| ① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립·운영하여야 한다. ② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다. ③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다. |
안전조치 기준 제10조제1항은 개인정보를 보관하는 물리적 장소(전산실, 자료보관실)가 따로 있는 경우에 해당합니다. 예전에는 서버실 등을 직접 운영하는 경우가 있었지만 요즘은 보기 힘들지요. 다만 단체에 따라 상담 내용이나 기타 개인정보가 담긴 자료를 특정 공간에 보관하는 경우도 있으니, 이 경우에는 적절한 안전조치가 필요합니다.
물리적 장소에 대한 안전조치의 예로는 출입통제장치(번호, 카드, 자물쇠, 지문 등)를 설치하거나, 출입자, 출입일시, 출입목적, 소속 등을 확인할 수 있는 출입대장을 기록·관리하는 방법 등이 있습니다.
별도 공간이 없더라도 개인정보가 포함된 서류나 USB 메모리 등을 다루는 경우는 있지요. 제2항에 해당하는 내용입니다. 개인정보가 포함된 문서나 USB 등은 꼭 잠금 장치가 설치된 캐비닛, 서랍 등에 보관하고, 회원 명부가 책상에 놓여 있거나 해서는 곤란합니다.
제3항은 개인정보처리시스템을 직접 운영하는 경우 (예: 회원 DB을 서버실에서 관리), 해당 시스템에서 데이터를 USB 등에 담아 반출하는 경우에 대비해 보조저장매체 관련 보안대책을 명시적으로 마련해야 한다는 내용입니다. 관련 정책 및 절차를 마련하여 관리대장을 운영하고, 별도 승인이 있어야만 USB 읽기/쓰기가 가능하게 해주는 보조저장매체 통제 솔루션 도입 등 여러 방법이 있습니다. 이 가이드에서 상정하고 있는 독자와는 다소 거리가 있는 내용입니다.