YesXYZ

아딸이 함께 만드는 세상

[CPPG] ISMS-P인증, 각종 평가, 정보보호 공시 등의 대상자

by · 2024년 11월 08일

정보통신망법 제47조(정보보호 관리체계의 인증) ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다. <신설 2012.2.17, 2015.12.1, 2018.12.24, 2020.6.9, 2024.1.23>

  1. 「전기통신사업법」 제6조제1항에 따른 등록을 한 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자(이하 “주요정보통신서비스 제공자”라 한다)
    • 정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) ① 법 제47조제2항제1호에서 “대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자”란 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.(ISP)
  2. 집적정보통신시설 사업자(IDC)
  3. 전년도 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 전년도 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준(정보통신망법 시행령 제49조제2항)에 해당하는 자
    1. 전년도 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자
      가. 「의료법」 제3조의4에 따른 상급종합병원
      나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교
    2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.
    3. 전년도 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.
<<참고사항>>
알뜰폰 서비스 제공자(MVNO) 등은 ISMS 의무 인증 대상자에 포함되나, 정보통신서비스 부문 전년도 매출액 100억원 이하인 영세 VIDC (Virtual IDC)는 제외된다.

개인정보 보호법 시행령 제35조(개인정보 영향평가의 대상) 법 제33조제1항에서 “대통령령으로 정하는 기준에 해당하는 개인정보파일”이란 개인정보를 전자적으로 처리할 수 있는 개인정보파일로서 다음 각 호의 어느 하나에 해당하는 개인정보파일을 말한다. <개정 2016. 9. 29.>

  1. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
  2. 구축ㆍ운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축ㆍ운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
  3. 구축ㆍ운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
  4. 법 제33조제1항에 따른 개인정보 영향평가(이하 “영향평가”라 한다)를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일. 이 경우 영향평가 대상은 변경된 부분으로 한정한다.

개인정보 처리방침 평가에 관한 고시 제4조(평가 대상) ① 영 제31조의2제1항에 따른 개인정보 처리방침의 평가 대상은 다음 각 호의 사항을 종합적으로 고려하여 처리방침 평가가 필요하다고 보호위원회가 심의ㆍ의결한 자로 한다.

  1. 전년도(법인의 경우에는 전 사업연도를 말하며, 이하 이 조에서 같다)의 매출액이 1,500억원 이상이면서 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 정보주체의 수가 일일평균 100만명 이상일 것
  2. 전년도 말 기준 직전 3개월간 민감정보 또는 고유식별정보가 저장ㆍ관리되고 있는 정보주체의 수가 일일평균 5만명(업무수행을 위해 처리되는 그에 소속된 임직원의 민감정보나 고유식별정보는 제외한다) 이상일 것
  3. 개인정보 처리방침에 법 제22조제3항에 따라 정보주체의 동의 없이 처리할 수 있는 개인정보의 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하고 있지 않을 것
  4. 법 제37조의2에 따라 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처리하거나, 그 밖에 새로운 기술을 이용한 개인정보 처리 방식으로 인하여 개인정보 침해 발생 우려가 있을 것
  5. 최근 3년 간 다음 각 목의 어느 하나에 해당할 것
    가. 2회 이상 법 제34조에 따른 개인정보 유출등이 되었을 것
    나. 법 제62조의2에 따른 과징금을 부과 받았을 것
    다. 법 제75조에 따른 과태료를 부과 받았을 것
  6. 19세 미만 아동 또는 청소년을 주된 이용자로 하는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제2호에 따른 정보통신서비스를 운영할 것

개인정보 보호법 제11조의2(개인정보 보호수준 평가) ① 보호위원회는 공공기관 중 중앙행정기관 및 그 소속기관, 지방자치단체, 그 밖에 대통령령으로 정하는 기관을 대상으로 매년 개인정보 보호 정책ㆍ업무의 수행 및 이 법에 따른 의무의 준수 여부 등을 평가(이하 “개인정보 보호수준 평가”라 한다)하여야 한다.
개인정보 보호법 시행령 제13조의2(개인정보 보호수준 평가의 대상ㆍ기준ㆍ방법ㆍ절차 등) ① 법 제11조의2제1항에서 “대통령령으로 정하는 기관”이란 다음 각 호의 기관을 말한다.

  1. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관
  2. 「지방공기업법」에 따른 지방공사와 지방공단
  3. 그 밖에 제2조제4호 및 제5호에 따른 공공기관 중 공공기관의 개인정보 처리 업무의 특성 등을 고려하여 보호위원회가 고시하는 기준에 해당하는 기관
개인정보 보호수준 평가에 관한 고시 제2조(평가 대상) ② 영 제13조의2제1항제3호에 따른 평가 대상은 특별법에 의하여 설립된 특수법인과 「고등교육법」 제2조에 따른 학교 중에 다음 각 호의 사항을 종합적으로 고려하여 보호수준 평가가 필요한 기관에 대해 보호위원회가 정할 수 있다.

  1. 5만명 이상의 정보주체에 관한 법 제23조에 따른 민감정보 또는 법 제24조제1항에 따른 고유식별정보를 처리하는 경우
  2. 100만명 이상의 정보주체에 관한 개인정보를 처리하는 경우
  3. 최근 3년간 개인정보 유출 등 개인정보 침해사고가 2회 이상 발생하였거나, 보호위원회로부터 과징금 또는 과태료 처분 등을 1회 이상 받은 경우
  4. 그 밖에 개인정보 처리 및 관리에 있어서 개인정보 침해 우려가 크다고 판단되는 경우

개인정보보호법 시행령 제21조(고유식별정보의 안전성 확보 조치)
개인정보처리자는 고유식별정보를 처리하는 경우에 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 암호화 등 안전성 확보에 필요한 조치를 하여야 하며, 개인정보보호위원회는 안전성 확보에 필요한 조치를 하였는지를 3년마다 1회 이상 정기적으로 고유식별정보 안전조치 관리실태를 조사해야 한다.

  1. 1만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 공공기관
  2. 보호위원회가 법 위반 이력 및 내용ㆍ정도, 고유식별정보 처리의 위험성 등을 고려하여 법 제24조제4항에 따른 조사가 필요하다고 인정하는 공공기관
  3. 공공기관 외의 자로서 5만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 자

정보보호산업의 진흥에 관한 법률 시행령 제8조(정보보호 공시) ① 법 제13조제2항 본문에서 “대통령령으로 정하는 기준에 해당하는 자”란 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자(이하 “정보보호공시의무자”라 한다)를 말한다. <신설 2021. 12. 9.>

  1. 다음 각 목의 어느 하나에 해당하는 자
    가. 「전기통신사업법」 제6조제1항에 따라 등록한 기간통신사업자 중 같은 법 시행령 제11조에 따른 회선설비 보유사업을 경영하는 자
    나. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제46조제1항에 따른 집적정보통신시설 사업자
    다. 「의료법」 제3조의4제1항에 따른 상급종합병원
    라. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령」 제3조제1호의 클라우드컴퓨팅서비스를 제공하는 자(서버, 저장장치, 네트워크 등을 제공하는 서비스)
  2. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제45조의3제1항 본문에 따라 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고해야 하는 자로서 유가증권시장(「자본시장과 금융투자업에 관한 법률 시행령」 제176조의9제1항에 따른 유가증권시장을 말한다) 또는 코스닥시장(대통령령 제24697호 자본시장과 금융투자업에 관한 법률 시행령 일부개정령 부칙 제8조에 따른 코스닥시장을 말한다)에 상장된 주권을 발행한 법인 중 직전 사업연도의 매출액이 3,000억원 이상인 자
  3. 전년도 말 기준 직전 3개월간 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따른 정보통신서비스(이하 “정보통신서비스”라 한다)의 일일평균 이용자 수가 100만명 이상인 자

② 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 자는 정보보호공시의무자에서 제외한다. <신설 2021. 12. 9.>

  1. 공공기관
  2. 제1항제1호 또는 제3호에 해당하는 자 중 「중소기업기본법 시행령」 제8조제1항에 따른 소기업(정보통신업은 50억원 이하)
  3. 「전자금융거래법」에 따른 금융회사
  4. 「전자금융거래법」에 따른 전자금융업자로서 「통계법」 제22조제1항에 따라 통계청장이 고시하는 한국표준산업분류에 따른 정보통신업이나 도매 및 소매업을 주된 업종으로 하지 않는 자

Tags:

You may also like...

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다