위치정보의 관리적·기술적 보호조치 기준

제1조(목적) ① 이 기준은 「위치정보의 보호 및 이용 등에 관한 법률 」(이하 "법"이라 한다) 제16조제1항 및 같은 법 시행령 제20조제3항에 따라 위치정보사업자 및 위치기반서비스사업자(이하 "위치정보사업자등"이라 한다)가 위치정보를 처리함에 있어서 위치정보의 누출, 변조, 훼손 등을 방지하고 위치정보의 안전성 확보를 위하여 필요한 관리적ㆍ기술적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다. ② 위치정보사업자등은 사업규모, 위치정보 보유 수 등을 고려하여 스스로의 환경에 맞는 위치정보 보호조치 기준을 수립하여 시행하여야 한다.

제2조(정의) ① 이 기준에서 사용하는 용어의 뜻은 다음과 같다.1. "위치정보관리책임자"란 위치정보 보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.2. "위치정보취급자"란 위치정보사업자등의 지휘ㆍ감독을 받아 위치정보를 처리하는 자를 말한다.3. "위치정보 수집ㆍ이용ㆍ제공사실 확인자료"란 법 제2조제4호의 위치정보 수집사실 확인자료 및 같은 조 제5호의 위치정보 이용ㆍ제공사실 확인자료를 말한다.4. "악성프로그램"이란 정보통신시스템, 데이터 또는 프로그램 등을 훼손ㆍ멸실ㆍ변경ㆍ위조하거나 그 운용을 방해할 수 있는 프로그램을 말한다.5. "재난"이란 「재난 및 안전관리 기본법」제3조제1호에 따른 재난을 말한다.6. "보조저장매체"란 정보를 저장할 수 있는 매체로서 위치정보시스템 또는 개인용단말기 등과 쉽게 분리ㆍ접속할 수 있는 것을 말한다. ② 이 기준에서 사용하는 용어의 뜻은 제1항에서 정한 것 외에 법 및 영에서 정하는 바에 따른다.

제3조(위치정보관리책임자의 지정) ① 위치정보사업자등은 위치정보를 보호하고 위치정보와 관련한 개인위치정보주체의 불만을 처리하기 위하여 다음 각 호의 업무를 수행하는 위치정보관리책임자를 지정하여야 한다.1. 위치정보 수집ㆍ이용ㆍ제공ㆍ파기 및 관리에 관한 업무의 총괄2. 위치정보사업자등의 소속 직원 또는 제3자에 의한 위법ㆍ부당한 위치정보 침해행위에 대한 점검3. 위치정보주체로부터 제기되는 위치정보 처리와 관련한 불만이나 의견의 처리 및 감독4. 기타 위치정보 보호에 필요한 사항 ② 위치정보관리책임자는 위치정보사업자등의 임원 또는 위치정보주체의 고충처리를 담당하는 부서의 장, 위치정보 관리 또는 서비스를 담당하는 부서의 장이어야 한다.

제4조(위치정보의 수집ㆍ이용ㆍ제공ㆍ파기 등 각 단계별 접근권한자 지정 및 권한 제한) ① 위치정보사업자등은 위치정보시스템에 대한 접근권한을 수집ㆍ이용ㆍ제공ㆍ파기 등 업무 단계별로 구분하여 필요한 최소한의 인원에게만 부여한다. ② 위치정보사업자등은 전보 또는 퇴직 등 인사이동이 발생하여 위치정보취급자가 변경되었을 경우 지체 없이 위치정보시스템의 접근권한을 변경 또는 말소하여야 한다. ③ 위치정보사업자등은 제1항 및 제2항에 따른 권한부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.

제5조(위치정보취급자의 의무와 책임을 규정한 취급ㆍ관리 절차 및 지침 마련) ① 위치정보사업자등은 다음 각 호의 사항을 포함하는 위치정보처리지침을 마련하여 시행하여야 한다.1. 위치정보보호 조직의 구성ㆍ운영에 관한 사항2. 위치정보관리책임자 및 위치정보취급자의 의무와 책임에 관한 사항3. 위치정보의 취급ㆍ관리의 절차에 관한 사항4. 위치정보 침해사고 등이 발생한 경우의 대응방법 및 절차에 관한 사항5. 위치정보주체의 요구 및 이의ㆍ불만 대응에 관한 사항6. 위치정보취급자에 대한 정기적인 교육에 관한 사항7. 제6조부터 제13조까지에 관한 세부사항8. 그 밖에 위치정보의 안전한 취급과 관리를 위해 필요한 사항 ② 다른 법령에 따라 마련한 지침 또는 방침, 기준, 계획 등이 제1항의 사항을 모두 포함하는 경우 제1항의 지침을 마련한 것으로 본다. ③ 위치정보사업자등은 위치정보관리책임자 및 위치정보취급자가 제1항의 지침(제2항에 따라 제1항의 지침을 마련한 것으로 보는 경우에는 그 지침 또는 방침, 기준, 계획 등을 말한다)을 숙지하고 준수할 수 있도록 정기적으로 교육을 실시하여야 한다.

제6조(위치정보 제공사실 등을 기록한 취급대장의 운영ㆍ관리) ① 취급대장은 다음 각 호의 자료를 포함한다.1. 위치정보 수집ㆍ이용ㆍ제공사실 확인자료2. 제1호의 자료를 위치정보주체에게 열람ㆍ고지한 사실에 관한 자료 ② 위치정보사업자등은 위치정보 수집ㆍ이용ㆍ제공사실 확인자료를 위치정보시스템에 자동으로 기록되고 보존되도록 하여야 한다. ③ 위치정보사업자등은 취급대장을 위치정보 수집ㆍ이용ㆍ제공을 확인할 수 있는 수준으로 작성하여야 한다. ④ 위치정보사업자등은 위치정보 취급대장에 위치정보주체를 식별할 수 있는 정보를 최소한으로 관리하여야 한다. ⑤ 위치정보사업자등은 위치정보 취급대장을 최소 6개월 이상 보관하여야 한다.

제7조(위치정보 보호조치에 대한 정기 자체검사) ① 위치정보사업자등은 연 1회 이상으로 이 기준에서 정하는 위치정보 보호조치의 이행실태를 점검ㆍ관리하여야 한다. ② 위치정보사업자등은 제1항의 자체검사를 실시한 결과 위치정보의 관리ㆍ운영상의 문제점을 발견하거나 위치정보취급자가 이 기준을 위반한 사실을 발견한 때에는 지체 없이 필요한 조치를 취하여야 한다.

제8조(접근권한 확인을 위한 식별ㆍ인증) ① 위치정보사업자등은 위치정보시스템에 대한 정당한 접근여부를 확인하기 위하여 안전한 식별ㆍ인증수단을 적용하여야 한다. ② 위치정보사업자등은 위치정보시스템에 접근할 수 있는 계정을 위치정보취급자별로 발급하고, 다른 위치정보취급자와 공유되지 않도록 하여야 한다. ③ 위치정보사업자등은 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다. ④ 위치정보사업자등은 위치정보취급자가 사용할 수 있는 단말기를 제한하고 외부로부터 접근을 차단하기 위하여 단말기 주소 등의 식별과 인증을 실시하여야 한다.

제9조(위치정보시스템에의 권한없는 접근을 차단하기 위한 방화벽 설치 등의 조치) 위치정보사업자등은 위치정보에 대한 권한없는 접근을 차단하기 위하여 다음 각 호의 조치를 취하여야 한다.1. 방화벽 등 접근통제장치의 설치ㆍ운영2. 위치정보취급자의 접속시간을 필요최소한으로 제한하는 등의 조치3. 기타 권한 없는 접근을 차단하기 위하여 필요한 기술적 조치

제10조(위치정보시스템에 대한 접근사실의 전자적 자동 기록ㆍ보존 장치의 운영) ① 위치정보사업자등은 위치정보시스템에 대한 접근사실을 자동으로 기록ㆍ보존하기 위한 기술적 조치를 하여야 한다. ② 위치정보사업자등은 제1항의 접근사실 기록을 최소 1년 이상 보존ㆍ관리하여야 한다. ③ 위치정보사업자등은 제1항의 접근사실 기록이 위ㆍ변조 및 도난, 분실되지 않도록 보호조치를 취하여야 한다.

제11조(위치정보시스템의 침해사고 방지를 위한 보안프로그램 설치 및 운영) 위치정보사업자등은 악성 프로그램 등을 방지ㆍ치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치ㆍ운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지2. 악성프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시

제12조(위치정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용이나 이에 상응하는 조치) 위치정보사업자등은 위치정보를 안전하게 저장ㆍ전송하기 위하여 다음 각 호의 조치를 취하여야 한다.1. 암호화 등 위치정보를 안전하게 저장ㆍ전송하기 위한 보안 조치2. 위치정보취급자의 접속시간을 필요최소한으로 제한하는 등의 조치3. 기타 권한 없는 접근을 차단하기 위하여 필요한 기술적 조치

제13조(위치정보 등의 파기) 위치정보사업자등은 위치정보 및 위치정보 수집ㆍ이용ㆍ제공사실 확인자료를 파기하는 때에는 해당 기록이 복구 또는 재생되지 않도록 기술적 방법을 사용하여 삭제하거나 분쇄ㆍ소각하는 등의 조치를 해야 한다.

제14조(재검토 기한) 방송미디어통신위원회는 「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2022년 7월 1일을 기준으로 매 3년이 되는 시점(매 3년째의 6월 30일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.

제15조(규제의 재검토) 방송미디어통신위원회는 「행정규제기본법」 에 따라 이 고시에 대하여 2022년 7월 1일을 기준으로 매 3년이 되는 시점(매 3년째의 6월 30일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.