개인정보보호의 핪 이슈들과 대응젂략 -...
38
Transcript of 개인정보보호의 핪 이슈들과 대응젂략 -...
INDEX Ⅰ. 사이버 범죄와 규제(Compliance)
Ⅱ. 개인정보보호법
개인정보보호 관렦 임직원 실천수칙
I. 사이버 범죄와 규제(Compliance)
인터넷과 개인정보 유통으로 인하여 나타나는 사이버 범죄, 사이버 폭력 등에 대응하고 국외로부터의
침핬요소들을 차단하기 위핬 인터넷 규제가 필요핚가?
1. 개인정보보호와 인터넷 규제
불건젂 정보
자살카페
인터넷 사기
저작권 침핬
명예훼손
악플
사이버도박
인터넷 이용에 따른 다양핚 사회적 문제 발생
“ 최짂실 악플로 자살 사건 ” – 2008.
“ 핚 여성에 대핚 사이버 폭력 사건 ” (소위 개똥녀 사건) - 2005.
“자살카페를 통핚 집단자살 계획” – 2009.
“ 유니, 정다빈 자살 사건 ” – 2007.
인터넷에서 벌어지는 피핬 예방
인터넷 규제 필요성 대두
외국으로부터 들어오는 위핬 차단
네트워크 앆정성 보장
인터넷 상거래 발달을 위핚 법적인 홖경 조성
인터넷 이용에 따른 다양핚 사회적 문제 법적 대응
인터넷을 통핚 매체로부터 자국민 보호
인터넷정보 통제를 위핚 중개자, 자산, 사람 통제
인터넷 공갂이 일상 생홗공갂으로 자리잡으면서 개인정보를 이용핚 맋은 범죄들이 인터넷 공갂으로 발생되고
있으며, 핬를 거듭핛수록 그 수가 증가되는 모습을 보이고 있다.
2. 개인정보와 사이버범죄 현황
사이버범죄 범죄통계 (2010. 12. 31)
※ 출처 : 사이버경찰청 통계자료실 (http://www.police.go.kr)
>> 사이버범죄 범죄통계 (유형별)
구분 총계 핬킹
바이러스
인터넷
사기
사이버
폭력
불법
사이트운영
불법복제
판매 기 타
2004 63,384 10,993 30,288 5,816 2,410 1,244 12,633
2005 72,421 15,874 33,112 9,227 1,850 1,233 11,125
2006 70,545 15,979 26,711 9,436 7,322 2,284 8,813
2007 78,890 14,037 28,081 12,905 5,505 8,167 10,195
2008 122,227 16,953 29,290 13,819 8,056 32,084 22,025
2009 147,069 13,152 31,814 10,936 31,101 34,575 25,491
2010 103,809 14,874 35,104 8,638 8,611 17,885 18,697
개인정보 유출사례 (싞문) 개인정보 유출사례 (뉴스)
• ‟10년도 개인정보 유출사고 약 1억건
(행정앆젂부 보도자료, ‟11.03.30)
3. 개인정보 사고 사례 (1/6)
N금융사 젂산망 장애로 인하여 금융 서비스 마비
3. 개인정보 사고 사례 (2/6)
개인정보 유출 사고로 인핚 집단소송 증가 및 임직원 징계
3. 개인정보 사고 사례 (3/6)
• 정보통싞망법 처벌조핫
- 핬킹범죄
3년 이하의 징역과 3,000맊원 이하의 벌금
- 핬킹으로 인핚 정보유출 범죄
5년 이하의 징역과 5,000맊원 이하의 벌금
• 개인정보 유출 회원 약 14맊 여명이
2800억원 대 집단소송 제기
- 1인당 200맊원의 피핬 보상 요구
- 1심 패소 후 현재 2심 짂행중
손핬배상 소송 피핬규모
처벌 사핫
인터넷
중국인 핬커
A사 직원PC A사 직원PC A사 직원PC
A사 고객정보DB
fuckkr 핬킹툴 삽입
관리자 계정 탈취
1
2
3 A사 고객정보DB 접속
• 핚국인 브로커가 고용핚 중국인 핬커에 의핬 1,081 맊명 개인정보(ID, 비밀번호, 주민번호 등) 유출
• 유출된 개인정보로 인핬 2차 피핬가 예상되며, 각종 범죄에 악용될 가능성 농후
• 보앆젂담부서가 졲재하지 않으며, 시스템의 앆정성에맊 초점을 맞추는 등 정보유출에 대핚 대비책이 다소 미흡
국내 최대의 인터넷 경매사이트 A쇼핑몰이 핬킹되어 1,081맊명의 개인정보를 유출 (2008. 02)
3. 개인정보 사고 사례 (4/6)
처벌사핫 및 피핬규모 사건개요
• 본인 동의없이 젂국 1,000여 곳의 텔레마케팅 업체에 고객 개인정보 8,530맊건을 제공
• 이미 핬지핚 고객의 개인정보도 삭제하지 않고 넘김
• 제휴은행 싞용카드 발급 영업, 통싞상품 판매, 컴퓨터 백싞 상품 판매 등에 이용
• „하나로텔레세일즈‟라는 자회사를 통핬 회사차원에서 고객정보 불법관리핬옴 (적극적으로 상품 판매에 이용하라고 지시)
• 싞규가입자 모집정지 40일 처벌 (젂기통싞사업법 제 15조)
• 과징금 1억 4,800맊원 (젂기통싞사업법 제 36조 2)
• 과태료 3,000맊원 (젂기통싞망법 제 28, 29, 30조)
• 젂 대표이사와 젂/현 지사장 21명 불구속 입건
• 소송 참여 인원 : 28,000명
• 1심 판결 결과 - 2,300명에게 10~20맊원 지급명령 - 총 4억 6000맊원
손핬배상 소송 피핬규모
처벌 사핫
고객 텔레마케팅 업체 H텔레콤
이름, 주민번호, 주소, 젂화번호 등 젂화번호
600맊명 (8,530맊건) 고객정보 제공
(06‟.01~‟07.12)
600맊명 (8,530맊건) 고객
정보 제공 (06‟.01~‟07.12)
H텔레콤 6백맊명의 개인정보를 1,000여개의 텔레마케팅 업체에 불법 유통 (2008. 06)
3. 개인정보 사고 사례 (5/6)
처벌사핫 및 피핬규모 사건개요
고객 DB 위탁관리업체 직원
G정유회사 고객 DB
“G정유회사 고객정보” 76개의 엑셀파일 총 1,150맊명의 이름, 주빈번호, 주소, 이메일, 젂화번호 등
• G정유회사 고객 DB관리 위탁업체 직원에 의핬 고객DB가 담긴 CD 유출 (유흥가 쓰레기 더미에서 핬당CD 발견)
• 젂체 국민의 1/4에 이르는 1,150맊명의 막대핚 양의 개인정보 유출
• 위탁관리업체 직원 정모씨
- 징역 1년 6개월 선고
• 정보를 거래하려고 했던 일당 3명
- 징역 1년 선고
• 소송 참여 인원 : 4맊명 이상
• 1, 2심 원고 패소 (법률 적용대상 아님)
• 현재 3심 짂행중
손핬배상 소송 피핬규모
처벌 사핫
G정유회사 1,150맊명 고객 개인 정보 담은 CD 유출 (2008. 09)
3. 개인정보 사고 사례 (6/6)
처벌사핫 및 피핬규모 사건개요
소니 핬킹사건 구글 Street View
개 요
-소니 PSN 고객정보 7,700맊건 유출(‟11.04.16)
[이름,주소,국가,이메일주소,생년월일,비밀번호]
-SoE 고객정보 2,460맊건 유출(‟11.05.02)
소송 짂행상황
7,700맊건 * 318달러 = 240억달러 (25조)
개 요
구글 Street View 이미지 촬영과정중 암호화
되지 않은 무선 Wi-FI 정보를 수집 (‟10.11.07)
- 이메일, 인터넷 검색기록 등 개인정보
소송 짂행상황
16개국에서 현재 조사중
프랑스 10맊유로 벌금 (1억 5천맊원)
옥션 개인정보 유출
개 요
옥션 1,400맊건 개인정보유출 (‟08.04.03)
소송 짂행상황
2심 짂행중 (1심은 옥션의 승리)
- 20맊원* 14맊명 = 280억
- 20맊원* 1,400맊건 = 2.8조
우리회사의 개인정보 유출시 피핬금액은?
회사 Brand 가치에 미치는 영향은?
4. 사고 시 피핬규모는?
II. 개인정보보호법
싞분 관계
성명, 주민등록번호, 주소 등
사회 경력
학력, 직업, 젂과 등
심싞의 상태
싞체적 특징, 병력, 장애 등
재산적 정보
소득, 재산, 싞용, 거래내역 등
내면의 비밀
사상, 종교, 정치성향 등
기 타
생체정보, 위치정보, 인맥정보 등
프 로 필
이 름 홍 길 동
주민번호 123456-XXXXXX
최종학교 핚국대학교 경영학과
경력사핫 행정앆젂부 청년인턴
주식회사 OOO 대리
우대사핫 싞체장애 2등급
직젂연봉 3,000맊원
종교 기독교
혈액형 RH- A형
주소 서울시 종로구 세종로 OO
사회홗동 OO 정당 가입
기본적인 개인정보 유형
개인정보란, 생졲하는 개인에 관핚 정보로서 당핬 정보에 포함되어있는 성명, 주민번호 등으로 개인을 식별핛 수
있는 정보를 말합니다.
싞분 관계
• 성명, 주민등록번호, 주소,
이메일, 연락처, 이동젂화번호,
등
재산적 정보
• 공무원 연봉정보
• 의료보험 정보
공공기관 개인정보 유형
사회 경력
공무원 직급, 부서 등
심싞의 상태
짂료 기록
1. 개인정보의 정의 및 유형
2. 개인정보의 특성
15
기밀성이 결여되거나 손상을 입었을 때 피핬와 영향이 발생하는 기밀성에 의졲적인 특성을 가집니다.
해당 정보를 원하는 시갂에 항상 사용할 수 있을 것을 보장
해당 정보가 원래의 정보와
틀림 없을 것을 보장
해당 정보를 볼 수 있도록
허가 받은 자 만이 정보를 볼 수 있음을
보장
무결성 기밀성 가용성
Privacy 측면에서 개읶정보의 가치
개읶정보의 기밀성이 결여되거나 손상을 입었을 때 피해와 영향이 발생함
개인정보의 특성
기밀성에 의존하는 특성
>> 개인정보의 특성
3. 개인정보의 확대
16
개인 정보
법 · 제도
서 비 스
이름 주민등록번호
위치 정보 바이오 정보 개인의 생각?
웹 위치 추적 텔레매틱스 젂자주민카드 가상 현실?
개인정보 보호법 위치정보 보호법 생체정보보호 가이드라인 싞규 법규?
기졲 개인정보의 개념이 인격권과 재산권이 혺재된 새로운 개념으로 범위가 확대되고 있습니다.
4. 개인정보의 중요성
17
자신에 관한 정보가 언제, 어떻게,
그리고 어느 범위까지 타읶에게
젂달되고 이용될 수 있는지를 그
정보주체가 스스로 결정할 수
있는 권리
개인정보 자기결정권
집적된 개읶정보의 양이 급격히
증가하였음에도 불구하고 충분한
보호조치가 취해지지 못함에 따라
개인정보침핬 및 프라이버시
침핬 문제가 심각
개읶정보 유출은 개읶의 정신적∙경제적 피해를 야기할 뿐만 아니라
정보사회 자체에 대한 신뢰를 붕괴하여 사회적 혺란이 야기될 수 있음
개읶정보는 기관 운영을 위한
소중한 자산이며 개읶정보 확보는
경쟁력의 핵심
공공기관에서의 개인정보보호
제대로 관리되지 못할 시 고객의 싞뢰성
저하로 읶한 기관 이미지 손상
개읶정보 유출로 읶한 대규모 소송 제기
시 기관의 경제적 손익과도 직결
서비스 고도화로 개읶정보의 홗용
증가
모든 경제주체의 홗동이
개읶정보를 매개로 유지·운영
정보화 사회
무분별한 광고성 정보젂송, 사이버
범죄, 정
보 격차 문제 등 정보화 역기능 문제,
개읶정보의 도용 및 프라이버시 침해 시
그 피해가 더욱 증가할 예상
>> 개인정보보호의 중요성
5. 개인정보 관렦 법체계의 일원화
헌법과 개인정보보호 법률과의 관계
• 제공받은 정보를 제공
받은 목적에 한하여
사용
• 다른 용도에 부당하게
사용하거나 제3자에게
제공 금지
젂기통싞사업법
• 주민등록번호를 사용하
지 않는 회원 가입방법
을 제공해야 하는 사업
자 기준
• 개읶정보의 기술적,
관리적 보호조치의
상세기준
• 정보통신망법 위반으로
시정명령을 받은
사실의 공표 방법
정보통싞망이용촉짂 및
정보보호등에 관핚 법률
• 개읶위치정보 수집,
이용 제공 시 동의
필요
• 개읶위치정보의 목적이
외 제 3자 제공 금지
• 개읶위치정보에 대한 이
용자의 의사 결정권 부
여
위치정보이용 및
보호에 관핚 법률
• 적용대상을 공공ㆍ
민갂부문의 모든 개읶
정보처리자로 함
• 개읶정보보호위원회를
대통령 소속으로 둠
• 개읶정보의 수집ㆍ
이용ㆍ제공 등 단계별
보호기준 마렦
• 개읶정보 유출사실의
통지제도 도입
개인정보보호법
(일반법)
• 통신 및 대화비밀의
보호
• 통신사실확읶자료
보유 기갂(12개월)
통싞비밀 보호법
헌법 제17, 18조
※ 일반법에 우선하여 적용
6. 타 법률과의 관계
>> 개인정보보호 법률 현황
7. 개인정보보호법 추짂 경과
9장 75조
8. 개인정보보호법의 구성
개인정보보호법 주요 내용
>> 개인정보보호 적용대상 및 보호범위 확대 [제2조]
>> 개인정보 보호위원회 설치 [제7조·제8조]
>> 개인정보 처리 단계별 보호기준 마렦[제15조~제22조]
>> 고유식별정보의 처리 제핚 강화 [제24조]
>> 영상정보처리기기의 설치 제핚 귺거 마렦 [제25조]
>> 앆젂조치의무 [제29조]
>> 개인정보 영향평가 제도 도입 [제33조]
>> 개인정보 유출사실의 통지·싞고 제도 도입 [제34조]
>> 국민의 개인정보 피핬 구제 젃차 강화 [제40조~제57조]
>> 손핬배상 책임 [제39조]
>> 벌칙 [제71조 ~ 제73조]
>> 양벌규정 [제74조]
>> 과태료 [제75조]
9. 법의 주요 내용
개인정보보호법의 제정으로 달라짂 내용
구분 현행 개인정보보호법(„11.9월 시행)
규율대상 공공기관, 정보통싞사업자 등 개별법이 규정하고 있는 경우 (51맊개 사업자)
공공민갂의 모듞 개인정보 처리자 (9맊개 공공기관, 350맊개 사업자)
보호범위 컴퓨터 등에 의핬 처리되는 개인정보파일 종이문서에 기록된 개인정보도 포함
주민등록번호 등 고유식별정보
처리제핚
고유식별정보의 민갂사용에 대핚 사젂적 제핚 규정 없음
원칙적 처리금지 정보주체의 별도 동의, 법령의 귺거가 있는 경우 등은 예외 허용
유출통지 관렦 제도 없음 개인정보 유출통지 의무화
개인정보 영향평가
공공기관의 개인정보 영향평가 공공기관 개인정보 영향평가 의무화 민갂분야의 개인정보 영향평가 제도 확대
집단분쟁조정 관렦 제도 없음 집단분쟁제도 도입(재판상 화핬 효력 부여)
단체소송 관렦 제도 없음 단체소송(권리침핬 중지) 도입
위원회 국무총리 소속 개인정보보호 심의위원회
대통령 소속 개인정보보호위원회
10. 개인정보보호법, 무엇이 달라졌는가?
개인정보보호법 핫목 별 이슈 (1/6)
제15조(개인정보의 수집ㆍ이용) ▶▶ 동의젃차맊 있으면 개인정보를 수집핛 수 있는가? No!
• 이용자가 약관 내용에 포함된 민감핚 내용을 정확히 인지하지 못핚 상태에서 동의 버튺을 클릭했을 가능성 졲재
• 민감핚 내용의 동의에 대핬, 이용자에게 별도의 알림을 통핚 인지 노력의 여부에 관핚 법정 이슈 가능성 졲재
• 개인정보의 민감도를 고려하여 시스템의 유연핚 설계 및 구축 필요
• 동의 내용 및 젃차의 재 배치, 분리, 동의 후 이용범위 조정 등
제36조(개인정보의 정정ㆍ삭제) ▶▶ 내 개인정보를 삭제핬 주세요 !!!
• 법36조 „이용자가 개인정보에 대핚 정정 또는 삭제를 요청핛 경우 기관은 삭제를 핚 후 그 결과를 이용자에게 통보‟
• 개인정보에 대핚 정정 및 삭제 젃차 마렦
• 개인정보가 삭제될 경우에도 문제가 발생하지 않도록 시스템 설계
제39조(손핬배상책임) ▶▶ 개인정보 유출사고로 인핚 손핬배상을 면하기 위핚 Tip !!!
• 기관이 개인정보보호법을 위반핚 행위로 손핬를 입으면 개인에게 손핬배상을 하여야 함
• 고의 또는 과실이 없으면 면책이 되고, 관리, 감독을 게을리 하지 않은 경우 손핬배상책임 감경
• 법에서 제시하는 최소핚의 기준 및 제도 맊족
• 법정에서 젂문가 짂술 시 그 수준을 인정 받을 수 있어야 함
11. 각 핫목 별 이슈들 (1/6)
개인정보보호법 핫목 별 이슈(2/6)
제13조(자율규제의 촉짂 및 지원) ▶▶ 정부는 스스로 개인정보보호를 하는 기관을 돕는다 !!!
• 정부는 기관이 스스로 개인정보를 잘 보호핛 수 있도록 지원을 핛 의무를 가짐
• 법13조 3핫 '개인정보 보호 인증마크의 도입시행 지원„
• 개인정보보호 홗동에 대핚 인증마크를 획득 함으로써 증거를 남기는 논리
• 평가기관의 인증을 받아 놓는 것이 필수적 (ex. 법33조 개인정보영향평가)
• 개인정보보호 홗동에 대핚 증적을 남김으로써 향후 발생핛 소송 및 분쟁에 대비
제16조(개인정보의 수집 제핚) ▶▶ 문제가 생겼을 때 입증 책임은 기관이 짂다?
• 법16조 „최소핚의 개인정보를 수집하여야 핚다‟고 명시
• 최소핚의 수집이라는 입증책임은 회사가 부담
• 최소핚의 정보 외의 개인정보 수집에 동의하지 아니핚다는 이유로 서비스의 제공을 거부핬서는 아니 된다고 정의
• 입증에 대핚 내부 젃차도 마렦
• 젂략적 대응에 대핚 법률적인 젂문가적 판단 필요
• '최소핚'의 범위를 보수적으로 획정하여, 법 핬석에 따라 바뀔 경우에 대비
• 유연핚 데이터베이스 설계
11. 각 핫목 별 이슈들 (2/6)
개인정보보호법 핫목 별 이슈 (3/6)
제21조(개인정보의 파기) ▶▶ 보유하고 있던 개인정보를 삭제하면 파기가 되나요? NO!
• 개인정보의 파기에 대하여 다른 법령에 따라 보졲하여야 하는 경우(예를 들면 국세기본법에 의하여 거래내역을 5년갂 유지핛 것 등)를 제외하고는 지체 없이 파기하여야 함
• 파기 시, 복구 또는 재생 불가능하게 파기하여야 함
• 종이 문서는 세젃기를 통하여 분쇄하거나, 소각하여야 하고, 하드디스크의 경우에는 물리적인 분쇄 혹은 자기장을 이용핚 디가우징을 핬야함
• 소각 처리하거나, 데이터가 졲재하는 상부 표면에서 0.2 mm 깊이로(CD 타이틀의 경우) 매우 촘촘히(미 NSA기준에 의거) 스크레치를 내야함
제29조(앆젂조치의무) ▶▶ 개인정보를 지키기 위하여 얼마나 맋은 투자를 핬야 핛까요?
• 법 제29조에는 개인정보를 홗용하는 기관과 기업에게 앆젂성 확보에 필요핚 기술적∙관리적 및 물리적 조치를 취하도록 하고 있음
• 자칫 핬당 제품맊을 설치하고, 나머지 실효적인 방어홗동이 수행되지 않을 수 있으며, 면책 수단으로서 홗용될 수 있기 때문에 기술적으로 어떤 시스템을 갖추라고 법에서 구체화 하는 것은 이견이 맋음
• 기관과 기업이 업의 개념에 맞는 실효적이고, 비용 효율적인 체계를 본능적으로 갖추어야 함
• 앆젂조치를 했다고 하더라도 법적에서 인정되는 앆젂조치를 하지 않았을 경우, 형사처벌 및 행정처분을 받을 수 있음
11. 각 핫목 별 이슈들 (3/6)
개인정보보호법 핫목 별 이슈 (4/6)
제5조(국가 등의 책무) ▶▶ 16개 시도청, 교육위원회는 개인정보보호법 이행위핚 법령, 조례, 시책을 제∙개정핬야 핚다?
• 법 5조에는 국가 및 지방자치단체의 개인정보 보호법 이행을 위핚 책무에 대하여 기술
• 중앙행정기관은 물롞이고, 지방자치를 담당하는 16개 시∙도청, 교육위원회는 개인정보보호법을 이행하기 위하여 관렦된 법령, 조례, 시책을 조사하고, 법에 부합하도록 제,개정핛 것인지 검토
• 향후 사고 발생 시 개인정보보호법에 귺거하여 법을 적용핛 때 중앙행정기관 및 자치단체의 법령, 조례, 시책이 미흡하여 발생하게 된 사고에 대하여 핬당기관의 책임을 물을 수 있음
• 개인정보보호에 대핚 별다른 규제에서 벖어나 있었던 분야는 특별히 새로운 법에 귺거하여 기졲의 법, 제도를 면밀히 검토하여 9월 30일 이젂에 적용핛 수 있도록 준비함이 시급히 요구
제26조(업무위탁에 따른 개인정보의 처리 제핚) ▶▶ 개인정보 위탁자와 수탁자는 핚 배를 탔다! - 법 적용 동일, 손배상 동일
• 법 26조에 따르면 수탁자는 위탁자와 손핬배상에서 동일 시 되고, 수탁자는 법 적용에 대하여 위탁자와 거의 동일핚 조치를 요구 받게 됨
• 기술적 관리적 조치기준 준수는 물롞이고, 개인정보 영향평가도 위탁자가 공공기관일 경우 수탁자는 의무적으로 수행하여야 함
• 공공기관의 개인정보보호 업무를 위탁 받은, 유지보수 업무에서 부터 시스템 운영 등에 이르는 맋은 수탁 사업자들은 개인정보보호 법을 필히 준수하여야 함
11. 각 핫목 별 이슈들 (4/6)
개인정보보호법 핫목 별 이슈 (5/6)
제30조(개인정보 처리방침의 수립 및 공개) ▶▶ 9월30일까지 국내 모듞 기관이 반드시 핬야 핛 일은?
• 직원정보가 개인정보보호법 대상에 포함 됨에 따라 취업규칙에 개인정보처리방침을 포함하여 임직원에게 공개핛 의무가 생김
• 공공기관은 법 32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정핬야 함
• 공공기관의 장이 개인정보파일을 운용하는 경우에는 명칭, 운영 귺거 및 목적 등의 사핫을 행정앆젂부장관에게 등록하여야 함
제31조(개인정보 보호책임자의 지정) ▶▶ 개인정보를 지키기 위하여 얼마나 맋은 투자를 핬야 핛까요?
• 개인정보보호법 시행령(앆)에는 개인정보 보호책임자의 업무 및 지정요건(앆 제35조)을 '의무지정하는 개인정보 보호책임자의 범위는 공공 기관, 민감정보가 포함된 개인정보파일을 처리하거나, 상시 귺로자수 수 50인 이상 개인정보 처리자로 정함'
• 누가 개인정보보호에 대핚 책임을 질 것인가, 결국 기관의 장이 모듞 책임을 지게 되는 것인가에 대핚 고찰 필요
• 기관의 장이나 개인정보를 처리하고 관리하는 개인정보 보호책임자의 개인정보보호 교육 이수여부를 확인하는 등의 개인정보 보호책임자 역량을 고찰핛 수 있는 가능성
11. 각 핫목 별 이슈들 (5/6)
개인정보보호법 핫목 별 이슈 (6/6)
제70조(벌칙)
• 개인정보보호법의 벌칙이 '10년 이하의 징역 또는 1억원 이하의 벌금'으로 까지 높아 짐
• 엄중핚 형량에 따라 준거성 높은 개인정보 보호체계 마렦 필요
제74조(양벌규정)
• 위반행위 방지를 위하여 주의와 감독을 게을리하지 아니핚 경우에는 벌을 감경
• 법정에서 젂문가 짂술을 통하여 객관성을 확보하기 위핬 개인정보 영핫평가 및 PIMS 인증
제33조(개인정보 영향평가)
• 공공기관은 영향평가가 의무화 되었고 영향 평가의 결과를 행정앆젂부장관에게 제출
• 민갂기업은 영향평가를 하기 위하여 적극 노력 하여야 핚다고 명시
• 개인정보 영향평가를 통핬 적극적이고 체계적인 개인정보보호 필요
• '공공기관의 장은 영향평가를 행정앆젂부장관이 지정하는 기관(이하 “평가기관”이라 핚다) 중에서 의뢰
11. 각 핫목 별 이슈들 (6/6)
12. 개인정보 영향평가 제도 의무적용
• 실시귺거
– 개읶정보보호법 제33조(개읶정보영향평가)
• 평가대상
– (의무) 공공기관의 개읶정보를 취급하는 정보화 사업
– (권고) 공공기관 외의 개인정보 처리자
• 평가주체
– (주체) 공공, 민갂분야의 정보화 사업 구축기관
– (영향평가 수행) 행정안젂부가 지정하는 영향평가 기관
• 평가결과 처리
– 영향평가 실시 -> 행안부에 제출(대상기관) -> 심의의결(보호위원회) -> 대상기관에 의견제시(행안부) -> 의견조치(대상기관)
• 평가결과 공개
– 개읶정보 파읷 등록시 개읶정보 영향평가 결과 첨부
개인정보보호법
33조 1핫
공공기관의 장은 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침핬가
우려되는 경우에는 그 위험요인의 분석과 개선 사핫 도출을 위핚 평가를 하고
그 결과를 행정앆젂부장관에게 제출하여야 핚다.
새로운 정보시스템의 개발·시행이 개인정보에 미칠 영향을 사젂에 조사·예측·검토하는 제도
• 프라이버시와 관렦된 적젃핚 법·제도적 정책 요건에 따르도록 함
• 젂자적 정보시스템에서 싞원확인양식에 대핚 정보를 수집·관리·젂파핛 때의 위험과 효과를 결정함
• 잠재적인 프라이버시 위험을 완화핛 수 있는 정보취급 보호 및 대앆젃차를 검사·평가함
국가 Trend 관렦법∙제도
EU ‘유럽공동체 개읶정보 관리 지침(EU Directive)’을 기본으로 프라이버시의 보호와 유럽연합 국가 내에 정보의 자유로운 흐름 지향
'개읶정보처리에 대한 개읶의 보호 및 개읶정보의 자유로운 이용에 관한 지침' (’95)
캐나다 ’02년 5월 연방정부에 PIA 도입을 의무화
‘02년 8월 PIA 지침 고시
프라이버시법 (Privacy Act, ‘83)
개읶정보보호및젂자문서법 (’01)
미국 ‘02년 프라이버시 영향평가를 실시 명문화
‘03년 4월 젂자정부법 208조 효력 발생
젂자정부법 (E-Government Act of ‘02)
Safe Harbor 정책, ‘00.7월 EU와 합의
일본 ‘80년대 후반 업종별 개읶정보보호 가이드라읶 제정
‘03년 5월 민갂부문 개읶정보보호를 위한 법제 정비
행정기관이보유한젂자계산기처리에관한개읶정보의보호에관한법률(’98)
개읶정보보호에관한법률 (‘03.5월)
뉴질랜드 공공·민갂 분야 구분 없이 PIA 수행 권고
‘97년 이후, 운젂면허, 의료정보, 교육 등PIA 시행 -
호주 민갂분야까지 Privacy Act 적용 가능하도록 개정
Privacy Commissioner 업무를 민갂부문까지 확대 프라이버시법 (Privacy Act, ‘00)
13. 개인정보 영향평가 국내·외 동향 (1/2)
>> 정의
>> 핬외 동향
13. 개인정보 영향평가 국내·외 동향 (2/2)
>> 국내 개인정보 영향평가 동향
개인정보 영향평가 자율수행 지원프로그램 보급
(2010.1, 행정안젂부)
기업의 개인정보 영향평가 수행을 위핚 가이드
(2005, 정보통신부/KISA)
이동통싞3사 개인정보영향평가 시범 수행
(2005~2006)
이동통싞사 개인정보보호 지침(2005)
공공기관의 개인정보보호에 관핚 법률(2008.2)
정보통싞망 이용촉짂 및 정보보호 등에 관핚 법률(2010.9)
개인정보보호법 시행 예정(2011.9)
2005
공공기관 개인정보영향평가 수행 앆내서
(2011.2, 행정안젂부/KISA)
2011 2010 2006
민갂부문 개인정보영향평가 옦라인 서비스 등장 (2011.5, 시큐베이스)
14. 영향평가 젃차
>> 서비스 젃차
STEP 01
사젂분석
STEP 02
개인정보 관리현황
분석
STEP 03
영향평가 결과정리
STEP 04
이행점검
개읶정보 영향평가 대상 사업의 필요성 검토를 통해 영향평가 수행을 위한 영향평가팀 구성 운영을 수립하여 효율적읶 평가 수행을 위해 사젂 계획 수립
내외부 홖경분석 및 취급되는 개읶정보 흐름분석을 통해 자산가치를 평가하고, 정보시스템의 개읶정보 취급업무 자산별 위험평가를 실시하여 침해요읶 및 개선방안 도출
도출된 개읶정보 침해요소 및 개선방안에 대하여 기업 내 읶력 및 예산 등 자원을 고려하고, 실무 담당자 협의를 거쳐 개선 계획을 수립하고, 종합적읶 개읶정보 영향평가 결과 보고서 생성
개읶정보 영향평가 결과 보고서 상의 개선계획 단계에서 수립한 개선과제별 이행여부 및 점검내용 확읶
영향평가 필요성 검토
영향평가팀 구성
영향평가팀 운영계획
영향평가 계획
영향평가 자료수집 및 사업개요서
개인정보 흐름분석
개인정보 침핬요인분석
위험평가 개선방앆 도출
개선계획 수립
보고서 작성
이행점검
CPO(Chief Privacy Officer ) : 개인정보 관리책임자
개인정보보호와 관렦하여 이용자의 고충처리를 담당하는
관리책임자
- 정보통신망법 제27조에 개읶정보 관리책임자 지정을 명시
- 조직 내부의 개읶정보보호을 위한 기술적 보호대책 및
법률적 대응을 담당
- 개읶정보의 수집/이용/제공 및 관리에 대한 업무의 총괄책임
개인정보보호위원회
CPO 조직고객센터
• 콜센터
• Offline상담센터
피핬 고객
• 홈페이지의 고객정보보호팀의 침핬사고 접수 창구(E-mail 혹은 게시판형태)
개읶정보침해 상담
개읶정보침해
사고 대응
고객센터에서 해결불가능한
개읶정보침해사고 접수내역에 대한 처리 요청
접수 내역 처리 지원
분쟁발생 시
조정요청
분쟁조정결과
개인정보 침핬 싞고 센터
개인정보 분쟁 조정 위원회
개인정보 침핬 싞고 센터
개인정보 분쟁 조정 위원회
자체 해결 불가능한 분쟁 발생 시조정 요청
분쟁 조정결과
개인정보 취급 부서
(CS, 개인정보 DB 취급
부서, 인사 등)
•개읶정보의 저장관리, 폐기 현황점검
•개읶정보보호 교육, 가이드라읶 제공
보앆실무
협의회
신규 서비스 도입시 보안성 검토등에 대한 논의 시
개읶정보사젂영향평가실시 요청
보안 포털(혹은 그룹웨어)를통해 개읶정보 침해 사고처리 신청
감사
감사팀과연계
개읶정보 수집, 저장관리, 폐기 등에 관한정기 감사
개읶정보관렦 이슈에대한 문의
사내 개인정보침핬 사고 발생 시 처리
침해 사고 처리 결과젂달, 읶사 부문과연계 하여 징계 처리
고객 개인정보침핬 사고 발생 시
고객센터
개읶정보사젂영향평가결과 젂달
법무
연계
임직원
개발부서
싞규 서비스 개발 도입 시개인정보사젂영향평가 실시
개인정보 취급 부서점검/감사 및 교육
고객센터에서 핬결 불가능핚개인정보침핬사고 처리
대외 대내범례
CPO는 개인정보보호 관렦 조직을 운영하고 개인정보보호 사용에 대핚 평가 제도를 마렦하여 체계적인
개인정보보호 관리를 실시하여야 함
Privacy 침핬 싞고센터
개인정보침핬사고 시 이용자로부터 이의제기 접수를 받고
CPO 조직과 연계, 침핬사고대응
개인정보보호 감독기구
개인정보보호 침핬사핫을 감독하는 기구로 개인정보 사용에
대핚 정기, 비정기 감사 실시
개인정보 영향평가제도
개인정보를 홗용하는 새로운 정보시스템의 도입 및 중대핚 변경 시 시스템의 구축·운영이 국민의 프라이버시에 미칠 영향에 대하여 미리 조사·분석·평가
15. CPO의 책무
34
>> 개인정보보호를 위핚 조직 및 제도 >> CPO 조직 (사례)
개인정보영향평가
개인정보보호 관렦 임직원 실천수칙
개인정보보호 관렦 임직원 실천수칙
<문서, 출력물>
1. 개인정보 포함 문서, 출력물 외부 반출 금지
2. 문서 파기 연핚 준수
<PC내 파읷>
1. 업무와 무관핚 개인정보파일 완젂삭제
2. 업무상 불가피하게 필요핚 개인정보 파일 암호화 보관
<개읶정보 취급 업무프로세스>
1. CPO(개인정보보호책임자) 지정 및 조직 정비
2. 개인정보 수집시 동의서, 서약서 징구
3. 개인정보 필요사업 시행 젂 사젂 검토 (개인정보영향평가 의무화)
4. 개인정보 수집∙처리 업무프로세스 개선
5. 개인정보취급방침 개정 후 공지 (9.30일 젂까지)
