개인정보보호 2주차_STUDY : 개인정보의 안전한 관리와개인정보 보호법 법령 해석 사례

Contents

1. 개인정보 수집이용 동의서 검토
2. 개인정보의 안전한 관리와 주요 조치사항
3. 개인정보 보호법 법령 해석 사례
4. 개인정보 관련 법령, 고시, 가이드라인 현황

 

📌  개인정보 수집이용 동의서 검토

 

✔ PIP교육진흥원 현황 주요 내용

 

✔  PIP 교육진흥원 주요 업무

 

✔  PIP 교육진흥원 개인정보파일 현황 (참고)

 

 

 

개인정보 수집이용 동의서 현황

 

▶ 실습내용 )

다음은 정보주체가 PIP 교육진흥원 회원가입 웹 페이지 상 보여지는 개인정보 수집∙이용 동의서의 전체 내용입니다. 배포된 PIP교육진흥원의 현황과 아래 동의서를 참고하여 잘못된 부분을 찾으시오.

 

• PIP교육진흥원은 회원관리와 개인정보보호전문가 자격시험합격자 관리를 위하여 다음과 같이 개인정보를 수집∙이용하고자합니다.
• 개인정보의수집이용목적: 회원가입및관리, 전문가자격시험합격자관리
• 개인정보수집항목: 회원ID, 패스워드, 이름, 주민등록번호, 휴대전화번호, 거주지주소, 소속기관, 응시번호, 자격증번호
• 개인정보의보유기간: 회원탈퇴후즉시파기

※ 정보주체는 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할 경우 회원가입 및 개인정보보호 전문가 자격시험에 응시할 수 없습니다.

 

 

 

 

올바른 개인정보 수집이용 동의서 예시보고 넘어가기✅

 

 

 

📌 개인정보의 안전한 관리 주요 조치사항

 

개인정보처리시스템의 범위(용어정의)

개인정보처리자 
– "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기위하여 스스로 또는 다른사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말함

개인정보책임자
– 개인정보처리에 관한 업무를 총괄해서 책임지거나 업무 처리를 최종적으로 결정하는 자

개인정보취급자
– 개인정보처리자의 지휘·감독을 받아 개인 정보를 처리하는 임직원, 파견근로자, 시간제 근로자 등

개인정보처리시스템
– 데이터베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템

 

 

 

안전조치의무(제29조) / 시행령제30조(개인정보의 안전성 확보 조치)

개인정보가 분실·도난·유출·위조·변조 ·훼손되지 않도록 안전성 확보 조치를 해야 함

 

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행·점검

2. 개인정보에 대한 접근 권한을 제한하기 위한 조치

3. 개인정보에 대한 접근을 통제하기 위한 조치

4. 개인정보를 안전하게 저장ㆍ전송하는데 필요한 조치

5. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조ㆍ변조 방지를 위한 조치

6. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대해 컴퓨터바이러스, 스파이웨어, 랜섬웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치ㆍ운영과 주기적 갱신ㆍ점검 조치

7. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

 

위반 시 3천만원 이하의 과태료

 

안전성 확보조치를 취할 의무 위반의 판단(판례) 함께 읽어보기.

 

안전조치의무(제29조)

개인정보의 안전성 확보조치 기준과 기술적 관리적 보호조치 기준 통합

 

 

 

안전조치의무 주요 조치사항 및 방법

 

내부관리계획의 수립·시행 및 점검 (제4조)

1. 개인정보처리자가 내부 관리계획의 수립 및 시행, 이행 점검 하도록 개정

2. 적용대상: 개인정보처리자 (단, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인·개인·단체의경우 생략

3. 내부 관리계획의 수립 및 시행 관련 사항 가능)

 

4. 내부 관리계획의 이행 실태 점검·관리 관련 사항

 

 

 

• 종전 일반규정과 특례규정의 유사한 내용을 통합
• 4호. 개인정보취급자에 대한 관리·감독에 관한 사항 추가
• 10호. 개인정보를 처리하는 개인정보처리자는 개인정보가 유출·변조·훼손 되지 않도록 개인정보를 처리하는 환경, 기기, 설비 등에 대하여 취약점을 점검
• 15호. 개인정보 처리 방법 및 환경 등의 변화로 인하여 내부 관리계획에 중요한 변경이 있을 때에는 변경 사항 즉시 반영

 

접근권한 관리

 

1. 최소 범위로 권한 차등부여 및 변경·말소

2. 접근권한 부여, 변경, 말소 내역 3년 이상 보관

3. 1인 1계정 발급 및 공유 금지

4.인증수단 안전하게 관리

5. 권한 도용 방지

 

접근통제

 

1. 불법적인 접근 및 침해사고 방지를 위한 안전조치

2. 외부 접근 통제

3. 노출 및 공유 설정 제한

4. 세션 타임 아웃

5. 모바일 기기 관리

6. 망 분리

 

개인정보의 암호화

 

1. 인증정보 암호화

2. 이용자 개인정보 암호화

3. 고유식별정보 암호화

4. 정보통신망을 통한 인터넷망 구간 송·수신 시

5. 기기 및 저장 매체 저장 시

6. 암호키 관리

 

 

 

접속기록 보관 및 관리

 

1. 접속기록 1년 이상 보관

2. 접속기록 월 1회 이상 점검

 

 

개인정보 처리방침의 수립 및 공개(제30조)

개인정보 처리방침의 주요 내용

 

▶ 개인정보 처리방침은 인터넷 홈페이지에 지속적으로 게재하여 공개해야 함

 

개인정보 처리방침 기재사항 같이 살펴보기.

 

 

개인정보 보호책임자의 지정 요건(제31조)

공공과 민간을 구분함.

 

개인정보파일의 등록 및 공개(제32조) : 공공기관만 해당

 

개인정보파일을 운용하는 공공기관이 등록해야 하는 사항

• 개인정보파일의명칭,운영근거및목적,개인정보항목
• 개인정보의처리방법및보유기간,반복적인제공의경우제공받는자
• 공공기관의명칭, 개인정보의정보주체수,개인정보처리업무담당부서
• 개인정보의열람요구를접수· 처리하는부서와열람을제한·거절할수있는개인정보의범위및사유

 

등록 예외

1. 국가안전,외교상비밀등국가의중대한이익에관한사항을기록한개인정보파일
2. 범죄의수사, 공소의제기및유지, 형및감호집행, 교정처분,보호처분, 보안관찰처분과출입국관리에관한사항
3. 조세범처벌법,관세법에따른범칙행위조사에관한사항
4. 내부적업무처리만을위하여사용되는개인정보파일
5. 다른법령에따라비밀로분류된개인정보파일

개인정보 보호 인증(제32조의2) 

개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치가 법에 부합하는지 등에 관하여 인증

 

정보보호 및 개인정보 보호 관리체계(ISMS-P)

• 인증의기대효과
• 인증기관: 한국인터넷진흥원
• 인증유효기관: 3년
• 신청기관유형: 공공기관, 대기업, 중소기업, 소상공인
  • 정보통신서비스제공자는대기업유형으로인증
• 인증심사기준: 3개영역102개인증기준
  • ※ 인증기준방법·절차등은고시참조
• 정보보호및개인정보보호관리체계인증에관한고시시행: 2018년11월7일
  • 개인정보침해사고에효율적대응가능
  • 개인정보보호에대한국민·고객의신뢰향상

개인정보 유출 통지 등 (제34조) 통지와 신고에 관하여 함께 살펴보고 넘어가기

 

✅공공시스템 운영기관의 개인정보 안전성 확보 조치

아래 내용 참고하기

 

 

 

📌  개인정보 보호법 법령 해석 사례

 

▶  개인정보 수집∙이용 분야

 

✅ 서비스 품질에 대한 고객만족도 조사를 하면서 고객의 동의없이 개인정보를 이용해도 되는지요?

 

✅ 인터넷으로 서비스를 하는 회사입니다. 우리 회사는 홈페이지 회원가입 시 이용자로부터 동의를 받아 이름, 휴대폰 번호를 수집 및 저장하고 있습니다. 또한 SNS 계정을 통한 간편 회원가입 기능을 제공하고 있습니다. 이 과정에서 SNS 회사로부터 이용자의 이름, 휴대폰 번호, 이메일 주소를 제공받고 있습니다. 그런데 SNS 회사에서 받는 개인정보에 대해서는 이용자의 동의를 받지 않고, 우리 회사의 개인정보 처리방침에서 그 사실을 명시하고만 있습니다. SNS 회사에서 개인정보를 제공받는 것이 개인정보보호법에 위배되는지 궁금합니다.

 

✅  교수로 재직 중인 사람의 사진, 성명, 성별, 출생연도, 직업, 직장, 학력, 경력 등의 개인정보를 해당 교수가 재직 중인 학과 홈페이지 등을 통해 수집하여 별도의 사이트에서 유료로 제공할 수 있는 지 궁금합니다

 

✅  방호직으로 근무하고 있는 사람입니다. 방호직의 특성상 근무중 순찰을 실시하는데 관리자가 공개적인 게시판에 순찰보고서라는 항목으로 해당근무자의 성명, 순찰포인트(순찰 위치), 누락여부 등을 기재하여 게시하고 있습니다. 개인정보 보호법 위반이 아닌지요?

 

✅  기관 내부에서 자체감사를 위하여 소속 직원의 개인정보를 처리할 수 있는지, 있다면 어떤 조건에서 처리할 수 있는지 궁금합니다.

 

▶ 고정형 영상정보처리기기(CCTV) 분야

 

✅   아파트 입구 대로변에서 불법 유턴 차량이 많아 사고 위험이 있어 당 아파트에서 불법 유턴 차량을 신고할 목적으로 CCTV를 설치해도 되는지 문의 드립니다. 공동주택관리법 시행규칙 제8조 3항에 의거하여 관리주체는 보안 및 방범 목적 외의 용도로 활용하거나 타인에게 열람하게 하거나 제공하여서는 아니된다고 명시 되어 있어 아파트에서 설치하여 대로변 불법차량을 파악하여 신고 목적용으로 설치하여도 되는지 문의 드립니다.

 

✅  아파트 입주민이 본인 이외 특정시간대 승강기 내부 이용자의 상태를 확인하기 위하여 영상정보 열람 등을 요구하고 있으며, 관리사무소에서는 동의가 필요한 사항으로 경찰관 입회 하에 검색이 가능하다고 통보하고 있는데, 적절한 처리인지요?

 

✅  CCTV 열람 신청 시 모자이크 처리 비용의 주체가 누구인지 알고 싶습니다. 신청인 부담인지, CCTV운영 담당기관 부담인지 답변 부탁드립니다

 

 

▶ 개인정보 목적외 이용∙제공 분야

 

✅  소속 공무원의 출장 여비 및 초과근무수당의 부당수령 등에 대한 제보나 의심 정황 발생 시, 제보 내용의 진위여부를 확인하기 위해 청사에 방호 목적으로 설치된 CCTV 영상정보를 이용할 수 있는지?

 

 

▶ 개인정보 파기 분야

 

✅  민원인이 지방자치단체에서 보유하고 개인정보 수집에 대한 동의의 철회를 주장하며 그 파기를 요구하고 있습니다. 현재 보유하고 있는 개인정보를 파기하여야 하는지 궁금합니다

 

✅  회원가입 시 개인정보 보유기간에 대해 ‘회원탈퇴 즉시 삭제’ 로 고지하고 있으나, 쿠폰 부정사용 등 불량회원을 식별하기 위해 일부 개인정보를 탈퇴 후 1개월 동안 보존하고 있는 경우, 수집동의서에 회원탈퇴 후 1개월까지 보관이라 명시하고 동의를 받아야 할까요?

 

✅  온라인쇼핑몰을 운영하면서 각종 이벤트를 개최할 때 별도 본인인증이 없는 간편가입 회원도 ID별로 참여가 가능하도록 하자, 이를 악용하여 수백개의 ID를 생성하여 멤버십포인트를 적립 및 사용하는 회원이 있어 회원가입 동의를 받아 부정고객에 한해 개인정보를 ‘영구’ 보존하면서 걸러내려고 하는데, 해도 괜찮은지요?

 

▶ 개인정보 업무 위탁 분야

 

✅  산업안전보건법상 사업주가 안전보건관리책임자 등에 대해 직무교육을 실시하도록 되어 있고, 교육기관에 수강신청서를 제출하도록 되어 있습니다. 이 경우 해당 교육을 진행하는 안전보건 교육기관(예: 대한산업안전협회)은 개인정보 처리 수탁사에 해당하는지요?

 

 

위와 같은 법령 해석 사례 함께 읽고 토론하기 📖

 

 

✔ 개인정보보호 관련 가이드라인 현황 (참고)

 

 

 

개인정보보호와 관련해 2주차 스터디 끝-

 

 

 

 

📌 참고 학습 자료 :

 

https://www.privacy.go.kr/front/contents/cntntsView.do?contsNo=36

개인정보 포털