개인정보보호 현장점검사례

및 향후 중점사업

2013년 4월2013년 4월

ContentsCo te ts

I 개요I.

II.

개요

’12년 현장점검 사례

III. 진단 및 시사점

IV. 향후 중점 사업

I 개 요I 개 요I. 개 요I. 개 요

3

1. 그간의 주요 추진업무 (‘11. 9~ )1. 그간의 주요 추진업무 (‘11. 9~ ) 취약분야 현장 지원

관계법령 일괄 정비, 하위법령/지침 마련* 229개 시행령 일괄정비, 7종 가이드라인 배포

범정부 기본계획 및 연도별 시행계획 수립* 46개 부처 연도별 사업계획, “주민번호 최소화대책”

법­제도

공공/민간 맞춤형 순회교육*총21회 공무원 정원 92% 컨퍼런스 사전예방

홈페이지 노출 모니터링

磨斧爲針교육 홍보총21회, 공무원 정원 92%, 컨퍼런스

TV 공익광고, 캠페인 등

민간 자율 규제(협회, 시민단체)

*범국민운동본부 개인정보보호포럼

사전예방

조사점검

* 10만개 대상, 삭제 및 기술지원

합동점검단 구성/운영* 6개 부처 14명, 취약분야 조사

磨斧爲針*범국민운동본부, 개인정보보호포럼

기 타기술지원

중소사업자 보호조치 컨설팅*지역 현장방문단, 개인정보보호 종합포털

주민번호 대체수단(i PIN 등) 활성화

영향평가기관 지정 및 운영 (18개)* 각 기관 영향평가 업무 수행 지원

주민번호 대체수단(i-PIN 등) 활성화개인정보 분쟁조정위원회 운영

<참고 1> 대상별 정책대응 방향<참고 1> 대상별 정책대응 방향

대대··중견기업중견기업(3(3만만 55천개천개))

공공기관공공기관(2(2만만 55천개천개))

·법적 의무 이행 인식전환 및 교육

① 순회 교육 및 간담회① 권역별 순회 및 기관 자체 교육

·법적 의무 이행

·기관자체 개선

·인식전환 및 교육

·자율규제 및 개선

② 컨퍼런스 및 전문교육 지원

③ 법 위반사항에 대한 행정처분 및 시정개선

② 기관별자율수준진단실시(중앙, 지자체, 지방공기업등)

③ 교육, 의료등분야별T/F 운영(지침마련)

중소업체중소업체··소상공인소상공인(317(317만개만개))

단단체체··협회협회(27(27만개만개))

준 계 활동 자율 제 및 개선

①유형별맞춤형지원(ASP, 본점, 프랜차이즈등) ① 사업자 단체·협회 순회 교육 및 지원

·준 계도활동 ·자율규제 및 개선

② 현장방문지원단운영및컨설팅(시·군·구)

③ 대학생개인정보보호지원단운영및지원

② 범국민운동본부운영및자율규약(MOU)

③ 업종별 사례집 배포·자문

※ 일반 국민 : 파급력이 큰 매체 활용한 홍보·교육 (TV 공익광고, 극장광고, 포털 등)

<참고 2> 그간의 추진 성과 (2012년말 기준)<참고 2> 그간의 추진 성과 (2012년말 기준)

개인정보보호개인정보보호자가진단자가진단 유권해석유권해석 질의질의침해침해 상담신고상담신고

인식확산 및 조치

자율규제자율규제 MOU MOU 체결체결

22,910건2,575건

166,000건

64 000건

7건

’’

1,469건

‘12‘12’11’11

412건

’ 2’

64,000건

‘12‘12’11’11

0건

’12’11 1212’11’11’12’11 12121111

실태개선 및 지원

웹사이트웹사이트 개인정보개인정보 노출건수노출건수 II--PIN PIN 보급현황보급현황 ((웹사이트웹사이트))

12,355개

CCTV CCTV 안내판안내판 설치설치

72 7%

개인정보암호화개인정보암호화

((중앙부처중앙부처∙∙지자체지자체))

0.07%

0.7%12,355개

7,108개

72.7%

23%99%

’12’12’09’09 ’12’12’11’11 ‘12.9‘12.9’12.3’12.3 ‘12‘12

II 12년 현장점검 사례II 12년 현장점검 사례II. 12년 현장점검 사례II. 12년 현장점검 사례

- 7 -

1. 총괄1. 총괄

총 47회 756개소 점검, 과태료 57건, 시정조치 360건 등 총 441건 행정처분

구분 금융업 학원 협회/연맹 공공기관 운송업 의료업 기타 전체

점검기관 37 25 25 74 27 21 232 441점검기관 37 25 25 74 27 21 232 441

위반기관 33 20 17 49 17 11 217 364

위반비율 89.2% 80.0% 68.0% 66.2% 63.0% 52.4% 93.5% 82.5%

조사조사 및및 점검점검-기획 점검 : 취약 분야, 위험 업종 대상 중심 실시, 제도개선 병행 (정기)

-특별 점검 : 침해사고, 유출 신고 등 사고 원인조사 및 책임 규명 (수시)

현황현황 조사분석조사분석 모니터링모니터링 침해사고침해사고, , 민원민원

<개인정보보호 합동점검단>

업종별 개인정보처리현황

개인정보관리실태개인정보 제공/활용현황

개인정보 유/노출현황

온라인 점검

원격 진단 취약점 석

개인정보 침해신고, 민원

분쟁조정 신청

8

개인정보 제공/활용현황

▶ KISA, NIA, 리서치 등

(원격 진단/취약점 분석)

▶ 관계부처/기관 연계

사고 발생, 언론 보도 등

▶ 경찰, KISA 등

<참고 1> 개인정보보호 합동점검단<참고 1> 개인정보보호 합동점검단

▣ 구성 및 주요 기능▣ 구성 및 주요 기능

관계부처간 유기적인 협조를 통해 개인정보 침해사고에 효과적으로 대응하기관계부처간 유기적인 협조를 통해 개인정보 침해사고에 효과적으로 대응하기위한「개인정보보호 합동점검단」을 구성·운영

근거 : 국무총리 훈령 제593호근거 : 국무총리 훈령 제593호

구성 : 총 14명(행안부, 방통위, 경찰청, 금융위, 교과부, 복지부, 전문기관)

운영 : 행정안전부에 설치, 2012.11.8~2014.12.31까지 운영

기능 통신 금융 의료 등 주요분야 합동점검 예방관제 및 기술지원

단 장

기능 : 통신·금융·의료 등 주요분야 합동점검, 예방관제 및 기술지원

팀 장

예방관제 조사점검 기술지원

· 침해 모니터링 및 상황관

리

· 침해사고 분석 및 전파

· 실태점검 및 합동조사

· 제도개선 대책 마련

침해신고 합동 대응

· 복구지원

· 피해확산 방지

기술지원 상담 및 안내· 관계기관․단체와의 협력

· 침해신고 합동 대응 · 기술지원 상담 및 안내

2. ’12년 현장점검결과2. ’12년 현장점검결과

▣ 업종별 주요 위반사항▣ 업종별 주요 위반사항

구분 주요 위반내용구분 주요 위반내용

공공기관·개인정보파일 미등록, 개인정보파일 보유기간 과다 선정

공공기관·로그인/실명 확인 시 전송구간 암호화 미 조치

·선택사항 미동의 시 서비스 제공 의무 위반, 수탁회사 관리감독 소홀

민

금융

선택사항 미동의 시 서비 제공 의무 위반, 수탁회사 관리감독 홀

·PC 저장 시 암호화 미 조치, 보험서류 관리 소홀 등

·개인영상정보(비밀번호, 계좌번호)의 과도한 수집

개인정보 영상정보 파기 위반 암호화 미 조치 열람기록 관리위반 등

간

분

·개인정보 영상정보 파기 위반, 암호화 미 조치, 열람기록 관리위반 등

·개인정보 최소한의 수집 위반 고유식별정보 별도 동의 위반야

유통·운송

개인정보 최소한의 수집 위반, 고유식별정보 별도 동의 위반

·위탁 시 별도조치사항 누락, 접속기록 관리 위반 등

·안내판 기재항목 누락, 관리방침 수립·공개 미 이행

열람 제공 시 기록 관리 위반 등·열람·제공 시 기록 관리 위반 등

2. ’12년 현장점검결과2. ’12년 현장점검결과

▣ 업종별 주요 위반사항▣ 업종별 주요 위반사항

구분 주요 위반내용

·동의 시 필수고지사항 일부 누락 고유식별정보 별도동의 위반의료·보건

동의 시 필수고지사항 일부 누락, 고유식별정보 별도동의 위반

·개인정보책임자 미 지정, 접근권한관리 위반, 내부관리계획 미 수립 등

민

간

학원·호텔·동의 시 필수고지사항 일부 누락, 고유식별정보 별도동의 위반

·개인정보의 처리 정지 미 조치, 전송 시 암호화 미 조치 등

분

야 협회·동의 시 필수고지사항 일부 누락, 수집·제공 구분동의 위반

·전송 시 암호화 미 조치, 비밀번호 작성규칙 미 수립, 접속기록 관리 위반 등

기타·동의 시 필수고지사항 일부 누락, 고유식별정보 별도 동의 위반

기타·개인정보처리방침 미 수립, 전송 시 암호화 미 조치 등

2. ’12년 현장점검결과2. ’12년 현장점검결과

▣ 법 조항별 위반사항▣ 법 조항별 위반사항▣ 법 조항별 위반사항▣ 법 조항별 위반사항

27%32%제25조(영상정보처리기기의설치∙운영제한)

27%

14%14%

13%

32%제15조(개인정보의수집∙이용)

제29조(안전조치의무)

제30조(개인정보처리방침의수립및공개)

기타

제25조 (영상정보처리기기) : 은행권 및 대중교통 시설의 CCTV 기획점검- 영상정보 접근권한 미 관리, 물리적 접근통제 미 조치, 내부관리계획 미 수립, 보관시설/잠금 장치 미 설치

제15조(개인정보 수집·이용제한) : 전 업종 공통 위반사항- 개인정보 수집 시 필수 고지사항 누락, 동의 거부 권리 및 동의거부에 따른 불이익 내용 미 고지

개인정보 수집 동의 절차 누락 (동의 절차가 없는 기존 서식 사용)

제29조(안전조치의무) : 대부분 기술적 보호 조치 위반- 내부관리계획 미 수립, 접근 권한 미 관리, 전송 시 암호화 미 적용, 접속(로그)기록 미 관리

제26 업무위탁에 따른 제한 위탁 문서 필수 치 수탁사 관리 감독 등제26조(업무위탁에 따른 제한) : 위탁 문서(필수조치), 수탁사 관리 감독 등

제30조(개인정보처리방침의 수립·공개) : 책임자 지정, 연락처 미기재 및 방침 미공개

<사례 1> 구글링 검색 방식 유출 사고 (‘12. 7월)

- 13 -

<사례 2> 보험사 일제 점검 (‘12. 8월~9월)

수집․처리 관련 고지 및 동의 절차 위반 (9개사, 과태료 2,800만원)

-고지사항 미안내, 주민번호 수집 및 보험판매 권유를 위한 별도동의 위반지사항 미안내, 주민번 수집 및 험판매 권유를 위한 별 동의 위반

수탁사 관리감독 소홀 등 위탁시 준수사항 위반 (4개사, 과태료 800만원)

-위탁서 체결시 보호조치사항 미흡, 수탁사 교육․점검 미실시

기술적 보호 등 안전성 확보조치 위반 (6개사 과태료3 300만원)기술적 보호 등 안전성 확보조치 위반 (6개사, 과태료3,300만원)

- 주민번호 암호화 미조치, 접근권한 관리 부실 등

- 14 -

<사례 3> 은행권 CCTV 운영실태 일제 점검 (‘12. 11월)

전반적으로 CCTV 안내판 설치, 녹음기능 미사용,전담조직 및 개인정보보호책임자 지정 등은 양호

< 주요 위반사항 >

① 접근권한 관리 위반(9건) 암호화 미조치(5건) 열람기록 관리 위반(3건)① 접근권한 관리 위반(9건), 암호화 미조치(5건), 열람기록 관리 위반(3건)

② CCTV 운영업무 위탁처리시 관리․감독 미흡

(위탁계약서상 필수사항 누락, 보호조치 미비 등 4건)

③ 개인영상정보(고객의 비밀번호․계좌번호)의 과도한 수집(3건)

④ 보유기간이 경과한 영상정보 미파기(3건)

- 15 -

<참고 2> 우수사례 1 – 접근기록 감사

개인정보 접근기록을 상시 모니터링하고 의심사항을 즉시 확인 (ooo)

접속기록분석을통해불필요한퇴사자계정(13), 원격접속계정(6) 등삭제 (ooo)

상시 모니터링상시 모니터링 접속기록 분석접속기록 분석

접근경로 분석 작업내용 분석접근경로 분석 작업내용 분석

• 상시 모니터링 결과 소명처리 절차

- ①의심사례검출, ②소명요청,

사용자별 접속 수 일평균 접속자 수

③소명등록, ④소명내용 심층분석,

⑤소명판정, ⑥문서시행, ⑦위반

의심자 조치, ⑧조치결과 확인

- 16 -

<참고 2> 우수사례 2 – 위탁업무 관리

위탁업무의 유형 및 특성에 따라 관리/감독 계획을 수립 (ooo)

수탁자 대상 실태관리 점검표를 개발하여 매월 점검 (ooo)

관리/감독 계획 및 점검관리/감독 계획 및 점검

• 기술적 보호조치

(6개분야 50개 점검항목)

• 관리적 보호조치

(10개분야 42개 점검항목)

• 위탁업무 형태, 수탁자 선정 시

고려사항 위/수탁 계약 체결 시

(10개분야 42개 점검항목)

고려사항, 위/수탁 계약 체결 시

주의사항, 수탁자에 대한 교육,

정기점검(목적 및 방법론) 등

- 17 -

<참고 2> 우수사례 3 – 개인정보보호책임자 역할 수행

개인정보보호책임자가 관리실태 자체점검 계획을 수립하여 점검을 실시하고 부서별

미흡사항에 대한 개선 조치를 점검 (ooo)

자체점검 및 개선조치자체점검 및 개선조치

- 18 -

III 진단 및 시사점III 진단 및 시사점III. 진단 및 시사점III. 진단 및 시사점

- 19 -

1. 공공기관 보호수준 진단결과

개인정보보호 관리체계, 보호대책, 침해대책 등 관리수준 진단 및 적극적인 개선 유도

- ’12년 진단대상 : 중앙부처(43), 지방자치단체(16), 지방공기업(129) 등 188개 기관

진단 절차 및 방법진단 절차 및 방법

12개진단항목별실적과증빙자료온라인등록

실적과 증빙자료

검증 및 평가

기관별 진단결과 통보 및 조정

법규, 지침 등에 대한준수상태를자율적으로점검 검증 및 평가점검

진단 결과 및 개선 기관별 자율적인 개법 위반에 따른 감점 진단 결과 및 개선조치 요구서 통보

기관별 자율적인 개선조치및지원(KISA)

법 위반에 따른 감점기준 적용

1. 공공기관 보호수준 진단결과

중앙부처, 시도는 양호한 편이나 지방공기업은 개선 필요

조직·예산 등 관리체계 구축은 양호 위탁 관리 및 시스템 접근기록 관리 등 침해예방·

지표별 진단 결과지표별 진단 결과

조직 예산 등 관리체계 구축은 양호, 위탁 관리 및 시스템 접근기록 관리 등 침해예방관리활동은 개선 필요

관리체계구축

전담 조직 및 인력 구성

개인정보보호를 위한 예산확보

위탁업무에 따른 관리감독

99.38

98.81

73.84구축 위탁업무에 따른 관리감독

개인정보보호 교육

개인정보보호책임자 역할 수행

개인정보 수집이용 최소화 이행

73.84

93.80

89.92

86.72

보호대책수립 및시행

개인정보 수집이용 최소화 이행

개인정보 파일 관리

영향평가 계획수립 및 결과관리

개인정보 처리방침 수립 및 공개

90.11

95.22

91.59

침해사고대책

개인정보 노출방지 및 자율개선

침해사고 대응절차 수립 전파

개인정보처리시스템 접근기록 관리

92.13

86.69

83.09

- 21 -

2. ’12년 실태조사 결과2. ’12년 실태조사 결과

기업/기관 실태조사 결과 (‘12. 12월 기준)

- 법 인지도 : 75.5%, 동의절차, 법적 필수조치사항 인지도 : 71.4%

전담 인력/조직 : 10.9%, 보안 투자 : 26.1% (투자 전무 : 73.3%)

국회 언론정부국회 언론정부君君 ! 臣臣 ! 父父 ! 子子 !

보안/개발국민/이용자(정보주체)(약 5,000만명)

기관/기업(개인정보처리자)

(약 350만개)

보안/개발업체

시민단체 보안/개발업체

<참고> 규제 성격의 변이현상 (규제 악순환)<참고> 규제 성격의 변이현상 (규제 악순환)

좁게 집중넓게 분산

감지된 편익

좁게 집중넓게 분산

넓게

Majoritarian Politics Client Politics

감지

게

분산

• 경제적 규제 (죄수의 딜레마)

• 규제 지속 강화 부담 증가지된

비용

강 증

용

좁게

Entrepreneurial Politics Interest-group Politics

게

집중

• 사회적 규제 (엄격, 절차규정)

• 위기, 재난, 사회적 책임위기, 재난, 사회적 책임

3. 시사점3. 시사점

Bottom line

Co Design Co operationCo-Design, Co-operation

Harmonization

IV 향후 중점사업IV 향후 중점사업IV. 향후 중점사업IV. 향후 중점사업

- 25 -

1. 단계별 추진전략1. 단계별 추진전략

- 26 -

2. ’13년 주요 업무계획2. ’13년 주요 업무계획

민관 협치의 보호수준 향상 법 제도 개선 및 책임성 강화

주요 업종 계약서/서식 일괄정비- 과다, 불필요 수집 및 무단제공 관행 근절

개인정보보호법 개정- “주민번호 수집/이용 최소화 대책” 후속조치

인증 마크제 도입 추진- 업종별 자율점검 및 개선 유도

빅데이터시대 개인정보보호대책 마련

- 데이터 공유/개방 및 보호조치 조화 등

창업자 대상, 개인정보조치 지원 강화취약업종, 반복노출기관 점검 강화

주민번호 대체수단 도입/전환 기술지원

기술지원 및 교육합 점검 및 실태개선

행정처분 확행 및 관계 기관 협력 강화 “지역거점 지원센터” 설치 및 운영

기술지원 및 교육합동 점검 및 실태개선

3. 중점 사업 (민관 협업의 보호수준 향상)3. 중점 사업 (민관 협업의 보호수준 향상)

주요 업종과다, 불필요 개인정보 수집, 무단 제공 관행 근절

주요 업종계약서, 서식 개선

- 통신, 금융, 쇼핑 등 주요 업종 163종 서식 정비* 수집/이용절차, 고지사항, 최소 수집 원칙 등

행정/민원서식 : 1,650종 일괄정비 (주민번호 생년월일)

개인정 호수개인정보 보호수준에 따라 등급별 인증마크 부여

행 서식 종 비

개인정보보호수준인증제 도입

* 기업 규모 등을 고려 심사항목 차등화 (소상공인 별도체계)

개인정보 보호관리과정, 개인정보보호대책 구현 등 심사

인센티브(행정처분 면제/경감, 포상 등), 대국민 홍보/소개 등

시범 협회/단체 지정 사례 전파 자율활동 문화 정착

* 기업 규모 등을 고려, 심사항목 차등화 (소상공인 별도체계)

민간 협회단체자율 규제 강화

시범 협회/단체 지정 사례 전파 자율활동 문화 정착

* 맞춤형 정보제공/교육, 컨설팅, 자율 점검 및 규약 제정 등

“개인정보보호포럼” 및 “범국민운동본부” 활성화개인정보보호포럼 및 범국민운동본부 활성화

3. 중점 사업 (법제도 개선 및 책임성 강화)3. 중점 사업 (법제도 개선 및 책임성 강화)

주민번호 수집 법정주의 (원칙적 금지, 법령 예외)

법 개정법 개정주민번호 유출기업 대상 과징금 제도 신설 (5억원 이하)

유출기업 및 기관의 CEO 및 임원 징계 권고제 도입

국외이전국외이전“APEC CBPRs” 및 “EU 적합성 평가” 대응전략 마련

국외이전

기준

국외이전

기준개인정보보호분야 국제협력 및 국제공조체계 강화

* “국외이전 가이드라인” 수립 및 배포

빅데이터

보호방안

빅데이터

보호방안

* APEC, OECD, ISO, Cyber-Space 총회 등

보호방안보호방안빅데이터 환경, 개인정보보호조치 강화방안

데이터 처리단계별 개인정보보호 기준 및 절차 마련데이터 처리단계별 개인정보보호 기준 및 절차 마련

3. 중점 사업 (합동 점검 강화 및 실태 개선)3. 중점 사업 (합동 점검 강화 및 실태 개선)

취약업종 분야“합동점검단” 중심 기획 조사 및 특별조사 강화

취약업종, 분야점검 강화

행정처분 확행, 관련 협회/단체 사례 전파

* (선정 기준) 민감정보 다량 보유, 회원유치 과열반복 다량 노출, 반복 민원/신고 발생

관계기관 협력금융위, 방통위 등 관계기관 합동 제도개선 추진

행 처 확행 회 체 사례 파

관계기관 협력제도 개선

업종, 분야별 가이드라인 마련 및 배포

분야별 취약 요인, 구조적 문제점 등 진단 / 분석

개인정보 유/노출 모니터링 정보 공동활용 및 대응조치통합 모니터링및 조치 강화

개인정보 유/노출 모니터링 정보 공동활용 및 대응조치

* 민원인 실수, 관리자 조치필요사항 및 홈페이지 설계 등

사전 삭제조치, 교육/홍보, 기술지원 및 조사 단속 등사전 삭제조치, 교육/홍보, 기술지원 및 조사 단속 등

3. 중점 사업 (기술지원 및 교육 강화)3. 중점 사업 (기술지원 및 교육 강화)

창업자 대상 개인정보보호조치 지원

창업자 지원창업자 지원

- 기술적, 관리적 안전성 확보조치 사항 컨설팅 및 지원

중소기업청, 자치단체 (창업지원센터) 연계 협력 추진

주민번호주민번호주민번호 미수집 전환, 대체수단 마련 지원

주민번호

대체/전환

주민번호

대체/전환중소업체 대상, 시범 모델 개발 및 보급

“가이드라인” 마련 및 교육/상담 추진

지역거점

지원센터

지역거점

지원센터

가이드라인 마련 및 교육/상담 추진

지원센터지원센터지역별 교육, 컨설팅 및 보호조치사항 지원- 지역상공회의소, 지역 교육기관, 대학교, 지역교육센터 등

4. 역할과 자세 (개인정보보호, “1.0” “3.0”)4. 역할과 자세 (개인정보보호, “1.0” “3.0”)

개인정보보호책임자 시스템운영관리자

정책 수립 및 체계 정립 기술적 보호조치 및 이행 관리

소양 및 관리역량 확보

정책 수립 및 체계 정립- 보호계획/방침, 전담조직/투자

SupportingCommunication 역량 강화

기술적 보호조치 및 이행 관리- 접근권한/인적 보안, 접속기록 감사

- 개인정보처리현황, 관리실태 이해

관리 감독 (Risk Mgt)내부통제시스템 및 정기감사

Steering- 보안투자, 개선조치사항

개인정보 생명주기별 관리/지원업무 + IT 전사적 시계- 내부통제시스템 및 정기감사

C li

- 업무 + IT, 전사적 시계

개인정보취급자

Compliance

인식 및 관행 변화- 업무처리절차/방식 개선, 교육

민원 처리 및 피해구제- Double/Cross Check, Reporting

• 참고자료 : 개인정보보호 종합지원 포털 : www.privacy.go.kr(자료실)

- 33 -