1. 개인정보보호 관리실태 점검 방향 및 사례 (행정자치부)

Download Report

Transcript 1. 개인정보보호 관리실태 점검 방향 및 사례 (행정자치부) 

목차
I. 개인정보보호 합동 점검 체계
II. 주요 점검 현황 및 사례
III. 2015년 관리실태 점검 방향
2
I. 개인정보보호 합동 점검 체계
3
1. 합동 점검체계 출범 배경
개인정보 유출 및 침해 지속 발생
약 129,0000,000명
’11.9 이후 주요 개인정보 유출건수
사건일
개인정보처리자
피해규모
2011. 4
현대캐피탈
2011. 7
SK컴즈
2011. 8
삼성카드
2011. 11
넥슨
2012. 3
SKT/KT
20만명
2012. 5
EBS
400만명
2012. 7
KT
870만명
2013.12
KB, 롯데, 농협카드
8,200만명
통신사,금융사,쇼핑몰
1,200만명
2014.2~3
2014.4
티몬 등
175만명
3,560만명
47만명
>
51,360,454명
우리나라 전체인구(’15.2)
180,000
150,000
177,736
개인정보 침해신고
상담건수(KISA)
166,801
158,900
122,215
120,000
1,230만명
90,000
54,832
60,000
30,000
17,569
39,811
23,333
0
04년 05년 6년
113만명
*언론 발표 주요 유출 사건
4
7년
8년
9년 10년 11년 12년 13년 14년
2. 개인정보보호 정부 합동점검체계 출범
개인정보 유출 사고에 범정부 차원의 체계적 대응을 위한
개인정보보호 합동점검단 출범(’12.11.8, ’14.말까지 한시적)
2011.07
3,560만 건
판결소식 이후
집단소송 참여자 급증!
SK컴즈 20만원 위자료 판결시 7조 배상(’14년 매출액의 75배)
※ 매출액 : 2,606억(‘11) -> 939억(‘14)
5
3. 정부 합동점검체계 상시화
개인정보 유출 사고에 범정부 차원의 상시적 대응을 위한
개인정보보호 점검 전담부서 설치(’15.1.6)
6
4. 합동 점검 체계 구성 및 운영
조
직
구
성
 개인정보보호 점검 전담부서 설치(’15.1.6)
 (구성현황) 과장, 총괄(3), 점검기획(5), 행정처분(2), 조사점검(10)
- 안행부 및 관계기관 파견인력으로 구성
* 안행부 8, 방통위 2, 금융위.교과부.복지부.경찰청 각 1, 전문기관 3
조사 및 점검
-기획 점검 : 취약 분야, 위험 업종 대상 중심 실시, 제도개선 병행 (정기)
-특별 점검 : 침해사고, 유출 신고, 언론보도 등 사고 원인조사 및 책임 규명 (수시)
<개인정보보호과>
현황 조사분석
 업종별 개인정보처리현황
 개인정보관리실태
모니터링
 개인정보 유/노출현황
 개인정보 침해신고, 민원
 온라인 점검 (취약점 분석)
 분쟁조정 신청
 개인정보 제공/활용현황
▶ KISA, NIA, 리서치 등
침해사고, 민원
 사고 발생, 언론 보도 등
▶ 관계부처/기관 연계
7
▶ 경찰, KISA 등
5. 현 점검 체계의 고민
우리나라 전체 사업체
개인정보 처리 사업자
홈페이지
보유 사업체로 추정
약 380만개
약 71만개
현 점검 인력으로 약 1,420년 소요
(연간 500개 기관 현장점검 가능)
8
II. 주요 점검 현황 및 사례
9
1. 개인정보 관리실태 점검 현황(12.1 ~ 14.12)
총 1,267개소 점검 및 1,039개소 처분(평균 위반율 82.0%)
- 위반건수는 과태료 292건, 시정조치 589건, 개선권고 824건 등 총1,705건
구분
2012
2013
2014
합계
검사기관*
422
331
514
1,267
처분기관**
347
297
395
1,039
위반건수**
726
469
510
1,705
* 현장점검 및 온라인 점검을 포함한 검사기관수 임,
*, ** 검사월 기준 통계이며, 행정처분 진행중인 사항이 있어 변동 가능
※ 업종별 현황
방송
호텔
통신업
여행업
86
58
61
74
69.3%
86.0%
구분
금융업
의료업
유통업
협단체
검사기관
105
62
88
위반기관
74
49
위반율
70.5%
79.0%
10
학원업
소매업
기타
22
40
36
770
25
17
34
32
680
43.1%
77.3%
85.0%
88.9%
88.3%
2. 점검 결과 분석 (위반건수 1,705건)
CCTV 설치·운영 위반(§25)
522
안전 조치 미흡(§29)
429
위·수탁 위반(§26)
137
동의 없는 수집이용(§15,§17,§23,§24)
128
고지의무 불이행(§15②, §17②)
< 주요 위반 사항 >
116
동의 방법 위반(§22)
84
과도한 개인정보 수집(§16)
56
개인정보 미파기(§21)
30
침해, 훼손 및 누설(§34, §59)
9
열람·정정·삭제 위반(§35, §36, §37)
6
*기타(§28, §30, §31, §32, §33)
1.
2.
3.
4.
5.
CCTV 설치·운영
개인정보보호 안전조치
위·수탁에 따른 사항
수집 및 고지 방법 및 절차
개인정보 미파기
188
0
200
400
*취급자 감독(28조), 처리방침 공개(30조), 보호책임자 지정(31조), 개인정보파일등록(32조),개인정보영향평가(33조)
11
3. 점검 결과 분석 시사점
법 위반 중 수탁자 책임형 66%
※ ‘12~’13년 점검결과 494건중 318건
개인정보 유출건 중 수탁자 책임형 76.8%
※ ‘12~’13년 유출사고 56건중 43건
이용
침
해
/
유
츌
제공
/위탁
사업자의 84%가
시스템 개발 및
운영업무 위탁
(IT서비스산업협회, ‘06)
저장
수집
위
험
파기
1개 수탁사가 평균 788개 위탁사 개인정보 처리
※’14년 25개 수탁사 시범점검 결과
보유기간
12
4. 점검 사례 (홈페이지 제작 수탁사)
병의원
홈페이지 제작
및 호스팅 서비스
웹호스팅
IT 수탁사
펜션
중소기업
학교.학원
쇼핑몰
수집에 따른 고지사항 미흡
처리방침 공개 미흡
접근권한 관리(3년) 미흡
개인
사업자
접근기록 관리(6개월) 미흡
전송구간 암호화(SSL) 적용 미흡
13
3,000여개 사업자의
홈페이지 호스팅
(100만명 단일 서버/DB)
4. 점검 사례 (개인 사업자 대상 ASP 사업자)
미용실 고객
개인사업자
이미용 업계
IT 수탁사
미용·피부관리실
고객정보
(성명, 주소,
PC방 고객 전화번호,
이메일 등)
고객관리
시스템
ASP
PC방
학생
4,000여개 매장의
개인정보(약 1천만명)를
단일 서버/DB에서 운영
위탁계약 필수사항 누락
접근통제, 접근기록보관
*ASP(Application Service Provider)
온라인 응용소프트웨어 임대 사업
전송시 암호화(SSL) 미적용
개인정보 미파기
학원
14
4-1. 점검 사례 (의료분야 수탁사)
병·의원
병원고객
보험심사청구
확인 시스템
보험
심사
청구
위탁 사항
고지 미흡
위탁계약시
필수항목 누락
의료 IT수탁사
접근권한(3년) 관리 미흡
EMR(진료기록관리)
OCS(처방전달시스템)
PACS(영상정보시스템)
보험심사청구시스템
건강보험
관련기관
접근기록(6개월) 관리 미흡
처방전(인쇄)
전송 구간 암호화(SSL) 미흡
처방전시스템
유지보수 위탁
목적외 이용
처방전
(데이터)
의료정보업체
15
약국
4-2. 점검 사례 (의료분야 수탁사)
2014년 의료기관 수 : 총 86,629개
※ 건강보험심사평가원(2015.5)
16
III. 2015년 관리실태 점검 방향
17
1. 관리실태 점검 전략
처리유형
중대형 SI 업체
대기업
자체개발
(공공, 금융,
유통, 제조업 등)
SI 개발·운영 위탁
업종별 주요 수탁사
중소기업
홈페이지 제작
·웹호스팅 위탁
(중대형 병원, 대학, 대형학원,
스포츠시설, 프렌차이즈 등)
솔루션 구매
및 운영
개인사업자
ASP 서비스 이용
(의원, 이미용실, 학원, PC방, 음식점,
부동산중계소 등)
18
2. 점검 방향 및 목표
10만 개인정보처리자 점검
구분
분야
기획
1분기
2분기
3분기
4분기
분야
월
분야
월
분야
월
분야
월
교육,공공
복지,통신
공공
1
교육
4
비영리단체
7
산업·물류
10
의료
2
전업종
5
중개·생활
8
시설·문화
11
수탁사
공공·교육
3
방송·통신
6
통신·산업
9
정보·문화
12
19
3. 관리실태 점검 방안 (처리자)
개인정보처리자
점검 대상 등 사전 협의
전국 3,000개 병원
민간
협단체
자율점검 가이드라인 배포
(교육 및 컨설팅 지원)
현장점검
자율점검 및 이행계획 수립
기관은 처분유예 등 인센티브 부여
미수행 기관은 과태료 등
행정처분 조치
전국 60,000개 학원
회원사
회원사
※관련 부처와 공동 점검 추진
자율점검 수행
개선계획 수립
및 이행 유도
회원사
20
자율점검표
회원사
개선계획
---------
관련업계
--- 전반의
개인정보 --------보호수준 제고
회원사
---------------
4. 관리실태 점검 방안 (수탁사) (1)
개인정보 처리 사업자
전산개발·운영 수탁자
개인정보
처리 위탁
공공, 금융, 교육, 복지, 의료, 문화, 정보통신
개인서비스(병의원, 학원, 이미용실, 정비소 등
홈페이지 개발·운영, 고객관리시스템 ASP
진료기록 저장·관리, 서버관리, 본인인증 등
약 71만개
6,000개로 추정
중점 점검 대상은 매출규모 30억 이상
약 2,000개 사업체
21
4. 관리실태 점검 방안 (수탁사) (2)
관련 부처와 협력하여 IT 수탁사 자율점검 추진
업종별 해당부처와 합동점검반 편성 및 집중 점검
자율점검 안내
• SW 개발사(6,000
여개)에 자율점검
지침과 점검계획
안내
※”IT수탁사 개인정보
보호실태 자율점검
지침”
※”개발자 가이드라인”
자율점검 실시
및 개선 추진
실태점검 실시
• SW개발사 자율
점검 실시
• 미흡사항 개선 계
획수립 및 이행
• 자율점검 수행 및
개선 기관에 처분
유예 등 인센티브
• 업종별 주요 IT
수탁사 집중 점검
• 자율점검 미수행
기관은 과태료 처
분 추진
※ 부처 합동점검반 편성
및 운영 예정
4월
수탁자 점검
5월
위탁자
법 준수 제고
위탁자
정보 수집
22
위탁자 점검
5. 중점 점검 사항 (1)
안전조치 의무
개인정보의 안전한 처리를 위한 내부 관리계획의 수립.시행
개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
개인정보를 안전하게 저장. 전송할 수 있는 SSL등 암호화 기술의 적용
개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조.변조 방지 조치
개인정보에 대한 보안프로그램의 설치 및 갱신
개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
업무위탁에 따른 개인정보 처리제한
수탁사와 문서에 의한 계약 여부(필수사항 7가지 포함)
수탁사를 홈페이지 등에 공개 여부
수탁사에 대한 교육.실태점검 등 관리.감독 여부
23
5. 중점 검사 사항 (2)
개인정보의 파기
목적 달성 및 보유기간 경과 후 개인정보 파기 여부
개인정보의 당초 보유기간 경과 후 관련 법 목적에 따라 보관 시 별도 보관 여부
개인정보 수집.이용.제공
온.오프라인 회원가입 및 각종 게시판에서 개인정보 수집 시 동의 여부
정보주체 동의 시 필수 고지항목 적정 여부
개인정보 제3자 제공 시 정보주체 동의 여부 및 동의 시 필수고지 항목 적정 여부
개인정보 수집 당시의 정보주체 이용.제공 동의 범위를 초과하여 이용.제공 여부
개인정보처리방침의 수립 및 공개
개인정보처리방침의 수립 여부(필수사항 8가지 포함 여부)
개인정보처리방침의 수립 또는 변경 시 정보주체가 쉽게 인지할 수 있도록 공개 여부
24
6. 올해 강화되는 제도
공급자에게 법을 준수하여 시스템을
공급 하도록 의무조항 신설 및 처벌 강화
※ 위반건수(‘12~‘13) 분석 결과, 개발 등 공급단계에서 64.4%
위반 건의 사전 예방 가능
경각심 고취, 경고적 예방적 효과
달성을 위해 법 위반자 공표 강화
※ 행정처분 결과 공표 기준 완화
- 공표내용 : 위반행위 내용, 위반행위 한 자, 처분내용 및 결
과
공급 및 수탁 사업자에게
개발직원 대상 자체 교육 의무 부여
※ 수탁사 직원을 위한 “개인정보처리시스템 개발 및 운영
가이드라인”보급과 병행 추진
25
26