2024 SWLUG/개인정보보호

[2주차]입문 2교시_개인정보의 안전한 관리

un_plugged 2024. 5. 22. 12:51

▶실습(1)_회원가입 시 개인정보 수집 및 이용 동의서

Q. 동의서의 잘못된 부분을 찾으시오.

▶해설

1. 필요 최소한의 정보 수집: 회원가입 시에는 회원가입과 관련된 최소한의 사항만 작성, 필요 최소한의 개인정보만 수집해야한다. 위의 수집 항목에 거주지 주소, 소속기관, 응시번호, 자격증 번호는 과다한 정보이다.

→ 제 16조 개인정보의 수집 제한: 정보주체의 동의를 받거나 법령의 처리 근거 또는 계약의 체결∙이행 등을 위해 불가피하게 개인정보를 수집하는 경우에도 처리 목적 달성에 필요한 최소한의 개인정보만을 수집.

2. 주민등록번호 수집 이용 근거가 고지되어 있지 않음

→ 제 24조 2항 주민등록번호의 처리 제한: 원칙적으로 주민등록번호는 정보 주체의 동의를 받아도 처리 불가하나 법률 등에서 구체적으로 처리를 요구하거나 허용한 경우에 처리 가능하다. 그러나 여기선 적용될 수 있는 법률이 없으므로 주민등록번호를 처리할 수 없다.

3. 주요 정보는 알기 쉽게 표시

→ 제 22조 동의 받는 방법: 전자문서 및 서명 동의 시 다른 색, 굵은 글씨, 밑줄 등을 사용하여 주요정보를 구분하여야 한다.

4. 자격시험 합격자에 대한 개인정보 제3자 제공에 대한 고지와 동의가 이뤄지지 않음

→ 제 17조 개인정보 수집 목적 범위 내 제3자 제공: 정보주체의 동의를 받은 경우 가능. 개인정보를 제공받는 자, 이용 목적, 항목, 보유 및 이용기간, 동의거부 권리 및 동의거부 시 불이익 내용 필수로 고지해야한다.

5. 제 15조 제1항 제4호에 근거하여 정보주체와 체결한 계약을 이행하거나 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위한 경우 동의 없이 수집 가능하다. 단, 입증책임은 개인정보처리자에게 있다.

올바른 회원가입 및 관리에 따른 개인정보 수집이용 동의서

※추가사항

정보주체의 동의를 받을 시 각각의 동의 사항 구분(필수와 선택)

→ 제 22조 동의 받는 방법 : 홍보나 마케팅 등의 이유로 개인정보처리 동의를 받을 때에는 정보주체가 이를 명확히 인지할 수 있도록 알리고 동의를 받아야한다. 여기서 선택적으로 동의할 수 있는 사항을 동의하지 않는다는 이유로 재화 또는 서비스 제공 거부가 금지되어야한다. 즉, 선택 사항을 동의하지 않더라도 회원가입은 진행되어야한다.

▶ 실습(2)_국가기술자격증 보유자에 대한 개인정보 수집 및 이용 동의서 예시

▶해설

1. 필요 최소한의 정보 수집

→ 제16조에서 강조하고 있는 필요 최소한의 정보 수집! 여기선 개인정보보호 전문가 자격시험 합격자 관리라는 필요 최소한의 목적 제시하였다.

2. 주민등록번호 수집

→ 제 24조 2항에 따라 법률에서 구체적으로 주민등록번호의 처리를 요구하거나 허용하였기에 처리를 하였다.

3. 개인정보 수집 목적 범위 내 제3자 제공

→ 제 17조에 따라 정보 주체의 동의를 받을 시 개인정보 제공 목적. 항복, 제공받는 기관, 보유기간, 동의거부 권리 및 동의거부 시 불이익 내용의 5가지 내용을 기재하여 올바르게 동의 받고 있다.

4. 자격증 보유자에 대한 정보는 법령 상 반영구인데 보유기간을 잘 지키고 있다.

5. 주요 정보는 알기 쉽게 표시

→ 제 22조에 따라 전자문서 및 서명 동의 시 다른 색, 굵은 글씨, 밑줄 등을 사용하여 주요정보를 구분하였다.

▶개인정보처리시스템 관련 용어정리

① 개인정보처리자: 업무를 목적으로 개인정보파일을 운용하기 위해 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인

② 개인정보책임자: 개인정보처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자

③ 개인정보취급자: 개인정보처리자의 지휘, 감독을 받아서 개인정보를 처리한다. 임직원, 파견근로자, 시간제 근로자 등이 있다.

④ 개인정보처리시스템: 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템

▶안전조치의무(제 29조)

  • 개인정보가 분실, 도난, 유출, 위조, 변조, 훼손되지 않도록 안전성 확보 조치를 해야한다.

① 내부 관리계획의 수립, 시행, 점검

② 접근 권한 제한 위한 조치

③ 접근 통제 위한 조치

④ 안전하게 저장 및 전송하는데 필요한 조치

⑤ 접속기록의 보관 및 위조, 변조 방지를 위한 조치

⑥ 개인정보처리에 이용하는 정보기기에 대해 항시 점검 및 치료할 수 있도록 하는 등의 기능이 포함된 프로그램의 설치 및 운영, 주기적인 갱신과 점검 조치

⑦ 보관시설 마련 및 잠금장치 설치 등의 물리적 조치

  • 관련 판례

보호조치를 취하여야 할 법률 또는 계약 상의 의무 위반 여부의 고려 사항

  • 개인정보의 안전성 확보조치 기준과 기술적 관리적 보호조치 기준 통합 시행

▶안전조치의무 주요 조치사항 및 방법 - 내부관리계획의 수립, 시행 및 점검(제 4조)

  • 개인정보처리가자 직접하도록 개정
  • 적용대상: 개인정보처리자(단, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인, 개인, 단체 등의 경우에는 생략 가능)
  • 개인정보책임자 및 개인정보취급자 대상으로 차등화하여 정기 교육 실시, 내부 관리계획에 중요한 변경 사항은 즉시 반영
  • 내부 관리계획의 이행 실태 점검 및 관리

→ 역할: 개인정보보호책임자

→ 기간: 연 1회 이상

→ 결과보고

▶안전조치의무 주요 조치사항 및 방법 - 접근권한 관리

  1. 최소 범위로 권한 차등부여 및 지체없이 권한 변경, 말소
  2. 접근권한 부여, 변경, 말소 내역 3년 이상 보관
  3. 1인 1계정 발급 및 공유 금지 (단, root 등의 시스템에서 고정된 계정이 1개만 생성 가능한 경우 등 다른 계정 생성이 기술적으로 불가능한 경우 제외)
  4. 인증수단 안전하게 관리
  5. 권한 도용 방지: 개인정보취급자 또는 정보주체가 일정 횟수 이상 인증 실패 시 접근 제한

▶안전조치의무 주요 조치사항 및 방법 - 접근통제

  1. 불법적인 접근 및 침해사고 방지를 위한 안전조치: IP주소 등 제한, IP주소 분석을 통하여 유출 시도 탐지 및 대응
  2. 외부 접근 통제(단, 불기피한 외부 접속 시 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단 적용)
  3. 노출 및 공유 설정 제한
  4. 세션 타임 아웃: 일정시간 이상 업무처리를 하지 않는 경우에는 자동 접속 차단 등 필요한 조치
  5. 모바일 기기 관리
  6. 망 분리

망 분리에 관한 내용

▶안전조치의무 주요 조치사항 및 방법

- 개인정보의 암호화

  1. 인증정보 암호화
  2. 이용자 개인정보 암호화
  3. 고유식별정보 암호화
  4. 정보통신망을 통한 구간 송수신시 암호화
  5. 기기 및 저장 매체에 저장 시 암호화
  6. 암호키 관리

개인정보 암호화 내용

▶안전조치의무 주요 조치사항 및 방법 - 접속기록 보관 및 관리

  1. 접속기록 1년 이상 보관: 전자적으로 자동 기록
  2. 접속기록 최소 월 1회 이상 점검

▶개인정보 처리방침의 수립 및 공개(제 30조)

  • 개인정보 처리방침은 인터넷 홈페이지에 지속적으로 게재하여 공개해야함

개인정보 처리방침 기재사항

  • 행태정보의 처리와 개인정보 처리방침 상 표기: 개인정보처리자가 정보주체의 온라인 행태정보를 처리하고 이를 기반으로 '온라인 맞춤형 광고' 등을 제공 시 그 수집 및 이용에 관한 사항 및 거부 등에 대해 기재해야한다.
  • 기재 내용: 수집하는 정보 항목/수집방법/수집목적/보유이용기간 및 이후 정보처리 방법/제3자 제공 시 제공받는자 항목 및 목적 등/동의를 거부할 수 있는 권리 및 방법 등

※온라인 맞춤형 광고: 단, 상품 및 서비스의 판매 홍보 목적이 아니며 제공하는 서비스와 관련된 이용자 편의 제공을 위해 사용 환경(UX, UI 등)을 이용자별로 상이하게 구성하는 등의 맞춤형 서비스 제공은 온라인 맞춤형 광고에 해당X

작성 예시

  • 추가적인 이용제공의 판단과 개인정보처리방침 공개: 추가적인 이용제공 시 고려사항에 대한 판단기준은 사업자 혹은 단체 스스로 자율적으로 판단하여 작성하고 공개하여야 한다. 또한, 이용 및 제공 여부를 점검해야한다.

작성 예시

 

▶개인정보보호책임자의 지정 요건(제 31조)

공공기관의 경우

민간기관의 경우

▶개인정보파일의 등록 및 공개(제 32조): 공공기관만 해당

  • 공공기관이 등록해야 하는 사항

① 개인정보파일의 명칭, 운영 근거 및 목적, 개인정보 항목

② 개인정보의 처리방법 및 보유기간, 반복적인 제공 시 제공받는 자

③ 공공기관의 명칭, 개인정보의 정보주체 수, 개인정보 처리 업무 담당 부서

④ 개인정보의 열람 요구를 접수 및 처리하는 부서와 열람을 제한 및 거절할 수 있는 개인정보의 범위와 사유

  • 단, 등록 예외되는 경우가 존재

등록 예외 경우

  • 개인정보보호 인증(제 32조의 2): 개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치가 법에 부합하는지 등에 관하여 인증

→ 정보보호 및 개인정보보호 관리체계(ISMS-P)

▶ 개인정보 영향평가 및 개인정보 유출 통지

(제 33조, 34조): 공공기관만 해당

  • 영향평가 수행대상인 개인정보파일

① 구축, 운용, 변경하려는 파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반

② 구축, 운용하고 있는 파일을 공공기관 내부 또는 외부에서 구축, 운용하고 있는 다른 개인정보파일과 연계하려는 경우. 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함.

③ 구축, 운용, 변경하려는 개인정보 파일로서 100만명 이상의 정보주체에 관한 파일

  • 개인정보 유출 통지 → 통지, 신고

개인정보 유출 통지 관련 내용

개인정보 유출 신고 관련 내용

'2024 SWLUG > 개인정보보호' 카테고리의 다른 글

[6주차]중급 3교시_개인정보 유/노출 사고사례 및 침해사고 대응  (0) 2024.05.22
[5주차]중급 2교시_개인정보의 안전성 확보조치 기준  (0) 2024.05.22
[4주차]중급 1교시_개정_개인정보보호법 알아보기  (0) 2024.05.22
[3주차]입문 3교시_개인정보 유노출 예방  (0) 2024.05.22
[1주차]입문 1교시_개인정보보호법 주요내용  (0) 2024.05.22

'2024 SWLUG/개인정보보호'의 다른글

  • 현재글[2주차]입문 2교시_개인정보의 안전한 관리

관련글

티스토리툴바