개인정보보호현장점검사례 및향후중점사업 2013 년 4 월
Contents ts I. II. 개요 12 년현장점검사례 III. 진단및시사점 IV. 향후중점사업
I. 개요 3
1. 그간의주요추진업무 ( 11. 9~ ) 취약분야현장지원 관계법령일괄정비, 하위법령 / 지침마련 * 229 개시행령일괄정비, 7 종가이드라인배포 범정부기본계획및연도별시행계획수립 * 46 개부처연도별사업계획, 주민번호최소화대책 법 제도공공 / 민간맞춤형순회교육磨斧爲針홈페이지노출모니터링 * 총 21 회, 공무원정원 92%, 컨퍼런스사전예방 TV 공익광고, 캠페인등교육홍보조사점검합동점검단구성 / 운영민간자율규제 ( 협회, 시민단체 ) * 범국민운동본부, 개인정보보호포럼 磨斧爲針 * * 10 만개대상, 삭제및기술지원 6 개부처 14 명, 취약분야조사 기술지원중소사업자보호조치컨설팅 * 지역현장방문단, 개인정보보호종합포털 주민번호대체수단 (i-pin 등 ) 활성화 기타영향평가기관지정및운영 (18개) * 각기관영향평가업무수행지원 개인정보분쟁조정위원회운영
< 참고 1> 대상별정책대응방향 공공기관 (2만 5 천개 ) 대 중견기업 (3만 5 천개 ) 법적의무이행 인식전환및교육 기관자체개선 자율규제및개선 1 권역별순회및기관자체교육 1순회교육및간담회 2 기관별자율수준진단실시 ( 중앙, 지자체, 지방공기업등 ) 3 교육, 의료등분야별 T/F 운영 ( 지침마련 ) 2 컨퍼런스및전문교육지원 3 법위반사항에대한행정처분및시정개선 중소업체 소상공인 (317 만개 ) 단체 협회 (27 만개 ) 준계도활동 자율규제및개선 1 유형별맞춤형지원 (ASP, 본점, 프랜차이즈등 ) 2 현장방문지원단운영및컨설팅 ( 시 군 구 ) 3 대학생개인정보보호지원단운영및지원 1 사업자단체 협회순회교육및지원 2 범국민운동본부운영및자율규약 (MOU) 3 업종별사례집배포 자문 일반국민 : 파급력이큰매체활용한홍보 교육 (TV 공익광고, 극장광고, 포털등 )
< 참고 2> 그간의추진성과 (2012 년말기준 ) 인식확산및조치 침해상담신고 개인정보보호자가진단 유권해석질의 자율규제 MOU 체결 166,000 건 22,910 건 2,575 건 7 건 64,000 건 1,469 건 412 건 0 건 11 2 12 11 12 11 12 11 12 실태개선및지원 웹사이트개인정보노출건수 I-PIN 보급현황 ( 웹사이트 ) CCTV 안내판설치 개인정보암호화 ( 중앙부처 지자체 ) 0.7% 7,108 개 12,355 개 72.7% 7% 0.07% 23% 99% 09 12 11 12 12.3 12.9 12
II. 12 년현장점검사례 -7-
1. 총괄 총 47 회 756 개소점검, 과태료 57 건, 시정조치 360 건등총 441 건행정처분 구분금융업학원협회 / 연맹공공기관운송업의료업기타전체 점검기관 37 25 25 74 27 21 232 441 위반기관 33 20 17 49 17 11 217 364 위반비율 89.2% 80.0% 68.0% 66.2% 63.0% 52.4% 93.5% 82.5% 조사및점검 - 기획점검 : 취약분야, 위험업종대상중심실시, 제도개선병행 ( 정기 ) - 특별점검 : 침해사고, 유출신고등사고원인조사및책임규명 ( 수시 ) < 개인정보보호합동점검단 > 현황조사분석 업종별개인정보처리현황 개인정보관리실태 개인정보제공 / 활용현황 모니터링 개인정보유 / 노출현황 온라인점검 ( 원격진단 / 취약점분석 ) 침해사고, 민원 개인정보침해신고, 민원 분쟁조정신청 사고발생, 언론보도등 KISA, NIA, 리서치등 관계부처 / 기관연계 경찰, KISA 등
< 참고 1> 개인정보보호합동점검단 구성및주요기능 관계부처간유기적인협조를통해개인정보침해사고에효과적으로대응하기위한 개인정보보호합동점검단 을구성 운영 근거 : 국무총리훈령제 593 호 구성 : 총 14 명 ( 행안부, 방통위, 경찰청, 금융위, 교과부, 복지부, 전문기관 ) 운영 : 행정안전부에설치, 2012.11.8~2014.12.31 까지운영 기능 : 통신 금융 의료등주요분야합동점검, 예방관제및기술지원 단장 팀장 예방관제조사점검기술지원 침해모니터링및상황관리 침해사고분석및전파 관계기관 단체와의협력 실태점검및합동조사 복구지원 제도개선대책마련 피해확산방지 침해신고합동대응 기술지원상담및안내
2. 12 년현장점검결과 업종별주요위반사항 구분 주요위반내용 공공기관 개인정보파일미등록, 개인정보파일보유기간과다선정 로그인 / 실명확인시전송구간암호화미조치 민간분야 금융 유통 운송 선택사항미동의시서비스제공의무위반, 수탁회사관리감독소홀 PC 저장시암호화미조치, 보험서류관리소홀등 개인영상정보 ( 비밀번호, 계좌번호 ) 의과도한수집 개인정보영상정보파기위반, 암호화미조치, 열람기록관리위반등 개인정보최소한의수집위반, 고유식별정보별도동의위반 위탁시별도조치사항누락, 접속기록관리위반등 안내판기재항목누락, 관리방침수립 공개미이행 열람 제공시기록관리위반등
2. 12 년현장점검결과 업종별주요위반사항 구분 주요위반내용 의료 보건 동의시필수고지사항일부누락, 고유식별정보별도동의위반 개인정보책임자미지정, 접근권한관리위반, 내부관리계획미수립등 민간분야 학원 호텔 협회 동의시필수고지사항일부누락, 고유식별정보별도동의위반 개인정보의처리정지미조치, 전송시암호화미조치등 동의시필수고지사항일부누락, 수집 제공구분동의위반 전송시암호화미조치, 비밀번호작성규칙미수립, 접속기록관리위반등 기타 동의시필수고지사항일부누락, 고유식별정보별도동의위반 개인정보처리방침미수립, 전송시암호화미조치등
2. 12 년현장점검결과 법조항별위반사항 32% 13% 27% 14% 14% 제25조 ( 영상정보처리기기의설치 운영제한 ) 제15조 ( 개인정보의수집 이용 ) 제29조 ( 안전조치의무 ) 제30조 ( 개인정보처리방침의수립및공개 ) 기타 제 25 조 ( 영상정보처리기기 ) : 은행권및대중교통시설의 CCTV 기획점검 - 영상정보접근권한미관리, 물리적접근통제미조치, 내부관리계획미수립, 보관시설 / 잠금장치미설치 제 15 조 ( 개인정보수집 이용제한 ) : 전업종공통위반사항 - 개인정보수집시필수고지사항누락, 동의거부권리및동의거부에따른불이익내용미고지 개인정보수집동의절차누락 ( 동의절차가없는기존서식사용 ) 제 29 조 ( 안전조치의무 ) : 대부분기술적보호조치위반 - 내부관리계획미수립, 접근권한미관리, 전송시암호화미적용, 접속 ( 로그 ) 기록미관리 제 26조 ( 업무위탁에따른제한 ) : 위탁문서 ( 필수조치 ), 수탁사관리감독등 제 30 조 ( 개인정보처리방침의수립 공개 ) : 책임자지정, 연락처미기재및방침미공개
< 사례 1> 구글링검색방식유출사고 ( 12. 7 월 ) - 13 -
< 사례 2> 보험사일제점검 ( 12. 8 월 ~9 월 ) 수집 처리관련고지및동의절차위반 (9 개사, 과태료 2,800 만원 ) -고지사항미안내, 주민번호수집및보험판매권유를위한별도동의위반 수탁사관리감독소홀등위탁시준수사항위반 (4 개사, 과태료 800 만원 ) - 위탁서체결시보호조치사항미흡, 수탁사교육 점검미실시 기술적보호등안전성확보조치위반 (6 개사, 과태료 3,300300 만원 ) - 주민번호암호화미조치, 접근권한관리부실등 - 14 -
< 사례 3> 은행권 CCTV 운영실태일제점검 ( 12. 11 월 ) 전반적으로 CCTV 안내판설치, 녹음기능미사용, 전담조직및개인정보보호책임자지정등은양호 < 주요위반사항 > 1 접근권한관리위반 (9 건 ), 암호화미조치 (5 건 ), 열람기록관리위반 (3 건 ) 2 CCTV 운영업무위탁처리시관리 감독미흡 ( 위탁계약서상필수사항누락, 보호조치미비등 4 건 ) 3 개인영상정보 ( 고객의비밀번호 계좌번호 ) 의과도한수집 (3 건 ) 4 보유기간이경과한영상정보미파기 (3 건 ) - 15 -
< 참고 2> 우수사례 1 접근기록감사 개인정보접근기록을상시모니터링하고의심사항을즉시확인 (ooo) 접속기록분석을통해불필요한퇴사자계정 (13), 원격접속계정 (6) 등삭제 (ooo) 상시모니터링 접속기록분석 접근경로분석 작업내용분석 상시모니터링결과소명처리절차 - 1의심사례검출, 2소명요청, 3소명등록, 4소명내용심층분석, 5소명판정, 6문서시행, 7위반의심자조치, 8조치결과확인 사용자별접속수 일평균접속자수 -16-
< 참고 2> 우수사례 2 위탁업무관리 위탁업무의유형및특성에따라관리 / 감독계획을수립 (ooo) 수탁자대상실태관리점검표를개발하여매월점검 (ooo) 관리 / 감독계획및점검 기술적보호조치 (6개분야 50개점검항목 ) 관리적보호조치 (10 개분야 42 개점검항목 ) 위탁업무형태, 수탁자선정시고려사항, 위 / 수탁계약체결시주의사항, 수탁자에대한교육, 정기점검 ( 목적및방법론 ) 등 -17-
< 참고 2> 우수사례 3 개인정보보호책임자역할수행 개인정보보호책임자가관리실태자체점검계획을수립하여점검을실시하고부서별 미흡사항에대한개선조치를점검 (ooo) 자체점검및개선조치 -18-
III. 진단및시사점 -19-
1. 공공기관보호수준진단결과 개인정보보호관리체계, 보호대책, 침해대책등관리수준진단및적극적인개선유도 - 12 년진단대상 : 중앙부처 (43), 지방자치단체 (16), 지방공기업 (129) 등 188 개기관 진단절차및방법 법규, 지침등에대한준수상태를자율적으로점검 12 개진단항목별실적과증빙자료온라인등록 실적과증빙자료 검증및평가 기관별진단결과통보및조정 법위반에따른감점기준적용 진단결과및개선조치요구서통보 기관별자율적인개선조치및지원 (KISA)
1. 공공기관보호수준진단결과 중앙부처, 시도는양호한편이나지방공기업은개선필요 조직 예산등관리체계구축은양호, 위탁관리및시스템접근기록관리등침해예방 관리활동은개선필요 지표별진단결과 전담조직및인력구성 99.38 관리체계구축 개인정보보호를위한예산확보위탁업무에따른관리감독 73.84 98.81 개인정보보호교육 93.80 개인정보보호책임자역할수행 89.92 보호대책수립및시행 개인정보수집이용최소화이행개인정보파일관리영향평가계획수립및결과관리 86.72 90.11 95.22 개인정보처리방침수립및공개 91.59 침해사고대책 개인정보노출방지및자율개선침해사고대응절차수립전파개인정보처리시스템접근기록관리 83.09 86.69 92.13-21-
2. 12 년실태조사결과 기업 / 기관실태조사결과 ( 12. 12 월기준 ) - 법인지도 : 75.5%, 동의절차, 법적필수조치사항인지도 : 71.4% 전담인력 / 조직 : 10.9%, 보안투자 : 26.1% ( 투자전무 : 73.3%) 君君! 臣臣! 父父! 子子! 국회 정부 언론 기관 / 기업 ( 개인정보처리자 ) ( 약 350 만개 ) 시민단체 보안 / 개발업체 국민 / 이용자 ( 정보주체 ) ( 약 5,000 만명 )
< 참고 > 규제성격의변이현상 ( 규제악순환 ) 넓게분산넓게Majoritarian Politics Client Politics 감지게Entrepreneurial Politics Interest-group Politics 집감지된편익 넓게분산 좁게집중 분산 경제적규제 ( 죄수의딜레마 ) 규제지속강화 부담증가된비용강증좁중 사회적규제 ( 엄격, 절차규정 ) 위기, 재난, 사회적책임
3. 시사점 Bottom line Co-Design, Co-operation operation Harmonization
IV. 향후중점사업 -25-
1. 단계별추진전략 -26-
2. 13 년주요업무계획 민관협치의보호수준향상 법제도개선및책임성강화 주요업종계약서 / 서식일괄정비 - 과다, 불필요수집및무단제공관행근절 인증마크제도입추진 - 업종별자율점검및개선유도 개인정보보호법개정 - 주민번호수집 / 이용최소화대책 후속조치 빅데이터시대개인정보보호대책마련 - 데이터공유 / 개방및보호조치조화등 취약업종, 반복노출기관점검강화 행정처분확행및관계기관협력강화 창업자대상, 개인정보조치지원강화 주민번호대체수단도입 / 전환기술지원 지역거점지원센터 설치및운영 합동점검및실태개선 기술지원및교육
3. 중점사업 ( 민관협업의보호수준향상 ) 주요업종 계약서, 서식개선 과다, 불필요개인정보수집, 무단제공관행근절 - 통신, 금융, 쇼핑등주요업종 163종서식정비 * 수집 / 이용절차, 고지사항, 최소수집원칙등 행정 / 민원서식 : 1,650 종일괄정비 ( 주민번호 생년월일 ) 개인정보보호수준인증제도입 개인정보보호수준에따라등급별인증마크부여 인센티브 ( 행정처분면제 / 경감, 포상등 ), 대국민홍보 / 소개등 개인정보보호관리과정, 개인정보보호대책구현등심사 * 기업규모등을고려, 심사항목차등화 ( 소상공인별도체계 ) 민간협회단체자율규제강화 시범협회 / 단체지정 사례전파 자율활동문화정착 * 맞춤형정보제공 / 교육, 컨설팅, 자율점검및규약제정등 개인정보보호포럼 및 범국민운동본부 활성화
3. 중점사업 ( 법제도개선및책임성강화 ) 주민번호수집법정주의 ( 원칙적금지, 법령예외 ) 법개정 주민번호유출기업대상과징금제도신설 (5 억원이하 ) 유출기업및기관의 CEO 및임원징계권고제도입 국외이전기준빅데이터보호방안 APEC CBPRs 및 EU 적합성평가 대응전략마련 * 국외이전가이드라인 수립및배포 개인정보보호분야국제협력및국제공조체계강화 * APEC, OECD, ISO, Cyber-Space 총회등 빅데이터환경, 개인정보보호조치강화방안 데이터처리단계별개인정보보호기준및절차마련
3. 중점사업 ( 합동점검강화및실태개선 ) 취약업종, 분야 점검강화 합동점검단 중심기획조사및특별조사강화 * ( 선정기준 ) 민감정보다량보유, 회원유치과열반복다량노출, 반복민원 / 신고발생 행정처분확행, 관련협회 / 단체사례전파 관계기관협력 제도개선 금융위, 방통위등관계기관합동제도개선추진 분야별취약요인, 구조적문제점등진단 / 분석 업종, 분야별가이드라인마련및배포 통합모니터링및조치강화 개인정보유 / 노출모니터링정보공동활용및대응조치 * 민원인실수, 관리자조치필요사항및홈페이지설계등 사전삭제조치, 교육 / 홍보, 기술지원및조사단속등
3. 중점사업 ( 기술지원및교육강화 ) 창업자지원 창업자대상개인정보보호조치지원 - 기술적, 관리적안전성확보조치사항컨설팅및지원 중소기업청, 자치단체 ( 창업지원센터 ) 연계협력추진 주민번호대체 / 전환 주민번호미수집전환, 대체수단마련지원 중소업체대상, 시범모델개발및보급 가이드라인 마련및교육 / 상담추진 지역거점지원센터 지역별교육, 컨설팅및보호조치사항지원 - 지역상공회의소, 지역교육기관, 대학교, 지역교육센터등
4. 역할과자세 ( 개인정보보호, 1.0 3.0 ) 개인정보보호책임자 정책수립및체계정립 - 보호계획 / 방침, 전담조직 / 투자 소양및관리역량확보 - 개인정보처리현황, 관리실태이해 관리감독 (Risk Mgt) - 내부통제시스템및정기감사 Steering Supporting 시스템운영관리자기술적보호조치및이행관리 - 접근권한 / 인적보안, 접속기록감사 Communication 역량강화 - 보안투자, 개선조치사항 개인정보생명주기별관리 / 지원 - 업무 +IT IT, 전사적시계 Compliance 개인정보취급자 인식및관행변화 - 업무처리절차 / 방식개선, 교육 민원처리및피해구제 - Double/Cross Check, Reporting
-33- 참고자료 : 개인정보보호종합지원포털 : www.privacy.go.kr( 자료실 )