Professional Documents
Culture Documents
개인정보보호법 주요내용 및 침해사례
개인정보보호법 주요내용 및 침해사례
3 개인정보보호법에 따른 보호 조치 항목
1. 개인정보 라이프사이클과 분쟁조정 사례
1. 개인정보의 라이프 사이클과 위반 사례
개인정보는 사람의 일생처럼 일련의 생명주기(라이프 사이클)을 가지고 있으며, 관련 법률은
각 단계별로 기관 또는 기업이 준수해야 할 내용을 담고 있음
이용
수집 제공 파기
저장
생명주기 의미 주요 준수 사항
수집 시 동의 획득(고유식별정보 별도 동의)
민원인(정보주체)이 서비스 이용을 위해 웹 사이트 또는 개인정보 처리방침 수립 및 고지
수집
신청서 등을 이용하여 기업 또는 기관에 제공하는 단계 만14세 미만 아동의 개인정보 수집 절차
정보주체의 권리 보장
개인정보 취급자 관리
민원인이 서비스 이용을 위해 제공한 정보를 저장하고, 내부관리계획의 수립, 이행, 점검, 개선
이용, 저장
이를 통해 조회 등의 업무 수행하는 단계 안전조치 이행(개인정보 취급자에 의한 유출,
오남용 방지)
제공 시 별도의 동의 획득
제공 업무 제휴, 대국민 서비스를 위한 부처간 정보 공유 단계 위탁자에 대한 관리감독(개인정보보호 서약서)
기술적 관리적 보호조치
민원 해소 등으로 인해 민원인의 정보가 더 이상 필요하지 파기 방법 및 시기
파기
않아, 정보를 삭제하는 단계 기술적 관리적 보호조치
1. 개인정보의 라이프 사이클과 위반 사례
개인정보 수집 시 수집 및 이용 목적, 수집항목, 보유 기간 등에 대한 고지 및 동의 필수
업무관행을 유지하며
제공 받는 자, 이용목적,
제공 항목, 보유·이용 기간,
동의거부 권리 등을 고지하지 멤버십 신청자
A 호텔 않고 개인정보 수집
1. 개인정보의 라이프 사이클과 위반 사례
만14세 미만 아동의 개인정보 수집 시 법정대리인의 동의는 필수
“이름이 뭐니?”
“집 전화번호는 뭐니?” 지속적인
“부모님 뭐하시니? 학원 홍보전화
학원관계자
정보제공
초등학생
아동의 부모
1. 개인정보의 라이프 사이클과 위반 사례
개인정보 제3자 제공 시 별도의 고지 및 동의 획득 필수
업무제휴 관계
고객
1. 개인정보의 라이프 사이클과 위반 사례
개인정보 취급위탁 시 수탁사업자의 개인정보보호 수준강화를 위해 개인정보 보호조치
명시 및 감독강화
개인정보 처리 수탁자에 대한 관리·감독 - 위반사례
IT 서비스 운영위탁
수탁사에 대한 IT위탁업체
여행사 개인정보보호 관리감독 미이 (수탁사)
행
불법 유출한
개인정보판매
암거래상 수탁사 소속 퇴직 직원
1. 개인정보의 라이프 사이클과 위반 사례
개인정보 취급위탁 시 수탁사업자의 개인정보보호 수준강화를 위해 개인정보 보호조치
명시 및 감독강화
개인정보 처리 수탁자에 대한 관리·감독 - 참고사례
수탁자가 이행해야
하는 개인정보
보호조치 명시
② 외장하드에서
개인정보 확인
① 외장하드를 훔침
A의 집
경찰서
1. 개인정보의 라이프 사이클과 위반 사례
개인정보 취급자가 퇴사, 부서이동 등으로 인해 업무가 변경될 경우, 접근권한을 변경하고
관리해야 함
개인정보 접근권한 관리 - 위반사례
쇼핑센터 재직 시 사용하던
ID, PW로 접근 시도
고객DB 접근 후 고객정보 유출
퇴직자 쇼핑센터 서버
경쟁업체에
고객명부 판매
경쟁업체
1. 개인정보의 라이프 사이클과 위반 사례
이용자의 비밀번호 또는 주민등록번호와 같은 고유식별정보는 암호화 후 저장되어야 함
해킹 시도
해커 암호화 되지 않은 회원의
주민등록번호, 비밀번호 유출
리조트
고객DB 서버
홍길동 601111-1234567
김순돌 420112-2345123
… 781230-2345123
… 801231-2011111
개인정보
암거래상
1. 개인정보의 라이프 사이클과 위반 사례
개인정보에 접근하는 개인정보 취급자의 접근행위에 대해 접근 시간, 접근목적, 작업 내역 등을
기록하여 보관하여야 함
내부직원
고객 DB 서버
접속기록이
보관되지 않음
1. 개인정보의 라이프 사이클과 위반 사례
개인정보 수집 시 고지한 보유기간이 지나면 해당 개인정보는 파기하여야 함
개인정보 파기 - 위반사례
이벤트
유출 규모 : 회원 3,500만 2. 악성코드 게시
명의 개인정보
3.
유출항목 : 이름, 아이디, 악성
주민등록번호, 휴대전화번 코드
호등 ‘F’ 업체 서버 감염
해커 SK컴즈 서버망
유출경로 : 외부 SW 업데 5. DB서버 접속
4. 좀비PC 원격제어
이트 서버 해킹 S사 직
원 PC 감염 DB 관리자,
아이디, 비밀번호 수집
DB 유출
7. 회원정보 전송
6. 회원정보 유출
(2012년 8월)
2. 공공기관 개인정보 유출 및 오남용 사례 분석
2. 공공기관 개인정보 유출 및 오남용 사례 분석
정부/공공기관에서 발생하는 개인정보 침해사고는 지속적으로 증가하고 있으나, 광범위한 개
인정보 취급자 수로 인해 적절한 관리 및 인식교육은 이뤄지지 못함
발생 시기 : 2012년 7월 • 유가증권 위조
의뢰자 • 주민등록 초본
유출 규모 : 약 3,000여건
<공무원>
매매금액 : 2년간 4억 2천 90여건
만원 • 주민등록초본
• 가족관계증명서 조회
불법 유출 흐름 : 의뢰자
심부름센터 직원 공무
심부름 센터
원, 통신사 직원, 보험설계 <콜센터 직원>
3,200여건
사로부터 정보 구매 의
뢰자에게 재판매 • 통신사 고객정보 접속
• 개인정보 조회
<보험설계사>
<인터넷쇼핑몰> 90여건
• 차량, 개인정보 조회
(2012년 7월)
2. 공공기관 개인정보 유출 및 오남용 사례 분석
정부/공공기관의 수집기간(5년에서 10년 보유)이 만료된 개인정보를 파기하지 않고 보관한
사실이 밝혀짐
정부/공공기관의 개인정보 미파기 현황(출처 : 동아일보)
(2010년 12월)
<비고>
개인정보 노출건수 : 300~700개 공공기관에서 2만~9만개 개인정보 노출
3. 개인정보보호법에 따른 보호 조치
3. 개인정보보호법에 따른 보호 조치
주요 용어설명
“개인정보 처리”의 정의
“개인정보 파일”의 정의
“개인정보 취급자”의 정의
개인정보 수집 시 동의획득
만14세 미만 아동 개인정보 수집
아동 법정대리인의 정보수집
동의획득 사항 알림 동의, 동의 안 함을
클릭하는 방법으로는
동의획득 불가
법정대리인의 동의
아동의 개인정보 수집
3. 개인정보보호법에 따른 보호 조치
개인정보를 수집하는 기관의 개인정보 보호책임자는 개인정보보호를 위한 내부 관리계획을
수립하고 이를 이행하여야 함
내부관리계획 수립 및 운영
개인정보 파일 암호화
• 엑셀파일 암호 설정 : 저장 도구
일반옵션 암호입력
3. 개인정보보호법에 따른 보호 조치
개인정보 처리시스템 접근에 필요한 패스워드에 대해 별도의 작성 규칙을 수립하고 이에 대한
이행이 필요함
패스워드 작성 규칙
개인정보 처리시스템 접근 권한 부여
접속기록 보관 규칙 접속기록 예시
① ② ③ ④ ⑤
• 접속기록은 월 1회 이상 정기적으로 확인ㆍ감독
③ : 접속 일시
④ : 접속지
⑤ : 수행 업무
3. 개인정보보호법에 따른 보호 조치
수집된 개인정보의 수집 목적 또는 이용기간이 만료 후 파기하여야 하며, 별도의 보관이 필요한
경우에는 별도의 테이블 생성 등을 통해 분리 보관하여야 함
개인정보의 파기
CCTV 설치 및 운영 관리
• CCTV 설치 금지 구역
법령 범죄예방, 교통정보
- 공개된 장소 수사 수집
예) 광장, 공항, 주차장, 놀이터, 지하철역,
상점출입구 및 내부 등 특별한 출입제한 없는
공개된 장소에서의 CCTV 설치 금지
시설안전, 교통단속
화재예방
- 사생활 침해 우려가 있는 장소(목욕탕)
3. 개인정보보호법에 따른 보호 조치
CCTV를 설치할 경우, CCTV 설치 안내문을 부착하여야 하며, CCTV를 통해 기록된
영상정보에 대한 관리감독을 위한 관리지침을 수립하고 이행하여야 함
CCTV 설치 및 운영 관리
설치에 대한 안내판 설치
정보보호 SW이용
• PC지키미 활용
• 백신 소프트웨어 월 1회 이상
주기적으로 갱신ㆍ점검
• 업무와 무관한 파일 및 SW
다운로드 및 설치 금지
• PC 방화벽 기능 사용
3. 개인정보보호법에 따른 보호 조치
신규 개인정보 처리시스템 개발 시 위험요인을 분석하고 개선사항을 도출하는 일련의 평가절차인
개인정보영향평가를 실시하여야 하며, 공공기관은 의무적으로 수행하여야 함
개인정보 영향평가
처리 침해위험 정도 등을 고려
평가방법 및 평가 수행자
3. 개인정보보호법에 따른 보호 조치
개인정보 유출사고가 발생할 경우, 관계기관 및 정보주체에게 신고 및 통지하여야 하며, 통지
시에는 유출시점, 유출된 개인정보 항목, 피해구제 절차 등에 대한 내용을 담고 있어야 함
정보주체에게 통지 통지시기
유출사고
• 후속 피해의 최소화 및 예방 사고발생 후 유출현황, 사건경위 및
발생 • 피해구제 방안 잠정적 원인 등을 파악 후 통지
통지내용
• 유출된 개인정보의 항목
• 유출된 시점과 그 경위
대책마련 • 유출로 인한 피해 최소화를 위한
방법
• 유출사고 원인 분석 • 개인정보 처리자의 대응조치 및
• 기술지원 의뢰 및 복구 피해 구제절차
• 직원 징계, 사법조치 의뢰 • 피해 접수 위한 담당부서 및 연락처
• 유사사고 재발 방지대책 수립
통지방법
• 웹사이트 첫 화면 게재
• 전화
• 이메일 등
감사합니다.