Page 76 - test
P. 76
Ⅴ. 부록
신용정보의 이용 및 보호에 관한 법률 시행령
• 제16조(기술적·물리적·관리적 보안대책의 수립)
① 법 제19조제1항에 따라 신용정보회사등은 신용정보전산시스템의 안전보호를 위하여 다음 각 호의 사항이 포함된
기술적·물리적·관리적 보안대책을 세워야 한다.
1. 신용정보에 제3자가 불법적으로 접근하는 것을 차단하기 위한 침입차단시스템 등 접근통제장치의 설치・운영에
관한 사항
2. 신용정보전산시스템에 입력된 정보의 변경・훼손 및 파괴를 방지하기 위한 사항
3. 신용정보 취급・조회 권한을 직급별・업무별로 차등 부여하는 데에 관한 사항 및 신용정보 조회기록의 주기적인
점검에 관한 사항
4. 그 밖에 신용정보의 안정성 확보를 위하여 필요한 사항
② 금융위원회는 제1항 각 호에 따른 사항의 구체적인 내용을 정하여 고시할 수 있다.
신용정보업감독규정
• 제20조(기술적·물리적·관리적 보안대책)
영 제16조제2항에 따라 신용정보회사등이 마련해야 할 기술적·물리적·관리적 보안대책의 구체적인 기준은 별표 3과 같다.
[별표 3] 기술적·물리적·관리적 보안대책 마련 기준
Ⅱ. 기술적·물리적 보안대책
3. 개인신용정보의 암호화
① 신용정보회사등은 비밀번호, 바이오정보 등 본인임을 인증하는 정보는 암호화하여 저장하며, 이는 조회할 수
없도록 하여야 한다. 다만, 조회가 불가피하다고 인정되는 경우에는 그 조회사유·내용 등을 기록·관리하여야 한다.
② 신용정보회사등은 정보통신망을 통해 개인신용정보 및 인증정보를 송·수신할 때에는 보안서버 구축 등의 조치를
통해 이를 암호화해야 한다. 보안서버는 다음 각 호의 어느 하나의 기능을 갖추어야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 개인신용정보를 암호화하여 송・수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 개인신용정보를 암호화하여 송・수신하는 기능
③ 신용정보회사등은 개인신용정보를 PC에 저장할 때에는 이를 암호화해야 한다.
④ 신용정보회사등은 다음 각 호의 기준에 따라 주민등록번호의 암호화 등의 조치를 취하여야 한다.
1. 정보통신망을 통하여 송수신하거나 보조저장매체를 통하여 전달하는 경우에는 암호화하여야 한다.
2. 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone) 에 저장할 때에는 암호화하여야 한다.
3. 신용정보회사등이 내부망에 주민등록번호를 저장하는 경우에는 다음 각 목의 기준에 따라 암호화의 적용여부 및
적용범위를 정하여 시행할 수 있다.
가. 「개인정보 보호법」 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
나. 그 밖의 신용정보회사등의 경우에는 개인신용정보처리시스템에 적용되고 있는 개인신용정보 보호를 위한 수단과
개인신용정보 유출시 신용정보주체의 권익을 해할 가능성 및 그 위험의 정도를 분석한 결과
4. 업무용 컴퓨터 또는 모바일 기기에 저장하여 관리하는 경우에는 상용 암호화 소프트웨어 또는 안전한 알고리즘을
사용하여 암호화하여야 한다.
⑤ 신용정보집중기관과 신용조회회사가 서로 개인식별번호를 제공하는 경우에는 상용 암호화 소프트웨어 또는
안전한 알고리즘을 사용하여 암호화하여야 한다.
⑥ 신용정보회사등이 개인신용정보의 처리를 위탁하는 경우 개인식별번호를 암호화하여 수탁자에게 제공하여야 한다.
85
