2013 개인정보관리책임자및취급자워크숍 시간 프로그램 비고 13:30 14:00 행사장도착및등록확인 14:00 14:30 인사말씀및개인정보보호정책추진현황 방송통신위원회 14:30 15:00 인터넷상주민번호사용제한추진경과및향후계획 황보성팀장 ( 한국인터넷진흥원 ) 15:00 15:20 Coffee Break 15:20 15:50 사이버테러및개인정보유출시대응방법 하태균책임 ( 한국인터넷진흥원 ) 15:50 16:20 개인정보보호우수정착사례발표 이진화팀장 (Daum) 16:20 16:30 휴식및자리정돈 사회 : 박영우팀장 ( 한국인터넷진흥원 ) 구태언변호사 ( 테크앤로법률사무소 ) 16:30 17:50 개인정보보호법률전문가현장 Q&A 박민철변호사 ( 김앤장법률사무소 ) 장준영변호사 ( 법무법인태평양 ) 권창범변호사 ( 법무법인仁 ) 17:50 18:00 폐회및경품추첨
개인정보보호정책방향 2013. 7. 8 ( 월 ) 방송통신위원회개인정보보호윤리과
생각해볼문제 지난 5년간개인정보유출사고에대한정부의대응이적절하였는가? 개인정보!! 보호할것인가? 이용할것인가? 개인정보보호글로벌이슈에어떻게대응할것인가? 개인정보보호동향
개인정보보호동향 1. 개인정보보호개념의확대 스마트사회도래에따라개인정보보호의범위확대 - 신상정보위주의인적 신체적 재산적 사회적정보 ( 정형적정보 ) 에서 행태 위치정보 성향정보 웹사이트방문기록 ( 비정형적정보 ) 등으로확장 이름주민번호 ㅇ 바이오정보 위치정보 행태정보 오프라인 온라인 비자발적공개 자발적공개 정형적정보 비정형적정보
클라우드컴퓨팅, H/W 가격하락등의 ICT 기술발전 SNS, 온라인커뮤니티, 블로그등의확산 개인정보유통의흐름이오프라인에서온라인으로변경 연도별개인정보유출사고 ( 08 년 ~ 12 년 ) 3500 만 현재와미래 1863 만 옥션 1151 만 GS 칼텍스 2000 만 신세계몰 1900 만 대부업체저축은행등 SK 컴즈 1320 만 넥슨 400 만 EBS 870 만 KT 스마트폰앱을통한개인정보유출 08. 2 월 08. 9 월 10. 3 월 11. 6 월 11. 7 월 11. 11 월 12. 5 월 12. 7 월
ICT 서비스의개인정보침해는전세계적으로동시에이슈화 구글개인정보통합 ( 12. 3 월 ) 구글스트리트뷰개인정보무단수집 ( 08 년 ~ 10 년 ) ㅇㄹㄴㅇㄹ 프랑스등 EU 6 개국은구글이 EU 의개선 권고 ( 12. 10 월 ) 를미이행하자, 이에대한공동대응추진 ( 13. 4 월 ) 미국 38 개주정부는구글로부터 700 만달러를제공받기로합의 ( 13. 3 월 ) 프랑스, 독일, 벨기에등유럽국가들은구글에금전적제재부과 1 창조경제의 핵심자산으로서개인정보활용범위및필요성급증 다양한개인정보가활용되는맞춤형서비스가인터넷新사업의성장동력으로 급부상하면서개인관련정보에대한수요증가 취미, 지역 검색기록쇼핑몰구매이력나이, 성별맞춤형광고 2 창조경제 활성화를위해서는개인정보보호와효과적활용필요 개인정보의경제적가치를노린해킹등개인정보침해사고급증 과도한개인정보규제는창조경제성장의걸림돌이되고, 개인정보의무분별한활용은해당서비스에대한신뢰저해
무료서비스이용등을위한이용자의개인정보제공의증가로웹트랙킹기술을활용한개인정보기반광고시장확대사이버공격으로발생할수있는기업의손실을보호하기위해사이버보험등미국보험시장은빠르게성장하고있는추세 출처 : MIT Business Report 2012, The Value of Privacy 개인정보가축적된빅데이터가사용자중심으로구성되면서새로운비즈니스모델이창출기업은점차개인정보가축적된 DB 자체를중요한수익모델로활용하고있으며, SNS 서비스영역의확대로이용자가오프라인에서보이는행태까지알아내는수준으로발전 출처 : Accenture Technology Vision 2012
주민번호수집 이용금지 인터넷상에서이용자의주민번호수집 이용원칙적금지 신규주민번호수집 이용금지 ( 13. 2. 18~), 기존에수집한주민번호까지모두파기 ( 14. 8. 18~) 주민번호수집이용제한실태조사실시중 주민번호대체수단보급확대 대체수단보급확대 아이핀발급 (1,098만건), 범용공인인증서 (320만건), 휴대폰인증 (5,380만대) 아이핀발급건수 : 11년 453만건 12년 701만건 13년 5월 1,098만건인터넷주민번호클린센터구축 운영 사업자대상대체수단적용등을위한상담및기술지원 10,000 여개영세사업자주민번호수집창삭제지원등 14 년까지주민번호없는클린인터넷환경조성 기업의개인정보대량누출등침해사고방지를위해보호조치의무위반사업자에대한처벌규정및조사체계강화 개인정보누출시보호조치의무위반사업자에대한과징금부과 처벌강화 단순보호조치위반시과태료 3 천만원이하 너무적은것아닌가 보호조치와누출인과관계입증시과징금 1 억원이하 행정부가인과관계를입증가능한가 조사체계강화 개인정보누출사고발생시신속한초기대응체계구축 경찰청 미래부 안행부 금융위등유관기관과의원활한업무협조강화개인정보누출기업장기집중관리제도도입검토 美, 구글개인정보보호정책등 20년간격년으로정기보안감사 ( 13. 5월 )
1 주민번호 수집여부모니터링및개선안내 2 스마트폰 앱모니터링실시 3 취약 분야에대한조사강화 범국민홍보 일반인의개인정보보호인식제고를위한대국민홍보실시 주민번호수집 이용제한정책에대한대국민홍보수행 TV 및라디오등매체광고실시이용자의개인정보보호에대한주의환기및인식제고를위한인터넷내정보지킴이캠페인등시행 인식제고교육 사업자및이용자를대상으로개인정보보호교육실시 일반인과전국초 중 고학생대상개인정보보호순회교육실시 아동, 초 중 고학생및학부모, 일반인등교육 ( 13년목표:30만명) 정보통신망법법규위반사업자등대상전문교육실시 개인정보관리책임자, 취급자등교육 ( 13년목표 : 1,100명 )
1 한중인터넷협력센터 ( 12. 11 월, 북경 ) 를통해중국인터넷기업협회 (ISC) 등 관계기관과협력하여주민번호노출모니터링및삭제강화 2 APEC 등에참여하여글로벌사업자의개인정보보호강화를 위한가이드라인마련등공동대응 3 개인정보 보호글로벌이슈에대응 : 잊혀질권리등 잊혀질권리 는인터넷상이용자의권리보호및선택권강화를위해필요 VS 무제한인정은제 3 자가복사, 링크한경우기술적한계를가지며, 타인의표현의자유에대한침해우려 ` 1 개인정보를보호하되빅데이터등신규서비스활성화를위해전문가, 기업의의견수렴을통한개인정보범위의불확실성해소 개인정보는성명, 주민번호등개인이누구인지알수있는정보또는그자체로는아니지만, 다른정보와결합하면개인이누구인지알수있는정보도포함 ( 이메일주소, ID 등 ) 2 위치정보사업활성화를위해개인정보를이용하지않는위치 정보사업자에대한진입규제완화 ( 허가 신고면제 ) 3 사업현장에서느끼는법 기술적용의불확실성해소를위해 변호사등관련전문가와사업자간현장 Q&A 미팅마련
2013. 7. 8( 월 )
전혜숙의원 ( 안 ) 등정보통신망법개정 ( 안 ) 발의국회본회의통과 (12.29) 개정망법공포 (2.17) 개정망법시행 (8.18) 6개월간계도기간제공 (~2.17)
1 정보통신서비스제공자는다음각호에해당하는경우를제외하고는이용자의주민등록번호를수집 이용할수없다. 1. 제 23 조의 3 에따라본인확인기관으로지정받은경우 2. 법령에서이용자의주민등록번호수집 이용을허용하는경우 3. 영업상목적을위하여이용자의주민등록번호수집 이용이불가피한정보통신서비스제공자로서방송통신위원회가고시하는경우 2 제 1 항제 2 호및제 3 호에따라주민등록번호를수집 이용할수있는경우에도이용자의주민등록번호를사용하지아니하고본인을확인하는방법 ( 이하 대체수단 이라한다 ) 을제공하여야한다.
개인정보보호법제 24 조의 2 ( 주민등록번호처리의제한 ) 1 제 24 조 1 항에도불구하고개인정보처리자는다음각호의어느하나에해당하는경우를제외하고는주민등록번호를처리할수없다. 1. 법령또는조례에서구체적으로주민등록번호의처리를요구하거나허용한경우 2. 정보추체또는제 3 자의급박한생명, 신체, 재산의이익을위하여명백히필요하다고인정되는경우 3. 제 1 호및제 2 호에준하여주민등록번호처리가불가피한경우로서안전행정부장관이정하여고시하는경우
1 목차 2
배경 사이버보안위협의진화 3 배경 4
개정정보통신망법소개 5 개정정보통신망법소개 6
개인정보누출신고 7 개인정보누출통지 8
개인정보실태점검 ( 사실조사절차 ) 9 개인정보실태점검 ( 사실조사절차 ) 10
개인정보실태점검 ( 사실조사절차 ) 11 개인정보실태점검 ( 사실조사절차 ) 12
개인정보실태점검 ( 사실조사절차 ) 13 개인정보실태점검 ( 사실조사절차 ) 14
개인정보실태점검 ( 사실조사절차 ) 15 사업자대응방안 16
사업자대응방안 17 사업자대응방안 18
사업자대응방안 19 사업자대응방안 20
사업자대응방안 21 사업자대응방안 22
23
개인정보보호를위한노력 - 개인정보관리책임자및취급자워크숍 - 2013 년 7 월 8 일 다음커뮤니케이션개인정보보호팀이진화 목차 Ⅰ. 제휴사개인정보보호점검제도및관리체계 1. Business 환경이해 2. 배경및목적 3. 추진업무 4. 점검절차 5. 단계별관리체계 6. 지원사항 II. Daum 의개인정보이용내역통지제도 1. 개요 2. 개인정보이용내역통지정책 3. 개인정보이용내역통지제도프로세스 4. 개인정보이용내역통지방법 5. 개인정보이용내역통지페이지구성 ( 안 )
Ⅰ. 제휴사개인정보보호점검제도및관리체계 1. Business 환경이해 Daum 은이용자와광고주로부터다양한개인정보를받아포털서비스를제공하고있으며, 이를위해 CS, 이벤트, 서비스운영등제휴사에게개인정보를위탁 / 제공하고있습니다. 1 서비스제공 2 광고영업 이용자 Daum 웹사이트 / 모바일앱 광고주 4 서비스이용 3 광고구매 포털서비스제공 개인정보위탁 / 제공업무 CS 프로모션 서비스운영 사회공헌 이벤트 광고영업 제휴사와연계된개인정보관리체계구축및강화필요 4 Daum 의개인정보보호를위한노력
법적책임및규제강화개인정보수탁사관리강화정부의 3 2. 배경및목적 Daum 제휴사개인정보관리체계를강화하고, 고객정보유출로인한회사의위험을최소화하여개인정보관리수준을향상할수있는상생모델을지향합니다. 개인정보보호법시행 과태료등행정처분실시 수탁사의개인정보관리부실로인한비즈니스위험증가 5 Daum 의개인정보보호를위한노력 개인정보수탁사관리 감독에대한법적책임강화 - 수탁사의불법행위로인한손해배상책임 개인정보수탁사관리에대한지속적인실태점검강화 ( 개인정보위탁자의의무와책임강화 ) OO통신사수탁사에서운영하는매장에서가입신청서류무단투기로개인정보유출 택배업체가상품배송을위해쇼핑몰서버에서내려받은개인정보를외부에불법판매 OO캐피탈에서개인정보취급위탁을받은리스용차량정비업체네트워크망을통해 175만여명의고객정보유출로인한법적 사회적책임발생 1 Daum 개인정보제휴사의개인정보관리체계강화 입점시사전점검을통한제휴사개인정보관리체계수립및자체점검토대마련 2 제휴사에의한 Daum 고객개인정보유출위험성최소화 입점후개인정보관리현황사후점검을통한관리수준정기적인확인및개선조치병행 Daum & 제휴사개인정보관리수준향상 상호연계된개인정보관리체계강화를통한개인정보위험관리수준동반향상 ( 상생모델 ) 3. 추진업무 Daum 제휴사의신규입점시개인정보보호수준사전점검및계약갱신시사후이행점검수행을통하여유기적인관리체계를구축하였습니다. 1 2 3 추진업무제휴사사전점검체계구축제휴사사후점검체계구축제휴사지원방안마련 업무별SubTask 제휴사사전점검체크리스트개발 Compliance 기본요건등을반영한점검체크리스트개발 제휴사사전점검진행 제휴사온 / 오프라인점검보고서및개선조치가이드제공 제휴사사후점검체크리스트개발 Compliance 필수요건등을반영한점검체크리스트개발 제휴사사후점검진행 제휴사유형 / 규모 / 위험도분석을통한최적화된점검체계구축 제휴사초기년도점검비용 50% 실비지원 점검제도조기정착및제휴사초기부담최소화 사전점검결과에따른개선방안및관련양식, 가이드제공 제휴사현황을고려한점검유예방안마련 ISO, BSI, PIMS, ISMS, e-privacy 보유기업 제휴사 위탁 / 제공업체... 6 Daum 의개인정보보호를위한노력
4. 점검절차 제휴사개인정보보호사전 / 사후점검세부절차는다음과같습니다. 1 제휴사현황검토 1.1 신규 / 갱신신청사전 / 사후점검후속조치 사전점검대상여부검토 1.2 사전점검절차안내 비고 위탁 / 제 3 자제공사업자점검제도안내브로셔제공 2 제휴사사전 / 사후점검 2.1 제휴사점검일정협의 2.2 제휴사점검수행 2.3 제휴사점검결과보고서작성 2.4 제휴사입점 / 갱신여부결정 위탁 / 제 3 자제공사업자별점검결과보고서제공 3 제휴사지원 3.1 제휴사유형별점검체크리스트제공 3.2 관련양식, 가이드제공 3.3 점검기준충족을위한개선방안제시 위탁 / 제 3 자제공사업자자가점검체크리스트제공 위탁 / 제 3 자제공사업자자가점검가이드제공 7 Daum 의개인정보보호를위한노력 5. 단계별관리체계 1) 점검체크리스트및가이드개발 (1/3) 제휴사점검체크리스트는개인정보보호법, 정보통신망법, 위치정보보호법및관련 Compliance 를비교분석하여총 50 개점검항목으로자체구성하였습니다. 1-1 제휴사점검체크리스트개발 (1/2) 개인정보보호법 법 시행규칙 표준개인정보보호지침 정보통신망법 법 시행규칙 위치정보보호법 법 시행령 시행규칙 개인정보의안전성확보조치 시행령 개인정보의기술적 관리적보호조치기준 시행령 위치정보의관리적 기술적보호조치권고 관리적보호조치 (11 개항목 ) 개인정보생명주기 (9 개항목 ) 기술적보호조치 (30 개항목 ) 제휴사점검체크리스트 (14 개영역, 50 개점검항목 ) 범주영역점검항목수 개인정보보호정책 개인정보보호조직 개인정보취급자관리 감독 물리적보안 개인정보수집 개인정보이용및제공 개인정보파기 접근권한 접속기록관리 비밀번호관리 네트워크접근관리 단말기보안 2 개 2 개 4 개 3 개 2 개 3 개 4 개 7 개 4 개 4 개 4 개 5 개 개인정보관리체계 (PIMS) 개인정보암호화 개인정보출력복사보호 4 개 2 개 8 Daum 의개인정보보호를위한노력
5. 단계별관리체계 1) 점검체크리스트및가이드개발 (2/3) 50 개점검항목별객관적인점검기준을통해신뢰성있는점검결과도출이가능하도록체크리스트를구성하고, 점검항목, 중요도산정, 점검기준검토를통해최적화하였습니다. 1-1 제휴사점검체크리스트개발 (2/2) 점검체크리스트 최적화방안 범주영역 관리적보호조치 개인정보보호정책 영역설명 고객개인정보의안전한취급을위하여개인정보보호정책을수립하여시행하고있습니까? No. 점검내용 1.1.1 회사내개인정보보호정책문서 ( 내부관리계획서 or 개인정보관련규정 ) 가존재하며, 대표자 ( 또는대표이사, 최고경영책임자 ) 의결재를받았다. 통제점검항목 점검기준 (Y:1 점 /P:0.5 점 /N:0 점 ) Y - 개인정보보호정책문서를수립하고결재를받은경우 P - 개인정보보호정책문서를수립하였으나결재를득하지않은경우 N - 개인정보보호정책문서를수립하지않은경우 1.1.2 개인정보보호정책문서 Y - 전임직원이개인정보보호정책문서를 ( 내부관리계획서 or 개확인한경우인정보관련규정 ) 는사 P - 일부직원만개인정보보호정책문서를내게시판에공지하거나확인한경우전임직원에게이메일로 N - 전임직원이개인정보보호정책문서를배포하고있다. 확인하지않은경우 점검결과 Y P 점검항목최적화 제휴사의개인정보처리시스템유무에따른접근권한, 암호화등기술적보호조치항목최적화 중요도산정 점검항목별중요도를산정하여, 필수점검항목및권고항목구분 기술적보호조치 개인정보출력 복사보호조치 개인정보의조회, 출력, 복사시보호방안이마련되어있습니까? 3.7.1 개인정보조회 출력기능구현시업무상불필요한정보는 * 표시를이용하여노출을제한하고하고있다. Y 불필요한정보를조회 출력하지않거나 * 표시를하는경우 P 불필요한일부정보에대하여 * 표시를하지않은경우 N - 정당한사유없이모든정보에 * 표시를하지않은경우 N 점검기준최적화 다음커뮤니케이션과제휴사의실제업무프로세스에따른점검기준최적화 9 Daum 의개인정보보호를위한노력 5. 단계별관리체계 1) 점검체크리스트및가이드개발 (3/3) 제휴사의개인정보보호관리체계수립및자체점검을위하여상세점검가이드를개발하였습니다. 1-2 제휴사점검가이드개발 영역점검항목적용방안예상위험점검절차 암호화 개인정보를개인용컴퓨터 (PC) 에저장할때암호화하고있는가? 개인정보를 PC 에내려받아저장할때는파일암호화제품등을이용하여암호화함으로써불법적인노출및접근으로부터차단되어야한다. (1) 개인정보의저장형태가어플리케이션파일형태일경우해당어플리케이션에서제공하는암호설정기능사용 < 적용방법 > 한글, 오피스파일암호화 : 메뉴 -> 파일 -> 문서암호 MS 오피스파일암호화 : 준비 -> 문서암호화 PC 내저장된개인정보파일이외부로유출될위험 (1) 시작 > 검색 > 모든파일또는폴더 > 검색할확장자입력 > 검색 기본검색확장자 : *.xls;*xlsx;*.doc;*.docx;*.ppt ;*.pptx;*.pdf;*.hwp;*.txt;*.zi p;*.rar;.jpg;*.bmp;*.tif (2) 검색된결과에서개인정보파일로의심되는파일을열어패스워드암호화적용이되었는지확인한다. 단순적발을위한점검이아닌제휴사의개인정보보호관리체계수립및강화를위한적용방안등상세가이드제공 10 Daum 의개인정보보호를위한노력
5. 단계별관리체계 2) 제휴사이행점검및점검체계구축 (1/3) 온 오프라인점검을통해제휴사의개인정보관리현황을파악하고, 취약점식별및개선대책을제시합니다. 2-1 제휴사점검수행 제휴사개인정보관리현황점검및개인정보흐름분석 11 Daum 의개인정보보호를위한노력 5. 단계별관리체계 2) 제휴사이행점검및점검체계구축 (2/3) 제휴사 ( 위탁 / 제 3 자제공사업자 ) 개별점검결과총점및발견된사항에대한세부개선방안및가이드를제공합니다. 2-2 제휴사점검결과보고서작성 위탁 / 제 3 자제공사업자개별보고서총점 개선방안및상세가이드 제휴사담당자와의커뮤니케이션을통해발견된취약점의명확한인지및향후개선과제이행독려 12 Daum 의개인정보보호를위한노력
80.0 60.0 40.0 20.0 0.0 유비청우올에프레포트큐피푸헬정푸로맘인사지피알원미디컴나인플랜애니퍼포먼스한진택배미디어포스라인엔엠디쿠프마케팅청담클락워크지니스커뮤니케이션에덴레드코리대한통한현마음컴퍼스퀘명코리아제너두코리아리코넷배사배성물2011.2H 2012.1H 2012.2H 100.0 80.0 60.0 40.0 20.0 0.0 이든앤엘리스리나인플랜 ICMC 애니퍼포먼스유비클 ( 구큐피콘 ) 하명코리아 지컴쿠프마케팅 TNC 코리아클락워크피알원미디컴 지니스커뮤니케이션올에프마음컴퍼니 ( 前 ATF 코리아 ) 에덴레드코리아미디어포스 라인엔엠디이든앤엘리스포샵흐를류원은 2013.1 2013.2 2013.3 2013.4 2013.5 2013.6 2013.7 2013.8 2013.9 2013.10 2013.11 2013.12 포흐샵를류원5. 단계별관리체계 2) 제휴사이행점검및점검체계구축 (3/3) 제휴사별유형 / 규모 / 위험도및평가등급에따라제휴사를차등적으로관리하는점검체계를수립하고, 제휴사의점검일정, 이행수준등을지속적으로관리할수있도록점검관리도구를개발하였습니다. 2-3 제휴사점검체계구축 제휴사점검관리도구개발 < 평가등급 > 카테고리업체정보수탁유 No. Code 업체명형 1차 ('11.2 H) 등급 2차 ('12.1 H) 등급 3 차등급 3차점검 ('12 하반기 ) 개인정보정통점검일취급 / 망법처리 개인정보보호법 3 차점검개인정보관리현황 개인정보책임자 개인정보담당자 이벤트 2 A02 ICMC 26.0 매우미흡 78.8 양호이행 ( 방문 ) 2012.11.09 조용철대표이사강민식팀장 ebay 개인정보취급자 강민식, 고민우, 노우신 이벤트 3 A03 애니퍼포먼스 32.0 매우미흡 79.9 양호이행 ( 방문 ) 2012.10.31 금희영대표이사서현석팀장서현석 1 하태성, 연선아, 박이벤트 4 A04 유비클 ( 구큐피콘카테고리 ) 업체정보 37.0 매우미흡 52.9 미흡이행 ( 방문 ) 2012.11.13 정용환팀장하태성개인정보처리대리시스템관리현황혜선, 이현주황지선, 이지은, 백이벤트 7 A07 쿠프마케팅 48.0 개인정보미흡 89.2 우수이행 ( 방문 ) 2012.11.06 전우정 COO 김덕수팀장초희, 김종현, 임경수탁유연동여암호화항목 No. Code 업체명처리시스 URL or CS프로그램 IP DB위치연동회원DB ebay 제공정보익김홍근김덕수형부 ( 고유식별정보, 패스워드 ) 이벤트템 취급자수 3 4 개인정보교육이수자 노우신, 고민우, 강민식 봉혜진, 이건, 서현석 박혜선, 이현주, 하태성 교육이수자수 3 3 3 개인정보처리취급개인정보수 이름, 주소, 연락처, 주민등록번호 (5만원초과경품당첨고객 ) 이름, 아이디, 전화번호, 휴대폰번호, 이메일 휴대폰번호 50건 ~ 100건 (2012 년 5월이후 ) 월평균 150 건 월평균 16,000 건 ( 누적 977031건 ) 이름, 핸드폰번호, 월평균 10,000건, 7 황지선, 김덕수 2 년 10만건이상일화면 * 처리엑셀저장접근가능위치통신구간암인증방법 IP접근제한 PW정책호화 (SSL) 이벤트 2 A02 ICMC N 이벤트 10 A10 피알원미디컴 52.0 미흡이행 ( 문아이디, 이름, 주소, 전화약 20,000 건이행 ( 문서 ) 1건 위탁업무문경호중약본부장이효인과장 0 이름, 아이디 0, 서 ) 호, 휴대폰번호, 이메 1고유식별정보 : N/A 번호이벤트 3 A03 애니퍼포먼스 Y O 이벤트관리시스템 (FTP) 호스팅사 ( 카페24) 150명개인정보처리 N/A 전화번호, 휴대내부 / 외부 O ID/PW X 일 2패스워드 : N/A 폰번호이메일 1DB (IDC 쿠피콘관리시스템 211.233.60.1 월평균약 1만6천건이벤트번호, 휴대폰번 1고유식별정보 : N/A 이벤트 4 A04 유비클 ( 구큐피콘 ) Y O 유비클별도 xxx 처리없음휴대폰번호 ( 사용내부 / 외부 X Terminal Access) O ( 주문, 정산, 이벤트관리 ) 95 누적 977,031 호 2패스워드 : 옥션톡합개인정보시스템 2Web (IP제한 + 1고유식별정보 : N/A VPN 인증 ( 특정 IP, 이벤트 7 A07 쿠프마케팅 Y O (http://coupon.auction.co.kr/ - ebay IDC 1만 ~10만휴대폰번호이름 (1자리), 아이디 (2자리) 내부 / 외부 O O 2패스워드 : N/A PC에서접속 ) AdminTool/Login/Login asp) 쿠폰관리시스템 (Web) ID, 휴대폰번호, 이름 ( 필 1고유식별정보 : N/A 이벤트 Y O 종합 - 점검표 SK브로드밴드 IDC 1만 ~10만별도 xxx 처리없음내부 O ID/PW X ( 자체문자발송서버 ) 요시 ) 2패스워드 : 일방향암호화코드업체명 2011.2H 2012.1H 2012.2H D01 트레포트 41.8 종합점검그래프이벤트 10 A10 피알원미디컴 Y A12 올에프 39.0 46.5 B02 청우 52.9 100.0 이름 ( 송 / 수화 1내부 (ID/PW 인 A04 유비클물류시스템호스팅 ( 구큐피콘 ) 37.0 52.9 1고유식별정보 : N/A 없음 ( 주민번호모두를확인해관세사 1 B01 청담 Y B05 O 우정누리호스팅월 50건주민번호인 ), 주소, 핸드폰내부 / 외부 X 증 ) X (http://www.tplkorea.co.kr) 55.3 2패스워드 : 암호화 ( 인터뷰 ) 야함 ) F01 푸푸맘 57.6 번호, 전화번호, 2외부 (ID/PW 인 C02 헬로인사 58.1 B01 청담 61.4 E01 대한통운 ( 대성물류 ) 23.3 48.1 62.4 B06 영인 62.5 D03 ENTI 50.0 67.5 D02 씨스퀘어 18.2 30.8 68.9 E02 CVSnet 55.0 69.1 A01 나인플랜 8.5 34.6 74.3 A06 지컴 49.0 76.0 D04 ( 주 ) 우리코넷 32.0 77.1 B04 현대 ( 택배사內 ) 78.1 A02 ICMC 26.0 78.8 A08 TNC코리아 13.3 79.3 79.2 트우영씨( 주하이A03 애니퍼포먼스 32.0 79.9 인컴대진A13 마음컴퍼니 ( 前 ATF코리아 ) 35.0 80.6 클ENTI ) 우( 운어CVSnet 택( 택( A05 하명코리아 48.0 81.8 구( 대니사월별개선율표 A07 쿠프마케팅 48.0 89.2 內( 前內B03 한진 ( 택배사內 ) 유형업체명 2013.1 2013.2 2013.3 2013.4 2013.5 2013.6 ) 92.2 콘2013.7 2013.8 2013.9 2013.10 2013.11 2013.12 ) 류ATF 코) C01 이제너두이벤트나인플랜 92.6 70.4 70.4 70.4 70.4 70.4 - - - - - - - ) A09 클락워크이벤트 ICMC 60.0 97.2 81.5 63.0 65.5 66.7 66.7 66.7 66.7 66.7 66.7 85.2 85.2 85.2 아) A10 피알원미디컴이벤트애니퍼포먼스 52.0 - - - - - - - - - - - - 이벤트유비클 ( 구큐피콘 ) - - - - - - - - - - - - 이벤트하명코리아 70.4 63.0 - - - - - - - - - - 이벤트지컴 70.4 63.0 - - - - - - - - - - 이벤트쿠프마케팅 70.4 63.0 - - - - - - - - - - 이벤트 TNC코리아 70.4 63.0 - - - - - - - - - - 이벤트클락워크 12.0 12.0 12.0 23.0 67.0 89.0 89.0 99.0 100.0 - - - 이벤트피알원미디컴 - - - - - - - - - - - - 이벤트지니스커뮤니케이션 - - - - - - - - - - - - 이벤트올에프 70.4 63.0 - - - - - - - - - - 이벤트마음컴퍼니 ( 前 ATF코리아 ) 70.4 63.0 - - - - - - - - - - 이벤트에덴레드코리아 - - - - - - - - - - - - 이벤트미디어포스 - - - - - - - - - - - - 이벤트라인엔엠디 - - - - - - - - - - - - 이벤트이든앤엘리스 - - - - - - - - - - - - 이벤트포샵 - - - - - - - - - - - - 이벤트흐를류 - - - - - - - - - - - - 이벤트원은 - - - - - - - - - - - - 관세사청담 70.4 63.0 - - - - - - - - - - 관세사청우 70.4 63.0 - - - - - - - - - - 관세사한진 ( 택배사內 ) - - - - - - - - - - - - TNC ICMC 영문자숫자조합 10 자리 별도규칙없음 영문 + 숫자 + 특수문자 8자리이상 영문 + 숫자 + 특수문자 8자리이상 별도규칙없음 아UBASE CJ GLS TCK 월별개선율그래프 ( 이벤트 ) 제휴사개인정보관리현황기술 은KCTC 제휴사개인정보처리시스템관리현황기술 3 년간평가한제휴사점수를그래프로자동완성 1 년간평가한제휴사점수를월별 / 유형별그래프로자동완성 구분 평가점수 우수 80이상 ~100 양호 60이상 ~80미만 미흡 40이상 ~60미만 매우미흡 40미만 평가등급에따라하기내용을차별화하여관리할수있도록함 점검주기 점검방법 점검항목 불필요한점검으로업체에부담을최소화하고관리인력, 시간절약 13 Daum 의개인정보보호를위한노력 6. 지원사항 제휴사개인정보보호담당자의인식제고를위해개인정보관련 Compliance 기본교육을수행하고, 제휴사의개선방안이행에대한문의응대를지원하고있습니다. 개인정보관련 Compliance 기본교육 제휴사점검종료 Meeting 시개인정보관련 Compliance 교육수행 - 개인정보보호법, 정보통신망법등의개인정보보안이슈및대응방안 제휴사개인정보관련문의대응 제휴사점검후개선방안이행시문의사항이있을경우대응지원 14 Daum 의개인정보보호를위한노력
Ⅱ. Daum 의개인정보이용내역통지제도 1. 개요 도입취지 정보통신서비스제공자로하여금수집된이용자의개인정보이용내역을해당이용자에게주기적으로통지하도록함으로써이용자가자신의개인정보이용내역을정확히알고자기정보를스스로통제할수 있도록하기위하여도입 해킹, 유출 내개인정보를어떻게이용하고있을까? 제도요약 1 개인정보이용내역통지제도란? [ 정보통신망법제30조의 2( 개인정보이용내역의통지 )] 2012년 8월부터일평균이용자가 100만명이상또는정보통신서비스부문전년도매출액이 100억원이상인정보통신서비스제공자는수집한이용자개인정보의이용내역을주기적 ( 연 1회이상 ) 으로이용자에게통지 2 통지해야하는 이용내역 이란? 1 개인정보의수집 이용목적및수집한개인정보의항목 2 개인정보를제공받은자, 그제공목적및제공한개인정보의항목 3 개인정보를취급위탁받은자및그취급위탁업무내용 3 통지방법은? 전자우편 (e-mail), 서면, 모사전송 (FAX), 전화또는이와유사한방법 16 Daum 의개인정보보호를위한노력
1. 개요 < 개인정보이용내역통지예시 > 수집 이용목적 개인정보수집및이용목적기재 수집한개인정보의항목 수집한개인정보의항목기재 개인정보제3자제공관련 개인정보를제공받은자 : ( 다수일경우 OO등 OO사 ) 제공목적 : ( 제3자제공과관련해서동의를받은목적중해당사항기재 ) 제공한개인정보항목 : ( 제공한개인정보의항목기재 ) 개인정보취급위탁관련 개인정보의수탁자 : ( 다수일경우 OO등 OO사 ) 취급위탁목적 : ( 개인정보취급위탁업무내용기재 ) 보다상세한사항은개인정보취급방침에서확인가능합니다. 개정정보통신망법개인정보보호신규제도안내서내용 (2012.08 / 방송통신위원회, 한국인터넷진흥원 ) 벌칙 개인정보이용내역을통지하지아니한경우 3 천만원이하의과태료부과 ( 정보통신망법제 76 조제 1 항제 5 의 2 호 ) 17 Daum 의개인정보보호를위한노력 2. Daum 의개인정보이용내역통지제도정책 최초회원가입시수집한개인정보와서비스이용에따른추가수집된개인정보를제 3 자제공이나취급위탁시실제로제공 위탁한내역을개인화하여통지합니다. 개인정보이용내역통지필수항목 수집 이용내역 개인정보수집및이용목적 수집한개인정보항목 개인정보제3자제공관련개인정보취급위탁관련 개인정보를제공받은자 제공목적 제공한개인정보항목 개인정보의수탁자 취급위탁목적 이용자의서비스이용현황 개별서비스및이벤트응모등을통해수집된개인정보의이용내역을이용자별로개인화하여제공 18 Daum 의개인정보보호를위한노력
3. Daum 의개인정보이용내역통지제도프로세스 서비스별개인정보수집및이용, 제공에대한코드 ( 이하 서비스코드 ) 를발급하여등록후 API 를연동하여내역을취합하고이용자별개별화된이용내역을확인할수있도록합니다. 개인정보수집 이용자 1 개인정보 개인정보이용자 2 회원가입 희망해 고객센터 1. 개인정보수집서비스코드발급예 ) 수집 _code1: 회원가입수집 _Code2: 희망해수집 _Code3: 마이피플 2. 개인정보수집서비스코드별유저정보 이용자 1 개인정보이용내역페이지 [ 개인정보수집및이용 ] - 회원가입시수집한내역 [ 개인정보제공 ] - OOO 서비스에서제공한내역 개인정보제공 이용자 1 제공동의 OOO 서비스 XXX 이벤트 1. 개인정보제공서비스코드발급예 ) 제공 _ 서비스 _code1: OOO 서비스제공 _ 이벤트 _Code1: XXX 이벤트 개인정보이용내역관리시스템 2. 개인정보제공서비스코드별유저정보 이용자 2 개인정보이용내역페이지 [ 개인정보수집및이용 ] - 회원가입시수집한내역 - 희망해서비스에서수집한내역 - 고객센터에서수집한내역 [ 개인정보제공 ] - OOO 서비스에서제공한내역 - XXX 이벤트에서제공한내역 이용자 2 19 Daum 의개인정보보호를위한노력 4. Daum 의개인정보이용내역통지방법 연 1 회정기메일발송등을통해절차를안내하며, 상시페이지를통해이용자들이언제든이용내역을직접확인할수있습니다. 정기메일발송 주기 : 연 1회 (8월) 수단 : e-메일 방법 : 제도설명및이용내역확인바로가기링크제공 이용내역안내메일작성및발송 이용자로그인 정기메일 링크로방문시로그인페이지이동 직접방문시로그인후 회원정보 페이지이동 이용내역확인 개인정보이용내역을상시페이지로운영 20 Daum 의개인정보보호를위한노력
5. Daum 의개인정보이용내역통지페이지구성 ( 안 ) 이용자로부터개별서비스신청및이벤트응모등을통해수집, 제공된개인정보이용내역을개인화하여상시페이지를제공합니다. 개인정보이용내역 수집이용제공취급위탁 서비스수집항목수집목적 개인회원가입 [ 필수 ] 아이디, 비밀번호, 이름, 성별, 연락처 ( 이메일또는휴대폰또는유선전화번호중 1 개선택 ) [ 선택 ] 주소, 생년월일, ( 관계법령이이용을허용한경우 ) 주민등록번호, ( 본인확인을한경우 ) 본인확인값 회원가입 OOO 서비스 > 나의 신규등록 이름, 소속, 담당부서, 직책 ( 급 ), 이메일, 연락처 제휴 의관리, 제휴유지사항전달 OOO > 제안하기이름, 휴대폰번호제안내용의확인및처리 < 이전다음 > 21 Daum 의개인정보보호를위한노력
13 년개인정보관리책임자및취급자워크숍 개인정보보호법률전문가현장 Q&A 사회 : 박영우팀장 (KISA) 전문가 : 구태언변호사 ( 테크앤로법률사무소 ) 권창범변호사 ( 법무법인仁 ) 장준영변호사 ( 법무법인태평양 ) 박민철변호사 ( 김앤장법률사무소 ) 질의 1 정보통신서비스분야에서도사업자가고객만족도를실시 하고자하는경우이용자의별도의동의없이개인정보이용이 가능한지여부 정보통신서비스제공자가고객만족도조사업무를외부에 위탁하는경우정보통신망법제 25 조제 2 항에따라개인 정보취급위탁에대한별도의동의가필요없는지여부
질의 2 개인정보관리책임자나개인정보취급자에대해개인정보 보호교육을실시하지않은경우어떠한제재를받는지여부 질의 3 회원가입을하지않았지만, 고객이웹사이트게시판등을통해불만을제기하는경우, 전자상거래법등관련법령에따라 소비자의불만또는분쟁처리기록 을 3년간보존해야하는데, 이경우도이용내역통지를해야하는지여부
질의 4 기업에서고객에게부여하는개별식별코드의경우, 코드값은그자체로는의미없는정보지만 DB내쿼리를통해식별가능한개인정보를가져올수있게됨이러한경우, 현재법상으로고객에게부여한개별식별코드만유출되더라도개인정보유출이라고봐야하는지여부 질의 5 최근이슈가되고있는 잊혀질권리 법제화에대해기업의 입장에서준비해야할사항은무엇인지, 잊혀질권리 의법제화에대해전문가의견
질의 6 광고성정보전송에대한관계법령해석문의 * 정보통신망이용촉진및정보보호등에관한법률제50조제2항제1호거래관계를통해수신자로부터직접연락처를수집한자가그가취급하는재화등에대한광고성정보를전송하는경우는수신자의사전동의를받지아니하여도된다 * 개인정보보호법제22조개인정보처리자가재화나서비스를홍보하거나판매를권유하기위하여개인정보처리에대한동의를받으려는때에는정보주체가이를명확히인지할수알리고동의를받아야한다 질의 7 회원탈퇴후재가입방지를위해가입정보를 6개월간보유하는것에대해이용자의동의를얻어탈퇴회원의개인정보를보유중임탈퇴하고저희와거래관계를유지하고싶지않은이용자인데, 이러한경우이용내역을통지해야하는지여부
질의 8 결제업무를전문 PG 사 * 에위탁하는경우결제를위해수집되는 신용카드번호또는주민번호등도수집 ᆞ 이용하는개인정보 항목에포함시켜개인정보취급방침에공개하여야하는지여부 Payment Gateway 사 : 인터넷의결재대행서비스를제공하는업체 질의 9 영업양수. 도에따라웹사이트이용자정보를타인에게 이전하는경우이용자에대한절차가어떻게되는지여부
질의 10 호텔, 리조트등숙박업종에서개인정보를취급하는경우 개인정보를보호하기위한방법 개인정보관리책임자의역할및개인정보를취급하는담당자 등이본인의역할을소홀히하였을경우회사에미치는영향 질의 11 홈페이지에가입만한무료회원의경우 3 년동안접속기록이 없으면무조건정보를파기해야하는지여부 만약별도로 5 년까지보관한다고약관에표기한다면관련법에 저촉되지않는지
질의 12 최근카카오톡에서개인정보취급방침에 MAC address를고지하고수집한것에대한논란이있었는데, MAC address를위치정보로볼수있는지, 위치정보라하더라도수집목적고지및기술적보호조치만이행된다면이용자에게동의후수집해도무관한지여부 질의 13 개인정보취급업무와관련해수탁자에대한관리, 감독범위 및영업비밀에대해수탁자에비공개로할경우어느쪽에 책임소지가있는지여부
질의 14 개인정보수집동의서를스캔하여시스템상동의증빙서류로등록하고원본동의서는파기하고자하는데, 이경우스캔받은동의서가원본과동일한효력을인정받을수있는지여부 질의 15 체납요금징수를위하여해당서비스가입시수집한정보가아닌다른서비스가입시수집한개인정보를이용하는행위가정보통신망법제22조제2항제2호에명시된 요금정산을위하여필요한경우 에해당하여개인정보수집 이용동의획득의예외가되는지여부
질의 16 이용자 ID는익명성의성격도갖고있지만사이버공간에서는개인을식별할수있는정보에해당되므로 ID 단일정보만으로도개인정보로분류한다 라는방통위와안행부의의견이있었으나, 이용자본인이직접입력하여생성한 ID가아닌경우 ( 예 : 게임에서자동으로부여한난수번호인카카오톡 ID) 도개인정보로봐야하는것인지여부 질의 17-1 보증보험기관 ( 위탁자 ) 과보증보험업무협약을맺은금융 기관등이 ( 수탁자 ) 개인정보보호법제 26 조상의개인정보 처리업무위탁관계에해당되는지여부 만약해당될경우, 위탁자와수탁자의책임범위
질의 17-2 과세자료의제출및관리에관한법률및소득세법제 170 조가 법률에의한보증보험거래관련개인정보의제 3 자제공의 근거에해당될수있는지여부 질의 18 개인정보취급업무를위탁받아운영하는경우, 위탁자는 망분리대상이지만위탁받아처리하는개인정보는 100 만건이하일때이러한경우도망분리적용대상인지
질의 19 개인정보보호상담사례집 (2013.05 간행 ) 에따르며, " 고지는개인정보처리에대한동의를받는경우, 처리목적등에관한사항을동의서에명시하거나구두로정보주체에게알려주는행위 라고, 동의의규정예시와동일하게설명되어있음 동의, 고지, 통지, 공개방법을어떻게구분하는지여부 질의 20 오픈마켓에서판매자에게물건배송을위해개인정보를 제공하는경우, 판매자를정보통신망법상의제 3 자로보아 개인정보제공에대한동의를별도로얻어야하는지여부
개인정보보호관련추가질의접수처 전화 : ( 국번없이 ) 118 이메일 : privacy@kisa.or.kr