위치정보의 관리적, 기술적 보호조치

 위치정보사업자 및 위치기반 서비스 사업자는 위치정보법에 따라 관리적, 기술적 보호조치를 시행해야 합니다. 개인정보보호법과 거의 유사한 내용이므로 개인정보보호법을 이해하고 계시다면 개인과 사물의 위치정보로 구분되는 정도의 차이만 아셔도 될 것 같네요. 다시 관리적, 기술적 보호조치를 간단히 정리해 보도록 하겠습니다.

 

 

관리적조치

1. 위치정보관리책임자의 지정

 

위치정보의 수집, 이용, 제공, 파기 및 관리에 관한 업무의 총괄

위치정보보호과 관련된 일련의 활동을 진행(교육, 감사 등)

위치정보관리책임자는 위치정보사업자 등의 임원 또는 고충처리를 담당하는 부서의 장, 위치정보 관리 또는 서비스를 담당하는 부서의 장으로 함

 

 

2. 위치정보의 수집ㆍ이용ㆍ제공ㆍ파기 등 각 단계별 접근 권한자 지정 및 권한의 제한

 

위치정보취급자에게 부여하는 접근권한은 수집, 이용, 제공, 파기 등 업무 단계별로 구분하여 필요한 최소한의 인원에게만 부여

위치정보취급자가 전보, 퇴직 등 변경사항이 발생할 경우 바로 접근권한을 변경

접근권한은 품의 등 발령문서 및 발령 사항 등을 기록하여 5년간 보관

 

 

3. 위치정보 취급자의 의무와 책임을 규정한 취급ㆍ관리 절차 및 지침 마련

 

위치정보를 취급할 수 있는 자는 위치정보 관리업무를 수행하는 자 혹은 업무상 위치정보의 취급이 불가피한 자로 하여 최소한으로 제한

위치정보의 취급과 관리에 필요한 절차 등을 정하여 지침 혹은 내부규정으로 정하고 위치정보취급자들이 이를 준수할 수 있도록 해야 함

위 지침에는 위치정보관리책임자 등 위치정보보호 조직의 구성, 운영에 관한사항, 정기교육, 기록의 관리, 사고예방 등의 내용이 포함되어야 함

 

 

4. 위치정보 제공사실 등을 기록한 취급대장의 운영ㆍ관리

 

위치정보의 수집, 이용, 제공된 내역을 위치정보시스템에 저장하여 보관

튀치정보 취급대장을 최소 6개월 이상 보관(정보주체의 직접적인 식별이 가능한 정보는 최소한으로 관리하며 위치정보를 포함하여서는 안됨)

 

 

5. 위치정보 보호조치에 대한 정기적인 자체 감사의 실시

 

정기적으로 자체감사를 실시하여 지침에 따라 위치정보 관련 보호조치를 제대로 이행사고 있는지 파악하고 개선방안을 마련하여야 함

자체감사는 최소 연1회 이상 실시하며, 감사항목은 위치정보법 등을 반영하여 수립

 

 

기술적 조치

1. 위치정보 및 위치정보시스템의 접근권한을 확인할 수 있는 식별 및 인증 실시

 

위치정보시스템에 접근을 제어하기 위해 인증수단을 정하여야 함(아이디/비밀번호, 공인인증서, otp, 아이피 인증 등)

아이디와 비밀번호를 사용하여 인증을 진행하는 경우 비밀번호 설정규칙(대,소문자, 특수문자 포함 등) 및 비밀번호의 변경기한 등을 설정하여야 함

위치정보시스템에 접근 가능한 단말기를 지정하고, 외부의 접근을 차단하여야 함(아이피 확인, vpn 사용 등)

 

 

2. 위치정보시스템에의 권한없는 접근을 차단하기 위한 암호화ㆍ방화벽 설치 등의 조치

 

위치정보시스템에의 불법적인 접근을 차단하기 위해서 방화벽 등의 접근 통제장치를 설치하고 운영하여야 함

위치정보시스템에 저장된 정보 중 위치정보, 개인정보 등은 안전한 방법으로 암호화 되어야 함

취급자의 단말기와 위치정보시스템 간 정보를 전달하는 과정에도 암호화를 적용하여 안전성 유지

 

 

3. 위치정보시스템에 대한 접근사실의 전자적 자동 기록ㆍ보존장치의 운영

 

위치정보시스템에 접근한 내역은 자동으로 기록하여 보관할 수 있도록 하여야 함

저장된 접근기록은 위변조되지 않도록 보호조치를 취하여야 함(백업 등)

 

 

4. 위치정보시스템의 침해사고 방지를 위한 보안프로그램 설치 및 운영

 

보안사고의 방지를 위해 위치정보시스템의 운영체제, 응용프로그램에 대해 최신의 보안패치를 설치하여야 함

위치정보취급자의 접근용 단말기에도 운영체제 보안패치, 백신 등의 설치를 하여 위치정보시스템을 훼손하지 않도록 해야 함