ㅅ

Size: px

Start display at page:

Download "ㅅ"

승우 두
5 years ago
Views:

2 목차 I. 개인정보보호합동점검체계 II. 주요점검현황및사례 III 년관리실태점검방향 2

3 I. 개인정보보호합동점검체계 3

1. 합동점검체계출범배경 개인정보유출및침해지속발생 약 129,0000,000 명 11.9 이후주요개인정보유출건수 > 51,360,454 명 우리나라전체인구 ( 15.2) 사건일 개인정보처리자 피해규모 2011.

7 KT 870만명 2013.12 KB, 롯데, 농협카드 8,200만명 2014.2~3 통신사, 금융사, 쇼핑몰 1,200만명 2014.

4 1. 합동점검체계출범배경 개인정보유출및침해지속발생 약 129,0000,000 명 11.9 이후주요개인정보유출건수 > 51,360,454 명 우리나라전체인구 ( 15.2) 사건일 개인정보처리자 피해규모 현대캐피탈 175만명 SK컴즈 3,560만명 삼성카드 47만명 넥슨 1,230만명 SKT/KT 20만명 EBS 400만명 KT 870만명 KB, 롯데, 농협카드 8,200만명 ~3 통신사, 금융사, 쇼핑몰 1,200만명 티몬등 113만명 * 언론발표주요유출사건 180, , ,000 90,000 60,000 30, 개인정보침해신고상담건수 (KISA) 17,569 23,333 39,811 54, , , , , 년 05 년 6 년 7 년 8 년 9 년 10 년 11 년 12 년 13 년 14 년

5 2. 개인정보보호정부합동점검체계출범 개인정보유출사고에범정부차원의체계적대응을위한개인정보보호합동점검단출범 ( , 14. 말까지한시적 ) ,560 만건 판결소식이후집단소송참여자급증! SK 컴즈 20 만원위자료판결시 7 조배상 ( 14 년매출액의 75 배 ) 매출액 : 2,606 억 ( 11) -> 939 억 ( 14) 5

6 3. 정부합동점검체계상시화 개인정보유출사고에범정부차원의상시적대응을위한개인정보보호점검전담부서설치 ( ) 6

: 침해사고, 유출신고, 언론보도등사고원인조사및책임규명 ( 수시 ) < 개인정보보호과 > 현황조사분석모니터링침해사고, 민원

7 4. 합동점검체계구성및운영 조직구성 개인정보보호점검전담부서설치 ( ) ( 구성현황 ) 과장, 총괄 (3), 점검기획 (5), 행정처분 (2), 조사점검 (10) - 안행부및관계기관파견인력으로구성 * 안행부 8, 방통위 2, 금융위. 교과부. 복지부. 경찰청각 1, 전문기관 3 조사및점검 - 기획점검 : 취약분야, 위험업종대상중심실시, 제도개선병행 ( 정기 ) - 특별점검 : 침해사고, 유출신고, 언론보도등사고원인조사및책임규명 ( 수시 ) < 개인정보보호과 > 현황조사분석모니터링침해사고, 민원 업종별개인정보처리현황 개인정보관리실태 개인정보제공 / 활용현황 KISA, NIA, 리서치등 개인정보유 / 노출현황 온라인점검 ( 취약점분석 ) 관계부처 / 기관연계 7 개인정보침해신고, 민원 분쟁조정신청 사고발생, 언론보도등 경찰, KISA 등

8 5. 현점검체계의고민 우리나라전체사업체 개인정보처리사업자 홈페이지보유사업체로추정 약 380 만개 약 71 만개 현점검인력으로약 1,420 년소요 ( 연간 500 개기관현장점검가능 ) 8

9 II. 주요점검현황및사례 9

10 1. 개인정보관리실태점검현황 (12.1 ~ 14.12) 총 1,267 개소점검및 1,039 개소처분 ( 평균위반율 82.0%) - 위반건수는과태료 292 건, 시정조치 589 건, 개선권고 824 건등총 1,705 건 구분 합계 검사기관 * ,267 처분기관 ** ,039 위반건수 ** ,705 * 현장점검및온라인점검을포함한검사기관수임, *, ** 검사월기준통계이며, 행정처분진행중인사항이있어변동가능 업종별현황 구분금융업의료업유통업협단체방송 통신업 호텔 여행업 학원업소매업기타 검사기관 위반기관 위반율 70.5% 79.0% 69.3% 86.0% 43.1% 77.3% 85.0% 88.9% 88.3% 10

2. 점검결과분석 ( 위반건수 1,705 건 ) CCTV 설치 운영위반 ( 25) 522 안전조치미흡 ( 29) 429 위 수탁위반

> 동의방법위반 ( 22) 과도한개인정보수집 ( 16) 개인정보미파기 ( 21) 침해, 훼손및누설 ( 34, 59) 9 30 56

개인정보미파기 열람 정정 삭제위반 ( 35, 36, 37) 6 * 기타 ( 28, 30, 31, 32, 33) 188 0 200

11 2. 점검결과분석 ( 위반건수 1,705 건 ) CCTV 설치 운영위반 ( 25) 522 안전조치미흡 ( 29) 429 위 수탁위반 ( 26) 137 동의없는수집이용 ( 15, 17, 23, 24) 128 고지의무불이행 ( 152, 172) 116 < 주요위반사항 > 동의방법위반 ( 22) 과도한개인정보수집 ( 16) 개인정보미파기 ( 21) 침해, 훼손및누설 ( 34, 59) CCTV 설치 운영 2. 개인정보보호안전조치 3. 위 수탁에따른사항 4. 수집및고지방법및절차 5. 개인정보미파기 열람 정정 삭제위반 ( 35, 36, 37) 6 * 기타 ( 28, 30, 31, 32, 33) * 취급자감독 (28 조 ), 처리방침공개 (30 조 ), 보호책임자지정 (31 조 ), 개인정보파일등록 (32 조 ), 개인정보영향평가 (33 조 ) 11

12 3. 점검결과분석시사점 법위반중수탁자책임형 66% 12~ 13 년점검결과 494 건중 318 건 침해 / 유츌 위험 개인정보유출건중수탁자책임형 76.8% 12~ 13 년유출사고 56 건중 43 건 이용저장수집 제공 / 위탁 사업자의 84% 가시스템개발및운영업무위탁 (IT 서비스산업협회, 06) 파기 1 개수탁사가평균 788 개위탁사개인정보처리 14 년 25 개수탁사시범점검결과 보유기간 12

13 4. 점검사례 ( 홈페이지제작수탁사 ) 병의원 홈페이지제작및호스팅서비스 웹호스팅 IT 수탁사 펜션 중소기업 학교. 학원 쇼핑몰 개인사업자 수집에따른고지사항미흡처리방침공개미흡접근권한관리 (3년) 미흡접근기록관리 (6개월) 미흡전송구간암호화 (SSL) 적용미흡 3,000 여개사업자의홈페이지호스팅 (100 만명단일서버 /DB) 13

14 4. 점검사례 ( 개인사업자대상 ASP 사업자 ) 미용실고객 개인사업자 이미용업계 IT 수탁사 미용 피부관리실 PC 방고객 학생 고객정보 ( 성명, 주소, 전화번호, 이메일등 ) PC 방 학원 고객관리시스템 ASP *ASP(Application Service Provider) 온라인응용소프트웨어임대사업 4,000 여개매장의개인정보 ( 약 1 천만명 ) 를단일서버 /DB 에서운영 위탁계약필수사항누락 접근통제, 접근기록보관 전송시암호화 (SSL) 미적용 개인정보미파기 14

15 4. 점검사례 ( 의료분야수탁사 ) 병 의원 병원고객 보험심사청구 위탁계약시필수항목누락 의료 IT 수탁사 보험심사청구확인시스템 위탁사항고지미흡 EMR( 진료기록관리 ) OCS( 처방전달시스템 ) PACS( 영상정보시스템 ) 보험심사청구시스템 접근권한 (3 년 ) 관리미흡 접근기록 (6 개월 ) 관리미흡 전송구간암호화 (SSL) 미흡 처방전 ( 인쇄 ) 건강보험심사평가원 목적외이용 처방전시스템유지보수위탁 처방전 ( 데이터 ) 약국 의료정보업체 15

16 III 년관리실태점검방향 16

17 1. 관리실태점검전략 처리유형 중대형 SI 업체 대기업 자체개발 ( 공공, 금융, 유통, 제조업등 ) 중소기업 ( 중대형병원, 대학, 대형학원, 스포츠시설, 프렌차이즈등 ) 개인사업자 ( 의원, 이미용실, 학원, PC 방, 음식점, 부동산중계소등 ) SI 개발 운영위탁 홈페이지제작 웹호스팅위탁 솔루션구매및운영 ASP 서비스이용 업종별주요수탁사 17

18 2. 점검방향및목표 10 만개인정보처리자점검 구분 기획 분야 교육, 공공복지, 통신 1분기 2분기 3분기 4분기 분야 월 분야 월 분야 월 분야 월 공공 1 교육 4 비영리단체 7 산업 물류 10 의료 2 방송 통신 6 중개 생활 8 시설 문화 11 수탁사공공 교육 3 전업종 5 통신 산업 9 정보 문화 12 18

19 3. 관리실태점검방안 ( 처리자 ) 점검대상등사전협의 민간협단체 개인정보처리자 전국 3,000 개병원 전국 60,000 개학원 현장점검 자율점검가이드라인배포 ( 교육및컨설팅지원 ) 자율점검및이행계획수립기관은처분유예등인센티브부여 미수행기관은과태료등행정처분조치 관련부처와공동점검추진 회원사 회원사 회원사 자율점검수행개선계획수립및이행유도 자율점검표 회원사 회원사 개선계획 관련업계전반의개인정보보호수준제고 19

20 4. 관리실태점검방안 ( 수탁사 ) (1) 개인정보처리사업자 전산개발 운영수탁자 개인정보처리위탁 공공, 금융, 교육, 복지, 의료, 문화, 정보통신개인서비스 ( 병의원, 학원, 이미용실, 정비소등 약 71 만개 홈페이지개발 운영, 고객관리시스템 ASP 진료기록저장 관리, 서버관리, 본인인증등 6,000 개로추정 중점점검대상은매출규모 30 억이상약 2,000 개사업체 20

21 4. 관리실태점검방안 ( 수탁사 ) (2) 관련부처와협력하여 IT 수탁사자율점검추진업종별해당부처와합동점검반편성및집중점검 자율점검안내 SW 개발사 (6,000 여개 ) 에자율점검지침과점검계획안내 IT 수탁사개인정보보호실태자율점검지침 개발자가이드라인 자율점검실시및개선추진 SW 개발사자율점검실시 미흡사항개선계획수립및이행 자율점검수행및개선기관에처분유예등인센티브 실태점검실시 업종별주요 IT 수탁사집중점검 자율점검미수행기관은과태료처분추진 부처합동점검반편성및운영예정 4 월 5 월 수탁자점검 위탁자 법준수제고 위탁자 정보수집 위탁자점검 21

22 5. 중점점검사항 (1) 안전조치의무 개인정보의안전한처리를위한내부관리계획의수립. 시행개인정보에대한접근통제및접근권한의제한조치개인정보를안전하게저장. 전송할수있는 SSL등암호화기술의적용개인정보침해사고발생에대응하기위한접속기록의보관및위조. 변조방지조치개인정보에대한보안프로그램의설치및갱신개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 업무위탁에따른개인정보처리제한 수탁사와문서에의한계약여부 ( 필수사항 7가지포함 ) 수탁사를홈페이지등에공개여부수탁사에대한교육. 실태점검등관리. 감독여부 22

23 5. 중점검사사항 (2) 개인정보의파기 목적달성및보유기간경과후개인정보파기여부개인정보의당초보유기간경과후관련법목적에따라보관시별도보관여부 개인정보수집. 이용. 제공 온. 오프라인회원가입및각종게시판에서개인정보수집시동의여부정보주체동의시필수고지항목적정여부개인정보제3자제공시정보주체동의여부및동의시필수고지항목적정여부개인정보수집당시의정보주체이용. 제공동의범위를초과하여이용. 제공여부 개인정보처리방침의수립및공개 개인정보처리방침의수립여부 ( 필수사항 8 가지포함여부 ) 개인정보처리방침의수립또는변경시정보주체가쉽게인지할수있도록공개여부 23

24 6. 올해강화되는제도 공급자에게법을준수하여시스템을공급하도록의무조항신설및처벌강화 위반건수 ( 12~ 13) 분석결과, 개발등공급단계에서 64.4% 위반건의사전예방가능 경각심고취, 경고적예방적효과달성을위해법위반자공표강화 행정처분결과공표기준완화 - 공표내용 : 위반행위내용, 위반행위한자, 처분내용및결과 공급및수탁사업자에게개발직원대상자체교육의무부여 수탁사직원을위한 개인정보처리시스템개발및운영 가이드라인 보급과병행추진 24

25 25

슬라이드 1

슬라이드 1 개인정보보호법주요내용 및위반사례 2015-1 - COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved. 1 목 차 Ⅰ 개인정보보호실태점검및위반사례 Ⅱ 개인정보보호법주요내용 - 2 - COPYRIGHT (c) 2010 by MINISTRY OF Public