개인정보 보호법 시행령 - 제5장 개인정보의 안전한 관리 완벽정리

개인정보 보호법 시행령 - 제5장 개인정보의 안전한 관리.

 

개인정보 보호법 시행령 - 제5장 개인정보의 안전한 관리에 대해 본 글에서 살펴보려고 합니다.

개인정보 보호법 시행령 - 제5장 개인정보의 안전한 관리는 제30조 ~ 제40조의 2로 이루어져 있습니다.

 

개인정보 보호법 시행령

---

제5장 개인정보의 안전한 관리

제30조(개인정보의 안전성 확보 조치)

(1). 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다. [개정 2023.09.12]

1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부 관리 계획의 수립•시행 및 점검
   ㄱ. 법 제28조 제1항에 따른 개인정보 취급자(이하 “개인정보 취급자”라 한다)에 대한 관리•감독 및 교육에 관한 사항
   ㄴ. 법 제31조에 따른 개인정보 보호 책임자의 지정 등 개인정보 보호 조직의 구성•운영에 관한 사항
   ㄷ. 제2호부터 제8호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항
2. 개인정보에 대한 접근 권한을 제한하기 위한 다음 각 목의 조치
   ㄱ. 데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템(이하 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여•변경•말소 등에 관한 기준의 수립•시행
   ㄴ. 정당한 권한을 가진 자에 의한 접근인지를 확인하기 위해 필요한 인증수단 적용 기준의 설정 및 운영
   ㄷ. 그 밖에 개인정보에 대한 접근 권한을 제한하기 위하여 필요한 조치
3. 개인정보에 대한 접근을 통제하기 위한 다음 각 목의 조치
   ㄱ. 개인정보처리시스템에 대한 침입을 탐지하고 차단하기 위하여 필요한 조치
   ㄴ. 개인정보처리시스템에 접속하는 개인정보 취급자의 컴퓨터 등으로서 보호 위원회가 정하여 고시하는 기준에 해당하는 컴퓨터 등에 대한 인터넷망의 차단.
   다만, 전년도 말 기준 직전 3개월간 그 개인정보가 저장•관리되고 있는 {정보통신망 이용촉진 및 정보보호 등에 관한 법률} 제2조 제1항 제4호에 따른 이용자 수가 일일 평균 100만 명 이상인 개인정보처리자만 해당한다.
   ㄷ. 그 밖에 개인정보에 대한 접근을 통제하기 위하여 필요한 조치
4. 개인정보를 안전하게 저장•전송하는데 필요한 다음 각 목의 조치
   ㄱ. 비밀번호의 일방향 암호화 저장 등 인증정보의 암호화 저장 또는 이에 상응하는 조치
   ㄴ. 주민등록번호 등 보호 위원회가 정하여 고시하는 정보의 암호화 저장 또는 이에 상응하는 조치
   ㄷ. {정보통신망 이용촉진 및 정보보호 등에 관한 법률} 제2조 제1항 제1호에 따른 정보통신망을 통하여 정보주체의 개인정보 또는 인증정보를 송신•수신하는 경우 해당 정보의 암호화 또는 이에 상응하는 조치
   ㄹ. 그 밖에 암호화 또는 이에 상응하는 기술을 이용한 보안조치
5. 개인정보 침해 사고 발생에 대응하기 위한 접속기록의 보관 및 위조•변조 방지를 위한 다음 각 목의 조치
   ㄱ. 개인정보처리시스템에 접속한 자의 접속 일시, 처리 내역 등 접속기록의 저장•점검 및 이의 확인•감독
   ㄴ. 개인정보처리시스템에 대한 접속기록의 안전한 보관
   ㄷ. 그 밖에 접속기록 보관 및 위조•변조 방지를 위하여 필요한 조치
6. 개인정보처리시스템 및 개인정보 취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성 프로그램의 침투 여부를 항시 점검•치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치•운영과 주기적 갱신•점검 조치
7. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
8. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치

(2). 보호 위원회는 개인정보처리자가 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.08.04]

(3). 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호 위원회가 정하여 고시한다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.08.04]

 

<+위임 행정규칙>

• 개인정보의 안전성 확보조치 기준(개인정보보호위원회고시 제2023 - 6호, 2023.09.22, 일부개정)

 

제30조의 2(공공시스템 운영 기관 등의 개인정보 안전성 확보 조치 등)

(1). 개인정보의 처리 규모, 접근 권한을 부여받은 개인정보 취급자의 수 등 보호 위원회가 고시하는 기준에 해당하는 개인정보처리시스템(이하 이 조에서 “공공 시스템”이라 한다)을 운영하는 공공기관(이하 이 조에서 “공공 시스템운영 기관”이라 한다)은 법 제29조에 따라 이 영 제30조의 안전성 확보 조치 외에 다음 각 호의 조치를 추가로 해야 한다.

1. 제30조 제1항 제1호에 따른 내부 관리 계획에 공공 시스템별로 작성한 안전성 확보 조치를 포함할 것
2. 공공 시스템에 접속하여 개인정보를 처리하는 기관(이하 이 조에서 “공공 시스템 이용기관”이라 한다)이 정당한 권한을 가진 개인정보 취급자에게 접근 권한을 부여•변경•말소 등을 할 수 있도록 하는 등 접근 권한의 안전한 관리를 위해 필요한 조치
3. 개인정보에 대한 불법적인 접근 및 침해 사고 방지를 위한 공공 시스템 접속기록의 저장•분석•점검•관리 등의 조치

(2). 공공 시스템운영 기관 및 공공 시스템 이용기관은 정당한 권한 없이 또는 허용된 권한을 초과하여 개인정보에 접근한 사실이 확인되는 경우에는 지체 없이 정보주체에게 해당 사실과 피해 예방 등을 위해 필요한 사항을 통지해야 한다.
이 경우 다음 각 호의 어느 하나에 해당하는 경우에는 통지를 한 것으로 본다.

1. 법 제34조 제1항에 따라 정보주체에게 개인정보의 분실•도난•유출에 대하여 통지한 경우
2. 다른 법령에 따라 정보주체에게 개인정보에 접근한 사실과 피해 예방 등을 위해 필요한 사항을 통지한 경우

(3). 공공 시스템운영 기관(공공 시스템을 개발하여 배포하는 공공기관이 따로 있는 경우에는 그 공공기관을 포함한다.
이하 이 조에서 같다)은 해당 공공 시스템의 규모와 특성, 해당 공공 시스템 이용기관의 수 등을 고려하여 개인정보의 안전한 관리에 관련된 업무를 전담하는 부서를 지정하여 운영하거나 전담인력을 배치해야 한다.

(4). 공공 시스템운영 기관은 공공 시스템별로 해당 공공 시스템을 총괄하여 관리하는 부서의 장을 관리 책임자로 지정해야 한다.
다만, 해당 공공 시스템을 총괄하여 관리하는 부서가 없을 때에는 업무 관련성 및 수행능력 등을 고려하여 해당 공공시스템운영기관의 관련 부서의 장 중에서 관리 책임자를 지정해야 한다.

(5). 공공시스템운영기관은 공공 시스템의 안전성 확보 조치 이행상황 점검 및 개선에 관한 사항을 협의하기 위하여 다음 각 호의 기관으로 구성되는 공공시스템운영협의회를 공공시스템별로 설치•운영해야 한다.
다만, 하나의 공공기관이 2개 이상의 공공 시스템을 운영하는 경우에는 공공시스템운영협의회를 통합하여 설치•운영할 수 있다.

1. 공공시스템운영기관
2. 공공 시스템의 운영을 위탁하는 경우 해당 수탁자
3. 공공시스템운영기관이 필요하다고 인정하는 공공시스템이용기관

(6). 보호위원회는 공공시스템운영기관이 개인정보의 안전성 확보 조치를 이행하는데 필요한 지원을 할 수 있다.

(7). 제1항부터 제6항까지에서 규정한 사항 외에 공공시스템운영기관 등의 개인정보의 안전성 확보 조치에 필요한 사항은 보호위원회가 정하여 고시한다.

[본 조 신설 2023.09.12]

 

제31조(개인정보 처리방침의 내용 및 공개방법 등)

(1). 법 제30조 제1항 제8호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다. [개정 2016.09.29, 2020.08.04, 2023.09.12]

1. 처리하는 개인정보의 항목
2. 법 제28조의 8 제1항 각 호에 따라 개인정보를 국외로 이전하는 경우 국외 이전의 근거와 같은 조 제2항 각 호의 사항
3. 제30조에 따른 개인정보의 안전성 확보 조치에 관한 사항
4. 국외에서 국내 정보주체의 개인정보를 직접 수집하여 처리하는 경우 개인정보를 처리하는 국가명

(2). 개인정보처리자는 법 제30조 제2항에 따라 수립하거나 변경한 개인정보 처리방침을 개인정보처리자의 인터넷 홈페이지에 지속적으로 게재하여야 한다.

(3). 제2항에 따라 인터넷 홈페이지에 게재할 수 없는 경우에는 다음 각 호의 어느 하나 이상의 방법으로 수립하거나 변경한 개인정보 처리방침을 공개하여야 한다. [개정 2023.09.12]

1. 개인정보처리자의 사업장 등의 보기 쉬운 장소에 게시하는 방법
2. 관보(개인정보처리자가 공공기관인 경우만 해당한다)나 개인정보처리자의 사업장 등이 있는 시•도 이상의 지역을 주된 보급지역으로 하는 {신문 등의 진흥에 관한 법률} 제2조 제1호 ㄱ목•ㄷ목 및 같은 조 제2호에 따른 일반일간신문, 일반 주간신문 또는 인터넷신문에 싣는 방법
3. 같은 제목으로 연 2회 이상 발행하여 정보주체에게 배포하는 간행물•소식지•홍보지 또는 청구서 등에 지속적으로 싣는 방법
4. 재화나 서비스를 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법

 

제31조의 2(개인정보 처리방침의 평가 대상 및 절차)

(1). 보호위원회는 법 제30조의 2 제1항에 따라 개인정보 처리방침을 평가하는 경우 다음 각 호의 사항을 종합적으로 고려하여 평가 대상을 선정한다. [개정 2024.03.12]

1. 개인정보처리자의 유형 및 매출액(매출액을 산정하지 않는 경우에는 {법인세법} 제4조 제3항 제1호에 따른 수익사업에서 생기는 소득을 말하며, 이하 제32조 및 제48조의 7에서 "매출액 등"이라 한다) 규모
2. 민감정보 및 고유식별 정보 등 처리하는 개인정보의 유형 및 규모
3. 개인정보 처리의 법적 근거 및 방식
4. 법 위반행위 발생 여부
5. 아동•청소년 등 정보주체의 특성

(2). 보호위원회는 제1항에 따라 평가 대상 개인정보 처리방침을 선정한 경우에는 평가 개시 10일 전까지 해당 개인정보처리자에게 평가 내용•일정 및 절차 등이 포함된 평가계획을 통보해야 한다.

(3). 보호위원회는 법 제30조의 2에 따른 개인정보 처리방침의 평가에 필요한 경우에는 해당 개인정보처리자에게 의견을 제출하도록 요청할 수 있다.

(4). 보호위원회는 법 제30조의 2에 따라 개인정보 처리방침을 평가한 후 그 결과를 지체 없이 해당 개인정보처리자에게 통보해야 한다.

(5). 제1항부터 제4항까지에서 규정한 사항 외에 개인정보 처리방침 평가를 위한 세부적인 대상 선정 기준과 절차는 보호위원회가 정하여 고시한다.

[본 조 신설 2023.09.12]

 

<+위임 행정규칙>

• 개인정보 처리방침 평가에 관한 고시(개인정보보호위원회고시 제2024 - 3호, 2024.02.20, 제정)

 

제32조(개인정보 보호책임자의 업무 및 지정요건 등)

(1). 법 제31조 제1항 단서에서 “종업원 수, 매출액 등이 대통령령으로 정하는 기준에 해당하는 개인정보처리자”란 {소상공인기본법} 제2조 제1항에 따른 소상공인에 해당하는 개인정보처리자를 말한다. [신설 2024.03.12]

(2). 법 제31조 제3항 제7호에서 “대통령령으로 정한 업무”란 다음 각 호와 같다. [개정 2024.03.12]

1. 법 제30조에 따른 개인정보 처리방침의 수립•변경 및 시행
2. 개인정보 처리와 관련된 인적 ·물적 자원 및 정보의 관리
3. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

(3). 개인정보처리자는 법 제31조 제1항에 따라 개인정보 보호책임자를 지정하려는 경우에는 다음 각 호의 구분에 따라 지정한다. [개정 2016.07.22, 2024.03.12]

1. 공공기관 : 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등
   ㄱ. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관 : 고위공무원단에 속하는 공무원(이하 “고위 공무원”이라 한다) 또는 그에 상당하는 공무원
   ㄴ. ㄱ목 외에 정무직공무원을 장(長)으로 하는 국가기관 : 3급 이상 공무원(고위 공무원을 포함한다) 또는 그에 상당하는 공무원
   ㄷ. ㄱ목 및 ㄴ목 외에 고위 공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관 : 4급 이상 공무원 또는 그에 상당하는 공무원
   ㄹ. ㄱ목부터 ㄷ목까지의 규정에 따른 국가기관 외의 국가기관(소속 기관을 포함한다) : 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장
   ㅁ. 시•도 및 시•도 교육청 : 3급 이상 공무원 또는 그에 상당하는 공무원
   ㅂ. 시•군 및 자치구 : 4급 공무원 또는 그에 상당하는 공무원
   ㅅ. 제2조 제5호에 따른 각급 학교 : 해당 학교의 행정사무를 총괄하는 사람
   ㅇ. ㄱ목부터 ㅅ목까지의 규정에 따른 기관 외의 공공기관 : 개인정보 처리 관련 업무를 담당하는 부서의 장.
   다만, 개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장이 된다.
2. 공공기관 외의 개인정보처리자: 다음 각 목의 어느 하나에 해당하는 사람
   ㄱ. 사업주 또는 대표자
   ㄴ. 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

(4). 다음 각 호의 어느 하나에 해당하는 개인정보처리자(공공기관의 경우에는 제2조 제2호부터 제5호까지에 해당하는 경우로 한정한다)는 제3항 각 호의 구분에 따른 사람 중 별표 1에서 정하는 요건을 갖춘 사람을 개인정보 보호책임자로 지정해야 한다. [개정 2024.03.12]

1. 연간 매출액등이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자(제2조 제5호에 따른 각급 학교 및 {의료법} 제3조에 따른 의료기관은 제외한다)
   ㄱ. 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자
   ㄴ. 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자
2. 직전 연도 12월 31일 기준으로 재학생 수(대학원 재학생 수를 포함한다)가 2만명 이상인 {고등교육법} 제2조에 따른 학교
3. {의료법} 제3조의 4에 따른 상급종합병원
4. 공공시스템운영기관

(5). 보호위원회는 개인정보 보호책임자가 법 제31조 제3항의 업무를 원활히 수행할 수 있도록 개인정보 보호책임자에 대한 교육과정을 개설•운영하는 등 지원을 할 수 있다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.08.04, 2024.03.12]

(6). 개인정보처리자(법 제31조 제2항에 따라 사업주 또는 대표자가 개인정보 보호책임자가 되는 경우는 제외한다)는 법 제31조 제6항에 따른 개인정보 보호책임자의 독립성 보장을 위해 다음 각 호의 사항을 준수해야 한다. [신설 2024.03.12]

1. 개인정보 처리와 관련된 정보에 대한 개인정보 보호책임자의 접근 보장
2. 개인정보 보호책임자가 개인정보 보호 계획의 수립ㆍ시행 및 그 결과에 관하여 정기적으로 대표자 또는 이사회에 직접 보고할 수 있는 체계의 구축
3. 개인정보 보호책임자의 업무 수행에 적합한 조직체계의 마련 및 인적ㆍ물적 자원의 제공

 

제32조의 2(국내대리인 지정 대상자의 범위)

(1). 법 제31조 제7항에서 “대통령령으로 정하는 공동의 사업”이란 다음 각 호의 사업을 말한다.

1. 개인정보처리자의 개인정보 보호 강화를 위한 정책의 조사, 연구 및 수립 지원
2. 개인정보 침해사고 분석 및 대책 연구
3. 개인정보 보호책임자 지정ㆍ운영, 업무 수행 현황 등 실태 파악 및 제도 개선을 위한 연구
4. 개인정보 보호책임자 교육 등 개인정보 보호책임자의 개인정보 보호 역량 및 전문성 향상
5. 개인정보 보호책임자의 업무와 관련된 국내외 주요 동향의 조사, 분석 및 공유
6. 그 밖에 개인정보처리시스템 등의 안전한 관리를 위해 필요한 사업

(2). 보호위원회는 법 제31조 제8항에 따라 예산의 범위에서 개인정보 보호책임자 협의회의 운영과 사업에 필요한 행정적ㆍ기술적 지원을 할 수 있다.

[본 조 신설 2024.03.12]
[종전 제32조의 2는 제32조의 3으로 이동 [2024.03.12]]

 

제32조의 3(국내대리인 지정 대상자의 범위)

(1). 법 제31조의 2 제1항 각 호 외의 부분 전단에서 “대통령령으로 정하는 자”란 다음 각 호의 어느 하나에 해당하는 자를 말한다.

1. 전년도(법인인 경우에는 전 사업연도를 말한다) 전체 매출액이 1조원 이상인 자
2. 전년도 말 기준 직전 3개월 간 그 개인정보가 저장ㆍ관리되고 있는 국내 정보주체의 수가 일일평균 100만명 이상인 자
3. 법 제63조 제1항에 따라 관계 물품ㆍ서류 등 자료의 제출을 요구받은 자로서 국내대리인을 지정할 필요가 있다고 보호위원회가 심의ㆍ의결한 자

(2). 제1항 제1호에 따른 전체 매출액은 전년도 평균환율을 적용하여 원화로 환산한 금액을 기준으로 한다.

[본 조 신설 2023.09.12]
[제32조의 2에서 이동 [2024.03.12]]

 

제33조(개인정보파일의 등록사항 등)

(1). 법 제32조 제1항 제7호에서 “대통령령으로 정하는 사항”이란 다음 각 호의 사항을 말한다. [개정 2023.09.12]

1. 개인정보파일을 운용하는 공공기관의 명칭
2. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
3. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
4. 제41조에 따른 개인정보의 열람 요구를 접수•처리하는 부서
5. 개인정보파일의 개인정보 중 법 제35조 제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유

(2). 법 제32조 제2항 제4호에서 “대통령령으로 정하는 개인정보파일”이란 다음 각 호의 어느 하나에 해당하는 개인정보파일을 말한다. [신설 2023.09.12]

1. 회의 참석 수당 지급, 자료•물품의 송부, 금전의 정산 등 단순 업무 수행을 위해 운영되는 개인정보파일로서 지속적 관리 필요성이 낮은 개인정보파일
2. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일
3. 그 밖에 일회적 업무 처리만을 위해 수집된 개인정보파일로서 저장되거나 기록되지 않는 개인정보파일

[제목 개정 2023.09.12]

 

제34조(개인정보파일의 등록 및 공개 등)

(1). 개인정보파일(법 제32조 제2항 및 이 영 제33조 제2항에 따른 개인정보파일은 제외한다. 이하 이 조에서 같다)을 운용하는 공공기관의 장은 그 운용을 시작한 날부터 60일 이내에 보호위원회가 정하여 고시하는 바에 따라 보호위원회에 법 제32조 제1항 및 이 영 제33조 제1항에 따른 등록사항(이하 “등록사항”이라 한다)의 등록을 신청하여야 한다.
등록 후 등록한 사항이 변경된 경우에도 또한 같다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.08.04, 2023.09.12]

(2). 보호위원회는 법 제32조 제4항에 따라 개인정보파일의 등록 현황을 공개하는 경우 이를 보호위원회가 구축하는 인터넷 사이트에 게재해야 한다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.08.04, 2023.09.12]

(3). 보호위원회는 제1항에 따른 개인정보파일의 등록사항을 등록하거나 변경하는 업무를 전자적으로 처리할 수 있도록 시스템을 구축•운영할 수 있다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.08.04]

 

<+위임 행정규칙>

• 개인정보 처리 방법에 관한 고시(개인정보보호위원회고시 제2023 - 12호, 2023.10.16, 일부개정)

 

제34조의 2(개인정보 보호 인증의 기준•방법•절차 등)

(1). 보호위원회는 제30조 제1항 각 호의 사항을 고려하여 개인정보 보호의 관리적•기술적•물리적 보호대책의 수립 등을 포함한 법 제32조의 2 제1항에 따른 인증의 기준을 정하여 고시한다. [개정 2017.07.26, 2020.08.04, 2023.09.12]

(2).  법 제32조의 2 제1항 따라 개인정보 보호의 인증을 받으려는 자(이하 이 조 및 제34조의 3에서 “신청인”이라 한다)는 다음 각 호의 사항이 포함된 개인정보 보호 인증신청서(전자문서로 된 신청서를 포함한다)를 제34조의 6에 따른 개인정보 보호 인증 전문기관(이하 “인증기관”이라 한다)에 제출하여야 한다. [개정 2024.03.12]

1. 인증 대상 개인정보 처리시스템의 목록
2. 개인정보 보호 관리체계를 수립•운영하는 방법과 절차
3. 개인정보 보호 관리체계 및 보호대책 구현과 관련되는 문서 목록

(3). 인증기관은 제2항에 따른 인증신청서를 받은 경우에는 신청인과 인증의 범위 및 일정 등에 관하여 협의하여야 한다.

(4). 법 제32조의 2 제1항에 따른 개인정보 보호 인증심사는 제34조의 8에 따른 개인정보 보호 인증심사원이 서면심사 또는 현장심사의 방법으로 실시한다.

(5). 인증기관은 제4항에 따른 인증심사의 결과를 심의하기 위하여 정보보호에 관한 학식과 경험이 풍부한 사람을 위원으로 하는 인증위원회를 설치•운영하여야 한다.

(6). 제1항부터 제5항까지에서 규정한 사항 외에 인증신청, 인증심사, 인증위원회의 설치•운영 및 인증서의 발급 등 개인정보 보호 인증에 필요한 세부사항은 보호위원회가 정하여 고시한다. [개정 2017.07.26, 2020.08.04]

[본 조 신설 2016.07.22]

 

<+위임 행정규칙>

• 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보보호위원회고시 제2024 - 8호, 2024.07.24, 일부개정)

 

제34조의 3(개인정보 보호 인증의 수수료)

(1). 신청인은 인증기관에 개인정보 보호 인증 심사에 소요되는 수수료를 납부하여야 한다.

(2). 보호위원회는 개인정보 보호 인증 심사에 투입되는 인증 심사원의 수 및 인증심사에 필요한 일수 등을 고려하여 제1항에 따른 수수료 산정을 위한 구체적인 기준을 정하여 고시한다. [개정 2017.07.26, 2020.08.04]

[본 조 신설 2016.07.22]

 

<+위임 행정규칙>

• 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보보호위원회고시 제2024 - 8호, 2024.07.24, 일부개정)

 

제34조의 4(인증취소)

(1). 인증기관은 법 제32조의 2제3항에 따라 개인정보 보호 인증을 취소하려는 경우에는 제34조의 2 제5항에 따른 인증위원회의 심의•의결을 거쳐야 한다.

(2). 보호위원회 또는 인증기관은 법 제32조의 2 제3항에 따라 인증을 취소한 경우에는 그 사실을 당사자에게 통보하고, 관보 또는 인증기관의 홈페이지에 공고하거나 게시해야 한다. [개정 2017.07.26, 2020.08.04]

[본 조 신설 2016.07.22]

제34조의 5(인증의 사후관리)

(1). 법 제32조의 2 제4항에 따른 사후관리 심사는 서면심사 또는 현장심사의 방법으로 실시한다.

(2). 인증기관은 제1항에 따른 사후관리를 실시한 결과 법 제32조의 2 제3항 각 호의 사유를 발견한 경우에는 제34조의 2 제5항에 따른 인증위원회의 심의를 거쳐 그 결과를 보호위원회에 제출해야 한다. [개정 2017.07.26, 2020.08.04]

[본 조 신설 2016.07.22]

 

제34조의 6(개인정보 보호 인증 전문기관)

(1). 법 제32조의 2 제5항에서 “대통령령으로 정하는 전문기관”이란 다음 각 호의 기관을 말한다. [개정 2016.09.29, 2017.07.26, 2020.08.04]

1. 한국인터넷진흥원
2. 다음 각 목의 요건을 모두 충족하는 법인, 단체 또는 기관 중에서 보호위원회가 지정•고시하는 법인, 단체 또는 기관
   ㄱ. 제34조의 8에 따른 개인정보 보호 인증심사원 5명 이상을 보유할 것
   ㄴ. 보호위원회가 실시하는 업무수행 요건•능력 심사에서 적합하다고 인정받을 것

(2). 제1항 제2호에 해당하는 법인, 단체 또는 기관의 지정과 그 지정의 취소에 필요한 세부기준 등은 보호위원회가 정하여 고시한다. [개정 2017.07.26, 2020.08.04]

[본 조 신설 2016.07.22]

 

<+위임 행정규칙>

• 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보보호위원회고시 제2024 - 8호, 2024.07.24, 일부개정)

 

제34조의 7(인증의 표시 및 홍보)

법 제32조의 2 제6항에 따라 인증을 받은 자가 인증 받은 내용을 표시하거나 홍보하려는 경우에는 보호위원회가 정하여 고시하는 개인정보 보호 인증표시를 사용할 수 있다.
이 경우 인증의 범위와 유효기간을 함께 표시해야 한다. [개정 2017.07.26, 2020.08.04]

[본 조 신설 2016.07.22]

 

<+위임 행정규칙>

• 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보보호위원회고시 제2024 - 8호, 2024.07.24, 일부개정)

 

제34조의 8(개인정보 보호 인증심사원의 자격 및 자격 취소 요건)

(1). 인증기관은 법 제32조의 2 제7항에 따라 개인정보 보호에 관한 전문지식을 갖춘 사람으로서 인증심사에 필요한 전문 교육과정을 이수하고 시험에 합격한 사람에게 개인정보 보호 인증심사원(이하 “인증심사원”이라 한다)의 자격을 부여한다.

(2). 인증기관은 법 제32조의 2 제7항에 따라 인증심사원이 다음 각 호의 어느 하나에 해당하는 경우 그 자격을 취소할 수 있다.
다만, 제1호에 해당하는 경우에는 자격을 취소하여야 한다.

1. 거짓이나 부정한 방법으로 인증심사원 자격을 취득한 경우
2. 개인정보 보호 인증 심사와 관련하여 금전, 금품, 이익 등을 부당하게 수수한 경우
3. 개인정보 보호 인증 심사 과정에서 취득한 정보를 누설하거나 정당한 사유 없이 업무상 목적 외의 용도로 사용한 경우

(3). 제1항 및 제2항에 따른 전문 교육과정의 이수, 인증심사원 자격의 부여 및 취소 등에 관한 세부 사항은 보호위원회가 정하여 고시한다. [개정 2017.07.26, 2020.08.04]

[본 조 신설 2016.07.22]

 

<+위임 행정규칙>

• 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보보호위원회고시 제2024 - 8호, 2024.07.24, 일부개정)

 

제35조(개인정보 영향평가의 대상)

법 제33조 제1항에서 “대통령령으로 정하는 기준에 해당하는 개인정보파일”이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음 각 호의 어느 하나에 해당하는 개인정보파일을 말한다. [개정 2016.09.29]

1. 구축•운용 또는 변경하려는 개인정보파일로서 5만 명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
2. 구축•운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축•운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만 명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
3. 구축•운용 또는 변경하려는 개인정보파일로서 100만 명 이상의 정보주체에 관한 개인정보파일
4. 법 제33조 제1항에 따른 개인정보 영향평가(이하 “영향평가”라 한다)를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일.
   이 경우 영향평가 대상은 변경된 부분으로 한정한다.

 

제36조(평가기관의 지정 및 지정취소)

(1). 보호위원회는 법 제33조 제2항에 따라 다음 각 호의 요건을 모두 갖춘 법인을 개인정보 영향평가기관(이하 “평가기관”이라 한다)으로 지정할 수 있다. [개정 2013.03.23, 2014.11.19, 2015.12.22, 2017.07.26, 2020.08.04,2023.09.12]

1. 최근 5년간 다음 각 목의 어느 하나에 해당하는 업무 수행의 대가로 받은 금액의 합계액이 2억 원 이상인 법인
   ㄱ. 영향평가 업무 또는 이와 유사한 업무
   ㄴ. {전자정부법} 제2조 제13호에 따른 정보시스템(정보보호시스템을 포함한다)의 구축 업무 중 정보보호컨설팅 업무(전자적 침해행위에 대비하기 위한 정보시스템의 분석•평가와 이에 기초한 정보 보호 대책의 제시 업무를 말한다. 이하 같다)
   ㄷ. {전자정부법} 제2조 제14호에 따른 정보시스템 감리 업무 중 정보보호컨설팅 업무
   ㄹ. {정보보호산업의 진흥에 관한 법률} 제2조 제1항 제2호에 따른 정보보호산업에 해당하는 업무 중 정보보호컨설팅 업무
   ㅁ. {정보보호산업의 진흥에 관한 법률} 제23조 제1항 제1호 및 제2호에 따른 업무
2. 개인정보 영향평가와 관련된 분야에서의 업무 경력 등 보호위원회가 정하여 고시하는 자격을 갖춘 전문인력을 10명 이상 상시 고용하고 있는 법인
3. 다음 각 목의 사무실 및 설비를 갖춘 법인
   ㄱ. 신원 확인 및 출입 통제를 위한 설비를 갖춘 사무실
   ㄴ. 기록 및 자료의 안전한 관리를 위한 설비

(2). 평가기관으로 지정받으려는 자는 보호위원회가 정하여 고시하는 평가기관 지정신청서에 다음 각 호의 서류를 첨부하여 보호위원회에 제출해야 한다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2017.10.17, 2020.08.04]

1. 정관
2. 대표자의 성명
3. 제1항 제2호에 따른 전문인력의 자격을 증명할 수 있는 서류
4. 그 밖에 보호위원회가 정하여 고시하는 서류

(3). 제2항에 따라 평가기관 지정신청서를 제출받은 보호위원회는 {전자정부법} 제36조 제1항에 따른 행정정보의 공동이용을 통하여 다음 각 호의 서류를 확인해야 한다.
다만, 신청인이 제2호의 확인에 동의하지 않는 경우에는 신청인에게 그 서류를 첨부하게 해야 한다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.08.04]

1. 법인 등기사항증명서
2. {출입국관리법} 제88조 제2항에 따른 외국인등록 사실증명(외국인인 경우만 해당한다)

(4). 보호위원회는 제1항에 따라 평가기관을 지정한 경우에는 지체 없이 평가기관 지정서를 발급하고, 다음 각 호의 사항을 관보에 고시해야 한다.
고시된 사항이 변경된 경우에도 또한 같다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.08.04]

1. 평가기관의 명칭•주소 및 전화번호와 대표자의 성명
2. 지정 시 조건을 붙이는 경우 그 조건의 내용

(5). 법 제33조 제7항 제5호에서 “대통령령으로 정하는 사유에 해당하는 경우”란 다음 각 호의 어느 하나에 해당하는 경우를 말한다. [개정 2023.09.12]

1. 제6항에 따른 신고의무를 이행하지 않은 경우
2. 평가기관으로 지정된 날부터 2년 이상 계속하여 정당한 사유 없이 영향평가 실적이 없는 경우
3. 제38조 제2항 각 호 외의 부분에 따른 영향평가서 등 영향평가 업무 수행 과정에서 알게 된 정보를 누설한 경우
4. 그 밖에 법 또는 이 영에 따른 의무를 위반한 경우

(6). 제1항에 따라 지정된 평가기관은 지정된 후 다음 각 호의 어느 하나에 해당하는 사유가 발생한 경우에는 보호위원회가 정하여 고시하는 바에 따라 그 사유가 발생한 날부터 14일 이내에 보호위원회에 신고해야 한다.
다만, 제3호에 해당하는 경우에는 그 사유가 발생한 날부터 60일 이내에 신고해야 한다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2017.10.17, 2020.08.04]

1. 제1항 각 호의 어느 하나에 해당하는 사항이 변경된 경우
2. 제4항 제1호에 해당하는 사항이 변경된 경우
3. 평가기관을 양도•양수하거나 합병하는 등의 사유가 발생한 경우

(7). 삭제 [2023.09.12]

[제37조에서 이동, 종전 제36조는 제37조로 이동 [2023.09.12]]

 

<+위임 행정규칙>

• 개인정보 영향평가에 관한 고시(개인정보보호위원회고시 제2024 - 10호, 2024.10.31, 일부개정)

 

제37조(영향평가 시 고려사항)

법 제33조 제3항 제4호에서 “대통령령으로 정한 사항”이란 다음 각 호의 사항을 말한다. [개정 2023.09.12]

1. 민감정보 또는 고유식별정보의 처리 여부
2. 개인정보 보유기간

[제36조에서 이동, 종전 제37조는 제36조로 이동 [2023.09.12]]

 

제38조(영향평가의 평가기준 등)

(1). 법 제33조 제9항에 따른 영향평가의 기준(이하 “평가기준”이라 한다)은 다음 각 호와 같다. [개정 2016.07.22, 2023.09.12]

1. 해당 개인정보파일에 포함되는 개인정보의 종류•성질, 정보주체의 수 및 그에 따른 개인정보 침해의 가능성
2. 법 제23조 제2항, 제24조 제3항, 제24조의 2 제2항, 제25조 제6항(제25조의 2 제4항에 따라 준용되는 경우를 포함한다) 및 제29조에 따른 안전성 확보 조치의 수준 및 이에 따른 개인정보 침해의 가능성
3. 개인정보 침해의 위험요인별 조치 여부
4. 그 밖에 법 및 이 영에 따라 필요한 조치 또는 의무 위반 요소에 관한 사항

(2). 법 제33조 제2항에 따라 영향평가를 의뢰받은 평가기관은 평가기준에 따라 개인정보파일의 운용으로 인한 개인정보 침해의 위험요인을 분석•평가한 후 다음 각 호의 사항이 포함된 평가 결과를 영향평가서로 작성하여 해당 공공기관의 장에게 보내야 하며, 공공기관의 장은 제35조 각 호에 해당하는 개인정보파일을 운용 또는 변경하기 전에 그 영향평가서를 보호위원회에 제출해야 한다. [개정 2023.09.12]

1. 영향평가의 대상 및 범위
2. 평가 분야 및 항목
3. 평가기준에 따른 개인정보 침해의 위험요인에 대한 분석•평가
4. 제3호의 분석•평가 결과에 따라 조치한 내용 및 개선계획
5. 영향평가의 결과
6. 제1호부터 제5호까지의 사항에 대하여 요약한 내용

(3). 보호위원회 또는 공공기관의 장은 제2항 제6호에 따른 영향평가서 요약 내용을 공개할 수 있다. [신설 2023.09.12]

(4). 보호위원회는 법 및 이 영에서 정한 사항 외에 평가기관의 지정 및 영향평가의 절차 등에 관한 세부 기준을 정하여 고시할 수 있다. [개정 2013.03.23, 2014.11.19, 2017.07.26, 2020.08.04, 2023.09.12]

 

<+위임 행정규칙>

• 개인정보 영향평가에 관한 고시(개인정보보호위원회고시 제2024 - 10호, 2024.10.31, 일부개정)

 

제39조(개인정보 유출 등의 통지)

(1). 개인정보처리자는 개인정보가 분실•도난•유출(이하 이 조 및 제40조에서 “유출 등”이라 한다)되었음을 알게 되었을 때에는 서면 등의 방법으로 72시간 이내에 법 제34조 제1항 각 호의 사항을 정보주체에게 알려야 한다.
다만, 다음 각 호의 어느 하나에 해당하는 경우에는 해당 사유가 해소된 후 지체 없이 정보주체에게 알릴 수 있다.

1. 유출 등이 된 개인정보의 확산 및 추가 유출 등을 방지하기 위하여 접속경로의 차단, 취약점 점검•보완, 유출 등이 된 개인정보의 회수•삭제 등 긴급한 조치가 필요한 경우
2. 천재지변이나 그 밖에 부득이한 사유로 인하여 72시간 이내에 통지하기 곤란한 경우

(2). 제1항에도 불구하고 개인정보처리자는 같은 항에 따른 통지를 하려는 경우로서 법 제34조 제1항 제1호 또는 제2호의 사항에 관한 구체적인 내용을 확인하지 못한 경우에는 개인정보가 유출된 사실, 그때까지 확인된 내용 및 같은 항 제3호부터 제5호까지의 사항을 서면 등의 방법으로 우선 통지해야 하며, 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지해야 한다.

(3). 제1항 및 제2항에도 불구하고 개인정보처리자는 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 법 제34조 제1항 각 호 외의 부분 단서에 따라 같은 항 각 호의 사항을 정보주체가 쉽게 알 수 있도록 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 제1항 및 제2항의 통지를 갈음할 수 있다.
다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 사업장 등의 보기 쉬운 장소에 법 제34조 제1항 각 호의 사항을 30일 이상 게시하는 것으로 제1항 및 제2항의 통지를 갈음할 수 있다.

[전문 개정 2023.09.12]
[제40조에서 이동, 종전 제39조는 제40조로 이동 [2023.09.12]]

 

제40조(개인정보 유출 등의 신고)

(1). 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우로서 개인정보가 유출 등이 되었음을 알게 되었을 때에는 72시간 이내에 법 제34조 제1항 각 호의 사항을 서면 등의 방법으로 보호위원회 또는 같은 조 제3항 전단에 따른 전문기관에 신고해야 한다.
다만, 천재지변이나 그 밖에 부득이한 사유로 인하여 72시간 이내에 신고하기 곤란한 경우에는 해당 사유가 해소된 후 지체 없이 신고할 수 있으며, 개인정보 유출 등의 경로가 확인되어 해당 개인정보를 회수•삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고하지 않을 수 있다.

1. 1천 명 이상의 정보주체에 관한 개인정보가 유출 등이 된 경우
2. 민감정보 또는 고유식별정보가 유출 등이 된 경우
3. 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출 등이 된 경우

(2). 제1항에도 불구하고 개인정보처리자는 제1항에 따른 신고를 하려는 경우로서 법 제34조 제1항 제1호 또는 제2호의 사항에 관한 구체적인 내용을 확인하지 못한 경우에는 개인정보가 유출 등이 된 사실, 그때까지 확인된 내용 및 같은 항 제3호부터 제5호까지의 사항을 서면 등의 방법으로 우선 신고해야 하며, 추가로 확인되는 내용에 대해서는 확인되는 즉시 신고해야 한다.

(3). 법 제34조 제3항 전단 및 후단에서 “대통령령으로 정하는 전문기관”이란 각각 한국인터넷진흥원을 말한다.

[전문 개정 2023.09.12]
[제39조에서 이동, 종전 제40조는 제39조로 이동 [2023.09.12]]

 

제40조의 2(노출된 개인정보의 삭제•차단 요청 기관)

법 제34조의 2 제2항에서 “대통령령으로 지정한 전문기관”이란 한국인터넷진흥원을 말한다.

[전문 개정 2023.09.12]

 

개인정보 보호법 시행령 더 보기

개인정보 보호법 시행령 - 제1장 총칙 완벽정리

개인정보 보호법 시행령 - 제2장 개인정보 보호위원회 완벽정리

개인정보 보호법 시행령 - 제3장 기본계획 및 시행계획의 수립절차 완벽정리

개인정보 보호법 시행령 - 제4장 개인정보의 처리 완벽정리

개인정보 보호법 시행령 - 제4장의 2 가명정보의 처리에 관한 특례 완벽정리

개인정보 보호법 시행령 - 제4장의 3 개인정보의 국외 이전 완벽정리