개인정보보호법의 이해 (2012년 5월)
Download
Report
Transcript 개인정보보호법의 이해 (2012년 5월)
2012. 5
개인정보 홍보 동영상
목
차
Ⅰ
개인정보 유출과 보호 필요성
Ⅱ
개인정보보호법의 주요내용
- 그 간의 추진경과, 법령 지침(고시) 등 핵심내용
Ⅲ 개인정보보호법 필수 이행사항
<참고> 법 위반사례 및 조치사항(DON’Ts & DOs)
-3-
-4-
개인정보의 활용 확대
“정보 기술과 결합하여 새로운 공공, 민간 서비스 출현”
• 온라인 정보제공
• DB 연계를 통한
행정효율화 등
• 온·오프라인을 통해
맞춤형 결혼 중개
공공기관
학원,교습소
• 온라인 수강신청, 수강자 관리
• 인터넷오프라인 연계 학습환경
결혼중개업
영화관
• 주유 고객 멤버십
• 주유 마일리지 제공
• 인터넷, 모바일 예매
• 무인발권시스템
정유업
여행업
주택관리업
• 전자항공권 발권
• 실시간 온라인 예약
• 홈네트워킹 관리
-5-
개인정보 침해사고 증가
‘선거인명색인부’
나돌아
OO백화점 회원
지자체 홈피에도
개인정보 ‘줄줄’ 샌다.
개인정보 대량 유출
보안조치 없이 외부 제공
국가전산망서
개인정보 빼내 채권추심
학생정보 보험사에 제공
-6-
개인정보 침해사고 증가
-7-
개인정보 침해사고 증가
-8-
주민등록번호의 구조와 의미
생년
월
일
성별
출생지역조합번호
20C 남1
오류검증 번호
출생지역의
같은 성씨
출생 신고 순번
여2
21C 남3
여4
<출생지역 조합번호 4자리의 의미>
첫 번째 – 출생신고를 한 특별시. 광역시. 도
두 번째 – 시.군.구
세 번째 – 동.읍.면
네 번째 – 통.반.리
-9-
주민등록번호의 쓰임과 유출시 문제점
공공 기관
전자민원 등 온라인 민원 서비스에서 본인확인에 사용
오프라인에서 세무, 조세, 민원, 병역, 복지 등 행정업무 수행에 사용
민간 사업자
온라인 상 본인확인, 성인인증, 실명확인, 신용카드 등록 등에 사용
오프라인에서 포인트 적립 등 부가서비스, 금융상품 거래, 보험상품
가입 등에 사용
유출시 문제점
유출된 주민번호는 불법 매매, 명의도용(금융계좌, 휴대폰 개설, 사이버머니 판매)
신분증 위조 등 각종 범죄와 사기에 악용
- 10 -
개인정보 침해 관련 집단소송
“개인정보 유출 피해자들의 집단 소송 다수 발생”
A
은행
B
전자
C
게임사
1,026명 피해
1인당 20만원 배상 판결
290명 피해
1인당 70만원 배상 판결
44명 피해
1인당10만원 배상 판결
D
오픈마켓
E
쇼핑몰
F
정유사
G
통신사
유출 피해자
1,800만 명
2,000만 명
1,125만 명
600백만 명
배상금액
1차 판결 항소
소송 진행중
소송 진행중
소송 진행중
- 11 -
개인정보 보호의 중요성
개인
기업
개인정보 유출 등 정신적 피해, 보이스 피싱 등에 의한 금전적 손해,
스팸메일, 유괴 등 각종 범죄에 노출 우려
개인정보는 기업의 자산 그 자체,
개인정보 유출시 기업 이미지 실추, 집단 손해배상 등으로 기업 경영 타격
정부, 공공행정의 신뢰성 하락, 국가 브랜드 하락, 프라이버시 라운드
국가
대두에 따른 IT산업 수출애로
개인정보 보호는 국가 · 사회 안전 및 기업 발전의 필수 요소
- 12 -
- 14 -
1. 그간의 추진 경과
17대 국회, 3개 개인정보보호법안 의원 발의
- 노회찬 의원(민노당, 04.11), 이은영 의원(우리당, 05.7), 이혜훈 의원(한나라당, 05.12)
- 17대 국회 임기만료로 3개 발의법안 자동 폐기
18대 국회, 3개 개인정보보호법안 발의
- 이혜훈 의원안(08.8.8), 변재일 의원안(08.10.27), 정부안(08.11.28)
국회 행안위 상정('09.2.20), 행안위 법안소위(5회), 법사위 법안소위('11.1)
본회의 의결('11.3.11), 공포('11.3.29), 시행('11.9.30)
개인정보보호 연구회 구성·운영('11.4)
- 학계, 법조계 등 전문가로 연구회를 구성(회장:홍준형) 하여 시행령 , 지침·고시 제정 등 지원
시행령 및 시행규칙 제정 (‘11.9.30)
- 입법예고(11.5.24), 공청회(11.6.2), 규제심사(11.9.4), 차관회의(11.9.16), 공포(11.9.27)
개인정보보호 표준지침 및 분야별 고시 제정('11.9.30 )
- 표준 개인정보보호 지침(영상정보처리기기 운영관리지침, 공공기관 파일관리지침 포함),
- 개인정보의 안전성 확보조치 기준 고시, 개인정보 영향평가 고시
- 15 -
<참고> 개인정보보호법 개정 전.후 비교
1
- 17 -
1
총칙 (1) 개인정보의 의미 (용어정의)
개인정보
처리
정보주체
개인정보
처리자
성명, 주민번호 등을 통하여 살아있는 개인을 알아볼 수 있는 정보
다른 정보와 용이하게 결합하여 개인을 알아볼 수 있는 정보
※ 성명, 주소, 전화번호 등 이외에 컴퓨터 IP주소, e-mail 등도 개인정보에 포함됨
※ 명함, 이메일 수집? 개인신용정보?
개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력,
정정, 복구, 이용, 제공, 공개, 파기 기타 이와 유사한 행위
처리되는 정보에 의해 알아볼 수 있는 그 정보의 주체가 되는 사람
※ 정보통신망법 상의 이용자는 ‘영리목적으로 서비스를 이용하는 사람’이 해당되므로
개인정보보호법에 따른 정보주체와는 구분됨(신용정보법 상 신용정보주체)
업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를
처리하는 공공기관, 법인, 단체, 개인 등
※ 정보통신망법 상 정보통신서비스제공자는 ‘영리목적으로 서비스를 제공하는 자’를 의미하므로
개인정보보호법의 개인정보처리자와 구분됨(신용정보법 상 신용정보업, 신용정보회사)
개인정보
파일
개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로
영상정보
처리기기
일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을
촬영하거나 이를 전송하는 장치
배열하거나 구성한 개인정보 집합물
※ 폐쇄회로 텔레비전(CCTV), 네트워크 카메라
- 18 -
(2) 법률 적용대상 및 범위 확대
법 시행 이전
분야별 개별법이 있는 경우에 한해 개인정보 보호의무 적용(약 51만)
- 공공기관 : 「공공기관 개인정보보호법」
- 신용정보 제공·이용자 : 「신용정보법」
- 정보통신서비스제공자 : 「정보통신망법」 - 여행사, 백화점 등 준용사업자 : 「정보통신망법」
법 시행 이후
적용대상 : 공공·민간부문의 모든 개인정보처리자
- 포털, 금융기관, 병원, 학원, 제조업, 서비스업 등 72개 업종 350만 전체 사업자
- 국회·법원·헌법재판소·중앙선거관리위원회 등 헌법기관
- 부처, 지자체, 공사, 공단, 학교 등 2.8만 전체 공공기관
- 사업자 협회 · 동창회 등 비영리단체
적용범위 : 전자파일 형태외 동창회 명부, 민원서류, 이벤트 응모권 등 수기문서 포함
※ 법 적용 일부 제외(법58조)
• 영상정보처리기기는 개인정보 수집이용(법 제15조), 동의 받는 방법(법 제22조), 영업양도 시
개인정보 이전 제한(법 제27조), 유출통지(법 제34조), 개인정보 처리정지권(법 제37조) 적용 제외
• 동창회, 동호회 등 친목도모 단체의 개인정보 처리는 개인정보 수집이용(법 제11조),
개인정보 처리방침(법 제30조), 개인정보 보호책임자 지정(법 제31조) 적용 제외
- 19 -
(3) 다른 법률과의 관계
정보통신망법, 신용정보보호법과의 적용 관계 (법 제6조)
개인정보보호법은 일반법이므로 정보통신망 이용촉진 및 정보보호
등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등 다른 법률에
특별한 규정이 있는 경우를 제외하고는 개인정보보호법 적용
주민등록번호 등 고유식별정보 및 민감정보 처리제한,
영상정보처리기기 설치운영 제한, 유출통지제, 집단분쟁조정제,
권리침해 중지 단체소송 등은 정보통신망법, 신용정보법 수범자
(포털, 망사업자, 금융기관 등)에게도 모두 적용
※ ’12.2월 조문별 적용 관계를 정리한 ‘법령·지침 해설서’ 발간
- 20 -
(4) 법 추진체계 일원화
17개 부처 38개 법률의 개별법 체계에서 개인정보보호법(일반법)-개별법 체계로 정비
보호위원회(심의·의결)-행안부(총괄 집행)-부처(소관 집행)로 일원화
제정 전
공공부문
민간부문
정책 심의
행정안전부
중앙행정기관
공공기관 개인정보보호심의위원회
행안부
방통위
총괄.
준용
사업자
정보통신
금융위
기타
신용정보
이용·제공
기관
의료
교육
노동 등
(국무총리 소속)
기타 공공기관
지자체
서비스
제공자
개인정보분쟁조정위원회 피해구제
제정 후
시정 권고
대 통 령
헌법기관
개인정보보호위원회
심의·의결
지방자치단체
피해구제
개인정보
분쟁조정위원회
중앙행정기관
행정안전부
방송통신위원회
공공기관, 기타 민간분야 총괄
정보통신 분야
행안부, 방통위 이외 각 부처는 소관 개인정보보호 분야별 지원, 협조
- 21 -
2
개인정보 처리단계별 의무사항
<처리단계>
개인정보보호법령 규정
수집
이용
개인정보 수집·이용
개인정보 수집의 제한 (필요 최소한의 정보수집 등)
민감정보 및 고유식별정보 처리제한
저장
관리
인터넷상 주민번호 이외의 회원가입 방법 제공
영상정보처리기기 설치·운영, 개인정보처리방침 공개
개인정보 보호책임자 지정
개인정보 안전성 확보조치
제공
위탁
개인정보의 제3자 제공, 목적외 이용제공 금지
개인정보 처리위탁, 영업양도 등 개인정보 이전
개인정보 파기
파기
개인정보 유출통지·신고 및 개인정보 침해신고
개인정보 열람, 정정·삭제, 처리정지권
권리
보장
벌칙 및 경과조치
개인정보 분쟁조정위원회 및 집단분쟁조정
권리침해 중지 단체소송
- 22 -
(1) 개인정보 수집·이용 및 제공
개인정보의 수집·이용 및 제공이 가능한 경우 (법 제15조, 제17조)
1.
2.
3.
4.
5.
6.
정보주체의 동의를 받은 경우
법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우
공공기관이 법령에서 정한 소관업무 수행을 위해 불가피한 경우
정보주체와의 계약 체결·이행을 위해 불가피한 경우
정보주체 등의 생명, 신체, 재산의 이익 보호 (사전동의 받기 곤란한 경우)
개인정보처리자의 정당한 이익 달성을 위해 필요한 경우
처벌규정
처벌규정
제15조 위반 시 5천만원 이하의 과태료
제17조 위반 시 5년이하 징역 또는 5천만원이하 벌금
필요 최소한의 개인정보 수집 (법 제16조)
개인정보처리자는 수집목적에 필요한 최소한의 개인정보를 수집
최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담
개인정보처리자는 정보주체가 필요 최소한의 정보 외의 개인정보 수집에 동의
하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부 금지
처벌규정
위반 시 3천만원 이하의 과태료
- 23 -
<참고1> 개인정보의 수집·이용 기준 및 절차
정보주체의 동의가 있거나, 법령 등에서 정한 소관업무 수행을 위해
불가피한 경우 등은 개인정보 수집·이용 가능 (법 제15조)
일반적으로 개인정보를 수집하려면 정보주체의 동의를 받아야 함
※ 정보주체의 동의 거부 권리
- 동의 거부 시 불이익 내용 고지
정보주체의
개인정보
동의
동의 시 고려사항
최소한의
정보수집
수집·이용
민감정보 및
만 14세 미만
고유식별정보
개인정보 수집시
원칙적
법정대리인
수집 금지
동의 필요
- 24 -
제3자 제공시
고지 및
동의 필요
※ 예외사항
119 구조 등
응급의료,
요금정산,
신용조회 등
<참고2> 개인정보 동의획득 양식 (예시)
A사의 개인정보 수집 및 이용
회사는 회원가입, 고객상담, 서비스 제공을 위해 최초 회원가입 시 아래와 같은 개인정보를
수집하고 있습니다.
<필수정보> 성명, 생년월일, 성별, 아이디, 비밀번호, 필수연락처, 가입인증정보
수집한 개인정보는 회원 유지기간 및 A/S 기간동안 보관합니다.
회원께서는 개인정보 수집 동의를 거부하실 수 있으며 다만 이 경우 회원가입이 제한됩니다.
개인정보 수집 및 이용에 동의하십니까
□ 동의함
□ 동의하지 않음
일반동의
(필요시) 고유식별정보 처리 동의 (수집 또는 제공시의 고지사항 고지)
고유식별정보 처리에 동의하십니까
□ 동의함
□ 동의하지 않음
별도동의
(필요시) 민감정보 처리 동의 (수집 또는 제공시의 고지사항 고지)
민감정보 처리에 동의하십니까
□ 동의함
□ 동의하지 않음
별도동의
(필요시) 목적 외 이용/제공 동의시 (목적 외 제공시의 고지사항 고지)
개인정보 목적외 이용/제공에 동의하십니까
□ 동의함
□ 동의하지 않음 별도동의
<선택정보> 기혼 여부, 기념일, 병력, 취미, 소득수준, 자녀 정보
※ 선택정보 사항을 획득하지 못한 사유로 인해 서비스 제공을 거부할 수 없습니다.
선택적 개인정보 수집 및 이용에 동의하십니까 □ 동의함
- 25 -
□ 동의하지 않음
별도동의
(2) 개인정보 목적외 이용 및 제3자 제공 제한
개인정보의 목적외 이용 및 제공이 가능한 경우 (법 제18조)
1. 정보주체의 별도 동의를 받은 경우
2. 다른 법률의 특별한 규정
3. 명백히 정보주체 또는 제3자의 생명, 신체,재산의 이익에 필요한 경우
4. 통계작성,학술연구에 필요한 경우로 특정개인을 알아볼 수 없는 형태로 제공
5. 법률에서 정하는 소관업무수행이 불가능 경우
보호위원회의 심의· 의결을 거친 경우
공공기관만
해당
6. 조약, 국제협정이행을 위해 외국정부 등 제공에 필요한 경우
7. 범죄수사 및 공소제기·유지
8. 법원의 재판업무 수행
9. 형 및 감호, 보호처분 집행
처벌규정
위반 시 5년이하 징역 또는 5천만원 이하의 벌금
- 26 -
<참고1> 개인정보 목적외 이용 위반사례
위반 사례
•
주의사항
A기관 직원이 차량등록 업무 수행시
업무상 사용하는 개인정보는 해당
검색한 개인정보(100건)를 PC에
목적으로만 이용하여야 함
(개인정보를 PC에 함부로 보관할 경우
개인적으로 보관하다 기관내 민원
불법이용이나 유출의 위험이 있으므로
게시판 댓글을 다는데 사용
즉시 파기)
• B기관의 민원업무 담당자가 동생
• 민원 담당자가 개인적인 목적으로
배우자의 신원확인을 위해 혼인관계
민원서류를 무단 열람하여 이용하면
증명서를 열람
목적외 이용에 해당
- 27 -
<참고2> 개인정보 제3자 제공 위반 사례
위반 사례
주의사항
• A기관 직원이 업무상 관리하던 타 직원의
부서내 직원정보 등 소규모 개인
개인정보를 동생에게 알려주어 명절
정보도 유출하지 않도록 주의
열차표 예매에 사용하게 함
홈페이지 게시물 확인 철저
• B대학교는 합격자 발표 게시물에
(홈페이지에 게시되면 즉시 삭제해도 구글 등
주민등록번호 등 개인정보를 포함
검색엔진에 남아 계속 열람될 수 있음)
• C학교는 기숙사 배정 문서에 성적,
개인정보가 포함된 파일관리 철저
주민번호 등 개인정보가 포함된 채 발송
(외부 문서에 잘못 첨부되지 않도록 주의하고
• D기관은 개별 통보해야 하는 개인정보가
개인정보가 포함된 문서는 각각 해당
비밀번호를 부여하여 잘못된 열람 방지)
포함된 민원서류를 민원인에게 일괄 발송
수신자에게만 발송 조치
- 28 -
(3) 민감정보 및 고유식별정보 처리제한
내용
민감정보 및 고유식별정보의 처리는 내용적으로 금지 (법 제23조, 제24조)
정보주체에게 별도 동의를 얻거나, 법령에서 구체적으로 허용된 경우에 한하여
예외적으로 처리 허용
※ 민감정보 : 사상, 신념, 노동조합, 정당가입, 건강 등 사생활 침해 우려가 현저히 높은 개인정보
※ 고유식별정보 : 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보
세부사항
민감정보의 범위 (영 제18조)
① 유전자 검사에 따른 유전정보
② ‘형의 실효 등에 관한 법률’에 따른 범죄 경력 정보
고유식별정보의 범위 (영 제19조)
① 주민등록번호
② 여권번호
③ 운전면허번호
④ 외국인등록번호
처벌규정
위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금
- 29 -
(4) 인터넷상 주민등록번호 이외의 회원가입방법 제공
내용
공공기관 및 일평균 홈페이지 이용자 1만명 이상의 개인정보처리자는
정보주체가 인터넷 홈페이지를 통해 회원으로 가입할 경우, 주민등록번호
이외의 회원가입 방법을 의무 제공 (법 제24조제2항, 영 제20조)
※ 주민등록번호 이외의 회원가입 방법 : i-PIN, 공인인증서, 전자서명, OTP 등
주민번호 대체수단 제공 의무화 대상자
방통위 : 1,500개 <포털(일방문자 5만, 게임.정보통신업체(일방문자 1만)>
행안부 : 11,712개 <전체 공공기관(11,663개), 기타(49개, 일방문자1만)>
처벌규정
대체수단 미제공 시 3천만원 이하의 과태료
- 30 -
(5) 영상정보처리기기의 설치·운영 제한 ①
내용
영상정보처리기기는 공개된 장소에 특정 목적으로만 설치·운영 (법 제25조제1항)
<영상정보처리기기 설치·운영 허용 사유>
1) 법령에서 구체적으로 허용하는 경우 2) 범죄예방 및 수사
4) 교통단속
5) 교통정보의 수집·분석 및 제공
3) 시설안전 및 화재예방
처벌규정 위반 시 3천만원 이하의 과태료
목욕실, 화장실, 탈의실 등 개인 사생활을 현저히 침해할 우려가 있는 장소에는
영상정보처리기기 설치·운영 금지 (법 제25조제2항)
- 다만, 교정시설, 정신의료기관에는 설치·운영 허용 (영 제22조제1항)
처벌규정 위반 시 5천만원 이하의 과태료
영상정보처리기기 설치목적과 다른 목적으로 영상정보처리기기를 임의 조작,
다른 곳을 비추는 행위, 녹음기능 사용 금지 (법 제25조제5항)
처벌규정 위반 시 3천만원 이하 징역 또는 3천만원 이하 벌금
- 31 -
(5) 영상정보처리기기의 설치·운영 제한 ②
안내판 설치
정보주체가 쉽게 인식할 수 있도록 안내판 설치 (법 제25조제4항, 영 제24조)
<안내판 기재사항>
1) 설치목적 및 장소
2) 촬영범위 및 시간
3) 관리책임자 및 연락처
건물 안에 다수의 영상정보처리기기 설치시, 출입구 등 잘 보이는 곳에 해당
시설·장소 전체가 설치지역임을 표시하는 안내판 설치
다음의 경우, 안내판 설치에 갈음하여 인터넷 홈페이지에 기재사항 게재
<안내판 설치 예외>
1) 공공기관이 원거리 촬영, 과속, 신호위반단속 등 목적으로 설치하는 경우
2) 장소적 특성으로 안내판 설치가 불가능하거나 설치하더라도 정보주체가 쉽게 알아볼 수 없는 경우
처벌규정 위반 시 1천만원 이하의 과태료
영상정보처리기기 운영관리방침 수립
<운영관리방침 포함사항 (영 제25조)> ※ 개인정보 처리방침으로 대체 가능
1) 설치근거 및 설치목적 2) 설치대수, 설치위치, 촬영범위 3) 관리책임자, 담당부서 등
4) 촬영시간, 보관기간, 보관장소, 처리방법 5) 운영자의 영상정보 확인방법 및 장소
6) 정보주체의 영상정보 열람 등 요구에 대한 조치 7) 기술적,관리적,물리적 조치 등
- 32 -
(6) 개인정보 처리방침 수립 및 공개
내용
개인정보처리자는 개인정보처리방침을 수립·공개(법 제30조제1항, 영 제31조제1항)
<개인정보처리방침 포함사항>
1) 개인정보 처리목적 2) 개인정보 처리 및 보유기간 3) 개인정보 제3자 제공에 관한 사항
4) 개인정보 처리 위탁에 관한 사항 5) 정보주체의 권리·의무 및 행사방법에 관한 사항
6) 처리하는 개인정보항목 7) 개인정보 파기에 관한 사항 8) 개인정보 안전성 확보조치에 관한 사항
개인정보처리방침 공개방법
인터넷 홈페이지 첫화면 또는 첫화면과 직접 연결되는 화면에 게재
<인터넷 홈페이지 게재 불가시 공개방법 (영 제31조제3항)>
1) 사업장 등의 보기 쉬운 장소에 게시
2) 관보, 신문 게재
3) 연 2회 이상 발생하는 간행물, 소식지 등에 게재
4) 재화용역을 제공하기 위해 작성한
계약서에 게재하여 발급
처벌규정
위반 시 1천만원 이하의 과태료
- 33 -
<참고> 개인정보 처리방침 수립 및 공개 예시
개인정보 처리방침을 홈페이지 또는 사업장 내에 게시하여
정보주체가 쉽게 확인할 수 있도록 공개
[인터넷 홈페이지 첫화면]
공개사항을
모두 포함
[사업장내 벽면에 게시]
정보주체가 쉽게
확인할 수 있도록
글자색을 달리 표시
약관 개인정보 처리방침 회사소개/투자정보 온라인제휴안내
인트라넷
- 34 -
(7) 개인정보 보호책임자의 지정
내용
개인정보처리자는 개인정보 처리에 관한 업무를 총괄·책임지는 개인정보
보호책임자를 지정 (법 제31조)
<개인정보 보호책임자 업무> (법 제31조제2항, 영 제32조제1항)
1) 개인정보 보호계획 수립·시행
2) 개인정보 처리실태 및 관행의 정기적 조사·개선
3) 불만의 처리 및 피해구제
4) 유출 및 오남용 방지를 위한 내부통제시스템 구축
5) 개인정보 보호 교육계획 수립·시행
6) 개인정보파일 보호 및 관리· 감독
7) 개인정보처리방침 수립·변경 및 시행
8) 개인정보 보호 관련 자료의 관리
9) 처리목적이 달성되거나 보유기간이 경과한 개인정보 파기
지정요건
개인정보 보호책임자 지정요건 (영 제32조제2항)
① 공공기관은 기관별 직급 명시 (개인정보처리 담당부서의 장)
② 공공기관 외의 개인정보처리자의 경우
개인 사업주, 대표자, 정보처리 업무를 담당하는 부서의 장,
개인정보 보호에 관한 소양이 있는 사람 중 어느 하나를 지정
처벌규정
위반 시 1천만원 이하의 과태료
- 35 -
(8) 개인정보의 안전성 확보조치
내용
개인정보가 분실·도난·유출·변조·훼손되지 않도록 안전성 확보에 필요한
기술적·관리적·물리적 조치 이행 (법 제29조)
세부사항 (영 제30조)
관리적 보호조치
- 내부관리계획 수립·시행
기술적 보호조치
- 접근통제 및 접근권한 제한 조치
- 개인정보의 안전한 저장·전송을 위한 암호화 또는 이에 상응하는 조치
- 접속기록의 보관 및 위·변조 방지조치
- 보안프로그램의 설치 및 갱신조치
물리적 보호조치
- 개인정보 안전한 보관을 위한 보관시설 마련 또는 잠금장치 설치
처벌규정
미이행시 3천만원 이하의 과태료, 미이행으로 인한 유출시
2년 이하 징역 또는 1천만원 이하 벌금
- 36 -
<참고> 개인정보의 안전성 확보조치 고시(안)
※ 소상공인(5인 미만) 또는 중소사업자(50인 미만)가 내부직원의 개인정보망을 보유한
시스템은 적용 제외
구분
주요내용
내부관리계획(제3조)
• 보호책임자 지정 및 역할과 책임, 취급자 교육 등
※ 소상공인은 내부관리계획 수립의무 면제
접근권한 관리(제4조)
• 업무수행에 필요한 최소한의 범위로 차등 부여
• 접근권한 부여기록은 최소 3년간 보관
비밀번호 관리(제5조)
• 비밀번호 작성규칙 수립 의무화
접근통제시스템(제6조)
• 방화벽 등 접근통제시스템 설치·운영
• 업무용 컴퓨터만을 이용해 개인정보 처리시, 접근통제시스템
• 설치의무 면제 (O/S, 보안프로그램의 접근통제기능 이용)
암호화(제7조)
• 암호화 대상 : 고유식별정보, 비밀번호, 바이오정보
• 암호화 기준
-(전송시) 정보통신망 송수신 등의 경우 암호화
-(저장시) ① 비밀번호 및 바이오정보 암호화 (PW 일방향 암호화)
② 고유식별정보는 인터넷구간, DMZ구간 저장시 암호화하고
내부망 저장시 위험도 분석에 따라 암호화 적용여부, 적용범위 결정
접속기록 보관(제8조)
• 최소 6개월 이상 보관
보안프로그램(제9조)
• 백신소프트웨어 등 보안프로그램 설치, 자동 또는 일1회 이상 업데이트
물리적 접근방지(제10조) • 개인정보 물리적 보관장소에 대한 출입통제절차 등
※ 안전성 확보조치 고시(안)은 개인정보보호 종합포털(www.privacy.go.kr) 게재
- 37 -
(9) 개인정보 처리업무 위탁 기준
내용
제3자에게 개인정보 처리업무 위탁시, 문서에 의하여야 함 (법 제26조, 영 제28조)
개인정보처리자는 위탁사실을 정보주체가 쉽게 확인토록 공개 (법 제26조제2항)
위탁자의 인터넷 홈페이지 첫화면 또는 첫화면과 직접 연결되는 화면을 통하여
공개사항을 게재 (영 제28조제2항)
홍보 및 판매권유 위탁
재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁 시 위탁사실을
정보주체에게 고지 (법 제26조제3항)
고지방법 (영 제28조제4항) 서면, 전자우편, FAX, 전화, 문자 또는 이에 상당하는 방법
위탁사실을 과실없이 고지할 수 없는 경우 (영 제28조제5항)
- 위탁사실을 인터넷 홈페이지에 30일 이상 게재(홈페이지가 없는 경우 사업장 등에 게재)
위탁자 및 수탁자의 책임
위탁자는 수탁자가 개인정보를 안전하게 처리하는지 감독 (법 제26조제4항)
수탁자가 위탁받은 업무와 관련하여 이 법을 위반하여 손해배상책임 발생시,
수탁자를 개인정보처리자의 소속직원으로 간주 (법 제26조제6항)
처벌규정
위반 시 3천만원 이하의 과태료
- 38 -
(10) 영업양도 등에 따른 개인정보 이전제한
내용
개인정보처리자는 영업의 전부, 일부의 양도·합병 등으로 개인정보를
다른 사람에게 이전하는 경우, 다음 사항을 정보주체에 고지 (법 제27조제1항)
<영업양도 등 고지시항>
1) 개인정보 이전사실 2) 개인정보를 이전 받는 자(영업양수자 등)의 성명, 주소, 전화번호, 연락처
3) 정보주체가 개인정보 이전을 원하지 않는 경우 조치할 수 있는 방법 및 절차
개인정보처리자가 통지한 경우, 영업양수자 등은 고지의무 면제
고지방법 (영 제 29조)
서면, 전자우편, FAX, 전화, 문자전송 또는 이에 상당하는 방법
과실 없이 정보주체에게 고지할 수 없는 경우 해당 사항을 인터넷 홈페이지에
30일 이상 게재 (인터넷 홈페이지가 없는 경우에는 사업장 등의 보기 쉬운 장소에 게재)
처벌규정
위반 시 1천만원 이하의 과태료
- 39 -
(11) 개인정보 파기조치
내용
보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을
때는 지체 없이 (5일 이내) 개인정보 파기 (법 제21조, 표준지침 제11조)
다만, 다른 법령에 따라 보존해야 하는 경우에는 미파기
• 소비자 분쟁처리 관련 기록(3년), 요금정산(5년), 계약 및 청약철회(5년) : 전자상거래법
• 의료기록부(10년), 진단서 등의 부본(3년) : 의료법 시행규칙
파기방법 (영 제`16조)
개인정보가 복구 또는 재생되지 아니하도록 파기
- 전자적 파일 형태 : 복원이 불가능한 방법으로 영구 삭제
※ 복원이 불가능한 방법 : 사회 통념상 현재 기술 수준에서 적절한 비용이 소요되는
방법 (표준지침 제11조제2항)
- 기록물, 인쇄물, 서면 등 : 파쇄 또는 소각
처벌규정
위반 시 3천만원 이하의 과태료
- 40 -
3
국민의 권리 보장 (1) 개인정보 유출통지 및 신고제
내용
개인정보처리자는 개인정보 유출시 지체없이 (5일 이내) 정보주체에게
유출사실 통지 (법 제34조, 표준지침 제27조)
1만명 이상 개인정보 유출시 지체없이 (5일 이내) 행정안전부 또는
한국정보화진흥원, 한국인터넷진흥원에 신고 (법 제34조제3항, 영 제39조)
※ 개인정보 유출에 따른 금융사기, 보이스피싱 등 2차 피해 방지를 위해 전문기관은 기술 지원
통지방법
통지 방법 (영 제40조제1항)
- 서면, 전자우편, FAX, 전화, 문자전송 또는 이에 상당하는 방법
- 1만명 이상 개인정보 유출시, 통지와 동시에 인터넷 홈페이지에 7일 이상
게재 (영 제40조제3항)
유출된 개인정보 확산 및 추가유출 방지를 위하여 접속경로 차단, 취약점
점검·보완, 유출 개인정보 삭제 등 긴급한 조치 필요시 해당 조치를 취한 후
정보주체에게 통지 가능 (영 제40조제1항)
처벌규정
통지·신고 미이행 시 3천만원 이하의 과태료
- 41 -
(2) 개인정보 침해신고
내용
개인정보에 관한 권리, 이익을 침해받은 사람은 행정안전부장관에게
침해사실을 신고 (법 제62조)
개인정보침해신고센터
행정안전부장관은 개인정보 침해신고의 접수, 처리 등 업무를 효율적으로
수행하기 위하여 한국인터넷진흥원을 개인정보침해신고센터 운영을 위한
전문기관으로 지정 (법 제62조제2항, 영 제59조)
<개인정보침해신고센터 업무> (법 제62조제3항)
1) 개인정보 처리와 관련한 신고의 접수, 상담
2) 사실의 조사, 확인 및 관계자의 의견 청취
3) 위의 업무에 딸린 업무
개인정보침해신고센터
☎ 국번없이 118
홈페이지 : privacy.kisa.or.kr
※ 개인정보 침해신고 건수 : ’09년 3만 5천여건 ’10년 5만 5천여건 ’11년 12만 2천여건
- 42 -
(3) 정보주체의 열람, 정정·삭제, 처리정지권 보장
내용
정보주체는 자신의 개인정보에 대한 열람, 정정·삭제, 처리정지를
개인정보처리자에 대해 요구할 수 있음 (법 제35조~제37조)
조치사항
개인정보 열람 요구 대응조치 (영 제41조)
- 내용적으로 10일 이내에 열람할 수 있도록 조치,
- 열람할 수 없는 정당한 사유가 있을 경우 정보주체에게 그 사유를
알리고 열람 연기 (사유가 소멸하면 지체없이 열람)
개인정보 정정·삭제, 처리정지 요구 대응조치 (영 제43조)
- 내용적으로 10일 이내에 조치
※ 처리정지권 (법 제37조) : 정보주체는 공공기관에 등록된 개인정보 파일 중 자신의
개인정보 처리정지 요구 가능
<열람 제한사유>
1) 법률의 규정
2) 타인의 생명, 신체, 재산 침해우려가 있는 경우
3) 공공기관의 조세부과 징수·환급, 교육기관 성적평가·입학자 선발, 채용 시험·보상금 산정·감사조사 업무
처벌규정
위반 시 3천만원 이하의 과태료
- 43 -
(4) 개인정보 분쟁조정 및 단체소송
분쟁조정
개인정보 관련한 분쟁의 조정을 원하는 자는 개인정보분쟁조정위원회에
분쟁조정을 신청할 수 있음 (법 제43조)
<개인정보분쟁조정위원회> (법 제40조)
개인정보에 관한 분쟁의 조정을 위하여 설치 (위원장 1명 포함 20명 이내의 위원으로 구성)
분쟁조정의 내용은 재판상 화해 효력 (제47조제5항)
※ 재판상 화해 : 소송 중 양 당사자가 화해하여 소송을 종료시키기로 하는 합의, 확정판결과 동일 효력
집단분쟁조정
정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한
유형으로 발생하는 경우 집단분쟁조정을 신청할 수 있음 (법 제49조)
<집단분쟁 신청대상> (영 제52조)
1) 피해 또는 권리침해를 입은 정보주체 수가 50명 이상
2) 사건의 중요한 쟁점이 사실상, 법률상 공통
단체소송
소비자단체, 비영리민간단체는 개인정보처리자가 집단분쟁조정 거부
또는 결과 불수락 시 법원에 권리침해행위의 금지·중지 소송 제기 (법 제51조)
- 44 -
4
벌칙 및 경과조치 (1) 벌칙 및 과태료
실체법 위반은 징역형 또는 벌금, 절차법 위반은 과태료 부과
구분
주요내용
처벌 및 벌칙 구분
동의 없는 개인정보 제3자 제공(17조)
정보주체의 동의 없는 개인정보 제3
자 제공(17조)
개인정보의 목적 외 이용·제공(18조,
제19조, 제26조)
5년 이하
징역 또는
5천 만원
이하 벌금
제
공
·
민감정보 처리기준 위반(제23조)
위
탁
수
집
·
이
용
3년 이하
징역 또는
3천 만원
이하 벌금
5천 만원
이하 과태료
개
인
정
보
안
전
관
리
탈의실·목욕실 등 영상정보처리기기
설치 금지 위반(제25조)
직접마케팅 업무위탁으로 인한 개인
정보 제공 시 정보주체에게 알려야
할 사항을 알리지 아니한 자
(제15조, 제17조, 제18, 제26조)
최소한의 개인정보 외 정보의 미동의
를 이유로 재화 또는 서비스 제공을
거부한 자(제16조, 제22조)
직접마케팅 업무위탁으로 인한 개인정
보 제공 시 정보주체에게 알려야 할 사
항을 알리지 아니한 자(제15조, 제17조,
제18, 제26조)
3천 만원
이하 과태료
3천 만원
이하 과태료
직무상 알게 된 비밀을 누설하거나
직무상 목적 외 사용한 자(제60조)
이하 벌금
안전성 확보에 필요한 보호조치를 취
하지 않아 개인정보를 도난·유출·변조
또는 훼손당하거나 분실한 자(제24조,
제25조, 제29조 위반)
2년 이하
징역 또는
1천 만원
이하 벌금
안전성 확보에 필요한 조치의무 불이행
(제24조, 제25조, 제29조)
영상정보처리기기 설치·운영기준 위반
( 제25조)
주요내용
처벌 및 벌칙
개인정보의 정정·삭제요청에 대한 필
요한 조치를 취하지 않고, 개인정보를
계속 이용하거나 제3자에게 제공한 자
(제36조)
2년 이하
징역 또는
1천 만원
이하 벌금
개인정보의 처리정지 요구에 따라 처
리를 중단하지 않고 계속 이용하거나
제3자에게 제공한 자(제37조)
2년 이하 징역
또는 1천 만원
이하 벌금
주민등록번호를 제공하지 아니할 수
있는 방법 미제공(제21조)
개인정보관리책임자 미지정(제31조)
1천 만원
이하 과태료
개인정보 유출사실 미통지(제34조)
정
보
주
체
권
익
보
호
영상정보처리기기 안내판 설치 등
필요조치 불이행(제25조)
- 45 -
3천 만원
이하 과태료
정보주체의 열람 요구의 부당한 제
한·거절(제35조)
정보주체의 정정삭제요구에 따라 필
요조치를 취하지 아니한 자(제36조)
처리정지된 개인정보에 대해 파기 등의
조치를 하지 않은 자(제37조)
시정명령 불이행(제64조)
1천 만원
이하 과태료
정보주체의 열람, 정정·삭제, 처리정
지 요구 거부 시 통지의무 불이행
(제35조, 제36조, 제37조)
3천 만원
이하 과태료
개인정보를 분리해서 저장․관리하지
아니한 자(제21조)
개인정보처리방침 미공개(제30조)
동의획득방법 위반하여 동의 받은 자
(제22조)
5년 이하 징역
또는 5천 만원
이하 벌금
1천 만원
이하 과태료
개인정보의 누설 또는 타인 이용에
5년 이하
제공 (제59조)
징역 또는
개인정보의 훼손, 멸실, 변경, 위조, 유출 5천 만원
이하 벌금
(제59조)
영상정보처리기기 설치목적과 다른 목
적으로 임의 조작하거나 다른 곳을
3년 이하
비추는 자 또는 녹음기능을 사용한
징역 또는
자(제25조)
3천 만원
개인정보의 수집기준 위반(제15조)
만 14세 미만 아동의 개인정보 수집
시 법정대리인 동의획득의무 위반
(제22조)
개인정보의 목적 외 이용·제공
(18조, 제19조, 제26조)
처벌 및 벌칙 구분
업무위탁 시 공개의무 위반(제26조)
고유식별정보 처리기준 위반(제24조)
부정한 수단이나 방법에 의해 개인정
보를 취득하거나 개인정보처리에 관
한 동의를 얻는 행위를 한 자(제59조)
주요내용
관계물품·서류 등의 미제출 또는 허위
제출(제63조)
1천 만원
이하 과태료
출입·검사를 거부·방해 또는 기피한 자
(제63조)
파
기
개인정보 미파기(제21조)
3천 만원
이하 과태료
(2) 시행일 및 경과조치
시행일
개인정보보호법은 ‘11.9.30(공포 후 6개월 경과일)부터 시행 (부칙 1조)
주민등록번호 외의 회원가입 방법(i-PIN등) 적용(법 제24조제2항)은 ‘12.3.30
(공포 후 1년 경과일)부터 시행 (부칙 1조)
경과조치 (영 부칙)
개인정보 암호화는 고시 수립일로부터 3개월 이내에 암호화 계획 수립,
‘12.12.31까지 암호화 적용 (영 제4조)
개인정보 영향평가는 고시 수립일로부터 3개월 이내에 영향평가 계획 수립,
‘16.9.30(5년 이내)까지 영향평가 완료 (개인정보 영향평가 고시 부칙 제2조)
법 시행 이전에 다른 법령에 따라 적법하게 처리된 개인정보, 근거 법령없이
처리된 개인정보는 이 법에 따라 처리된 것으로 간주(소급 불인정)
다만, 9.30 이후 새롭게 개인정보를 처리하는 경우 개인정보보호법 적용
- 46 -
(1) 필수 이행사항
1. 무분별한 개인정보 수집 자제
불필요하게 주민번호 등 개인정보를 수집하는 경우, 관리소홀로 인해 해킹 등
유출사고 책임이 크게 증가하므로 서비스 제공에 필요한 최소한의 개인정보
수집이 현명하다.
2. 주민등록번호 등 고유식별정보와
종교, 건강정보 등 민감정보는 원칙적 처리금지
고유식별정보와 민감정보는 ①정보주체의 별도의 동의 ②법령에서 구체적
으로 명시하거나 허용하는 경우를 제외하고 처리할 수 없도록 규제가 강화
된다. 수집 시 법령에 근거가 있는지, 홈페이지 또는 서식에 별도의 동의
서식을 갖추고 있는지 살펴서 법 위반사례가 없도록 한다.
- 48 -
(2) 필수 이행사항
3. 목적외 이용이나 제3자 제공에 대한 주의
법령의 근거 없이 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게
제공하지 않도록 주의하여야 한다. 지인이나 심부름센터 등에 개인정보를
고의적으로 유출하는 것은 물론, 인터넷에 잘못 게시하여 개인정보가 유출
되는 경우도 불법적인 제3자 제공이므로 관리를 철저히 하여야 한다.
4. 개인정보 위탁시 정보주체에게 고지하고 관리책임을 이행
홍보 또는 조사목적으로 개인정보 처리업무를 위탁할 때 정보주체에게 고지
해야 한다. 예를 들어, 수탁자인 조사회사의 잘못으로 개인정보가 유출되어
피해가 발생한 경우, 위탁자가 손해배상을 해야 한다. 위탁자는 수탁자를 관리
감독 할 책임이 부과되므로 수탁자 교육 등을 철저히 이행해야 한다.
- 49 -
(3) 필수 이행사항
5. 개인정보파일은 DB보안 프로그램, 암호화 소프트웨어 등
안전한 방법을 사용하여 보관
개인정보파일은 유출되었을 때 명의도용, 불법마케팅, 보이스피싱 등에 악용
될 수 있으므로 안전한 방법으로 보관해야 한다. 안전하게 보관하기 위해서
는 개인정보를 암호화하고 DB에 접근권한 제한, 백신프로그램 설치, 방화벽
등 침입차단시스템을 설치하고 필요한 보호조치를 취해야 한다. 특히, PC에
개인정보를 함부로 보관하여 유출되지 않도록 주의해야 한다
6. 이미 수집된 개인정보파일을 이용한 후에는 알아볼 수 없도록 파기
개인정보의 보유이용기간이 끝난 경우, 이용목적을 달성한 경우에는 문서를
분쇄하거나 소각해 파기해야 한다. 컴퓨터로 저장된 문서를 가지고 있는 경
우라면 포맷이나 삭제 소프트웨어를 사용해서 파기 처리한다.
- 50 -
(4) 필수 이행사항
7. 관련 문서를 명확히 구비하고 정보주체의 열람청구에 신속히 대응
개인정보처리방침, CCTV 운영방침, 안내판 등 의무적으로 공개가 필요한 문서
들과 내부관리계획 등 수립하여야 하는 문서를 점검하여 누락되지 않도록
준비한다. 열람청구 등에 대한 정보주체의 요구가 있을 경우 지체 없이 처리
하여야 한다
8. 개인정보 유출통지, 집단분쟁조정, 단체소송에 대비
개인정보가 유출된 경우 정보주체에게 즉시 알리고, 사실확인, 홈페이지 차단,
비밀번호 변경공지 등 초동조치를 신속히 하여야 한다. 유출 대응을 지연하는
경우에는 과태료가 부과되고, 유출이 확인될 경우 피해자는 분쟁조정위원회에
집단분쟁조정 또는 법원에 권리침해 단체소송을 제기할 수 있으므로 철저히
대비해야 한다.
- 51 -
- 52 -
(1) 개인정보 수집·이용 ·제공 동의
DON’Ts (위반사례)
DOs (조치사항)
• 멤버십 가입 신청 시 수집·이용
개인정보 수집에 따른 동의항목 확인
목적, 수집항목, 보유기간 등에 대한
정보주체의 동의 항목 누락
만 14세 미만의 아동 정보를 처리
• 14세 미만 아동에 대한 개인정보
하기 위해 법정대리인의 동의 필요
수집 시 법정대리인 동의절차 누락
• 민감정보, 고유식별정보 수집 시
민감정보, 고유식별정보 수집 시
별도동의 미획득
별도의 동의 획득 필요
홍보, 판매 등 목적외 이용제공을 위한
• 정보주체의 별도 동의없이 홍보,
별도동의 획득 및 고지 필요
판매를 위해 개인정보 무단 활용
• 정보주체 동의없이 이벤트를 위한
개인정보 목적외 제3자 제공 시
개인정보 제3자 제공
별도의 동의 획득 필요
- 53 -
(2) 최소정보 수집
DON’Ts (위반사례)
DOs (조치사항)
• A사는 인터넷을 통한 신발 판매 시
주민번호, 직장정보, 소득, 자녀정보 등
필수정보와 선택정보를 구분하지 않고
포괄 동의 후 수집
이름
신발 판매를 위한 필수정보와
부가적인 정보(선택정보)를 구분하여
동의 획득하고, 부가정보 수집에
동의하지 않은 이유로 서비스 제공
거부 금지
“주민번호, 직장정보, 소득, 주거형태
등의 정보는 최소정보인가?”
주민번호
주소
핸드폰번호
수집하는 개인정보가 최소정보라는
유선번호
것은 개인정보처리자가 입증
직장명
직장주소
개인정보처리자는 정보주체가 필요
연소득
최소한의 정보 외의 개인정보
주거형태
수집에 동의하지 않는다는 이유로
배우자 정보
정보주체에게 재화 또는 서비스의
취미
제공을 거부할 수 없음(과태료 3천만원)
- 54 -
(3) 민감정보 및 고유식별정보 수집을 위한 별도 동의
DON’Ts (위반사례)
DOs (조치사항)
• 고유식별정보 및 민감정보는
고유식별정보에 대한 무단 수집
* 회원가입을 위한 필수항목입니다.
내용적으로 수집이 금지되고,
• 이름
필요 시 별도의 동의 획득 필요
• 주민등록번호
-
• 여권번호
OOOO의 개인정보 수집 및 이용
• 자동차등록번호
<일반동의>
• 전화번호
수집 및 이용목적 동의
민감정보에 대한 무단 수집
동의하지 않음
OOOO의 민감정보 추가수집
<별도동의>
* 회원가입을 위한 필수항목입니다.
민감정보 추가수집 동의
• 종교
동의하지 않음
OOOO의 고유식별정보 수집 동의
• 본인병력
<별도동의>
• 가족병력
고유식별정보 수집 동의
• 지지하는 정당
- 55 -
동의하지 않음
(4) 업무 위탁, 영업양도에 따른 공개 및 고지
일반 위탁 시 공개 예시
홍보·판매 위탁·양도 시 고지 예시
• 재화 또는 서비스 홍보·판매 업무를
**전자 패밀리 서비스 이행을 위해 개인정보 취급 업무
중 일부를 아래와 같이 외부 전문 업체에 위탁하여
운영하고 있습니다.
위탁업체
위탁업무 내용
AAA
회원제 서비스 이용에 따른 본인 실명 확인
BBB
CCC
DDD
EEE
위탁하는 경우에는 업무의 내용,
수탁자를 고지
당사의 서비스 이행을 위해 아래와 같이 개인정보
취급업무를 위탁함
o 취급위탁을 받는 자 : A 텔레마케팅
o 취급위탁 내용 : oo제휴상품 홍보 및 안내
온라인 광고, 캠페인 집행을 위한 위탁- 광고,
이벤트 등과 같은 마케팅 업무 수행에 필요한
고객 정보 추출, 활용
• 영업의 양도 합병으로 개인정보를
이전하는 경우에는 이전 사실,
마케팅 업무 운영 대행을 위한 위탁- 이벤트
당첨자 상품 배송을 위한 고객정보 추출,
제품/기업 및 이벤트 홍보 메일전송을 위한
고객정보 추출등과 같은 마케팅 업무 운영
양수자의 성명, 주소, 전화번호 및
그 밖의 연락처, 이전을 원하지 않는
고객 응대 업무 효율성 제고를 위한 위탁 ** 전 자 패 밀 리 회 원 고 객 문 의 응 대 , 물 품
구매관련 및 배송관련 고객 문의 응대, 만족도
조사(제품구매,배송설치,서비스)
경우 조치방법 및 절차 등을 고지
당사는 2011년 1월 1일자로 oo사업 및 홈페이지
운영을 B사에 양도함에 따른 개인정보 이전 안내
o 영업양도로 이전 o 양수자(김**), 00구 00동,
전화 123-4567, 팩스 02-234-5678
※ 개인정보 이전을 원하지 않는 경우 당사
홈페이지에서 회원탈퇴 가능
제품 구매에 따른 물품 배송 및 제품설치
- 56 -
(5) 개인정보의 파기 및 회원탈퇴
DON’Ts (위반사례)
DOs (조치사항)
회원가입 화면에
• A호텔은 웹사이트 내 회원가입
화면에 회원탈퇴 메뉴가 없어
회원탈퇴 메뉴 설정
회원탈퇴가 어려움
관련된 회원정보
즉시 파기
회원탈퇴
회원가입 메뉴와
동일 위치 배정
• B사는 회원탈퇴를 요청한 회원의
개인정보의 처리목적 달성 등
정보를 파기하지 않고, 탈퇴 요청한
개인정보가 불필요해진 경우
회원에 광고 메일 전공
개인정보를 지체없이 파기
• 복구 또는 재생이 불가능하도록
파기(종이 세단기 분쇄, 소거 S/W
사용 데이터 파기 등)
- 57 -
(6) 안전성 확보조치
DON’Ts (위반사례)
DOs (조치사항)
• A사는 개인정보 내부관리계획을
개인정보 내부관리계획을 작성하여
작성하였으나, 개인 컴퓨터에 보관
개인정보 보호책임자의 결재를
거쳐 시행
• B영업점은 주민번호, 비밀번호 등을
암호화하지 않은 상태로 보관하다가
주민번호 등 고유식별정보,
외부 해킹으로 개인정보 유출
비밀번호, 생체정보는 전송 시
암호화하고, 인터넷망과 DMZ
• C사는 내부직원에 의해 개인정보가
(중간구간) 저장 시에는 암호화
유출되었으나, 개인정보 접근 사실을
기록하지 않아 유출자를 확인할 수
내부직원의 개인정보 DB 접속 시
없음
일시, IP주소, 접속자 성명 등
접속기록을 보관 조치
• D사는 퇴직한 직원의 접근권한을
폐기하지 않아, 퇴직 후 시스템에
퇴직한 직원의 ID, PW를 제거하여
접근하여 개인정보 유출
불법적인 접근 차단
- 58 -
(7) 영상정보처리기기 운영
DON’Ts (위반사례)
DOs (조치사항)
공개된 장소에
CCTV 설치 시
설치목적, 촬영
범위 등을 기록한
안내판 설치
• A아파트는 단지 내 CCTV를 별도의
택시 기사는 정보주체의 동의를
안내판없이 무분별하게 설치
받거나, 촬영 사실을 인지할 수 있는
안내문 부착하고 녹음 기능(도청)
• B택시회사는 택시 내부에
절대 금지
CCTV(블랙박스)를 설치하고, 승객의
동의없이 녹음 기능 사용
목욕장, 탈의실, 화장실 등 내부를
볼 수 있는 장소에 CCTV 설치를
• C찜질방은 도난방지를 위해 목욕실,
탈의실 입구에 CCTV 설치하고 회전
금지하고, 줌인·아웃 등의
기능 사용
각도조정 사용 금지
- 59 -
•개인정보보호 종합지원포털 : www.privacy.go.kr
• 개인정보침해신고센터 : (국번없이) 118,
- 60 -
(홈페이지) privacy.kisa.or.kr