개인정보보호의 이해와안전한관리 - 개인정보보호정책및제도 - 2013. 6. 12 최윤형 ( 한국정보화진흥원 )
1 정보사회와개인정보 2 개인정보의주요침해사례 목차 3 개인정보보호원칙
1. 정보사회와개인정보
정보사회의발전 우편전화인터넷유비쿼터스 단순, 소량의정보교환 사람 - 사람간통신 복잡, 다량의정보교환불특정다수와통신 언제어디서나정보교환 사람 - 사물간통신 4
디지털사회의환경변화와동향 지식기반의전환시간기반의변화공간기반의변화 제품제공 business 지식제공 business 컨설팅 business 9AM ~ 6PM 업무 24 시간쇼핑, 금융, 택배업무등 직접방문 ( 금융, 쇼핑, 교육등 ) 사이버거래 / 금융, 사이버교육 시간적 공간적제약없이원하는정보를활용할수있는지식사회 5
IT 서비스환경의변화 그리드컴퓨팅 유틸리티컴퓨팅 클라우딩컴퓨팅
빅데이터출연 지식성숙도 data 중심 H/W 중심 용량, 속도 S/W 중심 안정성, 편리성 90-00 년대 지식, 예측 10 년 ~ 60-80 년대 시간
현대사회에서의개인정보이용 8
개인정보의활용확대 정보기술과결합하여새로운민간, 공공서비스출현 주유고객멤버십 주유마일리지제공, 이벤트 온 오프라인을통해맞춤형결혼중개 결혼중개업 정유업 학원, 교습소 온라인수강신청, 수강자관리 인터넷 오프라인연계학습환경 온라인쇼핑 ( 상품검색결제, 배송서비스 ) 쇼핑센터 영화관 인터넷, 모바일예매 무인발권시스템 주택관리업 홈네트워킹관리 여행업 전자항공권발권 실시간온라인예약 9
정보사회의역기능 정보시스템사고 피해범위확대 대부분의업무가정보시스템으로처리됨에따라 시스템일부의사고가사회 국가전체에영향 새로운정보화 역기능출연 인터넷 게임중독, 반사회적유해매체범람, 사이버명예훼손등다양한정보화역기능출현 개인정보의 침해발생 개인정보가대량으로수집, 이용되기시작하면서 개인정보의유출 침해행위도크게증가 10
개인정보의개념 개인의사적영역과관련된일체의정보 일반적정보 주민등록번호 이름, 주소 가족관계등 통신 위치정보 통화 문자내역, IP 주소 화상정보, GPS 등의정보 정신적정보 기호, 성향 신념, 사상 사회적정보 교육정보 근로정보 자격정보 재산적정보 개인금융정보 신용정보 신체적정보 신체정보 의료 건강정보 11
개인정보의범위 사회발전에따른개인정보범위확대 개인정보 이름위치정보주민등록번호 바이오정보 개인의생각? 서비스 웹위치추적텔레매틱스전자주민카드가상현실? 법ㆍ제도 개인정보보호법위치정보보호법 생체정보보호가이드라인 신규법ㆍ제도? CCTV, 위치정보등에의한신규프라이버시침해가능성급증 신규기술을활용한서비스에대한개인정보보호대응책필요 12
< 참고 > 개인정보의유형 ( 예시 ) 유형인적사항신체적정보정신적정보재산적정보사회적정보기타 개인정보의예성명, 주민등록번호, 주소, 본적지, 전화번호, 생년월일, 출생지, 이메일주소, 가족관계등 ( 신체정보 ) 얼굴, 지문, 홍채, 음성, 유전자정보, 키, 몸무게등 ( 의료, 건강정보 ) 건강상태, 진료기록, 신체장애, 장애등급, 병력등물품구매기록, 웹사이트검색기록, 사상, 종교, 가치관등 ( 개인금융정보 ) 소득, 신용카드번호, 통장계좌번호, 동산 ( 부동산 ) 내역 ( 신용정보 ) 개인신용평가정보, 대출및담보설정, 카드사용내역등 ( 교육정보 ) 학력, 성적, 출석상황, 상벌기록, 생활기록부등 ( 법적정보 ) 전과, 범죄기록, 재판기록, 과태료납부내역등 ( 근로정보 ) 직장, 고용주, 근무처, 근로경력, 직무평가기록등 ( 병역정보 ) 병역여부, 군번, 계급, 근무부대등전화통화내역, IP주소, 웹사이트접속내역, 이메일또는전화메시지, GPS 등에의한개인위치정보등 13
개인정보의가치 14
개인정보의유출위험증가 개인정보의가치및디지털기술의특성등으로인해 개인정보의요구가많아지고이에개인정보의노출기회가많아짐에따라, 개인정보의유출위험도지속적으로증가 개인정보의 비즈니스적가치증가 다양한개인정보 수집처의존재 개인정보 유출위험증가 디지털개인정보의 무한복제및빠른전파성 15
2. 개인정보주요침해사례
개인정보침해현황 개인정보침해규모 개인정보침해민원의지속적인증가 < 개인정보침해민원추이 > 188,801건 122,215건 대규모개인정보침해사례 발생일발생기업피해규모사고원인 2008. 2 옥션 1,800 만명해킹 2008. 4 하나로텔레콤 600 만명 자사고객개인정보를텔레마케팅업체에제공 2008. 9 GS 칼텍스 1,150 만명자회사직원이유출 2010. 3 신세계몰등 25 개업체 2,000 만건해킹 2011. 4 현대캐피탈 175 만건해킹및내부관리소홀 2011. 5 리딩투자증권 12,000 건홈페이지해킹 2011. 5 세티즌 140 만명홈페이지해킹 2011. 7 SK 컴즈 ( 네이트, 싸이월드 ) 3,560 만명 해커가관리자 ID/ 비밀번호를탈취 2011. 8 삼성카드 47 만건자사직원이유출 18,206건 23,333건 25,965 건 39,811 건 35,167 건 54,832 건 2005 년 2006 년 2007 년 2008 년 2009 년 2010 년 2011 년 2012 년 2011.11 넥슨 1,320 만건해킹 2012. 5 EBS 422 만건해킹 2012. 7 KT 873 만건해킹 2012.11 연예기획사, 출판사, 관공서등 413 만건구글링 2013. 2 코웨이 198 만건자사직원이유출 17
개인정보침해신고상담건수 개인정보침해유형별현황 18
개인정보의침해모습 개인정보수집처 개인정보유출 개인정보축적 거래 개인정보오남용 온라인 WWW 오프라인 19
개인정보유출의 2 차피해 개인금융정보를통한공인인증서재발급 개인금융정보 유출된개인정보 스팸메일 E-mail 을통한피싱 (Phishing) ID, Password 유출 신분증위조 개인기본정보 Messenger 사기 유료컨텐츠도용 아이템해킹 위조휴대폰발급 위조계좌개설신용카드발급 타인명의로인터넷회원가입 20
공공부문의개인정보침해사례 개인정보 오 남용 내부자관리부실로인한유출 개인정보매매 개인정보과다보유 모지자체공무원이도주차량을찾으려는동료의요청을받고차량등록시스템관리자에게부탁하여개인정보 150 건유출 ( 09.10 월 ) 경기도모교육지원청장학사가지방선거관련하여, 교직원 3 천명정보유출 ( 10.5 월 ) 모공단직원이고객정보 10 만건이기록된서류미파기및차량에방치, 업무와연관없이개인정보 86 만여건무단조회 ( 10.7 월 ) 모주민센터공무원이심부름센터에 520 여건개인정보유출, 등초본은건당 5 만원, 가족관계등록부는건당 10 만원에판매 ( 11.7 월 ) 국가기관의개인정보보유및유출실태조사 ( 김을동의원 ) 국세청 8 억 1 천만건 (21%), 경찰청 1 억 2 천만건 (27%) 의개인정보를규정된기한을넘겨보유 ( 11.2 월 ) 21
민간부문의개인정보침해사례 G 정유사회원정보관리를담당하는자회사직원이개인정보를판매할목적으로고객정보 1,125 만건유출 ( 08.9) S 카드사직원이고객 80 만명의이름과휴대전화번호, 주민등록번호, 직장이름을유출 ( 11.9) K 은행직원의부주의로인터넷복권구매안내메일에 32,277 명의발송대상고객명단을파일첨부하여발송 ( 06.3) 중국해커가국내의유명백화점, 도박사이트, 골프용품판매사등 25 개업체홈페이지를해킹하여개인정보 2 천만건유출 ( 10.3) H 금융사의현재또는과거고객 175 만명의개인정보해킹으로유출 ( 11.4) C 택배계열사영업소장이자사와거래하던홈쇼핑업체의고객정보 200 만건을빼내텔레마케팅업체에넘겨주고, 홈쇼핑업체의배송비용 1 억 2,300 만원챙김 ( 05.3) 22
개인정보침해집단소송현황 회사내용집단소송경과비고 G 정유사 ( 08.9) D 포털 ( 08.7) 1,125 만명내부자유출 55 만명로그인정보장애로메일내용노출 70,000 여명집단소송진행중 ( 인당 100 만원, 전체 700 여억원 ) 1 심무죄선고 ( 실질적피해없음 ) 72 명을대표하여소비자모임에서소송제기 ( 인당 30 만원 ) 1 심무죄선고 ( 정당한주의의무준수로판단 ) G 정유사및 G 콜센터 ( 자회사 ) 대상 피해자에게메일용량 5GB 무상제공 L 통신사 ( 08.4) 700 만명고객정보사이트방치로노출 278 명에게인당 5 만원씩배상판결 (1 심, 09.11) 2 심무죄선고 ( 실질적피해없음 ) H 통신사 ( 08.4) 고객 600 만명개인정보텔레마케팅업체등에유출 23,000 명집단소송진행중 ( 인당 100 만원, 전체 240 억원 ) 소비자분쟁조정위원회배상판결 ( 총 1 억 8 천 900 만원 ; 640 명각 30 만원 ) 동의미획득 20 만원, 동의범위초과제공 10 만원씩배상판결 ( 전체 40 억배상판결 ) 1 심판결 ( 11.10.4) A 경매 ( 08.2) 회원 1,971 만명개인정보해킹으로유출 141,000 명집단소송 ( 인당 100 만원, 총 1,4000 억원 ) 소비자분쟁조정위원회배상판결 ( 총 3 억 6 천여만원 ; 전부유출 1,424 명각 10 만원, 일부유출 4,131 명각 5 만원 ) A 경매사조정결정거부 1 심무죄선고 ( 정당한주의의무준수로판단 ) 3 차소송 (2,195 명 ) L 전자 ( 06.9) K 은행 ( 06.3) N 게임업체 ( 05.5) 채용사이트해킹으로일부응시자개인정보노출 단체메일발송시실수로고객 3.2 만명개인정보파일첨부 온라인게임이용자 28 만명아이디와비밀번호도용 31 명에게인당 70 만원씩배상판결 (1 심, 08.01) 31 명에게인당 30 만원씩배상판결 (2 심, 08.11) 1,024 명에게 20 만원, 2 명 10 만원배상판결 (2 심, 07.11) 대법원확정판결 30 명에게 10 만원씩배상판결 ( 대법, 09.6) 대법원확정판결
개인정보보호의필요성 개인정보처리자가정보주체의개인정보를정당하게수집 이용하고, 개인정보를보관, 관리하는과정에서내부자의고의나관리부주의및외부의공격으로부터유출 변조 훼손되지않도록하며, 정보주체의개인정보자기결정권이제대로행사되도록보장하는일련의행위 개인정보침해에따른유출은 - ( 개인 ) 프라이버시침해에따른정신적 경제적피해를야기 - ( 기업 ) 고객의신뢰성저하로인한기업이미지손상및대규모소송제기시기관의경제적손실과도직결 - ( 국가 ) 정보사회자체에대한신뢰를붕괴시켜사회적혼란야기 이에개인정보보호를위해범국가적차원에서엄격하고적극적인노력필요 24
3. 개인정보보호원칙
개인정보보호법의제정및추진경과 대규모개인정보침해사고빈발로국민불안감급증 - 최근개인정보침해는대형화 지능화 다양화추세개인정보보호를위한법적용사각지대존재 - 공공기관의개인정보보호에관한법률, 정보통신망법등개별법체계 - 헌법기관, 제조업, 서비스업사업자, 비영리기관등은관련법부재국가간개인정보교류에대비한국제수준의처리원칙필요 - 세계각국과의 FTA 체결로상호간개인정보교류증대예상 의원입법및정부안국회제출 (2008 년 ) 개인정보보호법제정 (2011.3.29) 및시행 (2011.9.30) 개인정보보호법계도기간종료 (2012.3.29) 26
개인정보보호법의특징 공공기관, 사업자, 비영리단체, 개인등모든개인정보처리자를규율 컴퓨터및수기문서에서처리되는개인정보포함 수집단계, 이용 제공단계, 폐기단계등처리단계별준수사항명시 민감정보 고유식별정보처리제한 영상정보처리기기 (CCTV) 설치및운영에대한근거마련 정보주체의개인정보의열람 정정 삭제 처리정지요청권보장 개인정보유출통지, 집단분쟁조정, 단체소송등피해구제강화 27
개인정보보호법의의의 개인정보보호법은일반법으로서모든개인정보처리자와정보주체와의관계에적용되며, 다른개인정보보호관련법률에규정이있는경우우선적으로적용학교에서는교육기본법, 초 중등교육법, 유아교육법, 학교보건법등이개인정보보호법에우선하여적용될수있음 28
개인정보보호법의구성 제 1 장총칙 제 2 장개인정보보호정책의수립등 제 3 장개인정보의처리 제 4 장개인정보의안전한관리 제 5 장정보주체의권리보장 제 6 장개인정보분쟁조정위원회 제 7 장개인정보단체소송 제 8 장보칙 제 9 장벌칙 개인정보보호법의목적, 정의, 개인정보보호원칙, 정보주체의권리, 국가등의책무, 다른법률과의관계 개인정보보호위원회, 개인정보보호기본계획 시행계획수립, 개인정보보호지침, 자율규제의촉진및지원 개인정보의수집 이용 제공등처리기준, 민감정보 고유식별정보제한, 영상정보처리기기제한등 안전조치의무, 개인정보보호책임자, 개인정보파일의등록및공개, 개인정보영향평가, 개인정보유출통지등 개인정보의열람, 정정 삭제, 처리정지, 권리행사방법및절차, 손해배상책임 분쟁조정위원회설치 구성, 분쟁조정의신청방법 절차, 집단분쟁조정제도등 단체소송의대상, 소송허가신청및요건, 확정판결의효력등 적용제외, 금지행위, 비밀유지, 침해사실신고, 자료제출요구및검사, 시정조치, 고발및징계권고, 권한의위임 위탁등 벌칙, 양벌규정, 과태료 부칙 : 시행일, 다른법률의폐지, 처리중인개인정보에관한경과조치, 다른법률의개정 29
개인정보보호법의주요내용 개인정보보호규정 < 개인정보처리 > 개인정보보호규정 인터넷상주민번호이외의회원가입방법제공 개인정보처리방침공개 개인정보보호책임자지정 개인정보안전성확보조치 관리 수집이용 제공위탁 파기 개인정보수집 이용 개인정보수집의제한 ( 필요최소한의정보수집등 ) 민감정보및고유식별정보처리제한 영상정보처리기기설치 운영 개인정보의제 3 자제공, 목적외이용제공금지 개인정보처리위탁, 영업양도등개인정보이전 개인정보파기 권리보장 개인정보유출통지 신고및개인정보침해신고 개인정보열람, 정정 삭제, 처리정지권 개인정보분쟁조정위원회및집단분쟁조정 권리침해중지단체소송 30
개인정보의처리단계별보호조치 -(1) 개인정보의수집및이용개인정보의수집및이용 개인정보수집 이용이가능한범위 정보주체의동의를받은경우 동의시 : 수집 이용목적, 수집항목, 보유 이용기간, 동의거부권등고지필요 법률에특별한규정이있거나법령상의무를준수하기위하여불가피한경우 공공기관이법령등에서정하는소관업무의수행을위하여불가피한경우 정보주체와의계약체결및이행을위하여불가피하게필요한경우 정보주체및법정대리인의의사확인을못하지만명백하게정보주체에게이득인경우 정보주체의권리보다우선하지만, 개인정보처리자의정당한이익달성에필요한경우 필요최소한의개인정보수집, 미동의를이유로재화나서비스제공거부금지 수집 이용목적의범위를초과한이용의제한 정보주체이외로부터수집처리시정보주체의요구가있으면출처등고지의무 31
개인정보의제공 개인정보의처리단계별보호조치 -(2) 제 3 자제공을위해서는정보주체의동의필요 ( 수집목적범위내제공시예외 ) 제공받는자, 이용목적, 개인정보항목, 보유 이용기간, 동의거부권고지의무 동의범위를벗어난제 3 자제공금지 별도의동의, 다른법률규정, 통계작성및학술연구, 범죄수사등에해당하는제3자제공금지는예외인정 제공받은자의제공목적외이용또는제 3 자제공금지 별도동의, 다른법률규정이있는경우에는예외 국외이전시에도정보주체별도동의필요 개인정보보호법을위반하여국외이전계약체결금지 영업양도 합병등에의한개인정보이전시개인정보처리자와영업양수자등은정보주체에고지 서면, 전자우편, 모사전송, 전화, 휴대전화문자전송, 홈페이지또는영업장게시등 32
< 참고 > 동의획득방법 구분 홈페이지 서면 전자우편 (E-MAIL) 전화 기타 동의획득방법동의를구하는화면또는동의절차상에서동의내용을게재하고동의여부를표시하도록하는방법 ( 회원가입화면, 로그인화면등 ) 동의내용이기재된서면을직접교부하거나, 우편또는팩스등을통해전달하고정보주체가서명날인한후제출하는방법동의내용이기재된전자우편을발송하여정보주체로부터동의의의사표시가기재된전자우편을전송받는방법동의내용을구두로알려주고동의를받거나, 동의내용을확인할수있는방법을안내한후재차전화통화를통해동의를얻는방법동의내용을전부표시하기어려운경우동의내용을확인할수있는방법 ( 인터넷주소, 사업자전화번호등 ) 을안내 33
개인정보의처리단계별보호조치 -(3) 개인정보처리업무의위탁개인정보처리업무의위탁 처리업무위탁시목적 범위, 재위탁제한, 안전성확보조치, 점검등문서화 위탁업무의내용, 수탁자의공개의무 재화나서비스의홍보 판매권유업무의위탁시정보주체에대한고지의무 개인정보의보호를위한수탁자교육, 처리현황점검등감독책임 손해배상책임문제가발생시수탁자는개인정보처리자의소속직원으로간주 < 위탁과제 3 자제공비교 > 34
개인정보의처리단계별보호조치 -(4) 개인정보의파기개인정보의파기 보유기간경과, 처리목적달성등개인정보가불필요하게되었을때는지체없이개인정보파기의무 ( 법령에따른보존은예외 ) 파기시에는복구또는재생되지않도록조치 출력물, 서면등은파쇄 소각, 전자적파일형태는복원이불가능한방법으로영구삭제 법령에따른보존시해당개인정보또는파일은다른개인정보와분리저장 관리 < 개인정보파기절차 ( 예시 ) > 35
민감정보 고유식별정보의처리제한 민감정보 고유식별정보의처리제한처리제한 사생활을현저히침해할우려가있는민감정보및고유식별정보는처리금지 다만, 정보주체에게별도의동의를얻거나, 법령에서구체적으로허용된경우에 한하여예외적으로처리허용 민감정보 : 사상, 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활등에 관한정보, 유전정보, 전과 수형기록등범죄경력에관한정보 고유식별정보 : 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호 고유식별정보에대한암호화및대체수단제공의무화 고유식별정보의분실 도난 변조 훼손방지를위해암호화등안전성확보의무화홈페이지회원가입등일정한경우주민등록번호외의대체수단 ( 전자서명, i-pin, 공인인증서, 휴대전화인증등 ) 제공의무화 (12년 3월부터의무화 ) 공공기관및홈페이지이용자수가일일평균 1 만명이상인경우의무적제공 36
개인정보수집및이용동의서 1. 개인정보수집이용목적 : OO 기관은회원가입, 서비스및행사안내제공 2. 수집하려는개인정보항목 < 필수정보 > 성명, 생년월일, 성별, 아이디, 비밀번호, 필수연락처, 주소 3. 개인정보의보유및이용기간 : 수집한개인정보는 2 년 ( 혹은기간내회원탈퇴시 ) 동안보유 4. 회원께서는개인정보수집동의를거부하실수있으며다만이경우회원가입및제공서비스일 부가제한됩니다. < 참고 > 개인정보보호동의획득방식 ( 예시 ) 개인정보수집및이용에동의하십니까 동의함 동의하지않음 일반동의 ( 필요시 ) 고유식별정보처리동의 ( 수집또는제공시의고지사항고지 ) 고유식별정보처리에동의하십니까 동의함 동의하지않음 ( 필요시 ) 민감정보처리동의 ( 수집또는제공시의고지사항고지 ) 민감정보처리에동의하십니까 동의함 동의하지않음 별도동의 별도동의 ( 필요시 ) 목적외제공동의시 ( 목적외제공시의고지사항고지 ) 개인정보목적외이용에동의하십니까 동의함 동의하지않음 < 선택정보 > 기혼여부, 기념일, 병력, 취미, 소득수준, 자녀정보 선택정보사항을획득하지못한사유로인해서비스제공을거부할수없습니다. 선택적개인정보수집및이용에동의하십니까 동의함 동의하지않음 별도동의 별도동의 37
< 참고 > 만 14 세미만개인정보수집시법정대리인동의 ( 예시 ) 법정대리인의동의획득방법예시 신용카드휴대폰범용공인인증서 만 14 세미만아동동의 만 14 세미만의아동정보를처리하기위해법정대리인의동의필요 ( 동의획득을위해법정대리인의성명, 연락처등요청 ) 법정대리인 ( 보호자 ) 동의인증 ( 온라인경우 ) (ex : 신용카드, 휴대폰, 공인인증서등 ) 만 14 세미만아동의일반적인회원가입절차 아동본인의수집동의 아동의법정대리인정보 ( 성명, 연락처 ) 수집 법정대리인인증 회원가입완료 38
영상정보처리기기 (CCTV) 의설치제한 다음경우외에공개된장소의영상정보처리기기설치 운영제한 ( 법제 25 조 ) 법령에서구체적으로허용하는경우 범죄의예방및수사를위해필요한경우 시설안전및화재예방을위하여필요한경우 교통단속을위하여필요한경우 교통정보의수집 분석및제공을위하여필요한경우 불특정다수가이용하는목욕실, 화장실, 탈의실등개인의사생활을현저히침해할우려가있는장소내부의설치는금지 다만, 교정시설, 정신의료 ( 요양 ) 기관등법령에의한구금또는보호시설은예외인정 영상정보처리기기의설치시필요조치사항 설치시의견수렴 : 행정예고의실시 의견청취혹은설명회 설문조사 여론조사등을거쳐관계전문가및이해관계인의견수렴 안내판설치의무화 : 설치목적및장소, 촬영범위및시간, 관리책임자및연락처기재 ( 위탁시수탁자의명칭및연락처 ) 39
< 참고 > 영상정보처리기기설치판 ( 예시 ) 40
개인정보안전성확보조치기준 관리적조치 기술적조치 물리적조치 내부관리계획수립 시행 접근통제시스템설치및운영 접근권한제한 암호화 접속기록의보관및위 변조방지조치보안프로그램설치및업데이트 안전한보관을위한물리적조치 - 개인정보보호책임자지정사항 - 개인정보보호책임자및취급자의역할과책임에관한사항 - 개인정보의안전성확보에필요한조치사항 - 개인정보취급자교육에관한사항 - 방화벽등접근통제시스템설치 운영 - 업무용컴퓨터만을이용해개인정보처리시, 접근통제시스템설치의무면제 (O/S, 보안프로그램의접근통제기능이용 ) - 접근권한은최소한의범위로담당자에따라차등부여 - 개인정보취급자변경시지체없이시스템접근권한변경또는말소 - 접근권한부여, 변경또는말소에대한기록은최소 3년간보관 - 고유식별정보, 비밀번호, 바이오정보는안전한알고리즘으로암호화 - 비밀번호는복호화되지않도록일방향암호화 - 인터넷구간및인터넷구간과내부망의중간지점에고유식별정보를저장하는경우암호화 - 개인정보처리시스템에대한접속기록은최소 6 개월이상보관 - 백신소프트웨어등보안프로그램은자동업데이트기능을사용하거나일 1회이상업데이트실시 - 전산실, 자료보관실등개인정보를보관하는장소에대한출입통제계획마련 시행 - 개인정보가포함된서류, 보조저장매체등은잠금장치가있는안전한장소에보관 41
개인정보처리방침수립및공개 개인정보처리방침 개인정보처리자는개인정보처리방침을수립 공개의무화 < 개인정보처리방침포함사항 > 1) 개인정보처리목적 2) 개인정보처리및보유기간 3) 개인정보제 3 자제공에관한사항 4) 개인정보처리위탁에관한사항 5) 정보주체의권리 의무및행사방법에관한사항 6) 처리하는개인정보항목 7) 개인정보파기에관한사항 8) 개인정보안전성확보조치에관한사항 인터넷홈페이지첫화면또는첫화면과직접연결되는화면에게재 42
개인정보열람및정정 삭제 정보주체에게개인정보의열람, 정정 삭제, 처리정지요구권제공 ( 법제 35 38 조 ) 대리인에의한권리행사, 14세미만아동의법정대리인의열람등요구권 열람등요구자에대한실비범위의수수료와우송료청구가능 정보주체는공공기관에직접열람요구서를제출하거나행안부장관을통해요구가능 열람제한및거절사유가없는한일정기간 (10 일 ) 내에열람을허용해야함 개인정보열람요구서 개인정보의항목및내용 개인정보의수집ㆍ이용의목적 개인정보보유및이용기간 개인정보의제 3 자제공현황 개인정보처리에동의한사실및내용 개인정보처리자 공공기관에직접요구하거나행정안전부장관에게개인정보열람요구서를제출하여야함. 열람요구서를제출받은행정안전부장관은해당공공기관에이송하여야함. 정보주체 열람연기ㆍ거절의경우열람을받은날부터 10 일이내에연기또는거절의사유및이의제기방법을열람의연기ㆍ거절의통지서로정부주체에게알려야함. 1) 열람허용 열람할수없는정당한사유가있는경우그사유를알리고열람연기가능 연기사유소멸시지체없이열람하게하여야함 2) 일부열람 열람통지서에열람할개인정보, 열람가능날짜ㆍ시간ㆍ장소, 일부열람사유및이의제기방법을기재 3) 열람제한ㆍ거절 43
개인정보유출신고 개인정보처리자는개인정보유출을인지한경우지체없이 (5일이내 ) 유출정보의항목, 유출시점, 유출경위, 구제절차등을정보주체에게통지해야함대규모 (1만명이상 ) 개인정보유출시에는정보주체에게통지한후, 행안부또는개인정보전문기관 (NIA, KISA) 에유출신고하도록의무화 개인정보통지방법 : 서면, 전자우편, 모사전송, 전화, 휴대전화문자전송등 [ 참고 ] 개인정보에관한권리 이익을침해받은정보주체는개인정보침해신고센터에신고가능 개인정보침해신고센터는신고의접수, 상담, 사실의조사 확인등수행법위반행위에대한관계기관의역할 행정안전부 ( 중앙행정기관 ) : 법위반사항발견, 신고접수받은경우자료제출요구또는검사, 침해행위중지등시정조치명령, 수사기관고발및책임있는자의징계권고등 44
감사합니다 개인정보보호종합지원포털 : www.privacy.go.kr 개인정보보호지원센터 : privacy.nia.or.kr 한국정보화진흥원 : 02-2131-0111, privacy@nia.or.kr