제15조(접근통제 및 유출방지)
| ① | 책임자는 정보통신망을 이용한 개인정보처리시스템에 대한 불법 접근 및 침해사고를 방지하기 위해 다음 각 호의 기능을 포함하는 접근통제시스템을 설치·운영하여야 한다. |
| 1. | 개인정보처리시스템에 대한 비인가 접근 차단 (접근 가능한 IP 주소 제한 등) |
| 2. | 개인정보처리시스템에 대한 불법적인 개인정보 유출 시도 등 사이버위협 탐지 및 방어 |
| ② | 책임자는 취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하는 경우 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 안전한 접속수단을 적용하거나 안전한 인증수단을 적용할 수 있다. <개정 2023. 12. 29.> |
| 1. | 안전한 인증수단 : 인증서(PKI), 보안토큰, 일회용 비밀번호(OTP) 등 <신설 2023. 12. 29.> |
| 2. | 안전한 접속수단 : 가상사설망, 전용선, 보안서버(SSL 인증서) 등 <신설 2023. 12. 29.> |
| ③ | 책임자는 개인정보가 비인가자에게 공개되거나 유출·노출·변조·훼손되지 아니하도록 다음 각 호의 사항을 포함하는 보안대책을 강구하여야 한다. <개정 2017.12.29.> |
| 1. | P2P 등 파일공유 제한 <개정 2017.12.29.> |
| 2. | 홈페이지 취약점 점검 및 제거 (연 1회 이상) <개정 2017.12.29.> |
| 3. | 홈페이지 게시판 등을 이용한 개인정보 유출 차단 |
| 4. | 인터넷 검색엔진에 의한 개인정보 노출 점검 및 삭제 요청 |
| ④ | 책임자는 취급자가 개인정보처리시스템에 접속하여 1시간 이상 처리를 하지 않는 경우 자동으로 접속이 차단되도록 하는 등 필요한 조치를 하여야 한다. <신설 2017.12.29., 개정 2023. 12. 29.> |
[번호변경 2017.12.29.]
| ⑤ | 책임자는 전년도 말 기준 직전 3개월간 이용자 수가 일일평균 100만명 이상인 개인정보처리시스템에 접근하는 취급자의 컴퓨터 등에 대해 인터넷망(클라우드컴퓨팅서비스의 경우 해당 서비스에 대한 접속은 제외) 차단 조치를 하여야 한다. <신설 2023. 12. 29.> |
