개인정보의 안전성 확보조치 기준 제4조

내용

제4조(내부 관리계획의 수립·시행)

• ① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다.
  • 1. 개인정보 보호책임자의 지정에 관한 사항
  • 2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
  • 3. 개인정보취급자에 대한 교육에 관한 사항
  • 4. 접근 권한의 관리에 관한 사항
  • 5. 접근 통제에 관한 사항
  • 6. 개인정보의 암호화 조치에 관한 사항
  • 7. 접속기록 보관 및 점검에 관한 사항
  • 8. 악성프로그램 등 방지에 관한 사항
  • 9. 물리적 안전조치에 관한 사항
  • 10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
  • 11. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
  • 12. 위험도 분석 및 대응방안 마련에 관한 사항
  • 13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
  • 14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
  • 15. 그 밖에 개인정보 보호를 위하여 필요한 사항
• ② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.
• ③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
• ④ 개인정보보호책임자는 접근권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상으로 점검·관리 하여야 한다.

관련 판례