2. 개인정보보호_제도_및_정책(한국정보화진흥
Download
Report
Transcript 2. 개인정보보호_제도_및_정책(한국정보화진흥
교육과학기술부
개인정보 보호 제도 및 정책
2011. 10.
한국정보화진흥원
1. 개인정보 보호 법령 체계
2. 개인정보 보호법 제정
목차
3. 개인정보 보호 제도 및 정책
Ⅰ. 개인정보 보호 법령 체계
1. 개인정보보호법 제정 이전 법령 체계
공공부문
▶ 1989년 12월 개인정보보호법시안을 마련하고 과도기적으로 1991년 5월
‘전산처리되는 개인정보보호를 위한 관리지침’을 제정·시행
▶ 1994년 1월「공공기관의 개인정보보호에 관한 법률」제정
※「개인정보보호법」시행으로 동 법률이 폐지(’11.9.30)되기까지 7차례 개정
▶ 그밖에「공공기관의 정보공개에 관한 법률」(2004) 등을 제정·시행
민간부문
▶ 1986년 5월 제정된「전산망 보급확장과 이용촉진에 관한 법률」은
민간부문의 개인정보보호를 위한 최초 법률
※ 1999년 1월「정보통신망 이용촉진 및 정보보호 등에 관한 법률」로 전면 개정
되었으며, 정보화 역기능에 대한 제도 재정비의 기점
▶ 1995년 1월「신용정보의 이용 및 보호에 관한 법률」이 제정되어
신용정보의 오·남용으로부터 사생활의 비밀 등을 적절히 보호하고자 노력
▶그밖에「초중등교육법」(1997), 「보건의료기본법」(2000) 등 사회 각 분야별
개인정보보호 관련 법령이 제정되어 시행
<참고> 개인정보보호법 제정 이전 법령 체계
구분
공공
분야
주요 법률
공공행정
공공기관의
개인정보보호에
관한 법률
정보통신
정보통신망
이용촉진 및
정보보호 등에
관한 법률
금융/신용
신용정보의 이용
및 보호에 관한
법률
•금융실명거래및비밀보장에관한법률
•전자상거래등에서의소비자보호에관한법률
•전자거래기본법,보험업법,증권거래법 등
의료
보건의료기본법
의료법
•응급의료에관한법률
•장기등이식에관한법률
•생명윤리및안전에관한법률
•후천성면역결핍증예방법,전염병예방법 등
교육
교육기본법
•초중등교육법
•교육정보시스템의운영등에관한규칙 등
민간
기타 개인정보 관련법
•공공기관의정보공개에관한법률
•전자정부법,주민등록법,호적법
•자동차관리법,도로교통법,국세기본법
•국정감사및조사에관한법률,통계법 등
•통신비밀보호법
•위치정보의보호및이용등에관한법률
•국가정보화기본법,정보통신기반보호법
•전기통신사업법,전자서명법
•인터넷주소자원에관한법률 등
2. 개인정보보호법 제정 이후 법령 체계
제정 전
공공기관의
개인정보보호에 관한
법률
중앙부처/
지자체
헌법기관
정보통신망 이용
촉진 및 정보보호 등에
관한 법률
신용정보의 이용 및
보호에 관한 법률
교육기본법
초·중등 교육법
보건의료 기본법
의료법
정보통신
금융/신용
교육
의료
공공부문
민간부문
제정 후
개 인 정 보 보 호 법
정보통신망 이용
촉진 및 정보보호 등에
관한 법률
중앙부처
/지자체
헌법
기관
공공부문
정보통신
신용정보의 이용 및
보호에 관한 법률
금융/신용
교육기본법
초·중등 교육법
보건의료 기본법
의료법
교육
의료
민간부문
<참고> 국가별 개인정보보호 법령 제정 현황
세계 각국은 1980년대 이래 개인정보 보호 관련 법령·지침 제정
OECD
가이드라인
(1980)
프라이버시보호
및 개인정보의
국제적 유통에
관한 지침
UN
가이드라인
(1990)
전산 처리된
개인정보파일의
규제 지침
EU
개인정보
보호지침
(1995)
APEC
프라이버시
원칙
(2004)
개인정보
보호 법제
(1996~)
개인정보의 처리 정보이전에 대해
미국, 영국,
및 자유로운
불필요한 장애를
독일, 프랑스,
전송에 관한
제거하고 개인
일본, 호주,
개인정보
정보보호를 위한 한국 등 개인정보
보호지침
프레임워크
보호 입법
국가별 개인정보보호 입법 형식
개인정보보호를 위한 기본법이 있는 경우
- 공공과 민간을 하나의 법률에서 규율 : 주로 유럽
- 공공과 민간 별도의 법률을 제정하여 규율 : 캐나다, 일본
해당 분야(공공, 신용, 정보통신, 의료 등)의 개별 법률에서 규율: 미국
Ⅱ. 개인정보 보호법 제정
1. 개인정보보호법 제정 배경 -1
대규모 개인정보 침해사고 빈발로 국민 불안감 급증
개인정보 침해 규모
대규모 개인정보 침해 사례
▶ 개인정보 침해 민원의 지속적인 증가
발생일
발생기업
2008.2 옥션
<개인정보 민원 증가추이 >
54,832건
39,811건
25,333 25,965건
건
35,167건
18,206건
2008.4 하나로 텔레콤
2008.9 GS 칼텍스
2010.3
사고원인
1,800만 명 해킹
600만 명
1,150만 명
자사 고객 개인정보를
텔레마케팅업체에 제공
자회사 직원이 개인정보
유출
2,000만 건 해킹
2011.2 현대캐피탈
175만 건
해킹 공격 및 내부 관리
소홀
2011.5 리딩투자증권
12,000건
홈페이지 해킹
2011.5 세티즌
140만 명 홈페이지 해킹
대부업체,
2011.6 저축은행,
채팅사이트 등
2011.7
2005년 2006년 2007년 2008년 2009년 2010년
신세계몰 등
25개 업체
피해규모
해커가 여러 사이트의
1,900만 건 고객정보 유출 후 인터
넷에서 거래
해커가 관리자 ID/비밀
SK 컴 즈 ( 네 이
3,560만 명 번호를 탈취하여 개인정
트,싸이월드)
보 유출
1. 개인정보보호법 제정 배경 -2
개인정보 보호를 위한 법 적용 사각지대 존재
▶ 공공기관, 정보통신, 금융, 교육 등 일부 분야에서만 각 분야별 법령으로
개인정보 보호를 추진함으로써 법 적용을 받지 못하는 사회 분야 발생
▶ 헌법기관, 오프라인사업자, 협회·동창회 등 비영리 기관·단체 등은
관련법 부재로 법 적용의 사각지대로 존재
※ 2010년 개인정보 침해신고 (54,832건)중 법 적용 제외 사업자가 40,431건으로 73.7% 수준
국가간 개인정보 교류에 대비한 국제 수준의 처리원칙 필요
▶ 세계 각국과의 FTA 체결로 상호간 개인정보의 교류 증대
▶ 최근 전세계적 국제통상 관련 프라이버시 라운드(Privacy Round)에
대비한 국제 수준의 개인정보 보호체계 구축 필요
※ 유럽연합(EU, 1995) : 적절한 보호수준을 갖춘 제3국으로만 개인정보 이전을 허용
2. 개인정보 보호법 제정 경과
17대 국회에서 3개 '개인정보 보호법(안)' 의원 발의
- 노회찬 의원(민노당, 04.11), 이은영 의원(우리당, 05.7), 이혜훈 의원(한나라당, 05.12)
- 17대 국회 임기만료로 3개 발의법안 자동 폐기
18대 국회에서 개인정보 보호법 의원안 발의
- 이혜훈 의원(한나라당, 08.8), 변재일 의원(민주당, 08.10)
개인정보 보호법 정부안 국회 제출 ('08.11.28)
국회 행안위 상정('09.2.20), 공청회 개최, 법안심사소위 (총 5회)
- 행안위 공청회(09.4), 법안심사소위 심사(09.2.23, 10.4.15, 10.4.19, 10.9.28. 10.9.29)
본회의 의결(’11.3.11), 국무회의 의결 (’11.3.22), 공포 (’11.3.29)
- 개인정보 보호법 시행령 및 시행규칙 부처협의, 입법예고, 부패영향평가 (11.5.23-6.30)
법률 시행 (’11.9.30)
3. 개인정보 보호법의 구성
제1장
총칙
제2장
개인정보 보호정책의 수립 등
제3장
개인정보의 처리
개인정보 보호법의 목적, 정의, 개인정보 보호원칙,
정보주체의 권리, 국가 등의 책무, 다른 법률과의 관계
개인정보 보호위원회, 개인정보 보호 기본계획·시행계획 수립,
개인정보 보호지침, 자율규제의 촉진 및 지원
개인정보의 수집·이용·제공 등 처리기준,
민감정보·고유식별정보 제한, 영상정보처리기기 제한 등
제4장
개인정보의 안전한 관리
안전조치의무, 개인정보 보호책임자, 개인정보파일의 등록 및 공개,
개인정보 영향평가, 개인정보 유출통지 등
제5장
정보주체의 권리 보장
개인정보의 열람, 정정·삭제, 처리정지, 권리행사방법 및 절차,
손해배상책임
제6장
개인정보 분쟁조정위원회
제7장
개인정보 단체소송
분쟁조정위원회 설치·구성, 분쟁조정의 신청방법·절차,
집단분쟁조정제도 등
단체소송의 대상, 소송허가신청 및 요건,
확정판결의 효력 등
제8장
보칙
적용제외, 금지행위, 비밀유지, 침해사실 신고, 자료제출 요구 및 검사,
시정조치, 고발 및 징계권고, 권한의 위임·위탁 등
제9장
벌칙
벌칙, 양벌규정, 과태료
·부칙 : 시행일, 다른 법률의 폐지, 처리중인 개인정보에 관한 경과조치, 다른 법률의 개정
< 참고> 개인정보보호 원칙 확립
OECD
가이드라인
개인정보보호법
1. 수집제한의 원칙
목적에 필요한 최소한 범위 안에서 적법하고 정당하게 수집
2. 정보정확성의 원칙
처리목적 범위 안에서 정확성·안전성·최신성 보장
3. 목적명확화 원칙
처리목적의 명확화
4. 이용제한의 원칙
필요 목적 범위 안에서 적법하게 처리, 목적 외 활용 금지
5. 안전보호의 원칙
정보주체의 권리침해 위험성 등을 고려, 안전성 확보
6. 공개의 원칙
개인정보 처리사항 공개
7. 개인참가의 원칙
열람청구권 등 정보주체의 권리 보장
8. 책임의 원칙
개인정보처리자의 책임 준수·실천, 신뢰성 확보 노력
(법 제3조, 제15조, 제16조)
(법 제3조, 제18조)
(법 제3조, 제15조, 제17조)
(법 제3조, 제18조)
(법 제3조, 제4조)
(법 제3조, 제29조)
(법 제3조, 제30조)
(법 제3조, 제35조, 제36조)
4. 개인정보 보호법 제정 의의
개인정보 보호 원칙의 확립
국제적으로 통용되는 OECD 프라이버시 8원칙(1980), UN 가이드라인
(1990),
APEC 프라이버시 9원칙(2004) 등의 정신을 법 제정에 반영
개인정보 보호 추진체계의 일원화 및 강화
국무총리 소속의‘공공기관 개인정보심의위원회’를 대통령 소속‘개인정보
보호위원회’로 격상하고, 공공 및 민간부문을 모두 규율하도록 강화
개인정보 보호 사각지대의 해소
개인정보 보호에 있어 일반법으로서 모든 개인정보 처리자에게 법 적용
※ 법 적용대상 : (법 제정 이전) 51만개 ⇒ (법 제정 이후) 350만개
개인정보 보호법 체계의 일원화
개인정보 보호에 관하여는 정보통신망법, 신용정보법 등 다른 법률에
특별한 규정이 있는 경우를 제외하고는 개인정보 보호법을 적용
5. 개인정보 보호법의 범위 -1
개인정보보호법(제2조)상 개인정보
살아있는 개인에 관한 정보로서 특정개인을 식별하거나 식별할 수 있는 정보
당해 정보만으로는 개인을 식별할 수 없더라도 다른 정보와 용이하게
결합하여 식별할 수 있는 것
개인정보의 세부 사항
정보 : 정보의 종류, 형태를 제한하지 않으며, 문자·음성·부호·영상 등
다양한 형태
개인 : 자연인만 해당되며, 법인이나 단체는 해당되지 않음
살아있는 : 인격권은 상속되지 않아 권리행사 주체가 존재하지 않는
사자(死者)의 정보는 제외
식별하거나 식별할 수 있는 : 다른 사람과 구분하여 알아볼 수 있는
다른 정보와 용이하게 : 일률적으로 판단할 수 없으며, 다른 개인정보의 종류
등
상황에 따라 달라지는 특성
5. 개인정보 보호법의 범위 -2
개인정보 처리자
업무를 목적으로 개인정보파일을 운영하기 위하여 스스로 또는 다른 사람을 통하여
개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등
▶ 공공기관, 영리목적의 민간분야 사업자, 협회·동창회 등 비영리기관·단체를 모두 포괄
▶ 공공기관: 헌법기관, 중앙행정기관 및 그 소속기관, 지방자치단체,
인권위,‘공공기관의운영에관한법률’에따른공공기관, 지방공사·공단, 특수법인, 각급학교
개인정보 보호책임자 (CPO)
개인정보처리자는 개인정보 처리업무를 총괄·책임지는 CPO를 의무적으로 지정
▶ 국회, 법원, 헌법재판소, 선관위, 중앙행정기관 : 고위공무원단 공무원
▶ 시도 및 시도 교육청 : 3급 이상 공무원 (시군 및 자치구는 4급 공무원)
▶ 초중등교육법, 고등교육법 등에 따른 각급 학교 : 해당학교에 행정사무를 총괄하는 사람
▶ 공공기관 외의 개인정보처리자 : 사업주 또는 대표자, 개인정보처리 관련 담당부서장
기관 내부관리계획의 수립·이행, 개인정보의 수집·이용·제공 및 관리에 관한
업무의 총괄, 개인정보 침해행위에 대한 점검, 불만이나 의견의 처리·감독 등 수행
Ⅲ. 개인정보 보호 제도 및 정책
1. 개인정보 보호 추진체계
대 통 령
헌법기관
개인정보보호위원회
시정 권고
지방자치단체
심의·의결
피해구제
개인정보
분쟁조정위원회
소관 분야 및
소속 기관의
개인정보보호
행안부
기본계획수립
개인정보보호
총괄
중앙행정기관
방통위
금융위
복지부
교과부
기타
정보통신
분야
금융,신
용
분야
의료분야
교육분야
노동,법무등
기타분야
소속 공공기관
<참고> 개인정보 보호 기관별 역할
개인정보 보호위원회
행정안전부
개인정보보호 정책 심의 ∙ 의결
개인정보보호 업무의 총괄∙조정
개인정보보호 기본 및 시행계획 심의·의결
개인정보보호 기본계획 수립·시행
정책, 법령 및 제도의 개선에 관한 사항
표준 개인정보보호지침 제정
공공기관 간의 의견조정
개인정보 처리방침 작성지침 제정·권고
법령의 해석 ·운용
개인정보 유출통지·운영
공공기관의 목적 외 이용·제공 심의·의결
법위반행위 조사,시정권고·명령,과태료 부과
중앙행정기관, 지자체에 대한 시정권고
개인정보파일 등록접수 및 현황 공개
국회에 대한 연차보고서 제출
자율규제 촉진 및 지원 시책
영향평가 결과, 개선권고 등 심의·의결
개인정보 영향평가 관리 운영
중앙행정기관
소관분야 및 개별법 개인정보보호 업무수행
소관분야 개인정보보호 시행계획의 수립·시행
소관분야 개인정보보호 지침 마련
소관법률에 따라 소관분야에 대한 시정조치, 감독기능 등 수행
2. 개인정보보호 기본계획 수립
개인정보보호 기본계획 수립
행정안전부 장관은 3년마다 중앙행정기관의 장과 협의하여 작성
(기본계획 시작되는 해의 전전년도 12월 31일까지 보호위원회 심의·의결 필요)
기본계획 내용 : 개인정보보호 기본목표와 추진방향, 관련 제도 및 법령의 개선,
침해방지를 위한 대책, 자율규제의 활성화, 교육·홍보의 활성화, 전문인력 양성,
그 밖에 개인정보보호를 위한 사항 등
행정안전부장관
중앙행정기관의
부문별 기본계
획의 종합∙조정
작성∙
제출
개인정보
보호위원회
재적위원과반수의 출
석과 출석위원 과반수
의 찬성으로 의결
심의∙
의결
행정안전부장관
통보∙
시행
중앙행정기관 장
기본계획에 따라 매년 1월 31
일까지 소관 분야의 시행계획
수립 (3월 31일까지 보호위원
회에 제출, 심의·의결)
3. 개인정보의 처리단계별 보호조치-(1)
개인정보의 수집 및 이용
개인정보 수집·이용 범위
▶ 정보주체의 동의를 받은 경우
※ 동의시 : 수집·이용 목적, 수집항목, 보유·이용기간, 동의거부권 등 고지 필요
▶ 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
▶ 공공기관이 법령 등에서 정하는 소관업무의 수행을 위하여 불가피한 경우
▶ 정보주체와의 계약 체결 및 이행을 위하여 불가피하게 필요한 경우
▶ 정보주체 및 법정대리인의 의사 확인을 못하지만 명백하게 정보주체에게 이득인 경우
▶ 정보주체의 권리보다 우선하지만, 개인정보처리자의 정당한 이익달성에 필요한 경우
필요 최소한의 개인정보 수집, 미동의를 이유로 재화나 서비스 제공 거부 금지
수집·이용 목적의 범위를 초과한 이용의 제한
정보주체 이외로부터 수집처리시 정보주체의 요구가 있으면 출처 등 고지의무
<참고> 개인정보 수집시 동의 및 동의획득 : 예시
수집·이용
수집
목적
항목
보유·이용
기간
3. 개인정보의 처리단계별 보호조치-(2)
개인정보의 제공
제3자 제공을 위해서는 정보주체의 동의 필요(수집목적 범위내 제공시 예외)
※ 제공받는 자, 이용목적, 개인정보 항목, 보유·이용기간, 동의거부권 고지의무
제공받은 자의 제공목적 외 이용 또는 제3자 제공금지
※ 별도 동의, 다른 법률규정이 있는 경우에는 예외
국외 이전시에도 정보주체 동의 필요, 법을 위반하여 국외이전계약 체결 금지
(법제17조제3항)
동의 범위를 벗어난 제3자 제공 금지
※ 별도의 동의, 다른 법률 규정, 통계작성 및 학술연구, 범죄수사 등에 해당하는
제3자 제공금지는 예외 인정
영업 양도·합병 등에 의한 개인정보 이전시 개인정보처리자와 영업양수자 등은
정보주체에 고지
※ 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송, 홈페이지 또는 영업장 게시 등
<참고> 개인정보의 제3자 제공 : 예시
제공받는 자의
이용목적
제공받는 자
제공 항목
보유·이용기간
3. 개인정보의 처리단계별 보호조치-(3)
개인정보 처리업무의 위탁
처리업무 위탁시 목적·범위, 재위탁 제한, 안전성 확보조치, 점검 등 문서화
위탁 업무의 내용, 수탁자의 공개 의무
재화나 서비스의 홍보·판매권유 업무의 위탁시 정보주체에 대한 고지의무
개인정보의 보호를 위한 수탁자 교육, 처리현황 점검 등 감독책임
손해배상책임 문제가 발생시 수탁자는 개인정보처리자의 소속 직원으로 간주
개인정보의 파기
보유기간 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을때는 지체없이
개인정보 파기 의무(법령에 따른 보존은 예외)
파기시에는 복구 또는 재생되지 않도록 조치
※ 출력물, 서면 등은 파쇄·소각, 전자적 파일형태는 복원이 불가능한 방법으로 영구삭제
법령에 따른 보존시 해당 개인정보 또는 파일은 다른 개인정보와 분리저장·관리
4. 민감정보·고유식별정보의 처리제한
민감정보의 처리 제한
정보주체의 사생활을 현저히 침해할 우려가 있는 민감정보는 처리 금지(법 제23조
)
▶ 민감정보 : 사상, 신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에
관한 정보, 유전정보, 전과·수형기록 등 범죄경력에 관한 정보
민감정보의 처리 가능 예외사례
▶ 정보주체의 별도 동의가 있는 경우, 다른 법률에서 명시적으로 민감정보 처리를
요구하거나 허용하는 경우
고유식별정보의 처리 제한 강화
주민등록번호, 운전면허번호, 여권번호 등 고유식별정보는 원칙적으로 처리 금지
▶ 다만, 별도로 동의를 얻거나 법령에 의한 경우 등에 한해 제한적으로 예외 인정
고유식별정보의 분실·도난·변조·훼손방지를 위해 암호화 등 안전성 확보 의무화
홈페이지 회원가입 등 일정한 경우 주민등록번호 외의 대체수단(전자서명, iPIN,
공인인증서, 휴대전화 인증 등) 제공 의무화
▶ 공공기관 및 홈페이지 이용자수가 일일평균 1만명 이상인 경우 의무적 제공
<참고> 공공 i-PIN 서비스 (고유식별번호 대체수단)
인터넷상에서 회원가입, 글쓰기 등 본인확인이 필요한 경우 주민등록번호의
대체수단으로 사용 (i-PIN : internet-Personal Identification Number)
▶ 공공 i-PIN 서비스는 공공/민간 웹사이트에서 주민등록번호를 사용하지 않고
본인확인을 할 수 있는 개인정보보호 무료 서비스
▶ '12년 3월부터 주민등록번호를 입력(수집)하여 회원가입을 하는 모든 공공기관
웹사이트에 의무적으로 도입
대체수단(i-PIN) 도입의 장점
▶ 주민등록번호 유출로 인한 개인정보 침해 방지
▶ 새로운 i-PIN 발급 또는 기존 i-PIN의 사용중지가 가능해 명의도용 위험 감소
▶ 정보주체는 '공공 i-PIN 센터(홈페이지)'를 통해 자신이 회원가입한 공공기관 홈페이지
목록과 회원가입 ID, 가입일 등의 상태 열람 가능
이용자
공공 I-PIN ID
확인요청
회원가입
공공기관홈페이지
공공 I-PIN ID제공
개인식별번호저장
(발급/중지/폐기 가능)
개인식별번호제공
공공 i-PIN센터
본인확인 통합관리
5. 영상정보처리기기(CCTV)의 설치 제한
다음 경우 외에 공개된 장소의 영상정보처리기기 설치·운영 제한 (법 제25조)
▶ 법령에서 구체적으로 허용하는 경우
▶ 범죄의 예방 및 수사를 위해 필요한 경우
▶ 시설안전 및 화재 예방을 위하여 필요한 경우
▶ 교통단속을 위하여 필요한 경우
▶ 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
불특정 다수가 이용하는 목욕실, 화장실, 탈의실 등 개인의 사생활을 현저히 침해
할 우려가 있는 장소 내부의 설치는 금지
▶ 다만, 교정시설, 정신의료(요양)기관 등 법령에 의한 구금 또는 보호 시설은 예외 인정
영상정보처리기기의 설치시 필요조치 사항
▶ 설치시 의견수렴 : 행정예고의 실시·의견청취 혹은 설명회·설문조사·여론조사 등을
거쳐 관계전문가 및 이해관계인 의견수렴
▶ 안내판 설치 의무화 : 설치목적 및 장소, 촬영범위 및 시간, 관리 책임자 및 연락처 기재
(위탁시 수탁자의 명칭 및 연락처)
6. 개인정보 안전성 확보조치 기준 - 총괄
보호항목
준수내용
1 내부관리계획의 수립․시행
개인정보 보호책임자의 지정, 기술적·관리적·물리적 보호조치,
교육 등에 대한 계획
2 접근 권한의 관리
개인정보처리시스템 접근권한, 권한부여, 변경 또는 말소기록
관리, 계정관리 등
3 비밀번호 관리
비밀번호 작성규칙의 수립 및 적용
4 접근통제 시스템 설치․운영
접속권한 IP주소 등 제한 인가자외제한, 외부 접속시가상사설
망(VPN) 등 안전한 보호대책 마련, 침입차단프로그램 사용
5 개인정보의 암호화
고유식별번호, 비밀번호, 바이오정보의 암호화, 내부망에 고유식별정
보 저장시 영향평가 또는 위험도 분석결과에 따라 암호화 범위 설정
6 접속기록의 보관및위․변조방지
개인정보처리시스템 접속 기록은 월1회 정기 확인·감독,
최소 6개월 이상 접속기록 보관
7 보안프로그램 설치 및 운영
보안프로그램의 자동 업데이트 기능 사용 및 일 1회 이상 실시
8 물리적 접근방지
전산실, 자료보관실의 출입통제 및 접근기록 보관,
서류 또는 보조저장매체의 잠금장치 설치·보관
출처: 행정안전부(개인정보의 안전성 확보조치 기준 고시, 2011.9.)
6. 개인정보 안전성 확보조치 세부기준-(1)
내부관리계획의 수립·시행
기관 전체에 통용되는 내부관리계획을 수립한 후, 이를 기초로 세부 지침이나
안내서를 마련하여 임직원의 동일한 행동의 기준으로 활용
▶ 개인정보 보호책임자의 지정에 관한 사항
▶ 개인정보 보호책임자 및 개인정보취급자의 역할과 책임에 관한 사항
▶ 개인정보의 처리단계별 기술적·관리적·물리적 보호조치에 관한 사항
▶ 개인정보취급자에 대한 교육 등 그 밖에 개인정보보호를 위해 필요한 사항
최고관리자로 부터 승인을 받은 후 모든 임직원에게 알려 이를 준수토록 해야 함
접근 권한의 관리
개인정보 처리시스템 접근권한은 최소한의 범위로 업무담당자에게 차등 부여
인사이동으로 개인정보취급자가 변경될 경우 접근권한을 즉시 관리해야 하며,
권한부여·변경 또는 말소 등에 대한 내역은 최소 3년간 보관
개인정보취급자별 한 개의 사용자계정을 발급하며, 상호 공유하지 않도록 조치
6. 개인정보 안전성 확보조치 세부기준-(2)
비밀번호 관리
개인정보처리자는 개인정보취급자 또는 정보주체를 위해 비밀번호 작성규칙을
수립하여 적용
일반적으로 비밀번호는 분기별 1회 이상 변경
▶ 영문 대문자(26개), 영문 소문자(26개), 숫자(10개), 특수문자(32개) 등 4가지 종류 중
2종류 이상 조합하여 최소 10자리 이상 또는 3종류 이상 조합하여 최소 8자리 이상으로 구성
접근통제 시스템 설치·운영
개인정보 처리시스템에 대한 접속권한은 IP주소 등으로 제한하고, IP주소 등의
재분석으로 불법적 개인정보 유출시도 탐지
외부에서 개인정보 처리시스템 접속시 가상사설망(VPN) 또는 전용선 등 안전한
보호대책 마련
개인정보 처리시스템 및 업무용 컴퓨터에서 홈페이지, P2P, 공유설정 등을 통해
외부로 정보가 유출되지 않도록 조치
업무용 PC에 상용 또는 운영체제에서 제공하는 침입차단 프로그램 사용
6. 개인정보 안전성 확보조치 세부기준-(3)
개인정보의 암호화
고유식별정보, 비밀번호, 바이오정보는암호화 (비밀번호는복호화되지않도록일방향암호화)
개인정보를 정보통신망을 통해 송·수신할 때에는 보안서버 등을 이용해 암호화
인터넷구간 및 인터넷구간과 내부망의 중간지점에 고유식별정보 저장시 암호화
내부망에 고유식별번호 저장시 영향평가 및 위험도 분석결과를 반영해 암호화범위 선정
개인정보를 업무용 PC에서 저장·관리시 암호화 소프트웨어나 암호화 알고리즘 활용
※ 암호화는 유예기간 적용 : 시행후 3개월까지 암호화 계획수립, 이후 1년 이내에 암호화 조치
접속기록의 위·변조 방지
개인정보 처리시스템에 대한 접속기록은 월 1회 이상 정기적으로 확인·감독하며,
최소 6개월 이상 접속기록을 보존·관리
▶ 접속기록 : 자동으로 기록하는 로그 파일로서, 불법적 접근을 확인할 수 있는 중요자료
▶ 접속기록 항목 : 접속자 ID, 날짜 및 시간, 개인정보 항목, 접속자 IP주소, 수행업무 등
접속기록이 위·변조되지 않도록 해당 접속기록을 별도의 물리적 저장장치에 보관
하고 정기적으로 백업 수행
6. 개인정보 안전성 확보조치 세부기준-(4)
보안 프로그램의 설치 및 운영
업무용 컴퓨터에 보안 프로그램의 자동 업데이트 기능 사용 또는 엔진 업데이트
여부를 최소 일 1회 이상 확인
악성 프로그램 경보 및 사용 중인 소프트웨어 제작업체의 업데이트 공지시 백신
소프트웨어 엔진 업데이트 및 패치 설치
물리적 접근 방지
개인정보를 대량으로 보관하고 있는 전산실, 자료보관실은 별도의 출입통제 절차
(물리적 접근통제 장치)를 수립하고, 접근기록을 보관해야 함
▶ 물리적 접근통제장치(예) : 비밀번호 기반·스마트카드 기반·지문 등 바이오정보 기반
출입통제장치 등
개인정보가 저장된 USB, CD, 이동식 Hard Disk, 서류등은 잠금장치가 있는
안전한 장소에 보관
7. 개인정보 처리방침 수립 및 공개
개인정보
처리방침
개인정보
처리방침
개인정보처리자는 개인정보 처리방침을 수립·공개
<개인정보처리방침 포함사항>
1) 개인정보 처리목적
2) 개인정보 처리 및 보유기간
3) 개인정보 제3자 제공에 관한 사항
4) 개인정보 처리 위탁에 관한 사항
5) 정보주체의 권리·의무 및 행사방법에 관한 사항
6) 처리하는 개인정보항목
7) 개인정보 파기에 관한 사항
8) 개인정보 안전성 확보조치에 관한 사항
개인정보처리방침
처리방침공개방법
공개방법
개인정보
인터넷 홈페이지 첫화면 또는 첫화면과 직접 연결되는 화면에 게재
<인터넷 홈페이지 게재 불가시 공개방법>
1) 사업장 등의 보기 쉬운 장소에 게시
2) 관보, 신문 게재
3) 연 2회 이상 발생하는 간행물, 소식지 등에 게재
4) 재화용역을 제공하기 위해 작성한 계약서에 게재하여 발급
<참고> 개인정보 처리방침 수립 및 공개 예시
개인정보 처리방침을 홈페이지 또는 사업장 내에 게시하여
정보주체가 쉽게 확인할 수 있도록 공개
[인터넷 홈페이지 첫화면]
공개사항을
모두 포함
[사업장내 벽면에 게시]
정보주체가 쉽게
확인할 수 있도록
글자색을 달리 표시
약관 개인정보 처리방침 회사소개/투자정보 온라인제휴안내
인트라넷
- 35 -
8. 개인정보파일 등록 및 개인정보 열람
개인정보파일의 등록 및 공개
공공기관의 장은 개인정보파일을 운영시 행안부 장관에게 등록 (법 제32조)
▶ 개인정보파일의 명칭, 운영근거·목적, 수록되는 개인정보 항목, 처리방법, 보유기간 등
▶ 개인정보파일 운용기관은 운용일(시행령 시행일)로 부터 60일 이내 등록·신청
개인정보파일의 등록 예외 사항
▶ 국가안전, 외교상 비밀, 범죄수사, 공소제기 및 유지, 「조세범처벌법」의 범칙행위 조
사
사항, 공공기관 내부 업무처리용, 다른 법령에 비밀로 분류된 경우 등
행안부 장관은 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 공개
개인정보의 열람 및 정정·삭제 요구권
정보주체에게 개인정보의 열람, 정정·삭제, 처리정지 요구권 제공(법 제35∼38조)
▶ 대리인에 의한 권리행사, 14세 미만 아동의 법정대리인의 열람 등 요구권
▶ 열람 등 요구자에 대한 실비 범위의 수수료와 우송료 청구 가능
정보주체는 공공기관에 직접 열람요구서를 제출하거나 행안부 장관을 통해 요구 가능
▶ 열람 제한 및 거절 사유가 없는 한 일정기간(10일)내에 열람을 허용해야 함
<참고> 개인정보 열람 절차
1) 열람허용
개인정보
열람요구서
•개인정보의 항목
및 내용
•개인정보의 수집
ㆍ이용의 목적
•개인정보 보유 및
이용 기간
•개인정보의
제3자 제공 현황
•개인정보 처리에
동의한 사실 및
내용
개인정보
처리자
•공공기관에 직접
요구하거나 행정
안전부장관에게
개인정보 열람
요구서를 제출
하여야 함.
•열람요구서를
제출받은 행정안
전부장관은 해당
공공기관에 이송
하여야 함.
정보주체
•열람 연기ㆍ거절의
경우 열람을 받은날
부터 10일 이내에
연기 또는 거절의
사유 및 이의제기
방법을 열람의 연기
ㆍ거절의 통지서로
정부주체에게 알려야
함.
열람할 수 없는 정당한
사유가 있는 경우
그 사유를 알리고 열람
연기 가능
연기사유 소멸시 지체
없이 열람하게 하여야 함
2) 일부 열람
열람통지서
①열람할 개인정보
②열람 가능 날짜ㆍ
시간ㆍ장소
③일부 열람 사유 및
이의제기방법
3) 열람 제한ㆍ거절
9. 개인정보 영향평가 제도
공공기관이 개인정보파일 운영으로 개인정보 침해가 우려시 위험요인 분석과
개선 사항 도출을 위해 개인정보 영향평가를 의무적으로 수행 (법 제33조)
▶ 5만명 이상 정보주체에 관한 개인정보파일을 구축·운영·변경할 때 민감정보·
고유식별정보 처리가 예상되는 경우
▶ 다른 개인정보파일과 연계·연동될 때 50만명 이상 개인정보파일을 구축·운영하는 경우
▶ 구축·운영·변경하려는 개인정보파일이 100만명 이상의 정보주체를 포함하는 경우
개인정보 영향평가는 행안부에서 지정·공고한 평가기관에 의뢰하여 실시
※ 평가기관은 관련분야 매출액, 전문인력 규모, 시설구비 여부 등을 고려해 선정되며, 관보에 고시
개인정보 영향평가의 절차
① 영향평가 계획서 제출 : 공공기관의 장은 영향평가 계획서를 소속 중앙행정기관의 장에게,
계획서 개요는 행안부 장관에게 제출
② 영향평가 실시 : 공공기관은 제출한 평가계획서에 따라 선정한 평가기관에게 수행토록 함
▶ 평가기준 : 개인정보의 종류, 성질 및 정보주체의 수, 안전성 확보조치 수준 등에 따
른
침해가능성 및 침해의 위험요인별 조치여부 등
③ 평가결과 제출 : 공공기관의 장은 평가결과(영향평가서)를 행안부 장관에게 제출하며,
행안부 장관은 보호위원회 심의·의결을 거쳐 의견 제시
<참고> 개인정보 영향평가 절차(안)
10. 개인정보 유출신고 제도
개인정보처리자는 개인정보 유출을 인지한 경우 지체없이(5일 이내) 유출정보의
항목, 유출시점, 유출경위, 구제절차 등을 정보주체에게 통지해야 함
대규모(1만명 이상) 개인정보 유출시에는 정보주체에게 통지한 후, 행안부 또는
개인정보 전문기관(NIA, KISA)에 유출 신고하도록 의무화
▶ 개인정보 통지방법 : 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 등
[참고] 개인정보에 관한 권리·이익을 침해받은 정보주체는 개인정보침해신고
센터에 신고 가능
▶ 개인정보침해신고센터는 신고의 접수, 상담, 사실의 조사·확인 등 수행
법 위반행위에 대한 관계기관의 역할
▶ 개인정보 보호위원회 : 중앙행정기관, 지자체, 헌법기관에 대한 시정조치 권고
▶ 행정안전부(중앙행정기관) : 법 위반사항 발견, 신고접수 받은 경우 자료제출 요구 또는
검사, 침해행위 중지 등 시정조치명령, 수사기관 고발 및 책임있는 자의 징계 권고 등
11. 집단분쟁 조정제도 및 단체소송
집단분쟁 조정제도
다수의 정보주체에게 비슷한 유형의 권리침해가 발생한 경우,
일괄적으로 분쟁조정을 의뢰 또는 신청하도록 하는 제도 (법 제49조)
▶ 개인정보 피해가 대량·소액인 특성을 고려하여 집단분쟁조정 제도 도입
▶ 신속한 구제를 위해 분쟁조정위원회에 일괄적으로 분쟁신청토록 함
※ 개인정보 분쟁조정위원회 : 20인 이하로 구성되며, 5인 이내의 조정부를 구성해
분쟁업무를 효율적으로 수행
단체소송
개인정보처리자가 집단분쟁조정을 거부하거나 조정결과를 수락하지 아니한 경우
법원에 권리침해 행위의 금지·중지를 구하는 소송을 제기 가능 (법 제51조)
다만, 단체소송의 남발방지를 위해 사전에 집단 분쟁조정제도를 거치고,
단체소송의 대상을 권리침해행위의 금지·중지 청구 소송으로 한정
12. 개인정보보호 수준진단·실태점검
개인정보 보호 수준진단
개인정보의 수집·이용·제공·파기 등 모든 과정에 대해 진단프로그램을 마련해 자체
적으로 진단·개선하는 제도
▶ 공공기관별로 수준측정 진단지표를 활용하여 각급 기관의 개선사항을 수준별로 도출
수준진단 절차 : 자율진단 ⇒ 취약점 분석 및 자체개선 ⇒ 현장진단 ⇒ 결과보고 및 발표
① 자율진단 : 각급 기관이 온라인시스템(www.pepi.go.kr)을 통하여 스스로 진단
② 취약점 분석 및 자체개선 : 각급기관은 입력결과에 따라 자체 점검 및 개선
③ 현장진단 : 행정안전부와 수준진단위원회가 각급기관의 자체진단결과를 현장검증
④ 결과보고 및 발표 : 행정안전부는 진단결과를 사전배점기준에 따라 등급화 후 공개
개인정보 실태점검
공공기관 대상 실태점검은 매년 정기적으로 실시되며, 기관의 개인정보 관리
미비점을 점검·개선하는 것이 목적
공공기관은 개인정보보호 각 업무별 처리사항을 행안부(관계중앙행정기관)에 제
출
▶ 개인정보보호 기반, 처리단계별 개인정보관리, 개인정보 침해대응, 기타 사항 등 4개영역
<참고> 개인정보보호 수준진단 사례(2011)
수준진단 대상 : 중앙부처,광역자치단체,교육청,지방공기업, 학교 등 220개 기
관
구분
대상 공공기관
대상기관 수
‘가’ 군
중앙부처, 광역자치단체
56
‘나’ 군
광역교육청
16
‘다’ 군
지방공기업, 초·중·고·대학교 (교육기관) 등
148
수준진단 지표 : 개인정보보호 법령, 지침 등 관련 규정의 준수사항으로 구성
▶ 3개 분야, 18개 진단지표, 48개 진단항목으로 구성
▶ 대상기관 중 각 군별로 진단 항목별 배점을 다르게 적용
진단분야(3개)
개인정보보호
정책환경
개인정보 처리
개인정보
침해대응
진단지표(18개)
-
정책기반 (4)
기술기반 (3)
수집 및 보유 (4)
이용 및 제공 (2)
파기 (2)
웹사이트 개인정보 노출방지 대책 (1)
개인정보 유출 대응절차 (1)
개인정보 침해 구제절차 (1)
진단항목(48개)
8
10
9
5
6
5
3
2
수준진단 일정 : 진단준비(6월)→자율진단(7월)→현장진단(8~9월)→분석 및 평가(10~11월
[요약 1] 개인정보보호법 제정으로 달라지는 점
(1) 구 분
현 행
개인정보보호법('11.9월 시행)
규율대상
공공기관, 정보통신사업자 등 개별법에
따라 제한적 적용 (51만개 사업자)
공공·민간의 모든 개인정보처리자
(350만개 사업자)
보호범위
공공기관은 컴퓨터등에 의해 처리되는
개인정보파일
종이문서에 기록된 개인정보도 포함
개별법에 따라 상이한 처리 기준
공공 ·민간을 망라하는 단일 기준
고유식별정보의 사용제한규정 없음
원칙적 처리금지(별도 동의, 법령근거
수집·이용·제공 기
준
고유식별정보
처리제한
정보통신서비스제공자에 한해 주민번
호 대체수단 제공의무화
주민번호 대체수단 제공 의무화(공공,
공공민간
일부 민간)
암호화 등 안전성 확보조치 의무
통지의무
영상정보처리기기
규제
관련 제도 없음
개인정보 처리업무 위탁, 영업양도에 따
른 개인정보 이전시 통지 의무화
공공기관의 폐쇄회로TV(CCTV) 설치
·운영 제한
공개된 장소의 모든 설치·운영 규제(공공
·민간)
네트워크 카메라도 포함
[요약 1] 개인정보보호법 제정으로 달라지는 점 (2)
구 분
현 행
위탁자의 손해배상책임만 규정
개인정보보호법('11.9월 시행)
처리업무 위탁의 문서화
위탁업무내용과 수탁자의 공개의무
처리업무의 위탁
재화·서비스의 홍보나 판매권유 업무위
탁시 정보주체에게 고지의무
공공기관이 개인정보파일 보유시 행안
부장관과 사전협의
공공기관이 개인정보파일 보유시 행안부
장관에게 등록
개인정보파일
등록·공개 및
영향평가
행안부장관은 사전협의 파일 관보 공고
유출통지·신고
관련 제도 없음
개인정보 유출 통지·신고 의무화
집단분쟁조정
관련 제도 없음
집단분쟁조정제도 도입
단체소송
관련 제도 없음
단체소송(권리침해 금지중지) 도입
국무총리 소속 심의위원회(공공기관)
대통령 소속 개인정보보호위원회
위원회
행안부장관은 등록사항 공개
공공민간
공공기관의 대규모 개인정보파일 구축
등의 경우 영향평가 의무화
[요약 2] 개인정보 보호법 위반에 따른 벌칙 (1)
구분
위반 내용
민감정보(사상ㆍ신념ㆍ정당가입ㆍ건강 등) 처리기준 위반(제23조)
고유식별정보(주민등록ㆍ여권ㆍ운전면허번호ㆍ외국인등록번호) 처리기준 위반(제24조)
수
집
ㆍ
이
용
공
ㆍ
위
탁
5년 이하 징역 또는 5
천만원 이하 벌금
부당한 수단이나 방법에 의해 개인정보를 취득하거나 개인정보처리에 관한 동의를 얻는 행위를 3년 이하 징역 또는 3
한 자(제59조)
천만원 이하 벌금
개인정보의 수집기준 위반(제15조)
만14세 미만 아동의 개인정보 수집시 법정대리인 동의획득여부 위반(제22조)
5천만원 이하 과태료
탈의실ㆍ목욕실 등 영상정보처리기기 설치 금지 위반(제25조)
최소한의 개인정보 외 정보의 미동의를 이유로 재화 또는 서비스 제공 거부(제16조, 제22조)
주민등록번호를 제공하지 아니할 수 있는 방법 미제공(제21조)
제
벌 칙
3천만원 이하 과태료
동의획득방법 위반하여 동의받은 자(제22조)
1천만원 이하 과태료
정보주체의 동의 없는 개인정보 제3자 제공(17조)
개인정보의 목적 외 이용ㆍ제공(제18조, 제19조, 제26조, 제27조)
5년 이하 징역 또는 5
천만원 이하 벌금
개인정보 주체에게 알려야 할 사항을 미고지(제15조, 제17조, 제18조, 제20조, 제26조)
3천만원 이하 과태료
업무위탁시 법정사항을 포함한 문서에 의하지 아니한 자(제26조)
업무위탁 시 공개의무 위반(제26조)
1천만원 이하 과태료
정보주체에게 영업양도 등에 따른 개인정보 이전사실을 알리지 아니한 자(제27조)
업무상 알게 된 개인정보를 누설하거나 권한없이 타인에게 제공한 자(제59조)
안
전
관
리
5년 이하 징역 또는 5
정당한 권한없이 또는 허용된 권한을 초과하여 타인의 개인정보의 훼손, 멸실, 변경, 위조, 유
천만원 이하 벌금
출(제59조)
영상정보처리기기 설치목적과 다른 목적으로 임의 조작하거나 다른곳을 비추는 자 또는 녹음기
3년 이하 징역 또는 3
능을 사용한 자(제25조)
천만원 이하 벌금
직무상 알게 된 비밀을 누설하거나 직무상 목적 외 사용한 자(제60조)
[요약 2] 개인정보 보호법 위반에 따른 벌칙 (2)
구분
위반 내용
벌 칙
안전성 확보조치 미이행으로 개인정보를 도난ㆍ유출ㆍ변조 또는 훼손당하거나 분실(제24조, 제 2년 이하 징역 또는
25조, 제29조)
1천만원 이하 벌금
전
안전성 확보에 필요한 조치의무 불이행(제24조, 제25조, 제29조) 영상정보처리기기 설치ㆍ운영
3천만원 이하 과태료
기준 위반(제25조)
관
개인정보를 분리해서 저장ㆍ관리하지 아니한 자(제21조)
리
개인정보처리방침 미공개(제30조)
안
개인정보관리책임자 미지정(제31조)
1천만원 이하 과태료
영상정보처리기기 안내판 설치 등 필요조치 불이행(제25조)
정
개인정보의 정정ㆍ삭제요청에 대한 필요한 조치 미이행 및 개인정보를 계속 이용하거나 제3자
2년 이하 징역 또는
제공(제36조)
1천만원 이하 벌금
개인정보의 처리정지요구에 따라 처리를 중단하지 않고 계속 이용하거나 제3자에게 제공(제37조)
보
개인정보 유출사실 미통지 또는 미신고(제34조)
주
정보주체의 열람 요구의 부당한 제한ㆍ거절(제35조)
체
정보주체의 정정ㆍ삭제요구에 따라 필요 조치를 취하지 아니한 자(제36조)
권
익
3천만원 이하 과태료
처리정지된 개인정보에 대해 파기 등의 조치를 하지 않은 자(제37조)
보
시정명령 불이행(제64조)
호
정보주체의 열람, 정정ㆍ삭제, 처리정보 요구 거부 시 통지의무 불이행(제35조, 제36조, 제37조)
관계물품ㆍ서류 등의 미제출 또는 허위제출(제63조)
1천만원 이하 과태료
출입ㆍ검사를 거부ㆍ방해 또는 기피한 자(제63조)
파기
개인정보 미파기(제21조)
3천만원 이하 과태료
감사합니다