[ISMS-P] 가명정보의 안전성 확보 조치(개인정보보호법 vs. 신용정보법)
by
딸둘아비
·
2025년 04월 18일
| 항목 |
개인정보보호법
(출처: 가명정보 처리 가이드라인) |
신용정보법
(출처: 신용정보업감독규정 [별표 8]가명정보에 관한 보호조치 기준 |
| 가명처리 기록 |
파기한 날로부터 3년간 보존
- 가명정보 처리의 목적
- 가명처리한 개인정보의 항목
- 가명정보의 이용내역
- 제3자 제공 시 제공받는 자
- 가명정보의 처리 기간(해당하는 경우)
- 그 밖에 가명정보의 처리 내용을 관리하기 위하여 보호위원회가 필요하다고 인정하여 고시하는 사항
|
파기된 이후 3년 이상 보존
월 1회 이상 주기적으로 확인ㆍ감독
- 구체적인 처리 목적
- 처리 방법
- 처리 일시
|
추가정보에 대한
보호조치 |
- 가명정보와 추가정보의 분리 보관. 다만, 추가정보가 불필요한 경우에는 추가정보를 파기해야 한다.
- 가명정보와 추가정보에 대한 접근 권한의 분리. 다만, 「소상공인기본법」 제2조에 따른 소상공인으로서 가명정보를 취급할 자를 추가로 둘 여력이 없는 경우 등 접근 권한의 분리가 어려운 정당한 사유가 있는 경우에는 업무 수행에 필요한 최소한의 접근 권한만 부여하고 접근 권한의 보유 현황을 기록으로 보관하는 등 접근 권한을 관리ㆍ통제해야 한다.
|
- 신용정보회사등은 추가정보를 삭제하지 아니하고 보존하여야 하는 경우 추가정보를 가명정보와 분리된 저장소에 암호화하여 저장하여야 한다.
- 신용정보회사등은 원칙적으로 가명정보를 취급하는 직원이 추가정보에 접근할 수 있는 권한을 부여하지 않아야 하며, 추가정보 접근이 불가피한 경우 관리책임자의 사전 승인을 받아 일시적으로 부여하고, 관련 기록을 보관하는 등 적절한 통제시스템을 갖추어야 한다.
- 신용정보회사등은 제2항에 따른 기록 보관시 접근자의 신원, 관리책임자의 신원, 접근일시, 대상정보, 조회가 불가피한 사유, 용도 등의 기록을 3년간 보관하여야 한다.
- 신용정보회사등은 추가정보가 가명정보를 재식별하는 데 사용되는 등 부정한 목적으로 사용되지 않도록 월 1회 이상 주기적으로 점검하여야 한다.
|
가명정보에 대한
보호조치 |
- 사전준비 단계에서 수립한 내부 관리계획에 따라 가명정보에 대한 안전조치 의무 이행(추가정보 분리 보관 또는 삭제, 접근권한 분리 등)
- 재식별 금지 및 재식별 가능성 모니터링
- 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수·파기
- 가명정보 처리에 관한 사항을 개인정보 처리방침에 공개 등
|
- 신용정보회사등은 가명처리전 개인신용정보와 가명처리한 개인신용정보를 분리하여 저장하여야 한다.
- 신용정보회사등은 가명정보를 취급하는 담당자를 별도로 지정ㆍ관리하고 가명처리전 개인신용정보를 취급하는 담당자와 접근권한을 구분하여 운영하여야 한다.
- 신용정보회사등은 원칙적으로 가명정보를 취급하는 직원이 가명처리전 개인신용정보에 접근할 수 있는 권한을 부여하지 않아야 하며, 가명처리 전 개인신용정보에 접근이 불가피한 경우 관리책임자의 사전 승인을 받아 일시적으로 부여하고, 관련 기록을 보관하는 등 적절한 통제시스템을 갖추어야 한다.
- 신용정보회사등은 제3항에 따른 기록 보관시 접근자의 신원, 관리책임자의 신원, 접근일시, 대상정보, 접근이 불가피한 사유, 용도 등의 기록을 3년 이상 보관하여야 한다.
- 신용정보회사등은 가명정보 처리 시 가명정보의 구체적인 처리 목적, 처리 방법, 처리 일시를 기록하여 가명정보가 파기된 이후 3년 이상 보관하고, 처리 기록에 대해 월 1회 이상 주기적으로 확인ㆍ감독하여야 한다.
- 신용정보회사등은 가명정보 오ㆍ남용에 대한 자체 제재기준을 마련하여야 한다.
|
Tags: IT zest > ISMS-P 인증심사원IT zest > 개인정보관리사
You may also like...
