120417-개인정보처리자의 자세와 역할(최종)
Download
Report
Transcript 120417-개인정보처리자의 자세와 역할(최종)
개인정보보호를위한
개인정보처리자의 자세와 역할
2012. 4. 18
강 중 협
(한국정보화진흥원)
Ⅰ. 개인정보 보호의 의의
Ⅱ. 개인정보 보호의 원칙
목차
Ⅲ. 개인정보처리자의 역할
1
개인정보 보호의 의의
1. 개인정보와 프라이버시
혼자 있을 권리
(소극적)
개인의 생활영역 또는 개인에 대한 지식과
개인적 생활 영역에 대한 한정된 정보로서의
인간 생활영역을 의미
자기정보 결정권
(적극적)
자신의 정보가 언제 어떻게 그리고 어느 범위
까지 타인에게 전달되고 이용될 수 있는지를
스스로 결정할 수 있는 권리
• 타인에 의한 정보 수집∙이용∙제공에 대해 정보주체가 어느 정도 관여할 것인지는
개인정보의 성격, 수집목적, 이용형태, 처리방식에 따른 위험성 정도에 따라 다르
나
• 적어도 정보주체의 인격적 요소인 개인정보가 타인에 의해 마음대로 처리∙조작
되어서는 안된다는 것이 핵심
개인정보는 프라이버시 보호 대상 중 핵심요소
- 프라이버시 보호대상 : 정보 + 신체 + 통신 + 공
4
<참고> 자기정보결정권
자신의 정보가 언제 어떻게 그리고 어느 범위까지 타인에게 전달되고 이용될 수
있는지를 스스로 결정할 수 있는 권리
개인정보 존재에 대한 고지, 개인정보의 정정 및 삭제, 이의 제기 등을 할 수
있는 권리
1. 수집제한청구권 : 정당한 수집목적을 위하여, 필요한 범위 내에서, 공정하고 합리적인 방식으로,
정보주체의 분명한 인식 또는 동의 하에 수집되어야 함
2. 정보처리금지청구권 : 기본적인 정보처리 원칙 충족되지 않는 경우, 개인정보의 이용∙제공 등
정보처리 금지를 요구할 수 있음(이용제한요구권, 시스템공개요구권 등)
3. 정보열람청구권(정보접근권) : 타인에 의해 처리되고 있는 개인정보의 내용에 대하여 정보
주체가 자신에 관한 정보열람을 청구 가능
4. 정보정정청구권 : 정보주체가 자신에 관한 정보를 열람한 결과 정보내용이 부정확하거나
불완전한 것일 경우 이에 대한 정정을 요구 가능
5. 정보차단청구권 : 개인정보 제공자가 정보보유기관에 대해 자신의 정보에 대한 일반인이나
그 밖에 권한 없는 자의 불법적인 접근을 지속적으로 막아줄 것을 요구 가능
6. 정보분리청구권 : 특정목적을 위해 수집된 개인정보는 다른 기관, 다른 목적을 위해 수집된 개인
정보와 원칙적으로 통합되지 않고 분리된 상태로 유지될 것을 요구 가능
7. 정보삭제청구권 : 정보보유기관이 법에 규정된 의무를 위반하거나 법 취지에 반하여 부당하게
이용할 경우 정보주체가 자기정보 삭제를 요구 가능
5
2. 개인정보 영역의 변화
개인정보의 개념과 범위는 사회환경, 기술발전 등에 따라 다양화
개인정보
서비스
위치정보
이름
주민등록번호
웹
위치추적
CCTV, 위치정보 등에 의한
신규 프라이버시 침해 가능성 급증
바이오정보
개인의 생각?
텔레매틱스 전자주민카드
가상 현실?
신규 기술을 활용한 서비스에 대한
개인정보보호 대응책 필요
6
3. 개인정보의 가치
7
<참고> 개인정보의 가격
현재 8.5억명 이상의 가입자 정보를 공유하고 있는 Facebook의 미국 증권거래
위원회 상장 가치는 750억~1000억(111조원) 달러로 추산 (Facebook, 2012)
지하 경제서버를 통해 거래되는 개인정보 내역
(2007, 시만텍)
순위
거래 항목
비중
가격대
1
신용 카드
22%
$0.50~$5
2
은행 계좌 정보
21%
$30~$400
3
이메일 패스워드
8%
$1~$350
4
메일러
8%
$8~$10
5
이메일 주소
6%
$2~$4
6
프록시
6%
$0.50~$3
7
상세 신원 정보
6%
$10~$150
8
사기 행위
6%
$10/주
9
사회보장번호(SSN)
3%
$5~$7
10
UNIX계정
2%
$2~$10
8
4. 개인정보의 활용 확대
• 주유 고객 멤버십
• 주유 마일리지 제공, 이벤트
• 온·오프라인을 통해
맞춤형 결혼 중개
결혼중개업
• 온라인 쇼핑 (상품검색
결제, 배송 서비스)
쇼핑센터
정유업
학원,교습소
• 온라인 수강신청, 수강자 관리
• 인터넷오프라인 연계 학습환경
영화관
• 인터넷, 모바일 예매
• 무인발권시스템
여행업
주택관리업
• 홈네트워킹 관리
• 전자항공권 발권
• 실시간 온라인 예약
9
5. 개인정보의 유출 위험 증가
개인정보의 가치 및 디지털 기술의 특성 등으로 인해
개인정보의 요구가 많아지고 이에 개인정보의 노출기회가 많아짐에 따라,
개인정보의 유출위험도 지속적으로 증가
개인정보의
비즈니스 가치 증가
다양한 개인정보
개인정보
수집처의 존재
유출위험 증가
디지털 개인정보의
무한복제 및 빠른 전파성
10
6. 개인정보 침해 현황
▶ 개인정보 침해 민원의 지속적인 증가
<개인정보 민원 증가추이 >
122,215건
발생일
발생기업
2008.2 옥션
2008.4 하나로 텔레콤
2008.9 GS 칼텍스
2010.3
54,832건
39,811건
25,333건 25,965건
18,206건
35,167건
출처: 개인정보침해신고센터
사고원인
1,800만 명 해킹
600만 명
자사 고객 개인정보를
텔레마케팅업체에 제공
1,150만 명 자회사 직원이 유출
2,000만 건 해킹
2011.4 현대캐피탈
175만 건
해킹 공격 및 내부 관리
소홀
2011.5 리딩투자증권
12,000건
홈페이지 해킹
2011.5 세티즌
140만 명 홈페이지 해킹
대부업체,
2011.6 저축은행,
채팅사이트 등
2011.7
2005년 2006년 2007년 2008년 2009년 2010년 2011년
신세계몰 등
25개 업체
피해규모
해커가 여러 사이트의
1,900만 건 고객정보 유출 후 인터넷
에서 거래
SK 컴 즈 ( 네 이
해커가 관리자 ID/비밀
3,560만 명
트,싸이월드)
번호를 탈취
2011.9 삼성카드
2011.11 넥슨
80만 건
자사 직원이 유출
1,320만 건 해킹
11
7. 개인정보 보호의 의미
개인정보처리자가 정보주체의 개인정보를 정당하게 수집·이용하고,
개인정보를 보관, 관리하는 과정에서 내부자의 고의나 관리 부주의 및 외부의
공격으로 부터 유출·변조·훼손되지 않도록 하며,
정보주체의 개인정보 자기결정권이 제대로 행사되도록 보장하는 일련의 행위
개인정보 침해에 따른 유출은
- (개인) 프라이버시 침해에 따른 정신적·경제적 피해를 야기
- (기업) 고객의 신뢰성 저하로 인한 기업 이미지 손상 및 대규모 소송 제기시
기관의 경제적 손실과도 직결
- (국가) 정보사회 자체에 대한 신뢰를 붕괴시켜 사회적 혼란 야기
이에 개인정보 보호를 위해 범국가적 차원에서 엄격하게 추진 필요
12
8. 개인정보 보호법 제정 (2011년 3월 30일)
13
<참고> 개인정보 보호법의 구성
제1장
총칙
제2장
개인정보 보호정책의 수립 등
제3장
개인정보의 처리
개인정보 보호법의 목적, 정의, 개인정보 보호원칙,
정보주체의 권리, 국가 등의 책무, 다른 법률과의 관계
개인정보 보호위원회, 개인정보 보호 기본계획·시행계획 수립,
개인정보 보호지침, 자율규제의 촉진 및 지원
개인정보의 수집·이용·제공 등 처리기준,
민감정보·고유식별정보 제한, 영상정보처리기기 제한 등
제4장
개인정보의 안전한 관리
안전조치의무, 개인정보 보호책임자, 개인정보파일의 등록 및 공개,
개인정보 영향평가, 개인정보 유출통지 등
제5장
정보주체의 권리 보장
개인정보의 열람, 정정·삭제, 처리정지, 권리행사방법 및 절차,
손해배상책임
제6장
개인정보 분쟁조정위원회
제7장
개인정보 단체소송
분쟁조정위원회 설치·구성, 분쟁조정의 신청방법·절차,
집단분쟁조정제도 등
단체소송의 대상, 소송허가신청 및 요건,
확정판결의 효력 등
제8장
보칙
적용제외, 금지행위, 비밀유지, 침해사실 신고, 자료제출 요구 및 검사,
시정조치, 고발 및 징계권고, 권한의 위임·위탁 등
제9장
벌칙
벌칙, 양벌규정, 과태료
·부칙 : 시행일, 다른 법률의 폐지, 처리중인 개인정보에 관한 경과조치, 다른 법률의 개정
14
2
개인정보 보호의 원칙
1. 국가·기관별 개인정보보호 법령 제정 현황
세계 각국은 1980년대 이래 개인정보 보호 관련 법령·지침 제정
OECD
가이드라인
(1980)
프라이버시보호
및 개인정보의
국제적 유통에
관한 지침
UN
가이드라인
(1990)
EU
개인정보
보호지침
(1995)
APEC
프라이버시
원칙
(2004)
개인정보
보호 법제
(1996~)
전산 처리된
개인정보파일의
규제 지침
개인정보의 처리
및 자유로운
전송에 관한
개인정보
보호지침
정보이전에 대해
불필요한 장애를
제거하고 개인
정보보호를 위한
프레임워크
미국, 영국,
독일, 프랑스,
일본, 호주,
한국 등 개인정보
보호 입법
개인정보보호를 위한 기본법이 있는 경우
- 공공과 민간을 하나의 법률에서 규율 : 주로 유럽
- 공공과 민간 별도의 법률을 제정하여 규율 : 캐나다, 일본
해당 분야(공공, 신용, 정보통신, 의료 등)의 개별 법률에서 규율: 미 16
국
2. 국가별 개인정보보호 동향
프라이버시법(Federal Privacy Act, 1974)
미국
- 공공부문 규율, 민간부문 자율 통제
[오바마 정부] 프라이버시와 국가보안의 IT 보안정책
- CTO(국가최고기술책임관) 신설 및 개인정보보호정책 강화
각국은 EU 개인정보호지침에 따라 일반법 제정·시행 중
EU
- ‘전자통신프라이버시 지침에 유출통지 의무화(‘02) 및
소셜네트워크 서비스(SNS), 온라인 광고 규제에 따라 EU지침
개정 공식화(’10.2월)
개인정보보호법 제정·시행 (2005)
일본
- 고객 개인정보보호 관심 증대에 따른 보호조치 강화
- 개인정보보호 관련 법제, 인적·기술적 기반의 정비 및 대응강화
- 개인정보보호 예산의 확충 및 대응체계 강화
개인정보보호법 제정 및 시행(2001)
네덜란드
- 정보등록법(1998)의 정보처리행위에 대한 신고·등록범위 확장
- 민간·공공, 온·오프라인의 개인정보처리 규율
- 정보처리의 적절성 확보 및 실질적인 조사·감독 수행
17
17
3. 개인정보보호 원칙 : OECD 프라이버시 8 원칙
개인데이터의 국제유통과 프라이버시 보호에 관한 가이드라인 (1980년)
국가간 개인정보보호에 관한 최초의 세계적인 기준
원 칙
내
용
1. 수집제한의 원칙
어떠한 개인정보도 적법하고 공정한 수단에 의해 수집되어야 함
2. 정보의 질 확보의 원칙
개인정보는 사용목적과 범위가 부합되어야 하며, 정확하고 완전하며 갱신
되어야 함
3. 목적 명확화 원칙
개인정보의 수집목적은 명확하게 하여야 하며, 수집목적에 한하여 사용하여야 함
4. 이용제한의 원칙
정부주체의 동의가 있는 경우나 법률의 규정에 의한 경우를 제외하고는
명확화된 목적 이외의 용도로 공개되거나 이용되어서는 안됨
5. 안전성 확보 원칙
개인정보가 분실, 불법적인 접근, 파괴, 정보수정 및 공개와 같은 위험에
대비하여 합리적인 안전보호장치를 마련해야 함
6. 개인 참가의 원칙
개인은 자신과 관련된 정보의 존재확인, 열람요구, 이의제기 및 정정, 삭
제, 보완 청구권을 가짐
7. 공개의 원칙
개인정보를 수집하여 이용하거나 보관하는 경우에는 어떠한 목적이나 내
용을 수집, 관리하고 있는가를 공개하여야 할 의무가 있음
8. 책임의 원칙
개인정보처리자는 위의 제 원칙을 실시하기 위한 조치에 따를 책임이 있음
18
3. 개인정보보호 원칙 : UN 가이드라인
전산처리된 개인정보파일의 규제 지침(1990년)
구 분
합법성과 공정성의 원칙
(Principle of Lawfulness and
Fairness)
정확성의 원칙
(Principle of Accuracy)
내 용
개인에 관한 정보는 합법적인 방법으로 수집, 처리되어야만 하고 UN 헌
장에 명시된 목적과 원칙에 반해서는 안 된다.
-
정보를 수집하거나 저장하는 사람 및 이에 관하여 책임 있는 담당자는
개인정보를 정기적으로 검사하여 수록된 정보가 정확한 정보인지를 검토
해야만 한다.
-
목적구체성의 원칙
(Principle of the Purposespecification)
-
관련개인에 의한 접근원칙
-
(Principle of Interested person
Access)
비차별 원칙
(Principle of Non-discrimination)
개인정보를 수집하고 처리하는 목적이 구체적이고 정당해야 한다.
정보가 수집되거나 저장된 해당 개인은 이러한 정보가 어떻게 처리되며
사용되는지에 관하여 알 권리를 가지고 있으며, 잘못되거나 정확하지 못
한 정보의 삭제권 등 여러 보호권리들이 이러한 개인을 위하여 제공되어
야만 한다
개인관련정보의 주체들은 종교적, 인종적, 성적 차이나 정치적 견해 등
을 이유로 부당하거나 자의적인 차별을 받아서는 안 된다.
-
19
3. 개인정보보호 원칙 : UN 가이드라인
구 분
예외에 관하여 결정할 수
있는 기관
(Power to make Exception)
보안원칙
(Principle of Security)
감독과 제재
(Supervision and Sanctions)
국경 없는 정보흐름
(Trans border Data Flows)
적용범위
(Field of Application)
내 용
-
앞에서 열거된 원칙으로부터 예외가 인정되는 경우로는 국가안전보
장, 질서유지, 타인의 자유와 권리보호 및 반인류적 범죄를 범한 범인
추적처럼 그 목적과 근거가 국내법절차에 따라 정당하게 제정된 법규
정에 구체화된 경우에 인정할 수 있다.
-
자연재앙이나 컴퓨터바이러스, 권한 없는 접근 등으로부터 이러한
개인정보파일을 보호하기 위한 적절한 조치들이 행해져야 한다.
-
모든 국가들은 열거된 원칙들의 준수를 감시할 독립된 기관을 설치
해야만 하고 이러한 원칙들을 위반한 경우에 대배하는 처벌규정 및
개인보호규정들도 만들어야 한다.
-
개인정보가 한 국가에서 다른 국가로 전달될 때 해당 국가들에 사생
활보호에 관한 충분한 보호대책들이 마련되어 있다면 정보는 관련 국
가들 내에서 가능한 한 자유롭게 전달·처리될 수 있어야만 한다.
-
이러한 원칙들은 모든 공적, 사적 기관들에 적용되어야만 하고 컴퓨
터파일 뿐만 아니라 수작업 파일도 적용대상에 포함된다.
20
3. 개인정보보호 원칙 : EU 개인정보보호 지침
개인데이터의 처리와 자유로운 유통에 관한 개인의 보호 제정(1995년 10월)
EU 내에서 개인정보의 자유로운 이전 보장
기술적 보호 장치 강화(보안)
적절한 수준과 원칙
- 목적의 명확성, 공정한 데이터 처리, 과도한 정보수집 제한
정보주체에게 정보 처리에 대한 통지 의무
정보 이전이 가능한 경우 규정
온라인 네트워크상의 개인정보보호 외 정치, 경제, 행정 등 개인정보가
수집/처리되는 모든 영역을 규정
제3국으로의 개인정보이전시 제3국은 적절한 보호수준 준수
EU 회원국에게 지침 반영한 국내법 제정 촉구
독립적인 감독기관을 설치하여 개인정보에의 접근권, 수사권, 감독의무 부
여
21
3. 개인정보보호 원칙 : APEC 프라이버시 원칙
역내 프라이버시 보호수준 제고 및 자유로운 정보의
흐름을 보장하기 위해 제정(’04.11)
피해 예방, 고지, 수집제한, 개인정보의 이용, 동의 및
선택, 개인정보의 무결성, 보안조치, 개인정보에의 접근
및 수정, 책임 등에 대한 9원칙으로 구성
※ 지역내 국가간 정보이전을 저해하거나 불필요한 절차 및 부담은 야기하지
않는 범위 내 원칙 적용 추진
22
4. 우리나라 개인정보 보호의 원칙
OECD
가이드라인
개인정보보호법
1. 수집제한의 원칙
목적에 필요한 최소한 범위 안에서 적법하고 정당하게 수집
2. 정보정확성의 원칙
처리목적 범위 안에서 정확성·안전성·최신성 보장
3. 목적명확화 원칙
처리목적의 명확화
4. 이용제한의 원칙
필요 목적 범위 안에서 적법하게 처리, 목적 외 활용 금지
5. 안전보호의 원칙
정보주체의 권리침해 위험성 등을 고려, 안전성 확보
6. 공개의 원칙
개인정보 처리사항 공개
7. 개인참가의 원칙
열람청구권 등 정보주체의 권리 보장
8. 책임의 원칙
개인정보처리자의 책임 준수·실천, 신뢰성 확보 노력
(법 제3조, 제15조, 제16조)
(법 제3조, 제18조)
(법 제3조, 제15조, 제17조)
(법 제3조, 제18조)
(법 제3조, 제4조)
(법 제3조, 제30조)
(법 제3조, 제35조, 제36조)
(법 제3조, 제29조)
23
3
개인정보보호 원칙에 따른
개인정보처리자의 역할
1. 개인정보처리자의 역할과 기능
개인정보처리자란?
개인정보처리자의 역할과 기능
25
2. 수집·이용 제한 원칙과 처리자의 역할
26
26
<참고> 개인정보 목적외 이용 제한 원칙 위반 사례
위반 사례
주의사항
• A기관 직원이 차량등록 업무 수행시
업무상 사용하는 개인정보는 해당
검색한 개인정보(100건)를 PC에
개인적으로 보관하다 기관내 민원
게시판 댓글을 다는데 사용
• B기관의 민원업무 담당자가 동생
목적으로만 이용하여야 함
(개인정보를 PC에 함부로 보관할 경우 불법이용
이나 유출의 위험이 있으므로 즉시 파기)
• 민원 담당자가 개인적인 목적으로 민
배우자의 신원확인을 위해 혼인관계
원서류를 무단 열람하여 이용하면 목적
증명서를 열람
외 이용에 해당
27
<참고> 개인정보 이용제한 원칙 위반 사례
위반 사례
주의사항
• A기관 직원이 업무상 관리하던 직원
부서내 직원정보 등 소규모 개인
개인정보를 동생에게 알려주어 명절 열
정보도 유출하지 않도록 주의
차표 예매에 사용하도록 함
• B대학교는 합격자 발표 게시물에
주민등록번호 등 개인정보를 포함
• C교육기관은 기숙사 배정 문서에 성
적, 주민등록번호 등의 개인정보가 포함
홈페이지 게시물 확인 철저
(홈페이지에 게시되면 즉시 삭제해도 구글 등
검색엔진에 남아 계속 열람될 수 있음)
개인정보가 포함된 파일관리 철저
(외부 문서에 잘못 첨부되지 않도록 주의하고
비밀번호를 부여하여 잘못된 열람 방지)
된 채로 발송
• D기관은 10명의 민원인에게 각각 통
보해야 할 민원서류를 일괄적으로 전체
개인정보가 포함된 문서는 각각 해
당 수신자에게만 발송
수신자에게 발송
28
3. 수집·이용 제한 원칙과 처리자의 역할
민감정보·고유식별정보 처리제한
인터넷상 주민번호 대체수단 의무화
29
<참고> 개인정보보호 동의 획득 방식 (예시)
개인정보처리자 A의 개인정보 수집 및 이용
A는 회원가입, 고객상담, 서비스 제공을 위해 최초 회원가입 시 아래와 같은 개인정보를
수집하고 있습니다.
<필수정보> 성명, 생년월일, 성별, 아이디, 비밀번호, 필수연락처, 가입인증정보
수집한 개인정보는 회원 유지기간 및 A/S 기간 동안 보관합니다.
회원께서는 개인정보 수집 동의를 거부하실 수 있으며 다만 이 경우 회원가입이 제한됩니다.
개인정보 수집 및 이용에 동의하십니까
□ 동의함
□ 동의하지 않음
일반동의
(필요시) 고유식별정보 처리 동의 (수집 또는 제공시의 고지사항 고지)
고유식별정보 처리에 동의하십니까
□ 동의함
□ 동의하지 않음
별도동의
(필요시) 민감정보 처리 동의 (수집 또는 제공시의 고지사항 고지)
민감정보 처리에 동의하십니까
□ 동의함
□ 동의하지 않음
별도동의
(필요시) 목적 외 제공 동의시 (목적 외 제공시의 고지사항 고지)
개인정보 목적외 이용에 동의하십니까
□ 동의함
□ 동의하지 않음
별도동의
<선택정보> 기혼 여부, 기념일, 병력, 취미, 소득수준, 자녀 정보
※ 선택정보 사항을 획득하지 못한 사유로 인해 서비스 제공을 거부할 수 없습니다.
선택적 개인정보 수집 및 이용에 동의하십니까 □ 동의함
□ 동의하지 않음
별도동의30
4. 수집 제한 원칙과 처리자의 역할
영상정보처리기기 설치제한
영상정보처리기기는 공개된 장소에 특정 목적으로만 설치·운영 (법 제25조제1항)
<영상정보처리기기 설치·운영 허용 사유>
1) 법령에서 구체적으로 허용하는 경우
2) 범죄예방 및 수사
4) 교통단속
5) 교통정보의 수집·분석 및 제공
3) 시설안전 및 화재예방
CCTV를 설치하는 경우 공청회 등을 거쳐 이해관계자의 의견 수렴
설치목적과 다른 목적으로 임의 조작, 녹음기능 사용 금지 (법 제25조제5항)
처벌규정 위반 시 3년 이하 징역 또는 3천만원 이하 벌금
안내판 설치
정보주체가 쉽게 인식할 수 있도록 안내판 설치 (법 제25조제4항, 영 제24조)
<안내판 기재사항> 1) 설치목적 및 장소
2) 촬영범위 및 시간
3) 관리책임자 및 연락처
건물 안에 다수의 영상정보처리기기 설치시, 출입구 등 잘 보이는 곳에 해당 시
설·장소 전체가 설치지역임을 표시하는 안내판 설치
- 31 처벌규정 위반 시 1천만원 이하의 과태료
31
31
5. 공개의 원칙과 처리자의 역할
개인정보 처리방침 공개
개인정보처리자는 개인정보처리방침을 수립하고 홈페이지에 공개
<개인정보처리방침 포함사항>
1) 개인정보 처리목적 2) 개인정보 처리 및 보유기간 3) 개인정보 제3자 제공에 관한 사항
4) 개인정보 처리 위탁에 관한 사항 5) 정보주체의 권리·의무 및 행사방법에 관한 사항
6) 처리하는 개인정보항목 7) 개인정보 파기에 관한 사항 8) 개인정보 안전성 확보조치에 관한 사항
처벌규정 위반 시 1천만원 이하의 과태료
처리업무의 위탁 및 공개
제3자에게 개인정보 처리업무 위탁시, 문서에 의하여야 함 (법 제26조, 영 제28조)
개인정보처리자는 위탁사실을 정보주체가 쉽게 확인토록 공개 (법 제26조제2항)
개인정보처리방침에 위탁사실을 포함하여 홈페이지에 게재 (영 제28조제2항)
<위탁자와 수탁자의 책임>
1) 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 감독하여야 함(법 제26조 제4항)
2) 수탁자가 위탁받은 업무와 관련하여 이 법을 위반한 손해배상책임 발생시 수탁자를
개인정보처리자의 소속직원으로 간주 (법 제26조 제6항)
처벌규정 위반 시 3천만원 이하의 과태료
32
<참고> 개인정보 업무 위탁 위반사례
위반 사례
• A기관은 PC에 대한 폐기업무를
B회사에 위탁하였으나 B회사에서
하드디스크의 개인정보를 유출
주의사항
개인정보의 파기 업무 등을 외부에
위탁할 경우 관리감독 철저
(외부에서 수행하는 위탁업무의 경우 특히 유출
위험이 계약서에 개인정보 관련 책임을 명시
하고 이행여부를 철저히 확인 )
• C기관은 CCTV의 관리, 운영을 외부
• CCTV 영상정보의 운영을 위탁할 경우
업체에 위탁하였으나 개인정보의
개인정보 유출 뿐 아니라 CCTV 임의조작
관리와 책임 관련 내용을 계약서에
등 법 위반 소지가 크므로
포함하지 않음
운영현황을 수시로 점검하여야 함
- CCTV가 고장난 채로 방치되는 등
관리소홀로 개인정보 유출위험 존재
(실태점검 시 위반사례로 지적)
33
6. 책임의 원칙과 처리자의 역할
개인정보보호책임자 지정
개인정보처리자는 개인정보 처리에 관한 업무를 총괄·책임지는 개인정보 보호
책임자를 지정 (법 제31조)
<개인정보 보호책임자 업무> (법 제31조제2항, 영 제32조제1항)
1) 개인정보 보호계획 수립·시행
2) 개인정보 처리실태 및 관행의 정기적 조사·개선
3) 불만의 처리 및 피해구제
4) 유출 및 오남용 방지를 위한 내부통제시스템 구축
5) 개인정보 보호 교육계획 수립·시행
6) 개인정보파일 보호 및 관리· 감독
7) 개인정보처리방침 수립·변경 및 시행
8) 개인정보 보호 관련 자료의 관리
9) 처리목적이 달성되거나 보유기간이 경과한 개인정보 파기
처벌규정 위반 시 1천만원 이하 과태료
지정요건
개인정보 보호책임자 지정요건 (영 제32조제2항)
① 공공기관은 기관별 직급 명시 - 중앙부처는 고위공무원(행안부는 정책기획관)
② 공공기관 외의 개인정보처리자의 경우
개인 사업주, 대표자, 정보처리 업무를 담당하는 부서의 장,
개인정보 보호에 관한 소양이 있는 사람 중 어느 하나를 지정
34
7. 책임의 원칙과 처리자의 역할
개인정보영향평가
공공기관이 개인정보 파일을 운용하는 경우, 개인정보 침해를 사전에 예방하기
위한 개인정보 영향평가 실시
< 개인정보 파일 기준 >
1) 5만명 이상의 정보주체에 대한 개인정보 파일(민감정보, 고유식별정보가 포함시)
2) 50만명 이상의 정보주체에 대한 개인정보 파일(다른 개인정보 파일과 연계·연동시)
3) 구축 ·운용 또는 변경하려는 개인정보파일로 100만명 이상의 정보주체 개인정보 파일
개인정보파일 등록
공공기관이 개인정보파일을 운용하는 경우, 법적 근거, 목적, 보유기간 등을
행정안전부 장관에게 등록(개인정보보호 종합지원포털, www.privacy.go.kr)
< 개인정보 파일 등록사항 >
1) 개인정보파일의 명칭, 운영 근거 및 목적
2) 개인정보파일에 기록되는 개인정보의 항목
3) 개인정보의 처리방법 및 보유기간
4) 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
행정안전부는 개인정보파일 현황을 누구든지 쉽게 열람할 수 있도록 공개
35
35
8. 안전보호의 원칙과 처리자의 역할
안전성 확보 조치
개인정보가 분실·도난·유출·변조·훼손되지 않도록 안전성 확보에 필요한
기술적·관리적·물리적 조치 이행 (법 제29조)
1)
2)
3)
관리적 보호조치 : 내부관리계획 수립 ·시행
기술적 보호조치 : 접근통제, 암호화, 방화벽 · 백신 등 보안프로그램의 설치
물리적 보호조치 : 개인정보의 안전한 보관을 위한 보관시설 및 잠금장치 등
처벌규정
미이행시 3천만원 이하의 과태료,
미이행으로 인한 유출시 2년 이하 징역 또는 1천만원 이하 벌금
개인정보 파기조치
보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을
때는 지체 없이 (5일 이내) 개인정보 파기 (법 제21조, 표준지침 제11조)
다만, 다른 법령에 따라 보존해야 하는 경우에는 미파기
• 소비자 분쟁처리 관련 기록(3년), 요금정산(5년), 계약 및 청약철회(5년) : 전자상거래법
< 파기 방법 > 복구 또는 재생되지 아니하도록 폐기
- 전자적 파일형태 : 복구가 불가능하도록 포맷이나 삭제전용 소프트웨어를 사용하여 파기
- 기록물, 인쇄물, 서면 : 파쇄 및 소각
처벌규정 위반 시 3천만원 이하 과태료
36
9. 개인정보 처리상 안전보호의 원칙과 처리자의 역할
개인정보 암호화
1.암호화 대상 : 고유식별번호,비밀번호 및 바이오정보
2.암호화 방법 : 안전한 알고리즘. 비밀번호는 복호화되지 않도록 일방향 암호화
3.암호화 범위
① 정보통신망을 통하여 송•수신하거나 보조저장매체 등을 통해 전달하는 경우
② 업무용 컴퓨터에 고유식별번호를 저장하여 관리하는 경우
③ 인터넷구간 및 DMZ영역에 고유식별번호를 저장하는 경우
④ 내부망에 고유식별번호를 저장하는 경우 개인정보영향평가 결과, 위험도
분석 결과에 따라 암호화 적용여부 및 적용범위를 정하여 시행할 수 있음
적용시기
기준 시행일로부터 3개월 이내에 암호화 계획을 수립하고, 계획 수
립일로부터 12개월 이내에 암호화를 적용하여야 함
37
10. 피해 구제의 원칙과 처리자의 역할
유출통지 및 신고제 도입
집단분쟁조정 및 단체소송 도입
38
11. 맺음말
개인정보보호 확립
39
감사합니다