가이드안내 과거에는단순한정보에지나지않았던개인정보가정보통신기술의발전으로인하여경제적 자산적가치가높게평가되고있고또이에대한역기능으로많은피해가발생하고있습니다. 이에본가이드는다량의고객개인정보를이용하고다루는판매자들을대상으로개인정보에대한인식수준을높이고보다안전한개인정보관리를위하여다음과

Size: px

Start display at page:

Download "가이드안내 과거에는단순한정보에지나지않았던개인정보가정보통신기술의발전으로인하여경제적 자산적가치가높게평가되고있고또이에대한역기능으로많은피해가발생하고있습니다. 이에본가이드는다량의고객개인정보를이용하고다루는판매자들을대상으로개인정보에대한인식수준을높이고보다안전한개인정보관리를위하여다음과"

혜미 우
5 years ago
Views:

2 가이드안내 과거에는단순한정보에지나지않았던개인정보가정보통신기술의발전으로인하여경제적 자산적가치가높게평가되고있고또이에대한역기능으로많은피해가발생하고있습니다. 이에본가이드는다량의고객개인정보를이용하고다루는판매자들을대상으로개인정보에대한인식수준을높이고보다안전한개인정보관리를위하여다음과같은내용을담아가이드를발간하게되었습니다. 1장에서는개인정보보호에대한필요성, 반드시알아야할개인정보관련기본개념에대한내용, 개인정보의전반적인흐름의이해를돕고자내용을구성하였습니다. 반드시숙지하여개인정보란무엇인지확인하시기바랍니다. 2장에서는개인정보관련업무를진행할때, 하지말아야할대표사항 6가지를기재하였습니다. 개인정보업무시반드시해당사항을유념하여진행해주시기바랍니다. 3장에서는개인정보업무를할때, 반드시지켜야할사항을정리하였습니다. 마찬가지로개인정보를취급할때에는반드시해당사항을상기하여준수하시기바랍니다. 부록에서는개인정보법률및처벌, 정부기관실태점검때참고할수있는개인정보자가진단표를수록하였습니다. 이밖에가이드에안내되어있지않거나, 개인정보관련하여궁금한사항은가이드후면에있는이메일을이용하시기바랍니다. 3

3 주의사항 본가이드는정보통신망법과개인정보보호법에서제시하고있는법규사항을준수할수있도록도움드리는역할을하고있습니다. 단, 본가이드의일부내용은각사업자의상황에따라그대로적용되지않을수있으므로, 본가이드에서제시하는내용의적절성여부에대해서는먼저자사고유의환경에맞는지확인해야합니다. 또한가이드에서안내하고있는항목은중요사항에대한안내이며, 이밖에도다양한법률적요구사항이존재하고있으므로상세한사항은해당법률을참고하여보완하시기바랍니다. 판매자별적용환경의상이함으로인하여발생할수있는피해에대해서는이베이코리아에서책임지지않습니다.

4 이베이코리아개인정보보호가이드북 판매자 목차 1 장. 개인정보보호란? 1. 개인정보, 왜보호해야할까요? 2. 개인정보의정의 3. 오픈마켓에서의개인정보흐름 장. 이렇게하지마세요! ( 개인정보주의사항 ) 1. 구매자의정보를다른목적으로사용하지않습니다 2. 구매자의개인정보를별도로수집하지않습니다 3. 구매자의정보를다른사람 ( 회사 ) 에게전달하지않습니다 4. 계정을공유하지마세요 5. P2P 를사용하지마세요 6. 배송과 CS 가종료된구매고객정보를보관하지마세요 장. 꼭지켜주세요! ( 개인정보준수사항 ) 1. PC에반드시암호를설정해주세요 2. 개인정보파일은암호를설정해서보관하세요 3. 반드시백신을사용하세요 4. 사람관리가개인정보보호의반! 5. 개인정보보호교육실시 6. 모든문은꼭꼭닫아주세요 부록 Appendix 부록 1. 개인정보누출통지신고부록 2. 개인정보출력시보호방안부록 3. 개인정보보호자가진단표부록 4. 관련법률안내및처벌안내부록 5. 용어정의

5 1 장. 개인정보보호란? 1. 개인정보, 왜보호해야할까요? 2. 개인정보의정의 3. 오픈마켓에서의개인정보흐름

6 1 장. 개인정보보호란? 1. 개인정보, 왜보호해야할까요? 2. 개인정보의정의 우리는왜개인정보를보호해야할까요? 개인정보란무엇일까요? 1) 나의정보라고생각해봅시다. 명의도용으로인한대포폰개설, 신용카드발급, 인터넷상명예훼손등발생 개인정보는특정개인을다른사람과구분하거나구별할수있는있는정보입니다. 예시 ) 주민번호 : 정확히한명의개인을지칭하는식별정보 주소, 이름과같은정보가결합하여특정개인을알아볼수있다면개인정보입니다. 예시 ) 주소 + 이름 + 핸드폰번호 : 특정개인확인가능 ESM+ 에서의개인정보 예시 ) ID, 구매자 ID, 구매자명, 수령인명, 수령인휴대폰, 수령인전화번호, 우편번호, 주소, 구매자휴대폰, 구매자전화번호등 2) 나의가족의정보라고생각해봅시다. 우리가족의정보를이용하여협박또는사칭하는범죄발생 3) 우리회사의일이라고생각해봅시다. 개인정보유출시대규모소송으로인한손해배상등으로기업경영에큰타격 10 11

7 1 장. 개인정보보호란? 3. 오픈마켓에서의개인정보흐름 Q. 구매에대한정보도개인정보인가요? 네, 맞습니다. 구매자의개인정보는이름, 주소, 연락처등의정보외에도고객이구매한상품정보, 구매이력, 선호하는스타일등의정보도고객의이름, 연락처등의정보와결합하면고객의취향등을알수있으므로개인정보에해당됩니다. 수집이용 제공저장 관리파기 수집 : 고객의개인정보를수집하는활동 이베이코리아로부터고객의개인정보를전달받습니다. 참고자료 : 일반적인개인정보의예시 일반정보이름, 주민등록번호, 주소, 전화번호, 생년월일, 출생지, 이메일주소, ID/PW, 가족관계및가족구성원의정보, IP 주소등 신체 ( 의료 ) 정보 얼굴, 지문, 홍채, 음성, 유전자정보, 키, 몸무게 기호 ( 성향 ) 정보물품구매내역, 인터넷웹사이트검색내역, 도서 & 비디오대여기록, 여행등활동내역 금융 ( 재산 ) 정보신용카드번호, 통장계좌번호, 저축내역, 부동산, 소득정보, 신용카드정보, 대출, 소득정보 이용 제공 : 수집한개인정보를이용하거나다른업체에제공하는활동택배사에고객의주소정보를전달하여물품을배송합니다. 단, 이베이코리아로부터받은개인정보는필수업무목적외에는타사에절대제공하지않습니다. 저장 관리 : 개인정보를안전하게보관하기위한수탁사의활동고객의개인정보를보관시에는암호화하여안전하게관리합니다. 파기 : 서비스종료후활동배송및 CS 등모든업무가종료된후에는개인정보를지체없이완전히삭제합니다. 기타정보 GPS 위치정보, CCTV 영상정보, 법적정보, 근로정보, 교육정보, 통신정보등 12 13

8 2 장. 이렇게하지마세요! ( 개인정보주의사항 ) 1. 구매자의정보를다른목적으로사용하지않습니다 2. 구매자의개인정보를별도로수집하지않습니다 3. 구매자의정보를다른사람 ( 회사 ) 에게전달하지않습니다 4. 계정을공유하지마세요 5. P2P를사용하지마세요 6. 배송와 CS가종료된구매고객정보를보관하지마세요

개인정보를다른목적으로사용하는잘못된예 - 홍보용 SMS 또는이메일발송 원칙적으로판매자는구매자의개인정보를별도로수집할수없습니다.

9 2 장. 이렇게하지마세요! ( 개인정보주의사항 ) 1. 구매자의정보를다른목적으로사용하지않습니다. 2. 구매자의개인정보를별도로수집하지않습니다. 판매자는일반적으로물품배송및고객응대업무를위하여구매자의개인정보를이용할수있습니다. 그러나이러한목적이외에신상품안내및세일등마케팅목적으로개인정보를이용한다면법률적처벌이발생할수있습니다. 개인정보를다른목적으로사용하는잘못된예 - 홍보용 SMS 또는이메일발송 원칙적으로판매자는구매자의개인정보를별도로수집할수없습니다. 개인정보를동의없이별도로수집하는경우정보통신망법제22조에의해 5년이하의징역또는 5천만원이하의벌금을받을수있으니주의하세요. 추가개인정보를수집하는잘못된예주문단에서옵션정보를이용하여동의없이개인정보를수집하는행위 신상품이출시됐으니구매했던고객에게광고해볼까? 16 17

2 장. 이렇게하지마세요! ( 개인정보주의사항 ) 3. 구매자의정보를다른사람 ( 회사 ) 에게전달하지않습니다. 4. 계정을공유하지마세요. 고객에게동의없이무단으로제 3자에게개인정보를제공하면최대 5년이하징역또는 5천만원이하벌금과매출액 100 분의 1 금액이하의과징금에처할수있습니다. 개인정보무단제공사례 1.

10 2 장. 이렇게하지마세요! ( 개인정보주의사항 ) 3. 구매자의정보를다른사람 ( 회사 ) 에게전달하지않습니다. 4. 계정을공유하지마세요. 고객에게동의없이무단으로제 3자에게개인정보를제공하면최대 5년이하징역또는 5천만원이하벌금과매출액 100 분의 1 금액이하의과징금에처할수있습니다. 개인정보무단제공사례 1. 유아보험사에서기저귀와육아용품파워셀러판매자에게구매자정보요청 2. 판매자는개인정보한건당 10원, 보험체결시건당 10만원판매 3. 보험사는텔레마케팅활용 개인정보처리시스템 (ESM+, 판매자관리툴, PC 등 ) 의계정 (ID/PW) 은 1인 1계정을원칙으로하여공용계정으로인한개인정보침해사고위험을최소화하여야합니다. 해당계정은실제개인정보처리업무를수행하는직원에게만한정하여부여하고, 필요할때에만책임자가승인하여관리하도록해야합니다. 계정공유로인한피해사례 배송때문에고객정보를택배사에제공해야할때에는? 배송의이유로재위탁이필요할경우먼저법률에위반되지않도록위탁계약서를작성하여보관해야합니다. 판매자가업무를위탁할때에는수탁사 ( 예 : 배송사 ) 를관리 감독할책임을지게되므로개인정보를위탁할때에는신중한선택이필요합니다. 갑 시 구 동 번지성명 : ( 인 ) 을 시 구 동 번지성명 : ( 인 ) 1) 각호의업무예시 : 고객만족도조사업무, 회원가입및운영업무, 사은품배송을위한이름, 주소, 연락처처리등 2) 개인정보안전성확보조치기준고시 ( 행정안전부고시제 호 ) 에따라개인정보처리자및취급자는 1년에 1회이상개인정보보호에관한교육을의무적으로시행하여야한다. 개인정보를위탁할때도신경쓸것이많구나! 18 19

11 2 장. 이렇게하지마세요! ( 개인정보주의사항 ) 5. P2P 를사용하지마세요 6. 배송과 CS 가종료된구매고객정보를보관하지마세요 P2P(Peer to peer) 서비스는인터넷에연결된모든개인 PC로부터직접정보를제공받고검색은물론내려받기까지할수있는서비스로웹사이트에한정되어있던정보추출경로를개인, 회사가운영하는 DB까지확대할수있습니다. 개인정보가자칫 P2P 공유폴더에저장되면개인정보노출이발생할수있으니개인정보를다루는임직원의 PC에는반드시 P2P 서비스를사용하지마시기바랍니다. P2P 공유폴더설정실수로인한피해사례 판매완료후 CS까지모두종료되었다면고객의정보는지체없이삭제하십시오. 목적이달성되었음에도불구하고고객의정보를정당한사유없이보관하는것은법규위반행위입니다. 어떤것을파기하면되나요? 개인정보가있는파일, 문서, 영상, 사진등이모두파기대상입니다. PC나시스템상에전자적형태로있는파일의삭제뿐만아니라업무를위해별도로출력해놓은문서등의경우에도반드시파쇄기를통해파기하거나, 소각하는등의방법으로파기하여야합니다. 고객정보를삭제했는데또 CS가들어오면어떻게하나요? 해당거래기록은이베이코리아시스템내안전하게보관하고있으므로판매자께서보유하신개인정보는삭제하고, 필요시이베이코리아에요청하여확인하시기바랍니다. 어떻게파기하는것이안전한가요? 종이 ( 서면 ) 에작성 출력된개인정보 : 가입신청서, 이벤트참가신청서등개인정보가기재된서면의경우에는분쇄등재생할수없는방법으로폐기해야합니다. 전자적방법으로저장된파일 : 휴지통에서도보이지않는삭제를위해서 Shift 키를누르신상태에서 Delete 키를눌러삭제하기바랍니다

12 3 장. 꼭지켜주세요! ( 개인정보준수사항 ) 1. PC에반드시암호를설정해주세요 2. 개인정보파일은암호를설정해서보관하세요 3. 반드시백신을사용하세요 4. 사람관리가개인정보보호의반! 5. 개인정보보호교육실시 6. 모든문은꼭꼭닫아주세요

3 장. 꼭지켜주세요! ( 개인정보준수사항 ) 1. PC 에반드시암호를설정해주세요 2. 개인정보파일은암호를설정해서보관하세요 1234, ㅂㅈㄷㄱ, qwer와같은암호를사용하고있는것은아닌가요? 개인정보에있어가장중요하고, 손쉬운방법은안전한비밀번호를사용하는것입니다. 다양한문자가조합된안전한비밀번호를사용하세요.

파일별암호설정방법은아래그림을참고하세요. 엑셀, 워드등 MS 오피스 2010 : 메뉴 준비 문서암호화엑셀, 워드, 파워포인트에서 [ 파일 정보 통합문서보호 암호설정 ] 순서로파일을암호화한후에파일을저장한다음사용합니다. 주기적인비밀번호변경최소 6개월에 1회갱신하여야합니다. 비밀번호쉽게쉽게만들기!

비슷한특수문자로대체하여넣는다. 노트패드 : 파일압축을이용하여암호설정압축하기 암호파일압축을이용하여암호를설정합니다. A 랑비슷한특수문자 @ 로바꿔보자! eb@ykore@01 Step 4. 사이트의약자를추가해본다. G마켓은비번은 gmkeb@ykore@01 이렇게 ~! 옥션비번 Auceb@ykore@01 은이렇게사용해야겠다!

13 3 장. 꼭지켜주세요! ( 개인정보준수사항 ) 1. PC 에반드시암호를설정해주세요 2. 개인정보파일은암호를설정해서보관하세요 1234, ㅂㅈㄷㄱ, qwer와같은암호를사용하고있는것은아닌가요? 개인정보에있어가장중요하고, 손쉬운방법은안전한비밀번호를사용하는것입니다. 다양한문자가조합된안전한비밀번호를사용하세요. 안전한비밀번호조합영대문자, 영소문자, 특수문자, 숫자등 2 종류이상의조합으로최소 10 자리또는 3종류이상의이상의조합으로 8자리이상구성하여야합니다. 2종류이상조합 : 10자리이상예시 ) ebaykoea02 3종류이상조합 : 8자리이상예시 ) ebayk@02 구매고객의개인정보가기록되어있는파일은반드시암호를설정하여저장해주세요. 파일별암호설정방법은아래그림을참고하세요. 엑셀, 워드등 MS 오피스 2010 : 메뉴 준비 문서암호화엑셀, 워드, 파워포인트에서 [ 파일 정보 통합문서보호 암호설정 ] 순서로파일을암호화한후에파일을저장한다음사용합니다. 주기적인비밀번호변경최소 6개월에 1회갱신하여야합니다. 비밀번호쉽게쉽게만들기! 한글 2007 : 메뉴 파일 문서암호화 ( 최소 6 개월에 1 회갱신하여야합니다.) [ 보안 (R) 암호설정 ] 후저장하여사용합니다. Step 1. 해당사이트의비밀번호기준을확인한다. 내가쓰는비번은 ebaykorea Step 2. 비밀번호바꾸는달을적용해본다. 1 월이니까 01 을넣어볼까? ebaykorea01 Step 3. 비슷한특수문자로대체하여넣는다. 노트패드 : 파일압축을이용하여암호설정압축하기 암호파일압축을이용하여암호를설정합니다. A 로바꿔보자! eb@ykore@01 Step 4. 사이트의약자를추가해본다. G마켓은비번은 gmkeb@ykore@01 이렇게 ~! 옥션비번 Auceb@ykore@01 은이렇게사용해야겠다! 폴더암호설정방법 : 암호걸기프로그램 ( 무료 ) 을다운받아암호걸기와비밀번호를설정 ERS+ 비밀번호변경 ESM+ 또는다른판매툴을이용할때에도 PC와마찬가지입니다. 개인정보를직접처리하고다루는중요한곳인만큼 PC 못지않은철저한비밀번호관리가필요합니다. 비밀번호설정관련참고자료 : 방송통신위원회의개인정보보호포털 ( [ 자료실 ] [ 가이드라인 ] 중 7번 < 개인정보의기술적관리적보호조치기준해설서 > 의 접근통제 항목참조 본화면은예시화면으로다른폴더암호설정프로그램을다운로드하시어이용하셔도무방합니다

3 장. 꼭지켜주세요! ( 개인정보준수사항 ) 3. 반드시백신소프트웨어를사용하세요 4. 사람관리가개인정보보호의반! 악성프로그램설치로인한개인정보유출방지를위하여개인정보가저장된 PC에는반드시백신소프트웨어를설치해야합니다. 이미백신소프트웨어를사용중이라면, 최신버전확인후주기적업데이트를실시합니다.

인적관리에보다많은관심을가져주세요. 권한의최소화개인정보의열람및처리범위를업무상필요한한도내에서최소한으로제한해야합니다. 예를들어포장을담당하는직원에게 CS 업무시이용하는개인정보접속권한이있다면바르지못한사례입니다. 업무별특성에맞도록권한을최소화하여관리하세요. 개인정보를다루는사람은누구?

14 3 장. 꼭지켜주세요! ( 개인정보준수사항 ) 3. 반드시백신소프트웨어를사용하세요 4. 사람관리가개인정보보호의반! 악성프로그램설치로인한개인정보유출방지를위하여개인정보가저장된 PC에는반드시백신소프트웨어를설치해야합니다. 이미백신소프트웨어를사용중이라면, 최신버전확인후주기적업데이트를실시합니다. 마지막으로옵션정보를확인하여업데이트및정기적점검이자동으로진행될수있도록합니다. 백신다운로드방법한국인터넷진흥원의보호나라 ( 를통해무료또는유료로다운받을수있습니다. [ 다운로드 ] 를눌러업무성격에맞는백신소프트웨어다운받으세요. PC 암호설정, 백신사용! 완벽해! 라고생각하고있는건아닌가요? 개인정보는사람이이용하는것! 인적관리에보다많은관심을가져주세요. 권한의최소화개인정보의열람및처리범위를업무상필요한한도내에서최소한으로제한해야합니다. 예를들어포장을담당하는직원에게 CS 업무시이용하는개인정보접속권한이있다면바르지못한사례입니다. 업무별특성에맞도록권한을최소화하여관리하세요. 개인정보를다루는사람은누구? ( 개인정보취급자관리 ) 개인정보를볼수있거나, 이용할수있다면누구나개인정보취급자에해당됩니다. 개인정보취급자는반드시관리되어야하며이를위하여개인정보관리취급대장을만들어변동사항을기재하고, 개인정보취급자가가지고있는권한을관리해야합니다. 보안서약서 는반드시! 개인정보를다루는사람에게는 1 개인정보에대한중요성을안내하고 2 그에대한책임을안내하기위하여, 개인정보를다루는그순간부터반드시 ' 보안서약서 ' 를작성하도록합니다. 단, 백신은여러개를이용할경우오류가발생할수있으니주의하세요

3 장. 꼭지켜주세요! ( 개인정보준수사항 ) 5. 개인정보보호교육실시 6. 모든문은꼭꼭닫아주세요. 정보통신망법시행령제 15조와방통위개인정보기술적 관리적보호조치기준제3조에따라모든사업자는정기적으로 ( 연 2회이상의무 ) 개인정보취급자에게개인정보보호교육을실시하여야하며, 자체교육이불가능한경우에는온라인교육수강등으로대체할수있습니다.

15 3 장. 꼭지켜주세요! ( 개인정보준수사항 ) 5. 개인정보보호교육실시 6. 모든문은꼭꼭닫아주세요. 정보통신망법시행령제 15조와방통위개인정보기술적 관리적보호조치기준제3조에따라모든사업자는정기적으로 ( 연 2회이상의무 ) 개인정보취급자에게개인정보보호교육을실시하여야하며, 자체교육이불가능한경우에는온라인교육수강등으로대체할수있습니다. 교육후에는참석자확인, 수료증등의증적자료를보관하시기바랍니다. 개인정보보호무료온라인교육사이트 안전행정부개인정보보호종합지원포털 ( 방송통신위원회개인정보보호포털 ( 잠깐! 사무실문이활짝열려있는건아닌가요? 열려있는캐비넷은단지선반용도인가요? 개인정보를보관하고있는곳이라면사무실문도, 캐비닛도꼭꼭문을닫고시건장치를달아주세요. 물리적보안방법 - 카드키, 지문인식, 도어락등건물 사무실에외부인출입통제장치를설치하거나없을경우방문자의출입기록을남기세요. - 전산실은사무실출입통제와별도로지문인식장치, 카드키장치, 번호키장치등의추가적인통제장치를마련하세요. - 개인정보가포함된출력물또는 FAX 문서는잠금장치가있는캐비닛등에보관하세요. 한국인터넷진흥원정보보호기술온라인학습장 ( 증적형태 개인정보가있는곳이라면어디든 Lock! 개인정보보호교육참석확인서 이름팀명일자서명 28 29

16 Appendix 부록 1. 개인정보누출통지신고부록 2. 개인정보출력시보호방안부록 3. 개인정보보호자가진단표부록 4. 관련법률안내및처벌안내부록 5. 용어정의

17 Appendix 부록 1. 개인정보누출통지신고 부록 2. 개인정보출력시보호방안 저장해두었던고객개인정보가누출되었어요! 어떻게해야하죠? 판매자는고객의개인정보가분실 도난 누출등침해상황이발생했을때에는지체없이이에대응해야합니다. 우선정보주체인고객에게침해와관련된사실을모두알린뒤, 방송통신위원회에신고해야합니다. 개인정보를표시할때에는최소한의정보로! 개인정보처리시스템에서고객정보를출력할때에는, 용도에따라특정항목만최소한으로제한하여출력해야합니다. 고객의정보를화면이나인쇄물로출력할때에는일부정보를마스킹처리가되도록보호조치를취해주세요. 고객에게개인정보의누출사실을어떻게알려야할까요? 우선고객에게어떠한경로로인해정보가누출되었는지알려야합니다. 또한, 누출이발생한시점과현재대응하고있는상황및조치에대해알려야합니다. 이용자가취할수있는조치와상담등을접수할수있는부서및연락처에대해서도자세히안내해야합니다. 통지는전자우편이나종이우편배송, 모사전송, 전화등의방법을통해이루어질수있습니다. 개인정보마스킹처리예시 성명성명중이름의첫번째글자 [ 예시 : 홍 * 동 ] 주민 ( 외국인 ) 등록번호 생년월일 + 성별정보인최초 7자리를제외한나머지 6자리번호이상 [ 예시 : ****** ] 방송통신위원회에신고는어떻게하나요? 방송통신위원회 ( 또는개인정보보호포털 ( 에접속하여개인정보누출신고서를다운로드받은뒤제출하면됩니다. 정보통신서비스제공자등은누출등의사실을인지한시점에서합리적인이유와근거가없는한즉시신고해야할의무가있습니다. 신고를한후에도추가확인사항은확인되자마자바로신고해야합니다. 전화나팩스, 이메일, 우편접수를통해신고했을경우반드시전화로접수여부에대해확인을해야합니다. 운전면허번호 신용카드번호 계좌번호 지역 ( 서울 / 경기등 ) 과앞 4자리번호를제외한나머지 6자리번호이상 [ 예시 : 경기 **** - ** ] 카드유형 (VISA/MASTER 등 ) 과앞 6자리번호를제외한나머지 10자리번호이상 [ 예시 : ** - **** - **** ] 은행명 ( 국민 / 우리등 ) 과앞 3자리번호를제외한최소 5자리번호이상 [ 예시 : 국민 714 *** - ** ] 방송통신위원회에신고는어떻게하나요? 전화번호또는휴대폰번호의국번 [ 예시 : 010- **** / 02- *** -7433] 주소 읍 / 면 / 동이후의번지정보를 masking IP Address C 클래스의경우는 17~24bit 영역 [ 예시 : ***.100] B 클래스의경우는 9~16bit 영역 [ 예시 : 128. ***.1.100] 혹은 Real IP를숨기고 Vitual IP사용 32 33

개인정보의암호화 정통망법제28조 고객의개인정보를송신하거나보조저장매체에저장하는경우암호화하는가?

20 3 개인정보의이용제한 동법제24조 홈쇼핑등에서제공받은고객정보를배송목적으로만사용하는가? p.

수탁사로의고객정보제공은원칙적으로하지않아야하며, 불가피한경우에만조건적으로가능 p.

18 7 8 개인정보의파기 동법제29조 배송목적이달성되거나별도의보관기간이정해지지않은경우,

18 Appendix 부록 3. 개인정보보호자가진단표 본체크리스트는반드시준수되어야할항목을기재해놓은것으로미준수시관련법령에 따라과징금또는과태료처벌을받을수있으니반드시준수하시기바랍니다. 순번 점검내용관련법률및관련페이지 검사항목 이행여부참고페이지 O O x X 1 2 개인정보의암호화 정통망법제28조 고객의개인정보를송신하거나보조저장매체에저장하는경우암호화하는가? 고객정보가담긴엑셀파일에암호를설정하였는가? p.22~23 p.20 3 개인정보의이용제한 동법제24조 홈쇼핑등에서제공받은고객정보를배송목적으로만사용하는가? p.16 4 개인정보의제공동의등 동법제24조의 2 제휴사또는다른판매자에게고객정보제공시고객에게충분한설명후동의를받았는가? 제 3자에게의고객정보제공은원칙적으로하지않아야하며, 불가피한경우에만조건적으로가능 p.37 5 개인정보의취급위탁 동법제25조 재위탁이꼭필요한경우, 수탁자및위탁항목등모든사항을게시하거나이용자에게통지하였는가? 수탁사로의고객정보제공은원칙적으로하지않아야하며, 불가피한경우에만조건적으로가능 p.18 6 재위탁시수탁자에대한관리감독책임을인지하고있으며, 위탁계약서에그내용을명시하였는가? p 개인정보의파기 동법제29조 배송목적이달성되거나별도의보관기간이정해지지않은경우, 고객정보를안전한방법으로즉시파기하였는가? 목적달성후고객정보를정당하게보존해야하는경우, 해당정보를다른고객정보와분리저장하고있는가? p.21 p.21 9 개인정보처리시스템에대한접근권한을필요한최소인원에게만부여하였는가? p 접근권한최소화 동법제28조 개인정보처리시스템에접속시개별계정을부여하고 ID나 PW를공유또는유출되지않도록하였는가? p 고객정보관리자의변경및퇴사등인사이동시지체없이이를반영하였는가? p.27 35

19 Appendix 부록 4. 관련법률안내및처벌안내 < 정보통신망법 > 개인정보수집 이용목적외이용금지 ( 가이드 16page 참조 ) 순번 점검내용관련법률및관련페이지 검사항목 이행여부 O x 참고페이지 법규 제24조 ( 개인정보의이용제한 ) 정보통신서비스제공자는제22조및제23조제1항단서에따라수집한개인정보를이용자로부터동의받은목적이나제22조제2항각호에서정한목적과다른목적으로 고객정보가저장된 PC 나개인정보 이용하여서는아니된다. 12 처리시스템에대한비밀번호작성규칙을 p.24 수립하고이를이행하고있는가? 처벌 최대 5년이하징역또는 5천만원이하벌금 / 매출액 100분의 1금액이하의과징 13 비밀번호관리 개인정보처리시스템에접속하는취급자의비밀번호를설정하고주기적으로변경하고있는가? p.24 고객정보취급 PC 가영문대 소문자, 개인정보제 3 자제공금지 ( 가이드 18page 참조 ) 14 숫자, 특수문자중 2종류이상을조합하여최소 10자리, 3종류이상을조합하여 8자리이상의비밀번호로설정되어있는가? p.24 제24조의 2 ( 개인정보의제공동의등 ) 1 정보통신서비스제공자는이용자의개인정보를제 3자에게제공하려면제22조제2항제2호및 악성프로그램방지 동법제28조 고객정보가저장된 PC에악성프로그램을방지하는백신프로그램이설치되어있는가? 최신백신프로그램으로업데이트하고월 1회이상주기적으로점검하는가? 개인정보처리시스템에서고객정보출력시용도를특정하여용도에따라출력항목을최소로제한하였는가? p.26 p.26 - 법규 제3호에해당하는경우외에는다음각호의모든사항을이용자에게알리고동의를받아야한다. 다음각호의어느하나의사항이라도변경된경우에도또한같다. 1. 개인정보를제공받는자 2. 개인정보를제공받는자의개인정보이용목적 3. 제공하는개인정보의항목 4. 개인정보를제공받는자의개인정보보유및이용시간 2 제1항에따라정보통신서비스제공자로부터이용자의개인정보를제공받은자는그이용자의동의가있거나다른법률에특별한규정이있는경우외에는개인정보를제 3자에게제공하거나 18 출력물보호조치 고객정보일부를마스킹처리하여출력하고, 안전한장소에보관하는등필요한보호조치를갖추었는가? p.29 제공받은목적외의용도로이용하여서는아니된다. 3 제25조제1항에따른정보통신서비스제공자등은제1항에따른제공에대한동의와제25제 1항에따른개인정보취급위탁에대한 19 배송목적달성후출력된개인정보파일은즉시파쇄또는소각하였는가? p.21 동의를받을때에는제22조에따른개인정보의수집 이용에대한동의와구분하여받아야하고, 이에동의하지아니한다는이유로서비스제공을거부하여서는아니된다. 홈쇼핑등에서제공받은고객정보를개인정보 20 처리하는자에게연 2회이상의교육개인정보보호교육을실행하고있는가? 출처 : 방송통신위원회, <2012 안전한쇼핑및물품배송을위한개인정보보호수칙 > p.28 처벌 최대 5년이하징역또는 5천만원이하벌금 / 매출액 100분의 1금액이하의과징 미동의사실인지후제공받을시, 5년이하징역또는 5천만원이하벌금 36 37

20 Appendix 부록 4. 관련법률안내및처벌안내 개인정보의파기단계 ( 가이드 21page 참조 ) 제25조 ( 개인정보의취급위탁 ) 1 정보통신서비스제공자와그로부터제24조의제1항에따라이용자의개인정보를제공받은자 ( 이하 정보통신서비스제공자등 이라한다 ) 는제 3자에게이용자의개인정보를수집 보관 처리 이용 제공 관리 파기등 ( 이하 취급 이라한다 ) 을할수있도록업무를위탁 ( 이하 개인정보취급위탁 이라한다 ) 하는경우에는다음각호의사항모두를이용자에게알리고동의를받아야한다. 다음각호의어느하나의사항이변경되는경우에도또한같다. 1. 개인정보취급위탁을받는자 ( 이하 수탁자 라한다 ) 2. 개인정보취급위탁을하는업무의내용시간 제29조 ( 개인정보의파기 ) 1 정보통신서비스제공자등은다음각호의어느하나에해당하는경우에는해당개인정보를지체없이파기하여야한다. 다만, 다른법률에따라개인정보를보존하여야하는경우에는그러하지아니하다. 1. 제22조제1항, 제23조제1항단서또는제24조의 2 제1항 제2항에따라동의를받은개인정보의수집 이용목적이나제22조제2항각호에서정한해당목적을달성한경우 2. 제22조제1항, 제23조제1항단서또는제24조의제1항 제2항에따라동의를받은개인정보의보유및이용기간이끝난경우 3. 제22조제2항에따라이용자의동의를받지아니하고수집 이용한경우에는제27조의제2항제3호에따른개인정보의보유및이용기간이끝난경우 4. 사업을폐업하는경우 법규 4 정보통신서비스제공자등은수탁자가이장의규정을위반하지아니하도록관리 감독하여야한다. 법규 처벌 3 천만원이하과태료 최대 5년이하징역또는 5천만원이하벌금 / 매출액 100분의 1금액이하의과징금 위탁사항미고지시, 2천만원이하과태료 처벌 개인정보의기술적 관리적보호조치 ( 가이드 24~27page 참조 ) 개인정보누출통지신고 ( 부록 1. 참조 ) 제28조 ( 개인정보의보호조치 ) 1 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실 도난 누출 변조또는훼손을방지하기위하여대통령령으로정하는기준에따라다음각호의기술적 관리적조치를하여야한다. 1. 개인정보를안전하게취급하기위한내부관리계획의수립 시행 2. 개인정보에대한불법적인접근을차단하기위한침입차단시스템등통제장치의설치 운영 3. 접속기록의위조 변조방지를위한조치 4. 개인정보를안전하게저장 전송할수있는암호화기술등을이용한보안조치 5. 백신소프트웨어의설치 운영등컴퓨터바이러스에의한침해방지조치 6. 그밖에개인정보의안전성확보를위하여필요한보호조치 제27조 ( 개인정보의누출등의통지신고 ) 1 정보통신서비스제공자등은개인정보의분실 도난 누출 ( 이하 누출등 이라한다 ) 사실을안때에는지체없이다음각호의모든사항을해당이용자에게알리고방송통신위원회에신고하여야한다. 다만, 이용자의연락처를알수없는등정당한사유가있는경우에는대통령령으로정하는바에따라통지를갈음하는조치를취할수있다. 1. 누출등이된개인정보항목 2. 누출등이발생한시점 3. 이용자가취할수있는조치 4. 정보통신서비스제공자등의대응조치 5. 이용자가상담등을접수할수있는부서및연락처 법규 법규 2 정보통신서비스제공자등은이용자의개인정보를취급하는자를최소한으로제한하여야한다. 처벌 3 천만원이하과태료 3천만원이하과태료 미조치로인해개인정보침해될시, 2년이하징역또는 1천만원이하벌금 /1억원이하과징금 처벌 38 39

21 Appendix 부록 5. 용어정의 개인정보취급자 정보주체의개인정보취급자는사업자등개인정보처리자의지휘 감독을받아개인정보처리업무를담당하는자를의미합니다. 업무상개인정보를처리하는모든행위가개인정보취급자의역할에포함이됩니다. 개인정보관리책임자 (CPO) 정보주체가제공한개인정보를보호하고관리하는책임을가진자로서, 개인정보의수집ㆍ이용ㆍ제공및관리에관한업무를총괄하는자입니다. 개인정보처리시스템 개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말합니다. 개인정보제 3 자제공 개인정보처리자외의제 3자의이익이나사업목적달성을위하여제 3자에게개인정보를제공하는경우를말합니다. 개인정보위탁 / 위탁사 개인정보처리자의사업목적을달성하기위해제 3자에게개인정보업무를위임한것으로업무를맡긴자가위탁사가됩니다. 개인정보수탁 / 수탁사 위탁하는업무의내용과개인정보처리업무를위탁받아처리하는것으로, 업무를받은자가수탁사가됩니다. 이용자 ( 정보주체 ) 정보주체 란처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람을말합니다

22 가이드의내용중오류를발견하였거나관련부분에의견이있을시에는 또는 발행일 : 2014년 2월초판

24 서울시강남구역삼동 737 번지강남파이낸스센터

개인정보처리방침_성동청소년수련관.hwp

개인정보처리방침_성동청소년수련관.hwp 서울시립성동청소년수련관 개인정보 처리방침 서울시립성동청소년수련관은 개인정보 보호법 제30조에 따라 정보주체의 개인정 보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리지침을 수립 공개합니다. 제1조(개인정보의 처리목적) 1 서울시립성동청소년수련관은 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고