인사DB의 경우 망분리 대상인가?

Q. 인사 DB의 경우 망분리 대상인가?

A. 인사 DB에만 접근하는 PC라면 망분리 대상은 아니다.

개인정보보호법에서 규정하는 망분리에 대한 내용은 아래 하나뿐이다.

개인정보의 안전성 확보조치 기준 제2조(정의)  16. "바이오정보"란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다. 17. "보조저장매체"란 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결·분리할 수 있는 저장매체를 말한다. 18. "내부망"이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다. 19. "접속기록"이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 "접속"이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다. 20. "관리용 단말기"란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.

그렇다면 망법으로 넘어가 보자.

개인정보의 기술적 관리적 보호조치기준  제4조(접근통제) ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.

망분리에 대한 것이 나왔다.

여기서 '개인정보처리시스템'에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적, 논리적으로 망분리 하여야 한다

명시되어 있다.

그렇다면 인사 DB가 '개인정보처리시스템'이 아니라면 망분리 대상이 아닌것이다.

privacy.go.kr 을 찾아보면 다음과 같이 "보유기관의 내부적 업무처리만을 위하여 사용되는 시스템"은 개인정보처리시스템에서 제외됨을

알 수 있다.

그러므로 인사DB의 경우 망분리 대상은 아니다.

그러나 인사DB에만 접근 가능한 PC가 아니라면 복잡해진다. 그리고 내부 그룹웨어와의 연동은 어떻게 할 것인가?

이런점을 고려한다면 그냥 망분리 대상으로 보고 처리하는게 낫다.