개인정보보호의이해와안전한관리 - 개인정보의유ㆍ노출방지 - 2013. 11. 27 최윤형 ( 한국정보화진흥원 )
1 개인정보유 노출예방방안 목차 2 개인정보침해시피해구제절차및방법
1. 개인정보유 노출예방방안
개인정보의유출 4
5 개인정보침해원인 주민등록번호수집관행화 마케팅을위한개인정보수요증가 개인정보보호중요성인식부족 불필요한추가개인정보수집 기업경영우선순위소홀 개인정보유출해킹등을통한유출 관리소홀 기술적보호조치미흡 관리적보호조치미흡
6 개인정보유출경로 개인정보유출경우 개인정보유출경우 개인정보오남용
개인정보침해로인한피해 - 개인 개인금융정보를통한공인인증서재발급 ID, Password 유출 개인금융정보 유출된개인정보 신분증위조 스팸메일 개인기본정보 E-mail 을통한피싱 (Phishing) Messenger 사기 유료컨텐츠도용 아이템해킹 위조휴대폰발급 위조계좌개설신용카드발급 타인명의로인터넷회원가입 정신적피해심각 금전적피해발생 7 범죄에악용 사회활동지장초래
개인정보침해로인한피해 - 기업 8
9 분쟁조정사례 공공기관 (1) 홈페이지관리미비 홈페이지게시판 ( 도지사에바란다 ) 에민원인개인정보노출 - 담당직원이게시할내용을확인하지않고게시판에게시 - ( 분쟁조정결과 : 재발방지조치권고 ) 사고일지
10 분쟁조정사례 공공기관 (2) 본인아닌제3자에게문서발급 OO시에서문서를제3자에게발급 - 본인확인없이관행적으로신청서만받고문서발급 - 신청자는문서를이용하여법원에채권등행사 - ( 분쟁조정결과 ; 재발방지조치권고 )
11 분쟁조정사례 민간부문 (1) 인력알선 ( 헤드헌팅 ) 업체의회원정보목적외이용 - 신청인은피신청인에게취업관련상담을하였고, 이후에광고성메일을수신함 - 피신청인은담당직원이업무상착오로지인에게보내야할이메일을신청인에게전송함 - 구직관리목적으로사용하여야함에도목적외로이용함 ( 손해배상결정 ) 온라인쇼핑몰, 대형마트, 백화점등의동의없는개인정보제3자제공 - 개인정보제3자제공시에이용자에게별도의동의를얻어야함에도동의를얻지않음 - 퍼미션콜의경우해당상담원이강제로이용자의동의를유도하는경우발생 - 그룹차원의패밀리사이트를운영하는경우개인정보공유또는제3자제공에대한명확한고지및동의절차없이회원의개인정보를통합관리및공유 ( 손해배상결정 )
12 분쟁조정사례 민간부문 (2) 여러인터넷사이트로부터제공받은개인정보를활용한 TM 행위 - 많은보험사들이인터넷홈페이지운영자로부터제공받은개인정보를활용하여 TM - 그러나인터넷사이트에서명확한개인정보제3자제공동의절차없이개인정보를제공하는경우가빈번하게발생 - 많은신청인들이무책임하게개인정보를제공받아 TM하는보험사에대하여이의제기함 제조업체등의개인정보무단개인정보수집 - 제조업체의제휴업체 ( 판매유치업자 ) 가길거리이벤트등을통해고객의개인정보수집시동의없이수집하여 TM 진행 - TM을받은고객은수신거부를하였음에도지속적으로 TM 진행 ( 제휴업체에대한관리, 감독의무소홀로개인정보보호책임을인정및손해배상결정 )
13 개인정보유출을막기위한 10 계명 1. 자주사용않는웹사이트회원가입자제 굳이회원가입을하지않아도되거나, 자주사용하지않는웹사이트에는회원가입을자제한다. 온라인이벤트응모에무분별하게참여하면개인정보노출이많아짐을유의한다. 2. 피싱사기이메일조심 개인정보, 계좌정보등을요구하는수상한이메일의경우신종금융사기수법인피싱을먼저의심해본다. 이러한이메일을받으면클릭하지말고해당금융기관사이트에가서직접확인한다.
14 개인정보유출을막기위한 10 계명 `` 3. 자료나프로그램다운로드는신중하게 인터넷에서아무자료나프로그램을함부로다운로드하지않는다. 정품이아닌복제프로그램에는트로이목마등의바이러스가공개프로그램에는스파이웨어가포함되어있을수있다. 4. 보안경고창이뜰경우신뢰할수있는기관만프로그램설치 웹사이트방문시보안경고창이뜰경우에는신뢰할수있는기관의서명이있는경우에만프로그램설치에동의한다.
15 개인정보유출을막기위한 10 계명 5. 개방된공간에서는인터넷금융거래자제 PC 방등누구에게나개방된컴퓨터에서는가급적온라인쇼핑이나인터넷금융거래를하지않는다 ID/PW 를가로채는트로이목마가설치되어있는경우정보가유출되어금융사고가발생할수있다. 6. 보안제품은자동업데이트로최신버전유지 백신, 안티스파이웨어제품, PC 방화벽, 키보드보안제품등을설치해자동업데이트기능을이용해항상최신버전을유지한다. 실시간감시기능을설정해두고최소일주일에한번이상최신버전으로검사한다.
16 개인정보유출을막기위한 10 계명 7. 최신윈도우보안패치 최신윈도우보안패치를모두설치하고자동다운로드, 설치설정을한다. 8. 비밀번호설정시개인정보사용금지 로그인계정의비밀번호는영문 / 숫자조합으로 8 자리이상으로설정하며주기적으로변경한다.
17 개인정보유출을막기위한 10 계명 9. P2P 프로그램, 메신저로전달되는파일다운로드시유의 이메일에첨부된파일이나메신저로전달되는파일, P2P 프로그램을통한자료다운로드시유의한다. 10. 중요문서파일암호설정 중요한문서파일의암호를설정하고백업을생활화한다.
2. 개인정보침해시피해구제절차및방법
19 정보주체피해구제를위한제도 정보주체권리보장 정보주체는자신의개인정보에대한열람, 정정 삭제, 처리정지를개인정보처리자에 대해요구할수있음 ( 법제 35 조 ~ 제 37 조 ) 유출통지및신고제 개인정보처리자는개인정보유출시지체없이정보주체에게유출사실통지 ( 법제34조 ) 1만명이상개인정보유출시지체없이행정안전부또는전문기관 ( 한국인터넷진흥원, 한국정보화진흥원 ) 에신고 ( 법제34조제3항 ) 집단분쟁조정및권리침해중지단체소송 정보주체의피해또는권리침해가다수의정보주체에게같거나비슷한유형으로발생하는경우집단분쟁조정을신청할수있음 ( 법제49조 ) 소비자단체, 비영리민간단체는개인정보처리자가집단분쟁조정거부또는결과불수락시법원에권리침해행위의금지 중지소송제기 ( 법제51조 )
개인정보열람및정정 삭제 정보주체에게개인정보의열람, 정정 삭제, 처리정지요구권제공 ( 법제 35 38 조 ) 대리인에의한권리행사, 14세미만아동의법정대리인의열람등요구권 열람등요구자에대한실비범위의수수료와우송료청구가능 정보주체는공공기관에직접열람요구서를제출하거나행안부장관을통해요구가능 열람제한및거절사유가없는한일정기간 (10 일 ) 내에열람을허용 개인정보열람요구서 개인정보의항목및내용 개인정보의수집ㆍ이용의목적 개인정보보유및이용기간 개인정보의제 3 자제공현황 개인정보처리에동의한사실및내용 개인정보처리자 공공기관에직접요구하거나행정안전부장관에게개인정보열람요구서를제출하여야함. 열람요구서를제출받은행정안전부장관은해당공공기관에이송하여야함. 정보주체 열람연기ㆍ거절의경우열람을받은날부터 10 일이내에연기또는거절의사유및이의제기방법을열람의연기ㆍ거절의통지서로정부주체에게알려야함. 20 1) 열람허용 열람할수없는정당한사유가있는경우그사유를알리고열람연기가능 연기사유소멸시지체없이열람하게하여야함 2) 일부열람 열람통지서에열람할개인정보, 열람가능날짜ㆍ시간ㆍ장소, 일부열람사유및이의제기방법을기재 3) 열람제한ㆍ거절
21 개인정보의처리정지 정보주체는개인정보처리자에게자신의개인정보처리의정지를요구할수있음 처리정지요구권은개인정보처리활동에대한정지를요구하는것으로동의철회권보다는그개념이넓음 동의철회권은정보주체자신이동의한것에대해서만동의를철회할수있으나, 처리정지요구권은정보주체자신이처리에동의하지아니한것에대해서는처리정지를요구할수있는일종의법정해지권과같은성격의것 정보주체는언제든지처리정지요구가가능 정보주체가공공기관에대하여개인정보처리정지를요구하는경우에는제 32조에따라행정안전부에등록대상이되는개인정보파일중에포함된자신의개인정보에대해서만처리정지를요구할수있음
22 개인정보유출싞고제도 개인정보처리자는개인정보유출을인지한경우지체없이 (5일이내 ) 유출정보의항목, 유출시점, 유출경위, 구제절차등을정보주체에게통지해야함 대규모 (1만명이상 ) 개인정보유출시에는정보주체에게통지한후, 행안부또는개인정보전문기관 (NIA, KISA) 에유출신고하도록의무화 개인정보통지방법 : 서면, 전자우편, 모사전송, 전화, 휴대전화문자전송등 [ 참고 ] 개인정보에관한권리 이익을침해받은정보주체는개인정보침해신고센터에신고가능 개인정보침해신고센터는신고의접수, 상담, 사실의조사 확인등수행 법위반행위에대한관계기관의역할 개인정보보호위원회 : 중앙행정기관, 지자체, 헌법기관에대한시정조치권고 행정안전부 ( 중앙행정기관 ) : 법위반사항발견, 신고접수받은경우자료제출요구또는검사, 침해행위중지등시정조치명령, 수사기관고발및책임있는자의징계권고등
23 집단분쟁조정제도및단체소송 집단분쟁조정제도 다수의정보주체에게비슷한유형의권리침해가발생한경우, 일괄적 (50 인이상 ) 으로분쟁조정을의뢰또는신청가능 ( 법제 49 조 ) 개인정보피해가대량 소액인특성을고려하여집단분쟁조정제도도입 신속한구제를위해개인정보분쟁조정위원회에일괄적으로분쟁신청토록함 개인정보분쟁조정위원회 : 20 인이하로구성되며, 5 인이내의조정부를구성해분쟁업무를효율적으로수행 단체소송 개인정보처리자가집단분쟁조정을거부하거나조정결과를수락하지아니한경우법원에권리침해행위의금지 중지를구하는소송을제기가능 ( 법제51조 ) 다만, 단체소송의남발방지를위해사전에집단분쟁조정제도를거치고, 단체소송의대상을권리침해행위의금지 중지청구소송으로한정
분쟁조정위원회조정절차 24
개인정보열람, 정정 삭제, 처리정지요구서식 개인정보보호법시행규칙 [ 별지제 8 호서식 ] 개인정보 ([ ] 열람 [ ] 정정ㆍ삭제 [ ] 처리정지 ) 요구서 아래작성방법을읽고굵은선안쪽의사항만적어주시기바랍니다. ( 앞쪽 ) 접수번호접수일처리기간 10 일이내 정보주체 성명 생년월일 주소 전화번호 대리인 성명 생년월일 주소 전화번호 정보주체와의관계 요구내용 [ ] 열람 [ ] 개인정보의항목및내용 [ ] 개인정보수집ㆍ이용의목적 [ ] 개인정보보유및이용기간 [ ] 개인정보의제 3 자제공현황 [ ] 개인정보처리에동의한사실및내용 [ ] 정정ㆍ삭제 정정ㆍ삭제하려는개인정보의항목과그사유를적습니다. [ ] 처리정지 개인정보의처리정지를원하는대상ㆍ내용및그사유를적습니다. 개인정보보호법 제 35 조제 1 항ㆍ제 2 항, 제 36 조제 1 항또는제 37 조제 1 항과같은법시행령제 41 조제 1 항, 제 43 조제 1 항또는제 44 조제 1 항에따라위와같이요구합니다. 년월일 요구인 ( 서명또는인 ) O O O O 귀하 25
26 개인정보열람, 정정 삭제, 처리정지통지서서식 개인정보보호법시행규칙 [ 별지제 9 호서식 ] 개인정보 ([ ] 열람 [ ] 일부열람 [ ] 열람연기 [ ] 열람거절 ) 통지서 ( 앞쪽 ) 수신자 ( 우편번호 :, 주소 : ) 요구내용 열람일시 통지내용 ([ ] 열람 [ ] 일부열람 [ ] 열람연기 [ ] 열람거절 ) 열람형태및방법 납부금액 열람장소 열람형태 [ ] 열람ㆍ시청 [ ] 사본ㆍ출력물 [ ] 전자파일 [ ] 복제물ㆍ인화물 [ ] 기타 열람방법 [ ] 직접방문 [ ] 우편 [ ] 팩스 [ ] 전자우편 [ ] 기타 수수료산정명세 1 수수료원 2 우송료원 계 (1+2) 원 사유 이의제기방법 개인정보처리자는이의제기방법을적습니다. 개인정보보호법 제 35 조제 3 항ㆍ제 4 항또는제 5 항과같은법시행령제 41 조제 4 항또는제 42 조제 2 항에따라귀하의개인정보열람요구에대하여위와같이통지합니다. 장년월일
감사합니다 개인정보보호종합지원포털 : www.privacy.go.kr 개인정보보호지원센터 : privacy.nia.or.kr 한국정보화진흥원 : 02-2131-0111, privacy@nia.or.kr