위치정보의 관리적, 기술적 보호조치

위치정보사업자 및 위치기반 서비스 사업자는 위치정보법에 따라 관리적, 기술적 보호조치를 시행해야 합니다. 개인정보보호법과 거의 유사한 내용이므로 개인정보보호법을 이해하고 계시다면 개인과 사물의 위치정보로 구분되는 정도의 차이만 아셔도 될 것 같네요. 다시 관리적, 기술적 보호조치를 간단히 정리해 보도록 하겠습니다.

 

 

 

관리적조치

1. 위치정보관리책임자의 지정

• 위치정보의 수집, 이용, 제공, 파기 및 관리에 관한 업무의 총괄
• 위치정보보호과 관련된 일련의 활동을 진행(교육, 감사 등)
• 위치정보관리책임자는 위치정보사업자 등의 임원 또는 고충처리를 담당하는 부서의 장, 위치정보 관리 또는 서비스를 담당하는 부서의 장으로 함

 

2. 위치정보의 수집ㆍ이용ㆍ제공ㆍ파기 등 각 단계별 접근 권한자 지정 및 권한의 제한

• 위치정보취급자에게 부여하는 접근권한은 수집, 이용, 제공, 파기 등 업무 단계별로 구분하여 필요한 최소한의 인원에게만 부여
• 위치정보취급자가 전보, 퇴직 등 변경사항이 발생할 경우 바로 접근권한을 변경
• 접근권한은 품의 등 발령문서 및 발령 사항 등을 기록하여 5년간 보관

 

3. 위치정보 취급자의 의무와 책임을 규정한 취급ㆍ관리 절차 및 지침 마련

• 위치정보를 취급할 수 있는 자는 위치정보 관리업무를 수행하는 자 혹은 업무상 위치정보의 취급이 불가피한 자로 하여 최소한으로 제한
• 위치정보의 취급과 관리에 필요한 절차 등을 정하여 지침 혹은 내부규정으로 정하고 위치정보취급자들이 이를 준수할 수 있도록 해야 함
• 위 지침에는 위치정보관리책임자 등 위치정보보호 조직의 구성, 운영에 관한사항, 정기교육, 기록의 관리, 사고예방 등의 내용이 포함되어야 함

 

4. 위치정보 제공사실 등을 기록한 취급대장의 운영ㆍ관리

• 위치정보의 수집, 이용, 제공된 내역을 위치정보시스템에 저장하여 보관
• 튀치정보 취급대장을 최소 6개월 이상 보관(정보주체의 직접적인 식별이 가능한 정보는 최소한으로 관리하며 위치정보를 포함하여서는 안됨)

 

수집자	요청 서비스	요청자	수집방법	수집요청시간	수집종료시간
A사업자	위치찾기	B사업자	Cell-ID	2015.10.11 14:20	2015.10.11 14:20

< 위치정보 수집사실 확인자료 >

취급자	요청자	목적	일시

< 위치정보 수집사실 열람, 고지 확인자료 >

대상	취득경로	제공서비스	제공받는자	제공방법	이용일시
B이용자	A사업자	차량관제	C이용자	SMS/Email	2015.10.11 14:20

 < 위치정보 이용, 제공사실 확인자료 >

 

5. 위치정보 보호조치에 대한 정기적인 자체 감사의 실시

• 정기적으로 자체감사를 실시하여 지침에 따라 위치정보 관련 보호조치를 제대로 이행사고 있는지 파악하고 개선방안을 마련하여야 함
• 자체감사는 최소 연1회 이상 실시하며, 감사항목은 위치정보법 등을 반영하여 수립

 

기술적 조치

1. 위치정보 및 위치정보시스템의 접근권한을 확인할 수 있는 식별 및 인증 실시

• 위치정보시스템에 접근을 제어하기 위해 인증수단을 정하여야 함(아이디/비밀번호, 공인인증서, otp, 아이피 인증 등)
• 아이디와 비밀번호를 사용하여 인증을 진행하는 경우 비밀번호 설정규칙(대,소문자, 특수문자 포함 등) 및 비밀번호의 변경기한 등을 설정하여야 함
• 위치정보시스템에 접근 가능한 단말기를 지정하고, 외부의 접근을 차단하여야 함(아이피 확인, vpn 사용 등)

 

2. 위치정보시스템에의 권한없는 접근을 차단하기 위한 암호화ㆍ방화벽 설치 등의 조치

• 위치정보시스템에의 불법적인 접근을 차단하기 위해서 방화벽 등의 접근 통제장치를 설치하고 운영하여야 함
• 위치정보시스템에 저장된 정보 중 위치정보, 개인정보 등은 안전한 방법으로 암호화 되어야 함
• 취급자의 단말기와 위치정보시스템 간 정보를 전달하는 과정에도 암호화를 적용하여 안전성 유지

 

3. 위치정보시스템에 대한 접근사실의 전자적 자동 기록ㆍ보존장치의 운영

• 위치정보시스템에 접근한 내역은 자동으로 기록하여 보관할 수 있도록 하여야 함
• 저장된 접근기록은 위변조되지 않도록 보호조치를 취하여야 함(백업 등)

 

4. 위치정보시스템의 침해사고 방지를 위한 보안프로그램 설치 및 운영

• 보안사고의 방지를 위해 위치정보시스템의 운영체제, 응용프로그램에 대해 최신의 보안패치를 설치하여야 함
• 위치정보취급자의 접근용 단말기에도 운영체제 보안패치, 백신 등의 설치를 하여 위치정보시스템을 훼손하지 않도록 해야 함
• 위치정보사업자 및 위치기반 서비스 사업자는 위치정보법에 따라 관리적, 기술적 보호조치를 시행해야 합니다. 개인정보보호법과 거의 유사한 내용이므로 개인정보보호법을 이해하고 계시다면 개인과 사물의 위치정보로 구분되는 정도의 차이만 아셔도 될 것 같네요. 다시 관리적, 기술적 보호조치를 간단히 정리해 보도록 하겠습니다.