| ① 개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상 보관·관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관·관리하여야 한다. 1. 5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우 2. 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우 3. 개인정보처리자로서 「전기통신사업법」제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우 ② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. ③ 개인정보처리자는 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하기 위한 조치를 하여야 한다. |
접속기록을 보관하고 점검하는 주된 목적은 혹시라도 개인정보 침해사고가 발생할 경우 그 경위를 파악 및 분석하기 위해서입니다.
접속기록이란?
개인정보취급자가 개인정보처리시스템에 접속해서 수행한 업무내역의 기록으로 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무를 포함해야 합니다. 즉 누가, 언제, 어디서, 누구에 대한 정보로, 무엇을 했는지에 관한 기록입니다.
- 식별자: 개인정보처리시스템에서 접속자를 식별할 수 있는 ID 등 계정 정보
- 접속일시: 접속한 시점 또는 업무를 수행한 시점
- 접속지 정보: 접속한 자의 PC, 모바일기기 정보 또는 서버의 IP주소 등 접속 주소
- 처리한 정보주체 정보: 개인정보취급자가 누구의 개인정보를 처리하였는지를 알 수 있는 식별정보(ID, 고객번호, 학번, 사번 등)
- 수행업무: 개인정보취급자가 개인정보처리시스템에서 개인정보를 처리한 내용을 알 수 있는 정보
접속기록을 보관하는 법
그렇다면 접속 기록을 어떻게 보관하면 될까요? 담당자가 특정 회원 정보를 열람할 때마다 업무 내용을 일일이 적어둘 수는 없는 노릇일 텐데요. CRM 등 회원관리 툴에서는 접속기록 보관에 관한 기능(이른바 ‘감사’ 기능)을 제공하는 것이 일반적입니다.
접속기록 목록의 예.
이미지 출처: 도너스
예를 들어 도너스에서는 [정보보호 > 감사] 메뉴에서 접속 기록을 확인할 수 있습니다. 사용하는 시스템의 접속기록 보관 및 확인 방법을 모를 경우 공식문서를 확인하거나 업체에 문의하여 확인할 수 있습니다.
CRM 시스템에 따라서는 실무자가 개인정보를 다운로드할 때 사유를 입력하게끔 되어 있는 경우가 있는데, 이를 활용하여 사유를 기록해두는 것이 좋습니다.
구글 드라이브 등 클라우드 기반 협업 서비스에서 개인정보를 처리하는 경우에는 접속기록 보관이 더 어렵습니다. 구글 드라이브의 경우 개별 문서의 수정 이력 정도는 기록이 남지만 자세한 접속 기록은 제공되지 않아, 일반 계정으로 사용할 때 법령에서 요구하는 수준의 접속기록 보관은 사실상 불가능합니다.
다만 유료 버전인 구글 워크스페이스에서는 접속기록 확인용 감사 도구를 관리자에게 제공하며, 이를 통해 접속기록을 보관 및 점검할 수 있습니다. 정식 등록된 비영리단체의 경우 구글 워크스페이스 무료 이용을 신청할 수 있으니 가급적 활용하는 것이 좋습니다.
접속기록의 보관 기간은 기본적으로 1년 이상이되, 제1항에 서술된 대로 5만명 이상의 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하거나, 기간통신사업자일 경우에는 2년 이상입니다. 예를 들어 우리 단체가 회원의 (생년월일이 아니라) 주민등록번호를 수집할 경우에는 고유식별정보에 해당하기 때문에 접속기록을 2년 이상 보관해야 합니다.
🟢 고유식별정보란?
- 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호
🟢 민감정보란?
- 사상·신념에 관한 정보
- 노동조합·정당의 가입·탈퇴에 관한 정보
- 정치적 견해에 관한 정보
- 건강, 성생활 등에 관한 정보 (병력, 장애여부 및 등급 등)
- 유전자검사 등의 결과로 얻어진 유전정보
- 범죄경력자료
- 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 개인을 특정할 수 있는 것 (생체인식정보: 얼굴, 지문, 홍채 등)
- 인종이나 민족에 관한 정보
또한 제8조제3항에서는 접속기록을 “안전하게 보관하기 위한 조치”가 필요하다고 명시합니다. 접속기록 자체를 조작하여 개인정보 오남용 사실을 확인하기 어렵게 만들 수 있기 때문입니다. 안전한 보관을 위해서 비영리단체는 접속기록을 수정/삭제할 수 있는 관리자 계정에 대한 접근권한 통제를 확실히 실시하도록 합니다. 외부 CRM 도구를 사용할 경우 접속기록의 보관과 백업이 어떻게 이루어지는지 해당 업체에 문의하여 확인합니다.
접속기록의 점검
보관한 접속기록은 월 1회 이상 점검해야 합니다.
취급자가 개인정보를 다운로드한 기록이 있을 경우 내부 관리계획에 따라 사유를 확인해야 하는데요. 일반적인 업무 상황에서는 접속기록에 남아 있는 다운로드 목적을 확인하는 것으로 갈음할 수 있지만 특수한 상황에서는 개인정보 보호책임자의 추가 확인이 필요할 수 있습니다.
다운로드 사유를 추가적으로 확인하는 기준은 법에서 정해진 것은 아니고, 내부 관리계획을 통해 상식적인 선에서 정하면 됩니다. 예를 들어 ‘일평균 처리건수에 비해 과도하게 다운로드한 경우’, ‘업무시간 외에 단시간 수차례 다운로드한 경우’ 등이 있습니다.
비인가된 개인정보에 대한 처리, 대량의 다운로드 등 비정상 행위가 발견될 경우 추가 조사를 진행하거나 해당 개인정보취급자에게 소명을 요청하는 등 대응조치를 수행해야 합니다. 비정상 행위의 범주 또한 내부 관리계획을 통해 정할 수 있는 사항입니다. 예를 들어 다음과 같은 것들이되, 단체의 사정에 맞게 적절한 판단이 필요합니다.
- 접근권한이 부여되지 않은 계정으로 접속
- 출근시간 전, 퇴근시간 후, 새벽시간, 휴무일 등 업무시간 외에 접속
- 인가되지 않은 단말기 또는 지역에서 접속
- 특정 정보주체를 과도하게 조회하고 다운로드 하는 등의 행위
- 대량의 개인정보를 조회, 정정, 다운로드, 삭제하는 등의 행위
- 짧은 시간에 하나의 계정으로 여러 지역에서 접속
법으로 요구되는 접속기록 점검을 활용하여 불필요한 개인정보 파일 파기, 접근권한 관리 등 안전조치 전반에 대한 정기점검을 수행하는 것도 좋습니다.