개인정보를 비식별 조치하는 경우 개인정보가 아닌 것으로 추정한다는데 이것의 법적 의미는?
|
|
개인정보 보호법과 정보통신망법, 신용정보법 등에서 규정하는 개인정보의 개념에 차이는 없는지?
|
|
개인정보 보호법 제2조제1호의 개인정보 개념과 정보통신망법 제2조제1항제6호의 개인정보 개념은 일부 예시와 관련하여 차이가 있을 뿐 사실상 동일한 개념임 또한, 신용정보법 상의 개인신용정보와 개인식별정보는 금융거래 등에 사용되는 개인정보의 특수한 형태로 이는 개인정보 보호법 상의 개인정보에 해당함 | |
|
□ |
어떤 정보가 개인정보에 해당하는 지를 판단할 때 해당 정보를 처리하는 자의 관점에서 보아야 한다고 했는데, 이의 의미는? |
|
개인정보 보호법 상 개인정보란 그 자체의 정보로 또는 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보를 의미하는 바, 여기서 ‘알아볼 수 있는’의 주체는 개인정보를 처리하는 자로 한정하여야 함 이는 만약 ‘알아볼 수 있는’의 주체를 불특정 제3자로 확대 해석하게 되면, 모든 정보가 다른 정보와 결합하여 개인정보가 될 수 있는 불합리한 결과가 초래되기 때문임 다만, ‘해당 정보를 처리하는 자’는 정보를 제공하는 관계에서는 해당 정보를 제공받은 자를 포함하는 개념임 | |
| 개인정보를 비식별 조치하는 경우 개인정보가 아닌 것으로 추정한다는데 이것의 법적 의미는? | |
|
본 가이드라인에 따라 특정 개인을 알아볼 수 없도록 비식별 조치가 적정하게 된 경우에는 개인정보에 해당한다는 반증이 없는 한 개인정보가 아닌 것으로 보되, 개인정보라는 반증이 나오는 경우 개인정보로 본다는 뜻임 | |
|
본 가이드라인이 통신사업자나 금융기관 등에도 적용되는지?
| |
|
본 가이드라인은 비식별 조치 기준과 지원·관리체계 등 비식별 정보를 안전하게 활용하기 위한 목적으로 행정자치부(개인정보 보호법), 방송통신위원회(정보통신망법), 금융위원회(신용정보법), 보건복지부(의료법) 등 관계부처와 공동으로 마련한 것으로 본 가이드라인은 통신사업자나 금융기관 등 모든 사업자에 적용됨 | |
|
통계청 등 관련 법령에 따라 데이터를 수집, 연계·활용하는 기관들에 대해 본 가이드라인의 적용 여부는?
| |
|
통계법 등 관련 개별 법령에서 정한 바에 따라 데이터를 수집, 연계·활용하는 기관들의 경우에는 본 가이드라인의 내용보다 관련 법령의 규정이 우선 적용되어야 함 따라서, 통계청 등이 관계 법령에 따라 통계작성 등 고유의 공공목적을 위해 데이터를 수집, 연계·활용하는 경우는 해당 법령에 근거한 비식별 조치 방식을 적용해야 함 | |
|
개인정보 보호법 제18조제2항제4호에 따른 정보와 「개인정보 비식별 조치 가이드라인」에 따라 비식별 조치한 정보와의 차이는?
| |
|
개인정보 보호법 제18조제2항제4호에 따른 정보는 개인정보가 아닌 것으로 추정한다는 점에서는 비식별 정보와 동일하지만, 법에서 허용된 통계작성 및 학술연구 등을 위한 국한된 목적으로만 제공할 수 있다는 점에서 차이가 있어서 「개인정보 비식별 조치 가이드라인」에 따른 비식별 조치 중 적정성 평가는 제외할 수 있음
출처: privacy.go.kr, 개인정보종합포털
| |
'IT, 저작권 이야기 > [TS] 개인정보 비식별화' 카테고리의 다른 글
| 신용정보의 이용 및 보호에 관한 법률 개정, 인권위가 의견표명하다 (0) | 2017.01.25 |
|---|
대학교수의 공개된 정보에 대한 개인정보 자기결정권 침해 사건(판례)
대학교수의 공개된 정보에 대한 개인정보 자기결정권 침해 사건
인물정보를 동의 없이 수집하여 제3자에게 제공한 사건으로 개인정보 자기결정권 침해 등을 이유로 불법행위에 대한 손해배상 인정 여부가 쟁점인 판례
[사건번호]
서울중앙지방법원 2014. 11. 4. 선고 2013나49885 판결
1) 쟁점 : 동의 없이 공개된 개인정보를 수집하여 사이트의 인물정보에 게재하는 것이 개인정보 자기결정권을 침해하는 것인지 아닌지
2) 사실관계 : ○○대학교 교수로 재직 중인 원고는 포털을 비롯한 피고들이 원고의 동의 없이 원고의 개인정보를 수집하여 이를 불특정 다수에게 제공하는 불법행위를 저질렀다고 주장하였다.
3) 판결내용 : 개인정보 자기결정권의 보호대상이 되는 개인정보는 반드시 내밀한 영역이나
사사의 영역에 속하는 정보에 국한하지 않고 공적 생활에서 형성되었거나 이미 공개된 개인정보까지 포함한다.
자료가 전혀 없는 상황에 비밀리에 개인정보를 수집하거나 비공개된 자료를 통하여 개인정보를 수집하여 이를 제3자에게 제공하는 행위는 정보주체가 공적인 존재가 아니라면 특별한 사정이 없으면 불법행위를 구성한다. 정보주체에 의하여
직접 또는 정보주체가 아니더라도 정당한 권한이 있는 자에 의하여 공개는 되었으나, 그 공개의 출처가 되는 자료 등에 그 처리 범위나 공개 대상이 명시적으로 제한된 개인정보의 경우, 그 제한된 범위를 초과하여 그 개인정보를 처리하는 행위는
특별한 사정이 없으면 불법행위에 해당한다. 공개된 개인정보의 경우,
공개된 자료의 성질이나
공개 당시의 상황에 비추어 정보주체의 동의 의사가 있었다고 인정되는 범위 내에서 비영리 목적으로
이를 수집하여 제3자에게 제공하는 행위는 특별한 사정이 없으면 적법하다. 하지만 비영리 목적으로 이루어졌다고 하더라도
정보주체의 동의 의사가 있었다는 인정되는 범위를 초과하여 공개된 개인정보를 수집하여 이를 제3자에게 제공하는 행위는
정보주체가 공적 존재이고, 개인정보의 내용 또는 공공성이나 공익성을 가지고 있으며, 그 수집 및 제공 방법이 부당한 것이 아니라는 등의
특별한 사정이 없는 한 위법하다. 영리 목적으로 공개된 개인정보를 수집하여
이를 제3자에게 제공하더라도 언론사가 특정한 공적인 관심사안과 관련하여 취재하여
관련 기사나 방송과 함께 또는 그 연관성 하에서 시의성 있는 보도 차원에서 개인정보를 제3자에게 제공하는 것과 같이 언론고유의 목적을 달성하기 위하여 이루어진 경우라면 다른 특별한 사정이 없으면 적법하다.
하지만 언론 고유의 목적을 달성하기 위한 것이 아니라 단순히 영리 목적으로 공개된 개인정보를 수집하여
이를 제3자에게 제공하는 행위를 정보주체의 동의 없는 한 경우에는 설령 정보주체가 공적인 존재라 하더라도 다른 특별한 사정이 없으면 위법하다.
4) 결론 : 대학교수인 원고는 공적인 존재이고, 「개인정보 보호법」 시행 이후에도
여전히 불특정 다수에게 원고의 개인정보를 제공하는 것은 불법행위에 해당한바, 피고 5는 원고에게 50만 원을 지급할 의무가 있다.
(나머지 피고들에 대한 청구는 기각)
부당이득금 반환(공개된 개인정보를 수집하여 제3자에게 제공한 행위에 대하여 개인정보자기결정권의 침해를 이유로 위자료를 구하는 사건)
[사건번호]
대법원, 2014다235080, 2016.8.17
[판시사항]
[1] 개인정보자기결정권의 보호대상이 되는 ‘개인정보’의 의미 및 공적 생활에서 형성되었거나 이미 공개된 개인정보가 이에 포함되는지 여부(적극) / 개인정보를 대상으로 한 조사·수집·보관·처리·이용 등의 행위가 개인정보자기결정권에 대한 제한에 해당하는지 여부(원칙적 적극)
[2] 개인정보자기결정권을 침해·제한한다고 주장되는 행위의 내용이 이미 정보주체의 의사에 따라 공개된 개인정보를 별도의 동의 없이 영리 목적으로 수집·제공하였다는 것인 경우, 정보처리 행위의 위법성 여부를 판단하는 기준 및 정보처리자에게 영리 목적이 있었다는 사정만으로 곧바로 정보처리 행위를 위법하다고 할 수 있는지 여부(소극)
[3] 이미 공개된 개인정보를 정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서 수집·이용·제공 등 처리를 할 때 정보주체의 별도의 동의가 필요한지 여부(소극) 및 동의를 받지 아니한 경우, 개인정보 보호법 제15조나 제17조를 위반한 것인지 여부(소극) / 정보주체의 동의가 있었다고 인정되는 범위 내인지 판단하는 기준
[4] 법률정보 제공 사이트를 운영하는 甲 주식회사가 공립대학교인 乙 대학교 법과대학 법학과 교수로 재직 중인 丙의 사진, 성명, 성별, 출생연도, 직업, 직장, 학력, 경력 등의 개인정보를 위 법학과 홈페이지 등을 통해 수집하여 위 사이트 내 ‘법조인’ 항목에서 유료로 제공한 사안에서, 甲 회사의 행위를 丙의 개인정보자기결정권을 침해하는 위법한 행위로 평가하거나, 甲 회사가 개인정보 보호법 제15조나 제17조를 위반하였다고 볼 수 없다고 한 사례
붙임 : 대법원 판결2014다235080(부당이득금 반환)
출처: 개인정보보호위원회
'IT, 저작권 이야기' 카테고리의 다른 글
| 네이버 경찰에 회원정보 제공과 관련하여 손해배상 책임이 없다. (0) | 2017.01.29 |
|---|---|
| 관리소장도 개인정보처리자에 해당할 수 있다. (0) | 2017.01.29 |
| eu GDPR 대응 (0) | 2017.01.25 |
| 개인영상정보보호법 경실련 (0) | 2017.01.25 |
| 금보원 개인정보보호 기능 강화 (0) | 2017.01.25 |
의료기관을 위한 정보보호 안내서
1. 배 경
보건의료기관에서 취급하는 진료정보 및 개인정보 유출과 훼손 등의 위험성이
증가하고 있는 환경에서 보건복지부와 한국보건산업진흥원은 보건의료기관의
정보보호를 위하여 “보건의료 정보보호 가이드라인-통합편1)”(이하 '통합 가이
드라인'으로 지칭)을 2015년에 발표하였습니다.
또한, 규모와 특성을 고려한 다양한 종류의 '안내서'를 출간하여 의료기관이 '
통합 가이드라인'을 좀 더 쉽게 이해하고 현장에 맞게 적용할 수 있도록 하였습
니다.
'통합 가이드라인'은 병원급 의료기관과 의원급 의료기관, 보건기관 등이 기관
내·외부에서 일어날 수 있는 정보보호 사고를 사전에 예방하고 보건의료기관에
서 처리되는 다양한 정보들을 효율적으로 관리할수 있도록 정보보호
정책을 수립하기 위한 지침서입니다.
'통합 가이드라인'은 정보보호 분야의 공신력 있는 국제 표준인 ISO/IEC
27001: 2013, Information Security Management System-Requirements,
ISO/IEC 27002:2013, Code of Practice for Information Security Controls,
ISO/IEC 27799:2016, Information Security Management in Health using
ISO/IEC 27002를 준용함으로써 최신의 정보보호 경향을 반영하였습니다.
의료기관을 위한 '안내서'는 의료기관이나 의료기관 종사자들이 쉽게 정보보호
를 이해하고 다양한 상황에 맞게 정보보호를 구현할 수 있도록 제작된 '통합 가
이드라인'의 참고문서입니다.
'안내서'는 '의료기관을 위한 정보보호안내서-의원편', '의료기관을 위한 정보
보호안내서-병원편'과 '의료기관 종사자의 직무별 정보보호안내서'로 구성되었
습니다.
2. 목 적
본 안내서는 병원급 의료기관을 대상으로 제작된 문서로서, 병원에서 쉽게 적
용할 수 있는 다양한 정보보호 실행 가이드를 제공함으로써 병원의 정보보호 대
응력을 향상시키고 정보보호 정책 수립을 용이하게 하는 것을 그 목적으로 합니
다.
또한, 본 안내서 내용의 상위규정인 '통합 가이드라인'과의 연계를 표시하고 다
양한 관련 부록을 포함함으로써 '안내서'의 활용도를 높이고자 했습니다.
따라서 '통합 가이드라인'을 기본적으로 참고하여 병원의
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 공동저작물상의 권리는 무엇이고, 어떻게 행사하는지에 대하여 자세히 알고 싶다. (0) | 2017.02.01 |
|---|---|
| K통신사 기술적 보호조치상의 과실 (0) | 2017.01.29 |
| 개인정보의 안전성 확보조치 기준 (0) | 2017.01.25 |
| 개인정보안전성 확보조치 기준 개정,[시행 2016.9.1] [행정자치부고시 제2016-35호, 2016.9.1, 전부개정] (0) | 2017.01.25 |
| 외국인의 저작권 소급 보호, 저작인접근원의 내용 (0) | 2017.01.22 |
인터파크 유출사례
출처: http://news1.kr/articles/?2737125
http://www.news1.kr/articles/?2736041
지난해 개인정보보호관리체계(PIMS) 인증을 받은 이후 사후심사로 진행된 이번 조사에서 인터파크는
- 망분리
- 악성코드 통제방안
- 개인정보 암호화 등 주요 핵심 보안에 허점을 드러냈습니다.
심사에서 인터넷진흥원은 일부 서버에 대한 악성코드 통제방안 관리는
물론, 인터파크 주요 서버에 대한 접근통제 관리와 정책도 미흡하다며 보완을 요구했다.
개인정보 다운로드 가능자의 망분리도 제대로 되지 않았으며,
외부망에서 접근할 때 인증요소가 2가지 이상 결합된 2-팩터(factor) 인증 적용도 미흡했다고 정보원은 지적했습니다만,
시스템 내 중요정보에 대한 전송·저장 암호화라든지, 데이터베이스 접근 통제 솔루션에 대한 관리도 미흡했습니다.
'IT, 저작권 이야기 > [TS] 인터파크 유출사고' 카테고리의 다른 글
| 인터넷 포털 서비스 개인정보 유출사고에 대해 손해배상 책임 및 채무불이행 책임이 있다. (0) | 2017.01.30 |
|---|---|
| 개인정보에 접근할 수 있는 상태에 놓여 있었다는 사정만으로 개인정보가 누출되었다고 볼 수는 없다. (0) | 2017.01.29 |
| 개인정보유출통지 (0) | 2017.01.29 |
| 인터파크 방통위 엄정제재 (0) | 2017.01.25 |
정보보호공시 가이드라인
안녕하세요 TS입니다.
정보보호공시 가이드라인 입니다 업무에 참고하시기 바랍니다.
관련 근거는 다음과 같습니다.
목적:
o 법인 등의 정보보호 현황은 위험관리(Risk Management)와 관련한 주요 정보이지만 그동안 시장에서 자생적으로 유통되지 못했음
- 이에 따라, 관계자들*은 불충분한 정보로 투자 등 의사결정을 하고, 경영주체들은 정보보호를 단순 비용으로 취급하는 문제가 존재
* 주주, 소비자·고객·국민, 기업 등 관계자
o 정보보호 공시제도는 관계자들이 의사결정에 필요한 정보보호 현황을 공시주체에 요구하여 보안을 고려한 기업 선택권 보장 및 안전성을 증대하고, 공시주체가 해당정보의 자발적 생산·유통하는 기반조성을 위한 제도
정보보호산업의 진흥에 관한 법률 시행령
제8조(정보보호 공시의 방법 등) ① 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자가 법 제13조에 따라 정보보호 현황을 공개하는 경우에는 그 내용에 다음 각 호의 내용을 포함하여야 한다.
1. 정보기술부문 투자 현황 대비 정보보호부문 투자 현황
2. 정보기술부문 인력 대비 정보보호부문 전담인력 현황
3. 정보보호 관련 인증·평가·점검 등에 관한 사항(해당하는 경우로 한정한다)
4. 그 밖에 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 이용하는 자의
정보보호를 위한 활동 현황
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 개인정보 안전성 확보지치 기준 해설서가 배포되었다. (0) | 2017.02.01 |
|---|---|
| 개인정보보호법령 지침 고시 해설 (0) | 2017.01.29 |
| 개인정보 최소수집 가이드라인 (0) | 2017.01.25 |
| 개인영상정보보호법 제정법률안 입법예고 (0) | 2017.01.25 |
| 개인정보의 안전성 확보조치 기준 해설서 2016.12. (0) | 2017.01.25 |
개인정보의 안전성 확보조치 기준
개인정보의 안전성 확보조치 기준에 대한 한국인터넷 진흥원의 설명자료 추가합니다.
개인정보 처리자 유형 및 개인정보 보유량에 따른 안전조치 기준이 다르므로
이에 대한 개인정보의 안전성 확보조치 기준의 별표는 다음과 같습니다.
업무에 참고하시기 바랍니다.
감사합니다.
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| K통신사 기술적 보호조치상의 과실 (0) | 2017.01.29 |
|---|---|
| 의료기관을 위한 정보보호 안내서 (0) | 2017.01.26 |
| 개인정보안전성 확보조치 기준 개정,[시행 2016.9.1] [행정자치부고시 제2016-35호, 2016.9.1, 전부개정] (0) | 2017.01.25 |
| 외국인의 저작권 소급 보호, 저작인접근원의 내용 (0) | 2017.01.22 |
| 음반의 저작권, 상품광고 벽화 저작권 (0) | 2017.01.22 |
개인정보안전성 확보조치 기준 개정,[시행 2016.9.1] [행정자치부고시 제2016-35호, 2016.9.1, 전부개정]
개정 개인정보의 안전성 확보조치 기준입니다. 업무에 참고하시기 바랍니다.
개인정보의 안전성 확보조치 기준
[시행 2016.9.1] [행정자치부고시 제2016-35호, 2016.9.1, 전부개정]
개인정보 안전성 확보조치 기준 개정(2016.9.1 시행).pdf
개인정보의 안전성 확보조치 기준(행정자치부 고시, 시행 16.9.1).hwp
행정자치부(개인정보보호정책과), 02-2100-3468
제1조(목적) 이 기준은 「개인정보 보호법」(이하 “법”이라 한다) 제23조제2항, 제24조제3항 및 제29조와 같은 법 시행령(이하 “영”이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.
제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다.
1. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
2. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
3. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
4. “대기업”이란 「독점규제 및 공정거래에 관한 법률」제14조에 따라 공정거래위원회가 지정한 기업집단을 말한다.
5. “중견기업”이란「중견기업 성장촉진 및 경쟁력 강화에 관한 특별법」제2조에 해당하는 기업을 말한다.
6. “중소기업”이란 「중소기업기본법」제2조 및 동법 시행령 제3조에 해당하는 기업을 말한다.
7. “소상공인”이란 「소상공인 보호 및 지원에 관한 법률」제2조에 해당하는 자를 말한다.
8. “개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.
9. “개인정보취급자”란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
10. “개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
11. “위험도 분석”이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.
12. “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
13. “정보통신망”이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다.
14. “공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.
15. “모바일 기기”란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다.
16. “바이오정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
17. “보조저장매체”란 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결·분리할 수 있는 저장매체를 말한다.
18. “내부망”이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.
19. “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.
20. “관리용 단말기”란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.
제3조(안전조치 기준 적용) 개인정보처리자가 개인정보의 안전성 확보에 필요한 조치를 하는 경우에는 [별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준을 적용하여야 한다. 이 경우 개인정보처리자가 어느 유형에 해당하는지에 대한 입증책임은 당해 개인정보처리자가 부담한다.
제4조(내부 관리계획의 수립·시행) ① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다.
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항
② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.
③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다.
제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.
⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다.
제6조(접근통제) ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
⑤ 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
⑦ 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다.
제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.
⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
⑧ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.
제8조(접속기록의 보관 및 점검) ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관·관리하여야 한다.
② 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
제9조(악성프로그램 등 방지) 개인정보처리자는 악성프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
2. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시
3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
제10조(관리용 단말기의 안전조치) 개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.
1. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
2. 본래 목적 외로 사용되지 않도록 조치
3. 악성프로그램 감염 방지 등을 위한 보안조치 적용
제11조(물리적 안전조치) ① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립·운영하여야 한다.
② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.
제12조(재해·재난 대비 안전조치) ① 개인정보처리자는 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
② 개인정보처리자는 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.
③ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제1항부터 제2항까지 조치를 이행하지 아니할 수 있다.
제13조(개인정보의 파기) ① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
1. 완전파괴(소각·파쇄 등)
2. 전용 소자장비를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제
부칙 <제2016-35호, 2016.9.1>
제1조(시행일) 이 고시는 2016년 9월 1일부터 시행한다.
제2조(적용례) 영 제21조의2제2항에 따른 주민등록번호의 암호화 적용시기 이후에는 고유식별정보 중 주민등록번호는 제7조제4항을 적용하지 아니한다.
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
| 의료기관을 위한 정보보호 안내서 (0) | 2017.01.26 |
|---|---|
| 개인정보의 안전성 확보조치 기준 (0) | 2017.01.25 |
| 외국인의 저작권 소급 보호, 저작인접근원의 내용 (0) | 2017.01.22 |
| 음반의 저작권, 상품광고 벽화 저작권 (0) | 2017.01.22 |
| 시의 저작권 (0) | 2017.01.22 |
정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안(PIMS, PIPL, ISMS)
제안이유 및 주요내용 |
현행법은 방송통신위원회가 정보통신망에서 개인정보보호 활동을 체계적이고 지속적으로 수행하기 위하여 필요한 관리적·기술적·물리적 보호조치를 포함한 종합적 관리체계를 수립·운영하고 있는 자에 대하여 개인정보보호에 관하여 일정 기준에 적합한지 인증해주는 개인정보보호 관리체계 인증제도를 규정하고 있음.
그런데 지금까지 개인정보보호를 위한 각종 규제 장치가 있음도 불구하고 개인정보 유출 사고가 지속적으로 발생하여 왔고, 개인정보를 취급하는 정보통신서비스 제공자 역시 개인정보보호에 관한 투자에 소극적이었던 부분에 대하여도 지적되고 있음.
또한 한국인터넷진흥원 등이 정보보호 관리체계의 실효성 제고를 위하여 연 1회 이상 사후관리를 실시하고 있으나, 사후관리가 미흡하다는 지적 또한 있음.
이에 매출액 또는 일평균 이용자 수를 기준으로 일정 규모를 초과하는 정보통신서비스 제공자 등의 경우에는 개인정보보호 관리체계 인증을 의무적으로 획득하게 하고, 연 1회 이상에서 연 2회 이상으로 사후관리실시를 강화함으로써 정보통신서비스 제공자의 체계적인 개인정보보호 활동을 촉진하고, 국민의 개인정보를 더욱 강하게 보호하려는 것임(안 제47조의3제2항 신설 등).
신용정보의 이용 및 보호에 관한 법률 개정, 인권위가 의견표명하다
국가인권위의 신용정보 신용정보의 이용 및 보호에 관한 법률 일부개정법률
안에 대한 의견표명 내용입니다.
비식별화에 대한 내용이므로 참고하시기 바랍니다.
--------------------------------------------------------
국 가 인 권 위 원 회
상 임 위 원 회
결 정
제 목 「신용정보의 이용 및 보호에 관한 법률 일부개정법률
안」에 대한 의견표명
주 문
국가인권위원회는 금융위원회가 2016. 4. 20. 입법예고한 「신용정보의
이용 및 보호에 관한 법률 일부개정법률안」 중 제32조의2 제2항 제4호와
같은 조 제7항은 신용정보회사 등이 비식별 정보를 신용정보주체의 동의
없이 목적 외로 이용하거나 제3자에게 제공할 수 있도록 함으로써 개인정
보자기결정권을 침해할 우려가 있으므로, 비식별 조치의 개념 명확화 및 요
건 강화, 비식별 정보의 목적 외 이용․제공 제한, 비식별 정보를 제공받은
제3자 범위 제한, 제3자의 재식별 방지 조치 및 재식별 정보에 대한 안전성
조치의 보완이 필요하다는 의견을 표명한다.
개정법률안」(이하 “신용정보법 개정안”이라 한다)을 입법예고하였다. 금
융위원회가 마련한 「신용정보법 개정안」은 비식별 처리한 개인정보의 활
용 확대를 통하여 금융 및 신용 분야의 빅데이터 산업을 활성화하는 것을
목적으로 하고 있다.
그런데 「신용정보법 개정안」에 대해 일부에서는 민간 금융회사 등에
의한 개인정보의 무분별한 활용 또는 제공이 가능하게 되어 정보인권 침해
가 발생할 수 있다는 우려가 제기되고 있다.
이에 따라 국가인권위원회는 정보인권의 보호 측면에서 「신용정보법 개
161107 결정문 신용정보보호법 개정안 의견표명.pdf
161107 보도자료 신용정보보호법 개정안 의견표명.hwp
161107 붙임_신용정보의_이용_및_보호에_관한_법률_일부개정법률안(입법예고).hwp
정안」을 검토하고 의견표명하기로 결정하였다.
Ⅱ. 판단 및 참고기준
「헌법」 제10조 및 제17조, 「개인정보 보호법」을 판단기준으로 하고,
유엔(UN)의 「컴퓨터화된 개인정보파일의 규율에 관한 가이드라인」, 경제
협력개발기구(OECD)의 「프라이버시 및 개인정보의 국제유통에 대한 가이
드라인」(이하 “OECD 가이드라인”이라 한다), 유럽연합(EU)의 「일반 개
인정보보호 규정」 등을 참고하였다.
Ⅲ. 판단
1. 빅데이터와 개인정보 비식별 조치
가. 빅데이터와 개인정보 활용
빅데이터란 기존의 통상적인 규모를 넘어서는 대규모, 대용량의 데이터
그 자체 또는 이러한 데이터를 분석하여 다시 새롭고 유용한 정보나 가치
를 창출해 내는 신기술을 의미한다. 빅데이터 기술은 2012년 개최된
'IT, 저작권 이야기 > [TS] 개인정보 비식별화' 카테고리의 다른 글
| 개인정보를 비식별 조치하는 경우 개인정보가 아닌 것으로 추정한다는데 이것의 법적 의미는? (0) | 2017.01.27 |
|---|
개인정보 최소수집 가이드라인
개인정보 수집 최소화 가이드라인(2016.11 행정자치부).pdf
개인정보 수집 가이드라인을 첨부합니다.
목적범위내에서 최소한의 정보만 수집해야 할 것입니다.
Ⅱ. 개인정보 수집 원칙
□ 필요 최소한의 개인정보 수집
○ 정보주체의 동의를 받거나 법령에 따른 개인정보 수집 또는 계약의
체결·이행 등을 위해 불가피하게 개인정보를 수집하는 경우에도
필요 최소한의 개인정보만을 수집하여야 함
○ 이 경우 개인정보를 수집하고자 하는 목적에 필요한 범위 내에서
최소한의 개인정보를 수집하여야 하며 필요 최소한의 개인정보라는
입증책임은 개인정보처리자가 부담함
□ 정보주체의 실질적 동의권 보장
○ 개인정보처리자가 정보주체의 동의를 받아 개인정보를 수집하는
때에는 정보주체에게 ⅰ) 동의의 내용과 ⅱ) 동의를 거부할 권리가
있다는 사실 및 ⅲ) 동의 거부에 따른 불이익이 있는 경우 그 불이익의
내용을 구체적으로 알리고 동의를 받아야 함
○ 정보주체의 동의 여부는 정보주체가 직접 판단하여 선택하는 것을
전제로 하여야 하며, 선택적으로 동의할 수 있는 사항을 동의하지
아니한다는 이유로 재화 또는 서비스의 제공을 거부해서는 아니됨
□ 고유식별정보 및 민감정보 처리 제한
○ 주민등록번호를 제외한 고유식별정보 및 민감정보는 법령에 근거가
있거나 별도로 동의를 받은 경우에만 수집할 수 있음
※ 주민등록번호는 법률·시행령·헌법기관 규칙에서 허용한 경우만 처리 가능
○ 주민등록번호 대체수단도 법령에서 본인확인을 요구하거나 서비스
과정에서 본인특정이 필요한 경우 등에 한정하여 사용하여야 함
'IT, 저작권 이야기 > [TS] IT 지침, 가이드, 법령' 카테고리의 다른 글
| 개인정보보호법령 지침 고시 해설 (0) | 2017.01.29 |
|---|---|
| 정보보호공시 가이드라인 (0) | 2017.01.25 |
| 개인영상정보보호법 제정법률안 입법예고 (0) | 2017.01.25 |
| 개인정보의 안전성 확보조치 기준 해설서 2016.12. (0) | 2017.01.25 |
| 제3차 개인정보보호 기본계획 (0) | 2017.01.25 |