이학박사 / 개인정보보호전문강사 (KISA 위촉 ) 보건복지부국립나주병원 강래구
개인정보의유형과분류 일반적정보 주민등록번호 이름, 주소 가족관계등 통신 위치정보 통화 문자내역, IP 주소 화상정보, GPS 등의정보 정신적정보 기호, 성향 신념, 사상 사회적정보 교육정보 근로정보 자격정보 재산적정보 개인금융정보 신용정보 신체적정보 신체정보 의료 건강정보 출처 : KISA
개인정보침해현황 개인정보침해규모 개인정보침해민원의지속적인증가 < 개인정보침해민원추이 > 177,736 166,801 152,151 158,900 122,215 대규모개인정보침해사례 발생일 발생기업 피해규모 사고원인 08. 2 옥션 1,800만명 해킹 08. 4 하나로텔레콤 600만명 텔레마케팅업체에제공 08. 9 GS 칼텍스 1,150만명 자회사직원이유출 10. 3 신세계몰등25개 2,000만건 해킹 11. 4 현대캐피탈 175만건 해킹및내부관리소홀 11. 5 세티즌 140만명 홈페이지해킹 11. 7 SK컴즈 ( 네이트등 ) 3,560만명 해킹 ( 관리자 ID/PW 탈취 ) 11. 8 삼성카드 47만건 자사직원이유출 11.11 넥슨 1,320만건 해킹 12. 5 EBS 422 만건해킹 12. 7 KT 873 만건해킹 35,167 54,832 12.11 연예기획사등 413 만건구글링 13. 2 코웨이 198 만건자사직원이유출 13. 6 청와대 10 만건해킹 14. 1 신용카드사 10,400 만건시스템개발업체직원이유출 2009 2010 2011 2012 2013 2014 2015 출처 : 개인정보침해신고센터 14. 2 의사협회등 225 개 1,700만건 해킹 14. 3 KT 982만건 해킹 14. 3 통신 3사등 1,230만건 해킹 ( 추정 ) 15. 2 홈플러스 250만건 자사직원이유출 16. 5 인터파크 1,030 만건해킹 3
개인정보유출사례 - 온라인쇼핑몰 인터파크, 16 년 5 월약 1,030 만건의개인정보유출사고발생 유출항목 : 이름, 아이디, 이메일, 주소, 전화번호, 등 유출방법 : 직원의가족을사칭한해커가발송한 e 메일 ( 스피어피싱 ) 의첨부 파일을사내에서실행하면서악성코드가내부망에침투 4
6
개인정보유출에따른손해배상인정사례 7 출처 : KISA
개인정보유출에따른손해배상불인정사례 8 출처 : KISA
1 개인정보보호법제정및시행 개인정보보호시대의개막 개인정보보호법은모든공공기관과민간사업자를대상으로 확대하여, 법적용사각지대해소 대통령소속으로 개인정보보호위원회 를구성하여, 주요정책사안심의및의결 공공기관의개인정보보호에관한법률 폐지와 정보통신망이용촉진및정보보호등에관한법률 의일부조항흡수 11
2 개인정보보호법과타법과의관계 타법과의적용관계 개인정보보호법은일반법이므로다른법률에특별한규정이있는경우를 제외하고는개인정보보호법을우선적용 - 사회복지서비스와관련된개인정보처리사항은사회복지사업법 등을우선적용 3 개인정보의개념 개인정보란? 살아있는개인에관한정보로서성명, 주민등록번호및영상등을통하여개인을알아볼수있는정보 - 해당정보만으로는특정개인을알아볼수없더라도다른정보와 쉽게결합하여알아볼수있는것을포함 ( 출력물, 파일모두포함 )
4 영상정보처리기기 (CCTV) 규제 법시행이전 공공기관설치 운영폐쇄회로텔레비전 (CCTV) - 범죄예방및교통단속등공익을위하여필요한경우 - 녹음기능, 임의조작금지 법시행이후 공공기관에서민간기관까지확대 - 법령, 범죄예방 수사, 시설안전및화재예방, 교통단속등 - 녹음기능, 임의조작금지 규율대상확대 - 기존 폐쇄회로텔레비전 (CCTV) 에서네트워크카메라포함 13
5 과징금및징계권고제도 ( 법개정 ) 기존 관련제도없음 법개정 주민등록번호분실 도난 유출 변조또는훼손된경우 5 억원이하과징금부과 징수 단, 주민번호안전성확보조치이행시과징금면제 과징금부과한행위에대해과태료부과금지 ( 과태료규정적용특례 ) 행정자치부장관의징계권고대상에개인정보처리자의대표자 (CEO) 및책임있는임원이포 함되는징계권고제도도입 고의또는중대한과실로개인정보가분실, 도난, 위조, 변조또는훼손된경우정보주체손해액 의 3 배범위에서법원이손해배상액결정 ( 징벌적손해배상 ) 고의또는과실로개인정보가분실, 도난, 위조, 변조또는훼손된경우 300 만원이하의범위에 서손해액으로청구가능 ( 법정손해배상 ) 14
1 개인정보의처리단계 16
2 개인정보의수집 이용 공공부문개인정보를적법하게수집 / 이용할수있는경우 ( 법제15조 ) 정보주체의동의를받은경우 법률의특별한규정, 법령상의무준수를위해불가피한경우 공공기관이법령에서정한소관업무수행을위해불가피한경우 정보주체와의계약체결 이행을위해불가피한경우 정보주체등의생명, 신체, 재산의이익보호 ( 사전동의받기곤란한경우 ) 개인정보처리자의정당한이익달성을위해필요한경우 처벌규정 위반시 5 천만원이하의과태료 17
공공부문필요최소한의개인정보수집 ( 법제16조 ) 개인정보처리자는수집목적에필요한최소한의개인정보를수집 최소한의개인정보수집이라는입증책임은개인정보처리자가부담 개인정보처리자는정보주체가필요최소한의정보외의개인정보수집에 동의하지않는다는이유로정보주체에게재화또는서비스의제공을거부 금지 처벌규정 위반시 3 천만원이하의과태료 18
3 개인정보의목적외이용 / 제공 공공부문개인정보의목적외이용및제3자제공 ( 법제18조 ) 정보주체의별도동의를받은경우 ( 개인정보수집 / 이용동의와는별도 ) 다른법률에특별한규정이있는경우 * 명백히정보주체또는제 3 자의생명, 신체, 재산의이익에필요한경우 통계작성및학술연구목적에필요한경우로특정개인을알아볼수없는 형태로제공하는경우 처벌규정 위반시 5 년이하의징역또는 5 천만원이하의벌금 * 다른법률의특별한규정 ( 예 ) 1. 환자자격조회, 급여비용심사 ( 건보공단 / 심평원에제공, 국민건강보험법 ) 2. 아동학대신고 ( 수사기관 / 아동보호전문기관, 아동학대처벌법 )
목적외이용 제공및제 3 자제공차이 목적외이용 제공이란같은개인정보처리자 ( 기관 ) 내에서당초수집목적을벗어나서개인정보를이용하는것 - 예. 업무목적이다른부서에개인정보를제공할경우 제3자제공이란개인정보처리자 ( 기관 ) 외의제3자 ( 타기관 ) 에게개인정보를제공하는것 제공한건에대해서는행정자치부령으로정하는 개인정보의목적외이용및제 3 자제공대장 에기록하고관리하여야함.
동의를받는방법 동의내용의서면을정보주체에게직접발급하거나우편, 팩스등의방법으로전달하고, 정보주체가서명하거나날인한동의서를회신하는방법 전화를통하여동의내용을정보주체에게알리고동의의의사표시를확인하는방법 전화를통하여동의내용을정보주체에게알리고정보주체에게인터넷주소등을통하여동의사항을확인하도록한후다시전화를통하여그동의사항에대한동의의의사표시를확인하는방법 인터넷홈페이지등에동의내용을게재하고정보주체가동의여부를표시하도록하는방법 동의내용이적힌전자우편을발송하여정보주체로부터동의의의사표시가적힌전자우편을받는방법 그밖에제1호부터제5호까지의규정에따른방법에준하는방법으로동의내용을알리고동의의의사표시를확인하는방법 만제 14 세미만아동의경우법정대리인에게동의를받아야하며, 법정대리인의동의를 받기위해해당아동으로부터법정대리인의성명 연락처에관한정보를수집할수있음. 21
개인정보동의서 ( 샘플 1) 22
개인정보 동의서 (샘플 2)
FAQ 개인정보수집 이용 제공동의시자필서명이아닌전자서명으로하여도효력이동일한가요? 전자서명법제 3 조제 3 항에따르면 전자서명은당사자간의약정에따른서명, 서명날인또는기명날인으로서의효력을가진다. 고규정 본인의전자서명은자필서명과같은효력 FAQ 피부과시술전 후사진을홈페이지에게시하는것도개인정보보호법에어긋나는것인지요?? 시술전 후사진이신체일부를가리고있다고해도특정개인을식별할가능성이 있기때문에개인정보보호법위반이될수있음 해당정보주체의동의를받아시술사진게재 FAQ 다른사람을함부로촬영하는것은개인정보침해아닌가요? 사적 개인적목적으로영상을촬영하는행위는개인정보보호법이적용되지않음 다만, 촬영한영상을무단으로인터넷등에올리는경우처벌받을수있음 24
FAQ 입사지원자의개인정보를수집하고자할때개인정보의수집동의서를별도로받아야하나요? 입사지원은근로계약체결의일부로입사지원자의동의없이채용에필요한최소한의 정보수집가능 단, 주민등록번호는입사후수집가능 ( 등본, 초본, 자격증등 ) FAQ 임직원복리후생을위해가족의개인정보를수집하는경우가족구성원의동의를받아야하는지요? 임직원및임직원의가족에대한복리후생제공을위하여가족의개인정보수집및 이용이가능하며, 가족구성원의동의를필요로하지않음 단, 주민등록번호등고유식별번호와건강정보등민감정보는동의필요 FAQ 다른개인정보와결합하지않은휴대전화번호만도개인정보보호법에따라보호되는개인정보에해당하는지요? 휴대전화번호는다른정보와쉽게결합하여개인을알아볼수있고정보주체와직접 연락이가능한 contact point 로홍보 마케팅에활용될수있으므로개인정보에해당 25
FAQ 민원인이개인정보를요청시개인정보를제공해야하나요? 개인정보보호법제 18 조제 2 항제 4 호에따라통계작성및학술목적으로개인을식별 할수없는비식별화형태로정보주체의동의없이제공가능 < 비식별화방식예시 > 데이터마스킹 : 개인식별정보를보이지않게처리 - 홍길동, 35세, 한국대재학 홍 **, 35세, ** 대학재학 총계처리 : 개별데이터를삭제하고집합의특징만표시 - 임꺽정 180cm, 홍길동 170cm, 김팥쥐 150cm A반학생평균키 166cm 데이터값삭제 : 불필요한개인식별정보를삭제 - 701201-1234567 70년대생, 남자 26
4 민감정보및고유식별정보처리제한 민감정보및고유식별정보처리제한 민감정보및고유식별정보의처리는원칙적으로금지 ( 법제23조, 제24조 ) 단, 정보주체에게별도동의를얻거나법령에서구체적으로허용된경우에한하여처리가능 ( 주민등록번호는법 24조의2에따라별도로제한 ) 민감정보 : 사상, 신념, 노동조합, 정당가입 / 탈퇴, 정치적견해, 건강정보, 성생활유전정보, 범죄경력정보 고유식별정보 : 주민등록번호, 외국인등록번호, 여권번호, 운전면허번호 처벌규정 위반시 5 년이하의징역또는 5 천만원이하의벌금 27
5 주민번호수집법정주의 ( 법개정 14.8.7.) 2017... 이름 : - 기존제 24 조의 2 제 1 항 법률, 대통령령등에서구체적으로처리를요구ㆍ허용한경우 정보주체또는제3자의급박한생명, 신체, 재산ㆍ이익을위해명백히필요하다고인정되는경우 이에준하는경우로서행정자치부령으로정하는경우 기보유주민번호중법령상근거가없는경우법시행후 2 년이내 ( 16.8.6.) 파기 28
업무용 PC 주민등록번호암호화보관 시행시기 : 16. 1. 1. 고유식별정보, 비밀번호, 바이오정보보관시암호화조치를통해보관 업무용 PC 또는모바일기기에고유식별정보 ( 주민등록번호포함 ) 를저장하여관리할경우반드시암호화하여저장 개인정보의안전성확보조치기준 ( 고시 ) 제 6 조 ( 개인정보의암호화 ) 제 7 항 29
주민등록번호수집가능한경우 제 26 조의 3( 민감정보및고유식별정보의처리 ) 1 보건복지부장관 ( 제 26 조및제 26 조의 2 에따라보건복지부장 관의권한을위임 위탁받은자를포함한다 ) 또는지방자치단체의장 ( 해당권한이위임 위탁된경우에는그권 한을위임 위탁받은자를포함한다 ) 은다음각호의사무를수행하기위하여불가피한경우 개인정보보호법 영유아보육법 시행령 제23조에따른건강에관한정보, 같은법시행령제18조제2호에따른범죄경력자료에해당하는정보, 같은영제19조제1호, 제2호또는제4호에따른주민등록번호, 여권번호또는외국인등록번호가포함된자료를처리할수있다. 1. 법제7조에따른육아종합지원센터의설치 운영, 위탁및위탁취소에관한사무 2. 법제8조에따른보육에관한연구와정보제공등에관한사무 3. 법제9조에따른보육실태조사에관한사무 제 57 조 ( 민감정보및고유식별정보의처리 ) 1 국가또는지방자치단체 ( 해당권한이위임 위탁된경우는해당 권한을위임 위탁받은자를포함한다 ) 는다음각호의사무를수행하기위하여불가피한경우 개인정보보 아동복지법 시행령 호법시행령 제19조제1호또는제4호에따른주민등록번호또는외국인등록번호가포함된자료를처리할수있다. 1. 법제15조에따른보호조치에관한사무 2. 법제16조에따른보호대상아동에대한퇴소조치등에관한사무 3. 법제18조에따른친권상실선고등의청구에관한사무 30
6 개인정보의위탁관리 개인정보처리위탁시문서화 위탁시는정보주체의동의를받지않아도되나, 수탁기관과반드시문서로서계약을해야하며, 위탁계약에포함되어야할사항 위탁업무목적외개인정보처리금지에관한사항 개인정보의기술적 관리적보호조치에관한사항 위탁업무의목적및범위 재위탁제한에관한사항 개인정보에대한접근제한등안전성확보조치에관한사항 위탁업무관련개인정보의관리현황점검등감독에관한사항 수탁자가준수하여야할의무위반시손해배상등책임에관한사항 예. 회원정보를포함한홈페이지를외부업체에서관리 31
개인정보처리위탁시공개및관리감독등 위탁사실공개 인터넷홈페이지 사업장등보기쉬운장소에게시 위탁에대한관리감독 개인정보분실, 도난, 유출, 변조, 훼손되지않도록수탁자감독 손해배상책임 수탁자가개인정보보호법을위반하여손해배상책임이있는경우개인정보처리자 ( 위탁자 ) 의책임 제 3 자제공의경우수탁자가책임 처벌규정 위반시 3 천만원이하의과태료 32
업무위탁과제 3 자제공의구분 33
개인정보처리위탁계약서 ( 샘플 ) 34
7 영상정보처리기기 (CCTV) 설치및운영 영상정보처리기기란? 폐쇄회로텔레비전 (CCTV) 일정한공간을지속적으로촬영 ( 차량용블랙박스는해당아님 ) 촬영한영상정보를유무선전송로를통해녹화 / 기록하는장치 네트워크카메라 일정한공간을지속적으로촬영한영상정보를그기기를설치. 관리하는자가인터넷을통해어느곳에서나수집 / 저장등을할수있는장치 영상정보처리기기임의조작및녹음금지 35
영상정보처리기기설치시준수사항 사전의견수렴 어린이집원장은영상정보처리기기를설치 / 미설치또는운영중단을위할경우사전에의견을수렴할수있음 영상정보처리기기설치구역 보육실, 공동놀이실, 놀이터, 식당, 강당에 1대이상씩설치 다음구역은어린이집특성을고려하여추가설치할수있음 - 외부에서출입이가능한출입로 - 어린이집내부의계단과계단사이의연결공간 - 어린이집안전관리및보안에중요지역 그외관리책임자가필요하다고판단되는지역은학부모, 교직원등과협의하여추가설치가능 정보주체의권리침해및사생활침해를최소화하는방법으로영상정보처리기기를설치 / 운영 관리책임자는원장이며, 관리담당자를별도로지정가능하며, 지정된직원은일상적인관리및정기적인점검은실시하여야함 36
영상정보처리기기설치시준수사항 영상정보처리기기내부관리계획을작성하여절차대로준수 영상정보보관기간 녹화된영상정보는 60일이상보관하여야하며, 내부관리계획에서정한주기에따라삭제 영상정보가삭제전적법한절차에따라열람요청이있을경우, 보관기간이지났다하더라도해당영상은삭제하면안됨 영상정보의안전한관리 영상저장장치는접근이제한된장소에보관 보관시설에잠금장치설치 안내판설치를통한설치 운영사실공개 설치목적및장소, 촬영범위및시간, 책임자의성명및연락처 37
영상정보처리기기설치 운영의예외 미설치에대한보호자전원의서면동의를받아지자체장에게신고한경우 동의 / 부동의의사를이유로입소거부, 퇴소종용등의조치금지 보호자및교직원전원의동의를받아네트워크카메라를설치한경우 네트워크카메라설치를위한서면동의를지자체장에게폐쇄회로텔레 비전신고절차에준하여보고하는등필요한조치를하여야함
영상정보처리기기열람요청 보호자는아동학대또는안전사고로신체적 정신적피해를입었다고의심될경우아래사항을조건으로열람을요청할수있음 피해사실이적시되어있는의사소견서를제출 관계공무원, 어린이집운영위원장, 육아종합지원센터장이동행하여열람요청하는경우 범죄의수사와공소의제기및유지, 법원의재판업무수행 영상정보처리기기열람 원장은열람을허락할경우요청자의가족관계증명서등을제출받아아동과의관계를확인 열람시정보주체이외의자의사생활침해우려가있는경우개인영상정보를알아볼수없도록보호조치를실시 영상정보처리기기관리대장을작성하고 3년간보관
FAQ 건물내에영상정보처리기기대표안내판부착해도되는지요? 아니면영상정보처리기기한대당안내판을각각부착해야하는것인지요? 기관규모가큰건물안에여러개의영상정보처리기기를설치하는경우에는 각각의기기에대해개별적으로안내판을설치하지않아도되며, 출입구등잘 보이는곳에해당시설또는장소전체가영상정보처리기기설치지역임을표시 FAQ 시설안전, 화재예방및범죄예방의목적으로설치하여수집한영상정보를근로자의근태관리를위해이용할수있는지요? 시설안전및화재와범죄예방목적으로설치한 CCTV 에녹화된영상정보는해당 목적으로만이용해야하므로근로자의근태관리, 부정행위감시목적이용불가 41
8 개인정보의파기 개인정보의파기 개인정보의파기사유 개인정보의보유기간이경과된경우 개인정보의처리목적달성 해당서비스의폐지 기관의폐업 5 일이내에지체없이파기 개인정보의파기방법 완전파괴 ( 소각, 파쇄등 ) 하드디스크등은전용소자장비 ( 디가우저등 ) 를이용하여삭제 일부분만을파기할경우해당부분을마스킹, 천공등으로삭제 다만, 파기사유에해당하더라도다른법령에의무보존기간이있을경우해당기간만료시까지보존 ( 진료기록 10년, 소비자분쟁처리관련기록 3년등 ) 처벌규정 위반시 3 천만원이하의과태료 42
9 개인정보처리방침 개인정보처리방침공개 개인정보처리자는개인정보처리방침수립및홈페이지등을통해공개 개인정보의처리목적 개인정보의처리및보유기간 개인정보의제3자제공에관한사항 ( 해당되는경우 ) 개인정보처리의위탁에관한사항 ( 해당되는경우 ) 정보주체의권리 의무및그행사방법에관한사항 처리하는개인정보의항목 개인정보의파기에관한사항 개인정보보호책임자에관한사항 개인정보처리방침의변경에관한사항 개인정보의안전성확보조치에관한사항 43
Q & A
감사합니다