민감정보와 같이 중요한 고유식별정보의 처리 제한이다. 잘 알아두자.

고유식별정보의 처리 제한 - 제24조

대통령령으로 정하는 고유식별정보란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 제제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다. - 시행령 제19조

  1. 주민등록번호
  2. 여권번호
  3. 면허번호
  4. 외국인등록번호

고유식별정보의 처리

개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 고유식별정보를 처리할 수 없다.

  1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
  2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

안전성 확보 조치

개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.

고유식별정보의 안전성 확보 조치에 관하여는 시행령 제30조를 준용한다. 이 경우 제29조는 제24조제3항으로, “개인정보”는 “고유식별정보”로 본다. - 시행령 제21조제1항

간단히 말해서 고유식별정보의 안전성 확보 조치를 “개인정보의 안전성 확보 조치”와 같은 기준으로 처리한다는 뜻이다.

안전성 확보 조치는 제29조에서 구체적으로 다루도록 하겠다.

보호위원회의 조사

보호위원회는 처리하는 개인정보의 종류, 규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다.

위에서 대통령령으로 정하는 기준에 해당하는 개인정보처리자란 다음 각 호의 어느 하나에 해당하는 개인정보처리자를 말한다. - 시행령 제21조제2항

  1. 1만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 공공기관
  2. 보호위원회가 법 위반 이력 및 내용ㆍ정도, 고유식별정보 처리의 위험성 등을 고려하여 조사가 필요하다고 인정하는 공공기관
  3. 공공기관 외의 자로서 5만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 자

보호위원회는 위의 어느 하나에 해당하는 개인정보처리자에 대하여 안전성 확보에 필요한 조치를 하였는지를 3년마다 1회 이상 조사해야 한다. - 시행령 제21조제3항

위에 따른 조사는 개인정보처리자에게 온라인 또는 서면을 통하여 필요한 자료를 제출하게 하는 방법으로 한다. - 시행령 제21조제4항

다음 각 호의 어느 하나에 해당하는 경우로서 고유식별정보의 안전성 확보 조치에 대한 점검이 이루어진 경우에는 위에 따른 조사를 실시한 것으로 본다.

  1. 개인정보 보호수준 평가를 받은 경우
  2. 개인정보 보호 인증을 받은 경우(ISMS-P)
  3. 개인신용정보 활용ㆍ관리 실태에 대한 상시평가 등 다른 법률에 따라 고유식별정보의 안전성 확보 조치 이행 여부에 대한 정기적인 점검이 이루어지는 경우로서 관계 중앙행정기관의 장의 요청에 따라 해당 점검이 위에 따른 조사에 준하는 것으로 보호위원회가 인정하는 경우

보호위원회는 대통령령으로 정하는 전문기관으로 하여금 조사를 수행하게 할 수 있다.

대통령령으로 정하는 전문기관이란 다음 각 호의 기관을 말한다. - 시행령 제21조제6항

  1. 정보통신망법 제52조에 따른 한국인터넷진흥원
  2. 조사를 수행할 수 있는 기술적, 재정적 능력과 설비를 보유한 것으로 인정되어 보호위원회가 정하여 고시하는 법인, 단체 또는 기관

주민등록번호 처리의 제한 - 제24조의2

제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.

  1. 법률, 대통령령, 국회규칙, 대법원규칙, 헌법재판소규칙, 중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 어용한 경우
  2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
  3. 제1호 및 제2호에 준하여 주민등록번호 처리가 불가피한 경우로서 보호위원회가 고시로 정하는 경우

제3호는 따로 존재하진 않는다

암호화 조치

개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다. 이 경우 암호화 적용 대상 및 대상별 적용 시기 등에 관하여 필요한 사항은 개인정보의 처리 규모와 유출 시 영향 등을 고려하여 대통령령으로 정한다.

위에 따라 암호화 조치를 하여야 하는 암호화 적용 대상은 주민등록번호를 전자적인 방법으로 보관하는 개인정보처리자로 한다. - 시행령 제21조의2

위의 개인정보처리자에 대한 암호화 적용 시기는 다음 각 호와 같다.

  1. 100만명 미만의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2017년 1월 1일
  2. 100만명 이상의 정보주체에 관한 주민등록번호를 보관하는 개인정보처리자: 2018년 1월 1일

보호위원회는 기술적, 경제적 타당성 등을 고려하여 위에 따른 암호화 조치의 세부적인 사항을 정하여 고시할 수 있다.

개인정보의 안전성 확보조치 기준에서 다루도록 하겠다.

주민등록번호 없는 회원가입

개인정보처리자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.

보호위원회는 개인정보처리자가 위의 방법을 제공할 수 있도록 관계 법령의 정비, 계획의 수립, 필요한 시설 및 시스템의 구축 등 제반 조치를 마련 및 지원할 수 있다.