2014. 06
매월첫째주월요일은롯데그룹정보보호의날! 롯데임직원의보안인식제고와개인정보보호활동강화를위하여정보보호위원회는매월첫째주월요일을롯데그룹정보보호의날로지정하여운영하고있습니다. 2014 년 06 월그룹정보보호의날을맞이하여정보보호뉴스레터를배포하오니많은관심과실질적인예방을위한활동부탁드립니다.
Contents 1 2 3 4 5 6 7 8 최근정보보호동향영업기밀유출판례사례 CCTV 설치 운영시이것만은꼭새롭게바뀌는정보보호관련법업무상개인정보보호 Q&A Security TIP! TIP! TIP! 정보보호위원회활동정보보호세미나및교육안내
1. 최근정보보호동향 6 月정보보호관련주요기사 1. 해킹당한토니모리 50만명개인정보유출 (KBS, 5/09) 화장품업체토니모리홈페이지해킹으로아이디와이름, 휴대전화번호, 비밀번호, 이메일의정보유출 회사측은 5/2일해킹으로유출된사실을확인했으며피해예방을위해관계기관에조사를의뢰함 2. 행정자치부 로바뀌는안전행정부, 개인정보보호업무는지속 ( 디지털데일리,5/27) 안전행정부가안전, 인사기능을분리하고조직기능만남긴채행정자치부로변경 조직기능이안행부에남음에따라개인정보보호등관련업무도행정자치부에서맡게됨 3. 美, 해킹혐의로중국군관계자기소 ( 국민일보, 05/20) 인민해방군 61398부대가초보적수준의 이메일피싱 을통해내부정보를해킹한것으로추정 처음으로외국정부인사를사이버스파이혐의로기소한것으로국가간사이버전쟁이더욱정교화되고가속화될것으로예상됨
2. 영업기밀유출판례사례 기업핵심기밀유출했어도 77.9% 무혐의 (1/2) * 자료 : 한국경제 (2012.1) 삼성 LG ' 아몰레드핵심기술 ' 해외유출 일당대부문 ' 무죄 ' 판결 (2013. 12. 10) ( 출처 : 특허청 ) 연도건수 ( 명 ) 구속 검찰처리내역 ( 명 ) 기소유예무협의 국내소재기업해외진출기업 2011년 439 (942) 15 82 648 2012년 448 (1,063) 19 63 807 2013년 459 (1,156) 15 65 901 국내 1위 : 퇴직직원에의한영업비밀유출 ( 출처 : 대검찰청 ) 해외 1위 : 협력및경쟁업체종사자, 고용외국인에의한유출
2. 영업기밀유출판례사례 기업핵심기밀유출했어도 77.9% 무혐의 회사의보안활동이충분해야처벌가능!(2/2) 회사는비밀유지계약을체결하며업무상필요한때는 회사내부에서정보를공유할수있게규정하는등 정보공유를충분히예견할수있었음 * 회사의비밀정보를상시적인보안수준의내 외부인 출입을엄격히차단한정도의비밀관리성보호 노력으로인정안됨 회사는비밀정보의경쟁가치에따라 상당한비밀유지를위한충분한노력이 필요함 부정경쟁방지법제 2 조 2 호는영업비밀을 ' 독립된경제적가치를가지는것으로상당한노력에의해비밀로유지된생산. 판매방법등영업활동에유용한기술상. 경영상정보 ' 로규정
3. CCTV 설치 운영시이것만은꼭 회사 CCTV 운영, 이것만은꼭!! (1/2) 전국에설치된 CCTV는 396만대, 하루평균 83번노출된다는통계도있습니다. 회사, 사업장, 점포에서도 CCTV는범죄예방및수사, 시설안전등매우우용한수단으로자리매김하고있지만그만큼개인의사생활노출등의위험이따르고있습니다. CCTV를안전하게운영하는방법은무엇일까요? 범죄예방, 시설 안전, 화재예방 설치가능 목욕실, 화장실, 탈의실등사생활침해장소설치금지 5 천만원이하과태료 CCTV 안내판 알아보기쉬운 장소부착 설치목적, 촬영장소, 범위, 관리책임자연락처 - 매장내부전체가설치지역임을표시하여출입구부착 - 주차장등동선이분리된장소출입구에도안내판부착 1천만원이하과태료 녹음금지및 임의조작금지 당초설치목적을벗어나함부로조작하거나다른곳을 비추는행위금지 3 년이하징역또는 3 천만원이하벌금
3. CCTV 설치 운영시이것만은꼭 회사 CCTV 운영, 이것만은꼭!! (2/2) CCTV 운영관리방침 수립및공개 개인영상정보관리책임자지정 CCTV 운영관리방침을홈페이지등에공개 1 천만원이하과태료 영상정보 무단유출및 공개금지 관리자외접근통제, 관리자별개별 ID 발급, 잠금장치마련등 3 천만원이하과태료 개인의사생활침해에대한우려가있는 CCTV 운영 관리는 개인정보보호법에의해철저히준수되고안전하게관리되여야합니다. 그룹내 CCTV 를운영중인계열사는 법령을철저히준수하여영상정보를안전하게관리하여주시기바랍니다.
4. 새롭게바뀌는정보보호관련법 2014 년 11 월개정정보통신망법시행 (1/2) 변화 1 유출사고발생시고객 1 인당최대 300 만원손해배상 기술적 관리적보호조치위반하여 개인정보분실, 도난, 누출의경우 고의 과실없음을입증못하면.. 고객 1 인당최대 300 만원 손해배상가능 1 천만명 X 300 만원 = 30 조원 변화 2 유출사고발생시 2 년이하의징역또는 2 천만원이하벌금 개정전기술적 관리적보호조치위반하여정보유출사고발생의경우 2년이하징역또는 1천만원이하벌금 개정후 2 년이하징역또는 2 천만원이하벌금 변화 3 유출사고발생시매출액 3% 과징금 개정전기술적 관리적보호조치위반하여정보유출사고발생의경우매출액 1% 또는 1억원이하과징금 개정후매출액 3% 과징금 매출 1 조기업? 300 억원
4. 새롭게바뀌는정보보호관련법 2014 년 11 월개정정보통신망법시행 (1/2) 변화 4 유출사고발생시 24 시간이내이용자고지및기관신고 개정전개인정보분실, 도난누출시 지체없이해당이용자에게고지 방송통신위원회신고 개정후 24시간이내유출사고고지방통위 (www.kcc.go.kr) 또는한국인터넷진흥원 (www.i-privacy.kr) 에신고 기타 사고발생시그룹정보보호주관부서신고바랍니다. 개정전 민감정보사상, 과거병력등사생활을뚜렷하게침해할우려가있는개인정보 개정후 가족및친인척관계, 학력 기타사회활동경력포함 개정전 민감정보수집조건정보주체의수집동의후수집개정전정보보호최고책임자 (CISO) 지정 ( 의무화아님 ) 개정후수집동의를받아도필요한범위에서최소한수집재안내예정개정후기준에따라정보보호최고책임자지정미래부장관에신고
5. 업무상개인정보보호 Q&A 퇴사한직원의개인정보를보관할수있는지요? 만약보관할수있다면언제까지보관할수있는지요? 퇴사직원의개인정보는원칙적으로퇴사이후에도보관할수있습니다. 근로기준법 에따른퇴직근로자개인정보의보존연한은최소 3 년이며, 보다장 기간보관필요성이있을경우에는근로자의동의를받아보관할수있습니다. 개인정보처리자는보유기간경과, 개인정보처리목적달성등개인정보가불필 요하게되었을때에는지체없이개인정보를파기하며, 다만다른법령에따라 보존근거가있는경우에는보존이가능합니다. 기업에서직원이퇴사하였더라도그것으로바로직원개인정보의처리목적이달 성되어파기하여야한다고볼수는없으며, 경력증빙등을위해일정기간보관 필요성이있다고하겠습니다. [ 근로기준법제39조 ( 사용증명서 )] 1 사용자는근로자가퇴직한후라도사용기간, 업무종류, 지위와임금, 그밖에필요한사항에관한증명서를청구하면사실대로적은증명서를즉시내주어야한다. [ 근로기준법시행령제19조 ( 사용증명서의청구 )] 법제39조제1항에따라사용증명서를청구할수있는자는계속하여 30일이상근무한근로자로하되, 청구할수있는기한은퇴직후 3년이내로한다.
6. Security TIP! TIP! TIP! 습관적으로열어보는이메일 무서운비밀이있다는사실 누군가를따라다니며일거수일투족을감시하는 ' 스토킹 ' 오프라인 ' 스토킹 ', 온라인에는 ' 지능형지속위협 (APT) 공격 ' 이있습니다. APT 공격이무서운이유는다양한방법으로지속적인공격하기때문입니다. APT(advanced persistent threat) - 다양한보안위협에대해정부기관, 기업, 금융기관등 공격대상의컴퓨터등을지속적으로공격하는것 실제로지난해언론사, 금융, 정부기관에대한동시다발적사이버테러는 APT 공격에의한것으로나타났습니다. 당시지상파방송기자는 " 취재자료가수십개씩메일로들어오는데, 의심없이해 당메일 ( 첨부파일 ) 을열어본다면서, 당시해커가악성코드를숨겨보낸메일을읽 어감염이되고사내다른시스템에도확산됐다 " 라고말했습니다. 스토커와도같은해커의 APT 공격을막을수있는방법이없는것은아닙니다. 아래의실천수칙을통해 APT 공격으로부터우리모두를지키도록합시다. 출처가불분명한이메일열람 / 링크이동 / 첨부파일실행하지말고삭제백신프로그램실시간검사활성화및정기적상세 ( 수동 ) 검사시행패스워드는최소분기 1회이상변경할것악성코드, 계정도용의심등이상징후발견시주관부서에즉시신고
7. 정보보호위원회활동 1. 그룹사개인정보위탁업체점검 목적 : 개인정보활용협력업체의개인정보처리적정성, 법규준수점검 주요내용 1. [1차] 425개개인정보위탁업체개인정보보호서면점검완료 2. [2차] 74개주요개인정보위탁업체방문실사점검 (~ 6월 ) (1) 대상 : 고객주민번호취급, 자체고객정보 DB 저장업체등 2. 6 월정보보호실무위원회예정 대상 : 그룹사정보보호부서장및담당자 내용 : 그룹보안업무계획공유 ( 가제 ) 그룹사정보보호강화전략 ( 가제 ) 일정 : 6월 4주차 ( 추후공지 )
8. 정보보호세미나및교육안내 1) [ 정보보호교육 ] KISA 아카데미정보보호 6 월교육 * 참가비무료 ( 지식정보보안협약기업 ) 구분 세부내용 교육명 정보통신기반시설정보보호업무실무 _6 월접수 (07.24 ~ 25, 16 시간 /2 일, 서울 ) 위험분석을통한정보 Risk 관리 (06.11 ~ 13, 24 시간 /3 일, 부산 ) 내용 정보통신기반시설의정보보호를위한관리체계수립이해 위험분석의절차와세부사항이해, 위험관리를위한대책및정보보호계획수립 URL http://academy.kisa.or.kr/ 2) [ 정보보호교육 ] 2014 년사업자개인정보보호교육 * 참가비무료 구분 세부내용 일시 2014 년 4 월 ~ 11 월 ( 매월개최 ) 대상정보통신서비스제공자 ( 기업별개인정보취급자등 ) 내용 접수방법 정보통신망법주요내용및기업별개인정보취급자가알아야할기술적 관리적보호조치등 교육신청서작성후이메일 (privacy.edu@kisa.or.kr) 접수 http://www.i-privacy.kr 3) [ 세미나 ] PIS FAIR 2014 ( 개인정보보호페어 & CPO 2 차워크숍 ) * 참가비무료 구분 세부내용 일시 2014 년 6 월 24 일 ( 화 ) 09:00~18:00 장소주최내용 URL 서울삼성동 COEX 1층그랜드볼룸안전행정부, 개인정보보호위원회개인정보보호맞춤형구축전략매뉴얼이필요하다 http://www.pisfair.org/2014/
발행처 롯데그룹정보보호위원회 Homepage http://secupolicy.net E-mail secu_policy@lotte.net Tel (02) 2626-5945