개인정보의 안전성 확보조치 기준 해설서 (제2019-47호 / 2019-07-10)

제정·개정이유 : 제2019-47호(2019.6.7. 개정)

◇ 제·개정 이유 
 개인정보처리시스템의 접속기록에 대한 관리기준을 명확하게 하여 개인정보 유출 및 오·남용과 같은 개인정보 침해사고의 사전 예방과 사후추적 관리를 강화하고자 함
    
◇ 주요내용 

  가. 접속기록의 기록항목 구체화(제2조)
    - 접속기록에 기록하여야 하는 항목을 육하원칙에 따라 보다 구체적으로 명시하여 규정
    
  나. 접속기록 보관기간을 최소 1년 이상 보관하도록 차등적 연장(제8조제1항) 

    ※ 6개월 이상 → 모든 개인정보처리시스템은 1년 이상, 다만, 5만명 이상 개인정보를 처리하거나 고유식별정보나 민감정보를 처리하는 시스템은 2년 이상

  다. 접속기록 점검에 관한 사항 개선(제4조 및 제8조제2항)
    - 내부 관리계획 이행실태 점검에 접속기록에 관한 사항 포함
    - 접속기록 점검 주기 단축 : 반기별 1회 이상 → 월 1회 이상
    - 개인정보를 다운로드한 경우 그 사유를 반드시 확인(신설)

[참고] 개인정보의 안전성 확보조치 기준 개요

□ 목 적

o 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실 도난 유출 위조 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적 관리적 및 물리적 안전조치에 관한 최소한의 기준을 정함

□ 법적 근거

o 개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별 정보의 처리 제한), 제29조(안전조치의무)
o 동법 시행령 제21조(고유식별정보의 안전성 확보 조치), 제30조(개인정보의 안전성 확보 조치)

과징금 부과 및 벌칙

o 2년 이하의 징역 또는 2천만원 이하의 벌금(법 제73조제1호)
o 3천만원 이하의 과태료(법 제75조제2항제6호)

□ 적용 대상

o 개인정보처리자
o 개인정보처리자로부터 개인정보를 제공받은 자
o 개인정보처리자로부터 개인정보 처리를 위탁받은 자(이하 ‘수탁자’, 준용)

□ 성 격
o 반드시 준수해야 하는 최소한의 기준

□ 주요 내용

o 내부 관리계획의 수립 시행
o 접근 권한의 관리
o 접근통제
o 개인정보의 암호화
o 접속기록의 보관 및 점검
o 악성프로그램 등 방지
o 관리용 단말기의 안전조치
o 물리적 안전조치
o 재해 재난 대비 안전조치
o 개인정보의 파기

☞ 첨부파일 : 개인정보의 안전성 확보조치 기준 해설서

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

개인정보 비식별화 솔루션

보안솔루션 공급

070-7867-3721, ismsbok@gmail.com

홈페이지 개인정보 노출예방 교육 (2018)

 뉴딜코리아 홈페이지

▣ 개인정보 유출 과 노출


1. 개인정보  "유출" 이란?

정보주체의 “개인정보”에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 경우(고의+부주의) “개인정보 노출”은 유출의 한 부분


2. 홈페이지를 통한 개인정보 노출 이란?

홈페이지 이용자가 해킹 등 특별한 방법을 사용하지 않고, 인터넷을 이용하면서 타인의 개인정보를 취득할 수 있도록 인터넷 상에서 관련 『정보가 방치』된 상태 주로 홈페이지 관리자 및 이용자의 부주의로 발생

[참고]
○ 게시판 상담요청 및 처리 시, 개인정보가 포함된 내용을 그대로 답변 등으로 게시할 경우(노출)
○ 검색엔진 등을 통한 사이트 내에 개인정보가 수집/저장 되어 일반인이 노출된 개인정보에 접근하게 하는 경우(노출)

○ 개인정보가 저장된 DB 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우(유출)
○ 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일, 문서, 저장매체 등이 잘못 전달된 경우(유출)

○ 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난을 당한 경우(유출)


3. 개인정보 노출의 문제점

▶ 고유식별정보 등 사생활 침해가 우려되는 정보가 노출

노출되어서는 안 되는 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인 등록번호), 신용카드번호, 계좌번호, 바이오정보 등이 노출

- 주민등록번호는 본인의 동의가 있더라도 법적 근거가 없으면 처리 불가, 여권번호 등은 처리 시 본인의 동의 필요 및 암호화 보관하여야 하는 중요 정보
- 노출시 법적 제재의 대상이 될 수 있음

▶ 홈페이지에 노출된 개인정보는 구글 등 검색엔진에 2차 노출

홈페이지에 노출된 개인정보를 신속히 삭제하지 않을 경우, 구글 등 검색엔진에 의해 노출이 확산되거나, 제3자에 의해 수집됨

- 개인은 명의도용, 보이스피싱 등 범죄에 악용, 대량 스팸 수신 등 피해
* 노출된 정보는 수집되어 개인을 분석하는 자료로 악용(프라이버시 침해)

- 기업은 이미지 실추, 다수 피해자에 의한 손해배상 소송 제기


☞ 추가 내용은 첨부파일 참고 하세요  !!!

컨설팅(ISMS, ISO27001, GDPR, PCIDSS)

취약점 진단 및 모의 침투

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

 

 뉴딜코리아 홈페이지 

2018년 개인정보보호법 주요 개정내용과 준수해야 할 사항

1. 최근 개인정보보호법 개정 주요 내용

2. 개인정보의 안전성 확보조치 기준

3. 개인정보보호법 개정 추진 현황

4. 개인정보 유출 사례



■ 최근 개인정보보호법 개정 주요 내용


1) 주민번호 전자적 보관시 반드시 암호화

   적용시기 : - 100만명미만주민번호 : 2017.1.1.부터
                 - 100만명이상주민번호 : 2018.1.1.부터

   ※적용시점전까지,암호화,위험도분석또는영향평가결과에따라보관

2) 주민번호 처리 제한 강화

   적용대상 : 모든 개인정보처리자(민간/공공)

   처리기준 :
    ① 법령에서 구체적 요구 또는 허용
       법률, 대통령령, 국회규칙·대법원규칙·헌법재판소규칙·
       중앙선거관리위원회규칙및감사원규칙(2016.3.29.개정)
    ② 정보주체또는제3자의급박한생명, 신체, 재산상이익에필요
    ③ 행정자치부령으로 정하는 경우

    ※ 법령근거 없는 주민번호 2016.8.6.까지 파기의무(경과조치)

3) 민감정보 보호 강화
   민감정보가 분실·도난·유출·위조·변조·훼손되지 않도록 안전성 확보조치 수행

4) 고유식별정보 보호 강화
   고유식별정보의 안전성 확보조치를 하였는지 행정자치부가 2년 1회 이상 조사
   ▶ 의무대상 : 공공기관, 정보주체 5만명 이상의 고유식별정보처리자
   ▶ 조사방법: 온라인, 서면 조사

5) 정보주체 권리구제 강화

   ○ 징벌적 손해배상 : 고의·중과실로 개인정보를 유출한 기관에 가중된 책임을 물어 법원이 피해액의 최대 3배까지 배상액 부과

   ○ 법정 손해배상 : 개인정보유출등경우구체적피해액입증없이 법원을 통해 정해진 일정금액(300만원 이내)을 보상

6) 개인정보처리자 의무 강화

7) 개인정보보호 인증

8) 개인정보보호 책임자 지정 요건 강화
   개인정보 보호책임자를 사업주, 대표자, 개인정보 처리 관련업무 부서장, 임원으로 지정하도록 함

9) 정보주체 보호 강화

10) 유출 신고 강화
    개인정보가 유출된 경우 행정안전부, 전문기관(KISA)에 신고
    기존 : 1만명 이상의 정보주체에 관한 정보 유출
    개정 : 1천명 이상 유출시


☞ 첨부파일 : 2018년 개인정보보호법 주요 개정내용과 준수해야 할 사항(KISA 김호성)

ISMS 인증컨설팅 | 취약점 진단 및 모의 침투 | 보안솔루션 공급
(070-7867-3721, ismsbok@gmail.com)

개인정보 보호법에서의 동의, 고지, 통지, 공개의 차이

 뉴딜코리아 홈페이지 

 개인정보 보호법 및 하위법령, 고시 등에서는 각각의 개인정보 처리요건에 대해 동의, 고지, 통지, 공개 등의 용어가 사용되고 있어 이의 명확한 의미 및 규정예시를 정리함


▶ 동의

o 정보주체가 개인정보의 처리에 대해 허락･승낙하겠다는 의사표시(명시적 의사표시를 의미함)

※ (규정예시) 개인정보 수집･이용(제15조), 제3자 제공(제17조), 목적외이용 또는 제3자 제공(제18조), 민감정보 또는 고유식별정보 처리(제23조 또는 제24조) 등


▶ 고지

o 개인정보 처리에 대한 동의를 받는 경우, 처리목적 등에 관한 사항을 동의서 등에 명시하거나 구두로 정보주체에게 알려주는 행위

※ (규정예시) 개인정보 수집･이용(제15조), 제3자 제공(제17조), 목적외이용 또는 제3자 제공(제18조), 민감정보 또는 고유식별정보 처리(제23조 또는 제24조) 등


▶ 통지

o 개인정보 보호법이 정하는 일정 사항을 정보주체 개개인에게 도달되도록 알리는 행위 (서면, e-mail, 팩스, 전화, 문자전송 등)

※ 개인정보보호법에서는 “정보주체에게 알려야 한다”는 표현도 사용하고 있음

※ (규정예시) 홍보･판매권유 위탁 통지(제26조제3항), 영업양도 통지(제27조제1항), 개인정보 유출통지(제34조), 정정･삭제 및 처리정지 결과 통지(제36조, 제37조) 등

※ 수집출처 고지의무(제20조)는 ‘고지’라는 표현을 사용하고 있으나 해석상 ‘통지’에 보다 가까움


▶ 공개

o 개인정보 보호법이 정하는 일정 사항을 정보주체 누구나 용이하게 열람･확인 가능한 상태로 두는 것

※ (규정예시) 처리위탁 공개(제26조제2항), 개인정보 처리방침 공개(제30조), 영상정보처리기기 운영관리방침 공개(시행령 제25조), 개인정보 보호책임자 공개(표준지침 제23조), 개인정보파일 공개(제32조) 등

뉴딜코리아 컨설팅 사업부 (070-7867-3721, ismsbok@gmail.com)

 

개인정보 수집 동의서 개정 예고(2017년 7월 13일)

 뉴딜코리아 홈페이지 

개인정보 수집 동의서

개인정보 보호법 시행령 및 시행규칙 개정 예정 (2017년 7월 13일)

□ 이젠 개인정보 수집 동의서 읽기가 한결 쉬워진다

- 자신의 개인정보 열람 및 삭제 요청 절차도 간편하게 개선 -


☏ 개인정보보호 컨설팅 전문기업 뉴딜코리아는

   " 이번 제도 개선을 통해 국민의 개인정보 수집 동의권이 보다 강화되고, 스팸 전화·메일 등으로 인한 국민 불편이 줄어들 것으로 기대된다.”라며,

   " 앞으로 정보주체의 의사를 명확히 확인하고, 개인정보 처리를 투명하게 하는 등 보다 성숙한 개인정보 보호문화가 정착되기를 바란다.”라고 말했다.

☞ 상세내용 : http://cafe.naver.com/rapid7/2937

개인정보보호위원회 「국회 개인정보 보호에 관한 규정」에 대한 개선권고 (2017.04. 18)

 뉴딜코리아 홈페이지 

「국회 개인정보 보호에 관한 규정」에 대한 개선권고에 관한 건

개 인 정 보 보 호 위 원 회 결 정

의 안 번 호 제2017-08-73호
의 안 명 「국회 개인정보 보호에 관한 규정」에 대한 개선권고에 관한 건
의결연월일 2017. 4. 10.

주 문

1. 「국회 개인정보 보호에 관한 규정」(국회규정 제766호) 제5조 제1항에서 ‘필요한 범위 내에서’ 부분을 ‘불가피한 경우’로 변경할 것을 권고한다.

2. 「국회 개인정보 보호에 관한 규정」(국회규정 제766호) 제5조 제1항각 호의 사무 수행자가 업무 수행 시 필요한 최소한의 개인정보만 처리하도록 하기 위해, 처리가 가능한 개인정보의 범위를 한정하여 규정할 것과 민감정보와 고유식별정보의 처리가 불가피한 사무를 각각 별도의 조문으로 규정할 것을 권고한다.

이 유

국회 개인정보 보호 관련 규정
문제점 및 개선권고 사항

□ 개인정보 최소수집 원칙 위배


❍ 규정 제5조제1항에서는 사무총장 등이 각 사무 수행에 ‘필요한범위 내에서’ 민감정보 등을 처리할 수 있도록 규정

제5조(민감정보 등의 처리)
① 사무총장 및 국회 소속기관의 장은 다음 각 호의 사무를 수행하기 위하여 필요한 범위 내에서 법 제23조의 민감정보 및 제24조의 고유식별정보를 처리할 수 있다.

⇒ 각 사무 수행자의 판단에 따라 개인정보 수집 여부 및 그 범위가 정해질 경우 개인정보 최소수집 원칙에 위배되므로, 규정 제5조 제1항의 ‘필요한 범위 내에서’ 부분을 ‘불가피한 경우’로 수정할 것을 권고

□ 민감정보와 고유식별정보 처리가 불가피한 사무별 구분

❍ 규정 제5조 제1항 각 호의 사무 수행에 민감정보와 고유식별정보를 처리할 수 있다고 규정

제5조(민감정보 등의 처리)

① 사무총장 및 국회 소속기관의 장은 다음 각 호의 사무를 수행하기 위하여 필요한 범위 내에서 법 제23조의 민감정보 및 제24조의 고유식별정보를 처리할 수 있다. 1.~ 23. (생 략)

⇒ 각 사무의 수행자가 업무 수행 시 필요한 최소한의 개인정보만 처리하도록 하기 위해 처리가 가능한 개인정보의 범위를 한정하여 규정할 것과, 민감정보와 고유식별정보의 처리가 불가피한 사무를 각각 별도의 조문으로 규정할 것을 권고

< 수정 조문 예시 >

제5조(민감정보 등의 처리)


① ○○기관장은 다음 각 호의 사무를 수행하기 위하여 불가피한 경우 「개인정보 보호법」 제23조에 따른 건강에 관한 정보를 처리 할 수 있다.

② ○○기관장은 다음 각 호의 사무를 수행하기 위하여 불가피한 경우 「개인정보 보호법」 제24조에 따른 주민등록번호를 처리할 수 있다.

■ 첨부파일 : 국회 개인정보 보호에 관한 규정에 대한 개선권고에 관한 건(20170410)