개인정보위반사례와현장점검결과 203. 9. 6 - -
목차 I. 개요 II. 처리단계별주요위반사례 III. 2년현장점검결과 IV. 사업자의조치사항및자세 - 2 -
I. 개요 - 3 -
I. 개요. 개인정보의정의 ( 법적정의 ) - 4 -
I. 개요 2. 개인정보의종류 개인의사적영역과관련된일체의정보 일반적정보 주민등록번호 이름, 주소 가족관계등 통신 위치정보 통화 문자내역, IP 주소 화상정보, GPS 등의정보 정신적정보 기호, 성향 신념, 사상 사회적정보 교육정보 근로정보 자격정보 재산적정보 개인금융정보 신용정보 신체적정보 신체정보 의료 건강정보 - 5 -
I. 개요 3. 침해민원현황및유형 개인정보침해민원현황 침해유형별현황 (202) 주민번호등도용 (39,724 건 ) 22,25 66,80 개인정보및 사생활침해일반 (2,95 건 ) 35,67 54,832 개인정보 무단수집 (3,507 건 ) 개인정보무단이용 (2,96 건 ) 회원탈퇴나 정정요구불응 (77 건 ) 2009 200 20 202-6 -
- 7 -
. 개인정보수집 이용단계 개인정보수집ㆍ이용시동의 ( 위반사례 ) 멤버십가입신청시, 수집ㆍ이용목적, 수집항목, 보유ㆍ이용기간등 동의를받아야하는항목중일부누락 멤버십가입신청서 호텔 기존업무관행에의해제공받는자, 이용목적, 제공항목, 보유 이용기간, 동의거부권리등을고지하지않고동의획득 멤버십신청자 - 8 -
. 개인정보수집 이용단계 개인정보수집ㆍ이용시동의 ( 참고사례 ) 개인정보수집에필요한고지사항을모두고지하고정보주체의동의획득 개인정보처리자 수집항목 수집ㆍ이용목적 보유ㆍ이용기간 동의거부권리 ( 신규추가사항 ) - 9 -
. 개인정보수집 이용단계 2 만 4 세미만아동정보수집시법정대리인동의 ( 위반사례 ) 하교하는아동을대상으로이름, 학년, 반, 전화번호, 부모연락처, 직업등의 개인정보를법정대리인동의없이수집 이름이뭐니? 집전화번호는뭐니? 부모님뭐하시니? 법정대리인동의없이 아동의개인정보수집 학원관계자 지속적인 학원홍보전화 학교아동아동의부모 - 0 -
. 개인정보수집 이용단계 2 만 4 세미만아동정보수집시법정대리인동의 ( 참고사례 ) 만 4 세미만아동의개인정보수집시공인인증서, 휴대폰인증, 전자우편 등의방법을통하여법정대리인의명시적동의획득 만 4 세미만아동에대한별도개인정보수집메뉴개설 휴대폰, 공인인증서, 전자우편등을통해법정대리인동의획득 - -
. 개인정보수집 이용단계 3 민감정보수집제한 ( 위반사례 ) 이동통신사가요금감면을위해민감정보 ( 신체장애정보 ) 를수집하면서 정보주체의동의미획득 신체장애, 병력 ( 病歷 ) 정보 요금감면신청 2 민감정보수집에대한동의미획득 이동통신사고객 이동통신사 - 2 -
. 개인정보수집 이용단계 3 민감정보수집제한 ( 참고사례 ) 민감정보에대한수집ㆍ이용목적, 수집항목, 보유ㆍ이용기간, 이용자 권리를별도로고지하고별도의동의획득 개인정보수집동의 민감정보수집동의 개인정보의수집및이용목적 회원관리및결혼서비스에관한상담및자료요청확인 결혼관련서비스상담 수집하는개인정보의항목 성명, 아이디, 비밀번호, 휴대폰번호, 이메일거주지주소 이용및보유기간 민감정보수집에대한별도동의획득 민감정보수집목적 결혼상대추천시추가서비스제공 ** 정보주최이벤트정보제공 수집하는민감정보항목신체정보학력종교등 신체정보, 학력, 종교 이용및보유기간 회원탈퇴시까지보유 민감정보수집항목 동의함 동의하지않음 동의함 동의하지않음 - 3 -
. 개인정보수집 이용단계 4 불필요한개인정보과다수집 ( 위반사례 ) 정유사에서멤버십카드가입을위해개인정보를수집하면서군복무정보를 필수항목으로요구하고, 미기재시멤버십가입불허 멤버십카드신청서배부 정유사 필수입력항목에멤버십과무관한 군복무여부 포함 기재하지않을경우멤버십가입불허 멤버십카드신청고객 - 4 -
. 개인정보수집 이용단계 4 불필요한개인정보과다수집 ( 참고사례 ) 회원가입시수집하는개인정보를 필수 와 선택 사항으로구분하고, 선택사항은입력하지않아도회원가입허용 * 아이디 * 비밀번호 * 성명 * 휴대폰번호 필수사항입력만으로회원가입가능 - 5 -
. 개인정보수집 이용단계 5 수집ㆍ이용목적외이용금지 ( 위반사례 ) 보험서비스를제공할목적으로보험가입자의개인정보를수집하였으나, 정보주체의동의없이보험상품홍보및판매를위해개인정보이용 보험서비스제공목적으로개인정보수집동의 2 별도의보험대출상품마케팅 보험회사 보험가입고객 - 6 -
. 개인정보수집 이용단계 5 수집ㆍ이용목적외이용금지 ( 참고사례 ) 당초동의받은목적외에이벤트등다른목적으로개인정보이용시, 변경된수집ㆍ이용목적, 수집항목, 보유ㆍ이용기간등재고지및동의획득 이벤트에대한수집 이용목적등을고지 동의획득 - 7 -
. 개인정보수집 이용단계 6 개인정보수집시, 별도동의 ( 참고사례 ) 개인정보수집시, 필수항목과선택항목, 고유식별정보, 민감정보, 제 3 자 제공등에대하여반드시별도로고지하고별도로동의획득 - 8 -
2. 개인정보저장 관리단계 개인정보보호책임자지정 ( 위반사례 ) 퇴직한 K 씨를개인정보보호책임자로계속방치 개인정보보호책임자 K 씨퇴직 여행사 2 개인정보처리방침에퇴직자 K 씨가계속보호책임자로기재 ( 보호책임자미지정 ) 개인정보처리방침 - 9 -
2. 개인정보저장 관리단계 개인정보보호책임자지정 ( 참고사례 ) 전임자퇴직시지체없이내부인사발령절차를거쳐고충처리담당부서의 장을개인정보보호책임자로지정 인사결정권자의결재를얻은후개인정보보호책임자로지정 - 20 -
2. 개인정보저장 관리단계 2 개인정보처리방침공개 ( 위반사례 ) 인터넷홈페이지에개인정보처리방침을게재하면서글자크기ㆍ색상등을 활용하여정보주체가쉽게확인할수있도록조치하지않음 글자크기, 색상등다른메뉴와차이가없어쉽게확인불가 - 2 -
2. 개인정보저장 관리단계 2 개인정보처리방침공개 ( 참고사례 ) 개인정보처리방침을홈페이지또는사업장내에게시하여정보주체가쉽게 확인할수있도록공개 [ 인터넷홈페이지첫화면 ] [ 사업장내벽면에게시 ] 공개사항을모두포함 정보주체가쉽게확인할수있도록글자색을달리표시 약관개인정보처리방침회사소개 / 투자정보온라인제휴안내 - 22 -
2. 개인정보저장 관리단계 3 개인정보내부관리계획수립ㆍ시행 ( 참고사례 ) 개인정보내부관리계획을수립하고조직내의사결정자 (CEO, CPO, 담당 임원등 ) 의결재를거쳐시행 의사결정자결재를거쳐내부관리계획수립 시행 - 23 -
2. 개인정보저장 관리단계 4 개인정보접근권한관리 ( 위반사례 ) 퇴직한직원의접근권한을변경하지않아, 퇴직한직원이개인정보처리 시스템에접근하여개인정보유출 쇼핑센터재직시사용하던 ID/PW 로접근시도 3 퇴직자 경쟁업체에고객명부판매 2 개인정보처리시스템에접근후고객명부불법탈취 쇼핑센터 경쟁업체 - 24 -
2. 개인정보저장 관리단계 5 개인정보암호화조치 ( 위반사례 ) 주민등록번호, 비밀번호등을암호화하지않아해킹으로유출 해커 해킹시도 3 개인정보판매 2 암호화되지않은회원의주민등록번호, 비밀번호유출 불법개인정보구매자 홍길동 60-234567 김순돌 4202-234523 78230-234523 8023-20 - 25 - 리조트
II. 주요침해사례 2. 개인정보저장 관리단계 6 보안프로그램의설치ㆍ운영 ( 위반사례 ) 개인정보처리시스템운영체제에최신보안패치를업데이트하지않아 외부공격자 ( 해커 ) 보안취약점을이용하여개인정보유출 운영체제보안취약점을이용한해킹 공격자 3 개인정보판매 2 관리자권한획득으로개인정보파일빼냄 결혼중개업 K 씨 업데이트미적용 개인정보처리시스템 - 26 -
2. 개인정보저장 관리단계 7 개인정보처리시스템접속기록보존 ( 위반사례 ) 내부직원에의해개인정보가유출되었으나, 개인정보접근사실을기록하지 않아유출자확인불가능 개인정보처리시스템에접속하여고객개인정보조회ㆍ유출 내부직원 2 접속기록미보관 - 27 -
2. 개인정보저장 관리단계 8 홈페이지를통한개인정보노출 ( 위반사례 ) 개인정보취급자 ( 또는안내원 ) 의실수로타인이볼수있는홈페이지 Q&A 게시판에고객상세정보노출 자신의정보에대한질문글을게시판에게재 L 씨 다른이용자까지 L 씨의정보확인 3 2 쇼핑센터 개인정보내용이담긴답글을 Q&A 게시판에공개 - 28 -
2. 개인정보저장 관리단계 9 검색엔진을통한개인정보노출 ( 위반사례 ) 홈페이지의잘못된설정으로사업자의개인정보데이터가검색로봇또는 검색사이트를통해검색결과로노출 검색로봇배제옵션미설정 A 기관 2 검색사이트에 A 기관 DB 검색 3 주민번호가검색결과로노출 - 29 -
2. 개인정보저장 관리단계 0 CCTV 등영상처리기기적법운영 ( 위반사례 ) 영상처리기기 (CCTV) 설치ㆍ운영시단순영상녹화기능뿐만아니라, 음성녹음기능을사용해목적이외의정보수집 영상정보녹화 정보주체 2 영상및음성정보까지녹화및수집 관리자 - 30 -
3. 개인정보제공 위탁단계 제 3 자제공시동의 ( 위반사례 ) 대형마트가경품행사에응모한정보주체의개인정보를동의없이 생명보험사에제공 물품구입후받은응모권으로경품행사참여 대형마트 2 동의없이고객정보제공 마트고객 3 보험상품홍보전화 생명보험사 - 3 -
3. 개인정보제공 위탁단계 제 3 자제공시동의 ( 참고사례 ) 백화점이보험업체와의마케팅제휴를통해회원개인정보제공시, 제공받는 자, 제공목적, 제공항목및이용기간등을명시하고별도동의필수 3 보험상품홍보전화 개인정보수집ㆍ이용동의 백화점고객 2 생명보험사동의획득방법동의획득후고객정보제공 개인정보제공현황고지 별도동의 회원가입시개인정보제공동의 백화점 - 32 -
3. 개인정보제공 위탁단계 제 3 자제공시동의 ( 참고사례 ) 여행서비스를위해항공사등에개인정보를제공하는경우, 제공받는자, 제공받는자의이용목적, 제공항목및보유ㆍ이용기간을고지하고동의획득 제공받는자 제공항목 제공받는자의이용목적 보유 이용기간 - 33 -
3. 개인정보제공 위탁단계 2 홍보목적의개인정보취급위탁시동의 ( 위반사례 ) 본래의서비스제공계약과는관계없는제휴서비스를홍보하기위하여, 텔레마케팅업무를콜센터에위탁하면서개인정보처리위탁사실을미통지 쇼핑센터 콜센터 2 취급위탁에대해정보주체에게통지없이개인정보처리를위탁 업무제휴 3 고객에게통지되지않은별도의제휴서비스홍보 B 제휴사 고객 - 34 -
3. 개인정보제공 위탁단계 2 홍보목적의개인정보취급위탁시통지 ( 참고사례 ) 개인정보취급업무위탁중재화또는서비스를홍보하거나판매를권유하는 업무를위탁하는경우위탁받는자및위탁업무의내용을정보주체에게통지 위탁받는자 위탁업무의내용 - 35 -
3. 개인정보제공 위탁단계 3 개인정보처리수탁자에대한관리ㆍ감독 ( 위반사례 ) IT 서비스운영을전문업체에외부위탁하였으나, 개인정보취급업무에대한 관리감독을수행하지않아개인정보유출 IT 서비스운영위탁후관리 감독미이행 여행사 ( 위탁자 ) IT 전문업체퇴직자 3 2 재직시수집한개인정보유출 개인정보처리시스템접근통제조치미비 IT 전문업체 ( 수탁자 ) - 36 -
3. 개인정보제공 위탁단계 3 개인정보처리수탁자에대한관리ㆍ감독 ( 참고사례 ) 개인정보취급위탁계약서에수탁자의개인정보보호조치등관련사항을 명시하고지속적으로관리ㆍ감독실시 수탁자가이행해야하는개인정보보호조치명시 - 37 -
4. 개인정보단계 개인정보 ( 위반사례 ) 결혼중개업체가이벤트행사목적으로수집한개인정보를이벤트종료 후에도하지않고홍보목적으로이용 이벤트참여고객으로부터개인정보수집 결혼중개업 P 씨 2 이벤트종료후에도여행상품소개문자메시지지속발송 - 38 -
4. 개인정보단계 개인정보 ( 참고사례 ) 종이에출력된문서는문서파쇄기로분쇄하여 전자적파일형태의개인정보는전용소거 S/W 를사용하여영구삭제 분쇄 파일완전삭제 - 39 -
5. 정보주체 정보주체권리보호 ( 위반사례 ) 정보주체의개인정보이용동의철회및광고문자수신거부에도불구하고 광고문자를수차례발송 여행상품광고문자메시지수신거부요청 여행사 L 씨 2 여행상품광고문자메시지지속적발송 - 40 -
5. 정보주체 정보주체권리보호 ( 참고사례 ) 개인정보수집방법보다쉽게동의철회를할수있도록홈페이지에서즉시 회원탈퇴메뉴제공 정보주체의동의철회요구를즉시처리할수있도록메뉴지원 - 4 -
III. 2 년현장점검결과 - 42 -
. 현장점검개요 - 43 -
2. 2 년현장점검결과 법조항별위반사항 제 25 조 ( 영상정보처리기기 ) : 은행권및대중교통시설의 CCTV 기획점검 - 영상정보접근권한미관리, 물리적접근통제미조치, 내부관리계획미수립, 보관시설 / 잠금장치미설치 제5조 ( 개인정보수집 이용제한 ) : 전업종공통위반사항 - 개인정보수집시필수고지사항누락, 동의거부권리및동의거부에따른불이익내용미고지개인정보수집동의절차누락 ( 동의절차가없는기존서식사용 ) 제29조 ( 안전조치의무 ) : 대부분기술적보호조치위반 - 내부관리계획미수립, 접근권한미관리, 전송시암호화미적용, 접속 ( 로그 ) 기록미관리제26조 ( 업무위탁에따른제한 ) : 위탁문서 ( 필수조치 ), 수탁사관리감독등제30조 ( 개인정보처리방침의수립 공개 ) : 책임자지정, 연락처미기재및방침미공개 - 44 -
< 사례 > 물류및유통사업자일제점검 ( 2. 6 월 ) - 45 -
< 사례 2> 구글링검색방식유출사고 ( 2. 7 월 ) - 46 -
< 사례 3> 보험사일제점검 ( 2. 8 월 ~9 월 ) 수집 처리관련고지및동의절차위반 (9 개사, 과태료 2,800 만원 ) - 고지사항미안내, 주민번호수집및보험판매권유를위한별도동의위반 수탁사관리감독소홀등위탁시준수사항위반 (4 개사, 과태료 800 만원 ) - 위탁서체결시보호조치사항미흡, 수탁사교육 점검미실시 기술적보호등안전성확보조치위반 (6 개사, 과태료 3,300 만원 ) - 주민번호암호화미조치, 접근권한관리부실등 - 47 -
< 사례 4> 은행권 CCTV 운영실태일제점검 ( 2. 월 ) 전반적으로 CCTV 안내판설치, 녹음기능미사용, 전담조직및개인정보보호책임자지정등은양호 < 주요위반사항 > 접근권한관리위반 (9건), 암호화미조치 (5건), 열람기록관리위반 (3건) 2 CCTV 운영업무위탁처리시관리 감독미흡 ( 위탁계약서상필수사항누락, 보호조치미비등 4건 ) 3 개인영상정보 ( 고객의비밀번호 계좌번호 ) 의과도한수집 (3건) 4 보유기간이경과한영상정보미 (3건) - 48 -
VI. 개인정보보호를위한사업자수칙 - 49 -
개인정보침해로인한피해는곧기업의피해! 손해배상금지급 개인정보유출 정보주체의배상소송 소송비용발생 회사이미지하락 고객이탈 잠재고객외면 매출감소 가치하락 신뢰저하 경쟁사의비방대상 - 50 -
개인정보보호를위한사업자수칙 - 5 -
참고자료 : 개인정보보호종합지원포털 : www.privacy.go.kr - 52 - - 52 -