12. 개인정보 암호화 근거 법률

◎ 개인정보 암호화 근거 법률

개인정보법은 개인정보의 수집∙유출∙오용∙남용으로부터 사생활의 비밀 등을 보호하기 위하여 개인정보처리에 관한 사항을 규정하고 있다. 업무를 목적으로 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 적용 대상으로 한다.

(1) 개인정보 보호법

개인정보 보호법에서는 고유식별정보 등 개인정보가 분실∙도난∙유출∙위조∙변조 또는 훼손되지아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 규정하고 있다.

 

제23조(민감정보의 처리 제한)
② 개인정보처리자가 제2항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실∙도난∙유출∙위조∙변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.

 

제24조(고유식별정보의 처리 제한)

③ 개인정보처리자가 제1항 가 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실∙도난∙유출∙위조∙변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.

 

제24조의2(주민등록번호 처리의 제한)

② 개인정보처리자는 제24조의 제3항에도 불구하고 주민등록번호가 분실∙도난∙유출∙위조∙변조 또는 훼손되지

아니하도록 암호화 조치를 통하여 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용시기 등에 관하여

필요한 사항은 개인정보의 처리규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.

 

제29조(안전조치의무)

개인정보처리자는 개인정보가 분실∙도난∙유출∙위조∙변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록

보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적∙관리적 및 물리적 조치를 하여야 한다.

 

 

(2) 개인정보 보호법 시행령

시행령에서는 개인정보를 안전하게 저장 ∙ 전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치를 적용하도록 하고 있으며, 암호화 등 안전성 확보 조치에 관한 세부기준은 『개인정보의 안전성 확보 조치기준』에서 정함을 명시하고 있다.

 

제21조(고유식별정보의 안전성 확보 조치)

법 제24조제3항에 따른 고유식별정보의 안전성 확보 조치에 관하여는 제30조를 준용한다.

이 경우 "법 제29조"는 "법 제24조 제3항"으로, "개인정보"는 "고유식별정보"로 본다.

 

제21조의2(주민등록번호 암호화 적용 대상 등)

① 법 제24조의 제2항에 따라 암호화 조치를 하여야 하는 암호화 적용 대상은 주민등록번호를 전자적인

방법으로 보관하는 개인정보 처리자로 한다.

③ 행정자치부장관은 기술적∙경제적 타당성 등을 고려하여 제1항에 따른 암호화 조치의 세부적인 사항을

정하여 고시할 수 있다.

 

 

(3) 행정자치부 고시

행정자치부 고시인 개인정보의 안전성 확보 조치기준에서는 고유식별정보, 비밀번호 및 바이오정보 등 암호화의 적용여부 및 적용범위 등을 규정하고 있다. 이 기준에서는 정보통신망을 통해 송신하거나 저장하는 경우 암호화 등의 안전성 확보 조치에 대한 세부기준을 제시하고 있다.

 

“고유식별정보”는 개인을 고유하게 구별하기 위하여 부여된 식별정보를 말하며 주민등록번호, 여권번호, 운전면허번호, 외국인 등록번호가 여기에 해당한다.

 

“비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속권한을 가진 자 라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로써 타인에게 공개되지 않는 정보를 말한다.

 

“바이오정보“란 지문, 얼굴, 홍체, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로써 그로부터 가공되거나 생성된 정보를 포함한다.

 

 

○ 개인정보의 안전성 확보 조치 기준 (행정자치부 고시, 제2016-35호)

 

제7조(개인정보의 암호화)
① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

③ 개인정보처리자는 인터넷구간 및 인터넷 구간과 내부망의 중간지점에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.

④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.

 

제2조(적용례)

영 제21조의 제2항에 따른 주민등록번호의 암호화 적용시기 이후에는 고유식별정보 중 주민등록 번호는 제7조 제4항을 적용하지 아니한다. 

 

---

암호화 적용기준 요약표 (정리)

	구분			암호화 기준
정보통신망, 보조저장매체를 통한 송신 시	비밀번호, 바이오정보, 고유식별정보			암호화 송신
개인정보처리 시스템에 저장 시	비밀번호			일방향(해쉬 함수) 암호화 저장
	바이오 정보			암호화 저장
	고 유 식 별 정 보	주민등록번호		암호화 저장
		여권번호 외국인 등록번호 운전면허번호	인터넷 구간, 인터넷 구간과 내부망의 중장지점 (DMZ)	암호화 저장
			내부망에 저장	암호화 저장 또는 다음 항목에 따라 암호화 적용여부, 적용범위를 정하여 시행 ① 개인정보 영향평가 대상이 되는 공공기관의 경우, 그 개인정보 영향평가의 결과 ② 암호화 미적용시 위험도 분석에 따른 결과
업무용 컴퓨터에 모바일 기기에 저장시	비밀번호, 바이오정보, 고유식별정보			암호화 저장 *비밀번호는 일방향 암호화 저장