개인정보 접속기록의 보관 및 점검 조치 안내

A. 접속기록의 보관 및 점검

A.1. 개인정보처리시스템의 접속기록을 식별자 접속일 , 시, 접속자를 알 수 있는 정보 수행업무 등 필요한 , 사항이 모두 기록되도록 계획하고 있습니까?

 

개인정보 점검

 

【 】 주요 점검 사항

1. 6 · . 개인정보취급자가 개인정보처리시스템에 접속한 기록은 개월 이상 보관 관리하여야 한다
 ( , DBMS, ) ※ 개인정보처리시스템 접속 경로별로 누락 없이 적용 필요 응용프로그램 서버 등
2.. 개인정보 접속기록은 아래 사항이 모두 포함되어 있어야 한다
① 식별자
② 접속일시
③ 접속자를 알 수 있는 정보
④ 수행 업무 열람 수정 삭제 인쇄 입력 다운로드 등

 ※ 개인정보에 대한 수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정 복구 訂正 이용 제공 공개 파기 등이 수행업무에 해당될 수 있음

※ 단 주민등록번호 계좌번호 등 민감한 개인정보가 포함되지 않도록 주의

 

 

 

【 】 지표 해설

○ 개인정보처리시스템에 대한 개인정보담당자 등의 접속기록은 개인정보의 입 출력 및 수정사항 · , 파일별 담당자별 데이터접근내역 등을 자동으로 기록하는 로그 파일을 생성하는 불법적인 접근 ·또는 행동을 확인할 수 있는 중요한 자료이다 따라서 안전성 확보조치 기준 고시에서는 접속기록을. 6개월 이상 의무적으로 보관하도록 규정하고 있다
○ ‘접속기록’이라 함은 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자 접속일시 접속자를 알 수 있는 정보 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다 즉 . ‘접속기록’에는 식별자 접속일시 접속자를 알 수 있는 정보 수행업무의 4 가지 항목(식별자, 접속일시, 접속자를 알 수 있는 정보, 수행업무)은 반드시 포함되어야 한다

○ 개인정보취급자가 개인정보처리시스템에 접속하는 경로 및 방법이 다양할 경우 각각의 방법 및 경로별로 접속기록이 빠짐없이 기록될 수 있도록 하여야 한다. 

 

B.관련 법령 지침

【 】 개인정보 보호법
제 조 안전조치의무 29 ( ) 개인정보처리자는 개인정보가 분실 도난 유출 위조 변조 또는 훼손되지 아니하도록 내부 관리계획 수립 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적 관리적 및 물리적 조치를 하여야 한다.
【 】 개인정보 보호법 시행령
제 조 개인정보의 안전성 확보조치 30 ( ) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.

4. · 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조 변조 방지를 위한 조치

③ 제 항에 따른 안전성 확보 조치에 관한 세부 기준은 행정안전부장관이 정하여 고시한다 
【 】 개인정보의 안전성 확보조치 기준 고시
제 2조 (정의 )이 기준에서 사용하는 용어의 뜻은 다음과 같다 
19. " 접속기록"이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정 접속일시, 접속자 정보 수행업무 등을 전자적으로 기록한 것을 말한다 이 경우 접속이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.
제8조 접속기록의 보관 및 점검   ① 개인정보처리자는 개인정보취급자가 개인정보처리 시스템에 접속한 기록을 6개월 이상 보관 관리하여야 한다 
② 개인정보처리자는 개인정보의 분실 도난 유출 위조 변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다 
③ 개인정보처리자는 개인정보취급자의 접속기록이 위 변조 및 도난 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

 

 

 

【 】 관련법령 및 문서
관련 문서

○ ㆍ 개인정보 보호법령 및 지침 고시 해설서 제4장 제29조 안전조치의무 
○ 개인정보의 안전성 확보조치 기준 해설서 제 8조 접속기록의 보관 및 점검 

 

A.2. 개인정보의 유출 변조 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록을 정기적으로 점검하도록 계획하고 있습니까?

 

【 】 주요 점검 사항

1. · 개인정보의 유출 변조 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 점검계획을 수립하고, 그 계획에 따라 반기별로 1회 이상 점검하여야 한다 
 ※ 점검계획에는 점검 방법 점검 기준 점검 주기 시점 담당자 비정상 행위 발견 시 대응 절차 보고 절차 등 포함 필요
2., 대량 개인정보 다운로드 과도한 개인정보 조회 등 위험 행위를 효과적으로 점검할 수 있도록 기술적인 방안이 마련되어야 한다.
 ※ 응용프로그램 기능 구현 로그분석시스템 도입 등

【 】 지표 해설

○ 개인정보처리자는 개인정보의 유출 변조 훼손 등에 대응하기 위하여 개인정보 처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다 
이를 통해 비인가된 개인정보 처리 대량의 개인정보의 조회 정정 다운로드 삭제 등의 비정상 행위를 탐지하고 적절한 대응조치를 할 필요가 있다.
○ 접속기록의 효과적인 점검이 가능하기 위해서는 접속기록 점검 계획의 수립 검색기능 구현 등 , 관리적 기술적 방안이 함께 마련될 필요가 있다 , 

 

 

 

A.3. 개인정보의 유출 변조 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록을 정기적으로 점검하도록 계획하고 있습니까?

관련 법령 지침
【 】 개인정보 보호법

제 29조 안전조치의무 29 개인정보처리자는 개인정보가 분실 도난 유출 위조 변조 또는 훼손되지 아니하도록 내부 관리계획 수립 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적 관리적 및 물리적 조치를 하여야 한다.

【 】 개인정보 보호법 시행령

제30조 개인정보의 안전성 확보조치  ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.

 

 

 

4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조 변조 방지를 위한 조치

③ 제1 항에 따른 안전성 확보 조치에 관한 세부 기준은 행정안전부장관이 정하여 고시한다 

【 】 개인정보의 안전성 확보조치 기준 고시

제8조 접속기록의 보관 및 점검 
② 개인정보처리자는 개인정보의 분실 도난 유출 위조 변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다 
③ 개인정보처리자는 개인정보취급자의 접속기록이 위 변조 및 도난 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

 

【 】 관련법령 및 문서

관련 문서
○ 개인정보 보호법령 및 지침 고시 해설서 제4장 제29조 안전조치의무 
○ 개인정보의 안전성 확보조치 기준 해설서 제 8조 접속기록의 보관 및 점검 

 

 

A.4. 개인정보처리시스템의 접속한 기록을 최소 개월 6 이상 보관하고 위변조 및 도난 분실되지 않도록 별도 저장장치 등에 백업 보관하도록 계획되고 있습니까?

 

【 】 주요 점검 사항
1. 개인정보처리시스템의 접속기록이 위 변조 및 도난 분실 되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
 ①정기적으로 접속기록 백업 수행 및 별도의 저장장치에 보관
 ②덮어쓰기 방지 매체 사용
 ③기타 접속기록의 무결성을 보장할 수 있는 기술적 관리적 방안 적용 등의 방법 활용 

【 】 지표 해설
○ 개인정보처리자는 개인정보처리시스템의 접속 기록이 위 변조 및 도난 분실되지 않도록 안전하게 보관하여야 한다. 
○ 안전하게 보관하는 방법으로는 여러 가지 방법들이 존재하며 이러한 방법들 중에 대상기관에 , 맞는 방법을 선택하여 사용할 수 있다 다만 개인정보처리시스템과 동일한 서버에 접속기록이. 존재하게 될 경우에는 위 변조 도난 분실 등을 방지하는 것이 어려우므로 최소한 물리적으로 분리된 저장장치에 보관 백업될 수 있도록 하여야 한다.
- 정기적으로 접속기록 백업을 수행하여 개인정보처리시스템 이외의 별도의 보조저장매체나 별도의 저장장치에 보관하는 등의 조치 필요
- 접속기록에 대한 위 변조를 방지하기 위해서는 CD-ROM, WORM(Write Once Read Many) 등과 같은 덮어쓰기 방지 매체를 사용하는 것을 권고함
- 접속기록을 수정 가능한 매체 하드디스크 자기테이프 등에 백업하는 경우 무결성 보장을 위해 위 변조 여부를 확인할 수 있는 정보를 별도의 장비에 보관 관리할 수 있음 
( HDD (MAC , 예를 들어 접속기록을 에 보관하고 위 변조 여부를 확인할 수 있는 정보 값 전자서명값등 는 별도의 또는 관리대장에 보관하는 방법으로 관리할 수 있음 ) HDD )

 

 

 

관련 법령 지침 
【 】 개인정보의 안전성 확보조치 기준 고시 제 8조 접속기록의 보관 및 점검 
 
③ 개인정보처리자는 개인정보취급자의 접속기록이 위 변조 및 도난 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

 

【 】 관련법령 및 문서
관련 문서
○ 개인정보 보호법령 및 지침 고시 해설서 제 4장 제29조 안전조치의무 
○ 개인정보의 안전성 확보조치 기준 해설서 제 8조 접속기록의 보관 및 점검