개인정보 보호법령 및 하위 고시에 따른 개인정보 로그 보관에 대해 알아보겠습니다.

Ⅰ. 개인정보 보호법령 및 하위 고시에 따른 개인정보 로그 보관

 개인정보 보호법과 하위 고시는 개인정보의 안전한 관리를 위해 다양한 요구사항을 규정하고 있습니다. 특히, 개인정보 로그 보관에 관한 규정은 개인정보 처리 활동의 투명성을 확보하고, 개인정보 유출 사고 발생 시 추적 및 대응을 용이하게 하기 위한 중요한 조치입니다.

Ⅱ. 개인정보 보호법령 및 하위 고시에 따른 개인정보 로그 보관 관련 법령 및 고시

ⅰ. 개인정보 보호법

 개인정보 보호법 자체는 로그 보관에 대해 구체적으로 규정하고 있지 않지만, 개인정보의 안전한 관리를 위해 필요한 조치를 규정하고 있습니다. 이 법의 취지에 따라 로그 보관의 필요성이 강조됩니다.

 

개인정보의 안전성 확보조치 기준 (행정안전부 고시)
제5조(접근통제): 개인정보 처리 시스템에 대한 접근 권한 부여, 변경, 말소에 대한 기록을 3년간 보관하도록 규정.
제7조(접근 기록의 보관 및 점검): 개인정보 처리 시스템의 접속 기록(로그)을 최소 1년간 보관하고, 월 1회 이상 점검하여야 합니다. 다만, 5만 명 이상의 정보주체와 관련된 개인정보 또는 고유식별정보, 민감정보를 처리하는 경우에는 최소 2년간 보관하여야 합니다.

 

ⅱ. 개인정보의 기술적·관리적 보호조치 기준 (방송통신위원회 고시)

제8조(접근 기록의 보관 및 점검): 개인정보 처리 시스템에 대한 접속 기록(로그)을 최소 1년간 보관하고 월 1회 이상 점검하도록 규정. 또한, 고유식별정보나 민감정보를 처리하는 경우에는 최소 2년간 보관해야 합니다.

 

Ⅲ. 개인정보 보호법령 및 하위 고시에 따른 개인정보 구체적인 로그 보관 방법

ⅰ. 접근 통제 로그

접근 통제 로그: 개인정보 처리 시스템에 대한 모든 접근 시도와 성공적인 접근에 대한 기록.
내용: 사용자 ID, 접근 일시, 접근 IP 주소, 접근 목적 등.
보관 기간: 최소 1년(고유식별정보 및 민감정보 처리 시 2년).

ⅱ. 권한 변경 로그

권한 변경 로그: 접근 권한 부여, 변경, 삭제에 대한 기록.
내용: 사용자 ID, 변경 일시, 변경 전후 권한 정보, 변경 사유 등.
보관 기간: 최소 3년.

ⅲ. 데이터 처리 로그

데이터 처리 로그: 개인정보의 생성, 수정, 삭제 등의 주요 데이터 처리 활동 기록.
내용: 사용자 ID, 처리 일시, 처리된 데이터 종류, 처리 내용 등.
보관 기간: 최소 1년(고유식별정보 및 민감정보 처리 시 2년).

ⅳ. 시스템 로그

시스템 로그: 시스템 운영 및 보안 관련 로그.
내용: 시스템 이벤트, 오류, 경고, 업데이트 기록 등.
보관 기간: 최소 1년.

 

Ⅲ. 개인정보 보호법령 및 하위 고시에 따른 개인정보 로그 점검 및 관리

ⅰ. 주기적인 점검: 보관된 로그는 최소 월 1회 이상 정기적으로 점검하여 이상 징후를 파악하고, 필요한 경우 적절한 조치를 취해야 합니다.
ⅱ. 로그 보호: 로그 파일은 무결성을 유지하고, 불법적인 접근을 방지하기 위해 암호화하거나 별도의 안전한 저장소에 보관해야 합니다.
ⅲ. 접근 권한 관리: 로그에 접근할 수 있는 권한은 최소한으로 부여하여 내부자에 의한 로그 조작이나 유출을 방지해야 합니다.