고유식별정보: Difference between revisions
From CS Wiki
(새 문서: 개인을 고유하게 구별하기 위하여 부여된 식별정보 == 법률 근거 == * 개인정보 보호법 제24조(고유식별정보의 처리 제한) * 개인정보 보호법 시행령 제19조(고유식별정보의 범위) == 고유식별정보의 범위 == 개인정보 보호법에선 고유식별정보를 '개인을 고유하게 구별하기 위하여 부여된 식별정보'로서...) |
No edit summary |
||
Line 1: | Line 1: | ||
개인을 고유하게 구별하기 위하여 부여된 식별정보 | 개인을 고유하게 구별하기 위하여 부여된 식별정보 | ||
== 법률 근거 == | ==법률 근거== | ||
* [[개인정보 보호법 제24조|개인정보 보호법 제24조(고유식별정보의 처리 제한)]] | *[[개인정보 보호법 제24조|개인정보 보호법 제24조(고유식별정보의 처리 제한)]] | ||
* [[개인정보 보호법 시행령 제19조|개인정보 보호법 시행령 제19조(고유식별정보의 범위)]] | *[[개인정보 보호법 시행령 제19조|개인정보 보호법 시행령 제19조(고유식별정보의 범위)]] | ||
== 고유식별정보의 범위 == | ==고유식별정보의 범위== | ||
개인정보 보호법에선 고유식별정보를 '개인을 고유하게 구별하기 위하여 부여된 식별정보'로서 아래 중 하나에 해당하는 정보로 정의하고 있다. | 개인정보 보호법에선 고유식별정보를 '개인을 고유하게 구별하기 위하여 부여된 식별정보'로서 아래 중 하나에 해당하는 정보로 정의하고 있다. | ||
* 1. 「주민등록법」 제7조의2제1항에 따른 '''주민등록번호''' | *1. 「주민등록법」 제7조의2제1항에 따른 '''주민등록번호''' | ||
* 2. 「여권법」 제7조제1항제1호에 따른 '''여권번호''' | *2. 「여권법」 제7조제1항제1호에 따른 '''여권번호''' | ||
* 3. 「도로교통법」 제80조에 따른 운전면허의 '''면허번호''' | *3. 「도로교통법」 제80조에 따른 운전면허의 '''면허번호''' | ||
* 4. 「출입국관리법」 제31조제5항에 따른 '''외국인등록번호''' | *4. 「출입국관리법」 제31조제5항에 따른 '''외국인등록번호''' | ||
=== 고유식별정보가 아닌 것들 === | ===고유식별정보가 아닌 것들=== | ||
고유식별정보와 함께 자주 언급되고, 고유한 식별성이 있음에도 개인정보 보호법상의 기준에 따르면 아래는 고유식별정보가 아니다. | 고유식별정보와 함께 자주 언급되고, 고유한 식별성이 있음에도 개인정보 보호법상의 기준에 따르면 아래는 고유식별정보가 아니다. | ||
* CI (연계 정보) | *CI (연계 정보) | ||
* 계좌번호 | *계좌번호 | ||
* 신용카드번호 | *신용카드번호 | ||
== 고유식별정보의 처리 제한 및 보호조치 == | ==고유식별정보의 처리 제한 및 보호조치== | ||
'''아래를 제외하고는 고유식별정보를 처리할 수 없다.''' | '''아래를 제외하고는 고유식별정보를 처리할 수 없다.''' | ||
* 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 | *1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 | ||
* 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 | *2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 | ||
'''처리 시 별도 보호조치를 취하여야 하는 등 강한 규제가 적용된다.''' | '''처리 시 별도 보호조치를 취하여야 하는 등 강한 규제가 적용된다.''' | ||
* '''암호화'''<ref>[[개인정보의 안전성 확보조치 기준 제7조]]</ref> | *'''암호화'''<ref>[[개인정보의 안전성 확보조치 기준 제7조]]</ref> | ||
** 정보통신망을 통한 전송 시 암호화 | **정보통신망을 통한 전송 시 암호화 | ||
** 보조저장매체로 저장·전달 시 암호화 | **보조저장매체로 저장·전달 시 암호화 | ||
** 업무용 컴퓨터/ 모바일 기기 저장 시 암호화 | **업무용 컴퓨터/ 모바일 기기 저장 시 암호화 | ||
** 개인정보 처리 시스템 저장 시 | **개인정보 처리 시스템 저장 시 | ||
*** 인터넷구간, DMZ 저장 시: 암호화 | ***인터넷구간, DMZ 저장 시: 암호화 | ||
*** 내부망 저장 시: 암호화 또는 위험도 분석 | ***내부망 저장 시: 암호화 또는 위험도 분석 | ||
* '''취약점 점검''' | *'''취약점 점검''' | ||
** 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 '''연 1회 이상 취약점을 점검'''<ref>[[개인정보의 안전성 확보조치 기준 제6조]]</ref> | **고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 '''연 1회 이상 취약점을 점검'''<ref>[[개인정보의 안전성 확보조치 기준 제6조]]</ref> | ||
* '''접속기록 보관''' | *'''접속기록 보관''' | ||
** 고유식별정보를 처리하는 개인정보처리시스템은 경우에는 '''2년 이상 개인정보취급자 접속기록을 보관·관리<ref>[[개인정보의 안전성 확보조치 기준 제8조]]</ref>''' | **고유식별정보를 처리하는 개인정보처리시스템은 경우에는 '''2년 이상 개인정보취급자 접속기록을 보관·관리<ref>[[개인정보의 안전성 확보조치 기준 제8조]]</ref>''' | ||
* '''기타''' | *'''기타''' | ||
** [[개인정보보호위원회]]는 직권으로 고유식별정보 처리자에 대한 점검 가능 | **[[개인정보보호위원회]]는 직권으로 고유식별정보 처리자에 대한 점검 가능 | ||
== 기술적 고유식별정보 == | ==기술적 고유식별정보== | ||
법률적 정의가 아닌, 단어의 문언적 의미나 기술적인 기준으론 마스터 테이블의 PK, 고유한 고객번호, [[UUID]], [[분산 ID|DID]] 등도 고유식별정보가 될 수 있다. 이메일, 휴대폰번호를 중복으로 가입할 수 없도록 된 홈페이지에선 이메일이나 휴대폰번호 또한 고유식별정보가 될 수 있다. 다만 법정 용어인 고유식별정보가 흔히 사용되는 만큼 그 외의 고유한 실별 정보는 다르게 표현하는 것이 권장된다. | 법률적 정의가 아닌, 단어의 문언적 의미나 기술적인 기준으론 마스터 테이블의 PK, 고유한 고객번호, [[UUID]], [[분산 ID|DID]] 등도 고유식별정보가 될 수 있다. 이메일, 휴대폰번호를 중복으로 가입할 수 없도록 된 홈페이지에선 이메일이나 휴대폰번호 또한 고유식별정보가 될 수 있다. 다만 법정 용어인 고유식별정보가 흔히 사용되는 만큼 그 외의 고유한 실별 정보는 다르게 표현하는 것이 권장된다. | ||
== 같이 보기 == | ==같이 보기== | ||
* [[주민등록번호]] | *[[주민등록번호]] | ||
* [[ISMS-P 인증 기준 3.1.4.민감정보 및 고유식별정보의 처리 제한]] | *[[ISMS-P 인증 기준 3.1.4.민감정보 및 고유식별정보의 처리 제한]] | ||
== 각주 == | ==각주== | ||
<references /> | |||
[[분류:개인정보보호]] | |||
[[분류:컴플라이언스]] |
Latest revision as of 06:36, 5 July 2022
개인을 고유하게 구별하기 위하여 부여된 식별정보
법률 근거[edit | edit source]
고유식별정보의 범위[edit | edit source]
개인정보 보호법에선 고유식별정보를 '개인을 고유하게 구별하기 위하여 부여된 식별정보'로서 아래 중 하나에 해당하는 정보로 정의하고 있다.
- 1. 「주민등록법」 제7조의2제1항에 따른 주민등록번호
- 2. 「여권법」 제7조제1항제1호에 따른 여권번호
- 3. 「도로교통법」 제80조에 따른 운전면허의 면허번호
- 4. 「출입국관리법」 제31조제5항에 따른 외국인등록번호
고유식별정보가 아닌 것들[edit | edit source]
고유식별정보와 함께 자주 언급되고, 고유한 식별성이 있음에도 개인정보 보호법상의 기준에 따르면 아래는 고유식별정보가 아니다.
- CI (연계 정보)
- 계좌번호
- 신용카드번호
고유식별정보의 처리 제한 및 보호조치[edit | edit source]
아래를 제외하고는 고유식별정보를 처리할 수 없다.
- 1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
- 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
처리 시 별도 보호조치를 취하여야 하는 등 강한 규제가 적용된다.
- 암호화[1]
- 정보통신망을 통한 전송 시 암호화
- 보조저장매체로 저장·전달 시 암호화
- 업무용 컴퓨터/ 모바일 기기 저장 시 암호화
- 개인정보 처리 시스템 저장 시
- 인터넷구간, DMZ 저장 시: 암호화
- 내부망 저장 시: 암호화 또는 위험도 분석
- 취약점 점검
- 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검[2]
- 접속기록 보관
- 고유식별정보를 처리하는 개인정보처리시스템은 경우에는 2년 이상 개인정보취급자 접속기록을 보관·관리[3]
- 기타
- 개인정보보호위원회는 직권으로 고유식별정보 처리자에 대한 점검 가능
기술적 고유식별정보[edit | edit source]
법률적 정의가 아닌, 단어의 문언적 의미나 기술적인 기준으론 마스터 테이블의 PK, 고유한 고객번호, UUID, DID 등도 고유식별정보가 될 수 있다. 이메일, 휴대폰번호를 중복으로 가입할 수 없도록 된 홈페이지에선 이메일이나 휴대폰번호 또한 고유식별정보가 될 수 있다. 다만 법정 용어인 고유식별정보가 흔히 사용되는 만큼 그 외의 고유한 실별 정보는 다르게 표현하는 것이 권장된다.