슬라이드 1

Transcription

1 2016 년 3 월 29 일 담당강사 : 이두희이메일 : [email protected] 블로그 : blog.daum.net/eclick21c

2 일기사 일기사

3 개인정보침해민원신고추이 개인정보침해규모 개인정보보호법개정안공포 ( ) ( 주민번호수집원칙적금지 시행 ) 개인정보보호법공포 ( ), 시행 ( ) 166,801 건 177,736 건 158, ,215 건 건 18,206 건 25,965 건 23,333 건 39,811 건 54,832 건 35,167 건 개인정보침해민원의지속적증가 2005 년 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 2013 년 2014 년 출처 : 개인정보침해신고센터

4

5 발생일 발생기관 피해규모 사고원인 08.2 옥션 1,800만명해킹 08.4 하나로텔레콤 600만명텔레마케팅업체에제공 08.9 GS칼텍스 1,150만명자회사직원유출 10.3 신세계몰등 2,000만건해킹 11.4 현대캐피탈 175만건해킹및내부관리소홀 11.5 세티존 140만명홈페이지해킹 11.7 SK컴즈 3,560만명해킹 ( 관리자 ID/PW 탈취 ) 11.8 삼성카드 47만건자사직원이유출 넥슨 1,320만건해킹 12.5 EBS 422만건해킹 12.7 KT 873만건해킹 연예기획사 413만건구글링 13.2 코웨이 198만건자사직원이유출 13.6 청와대 10만건해킹 14.1 신용카드사 10,400만건시스템개발업체직원 14.2 의사협회등 1,700만건해킹 14.3 KT 982만건해킹 14.3 통신 3사 1,230만건해킹 ( 추정 )

6

7

8 개인 개인정보유출등정신적피해, 보이스피싱등에의한금전적손해, 유괴등각종범죄에노출우려 기업 개인정보는기업의자산그자체, 개인정보유출시기업이미지실추, 집단손해배상등으로기업경영타격 국가 정부및공공행정신뢰성하락, 국가브랜드가치하락, 프라이버시라운드 (Privacy Round) 대두에따른산업전반수출애로 개인정보보호는국가 사회안전및기업발전의필수요소

9

10

11

12

13

14

15

16

17 구분현행개정안 주민번호수집. 이용 과징금제도 정보주체의별도동의 법령에구체적으로근거가있는경우수집. 이용 없음 ( 과태료, 형사벌, 안전성조치미비와유출사고간명확한인과관계요구 ) 법령에구체적인근거가있는경우 ( 주민번호수집법정주의 ) 정보주체나제 3 자의급박한생명, 신체, 재산상이익을위해명백히필요한경우 안전행정부령으로정하는경우만수집, 이용 정보주체의동의에의한수집금지 위반시 3 천만원이하과태료 기수집된주민번호는법령에구체적인근거가없는경우법시행후 2 년이내파기 (~ 까지 ) 주민번호유출시 5 억원이하의과징금부과 단, 안전성확보조치를모두이행한경우는제외 ( 과징금제도추가, 관련인과관계유무관계없이부과 ) CEO 징계권고 개인정보법규위반시책임있는자를징계할것을그소속기관, 단체등의장에게권고 책임있는자에해당기관대표자및책임있는임원이포함된다는것을명확화 시행 공포 공포, 시행 온라인사업자의주민번호수집이용금지 ( 정통망법 ) : 시행

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57 1. 수집이용 2. 업무위탁관련 3. 개인정보파기 4. 안전조치의무 5. 기타사항

58 최근 3 년동안공무원 257 명이개인정보불법열람으로적발 이중 28 명은해고됨

59 개인정보의수집이용제공등 제15조 ( 개인정보의수집 이용동의 ) 제16조 ( 최소수집및서비스제공거부 ) 제17조 ( 개인정보의제공 ) 1. 온 오프라인회입가입시동의여부 2. 각종게시판, 기타개인정보수집시동의여부 3. 정보주체동의시필수고지항목 (4개*) 고지여부 4. 필수고지항목 (4개*) 내용의적정여부 * 4개 : 목적, 항목, 보유및이용기간, 거부권및불이익 5. 목적에필요한최소한의개인정보수집여부 6. 최소한정보외의개인정보수집에대한미동의를이유로재화또는서비스제공거부여부 7. 제3자에게개인정보제공시정보주체동의여부 8. 정보주체동의시필수고지항목 (5개*) 고지여부 9. 필수고지항목 (5개*) 내용의적정여부 * 5개 : 제공받는자, 목적, 항목, 보유및이용기간, 거부권및불이익 개인정보보호실태점검지침 ( 개인정보보호종합지원포털 >> 교육자료 )

60 개인정보의수집이용제공등 제18조 ( 개인정보의이용 제공제한 ) 제21조 ( 개인정보의파기 ) 제22조 ( 동의를받는방법 ) 10. 개인정보수집당시정보주체의이용 제공동의범위를초과하여이용 제공여부 11. 개인정보제공시제공목적범위내이용, 안전조치실시, 목적달성후파기등요청여부 12. 동의에의한목적외이용, 목적외제3자제공시필수고지항목 (5개*) 고지여부 13. 필수고지항목 (5개*) 내용의적정여부 * 5개 : 제공받는자, 목적, 항목, 보유및이용기간, 거부권및불이익 14. 보유기간경과, 치리목적 ( 제공받은경우제공받은목적 ) 달성후지체없이개인정보파기여부 15. 개인정보파기시복구또는재생되지않도록조치여부 16. 임시파일및출력자료등에대한즉시파기여부 17. 법령에따라보존할경우별도분리보관여부 18. 최소개인정보와그외의개인정보구분동의여부 19. 동의가필요한정보 ( 필수정보 ) 와동의없이처리할수있는정보 ( 선택정보 ) 의구분동의여부 20. 홍보권유에활용하기위한정보와그렇지않은정보의구분동의여부 21. 선택항목및홍보권유정보의미동의를이유로재화또는서비스제공거부여부

61 개인정보처리제한 제23조 ( 민감정보의처리제한 ) 제24조 ( 고유식별정보의처리제한 ) 제26조 ( 업무위탁에따른처리제한 ) 제28조 ( 개인정보취급자에대한감독 ) 22. 사상, 정치, 건강등민감정보의동의에의한수집및제공시구분동의여부 23. 정보주체동의시필수고지항목 ( 수집 4개, 제공 5개 ) 고지여부 24. 필수고지항목 (4개또는 5개 ) 내용의적정여부 25. 고유식별정보 * 의동의에의한수집및제공시구분동의여부 * 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 26. 주민등록번호외회원가입방법제공여부 27. 위탁계약시문서 ( 계약서 ) 에의한계약여부 28. 문서 ( 계약서 ) 에필수반영사항 (6개*) 포함여부 * 6개 : 목적외처리금지, 기술 관리적보호조치, 목적 범위, 재위탁제한, 접근제한등안전조치, 관리 감독사항 29. 수탁자에대한교육실시여부 30. 처리현황점검등수탁자관리 감독여부 31. 개인정보취급자에대한관리 감독 ( 접근권한관리, 통제등포함 ) 여부 32. 개인정보취급자에대한보안서약서징구여부 33. 개인정보취급자에대한정기적인교육실시여부

62 제29조 ( 안전조치의무 ) 내부관리계획수립 시행접근권한관리및접근통제 34. 내부관리계획수립 시행여부 35. 내부관리계획의필수반영사항 (4개 * ) 포함여부 * 4개 : 보호책임자지정, 보호책임자 / 취급자의역할 책임, 안전성확보조치, 취급자교육 36. 시스템에대한접근권한을필요최소한의범위로업무담당자에따라차등부여여부 37. 전보 퇴직등인사이동으로취급자가변경될경우접근권한변경또는말소여부 38. 접근권한의부여 변경 말소내역의기록관리및최소 3년간보관여부 39. 취급자별로개별계정발급여부 40. 안전한비밀번호작성규칙의수립 적용여부 41. 불법적접근및침해사고방지를위한시스템설치 운영여부 42. 외부에서정보통신망을통한접속시가상사설망, 전용선등안전한접속수단제공여부 43. P2P, 웹하드등비인가프로그램, 공유설정등에대한접속차단실시여부 44. 인터넷홈페이지의개인정보노출방지를위한보안조치실시여부

63 제29조 ( 안전조치의무 ) 개인정보의암호화접속기록의보관보안프로그램설치 운영물리적접근방지 45. 개인정보암호화계획수립 시행여부 46. 비밀번호의외부송 수신시암호화조치여부 47. 비밀번호의내부저장시일방향암호화조치여부 48. 바이오정보의외부송 수신시암호화조치여부 49. 바이오정보의내부저장시암호화조치여부 50. 고유식별정보의외부송 수신시암호화조치여부 51. 고유식별정보의인터넷과내부망의중간지점 (DMZ) 저장시암호화조치여부 52. 고유식별정보의내부저장시암호화조치또는그에상응하는조치적용여부 53. 취급자의접속기록을최소 6개월이상보관 관리여부 54. 접속기록의항목 (4개 * ) 이적정한지여부 * 4개 : ID, 날짜및시간, 접속자 IP 주소, 수행업무 ( 열람, 수정, 삭제, 인쇄, 입력등 ) 55. 접속기록이위 변조및도난, 분실되지않도록접속기록의안전하게보관여부 56. 보안프로그램의설치 운영여부 57. 보안프로그램의자동업데이트또는일 1회이상업데이트실시여부 58. 전산실, 자료보관실등물리적보관장소에대한출입통제절차수립 운영여부 59. 개인정보가포함된서류, 보조저장매체등을잠금장치가있는안전한장소보관여부

64 개인정보의안전한관리 제30조 ( 개인정보처리방침의수립 공개 ) 제31조 ( 개인정보보호책임자의지정 ) 60. 개인정보처리방침의수립여부 61. 개인정보처리방침에필수항목 (8개*) 포함여부 * 8개 : 처리목적, 처리및보유기간, 제3자제공사항 ( 해당시 ), 위탁사항 ( 해당시 ), 정보주체권리 의무및행사방법, 처리항목, 파기사항, 안전성확보조치사항 62. 개인정보처리방침의홈페이지등공개여부 63. 개인정보보호책임자지정여부 64. 개인정보보호책임자의업무범위, 자격요건등적정여부

65

66 채용 채용 고용 고용 준비 결정 유지 종료 채용계획단계 채용전형단계 입사지원자권익보호 개인정보최소수집원칙에근거한채용계획수립 - 고유식별정보및민감정보는 수집 이용원칙적금지 예외 ) 장애인, 국가유공자, 고령자등의우대를위한경우는법령근거가있어동의없이처리가능 - 입사지원서취급자를필요최소한으로지정하여노출 가능성최소화 - 채용대행업체에위탁시 관리및감독계획수립, 시행 전형단계별필요정보만수집 [ 서류전형 ] 고유식별정보및직무와무관한민감정보 ( 정치적성향, 신체정보등 ) 는수집불가 [ 신체검사 ] 직무수행가능여부판단, 최소한의건강정보 수집 ( 본인동의필요 ) [ 채용종료후파기 / 보관 ] 채용전형종료후파기 ( 원칙 ) 입사지원자의정보는법령근거나본인동의없이 제 3 자제공금지 채용전형외부위탁시, 관련 내용문서화필요 채용시험성적열람요구시, 정보주체에게공개가원칙 시험문제 / 면접기법등은개인정보가 아니므로공개대상아님

67 온라인채용 분류사례준수사항 개인정보직접수집 개인정보간접수집 인터넷공개모집 사이버취업박람회 ( 설명회 ) 사용자운영인재 DB 온라인채용대행업체인물 DB 등 반드시필요한정보만요구 해킹등에따른유. 노출주의 반드시필요한정보만수집출처. 목적등고지 ( 지원자요청시 ) 위탁계약은문서로처리 기업설명회 / 취업박람회 캠퍼스채용 ( 출장면접 ) 오프라인채용 개인정보직접수집 인턴제 / 산학장학제도 현장및지원자방문채용 언론매체를통한모집광고 종업원채용추천 내부모집 ( 배치전환, 재고용, 사내공모등 ) 반드시필요한정보만수집 입사지원자정보취급자의최소화 개인정보간접수집 지도교수 ( 또는교사 ) 의추천 취업알선기관활용 ( 파견업체, 채용대행업체, 헤드헌터 ) 반드시필요한정보만수집 출처. 목적등고지 ( 지원자요청시 ) 채용대행업체에게위탁시안전한관리및감독계획수립 시행

68 채용 채용 고용 고용 준비 결정 유지 종료 법령준수위한 근로자개인정보수집 근로계약체결및이행위한 근로자정보수집 개인정보처리동의필요사항 근로계약서, 근로자명부등을작성하기위한근로자 개인정보수집은동의없이 처리가능 소득세법에따른연말정산등법령상의무준수를위한 주민등록번호수집은근로자 및그가족의동의없이처리 가능 근로계약서에본인확인을위한최소사항 ( 주소, 연락처 ) 만 기록하고불필요한개인정보 ( 주민등록번호등 ) 처리금지 인사업무 ( 근무성적평가, 연봉계약, 인사발령, 교육훈련, 복지후생 ) 등근로계약이용 위해근로자동의없이수집 이용가능 근로자가족에대한복리후생제공을위한가족의동의불필요 개인정보처리시동의가필요한제 3 자제공, 홈페이지 직원정보공개등을위해최초 근로계약체결시동의획득 개인정보처리동의는사규 ( 취업규칙 ) 준수동의를 받거나별도의동의서를통한 동의등다양한방법가능

69 채용 채용 고용 고용 준비 결정 유지 종료 인력관리 [ 인력배치및이동 ] 근로계약이행을위한개인정보는동의없이 활용가능 - 민감정보및고유식별정보는별도동의필요 - 인사발령사실의외부공개시동의필요 [ 보수후생복지 ] 급여, 성과급등은개인정보이므로제 3 자제공 시동의필요 - 근로복지공단, 국민연금관리공단등임직원급여내역제공은동의불필요 [ 인사평가 ] 인사평가는근로계약의이행유지위해동의가불필요하며, 열람요청시공개하되주관적 평가정보는제한적공개나공개거부가능 - 인사고과등의공개는기업및다른근로자의재산과그밖의이익침해우려있어열람제한또는거절가능 [ 교육훈련 ] 근로자교육위탁시문서에의해실시

70 채용 채용 고용 고용 준비 결정 유지 종료 인사정보관리 [ 보관 ] 개인정보의관리를위해관리적, 기술적, 물리적 보호조치가필요하며개인정보처리방침을사내 게시판, 홍보지를통해공개 [ 파기 ] 법령에따라수집한개인정보가보관기간이지난경우지체없이파기 - 재직자의건강진단및진단결과 (5 년 ) - 발암성확인물질을취급하는근로자의건강검진결과 (30 년 ) - 연말정산을목적으로수집한자료 ( 법정신고기간이지난날로부터 5 년 ) - 복리후생제공을목적으로수집한근로자 / 가족개인정보 ( 목적달성후파기 ) [ 제공 ] 제 3 자제공은별도동의또는법령상의무준수를 위한경우로한정 예시 ) 범죄수사협조시, 카드사제공시 [ 위탁 ] 연말정산, 교육훈련등의근로자개인정보처리 위탁시문서화필요 [ 열람 ] 인사정보는열람권이보장되나, 인사고과등 회사및다른근로자의재산과그밖의이익 침해우려시열람제한및거절가능

71 채용 채용 고용 고용 준비 결정 유지 종료 퇴직근로자의개인정보파기및경력 증명서발급 퇴직근로자의개인정보제공 퇴직근로자의개인정보는경력증명및근로계약에관한정보를제외하고지체없이 삭제 - 근로자의경력증명등에관한정보는퇴직 후 3 년간별도보관 ( 근로기준법제 39 조및 동법시행령제 19 조 ) - 3 년이상경력증명정보를보관하자고할 경우, 퇴직시점에동의를얻어보관 ( 입사시 또는취업규칙등에안내하고동의를받는방법 ) 퇴직근로자의개인정보제공을요구받은경우, 다른법령에특별한규정이없는한동의를 받은후제공가능 순수친목단체에서퇴직자모임을위해동의없이개인정보수집은가능하나회사가제공시 근로자의동의필요

72

73 제 2 조 ( 정의 ) 7. " 영상정보처리기기 " 란일정한공간에지속적으로설치되어사람또는사물의영상등을촬영하거나이를유 무선망을통하여전송하는장치로서대통령령으로정하는장치를말한다. 제 25 조 ( 영상정보처리기기의설치 운영제한 ) 1 누구든지다음각호의경우를제외하고는공개된장소에영상정보처리기기를설치 운영하여서는아니된다. 1. 법령에서구체적으로허용하고있는경우 2. 범죄의예방및수사를위하여필요한경우 3. 시설안전및화재예방을위하여필요한경우 4. 교통단속을위하여필요한경우 5. 교통정보의수집 분석및제공을위하여필요한경우 2 누구든지불특정다수가이용하는목욕실, 화장실, 발한실 ( 發汗室 ), 탈의실등개인의사생활을현저히침해할우려가있는장소의내부를볼수있도록영상정보처리기기를설치 운영하여서는아니된다. 다만, 교도소, 정신보건시설등법령에근거하여사람을구금하거나보호하는시설로서대통령령으로정하는시설에대하여는그러하지아니하다. 3 제 1 항각호에따라영상정보처리기기를설치 운영하려는공공기관의장과제 2 항단서에따라영상정보처리기기를설치 운영하려는자는공청회 설명회의개최등대통령령으로정하는절차를거쳐관계전문가및이해관계인의의견을수렴하여야한다. 4 제 1 항각호에따라영상정보처리기기를설치 운영하는자 ( 이하 " 영상정보처리기기운영자 " 라한다 ) 는정보주체가쉽게인식할수있도록대통령령으로정하는바에따라안내판설치등필요한조치를하여야한다. 다만, 대통령령으로정하는시설에대하여는그러하지아니하다. 5 영상정보처리기기운영자는영상정보처리기기의설치목적과다른목적으로영상정보처리기기를임의로조작하거나다른곳을비춰서는아니되며, 녹음기능은사용할수없다. 6 영상정보처리기기운영자는개인정보가분실 도난 유출 위조 변조또는훼손되지아니하도록제 29 조에따라안전성확보에필요한조치를하여야한다. < 개정 > 7 영상정보처리기기운영자는대통령령으로정하는바에따라영상정보처리기기운영 관리방침을마련하여야한다. 이경우제 30 조에따른개인정보처리방침을정하지아니할수있다. 8 영상정보처리기기운영자는영상정보처리기기의설치 운영에관한사무를위탁할수있다. 다만, 공공기관이영상정보처리기기설치 운영에관한사무를위탁하는경우에는대통령령으로정하는절차및요건에따라야한다.

74 설치근거및설치목적 설치대수, 위치, 촬영범위 관리책임자, 접근권한자

75 촬영시간, 보관기간등 설치및관리 ( 위탁시 )

76 영상정보확인방법 영상정보열람방법 안전성확보조치 처리방침변경

77 설치규정 영상정보처리기기는공개된장소에특정목적으로만설치 운영 ( 법제 25 조제 1 항 ) < 영상정보처리기기설치 운영허용사유 > 1) 법령에서구체적으로허용하는경우 2) 범죄예방및수사 3) 시설안전및화재예방 4) 교통단속 5) 교통정보의수집 분석및제공 CCTV 를설치하는경우공청회등을거쳐이해관계자의의견수렴 처벌규정 3 년이하징역또는 3 천만원이하벌금 설치목적과다른목적으로임의조작, 녹음기능사용금지 ( 법제 25 조제 5 항 ) 안내판설치 정보주체가쉽게인식할수있도록안내판설치 ( 법제 25 조제 4 항, 영제 24 조 ) 1) 설치목적및장소 2) 촬영범위및시간 3) 관리책임자및연락처 4) 위탁업체 건물안에다수의영상정보처리기기설치시, 출입구등잘보이는곳에 해당시설 장소전체가설치지역임을표시하는안내판설치 처벌규정 1 천만원이하과태료

78

79

80 정보주체 열람요청 영상정보의열람요청에대한정보주체의인적사항및열람목적등을기록관리해야함 거부시 10일이내서면으로거부사유통지 영상정보에대한접근통제및접근권한의제한안전하게저장 전송할수있는기술의적용 ( 네트워크카메라의경우암호화, 안전성확보조치 저장시비밀번호설정등 ) 처리기록의보관및위조 변조방지 ( 개인영상정보의생성일시및열람할 경우에열람목적 열람자 열람일시등 기록 관리등 ) 물리적보관을위한보관시설마련및잠금 장치설치

81 질문 OOO구청에서시설안전, 화재예방및범죄예방을목적으로현재영상정보처리기기를설치운영하고있습니다. 최초의설치목적과동일한목적으로영상정보처리기기를추가설치하는경우에도 개인정보보호법 에따라의견수렴절차를거쳐야하나요? 답변 o 영상정보처리기기의설치목적변경및추가설치등의경우에는관계전문가및이해관계자의의견을수렴하여야합니다. o 다만, 동일한설치목적내에서는단순히적은대수의영상정보처리기기를추가설치하거나촬영범위를일부조정하는경우에는의견을수렴하지않을수도있습니다. 근거 : 시행령제 23 조 ( 영상정보처리기기설치시의견수렴 )

82 질문 OO 구청내에서민원인이타고온자전 거를도난당했다고할경우해당장소 를감시하고있던영상정보처리기기의 영상정보열람을하고자합니다. 이경 우열람을할수있나요? 근거 : 개인정보보호지침표준지침제 44 조 ( 개인영상정보이용제 3 자제공제한 ) 답변 o 본인의영상정보가아니더라도해당영상정보주체의주소불명등으로동의를얻을수없는경우, 정보주체의급박한생명, 신체, 재산상이익을위하여필요한경우에한해서타인에관한영상자료를열람할수있습니다. o 다만, 그범위는필요한최소한도로제한하며, 영상정보처리기기운영자나개인정보처리자는관련영상을먼저확인한후경찰입회하에해당부분에대해서만열람시켜주어야합니다.

83 질문 CCTV 영상정보의경우보유기간을 30 일로지정하고, 30일이지나면자동으로삭제되는방식으로운영하고있는경우 CCTV 영상정보에대한파기관리대장을매일기록해야하나요? 답변 o 사전에파기시기등을정한자동삭제의경우에는파기주기및자동삭제여부에대한확인시기를영상정보처리기기관리계획또는파기계획에수립하고정기적으로점검하여야합니다. o 영상정보보관기간은영상정보처리기기운영. 관리방침상별도명시가없다면수집후 30일이내로합니다. 근거 : 법제 25 조, 개인정보보호표준지침제 45 조, 46 조

84 질문 경찰에서범죄수사를위해필요하다면 개인정보가포함된자료를요청하는경 우공공기관은해당자료를제공할수 있나요? 근거 : 법제 18 조 ( 개인정보의이용. 제공제한 ) 7. 범죄의수사와공소의제기및유지를위하여필요한경우로한정한다. 답변 o 공공기관은범죄수사목적인경우 개인정보보호법 제18조제2항제7호에따라정보주체의동의없이개인정보를제공할수있습니다. o 다만, 이경우에도자료제공요청은구체적인수사목적을위하여 형사소송법 이나 경찰관직무집행법 등에근거하여야하며, 공공기관은수사에필요한최소한의자료를제공해야할것입니다. 또한정보주체또는제3자의이익을부당하게침해할우려가있을것으로판단되는때에는제공할수없습니다.

85 개인정보보호는 더이상선택이아닌 의무입니다.

86 감사합니다