슬라이드 1

Size: px

Start display at page:

Download "슬라이드 1"

현섭 승
5 years ago
Views:

1 개인정보보호실태진단및 정책소개 2013 년 3 월

2 Contents I. II. III. 현황 법시행개요및성과 12 년수준진단및개선사항 IV. 향후계획

3 I. 현황 3

4 불편한진실, 4 가지! 1. 기본적인식 2. 돌다리, 두드리기만 3. 외양간. 언제고치나? 4. 치명적손실

5 불편한진실, 4 가지! 1. 활용 vs. 보호 개인정보 : 개인을식별할수있는일체의정보 ( 성명, 주민번호, 전화번호, 영상등 ) 개인정보보호 (Privacy) : 혼자있을권리 ( 소극적 ) 자기정보결정권 ( 적극적 ) 일반적정보 주민등록번호 이름, 주소 통신 위치정보 통화 문자내역, IP 주소 화상정보, GPS 등의정보 정신적정보 기호, 성향 신념, 사상 가족관계등 사회적정보 교육정보 근로정보 자격정보 재산적정보 신체적정보 개인금융정보 개인신용정보 신체정보 의료 건강정보

6 불편한진실, 4 가지! 1. 활용 vs. 보호 개인정보활용증대 : 정보기술과결합하여공공, 민간서비스확대 온라인정보제공 DB 연계를통한 온 오프라인을통해맞춤형결혼중개결혼중개업 주유고객멤버십 주유마일리지제공정유업주택관리업 홈네트워킹관리 행정효율화등 공공기관 학원, 교습소 온라인수강신청, 수강자관리 인터넷 오프라인연계학습환경영화관 인터넷, 모바일예매 무인발권시스템여행업 전자항공권발권 실시간온라인예약

7 불편한진실, 4 가지! 개인정보보호, 기본적책무 (Going Concern, Trust Issue) - 기관운영의기반인동시에안전한관리 / 보호대상 - 기관 / 기업 ( 개인정보처리자 ) ( 약 350 만개 ) 지금, 우리는? 국민 / 이용자 ( 정보주체 ) ( 약 5,000 만명 )

불편한진실, 4 가지! 2. 돌다리, 두드리기만한다. 기관 / 기업실태조사결과 ( 12.

8 불편한진실, 4 가지! 2. 돌다리, 두드리기만한다. 기관 / 기업실태조사결과 ( 월기준 ) - 법인지도 : 75.5%, 동의절차, 법적필수조치사항인지도 : 71.4% 전담인력 / 조직 : 10.9%, 보안투자 : 26.1% ( 투자전무 : 73.3%) 국회 정부 언론 기관 / 기업 ( 개인정보처리자 ) ( 약 350 만개 ) 시민단체 보안 / 개발업체 국민 / 이용자 ( 정보주체 ) ( 약 5,000 만명 )

9 불편한진실, 4 가지! 2. 돌다리, 두드리기만한다. 규제 / 처벌강화, 그악순환 감지된편익 감지된 비용 넓게 분산 넓게분산 Majoritarian Politics 좁게집중 Client Politics 경제적규제 ( 죄수의딜레마 ) 규제지속강화 부담증가 좁게 집중 Entrepreneurial Politics 사회적규제 ( 엄격, 절차규정 ) 위기, 재난, 사회적책임 Interest-group Politics

10 불편한진실, 4 가지! 3. 소잃고도외양간안고친다. 12 년실태점검 / 처벌사례 : 총 47 회 756 개소점검, 과태료 57 건, 시정조치 360 건등 조사및점검 - 기획점검 : 취약분야, 위험업종대상중심실시, 제도개선병행 ( 정기 ) - 특별점검 : 침해사고, 유출신고등사고원인조사및책임규명 ( 수시 ) < 개인정보보호합동점검단 > 현황조사분석모니터링침해사고, 민원 업종별개인정보처리현황 개인정보관리실태 개인정보제공 / 활용현황 개인정보유 / 노출현황 온라인점검 ( 원격진단 / 취약점분석 ) 개인정보침해신고, 민원 분쟁조정신청 사고발생, 언론보도등 KISA, NIA, 러서치등 관계부처 / 기관연계 경찰, KISA 등 10

11 불편한진실, 4 가지! 4. 치명적인손해 개인정보유츨피해자 : 집단분쟁, 집단소송제기 C 게임사 B 은행 44명피해 1인당10만원배상판결 A 회사 1,026 명피해 1 인당 20 만원배상판결 3,500 만명피해 1 인당 20 만원배상판결 D 오픈마켓 E 쇼핑몰 F 정유사 G 통신사 유출피해자 1,800만명 2,000만명 1,125만명 600백만명 배상금액 1 차판결항소 소송진행중 소송진행중 소송진행중

12 개인정보침해로인한피해 손해배상금지급 개인정보유출 정보주체의배상소송 소송비용발생 기관이미지하락 고객이탈 잠재고객외면 매출감소 가치하락 신뢰저하 경쟁사의비방대상

13 불편한진실, 4 가지! 4. 치명적인손해 SK 컴즈사례분석 : Multiple Principle 구분서울중앙지법서울서부지법 접근통제 ( 법제 28 조제 2 호, 고시제 3 조 ) o 접근통제보호조치준수 o 접근통제보호조치위반 -개인정보대량유출실시간모니터링조치는접근통제 -침입탐지시스템(DLP솔루션포함 ) 의경고발생기준이지나치게완화되어설정보호조치에불포함 10G 용량의개인정보 text 파일이새벽에 FTP 원격접속으로 -SK컴즈는 F/W, IDS를운영하고있고, 해킹방지기술외부전송되는것을미탐지한계등을고려할때유출징후감지실패는법위반아님 - DB 원격접속시자동로그아웃시간및접속가능최대시간미설정 암호화 ( 법제28조제4호, 고시제6조 ) 공개용알집프로그램사용 o 암호화보호조치준수 - 비밀번호일방향암호화등이행 o 개인정보유출과인과관계없음 -해커가공개용알집파일과동일한명칭의악성코드 (ALAD.dll) 를생성하고알집업데이트서버를이용해 SK 컴즈직원 PC에악성코드를심었으나, 공개용알집자체에악성코드가포함된것은아님 o 암호화보호조치위반 -비밀번호일방향암호화시보안강도가낮아권고되지않는알고리즘 (MD5) 사용 o 개인정보유출과인과관계있음 -악성코드(ALAD.dll) 는기업용알집에서발견된바없고, 공개용알집은알집서버와상호통신이이루어지는등보안상취약점큼 기타 o (FTP 관련쟁점없음 ) o 최소수집, 주민번호수집금지, 망분리위반등은불인정 o FTP 를 gateway 및 PC 에서미제거

14 II. 법시행개요및성과 14

15 1. 개인정보보호법제정및시행 ( 11. 9~)

16 < 참고 1> 국가별개인정보보호법제 13. 1, 개인정보보호패키지개혁안추진 (Regulation 신설 / 엄격화 )

2. 개인정보보호법주요내용 수집이용및제공제한 정보주체동의원칙 ( 예외 : 법령, 급박등 ) - 민감 / 고유식별번호, 별도동의방식 명확한고지 ( 항목 / 방식구체적명시 ) - 선택정보미동의가능, 별도고지 필요최소성, 목적명확성원칙 저장관리시의무사항 관리 / 기술 / 물리적안전성확보조치 - 개인정보처리방침, 책임자지정등

17 2. 개인정보보호법주요내용 수집이용및제공제한 정보주체동의원칙 ( 예외 : 법령, 급박등 ) - 민감 / 고유식별번호, 별도동의방식 명확한고지 ( 항목 / 방식구체적명시 ) - 선택정보미동의가능, 별도고지 필요최소성, 목적명확성원칙 저장관리시의무사항 관리 / 기술 / 물리적안전성확보조치 - 개인정보처리방침, 책임자지정등 처리위탁및양도시제한사항 - 별도문서조치, 관리감독및공개등 개인정보파기조치 ( 영향평가등 ) CCTV 설치목적제한 - 안내판설치, 임의조작및녹음금지 개인영상물안전관리및제공제한 - 보호조치, 목적외이용 / 제공금지 ( 예외 ) CCTV 설치운영제한 개인정보열람, 정정삭제, 처리정지요구유출통지 (5일이내) 및신고제 (1만명이상 ) 집단분쟁조정및단체소송 권리구제및보장

18 3. 12 년주요정책성과 법시행후속조치 범정부대책마련 추진 침해예방및실태검사 관계법령일괄정비 - 개별법령에주민번호및민감정보수집근거마련 27 개부처 229 개대통령령개정 개인정보보호가이드라인마련 배포 CCTV(3 월 ), 인사 노무 (7 월 ), 쇼핑및배송 (8 월 ), 소상공인보호조치 (8 월 ), 학원 교습소 (9 월 ), 의료 (9 월 ), 암호화조치 (10 월 ) 주민번호수집 이용 최소화종합대책 마련 - 행안부 방통위 금융위합동, 국가정책조정회의보고 주민번호수집서식개정 - 주민번호삭제또는주민번호를생년월일로대체 민원행정서식 848 건개선, 민간서식 163 종발굴 홈페이지개인정보노출사전모니터링 (10 만개사이트 ) 취약분야집중점검및 행정처분실시 - 은행 보험 택배 CCTV 등 개인정보보호합동점검단 구성및운영 - 경찰 금융위 방통위 교과부 복지부등 14 명 - 합동점검 예방관제 기술지원

19 3. 12 년주요정책성과 체계적교육 홍보순회교육및대국민계도 - 공공민간교육 (21회), 컨퍼런스 - TV 공익광고, 극장광고등홍보활동 취약분야현장지원지역현장방문단운영 - 전국 (230 개시군구 ) 1만 3천개사업자대상 CCTV 안내판설치등지원 - 전국 50개주요지역 10,238 개사업자 방문, 개인정보필수조치사항안내 개인정보보호범국민운동본부 출범 운영 민간단체, 전문기관, 학회등으로이루어진민간자율규제기구 - 대학생개인정보보호지원단 운영 - 추석맞이소비자개인정보보호캠페인 소상공인 중소사업자지원 - 보안프로그램지원 백신무상보급 (4,488 개 ), 보안솔루션지원 (617 개 ) - 진단및컨설팅 웹취약점진단 (518 건 ), 컨설팅 (425 건 )

< 참고 1> 대상별정책대응 공공기관 (2 만 5 천개 ) 법적의무이행 기관자체개선 1 권역별순회및기관자체교육 2 기관별자율수준진단실시 ( 중앙, 지자체, 지방공기업등 ) 3 교육, 의료등분야별 T/F 운영 ( 지침마련 ) 대 중견기업 (3 만 5 천개 ) 인식전환및교육 자율규제및개선 1 순회교육및간담회 2 컨퍼런스및전문교육지원 3

20 < 참고 1> 대상별정책대응 공공기관 (2 만 5 천개 ) 법적의무이행 기관자체개선 1 권역별순회및기관자체교육 2 기관별자율수준진단실시 ( 중앙, 지자체, 지방공기업등 ) 3 교육, 의료등분야별 T/F 운영 ( 지침마련 ) 대 중견기업 (3 만 5 천개 ) 인식전환및교육 자율규제및개선 1 순회교육및간담회 2 컨퍼런스및전문교육지원 3 법위반사항에대한행정처분및시정개선 중소업체 소상공인 (317 만개 ) 준계도활동 1 유형별맞춤형지원 (ASP, 본점, 프랜차이즈등 ) 2 현장방문지원단운영및컨설팅 ( 시 군 구 ) 3 대학생개인정보보호지원단운영및지원 단체 협회 (27 만개 ) 자율규제및개선 1 사업자단체 협회순회교육및지원 2 범국민운동본부운영및자율규약 (MOU) 3 업종별사례집배포 자문 일반국민 : 파급력이큰매체활용한홍보 교육 (TV 공익광고, 극장광고, 포털등 )

21 < 참고 2> 인식확산및개선 (2012 년말기준 ) 추진실적 주요성과 침해상담신고 개인정보보호자가진단 유권해석질의 자율규제 MOU 체결 96,000 건 22,193 건 1,734 건 7 건 64,000 건 1,469 건 412 건 0 건

22 < 참고 3> 실태개선및지원 (2012 년말기준 ) 추진실적 주요성과 웹사이트개인정보노출건수 I-PIN 보급현황 ( 웹사이트 ) CCTV 안내판설치 개인정보암호화 ( 중앙부처 지자체 ) 0.7% 7,108 개 12,100 개 72.7% 0.05% 23% 99%

23 III. 12 년관리수준진단

24 1. 수준진단개요 개인정보보호관리체계, 보호대책, 침해대책등관리수준진단및적극적인개선유도 - 12 년진단대상 : 중앙부처 (43), 지방자치단체 (16), 지방공기업 (129) 등 188 개기관 진단절차및방법 법규, 지침등에대한준수상태를자율적으로점검 12 개진단항목별실적과증빙자료온라인등록 실적과증빙자료 검증및평가 기관별진단결과통보및조정 법위반에따른감점기준적용 진단결과및개선조치요구서통보 기관별자율적인개선조치및지원 (KISA)

25 2. 12 년수준진단결과 중앙부처, 시도는양호한편이나지방공기업은개선필요 - 평균 : 중앙부처 (94.66), 시도 (93.90), 지방공기업 (86.83) 조직 예산등관리체계구축은양호, 위탁관리및시스템접근기록관리등침해예방 관리활동은개선필요 지표별진단결과 전담조직및인력구성 관리체계구축 개인정보보호를위한예산확보위탁업무에따른관리감독 개인정보보호교육 개인정보보호책임자역할수행 보호대책수립및시행 개인정보수집이용최소화이행개인정보파일관리영향평가계획수립및결과관리 개인정보처리방침수립및공개 침해사고대책 개인정보노출방지및자율개선침해사고대응절차수립전파개인정보처리시스템접근기록관리

26 3. 중점개선필요사항 < 위탁업무관리 > 개인정보처리업무를위탁하는경우, 처리에관한사항을문서화 ( 계약서등 ) 수탁자 ( 수탁업체 ) 교육및관리, 감독강화 위탁업무문서화 수탁자교육및관리, 감독 위탁계약목적 위탁업무목적및범위 재위탁제한 개인정보가분실, 도난, 유출, 변조또는훼손되지않도록 정기적으로수탁자를교육 안전성확보조치 ( 기술적, 관리적보호조치 ) 처리금지 관리현황점검등감독손해배상 표준개인정보처리위탁계약서 ( 안 ) 은개인정보보호종합지원포털 (privacy.go.kr) 의자료실에서확인 수탁자가개인정보를안전하게처리하는지를정기적으로감독 - 개인정보처리현황및실태, 목적외이용및제공, 재위탁여부, 안전성확보조치여부등

3. 중점개선필요사항 < 개인정보처리시스템관리 > 안전성확보조치및관리를위한접근권한관리, 접속기록정기점검등수행 접근권한및접속기록 접근권한관리 접속기록관리 책임자 : 전체권한부여예 ) 읽기, 쓰기, 변경차등부여 취급자 : 업무목적에따라최소한의범위로부여예 ) 읽기 정기점검, 후속조치 사용자별수행한명령기록 사용자의접속상태 사용자들의정보 ( 로그인, 로그아웃,

27 3. 중점개선필요사항 < 개인정보처리시스템관리 > 안전성확보조치및관리를위한접근권한관리, 접속기록정기점검등수행 접근권한및접속기록 접근권한관리 접속기록관리 책임자 : 전체권한부여예 ) 읽기, 쓰기, 변경차등부여 취급자 : 업무목적에따라최소한의범위로부여예 ) 읽기 정기점검, 후속조치 사용자별수행한명령기록 사용자의접속상태 사용자들의정보 ( 로그인, 로그아웃, 재부팅 ) 등점검 불법적인접근방지를위한 전보, 퇴직등인사이동시 해당계정을변경및말소 권한삭제 대책마련등후속조치이행 접속 ID, 날짜및시간, 접근권한부여, 변경, 말소에 대한내역기록및보관 (3 년 ) 이력관리 기록관리 IP 주소, 수행업무등을 저장 (6 개월이상 ) 정기적으로백업을수행 개인정보침해대응절차 ( 업무처리및대응, 피해구제, 비상연락망등 ) 직원전파및교육강화

28 3. 중점개선필요사항 < 개인정보파일관리 > 개인정보파일을운영하는경우, 개인정보파일을누락없이등록 -기관별로누락된파일추가등록, 보유기간등등록항목보완이필요 ( 즉시조치 ) 개인정보파일등록 개인정보취급자 개인정보보호책임자 행정안전부 개인정보파일운영 개인정보파일 1 등록 / 변경내용검토 개인정보파일 개인정보보호종합지원 등록신청 2 적정성판단 등록신청 시스템 (intra.privacy.go.kr) ( 등록내용 ) 개인정보파일명칭, 운영근거및목적, 개인정보항목, 처리방법, 보유기간, 정보주체의수등 * 주의사항 : 개인정보파일을과다하게운영하지않으며, 누락되지않도록주의 보유기간은보유목적에부합된최소기간으로산정 1 개별법령의규정에명시된자료의보존기간에따라산정 2 개인정보보호책임자의협의를거쳐기관장의결재를통하여산정

1. 개요 총 501 개소점검, 412 개소 816 건처분 (12.1 ~ 12) 처분기관처분건수과태료시정조치개선권고 412 816(100%) 67(8.

8%) - 기획점검 : 자료를분석하여침해우려가큰업종으로대상선정, 취약점위주점검 - 특별점검 : 침해신고및민원접수, 언론보도된기관등을대상으로점검 <

29 1. 개요 총 501 개소점검, 412 개소 816 건처분 (12.1 ~ 12) 처분기관처분건수과태료시정조치개선권고 (100%) 67(8.2%) 359(44.0%) 390(47.8%) - 기획점검 : 자료를분석하여침해우려가큰업종으로대상선정, 취약점위주점검 - 특별점검 : 침해신고및민원접수, 언론보도된기관등을대상으로점검 < 업종별위반기관수및실태점검시위반비율 > 구분 금융업 학원 협회 / 연맹 공공기관 유통업 의료업 기타 전체 점검기관 위반기관 위반비율 90.7% 76.9% 71.4% 77.5% 76.2% 65.5% 88.2% 82.2%

30 < 참고 > 12 년현장점검결과 법조항별위반사항 제25조 ( 영상정보처리기기 ) : 은행권및대중교통시설의 CCTV 기획점검제15조 ( 개인정보수집 이용제한 ) : 전업종공통위반사항제29조 ( 안전조치의무 ) : 대부분기술적보호조치위반제26조 ( 업무위탁에따른제한 ) : 위탁행위, 관계에대한이해부족제30조 ( 개인정보처리방침의수립 공개 ) : 기초적, 경미한사항위반 32% 13% 14% 27% 14% 제25조 ( 영상정보처리기기의설치 운영제한 ) 제15조 ( 개인정보의수집 이용 ) 제29조 ( 안전조치의무 ) 제30조 ( 개인정보처리방침의수립및공개 ) 기타

31 4. 우수사례 위탁업무 위탁업무의유형및특성에따라관리 / 감독계획을수립 ( 구미시설공단 ) 수탁자대상실태관리점검표를개발하여매월점검 ( 중소기업청 ) 관리 / 감독계획및점검 기술적보호조치 (6개분야 50개점검항목 ) 관리적보호조치 (10개분야 42개점검항목 ) 위탁업무형태, 수탁자선정시고려사항, 위 / 수탁계약체결시주의사항, 수탁자에대한교육, 정기점검 ( 목적및방법론 ) 등

32 4. 우수사례 개인정보보호책임자역할수행 개인정보보호책임자가관리실태자체점검계획을수립하여점검을실시하고부서별 미흡사항에대한개선조치를점검 ( 울산광역시도시공사 ) 자체점검및개선조치

33 4. 우수사례 수집및이용최소화 소관법령개정수요조사를통해수집서식개선등적극수행 ( 지식경제부 ) 병적번호사용등주민번호사용최소화노력이행 ( 병무청 ) 주민번호보유근거가없는민원업무를파악하여시스템개선 ( 광주광역시 ) 법률개정관리체계개선시스템개선 시행령 (3) - 고유식별정보수집등근거마련 시행규칙 (15) 서식변경 ( 생년월일 ) 주민번호대신 OO 번호관리체계 구축 ( 업무화면및명부에서 주민번호사용금지 ) 주민번호를생년월일로 대체하도록민원처리 시스템개선

34 4. 우수사례 개인정보파일관리 파일별보유기간검토 산정등등록항목적정성유지 ( 대구도시철도공사 ) 본부및소속 산하기관의파일까지체계적으로점검 관리 ( 행정안전부 ) * 외부전문가를활용하여개인정보파일, CCTV 관리현황을점검하고노출모니터링실시 등록내용검토 파일관리 소속 / 산하기관의개인 정보파일을직접관리 파일운영및보유기간 산정근거를명확하게기술 파일보유현황점검및 최신현황유지 ( 매월 )

4. 우수사례 노출방지및자율개선 개인정보보호시스템을구축하고피싱사이트차단, 침입차단,

웹방화벽, 스팸메일차단시스템 유출방지 : 보안 USB관리시스템, 디지털콘텐츠권한관리

35 4. 우수사례 노출방지및자율개선 개인정보보호시스템을구축하고피싱사이트차단, 침입차단, 노출모니터링등을적극 수행 ( 서울시도시철도공사 ) 피싱사이트차단 모의해킹실시후, 원인분석및대응책마련 패킷분석후공격자의 IP강제종료처리등 시스템운영및모니터링 PC 보안 : 바이러스백신 네트워크보안 : 침입방지시스템 (IPS), 방화벽 (F/W), 웹방화벽, 스팸메일차단시스템 유출방지 : 보안 USB관리시스템, 디지털콘텐츠권한관리 (DRM), 개인정보필터링시스템 서버보안 : SSL보안인증서, 서버접근제어툴, 서버취약점진단툴등

36 4. 우수사례 침해사고대응절차 신속하고체계적인침해사고대응을위해 개인정보침해사고대응지침서 마련및소속 / 산하기관, 전직원에배포 ( 보건복지부 ) 침해사고대응지침 적용범위및대상 개인정보침해업무처리절차 침해유형및신고 담당자별업무 부내업무처리프로세스 소속 / 산하기관업무처리절차 피해구제방법 부서별처리사항등

37 4. 우수사례 접근기록감사 개인정보접근기록을상시모니터링하고의심사항을즉시확인 ( 보건복지부 ) 접속기록분석을통해불필요한퇴사자계정 (13), 원격접속계정 (6) 등삭제 ( 중소기업청 ) 상시모니터링 접속기록분석 접근경로분석 작업내용분석 상시모니터링결과소명처리절차 - 1의심사례검출, 2소명요청, 3소명등록, 4소명내용심층분석, 5소명판정, 6문서시행, 7위반의심자조치, 8조치결과확인 사용자별접속수 일평균접속자수

38 IV. 향후계획

39 1. 단계별추진전략

2. 13 년주요업무계획 민관협업의보호수준향상 주요업종계약서 / 서식일괄정비 - 과다, 불필요수집및무단제공관행근절 인증마크제도입추진 - 업종별자율점검및개선유도 법제도개선및보호강화 개인정보보호법개정 - 주민번호수집법정주의, 과징금제도신설 - 유출기업 CEO 및임원징계권고제도입

40 2. 13 년주요업무계획 민관협업의보호수준향상 주요업종계약서 / 서식일괄정비 - 과다, 불필요수집및무단제공관행근절 인증마크제도입추진 - 업종별자율점검및개선유도 법제도개선및보호강화 개인정보보호법개정 - 주민번호수집법정주의, 과징금제도신설 - 유출기업 CEO 및임원징계권고제도입 빅데이터시대개인정보보호대책마련 - 데이터공유 / 개방및보호조치조화등 취약업종, 반복노출기관점검강화 - 민감정보다량보유업종, 회원유치과열업종반복다량노출업종, 반복민원 / 신고발생업종 행정처분확행및관계기관협력강화 합동점검및실태개선 창업자대상, 개인정보조치지원강화주민번호대체수단도입 / 전환기술지원 지역거점지원센터 설치및운영 기술지원및교육

41 < 참고 > 개인정보보호합동점검단 구성및주요기능 관계부처간유기적인협조를통해개인정보침해사고에효과적으로대응하기위한 개인정보보호합동점검단 을구성 운영 근거 : 국무총리훈령제593호구성 : 총 14명 ( 행안부, 방통위, 경찰청, 금융위, 교과부, 복지부, 전문기관 ) 운영 : 행정안전부에설치, ~ 까지운영기능 : 통신 금융 의료등주요분야합동점검, 예방관제및기술지원 단장 팀장 예방관제반 (3) 조사점검반 (7) 기술지원반 (3) 침해모니터링및상황관리 침해사고분석및전파 관계기관 단체와의협력 실태점검및합동조사 제도개선대책마련 침해신고합동대응 복구지원 피해확산방지 기술지원상담및안내

투자소양및관리역량확보 - 개인정보처리현황, 관리실태이해 관리감독 (Risk

시스템운영관리자 기술적보호조치및이행관리 - 접근권한 / 인적보안, 접속기록감사

42 3. 역할과자세 ( 개인정보보호, ) 개인정보보호책임자 정책수립및체계정립 - 보호계획 / 방침, 전담조직 / 투자소양및관리역량확보 - 개인정보처리현황, 관리실태이해 관리감독 (Risk Mgt) - 내부통제시스템및정기감사 Steering Supporting 시스템운영관리자 기술적보호조치및이행관리 - 접근권한 / 인적보안, 접속기록감사 Communication 역량강화 - 보안투자, 개선조치사항개인정보생명주기별관리 / 지원 - 업무 + IT, 전사적시계 Compliance 개인정보취급자 인식및관행변화 - 업무처리절차 / 방식개선, 교육민원처리및피해구제 - Double/Cross Check, Reporting

43 4. 필수조치사항 < 안전성확보조치 > ` 관리적조치 : 내부관리계획수립, 접근권한관리및정기적인관리감독등조치기술적조치 : 접근통제시스템설치 운영, 고유식별정보 / 비밀번호등암호화, 접속기록보관, 보안프로그램설치 운영등조치물리적조치 : 안전한보관시설설치 운영, 잠금장치설치등조치 < 수집시고지사항 > 개인정보수집 이용목적, 수집항목, 보유 이용기간, 동의거부권, 불이익사항등필수사항고지 < 고유식별정보수집 > 고유식별정보 ( 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 ) 수집 / 처리시 다른개인정보수집과는별도동의 < 개인정보처리방침수립 > 개인정보처리방침수립시처리목적및보유기간, 제공및위탁, 권리 의무및그행사방법, 처리하는개인정보의항목, 파기등법령상내용을누락없이모두포함개인정보처리위탁이있을경우위탁내용, 수탁업체명과연락처등을포함

4. 필수조치사항 < 개인정보처리위탁 > 위탁하는업무의내용과수탁자를개인정보처리방침등을통해공개개인정보위탁처리시조치사항의내용을문서 ( 계약서 ) 에포함 조치사항 : 목적외개인정보처리금지, 기술적 관리적보호조치, 위탁업무의목적및범위, 재위탁제한, 안전성확보조치, 관리감독, 손해배상등책임 수탁회사에대한정기적인교육및실태점검실시 < 파일관리및파기 >

44 4. 필수조치사항 < 개인정보처리위탁 > 위탁하는업무의내용과수탁자를개인정보처리방침등을통해공개개인정보위탁처리시조치사항의내용을문서 ( 계약서 ) 에포함 조치사항 : 목적외개인정보처리금지, 기술적 관리적보호조치, 위탁업무의목적및범위, 재위탁제한, 안전성확보조치, 관리감독, 손해배상등책임 수탁회사에대한정기적인교육및실태점검실시 < 파일관리및파기 > 개인정보를별도보관시, 개인정보처리시스템과동일한시스템이아닌별도의하드디스크나보조기억장치에보관 수집목적달성및보유기간의경과시지체없이 (5 일이내 ) 파기 < CCTV 설치및운영 > 공개된장소에 CCTV를설치 운영할경우에는안내판설치안내판에는설치목적과장소등을누락없이기재하고, 쉽게알아볼수있는곳에부착 CCTV를위탁관리하는경우에는안내판에수탁업체명과연락처를추가적으로기재

45 참고자료 : 개인정보보호종합지원포털 : 자료실 )

<4D F736F F F696E74202D20BEC8C0FCC7E0C1A4BACE5FC7D1BCF8B1E2B0FAC0E55FB0B3C0CEC1A4BAB8BDC7C5C2C1A1B0CBBBE7B7CA5FB9D75FB0B3BCB1BBE7C7D F5FC6F7B7B329BCDBBACEBFEB5F E >

<4D F736F F F696E74202D20BEC8C0FCC7E0C1A4BACE5FC7D1BCF8B1E2B0FAC0E55FB0B3C0CEC1A4BAB8BDC7C5C2C1A1B0CBBBE7B7CA5FB9D75FB0B3BCB1BBE7C7D F5FC6F7B7B329BCDBBACEBFEB5F E > 개인정보보호현장점검사례 및향후중점사업 2013 년 4 월 Contents ts I. II. 개요 12 년현장점검사례 III. 진단및시사점 IV. 향후중점사업 I. 개요 3 1. 그간의주요추진업무 ( 11. 9~ ) 취약분야현장지원 관계법령일괄정비, 하위법령 / 지침마련 * 229 개시행령일괄정비, 7 종가이드라인배포 범정부기본계획및연도별시행계획수립 * 46