COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved 년 12월
- 2 - Ⅰ 그간의 추진경과 Ⅱ 법령, 지침(고시) 등 주요내용 Ⅲ 법 시행 10대 점검사항 Ⅳ 법 위반사례 및 조치사항(DON’Ts & DOs) 목 차 Ⅴ 개인정보보호 자가진단
- 3 -
17대 국회, 3개 개인정보보호법안 의원 발의 18대 국회, 3개 개인정보보호법안 발의 국회 행안위 상정(' ), 행안위 법안소위(5회), 법사위 법안소위('11.1) 개인정보보호 연구회 구성·운영('11.4) 시행령 및 시행규칙 제정 개인정보 표준지침 및 분야별 고시 제정(' 공포 ) - 노회찬 의원(민노당, 04.11), 이은영 의원(우리당, 05.7), 이혜훈 의원(한나라당, 05.12) - 17대 국회 임기만료로 3개 발의법안 자동 폐기 - 이혜훈 의원안(08.8.8), 변재일 의원안( ), 정부안( ) 본회의 의결(' ), 공포(' ), 시행(' ) - 학계, 법조계 등 전문가로 연구회를 구성(회장:홍준형) 하여 시행령, 지침 · 고시 제정 등 지원 - 입법예고( ), 공청회(11.6.2), 규제심사(11.9.4), 차관회의( ), 공포( ) - 표준 개인정보보호 지침(영상정보처리기기 운영관리지침, 공공기관 파일관리지침 포함), - 개인정보의 안전성 확보조치 기준 고시, 개인정보 영향평가 고시 - 4 -
- 5 - ※ 개인정보보호법 9 장 75 조, 부칙 7 조 ※ 시행령 8 장 63 조, 부칙 8 조 / 시행규칙 3 조 ※ 표준지침 5 장 67 조, 안전성 확보조치 고시 10 조, 영향평가 고시 11 조
- 6 - 총칙 (1) 개인정보? (용어정의) 개인정보 처리 정보주체 개인정보 처리자 개인정보 파일 영상정보 처리기기 성명, 주민번호 등을 통하여 살아있는 개인을 알아볼 수 있는 정보 다른 정보와 용이하게 결합하여 개인을 알아볼 수 있는 정보 ※ 성명, 주소, 전화번호 등 이외에 컴퓨터 IP주소, 등도 개인정보에 포함됨 ※ 명함, 이메일 수집? 개인신용정보? § 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 기타 이와 유사한 행위 § 처리되는 정보에 의해 알아볼 수 있는 그 정보의 주체가 되는 사람 ※ 정보통신망법 상의 이용자는 ‘영리목적으로 서비스를 이용하는 사람’이 해당되므로 개인정보보호법에 따른 정보주체와는 구분됨(신용정보법 상 신용정보주체) § 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는 공공기관, 법인, 단체, 개인 등 ※ 정보통신망법 상의 정보통신서비스제공자는 ‘ 영리를 목적으로 서비스를 제공하는 자’를 의미하므로 개인정보보호법의 개인정보처리자와 구분됨(신용정보법 상 신용정보업, 신용정보회사) § 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보 집합물 § 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 전송하는 장치 ※ 폐쇄회로 텔레비전(CCTV), 네트워크 카메라 1
- 7 - (2) 법률 적용대상 및 범위 확대 법 시행 이전 분야별 개별법이 있는 경우에 한해 개인정보 보호의무 적용(약 51만) - 공공기관 : 「공공기관 개인정보보호법」 - 신용정보 제공·이용자 : 「신용정보법」 - 정보통신서비스제공자 : 「정보통신망법」 - 여행사, 백화점 등 준용사업자 : 「정보통신망법」 법 시행 이후 - 포털, 금융기관, 병원, 학원, 제조업, 서비스업 등 72개 업종 350만 전체 사업자 - 국회·법원·헌법재판소·중앙선거관리위원회 등 헌법기관 - 부처, 지자체, 공사, 공단, 학교 등 2.8만 전체 공공기관 - 사업자 협회 · 동창회 등 비영리단체 적용대상 : 공공·민간부문의 모든 개인정보처리자 적용범위 : 전자파일 형태외에 동창회 명부, 민원서류, 이벤트 응모권 등 수기문서 포함 ※ 법 적용 일부 제외(법58조) 영상정보처리기기는 개인정보 수집이용 (법 제15조), 동의 받는 방법 (법 제22조), 영업양도 시 개인정보 이전 제한 (법 제27조), 유출통지 (법 제34조), 개인정보 처리정지권 (법 제37조) 적용 제외 동창회, 동호회 등 친목도모 단체의 개인정보 처리는 개인정보 수집이용 (법 제15조), 개인정보 처리방침 (법 제30조), 개인정보 보호책임자 지정 (법 제31조) 적용 제외
- 8 - (3) 다른 법률과의 관계 정보통신망법, 신용정보보호법과의 적용 관계 (법 제6조) 개인정보보호법은 일반법이므로 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률 등 다른 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보보호법 적용 주민등록번호 등 고유식별정보 및 민감정보 처리제한, 영상정보처리기기 설치운영 제한, 유출통지제, 집단분쟁조정제, 권리침해 중지 단체소송 등은 정보통신망법, 신용정보법 수범자 (포털, 망사업자, 금융기관 등) 에게도 모두 적용 ※ 10월 중순 조문별 적용 관계를 정리한 ‘법령·지침 해설서’ 발간 예정
(4) 법 추진체계 일원화 헌법기관 지방자치단체 대 통 령 중앙행정기관 개인정보 분쟁조정위원회 정보통신 분야 금융,신용 분야 문화,체육,관광 분야 방통위 금융위 문화체육 관광부 문화체육 관광부 교육분야 교육과학 기술부 교육과학 기술부 시정 권고 보건복지, 노동, 법무 등 기타 복지부 등 소관 분야의 개인정보 보호 공공기관, 기타 민간분야 총괄 행안부 심의·의결 개인정보보호위원회 피해구제 제정 전 중앙행정기관 기타 공공기관 지자체 정책 심의 총괄. 준용 사업자 정보통신 서비스 제공자 신용정보 이용·제공 기관 행안부 방통위 금융위 의료 교육 노동 등 기타 공공기관 개인정보보호심의위원회 (국무총리 소속) 개인정보분쟁조정위원회 피해구제 공공부문 민간부문 행정안전부 제정 후 개 부처 38개 법률의 개별법 체계에서 개인정보보호법(일반법)-개별법 체계로 정비 보호위원회(심의·의결)-행안부(총괄 집행)-부처(소관 집행)로 일원화
수집이용 제공위탁 저장관리 파기 개인정보보호법령 규정 개인정보 수집·이용 개인정보 수집의 제한 (필요 최소한의 정보수집 등) 민감정보 및 고유식별정보 처리제한 인터넷상 주민번호 이외의 회원가입 방법 제공 영상정보처리기기 설치·운영, 개인정보처리방침 공개 개인정보보호책임자 지정 개인정보 안전성 확보조치 개인정보 파기 개인정보의 제3자 제공, 목적외 이용제공 금지 개인정보 처리위탁, 영업양도 등 개인정보 이전 권리 보장 개인정보 유출통지·신고 및 개인정보 침해신고 개인정보 열람, 정정·삭제, 처리정지권 분쟁조정위원회 및 집단분쟁조정 권리침해 중지 단체소송 개인정보 처리단계별 의무사항 2 벌칙 및 경과조치
(1) 개인정보 수집·이용 및 제한 1. 정보주체(국민, 지역민 등)의 동의를 받은 경우 2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 3. 공공기관이 법령에서 정한 소관업무 수행을 위해 불가피한 경우 4. 정보주체와의 계약 체결·이행을 위해 불가피한 경우 5. 정보주체 등의 생명, 신체, 재산의 이익 보호 (사전동의 받기 곤란한 경우) 6. 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 개인정보를 수집·이용할 수 있는 경우 (법 제15조) 개인정보처리자는 수집목적에 필요한 최소한의 개인정보를 수집 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담 개인정보처리자는 정보주체가 필요 최소한의 정보 외의 개인정보 수집에 동의 하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부 금지 필요 최소한의 개인정보 수집 (법 제16조) 처벌규정 위반 시 5 천만원 이하의 과태료 처벌규정 위반 시 3 천만원 이하의 과태료
(2) 개인정보 수집·이용·제3자 제공 기준 1. 정보주체의 동의를 받은 경우 2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 3. 공공기관이 법령에서 정한 소관 소관업무를 위해 불가피한 경우 4. 정보주체와의 계약 체결이행에 불가피한 경우 5. 정보주체등의 생명, 신체, 재산의 이익 보호 6. 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 1. 정보주체의 동의를 받은 경우 2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 3. 공공기관이 법령에서 정한 소관 소관업무를 위해 불가피한 경우 5. 정보주체등의 생명, 신체, 재산의 이익 보호 개인정보 수집 · 이용 개인정보 제공 목적외 이용 · 제공 처벌규정 위반 시 5천만원 이하의 과태료 처벌규정 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금 처벌규정 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금 ※ 개인정보 수집·이용은 폭넓게 인정하되, 제공, 목적외 이용·제공 기준은 요건을 엄격히 규정하여 차등화 1. 정보주체의 별도 동의를 받은 경우 2. 다른 법률의 특별한 규정 3. 명백히 정보주체 또는 제3자의 생명, 신체,재산의 이익에 필요한 경우 4. 통계작성 및 학술연구 목적에 필요한 경우로 특정개인을 알아볼 수 없는 형태로 제공하는 경우 5. 개인정보를 목적외로 이용하거나 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관업무 수행 불가한 경우로 보호위원회의 심의·의결을 거친 경우 6. 조약, 국제협정 이행을 위해 외국정부 등 제공에 필요한 경우 7. 범죄수사 및 공소제기·유지 8. 법원의 재판업무 수행 9. 형 및 감호, 보호처분 집행
(3) 민감정보 및 고유식별정보 처리제한 세부사항 내용 민감정보 및 고유식별정보의 처리는 원칙적으로 금지 (법 제23조, 제24조) 정보주체에게 별도 동의를 얻거나, 법령에서 구체적으로 허용된 경우에 한하여 예외적으로 처리 허용 ※ 민감정보 : 사상, 신념, 노동조합, 정당가입, 건강 등 사생활 침해 우려가 현저히 높은 개인정보 ※ 고유식별정보 : 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보 민감정보의 범위 (영 제18조) ① 유전자 검사에 따른 유전정보 ② ‘형의 실효 등에 관한 법률’에 따른 범죄 경력 정보 고유식별정보의 범위 (영 제19조) ① 주민등록번호 (「주민등록법」제7조제3항) ② 여권번호 (「여권법」제7조제1항제1호) ③ 운전면허번호 (「도로교통법」제80조) ④ 외국인등록번호 (「출입국관리법」제31조제4항) 처벌규정 위반 시 5 년 이하의 징역 또는 5 천만원 이하의 벌금
(4) 인터넷상 주민등록번호 이외의 회원가입방법 제공 세부사항 내용 공공기관 및 일평균 홈페이지 이용자 1만명 이상의 개인정보처리자는 정보주체가 인터넷 홈페이지를 통해 회원으로 가입할 경우, 주민등록번호 이외의 회원가입 방법을 의무 제공 (법 제24조제2항, 영 제20조) ※ 주민등록번호 이외의 회원가입 방법 : i-PIN, 공인인증서, 전자서명 등 행정안전부장관은 대체수단 제공 관련 사항을 행정안전부 홈페이지에 게재 (영 제20조제2항) 처벌규정 대체수단 미제공 시 3 천만원 이하의 과태료 1) 대체수단을 제공해야 하는 개인정보처리자의 명칭 및 인터넷 홈페이지 주소 2) 대체수단의 제공 기한 3) 제공할 수 있는 대체수단의 방법, 종류
(5) 영상정보처리기기의 설치·운영 제한 ① 내용 영상정보처리기기는 공개된 장소에 특정 목적으로만 설치·운영 (법 제25조제1항) CCTV를 설치하는 경우 공청회 등을 거쳐 이해관계자의 의견 수렴 영상정보처리기기 설치목적과 다른 목적으로 영상정보처리기기를 임의 조작, 다른 곳을 비추는 행위, 녹음기능 사용 금지 (법 제25조제5항) 처벌규정 위반 시 3 천만원 이하 징역 또는 3 천만원 이하 벌금 1) 법령에서 구체적으로 허용하는 경우 2) 범죄예방 및 수사 3) 시설안전 및 화재예방 4) 교통단속 5) 교통정보의 수집·분석 및 제공 처벌규정 위반 시 3 천만원 이하의 과태료
안내판 설치 (5) 영상정보처리기기의 설치·운영 제한 ② 정보주체가 쉽게 인식할 수 있도록 안내판 설치 (법 제25조제4항, 영 제24조) 1) 설치목적 및 장소 2) 촬영범위 및 시간 3) 관리책임자 및 연락처 건물 안에 다수의 영상정보처리기기 설치시, 출입구 등 잘 보이는 곳에 해당 시설·장소 전체가 설치지역임을 표시하는 안내판 설치 다음의 경우, 안내판 설치에 갈음하여 인터넷 홈페이지에 기재사항 게재 1) 공공기관이 원거리 촬영, 과속, 신호위반단속 등 목적으로 설치하는 경우 2) 장소적 특성으로 안내판 설치가 불가능하거나 설치하더라도 정보주체가 쉽게 알아볼 수 없는 경우 처벌규정 위반 시 1 천만원 이하의 과태료 영상정보처리기기 운영관리방침 수립 1) 설치근거 및 설치목적 2) 설치대수, 설치위치, 촬영범위 3) 관리책임자, 담당부서 등 4) 촬영시간, 보관기간, 보관장소, 처리방법 5) 운영자의 영상정보 확인방법 및 장소 6) 정보주체의 영상정보 열람 등 요구에 대한 조치 7) 기술적,관리적,물리적 조치 등 ※ 개인정보 처리방침으로 대체 가능
(6) 개인정보 처리방침 수립 및 공개 내 용 개인정보처리자는 개인정보처리방침을 수립·공개 (법 제30조제1항, 영 제31조제1항) 처벌규정 위반 시 1 천만원 이하의 과태료 1) 개인정보 처리목적 2) 개인정보 처리 및 보유기간 3) 개인정보 제3자 제공에 관한 사항 4) 개인정보 처리 위탁에 관한 사항 5) 정보주체의 권리·의무 및 행사방법에 관한 사항 6) 처리하는 개인정보항목 7) 개인정보 파기에 관한 사항 8) 개인정보 안전성 확보조치에 관한 사항 개인정보처리방침 공개방법 인터넷 홈페이지 첫화면 또는 첫화면과 직접 연결되는 화면에 게재 1) 사업장 등의 보기 쉬운 장소에 게시 2) 관보, 신문 게재 3) 연 2회 이상 발생하는 간행물, 소식지 등에 게재 4) 재화용역을 제공하기 위해 작성한 계약서에 게재하여 발급
(7) 개인정보 보호책임자의 지정 개인정보처리자는 개인정보 처리에 관한 업무를 총괄·책임지는 개인정보 보호책임자를 지정 (법 제31조) 처벌규정 위반 시 1 천만원 이하의 과태료 (법 제31조제2항, 영 제32조제1항) 1) 개인정보 보호계획 수립·시행 2) 개인정보 처리실태 및 관행의 정기적 조사·개선 3) 불만의 처리 및 피해구제 4) 유출 및 오남용 방지를 위한 내부통제시스템 구축 5) 개인정보 보호 교육계획 수립·시행 6) 개인정보파일 보호 및 관리· 감독 7) 개인정보처리방침 수립·변경 및 시행 8) 개인정보 보호 관련 자료의 관리 9) 처리목적이 달성되거나 보유기간이 경과한 개인정보 파기 내용 지정요건 개인정보 보호책임자 지정요건 (영 제32조제2항) ① 공공기관은 기관별 직급 명시 (개인정보처리 담당부서의 장) ② 공공기관 외의 개인정보처리자의 경우 개인 사업주, 대표자, 정보처리 업무를 담당하는 부서의 장, 개인정보 보호에 관한 소양이 있는 사람 중 어느 하나를 지정
(8) 개인정보의 안전성 확보조치 세부사항 (영 제30조) 내용 개인정보가 분실·도난·유출·변조·훼손되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치 이행 (법 제29조) 관리적 보호조치 - 내부관리계획 수립·시행 기술적 보호조치 - 접근통제 및 접근권한 제한 조치 - 개인정보의 안전한 저장·전송을 위한 암호화 또는 이에 상응하는 조치 - 접속기록의 보관 및 위·변조 방지조치 - 보안프로그램의 설치 및 갱신조치 물리적 보호조치 - 개인정보 안전한 보관을 위한 보관시설 마련 또는 잠금장치 설치 처벌규정 미이행시 3천만원 이하의 과태료, 미이행으로 인한 유출시 2년 이하 징역 또는 1천만원 이하 벌금
(9) 개인정보 처리업무 위탁 기준 홍보 및 판매권유 위탁 내용 제3자에게 개인정보 처리업무 위탁시, 문서에 의하여야 함 (법 제26조, 영 제28조) 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁 시 위탁사실을 정보주체에게 고지 (법 제26조제3항) 고지방법 (영 제28조제4항) 서면, 전자우편, FAX, 전화, 문자 또는 이에 상당하는 방법 위탁사실을 과실없이 고지할 수 없는 경우 (영 제28조제5항) - 위탁사실을 인터넷 홈페이지에 30일 이상 게재(홈페이지가 없는 경우 사업장 등에 게재) 개인정보처리자는 위탁사실을 정보주체가 쉽게 확인토록 공개 (법 제26조제2항) 위탁자의 인터넷 홈페이지 첫화면 또는 첫화면과 직접 연결되는 화면을 통하여 공개사항을 게재 (영 제28조제2항) 위탁자 및 수탁자의 책임 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 감독 (법 제26조제4항) 수탁자가 위탁받은 업무와 관련하여 이 법을 위반하여 손해배상책임 발생시, 수탁자를 개인정보처리자의 소속직원으로 간주 (법 제26조제6항) 처벌규정 위반 시 3 천만원 이하의 과태료
(10) 영업양도 등에 따른 개인정보 이전제한 고지방법 (영 제 29조) 내용 개인정보처리자는 영업의 전부, 일부의 양도·합병 등으로 개인정보를 다른 사람에게 이전하는 경우, 다음 사항을 정보주체에 고지 (법 제27조제1항) 서면, 전자우편, FAX, 전화, 문자전송 또는 이에 상당하는 방법 처벌규정 위반 시 1 천만원 이하의 과태료 1) 개인정보 이전사실 2) 개인정보를 이전 받는 자(영업양수자 등)의 성명, 주소, 전화번호, 연락처 3) 정보주체가 개인정보 이전을 원하지 않는 경우 조치할 수 있는 방법 및 절차 개인정보처리자가 통지한 경우, 영업양수자 등은 고지의무 면제 과실 없이 정보주체에게 고지할 수 없는 경우 해당 사항을 인터넷 홈페이지에 30일 이상 게재 (인터넷 홈페이지가 없는 경우에는 사업장 등의 보기 쉬운 장소에 게재)
(11) 개인정보 파기조치 내용 보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을 때는 지체 없이 (5일 이내) 개인정보 파기 (법 제21조, 표준지침 제11조) 처벌규정 위반 시 3 천만원 이하의 과태료 파기방법 (영 제`16조) 개인정보가 복구 또는 재생되지 아니하도록 파기 - 전자적 파일 형태 : 복원이 불가능한 방법으로 영구 삭제 ※ 복원이 불가능한 방법 : 사회 통념상 현재 기술 수준에서 적절한 비용이 소요되는 방법 (표준지침 제11조제2항) - 기록물, 인쇄물, 서면 등 : 파쇄 또는 소각 다만, 다른 법령에 따라 보존해야 하는 경우에는 미파기 소비자 분쟁처리 관련 기록(3년), 요금정산(5년), 계약 및 청약철회(5년) : 전자상거래법 의료기록부(10년), 진단서 등의 부본(3년) : 의료법 시행규칙
(12) 개인정보 영향평가 내 용 공공기관이 개인정보 파일을 운용하는 경우, 개인정보 침해를 사전에 예방하기 위한 개인정보 영향평가 실시 (2016년 9월29일까지 평가실시) 1) 5만명 이상의 정보주체에 대한 개인정보 파일(민감정보, 고유식별정보가 포함시) 2) 50만명 이상의 정보주체에 대한 개인정보 파일(다른 개인정보 파일과 연계·연동시) 3) 구축 ·운용 또는 변경하려는 개인정보파일로 100만명 이상의 정보주체 개인정보 파일 1) 처리하는 개인정보의 수 2) 개인정보의 제3자 제공 여부 3) 정보주체의 권리를 해할 가능성 및 그 위험 정도 4) 민감정보 또는 고유식별정보의 처리 여부 5) 개인정보 보유기간
(13) 개인정보파일의 등록 및 공개 내 용 공공기관이 개인정보파일을 운용하는 경우, 법적 근거, 목적, 보유기간 등을 행정안전부 장관에게 등록 (’10년 약30만개 파일) 1) 개인정보파일의 명칭, 운영 근거 및 목적 2) 개인정보파일에 기록되는 개인정보의 항목 3) 개인정보의 처리방법 및 보유기간 4) 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자 행정안전부 장관은 개인정보파일 등록사항과 그 내용을 검토하여 해당 공공기관의 장에게 개선권고 행안부에서는 개인정보파일 등록현황을 누구든지 쉽게 열람토록 공개 (
국민의 권리 보장 (1) 개인정보 유출통지 및 신고제 내용 개인정보처리자는 개인정보 유출시 지체없이 (5일 이내) 정보주체에게 유출사실 통지 (법 제34조, 표준지침 제27조) 처벌규정 통지 · 신고 미이행 시 3 천만원 이하의 과태료 통지방법 통지 방법 (영 제40조제1항) - 서면, 전자우편, FAX, 전화, 문자전송 또는 이에 상당하는 방법 - 1만명 이상 개인정보 유출시, 통지와 동시에 인터넷 홈페이지에 7일 이상 게재 (영 제40조제3항) 유출된 개인정보 확산 및 추가유출 방지를 위하여 접속경로 차단, 취약점 점검·보완, 유출 개인정보 삭제 등 긴급한 조치 필요시 해당 조치를 취한 후 정보주체에게 통지 가능 (영 제40조제1항) 1만명 이상 개인정보 유출시 지체없이 (5일 이내) 행정안전부 또는 한국정보화진흥원, 한국인터넷진흥원에 신고 (법 제34조제3항, 영 제39조) ※ 개인정보 유출에 따른 금융사기, 보이스피싱 등 2차 피해 방지를 위해 전문기관은 기술 지원 3
(2) 개인정보 침해신고 내용 개인정보에 관한 권리, 이익을 침해받은 사람은 행정안전부장관에게 침해사실을 신고 (법 제62조) 개인정보침해신고센터 행정안전부장관은 개인정보 침해신고의 접수, 처리 등 업무를 효율적으로 수행하기 위하여 한국인터넷진흥원을 개인정보침해신고센터 운영을 위한 전문기관으로 지정 (법 제62조제2항, 영 제59조) (법 제62조제3항) 1) 개인정보 처리와 관련한 신고의 접수, 상담 2) 사실의 조사, 확인 및 관계자의 의견 청취 3) 위의 업무에 딸린 업무 개인정보침해신고센터 ☎ 국번없이 118 홈페이지 : privacy.kisa.or.kr ※ 개인정보 침해신고 건수 : ’09년 3만 5천여건 ’10년 5만 5천여건
내용 정보주체는 자신의 개인정보에 대한 열람, 정정·삭제, 처리정지를 개인정보처리자에 대해 요구할 수 있음 (법 제35조~제37조) 처벌규정 위반 시 3 천만원 이하의 과태료 조치사항 개인정보 열람 요구 대응조치 (영 제41조) - 내용적으로 10일 이내에 열람할 수 있도록 조치, - 열람할 수 없는 정당한 사유가 있을 경우 정보주체에게 그 사유를 알리고 열람 연기 (사유가 소멸하면 지체없이 열람) 개인정보 정정·삭제, 처리정지 요구 대응조치 (영 제43조) - 내용적으로 10일 이내에 조치 ※ 처리정지권 (법 제37조) : 정보주체는 공공기관에 등록된 개인정보 파일 중 자신의 개인정보 처리정지 요구 가능 1) 법률의 규정 2) 타인의 생명, 신체, 재산 침해우려가 있는 경우 3) 공공기관의 조세부과 징수·환급, 교육기관 성적평가·입학자 선발, 채용 시험·보상금 산정·감사조사 업무 (3) 정보주체의 열람, 정정·삭제, 처리정지권 보장
(4) 개인정보 분쟁조정 및 단체소송 분쟁조정 개인정보 관련한 분쟁의 조정을 원하는 자는 개인정보분쟁조정위원회에 분쟁조정을 신청할 수 있음 (법 제43조) (법 제40조) 개인정보에 관한 분쟁의 조정을 위하여 설치 (위원장 1명 포함 20명 이내의 위원으로 구성) 분쟁조정의 내용은 재판상 화해 효력 (제47조제5항) ※ 재판상 화해 : 소송 중 양 당사자가 화해하여 소송을 종료시키기로 하는 합의, 확정판결과 동일 효력 집단분쟁조정 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우 집단분쟁조정을 신청할 수 있음 (법 제49조) (영 제52조) 1) 피해 또는 권리침해를 입은 정보주체 수가 50명 이상 2) 사건의 중요한 쟁점이 사실상, 법률상 공통 단체소송 소비자단체, 비영리민간단체는 개인정보처리자가 집단분쟁조정 거부 또는 결과 불수락 시 법원에 권리침해행위의 금지·중지 소송 제기 (법 제51조)
구분주요내용 처벌 및 벌칙 구분주요내용 처벌 및 벌칙 구분주요내용 처벌 및 벌칙 정보주체의 동의 없는 개인정보 제3 자 제공(17조) 개인정보의 목적 외 이용·제공(18조, 제19조, 제26조) 민감정보 처리기준 위반(제23조) 고유식별정보 처리기준 위반(제24조) 부정한 수단이나 방법에 의해 개인정 보를 취득하거나 개인정보처리에 관 한 동의를 얻는 행위를 한 자(제59조) 개인정보의 수집기준 위반(제15조) 만 14세 미만 아동의 개인정보 수집 시 법정대리인 동의획득의무 위반 (제22조) 탈의실·목욕실 등 영상정보처리기기 설치 금지 위반(제25조) 직접마케팅 업무위탁으로 인한 개인 정보 제공 시 정보주체에게 알려야 할 사항을 알리지 아니한 자 ( 제15조, 제17조, 제18, 제26조) 최소한의 개인정보 외 정보의 미동의 를 이유로 재화 또는 서비스 제공을 거부한 자(제16조, 제22조) 주민등록번호를 제공하지 아니할 수 있는 방법 미제공(제21조) 동의획득방법 위반하여 동의 받은 자 (제22조) 5년 이하 징역 또는 5천 만원 이하 벌금 3년 이하 징역 또는 3천 만원 이하 벌금 5천 만원 이하 과태료 3천 만원 이하 과태료 1천 만원 이하 과태료 동의 없는 개인정보 제3자 제공(17조) 개인정보의 목적 외 이용·제공 (18조, 제19조, 제26조) 직접마케팅 업무위탁으로 인한 개인정보 제공 시 정보주체에게 알려야 할 사항을 알리지 아니한 자(제15조, 제17조, 제18, 제26조) 업무위탁 시 공개의무 위반(제26조) 개인정보의 누설 또는 타인 이용에 제공 (제59조) 개인정보의 훼손, 멸실, 변경, 위조, 유출 (제59조) 영상정보처리기기 설치목적과 다른 목적 으로 임의 조작하거나 다른 곳을 비추는 자 또는 녹음기능을 사용한 자(제25조) 직무상 알게 된 비밀을 누설하거나 직무상 목적 외 사용한 자(제60조) 안전성 확보에 필요한 보호조치를 취 하지 않아 개인정보를 도난·유출·변조 또는 훼손당하거나 분실한 자(제24조, 제25조, 제29조 위반) 안전성 확보에 필요한 조치의무 불이행 (제24조, 제25조, 제29조) 개인정보를 분리해서 저장․관리하지 아니한 자(제21조) 개인정보처리방침 미공개(제30조) 개인정보관리책임자 미지정(제31조) 영상정보처리기기 안내판 설치 등 필요조치 불이행(제25조) 영상정보처리기기 설치·운영기준 위반 ( 제25조) 5년 이하 징역 또는 5천 만원 이하 벌금 3천 만원 이하 과태료 1천 만원 이하 과태료 5년 이하 징역 또는 5천 만원 이하 벌금 3년 이하 징역 또는 3천 만원 이하 벌금 2년 이하 징역 또는 1천 만원 이하 벌금 3천 만원 이하 과태료 1천 만원 이하 과태료 개인정보의 정정·삭제요청에 대한 필 요한 조치를 취하지 않고, 개인정보를 계속 이용하거나 제3자에게 제공한 자( 제36조) 2년 이하 징역 또는 1천 만원 이하 벌금 개인정보의 처리정지 요구에 따라 처 리를 중단하지 않고 계속 이용하거나 제3자에게 제공한 자(제37조) 개인정보 유출사실 미통지(제34조) 정보주체의 열람 요구의 부당한 제 한·거절(제35조) 정보주체의 정정삭제요구에 따라 필요 조치를 취하지 아니한 자(제36조) 처리정지된 개인정보에 대해 파기 등의 조치를 하지 않은 자(제37조) 시정명령 불이행(제64조) 정보주체의 열람, 정정·삭제, 처리정 지 요구 거부 시 통지의무 불이행 (제35조, 제36조, 제37조) 관계물품·서류 등의 미제출 또는 허위 제출(제63조) 출입·검사를 거부·방해 또는 기피한 자 (제63조) 개인정보 미파기(제21조) 3천 만원 이하 과태료 1천 만원 이하 과태료 3천 만원 이하 과태료 2년 이하 징역 또는 1 천 만원 이하 벌금 벌칙 및 경과조치 _ (1) 벌칙 및 과태료 4 실체법 위반은 징역형 또는 벌금, 절차법 위반은 과태료 부과
경과조치 (영 부칙) (2) 시행일 및 경과조치 시행일 개인정보보호법은 ‘ (공포 후 6개월 경과일)부터 시행 (부칙 1조) 주민등록번호 외의 회원가입 방법(i-PIN등) 적용(법 제24조제2항)은 ‘ (공포 후 1년 경과일)부터 시행 (부칙 1조) 개인정보 암호화는 고시 수립일로부터 3개월 이내에 암호화 계획 수립, ‘ 까지 암호화 적용 (영 제4조) 개인정보 영향평가는 고시 수립일로부터 3개월 이내에 영향평가 계획 수립, ‘ (5년 이내)까지 영향평가 완료 (개인정보 영향평가 고시 부칙 제2조) 법 시행 이전에 다른 법령에 따라 적법하게 처리된 개인정보, 근거 법령없이 처리된 개인정보는 이 법에 따라 처리된 것으로 간주(소급 불인정) 다만, 9.30 이후 새롭게 개인정보를 처리하는 경우 및 과거 수집된 개인정보를 목적 외로 이용·제공하는 경우에는 개인정보보호법 적용
- 31 -
공공기관 체크리스트 불필요하게 주민번호 등 개인정보를 수집하는 경우, 관리소홀로 인해 해킹 등 유출사고 책임이 크게 증가하므로 서비스 제공에 필요한 최소한의 개인정보 수집이 현명하다. 고객정보 수집시 해당 서비스 제공과 관련 없는 개인정보(선택정보)를 수집하지 말아야 한다. 즉, 선택정보를 고객이 입력하지 않았다고 해서 해당 서비스 제공을 거부하는 것은 과태료 3천만원 부과사항이다. 또한 법적 분쟁시 필수정보(해당 서비스 제공에 필수적인 정보)와 선택정보가 적정한지 여부는 사업자가 입증책임을 부담한다. 2. 개인정보 수집시 서비스 제공에 꼭 필요한 필수정보와 선택정보 구분 1. 무분별한 개인정보 수집 자제
고유식별정보와 민감정보는 ①정보주체의 별도의 동의 ②법령에서 구체적으로 명시하거나 허용하는 경우를 제외하고 처리할 수 없도록 규제가 강화된다. 수집 시 법령에 근거가 있는지, 홈페이지 또는 서식에 별도의 동의서식을 갖추고 있는지 살펴서 법 위반사례가 없도록 한다. 홍보 또는 조사목적으로 개인정보 처리업무를 위탁할 때 정보주체에게 고지 해야 한다. 예를 들어, 수탁자인 택배회사의 잘못으로 개인정보가 유출되어 피해가 발생한 경우, 위탁자가 손해배상을 해야 한다. 위탁자는 수탁자를 관리감독 할 책임이 부과되므로 수탁자 교육 등을 철저히 이행해야 한다. 4. 홍보, 조사 (전화친절도 등) 목적 개인정보 위탁시 정보주체에게 고지 관리책임 3. 주민등록번호 등 고유식별정보와 종교, 건강정보 등 민감정보는 원칙적 처리금지 공공기관 체크리스트
개인정보파일은 유출되었을 때 명의도용, 불법마케팅, 보이스피싱 등에 악용될 수 있으므로 안전한 방법으로 보관해야 한다. 안전하게 보관하기 위해서는 개인정보를 암호화하고 DB에 접근권한 제한, 백신프로그램 설치, 방화벽 등 침입차단시스템을 설치하고 필요한 보호조치를 취해야 한다. 정보주체의 개인정보가 담긴 계약서, 청약철회서처럼 보관하고 있지 않으면 불이익을 당할 수 있는 문서를 보관해야 하는 경우에는 법률에서 지정한 예외사항을 숙지하고 이를 준수하는 것이 좋다. 6. 계약청약 철회서, 분쟁처리문서 등 필수 보관시에는 예외사항 준수 5. 개인정보파일은 DB보안 프로그램, 암호화 소프트웨어 등 안전한 방법을 사용하여 보관 ※ 계약청약철회 기록(5년), 소비자 분쟁처리기록(3년) : 전자상거래보호법 공공기관 체크리스트
개인정보의 보유이용기간이 끝난 경우, 이용목적을 달성한 경우에는 문서를 분쇄하거나 소각해 파기해야 한다. 컴퓨터로 저장된 문서를 가지고 있는 경우라면 로우레벨포맷이나 삭제 소프트웨어를 사용해서 파기 처리한다. 과거 CCTV애 대한 관리감독 근거법률이 없었으나, 이 법 제정으로 설치운영이 제한된다. 안내판이 설치되지 않은 경우가 대다수이므로 법 시행 시 안내판 설치, 녹음기능·각도조정 금지, 접근권한 제한 등 안전성 조치를 취해야 한다. (위반 시 과태료 부과) 8. CCTV에 안내판 설치, 녹음기능 사용여부 확인하여 미비점 보완 7. 이미 수집된 개인정보파일을 이용한 후에는 알아볼 수 없도록 파기 공공기관 체크리스트
개인정보보호 관련 문서를 명확하게 구비하지 않았다면, 개인정보가 유출되는 경우에 막대한 손해배상 책임을 질 수 있다. 개인정보 열람청구서 등을 비치하고, 인터넷 웹사이트의 경우 회원정보 열람정정 메뉴, 회원탈퇴 메뉴를 쉽게 찾을 수 있도록 조치한다. 개인정보가 유출이 된 경우 정보주체에게 즉시 알리고, 사실확인, 홈페이지 차단, 비밀번호 변경공지 등 초동조치를 신속히 하여야 한다. 유출 대응을 지연하는 경우에는 과태료가 부과되고, 유출이 확인될 경우 피해자는 분쟁조정위원회에 집단분쟁조정 또는 법원에 권리침해 단체소송을 제기할 수 있으므로 철저히 대비해야 한다. 10. 개인정보 유출통지, 집단분쟁조정, 단체소송에 대비 9. 개인정보보호에 관한 지침, 문서를 명확히 구비하고 열람청구에 대비 공공기관 체크리스트
- 37 -
(1) 개인정보 수집 · 이용 · 제공에 따른 동의 서비스 제공에 필요한 최소정보 ( 필수정보 ) 수집 수집하는 개인정보가 최소정보라는 것은 개인정보처리자가 입증해야 함 필수정보, 선택정보 국외의 제 3 자 제공동의 서비스 거부금지 14 세미만 법정대리인 동의 선택정보 미동의로 재화나 서비스 거부 금지 개인정보 국외이전시 제공 동의 수집 목적 외 이용 및 제 3 자 제공 시 정보주체의 별도 동의 필요 민감정보 및 주민번호 등 고유식별정보 처리 시 정보주체의 별도 동의 필요 홍보, 마케팅을 위한 처리 시 별도 동의 필요 개인정보 수집 · 이용 동의 수집 · 이용 동의 제 3 자 제공 동의 수집목적내 제 3 자 제공동의 만 14 세 미만 아동의 개인정보 수집 시 법정 대리인의 동의 필요 목적 외 이용 · 제공 동의 민감정보 처리 동의 고유식별정보 처리 동의 홍보, 마케팅 처리 동의
(2) 개인정보 수집 · 이용 · 제공 동의 DON’Ts ( 위반사례 )DOs ( 조치사항 ) 회원가입 신청 시 수집 · 이용 목적, 수집항목, 보유기간 등에 대한 정보주체의 동의 항목 누락 14 세 미만 아동에 대한 개인정보 수집 시 법정대리인 동의절차 누락 민감정보, 고유식별정보 수집 시 별도동의 미획득 정보주체의 별도 동의없이 홍보, 판매를 위해 개인정보 무단 활용 정보주체 동의없이 이벤트를 위한 개인정보 제 3 자 제공 개인정보 수집에 따른 동의항목 확인 만 14 세 미만의 아동 정보를 처리 하기 위해 법정대리인의 동의 필요 민감정보, 고유식별정보 수집 시 별도의 동의 획득 필요 홍보, 판매 등 목적외 이용제공을 위한 별도동의 획득 및 고지 필요 개인정보 목적외 제 3 자 제공 시 별도의 동의 획득 필요
(3) 최소정보 수집 이름 주민번호 주소 핸드폰번호 유선번호 직장명 직장주소 연소득 주거형태 배우자 정보 취미 수집하는 개인정보가 최소정보라는 것은 개인정보처리자가 입증 개인정보처리자는 정보주체가 필요 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부할 수 없음 ( 과태료 3 천만원 ) A 기관은 인터넷을 통한 회원가입 시 주민번호, 직장정보, 소득, 자녀정보 등 필수정보와 선택정보를 구분하지 않고 포괄 동의 후 수집 DON’Ts ( 위반사례 )DOs ( 조치사항 ) “주민번호, 직장정보, 소득, 주거형태 등의 정보는 최소정보인가?” 회원가입을 위한 필수정보와 부가적인 정보 ( 선택정보 ) 를 구분하여 동의 획득하고, 부가정보 수집에 동의하지 않은 이유로 서비스 제공 거부 금지
(4) 민감정보 및 고유식별정보 수집을 위한 별도 동의 민감정보에 대한 무단 수집 고유식별정보에 대한 무단 수집 이름 주민등록번호 여권번호 자동차등록번호 전화번호 - * 회원가입을 위한 필수항목입니다. 종교 본인병력 가족병력 지지하는 정당 * 회원가입을 위한 필수항목입니다. 고유식별정보 및 민감정보는 내용적으로 수집이 금지되고, 필요 시 별도의 동의 획득 필요 수집 및 이용목적 동의 민감정보 추가수집 동의 고유식별정보 수집 동의 OOOO의 개인정보 수집 및 이용 OOOO의 민감정보 추가수집 OOOO의 고유식별정보 수집 동의 동의하지 않음 DON’Ts ( 위반사례 ) DOs ( 조치사항 )
일반 위탁 시 공개 예시 홍보 · 조사 위탁 · 양도 시 고지 예시 (5) 업무 위탁, 영업양도에 따른 공개 및 고지 **기관 서비스 이행을 위해 개인정보 취급 업무 중 일부를 아래와 같이 외부 전문 업체에 위탁하여 운영하고 있습니다. 위탁업무 내용 위탁업체 AAA BBB CCC DDD EEE 마케팅 업무 운영 대행을 위한 위탁- 이벤트 당첨자 상품 배송을 위한 고객정보 추출, 제품/기업 및 이벤트 홍보 메일전송을 위한 고객정보 추출등과 같은 마케팅 업무 운영 고객 응대 업무 효율성 제고를 위한 위탁 - **기관 고객문의 응대, 물품 구매관련 및 배송관련 고객 문의 응대, 만족도 조사 (제품구매,배송설치,서비스) 회원제 서비스 이용에 따른 본인 실명 확인 온라인 광고, 캠페인 집행을 위한 위탁- 광고, 이벤트 등과 같은 마케팅 업무 수행에 필요한 고객 정보 추출, 활용 제품 구매에 따른 물품 배송 및 제품설치 재화 또는 서비스 홍보·조사 업무를 위탁하는 경우에는 업무의 내용, 수탁자를 고지 영업의 양도 합병으로 개인정보를 이전하는 경우에는 이전 사실, 양수자의 성명, 주소, 전화번호 및 그 밖의 연락처, 이전을 원하지 않는 경우 조치방법 및 절차 등을 고지 당사의 서비스 이행을 위해 아래와 같이 개인정보 취급업무를 위탁함 o 취급위탁을 받는 자 : A 텔레마케팅 o 취급위탁 내용 : 전화친절도 조사 홍보 및 안내 당기관은 2011년 1월 1일자로 oo사업 및 홈페이지 운영을 B사에 양도함에 따른 개인정보 이전 안내 o 영업양도로 이전 o 양수자(김**), 00구 00동, 전화 , 팩스 ※ 개인정보 이전을 원하지 않는 경우 당사 홈페이지에서 회원탈퇴 가능
(6) 개인정보의 파기 및 회원탈퇴 회원가입 메뉴와 동일 위치 배정 회원탈퇴 회원가입 화면에 회원탈퇴 메뉴 설정 관련된 회원정보 즉시 파기 개인정보의 처리목적 달성 등 개인정보가 불필요해진 경우 개인정보를 지체없이 파기 복구 또는 재생이 불가능하도록 파기 ( 종이 세단기 분쇄, 소거 S/W 사용 데이터 파기 등 ) DON’Ts ( 위반사례 ) A 기관은 웹사이트 내 회원가입 화면에 회원탈퇴 메뉴가 없어 회원탈퇴가 어려움 B 기관은 회원탈퇴를 요청한 회원의 정보를 파기하지 않고, 탈퇴 요청한 회원에 안내 메일 전공 DOs ( 조치사항 )
(7) 안전성 확보조치 DON’Ts ( 위반사례 ) A 기관은 개인정보 내부관리계획을 작성하였으나, 개인 컴퓨터에 보관 B 기관은 주민번호, 비밀번호 등을 암호화하지 않은 상태로 보관하다가 외부 해킹으로 개인정보 유출 C 기관은 내부직원에 의해 개인 정보가 유출되었으나, 개인정보 접근 사실을 기록하지 않아 유출자를 확인할 수 없음 D 기관은 퇴직한 직원의 접근권한을 폐기하지 않아, 퇴직 후 시스템에 접근하여 개인정보 유출 개인정보 내부관리계획을 작성하여 개인정보 보호책임자의 결재를 거쳐 시행 주민번호 등 고유식별정보, 비밀번호, 생체정보는 전송 시 암호화하고, 인터넷망과 DMZ ( 중간구간 ) 저장 시에는 암호화 내부직원의 개인정보 DB 접속 시 일시, IP 주소, 접속자 성명 등 접속기록을 보관 조치 퇴직한 직원의 ID, PW 를 제거하여 불법적인 접근 차단 DOs ( 조치사항 )
(8) 영상정보처리기기 운영 공개된 장소에 CCTV 설치 시 안내판을 설치하고, 안내판에 설치목적, 촬영범위 등을 기록 탈의실, 화장실 등 내부를 볼 수 있는 장소에 CCTV 설치를 금지하고, 줌인 · 아웃 등의 각도조정 사용 금지 DON’Ts ( 위반사례 ) A 기관은 건물 내 CCTV 를 별도의 안내판 없이 무분별하게 설치 C 기관은 시설물 유지를 위해 건물 입구 및 화장실, 체육관 탈의실에 CCTV 설치하고 회전 기능 사용 DOs ( 조치사항 ) 홍길동
- 46 -
구분질문항목 예아니오 해당 없음 개인 정보의 수집 및 이용 개인정보 수집 시 정보주체들에게 동의를 받고 계십니까? 개인정보 수집 시 필수정보와 선택정보를 구분하고 계십니까? 개인과 관련된 민감한 정보(ex: 유전, 범죄사실)를 수집하고 계십니까? 정보주체의 고유식별정보를 수집하고 계십니까? (고유식별정보 : 주민번호, 여권번호, 운전면허번호, 외국인등록번호) 정보주체의 주민번호 이외의 대체수단(공인인증서, i-PIN 등)을 이용하여 본인확인을 하고 계십니까? 수집된 개인정보를 동의 받은 수집/이용 목적 이외로 이용하고 계십니까? 개인 정보의 제공 및 위탁 수집된 개인정보를 제3자(다른 사업자)에게 제공하고 있습니까? 제3자에게 제공할 경우 이에 대해 정보주체에게 고지 및 동의를 받고 있습니까? 개인정보 관리 및 처리시스템을 위탁하고 계십니까? 개인정보 관리 및 처리시스템 위탁 시 이에 대해 해당 사실에 대하여 정보주체가 확인하기 쉽도록 공개하고 있습니까? 개인정보 관리 및 처리시스템 위탁 시 위탁업체와의 계약사항에 안전조치 의무 사항을 계약서에 포함하여 계약하고 있습니까? 개인정보처리자 개인정보보호 자가진단(법률준수)
구분질문항목 예아니오 해당 없음 개인 정보의 관리 및 파기 개인정보보호를 위해 개인정보보호 책임자를 지정하고 있습니까? 개인정보 수집, 이용 ‧ 제공, 파기 등의 내용이 담긴 개인정보 처리방침 을 작성해 정보주체가 쉽게 확인할 수 있도록 공개하고 있습니까? 개인정보 취급 시에 개인정보의 분실 ․ 누출 ․ 변조 ․ 훼손을 방지하기 위한 기술적 ․ 관리적.물리적 보호조치를 취하고 있습니까? 개인정보보호를 위해 별도의 개인정보보호 내부관리계획을 수립해 이행하고 있습니까? 내부관리계획에 준하는 개인정보보호 관리기준을 보유하고 있습니까? 수집된 개인정보를 파기하는 시점이 별도의 절차를 통해 이뤄지고 있습니까? 사내에 CCTV를 설치 운영하고 계십니까? CCTV 설치 시 정보주체가 쉽게 인식할 수 있도록 안내판을 설치하고 계십니까? CCTV 설치 및 운영 시 개인정보가 분실.도난.유출.변조 또는 훼손되지 않도록 안전성 확보 조치를 하고 계십니까? 개인 정보 주체의 권리 보장 정보주체의 권리를 보장하기 위해 열람요청, 정정요청, 삭제요청, 처리중지 요청 등의 절차를 갖추고 계십니까? 만 14세 미만 아동의 개인정보 수집 시 이에 대한 법정대리인의 동의를 받고 계십니까? 개인정보 유출 시 정보주체에게 알리는 절차가 마련돼 있습니까? 개인정보처리자 개인정보보호 자가진단(법률준수)
구분질문항목 예아니오 개인정보보호 내부관리계획 의 수립/시행 개인정보보호를 위한 내부관리계획을 수립하여 시행하고 있습니까? 내부관리계획 외의 개인정보보호를 위한 정보보호 규정(정책, 지침 등을 수립하여 시행하고 있습니까? 개인정보보호 책임자 의무와 책임의 명시 개인정보관리책임자의 의무와 책임이 명시된 규정/관리계획 등의 문서가 있습니까? 개인정보보호 교육 개인정보보호 교육 관련 사항이 내부관리계획 또는 관련 지침이나 정책으로 수립되어 있습니까? 개인정보보호 관련 교육계획을 수립하여 이행하고 있습니까? 개인정보보호 관련 교육 시행 시 개인정보 취급업무를 담당하는 내부 임직원 및 계약직 지원, 그리고 제3자 등을 포함하고 있습니까? 교육 시행 후 시행결과를 평가하여 그 결과를 반영하는 절차를 수립하고 이행하고 있습니까? 정기적 자체감사 실시 개인정보 보호조치 이행여부에 대한 자체 정기점검을 년 1회 이상 실시하고 있습니까? 정기적인 자체감사를 실시하는 경우 관련 법률 및 회사의 개인정보보호 관련 규정(정책,지침, 내부관리 계획 등)의 준수감사 이외에 기술적/관리적/물리적 안전조치에 대한 감사를 실시하고 있습니까? 개인정보처리자 개인정보보호 자가진단(안전조치)
구분질문항목 예아니오 접근권한, 인증/식별 및 계정관리 개인정보처리시스템에 접근하는 권한은(관리자/사용자 권한) 담당자에 따라 다르게 부여하고 있습니까? 개인정보처리시스템의 접근권한 부여내역(권한부여/변경/말소)은 별도로 기록하여 보관하고 있습니까?(최소 5년 이상 보관 의무) 퇴직, 전보 등으로 접근권한이 변경되는 경우 즉시 변경사항을 적용하고, 접근권한에 대한 주기적인 점검을 시행하고 있습니까? 개인정보시스템(홈페이지, DB 등)의 사용자 계정은 사용자 별로 유일한 ID를 사용하고 있습니까? 개인 정보를 이용/처리하는 시스템에 공통계정(ID 공유)을 사용하지 않도록 하고 있습니까? 개인정보처리시스템과 관련하여 비밀번호 작성규칙을 수립하여 적용/운용하고 있습니까? 비밀번호는 반 기별 1회 이상(6개월) 변경하여 사용하고 있습니까? 접속기록의 위 · 변조 방지 개인정보 업무담당자 들이 개인정보처리시스템을 사용한 접속기록은 별도로 기록되고 있습니까?(로그인 시간, ID, 개인정보 생성/조회/삭제/수정 등의 사용 기록 포함) 개인정보 접속기록은 별도의 저장매체(Tape, CD, 백업용USB 등)에 별도 백업을 수행하고 있습니까? 개인정보 접속기록은 최소 6개월 이상 보존/관리하고 있습니까? 개인정보처리자 개인정보보호 자가진단(안전조치)
구분질문항목 예아니오 접근통제 침입차단시스템(Firewall)을 적용하고 있습니까? 침입탐지시스템(IDS, IPS)을 적용하고 있습니까? 가상사설망시스템(VPN)을 적용하고 있습니까? 상용 보안운영체제(SecureOS) 또는 공개용 방화벽(IP Filter 등)을 사용하고 있습니까? 기타 문서보안(DRM), 웹 방화벽, PC방화벽, 정보유출방지 등의 보안솔루션을 사용하고 있습니까? 업무용컴퓨터에 PC 방화벽 등의 보안도구를 적용하고 있습니까? 업무용/개인용 컴퓨터에 백신 프로그램을 설치하고 있습니까? 개인정보의 암호화 수집하여 이용하는 개인정보 중 주민등록번호, 신용카드 번호, 계좌번호는 암호화하여 저장하고 있습니까? 직원이 사용하는 비밀번호는 일방향 암호화(해쉬 함수)하여 저장하고 있습니까? 인터넷으로 개인정보가 전송되는 경우(EX, 회원가입 화면/로그인 화면/금융거래 화면) 보안서버 등의 송수신 암호화를 적용하고 있습니까? 중요 개인정보를 개인용/업무용 컴퓨터에 저장 할때 암호화 방법을 적용하고 있습니까?(DRM 등의 암호화 솔루션 또는 Word, Excel, HWP 등에서 제공하는 옵션을 사용해 암호화 저장) 개인정보처리자 개인정보보호 자가진단(안전조치)
구분질문항목 예아니오 보안 프로그램의 설치 및 운영 업무용/개인용 컴퓨터에 자동업데이트 기능을 적용하고 있습니까? (일 1회 이상 업데이트 확인) KISA 또는 백신 제작업체에서 긴급공지가 있는 경우 백신 소프트웨어/패치 등을 적용하고 있습니까? 출력 /복사 시 보호조치 개인정보를 종이에 출력 또는 복사하는 경우 담당 책임자(개인정보관리책임자 등)의 승인을 받고 있습니까? 개인정보를 종이에 출력 또는 복사 시 관련 내용을 대장으로 기록하여 관리하고 있습니까? 물리적 접근제한 개인정보처리시스템(홈페이지, DB)을 위한 별도의 전산실(서버실/통신실 등)이 있습니까? 전산실에 지문인식/카드방식 등의 출입통제 장치가 적용되어 있습니까? 비 인가자의 물리적 접근을 제한하기 위한 출입통제 지침/절차가 수립되어 있습니까? 전산실(개인정보처리시스템)의 출입내역(전산실 출입기록 등)을 기록하여 보관하고 있습니까? 개인정보가 기록된 저장매체(CD, USB 등)는 잠금 장치가 있는 안전한 장소에 보관하고 있습니까?
개인정보보호법 9 월 30 일 시행 개인정보보호 종합포털 : 개인정보침해신고센터 : ( 국번없이 ) 118, ( 홈페이지 ) privacy.kisa.or.kr