개인정보 보호 소홀히 한 8개 기관 명단 공개
- 행정안전부, 개인정보보호법 위반 기관 행정처분 결과 발표 -
- 행정안전부, 개인정보보호법 위반 기관 행정처분 결과 발표 -
□ 행정안전부는「개인정보보호법」제66조에 따라 개인정보보호법을 위반한 8개 기관의 위반내용 및 처분내용을 27일 공표했다.
□ 이번 공표는 2019년 1월부터 2019년 3월까지 행정처분을 받은 91개 기관 중 ‘과태료 1천만원 이상’을 부과 받은 8개 기관을 선정, 개인정보보호위원회의 심의·의결을 거쳐 이루어졌다.
○ 주요위반사항은 제15조제2항 개인정보 수집‧이용(고지)위반으로 개인정보 수집‧이용 시 정보주체에게 알려야 하는 사항*을 알리지 않았고
* 개인정보 수집·이용목적, 수집항목, 개인정보의 보유·이용 기간, 동의 거부권·거부 시 불이익
- 개인정보취급자에 대한 접근권한, 접근통제, 접속기록 관련 준수사항을 지키지 않는 등 제29조 안전성확보조치 준수를 위반하였다.
□ 이번 공표는 개인정보 수집‧동의획득 시 고지사항 준수와 개인정보 안전성 확보조치를 이행해야함을 강조하기 위함
[붙임] 개인정보 보호법 위반한 공표 내용
========================================
◆ A사 :
========================================
○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,400만원
○ 처분일자 : 2019.2.27.
○ 계 : 과태료 1,400만원
○ 처분일자 : 2019.2.27.
▷ 위반조항 : 제15조 제2항 (과태료 600만원)
o 위반 내용 : 개인정보 수집‧이용(고지)위반
- 개인정보의 수집‧이용 시 정보주체에게 알려야 하는 사항을 알리지 않음
* 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용
o 위반 내용 : 개인정보 수집‧이용(고지)위반
- 개인정보의 수집‧이용 시 정보주체에게 알려야 하는 사항을 알리지 않음
* 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용
▷ 위반조항 : 제17조 제2항 (과태료 600만원)
o 위반 내용 : 개인정보의 제공(고지) 위반
- 제3자 제공 및 국외 제3자 제공 시 정보주체에게 알려야 하는 사항을 알리지 않음
* 개인정보를 제공받는 자, 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용
▷ 위반조항 : 제22조 제1항 (과태료 200만원)
o 위반 내용 : 동의를 받는 방법(구분 동의) 위반 (과태료 200만원)
- 국외 본사에 제공된다는 사실을 알리고 동의를 받고 있으나, ‘개인정보 수집․이용 동의’와 ‘개인정보 제공 동의’를 구분하여 받지 않음
o 위반 내용 : 동의를 받는 방법(구분 동의) 위반 (과태료 200만원)
- 국외 본사에 제공된다는 사실을 알리고 동의를 받고 있으나, ‘개인정보 수집․이용 동의’와 ‘개인정보 제공 동의’를 구분하여 받지 않음
========================================
◆ B사 :
========================================
○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,300만원
○ 처분일자 : 2019.2.27.
○ 계 : 과태료 1,300만원
○ 처분일자 : 2019.2.27.
▷ 위반조항 : 제15조 제2항 (과태료 600만원)
o 위반 내용 : 개인정보 수집‧이용(고지)위반
- 서비스센터 방문하여 AS신청 시 사용하는 ‘수리접수증’에 개인정보 입력 시 4가지 사항을 정보주체에게 알리지 않음
* 개인정보의 수집·이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
o 위반 내용 : 개인정보 수집‧이용(고지)위반
- 서비스센터 방문하여 AS신청 시 사용하는 ‘수리접수증’에 개인정보 입력 시 4가지 사항을 정보주체에게 알리지 않음
* 개인정보의 수집·이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
▷ 위반조항 : 제26조 제1항 (과태료 100만원)
o 위반 내용 : 업무위탁에 따른 개인정보의 처리 제한(문서) 위반
- 개인정보 처리 위탁계약 시 문서에 의하지 않음 * 총 8개업체중 2개 업체 계약서 미비
o 위반 내용 : 업무위탁에 따른 개인정보의 처리 제한(문서) 위반
- 개인정보 처리 위탁계약 시 문서에 의하지 않음 * 총 8개업체중 2개 업체 계약서 미비
▷ 위반조항 : 제29조 (과태료 600만원)
o 위반 내용 : 개인정보의 안전성 확보조치 위반
- 접속기록 내 수행업무를 누락함
o 위반 내용 : 개인정보의 안전성 확보조치 위반
- 접속기록 내 수행업무를 누락함
========================================
◆ C사 :
========================================
○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 3,200만원
○ 처분일자 : 2019.2.27.
○ 계 : 과태료 3,200만원
○ 처분일자 : 2019.2.27.
▷ 위반조항 : 제15조제2항 (과태료 600만원)
o 위반 내용 : 개인정보 수집‧이용(고지)위반
- 개인정보의 수집‧이용 시 정보주체에게 알려야 하는 사항을 알리지 않음
* 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용
o 위반 내용 : 개인정보 수집‧이용(고지)위반
- 개인정보의 수집‧이용 시 정보주체에게 알려야 하는 사항을 알리지 않음
* 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용
▷ 위반조항 : 제17조제2항 (과태료 600만원)
o 위반 내용 : 개인정보의 제공(고지) 위반
- 제3자 제공 및 국외 제3자 제공 시 정보주체에게 알려야 하는 사항을 알리지 않음
* 개인정보를 제공받는 자, 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용
o 위반 내용 : 개인정보의 제공(고지) 위반
- 제3자 제공 및 국외 제3자 제공 시 정보주체에게 알려야 하는 사항을 알리지 않음
* 개인정보를 제공받는 자, 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용
▷ 위반조항 : 제21조제1항 (과태료 900만원)
o 위반 내용 : 개인정보 파기 미이행
- 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때 지체 없이 그 개인정보를 파기하지 않음
o 위반 내용 : 개인정보 파기 미이행
- 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때 지체 없이 그 개인정보를 파기하지 않음
▷ 위반조항 : 제26조제2항 (과태료 200만원)
o 위반 내용 : 업무위탁에 따른 개인정보처리 제한(공개)위반
- 개인정보 처리를 위탁하면서 수탁자 및 업무내용을 공개하지 않음
o 위반 내용 : 업무위탁에 따른 개인정보처리 제한(공개)위반
- 개인정보 처리를 위탁하면서 수탁자 및 업무내용을 공개하지 않음
▷ 위반조항 : 제29조 (과태료 900만원)
o 위반 내용 : 개인정보의 안전성 확보조치 위반
- 내부 관리계획의 필수 사항 일부 내용 누락
- 외부에서 개인정보처리시스템에 접속할 경우 안전한 접속수단을 적용하거나 안전한 인증수단 미적용
- 개인정보처리시스템의 접속기록을 반기별로 1회 이상 점검하지 않음
o 위반 내용 : 개인정보의 안전성 확보조치 위반
- 내부 관리계획의 필수 사항 일부 내용 누락
- 외부에서 개인정보처리시스템에 접속할 경우 안전한 접속수단을 적용하거나 안전한 인증수단 미적용
- 개인정보처리시스템의 접속기록을 반기별로 1회 이상 점검하지 않음
========================================
◆ D사 :
========================================
○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,400만원
○ 처분일자 : 2019.2.27.
○ 계 : 과태료 1,400만원
○ 처분일자 : 2019.2.27.
▷ 위반조항 : 제15조제2항 (과태료 600만원)
o 위반 내용 : 개인정보 수집 이용(고지)위반
- 개인정보의 수집‧이용 시 정보주체에게 알려야 하는 사항을 알리지 않음
* 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용
o 위반 내용 : 개인정보 수집 이용(고지)위반
- 개인정보의 수집‧이용 시 정보주체에게 알려야 하는 사항을 알리지 않음
* 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용
▷ 위반조항 : 제26조제2항 (과태료 200만원)
o 위반 내용 : 업무위탁에 따른 개인정보처리 제한(공개)위반
- 개인정보 처리를 위탁하면서 수탁자 및 업무내용을 공개하지 않음
o 위반 내용 : 업무위탁에 따른 개인정보처리 제한(공개)위반
- 개인정보 처리를 위탁하면서 수탁자 및 업무내용을 공개하지 않음
▷ 위반조항 : 제29조 (과태료 600만원)
o 위반 내용 : 개인정보의 안전성 확보조치 위반
- 비밀번호 작성규칙 실제 적용하지 않음
- 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우 자동으로 접속이 차단되는 기술적 조치를 취하지 않음 - 계정정보 또는 비밀번호를 일정횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 취하지 않음
o 위반 내용 : 개인정보의 안전성 확보조치 위반
- 비밀번호 작성규칙 실제 적용하지 않음
- 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우 자동으로 접속이 차단되는 기술적 조치를 취하지 않음 - 계정정보 또는 비밀번호를 일정횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 취하지 않음
========================================
◆ E사 :
========================================
○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,200만원
○ 처분일자 : 2019.2.27.
○ 계 : 과태료 1,200만원
○ 처분일자 : 2019.2.27.
▷ 위반조항 : 제24조제3항 (과태료 600만원)
o 위반 내용 : 고유식별정보의 안전성확보조치 위반
- 주민등록번호를 정보통신망을 통하여 송신 시 이를 암호화하지 않음
o 위반 내용 : 고유식별정보의 안전성확보조치 위반
- 주민등록번호를 정보통신망을 통하여 송신 시 이를 암호화하지 않음
▷ 위반조항 : 제29조 (과태료 600만원)
o 위반 내용 : 개인정보 안전성 확보조치 위반
- 비밀번호 작성규칙 실제 적용하지 않음
- 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 조치하지 않음
- 비밀번호를 저장 시 일방향 암호화를 적용하지 않음
- 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관 및 관리하지 않음
o 위반 내용 : 개인정보 안전성 확보조치 위반
- 비밀번호 작성규칙 실제 적용하지 않음
- 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 조치하지 않음
- 비밀번호를 저장 시 일방향 암호화를 적용하지 않음
- 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관 및 관리하지 않음
========================================
◆ F사 :
========================================
○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,200만원
○ 처분일자 : 2019.2.27.
○ 계 : 과태료 1,200만원
○ 처분일자 : 2019.2.27.
▷ 위반조항 : 제24조제3항 (과태료 600만원)
o 위반 내용 : 고유식별정보의 안전성확보조치 위반
- 주민등록번호를 정보통신망을 통해 송신시 암호화 적용하지 않음
o 위반 내용 : 고유식별정보의 안전성확보조치 위반
- 주민등록번호를 정보통신망을 통해 송신시 암호화 적용하지 않음
▷ 위반조항 : 제29조 (과태료 600만원)
o 위반 내용 : 개인정보 안전성 확보조치 위반
- 개인정보취급자의 접근권한 부여·변경·말소에 대한 내역을 기록 및 관리하지 않음
- 안전한 비밀번호 작성규칙은 수립하였으나 이를 적용하지 않음
- 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근제한을 하지 않음
- 인터넷 홈페이지를 통해 고유식별정보를 처리함에도 연 1회 이상 취약점 점검을 실시하지 않음
- 정보통신망을 통해 비밀번호 송신 시 암호화 조치를 하지 않음
- 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관 및 관리하지 않음
o 위반 내용 : 개인정보 안전성 확보조치 위반
- 개인정보취급자의 접근권한 부여·변경·말소에 대한 내역을 기록 및 관리하지 않음
- 안전한 비밀번호 작성규칙은 수립하였으나 이를 적용하지 않음
- 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근제한을 하지 않음
- 인터넷 홈페이지를 통해 고유식별정보를 처리함에도 연 1회 이상 취약점 점검을 실시하지 않음
- 정보통신망을 통해 비밀번호 송신 시 암호화 조치를 하지 않음
- 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관 및 관리하지 않음
========================================
◆ G사 :
========================================
○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,200만원
○ 처분일자 : 2019.2.27.
▷ 위반조항 : 제24조제2항 (과태료 600만원)
o 위반 내용 : 주민등록번호 암호화 위반
- 주민등록번호 저장 시 암호화를 조치하지 않음
▷ 위반조항 : 제29조 (과태료 600만원)
o 위반 내용 : 개인정보 안전성 확보조치 위반
- 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하지 않음
- 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 안전한 접속수단을 적용 하거나 안전한 인증수단을 적용하지 않음
- 비밀번호를 저장하는 경우 복호화 되지 아니하도록 일방향 암호화하여 저장하지 않음
- 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관·관리하지 않음
========================================
◆ H사 : (병원)
========================================
○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,100만원
○ 처분일자 : 2019.2.27.
▷ 위반조항 : 제21조제1항 (과태료 300만원)
o 위반 내용 : 개인정보 파기 미이행
- 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때 지체 없이 그 개인정보를 파기하지 않음
▷ 위반조항 : 제26조제1항 (과태료 200만원)
o 위반 내용 : 업무위탁에 따른 개인정보의 처리 제한(문서) 위반
- 개인정보 처리 위탁계약 시 문서에 의하지 않음
▷ 위반조항 : 제29조 (과태료 600만원)
o 위반 내용 : 개인정보 안전성 확보조치 위반
- 개인정보보호책임자가 내부관리계획의 이행실태를 점검 관리하지 않음
- 개인정보처리시스템에 대한 접근권한을 업무담당자에 따라 차등부여하지 않음 등
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
070-7867-3721, ismsbok@gmail.com
