Q. 고객모집 영업을 위해서 본사 외에 대리점, 위탁점에도 개인정보처리시스템 접속을 허용하려고 합니다. 접근권한을 부여할 때 지켜야 할 기준은 무엇이 있나요?



A. 사업자는 개인정보를 취급하는 자를 최소한으로 제한하여야 합니다. 특히 개인정보처리시스템에 대한 접근권한은 업무수행에 필요한 최소한의 범위로 업무담당자에 따라 차등 부여하여야 합니다.


대리점, 위탁점에 개인정보처리시스템에 대한 접근권한을 부여하는 경우에도 업무의 성격에 따라 반드시 필요한 범위 내에서 최소한의 자에게 접근권한을 부여해야 합니다.

그러나, 현실에서는 업무상의 편리, 보안의식 미흡으로 누구에게나 개인정보처리시스템에 접근을 허용해 놓은 경우가 많습니다. 동일한 계정으로 대리점 직원 모두가 접속하여 업무를 처리하는 거죠. 사실 일선에서는 고객상담, 업무처리 등 각종 업무를 몇몇 직원이 모두 처리해야 되는데, 일일히 별도 계정을 발급하고, 업무 권한 별로 접근 권한을 달리 설정하는 일은 말처럼 쉽지 않죠.

그러다, 보니 나중에 직원에 의해 개인정보가 유출되는 사고가 발생한 경우에도 누구에 의해 유출되었는지 확인이 어려운 책임추적성 통제 위험이 발생하게 됩니다.



<정보통신망 이용촉진 및 정보보호 등에 관한 법률>

제28조 (개인정보의 보호조치) ② 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다.


<사업자의 개인정보 보호조치 기준 (제정 2010.12.30. 행정안전부 고시 제2010-86호)>

제9조(접근권한, 인증 및 계정관리) ① 사업자는 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여 하여야 한다.

② 사업자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우에는 지체없이 접근권한을 변경 또는 말소하여야 하며, 주기적으로 접근권한을 관리하여야 한다.

③ 사업자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관하여야 한다.


[개인정보 취급자의 제한]

사업자는 개인정보 취급자를 최소한으로 제한하여야 합니다. 이는 개인정보에 대한 접근권한이 무분별하게 부여됨에 따라 해당 직원에 의해 개인정보의 접근 및 유출, 오