관리적 보안대책 마련 기준(제20조 관련)

접속기록에 반드시 포함되어야 할 항목[edit | edit source]

개인정보의 안전성 확보조치 기준 개인정보의 기술적·관리적 보호조치 기준 신용정보업 감독규정 별표3 비고
계정 식별자 개인정보취급자 ID 등
접속일시 접속일시 처리일시 접속한 시간 또는 업무를 수행한 시간 (연월일 및 시분초)
접속지 정보 접속지를 알 수 있는 정보 접속자 IP주소 등
처리한 정보주체 정보 수행업무 처리내역 개인정보취급자가 누구의 개인정보를 처리하였는지 알 수 있는 식별정보 (정보주체 또는 이용자 ID, 고객번호, 학번, 사번 등)
수행업무 개인정보 조회, 변경, 입력, 삭제, 출력 다운로드 등

접속기록 보존기간[edit | edit source]

  • 개인정보처리자 : 1년 이상
    • 다만 5만 명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우 2년 이상
  • 정보통신서비스 제공자 등 : 1년 이상
    • ※ 「전기통신사업법」 제5조에 따른 기간통신사업자 : 최소 2년 이상
  • 신용정보회사등 : 1년 이상

접속기록 점검[edit | edit source]

  • 월 1회 이상 점검[2]

접속기록 백업[edit | edit source]

접속기록은 위변조되지 않도록 보관하여야 한다.

  • 개인정보처리자
    • 근거: 개인정보의 안전성 확보조치 기준
    • 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관
  • 정보통신서비스 제공자
    • 근거: 개인정보의 기술적·관리적 보호조치 기준:
    • 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행
  • 신용정보회사등
    • 근거: 신용정보업 감독규정 별표 3
    • 접속기록이 위·변조되지 않도록 별도 저장장치에 백업 보관

참고 문헌[edit | edit source]

  • 개인정보의 안전성 확보조치 기준 해설서(2020.12, 개정)
  • ISMS-P 인증기준 안내서(2022.4, KISA, 143페이지)

각주[edit | edit source]

  1. 개인정보의 안전성 확보조치 기준 제2조(용어정의)
  2. 관련 근거법에서 모두 동일하게 정의