업무사례 중심의 개인정보보호법 이해 2014년 7월 교육(행정)기관 개인정보 보호책임자(CPO) 순회 교육

Slides:



Advertisements
Similar presentations
월간 사이버보안 소식 경기교육사이버안전센터 (GECSC) 월호 경기도교육정보기록원.
Advertisements

COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved 년 12월 개인정보 보호법의 이해와 적용.
COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved 년 4월 2 교시 각급학교 개인정보보호 실무 2 교시 각급학교 개인정보보호 실무 경기도교육청북부청사.
신진영 현지 조사 방법 및 보고서 작성법 제 7 강 - 자료 수집과 설문지 작성 -
COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved 년 12월.
을지대학교 무선 네트워크 사용 방법 2010 년 06 월 01 일. 을지대학교 무선 네트워크 사용 방법 1. PC 무선랜 카드 활성화 및 체크 1 단계 : 시작 -> 설정 -> 네트워크 설정 2 단계 : 무선 네트워크 설정 선택 -> 마우스 버튼 오른쪽 클릭 -> 사용.
① KT 무선랜 사용자 설명서 ( 학내 구성원 ) ollehWiFi 접속방법 1) 스마트 기기의 Wi-Fi 상태 ON 2) Wi-Fi 목록 중 [ollehWiFI] 선택 ( 아이콘에 좌물쇠 모양이 없는 공개된 ollehWiFi 를 선택 ) 2. ollehwiFi.
사랑으로 섬기는 꿈과 희망의 징검다리 한국장학재단. 국가장학금 신청하기 : 한국장학재단 홈페이지 접속 ( ○ 국가장학금 신청 : 한국장학재단 홈페이지 ( ○ 국가장학금 신청기간 : (
농촌인적자원개발센터 홈페이지 회원가입 방법. 회원가입 1. 농촌인적자원개발센터 홈페이지 ( 포탈사이트 ( 구글, 네이버 다음 등 ) 농촌인적자원개발센터 검색 ★ 홈페이지 접속 - 회원가입 버튼 클릭.
학교내 개인정보의 안전한 관리를 위한 개인정보 보호책임자의 역할과 책임 년 개인정보보호 기본교육.
정보보안 담당자 교육 자료 일시 : (금) 장소 : 광주교육정보원 대강당 발표자 : 백창범.
사례로 본 개인정보보호 교육정보부.
공공기관의 개인정보 보호 ㈜소만사 김대환 1.
사이버 범죄 CYBER TERROR.
사이버 범죄 CYBER TERROR =ㅖ[ ][}[‘5ㅕ.
사이버 범죄 CYBER TERROR.
개인정보보호법 소개 - 현재와 달라지는 점을 중심으로 행정안전부 개인정보보호과
개인정보 보호법의 이해
1교시 개인정보보호법 주요내용 2013년 9월 경 기 도 교 육 청 1.
개인정보보호 책임자의 역할 경기도화성오산교육지원청.
사회복지시설의 개인정보보호 『사회복지시설 개인정보보호 가이드라인』중심
의료기관의 개인정보 보호 의료기관정책과 박미라 서기관.
Secure Coding 이학성.
금융기관 CCTV 운영실태 점검과 대책
개인정보 수집·이용 및 제공에 대한 안내 ■ 개인정보 수집 및 이용 안내 ■ 고유식별정보의 수집 및 이용 안내
■ 아워홈TFS서포터즈 ‘아메3기’ 지원서 성별 구분 상세내용 TFS고객구분 사업장명 사업장 주소 신청자명 생년월일
개인정보보호법 주요 내용.
개인정보 보호법의 이해 문희정보기술㈜ 임 준 모
개인정보보호법 주요내용 및 이행사항 2012년 6월 1.
영상정보가 분실.도난.유출.변조 또는 훼손되지 않도록 관리
내부/외부 포털 시스템 통합SSO 관리 회원관리 추출 서비스 신청 관리 통합SSO 통합SSO 통합회원가입 통합회원가입 로그인
아이디/패스워드를 입력합니다. (WMA 3.0 사용 ID 동일)
개인정보보호법 안전성 확보조치 방안 오용석 (한국인터넷진흥원).
개인정보 보호법의 이해
왜 ‘개인정보 DB암호화’를 도입해야 하나?.
2013년도 한(NRF)-독(DFG) 공동연구사업 신청안내
면책 동의서 보호자 동의서 (탑승자가 미성년자인 경우)
[개인정보 수집·이용 동의서] ※ 본 페이지 출력하여 자필로 기입/서명 후 스캔본(JPG 또는 PDF파일)을
개인정보보호법 주요내용 및 이행사항 2012년 2월 1.
고대 구로병원 IRB 전문간사 종양내과 오상철
(이하 '회사'라고 함)는 『개인정보보호법』 및 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』에 따라 정보주체의 개인정보보호 및 권익을 보호하고 개인정보와 관련한 정보주체의 고충을 원활하게 처리할 수 있도록 다음과 같은 방침을 두고 있습니다.
맞춤형복지 사용자 시스템 매뉴얼 공무원연금공단 맞춤형복지부 문의사항:
개인정보보호법 소개 - 현재와 달라지는 점을 중심으로 행정안전부 개인정보보호과
전자 계약서 등록(갱신) 매뉴얼
신청방법 안내 메뉴얼.
개인정보보호법 사이버경찰학과 신세휴 김영걸.
1. 신규업체 등록신청 Menu Path HOME >> 신규업체등록신청 화면 개요
I-PIN 그리고 My-PIN 김가영 김경보 윤재호 이주헌
Open4U 공급업체 접속 방법 Open4U 시스템 신규 접속 방법 메인 화면 및 로그인 하기 초기 비밀번호 변경하기
연구실안전관리시스템 온라인 안전교육 수강방법.
개인정보보호법 주요내용 및 이행사항 1.
기획재정부 국고보조금통합관리시스템 구축 추진단
개인정보 유출 권소희.
입사지원자 개인정보 수집 및 활용 동의서 ▣ 개인정보 수집 ∙이용에 대한 동의 정보제공목적 달성 후 및 관련법령에 따름
개인정보보호법 주요내용 및 이행사항 2012년 2월 1.
(Earthquake geology and tectonic geomorphology)
자재시스템 – 개요 및 회원가입 KCC건설 新협력업체포탈시스템 매뉴얼 2014년 5월
『어린이놀이시설 안전관리시스템』 안전관리자 등록·승인 매뉴얼
공인인증로그인 매뉴얼.
Chap12_1_1.mp3 개인 정보 침해 개인정보 정의 및 침해 유형.
공인인증로그인 매뉴얼.
독도사랑 청년캠프 지원서 독도사랑 청년캠프에 지원해주셔서 감사 드립니다.
찾아가는 정보보호 캠페인 실시 정보보호 바로 알기 !.
2017년도 대동철학회 연구윤리교육 (연구윤리위원회).
이 프레젠테이션은 PowerPoint의 새로운 기능에 대해 안내하며, 슬라이드 쇼에서 가장 잘 보입니다
Continental Automotive Innovation Contest
1. PortBlock 이란 RJ-45 물리 블록킹 개념 RJ-45 블록킹 Site별 전용 Key
공인인증로그인 매뉴얼.
연구장비 공동활용 지원사업 신청서작성 매뉴얼(참여기업)
연구실안전관리시스템 안전교육 이수방법 사무국 시설과.
Presentation transcript:

업무사례 중심의 개인정보보호법 이해 2014년 7월 교육(행정)기관 개인정보 보호책임자(CPO) 순회 교육 교육기관 기관별 정보보안 역할

목 차 I 개인정보 보호법 개관 II 개인정보보호 업무 사례 및 대응 방안 III 개인정보 유출 사례 및 대응 방안

Ⅰ 개인정보보호법 개관 1. 개인정보보호법 소개 2. 개인정보보호법 개정(시행) 주요 내용

1. 개인정보보호법 소개 제 1 장 총칙 - 목적, 정의, 개인정보보호원칙, 다른 법률과의 관계 등 개인정보보호법 구성 제 1 장 총칙 - 목적, 정의, 개인정보보호원칙, 다른 법률과의 관계 등 제 3 장 개인정보의 처리 - 수집·이용·제공 등 처리기준, 민감정보·고유식별정보 제한, 영상정보처리기기 제한 등 제 6 장 개인정보분쟁조정위원회 - 분쟁조정위원회 설치·구성, 분쟁조정의 신청방법·절차, 효력, 집단분쟁조정제도 등 제 2 장 개인정보보호정책의 수립 등 - 개인정보보호위원회, 기본계획·시행계획 수립, 개인정보보호지침, 자율규제촉진 등 제 4 장 개인정보의 안전한 관리 - 안전조치의무, 개인정보파일 등록·공개, 개인정보영향평가, 유출통지제도 등 제 5 장 정보주체의 권리 보장 - 열람요구권, 정정·삭제요구권, 처리정지요구권, 권리행사방법 및 절차, 손해배상책임 등 제 8 장 부칙 - 적용제외, 금지행위, 침해사실신고, 시정조치 등 제 9 장 벌칙 – 벌칙, 과태료 및 양벌 규정 등 제 7 장 개인정보 단체소송 – 단체소송 대상, 소송허가요건, 확정판결의 효력 등 부칙 : 시행일, 경과조치, 다른 법률의 개정 등 - 4 -

1. 개인정보보호법 소개 1) 개인정보 보호의 개념 단일정보 또는 다른 정보와 결합하여 살아있는 개인을 식별할 수 있는 정보 개인정보의 개념 단일정보 또는 다른 정보와 결합하여 살아있는 개인을 식별할 수 있는 정보 개인정보 처리자, 보호책임자, 취급자의 개념 업무 목적의 개인정보파일 운용 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등 개인정보 처리자 개인정보 처리자 개인정보 보호책임자(CPO) 개인정보 처리에 관한 업무 총괄 책임 사업주 또는 대표자, 임원급 지정 필요(총괄, 최종 의사결정 가능 직무) 개인정보 취급자 개인정보처리자의 지휘·감독을 받아 개인정보 처리 - 5 -

1. 개인정보보호법 소개 2) 개인정보보호법과 개인정보의 Life-Cycle 수집 저장 제공 파기 - 6 - 고유식별정보 및 민감정보의 처리 제한(법 제23조, 제24조) 영상정보처리기기의 설치, 운영 제한(법 제 25조) 저장 기술적, 관리적, 물리적 안전조치 의무(법 제29조) 개인정보 처리방침의 공개 및 보호책임자 지정(법 제30조, 제31조) 개인정보파일의 등록 및 공개(법 제32조) 제공 개인정보의 제공 및 제한(법 제17조 ~ 제20조) 업무위탁, 영업양도 시 개인정보 처리 제한(법 제26조, 제27조) 파기 개인정보의 파기(법 제21조) 개인정보 유출통지 및 정보주체의 권리 보장(법 제34조 ~ 제39조) - 6 -

1. 개인정보보호법 소개 2) 개인정보보호법과 개인정보의 Life-Cycle 주요 문제점 취약점 조치방법 개인정보 처리 단계별 주요 문제점 및 조치방법 별도의 동의절차 부재 동의 항목 기본 설정 미흡 위탁/제3자 제공 구분 미흡 수탁업체 관리·감독 부재 제3자 제공시 고지 미흡 검색 사이트 개인정보 노출 DB 암호화 미적용 복잡한 회원탈퇴 삭제 수단 미흡 개인정보 영구보관(미파기) 주요 문제점 취약점 조치방법 수집목적· 항목, 동의방법 수집 개인정보 수집 관련 동의 고지항목 명시 개별 고지 및 동의 안전조치 의무 저장 기술적·관리적·물리적 조치 접근권한 관리 자체 감사 위탁고지, 제공 시 동의방법 제공 위탁과 제3자 제공 구분 수탁자 관리·감독 제3자 제공 시 동의 절차 개인정보 정정 및 삭제 시기와 방법 파기 정정 및 파기·삭제 열람 및 처리중지 - 7 -

민감정보 및 고유식별정보의 처리 제한(법 제23조, 제24조) 1. 개인정보보호법 소개 3) 개인정보의 수집·이용 민감정보 및 고유식별정보의 처리 제한(법 제23조, 제24조) 민감정보 정보주체의 사행활을 현저히 침해할 우려가 있는 개인정보 사상·신념, 노동조합·정당 가입·탈퇴, 정치적 견해, 건강, 성생활 등의 정보 주민등록번호 고유식별정보 개인을 고유하게 구별하기 위해 부여된 정보 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호 고유식별정보 원칙적 처리 금지 주민등록번호 외의 회원가입 방법 제공 고유식별정보 처리 시, 암호화 등 안전성 확보조치 예외적 허용 사유 정보주체의 별도 동의(14.8.7 개정(시행)법에 따라 예외 사항을 제외한 주민등록번호 처리 금지) 법령에서 구체적으로 처리를 요구하거나 허용하는 경우 공공기관이 법률에서 정한 소관업무 수행을 위해 불가피한 경우 법령 - 8 -

기술적, 관리적, 물리적 안전조치 의무(법 제29조) 1. 개인정보보호법 소개 4) 개인정보의 저장 기술적, 관리적, 물리적 안전조치 의무(법 제29조) 접근통제 시스템 설치 및 운영 개인정보의 암호화 및 보안프로그램 설치 운영 접속기록의 보관 및 위, 변조 방지 기술적 내부 관리계획의 수립 및 시행 개인정보 보호책임자 지정(CPO) 및 개인정보 취급자에 대한 교육 실시 관리적 전산실, 자료보관실 등 출입통제 절차 수립 및 운영 개인정보가 포함된 서류, 보조저장매체 등은 잠금장치가 있는 장소에 보관 물리적 - 9 -

개인정보보호의 제공 및 이용 제한(법 제17조 ~ 제20조) 1. 개인정보보호법 소개 5) 개인정보의 제공 개인정보보호의 제공 및 이용 제한(법 제17조 ~ 제20조) 개인정보 외부 제3자 제공 개인정보의 목적 외 이용 및 제3자 제공은 원칙적 불가 법 제18조 2항에 의한 경우 제3자 제공가능 (개인정보 수집 목적 범위 내, 정보주체의 동의를 받은경우, 법률에 규정이 있는 경우 등) 동의를 받을 때에는 제공받는 자, 이용목적, 개인정보 항목, 보유・이용기간, 동의거부권 에 대한 고지 개인정보 운영 방법 공개 서면, 전자우편, 모사전송, 전화, 전화 문자전송, 홈페이지 게시 - 10 -

1. 개인정보보호법 소개 6) 개인정보의 파기 개인정보의 파기(법 제21조) 파기 방법 수집 및 이용목적 달성 후 지체 없이 파기 개인정보 파기 후 복구 또는 재생되지 아니하도록 조치 개인정보 기록된 출력물, 서면 등 파쇄 또는 소각 전자적 파일 복원 불가능한 방법으로 영구 삭제 - 11 -

1. 개인정보보호법 소개 7) 영향평가 제도 개인정보 영향평가 제도(법 제33조) 정보화 사업 추진 공공기관에서 개인정보를 처리하는 정보화 사업추진 시, 개인정보 침해사고 예방을 위한 사전 개인정보 영향평가 실시 의무화 정보화 사업 추진 신규 정보화 사업에 대한 개인정보 위험 요인 분석 및 개선조치 후 서비스 제공 개인정보 영향평가 침해요인 분석 개인정보 영향평가 제도란? 개인정보파일 구축, 상호연계 등 사업 추진 시 사전에 개인정보 유출, 오·남용 등 정보주체의 권익침해 위험 조사, 예측, 검토 개선 제도 공공기관 평가기관 정보주체 - 12 -

1. 개인정보보호법 소개 8) 정보주체의 권리보장 집단분쟁 조정제도 및 단체소송(법 제49, 51조) 다수의 정보주체에게 비슷한 침해가 일어난 경우, 일괄 분쟁조정하거나 단체로 권리침해 중지를 요구할 수 있는 소송제도 도입 - 13 -

낮은 개인정보보호 의식! 솜방망이 처벌과 실효성 없는 대책! 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 배경 및 추진경과 ▣ 반복되는 개인정보 대량유출 낮은 개인정보보호 의식! 솜방망이 처벌과 실효성 없는 대책! ’14년 1월 카드사 1억 400만건 개인정보 유출 ’14년 3월 통신사 고객 1,200만명 정보 유출 2011년 이후 개인정보 유출·침해 건수 약 2억3000만건 이상 (국민 일인당 4회 이상 유출된 셈) ※ 사진출처 : 전자신문 - 14 -

2. 개인정보보호법 개정(시행) 주요 내용 정보유출 2차피해 발생 개인정보 유출 피해 근절을 위한 대책마련 시급 ▣ 배경 및 추진경과 ▣ 개인정보 유출사고 증가 및 2차 피해 발생에 따른 대책 마련 시급 공공기관 직원들, 개인정보 무단열람 돈받고 개인정보 유출 정보유출 2차피해 발생 총 3개 카드사 약 1억 300만 개인정보 대량유출 명의도용, 스팸발송, 피싱 등에 활용 개인정보 유출 피해 근절을 위한 대책마련 시급 - 15 -

2. 개인정보보호법 개정(시행) 주요 내용 『주민번호 수집·이용 최소화 종합대책 』마련 ( ‘12.4) ▣ 배경 및 추진경과 ▣ 정책 추진경과 『주민번호 수집·이용 최소화 종합대책 』마련 ( ‘12.4) ※ 안행부, 방통위, 금융위 공동 마련, ‘12.4.20 국가정책조정회의 보고 인터넷상 주민번호 수집금지『정통망법 』개정 ( ‘12.8) ※ 6개월 계도기간 운영(‘13.2월 본격 시행) 주민번호 수집 법정주의를 위한 『개인정보보호법 』 개정 공포( ‘13.8.6) 및 시행( ‘14.8.7) 주민번호 처리 근거 마련 : 27개 부처 299개 대통령령 * 고유식별정보 및 민감정보 처리근거 마련 위한 대통령령 일괄개정(‘12.1, ‘13.1) - 16 -

Ⅱ. 개인정보 보호법 주요 개정 내용 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 상세 개정 내용 ▣ 주민번호 수집 법정주의 원칙적 처리금지, 예외적 처리 허용 개정법 제24조의 2항 법령에서 구체적으로 주민등록번호 처리를 요구, 허용한 경우 정보주체 또는 제3자의 급박한 생명, 신체, 재산 이익을 위해 명백히 필요하다고 인정되는 경우 기타 이에 준한 경우로서 안전행정부령으로 정하는 경우 주민번호 외의 홈페이지 회원가입 방법 제공(14.8.7까지) 주민번호 수집 금지 계획 수립 및 시행 (14.8.7 까지) - 17 -

2. 개인정보보호법 개정(시행) 주요 내용 ▣ 상세 개정 내용 ▣ 과징금 및 징계권고 제도 과징금 제도 신설 개정법 제34조의2 제1항 주민번호 유출 등의 경우 과징금(5억원 이하) 부과 다만, 주민번호 안전성 확보조치 이행시 과징금 면제 개정법 제65조 제2항 안전행정부장관의 징계권고 대상자에 CED 및 책임있는 임원이 포함됨을 명시 CEO 및 책임 있는 임원(개인정보 보호책임자 등)의 역할과 책임 강화 - 18 -

2. 개인정보보호법 개정(시행) 주요 내용 ▣ 주민번호 처리 금지 정책방향 ▣ 주민번호 미 수집 환경 구축 추진 교육(행정)기관 교육부 주민번호 사용실태 조사 주민번호 미 수집 전환 검토 대체수단 도입 또는 근거 마련 주민번호 수집 금지 계획 수립 및 시행(14.8.7 이전까지) 교육, 홍보 및 기술지원 우수사례 조사 및 공유 미수집 전환 추진 점검 및 지원 개정(시행) 개인정보보호법에 따라 주민번호 처리금지 등 조치 실시 (불가피한 경우 필요 최소한 이용할 수 있는 법령 근거 마련) - 19 -

2. 개인정보보호법 개정(시행) 주요 내용 ▣ 주민번호 전환 체크리스트(안) ▣ 주민번호 처리 필요성 검토 및 근거 마련(근거 없는 기수집 주민번호 삭제 조치) 현행 유지 1. 주민번호 처리 법령 근거 유무 YES 법령(법률, 시행령, 시행규칙)상 주민번호 처리근거가 있는 경우 NO 법령 근거 마련 2. 불가피성 유무 (대체 불가능) 기존 입법례를 참고하여 당해 소관 법령에 근거 마련 YES 대체수단 적용 주민번호를 생년월일, 등록번호, I-Pin 등으로 대체 NO 법령 근거가 없는 경우 수집된 주민등록번호에 대한 삭제 조치(2016년 1월 1일 까지) - 20 -

각급 학교 홈페이지 회원 관리를 위해 학생의 주민번호 수집 가능 여부? 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 주민번호 미 수집 전환 대응방법 학교 홈페이지 회원 관리 수단으로 주민번호 처리 시 각급 학교 홈페이지 회원 관리를 위해 학생의 주민번호 수집 가능 여부? 주민번호 처리 법령근거 유무 법령근거 없음 유아교육법 * 초중등교육법*고등교육법 시행령에서는 법령상 업무에 따른 주민번호 처리 근거를 규정하고 있으나 홈페이지 회원관리는 이에 해당하지 않음 처리 불가피성 유무 불가피성 없음 주민번호 대신 생년월일, 학번, I-Pin 등으로 대체 가능 대응 방안 주민번호 삭제 및 대체수단 도입 검토 생년월일, 학번, I-Pin, 휴대폰 인증 등 - 21 -

구체적 법령 근거 없이 각종 신고서, 신청서 양식 등으로 주민번호 수집 가능 여부? 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 주민번호 미 수집 전환 대응방법 법령 근거 없는 자체 서식을 통해 주민번호 수집 시 구체적 법령 근거 없이 각종 신고서, 신청서 양식 등으로 주민번호 수집 가능 여부? 주민번호 처리 법령근거 유무 법령근거 없음 주민번호는 원칙적으로 처리가 제한되는 개인정보이므로 법령근거가 없을 경우 수집 및 처리 금지 처리 불가피성 유무 불가피성 없음 주민번호 대신 생년월일 등으로 대체 가능 대응 방안 주민번호 삭제 및 필요시 소관부처에 법령 반영 요구 - 22 -

내부 업무를 위한 주민번호가 담긴 한글 파일을 개인 USB에 보관 가능 여부? 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 주민번호 미수집 전환 대응방법 내부 업무를 위한 주민번호 수집 시 내부 업무를 위한 주민번호가 담긴 한글 파일을 개인 USB에 보관 가능 여부? 주민번호 처리 법령근거 유무 법령근거 검토 필요 내부 업무를 위해 주민번호 수집의 근거가 있는지 검토하여 처리 가능 처리 불가피성 유무 불가피성 검토 필요 주민번호의 처리 필요성 여부를 검토하여 법령 근거를 마련하여 처리 가능 대응 방안 주민번호의 수집 및 처리에 대한 법령 근거가 있는 경우에는 처리 가능함 다만, 저장하는 경우 분실, 도난, 유출, 변조 또는 훼손 되지 않도록 안전성 확보 조치 필요 주민등록번호가 담긴 한글파일은 비밀번호 설정 잠금장치가 있는 보안 USB 사용 - 23 -

II 주요현황 및 시사점 1. 국내 개인정보 유출 사례 2. 교육(행정)기관 개인정보 유출 사례 3. 개인정보보호법 위반 및 행정처분 사례 4. 개인정보보호 강화 방안

1. 국내 개인정보 유출 사례 여기를 클릭하시면 영상 팝업 창이 나타납니다. ▣ 정부기관 개인정보 유출 무방비(2014.2.5, SBS뉴스) 여기를 클릭하시면 영상 팝업 창이 나타납니다. - 25 -

외주업체 직원 노트북에 농협생명 고객 개인정보 35만건 유출 1. 국내 개인정보 유출 사례 ▣ 주요 개인정보 유출 원인 및 내용 원인 유출기관명 유출일 유출내용 악성코드 감염 금융권 2013.02 악성코드 감염에 의한 파밍으로 공인인증서 700건 유출 KT 2014.03 KT홈페이지 무작위 자동입력으로 1,170만 회원정보 유출 외부 해킹 넥슨 2011.11 해커에 의해 1,320만 게임회원 정보 해킹으로 유출 2014.04 POS 단말기 해킹해 신용카드 정보 20만건 유출, 복제카드로 현금서비스 이용 내부자에 의한 유출 2012.07 내부직원이 870만 고객 개인정보 유출 LG유플러스 대리점이나 판매점을 통한 고객정보 불법 유통 외주직원에 의한 유출 NH, 국민, 롯데카드 2014.01 외주 직원에 의해 개인정보 1억 4백만건 대량 유출 농협생명 외주업체 직원 노트북에 농협생명 고객 개인정보 35만건 유출 - 26 -

주민등록번호 등 타인 정보의 훼손·침해·도용 1. 국내 개인정보 유출 사례 ▣ 연도별 개인정보 침해 사고 및 유형 2013년 개인정보 주요 침해 유형 건수 이용자의 동의없는 개인정보 수집 2,634 개인정보 수집시 고지 또는 명시 의무 불이행 84 과도한 개인정보 수집 1,139 고지·명시한 범위를 넘어선 이용 또는 제3자 제공 1,988 주민등록번호 등 타인 정보의 훼손·침해·도용 129,103 개인정보 처리 위탁시 고지의무 불이행 44 영업의 양수 등의 통지의무 불이행 47 개인정보관리책임자 미지정 51 기술적·관리적 조치 미비로 인한 개인정보누출 등 4,518 수집 또는 제공받은 목적 달성 후 개인정보 미파기 602 동의철회·열람 또는 정정 요구 불응 674 동의철회, 열람·정정을 수집보다 쉽게 해야할 조치 미이행 510 법정대리인의 동의없는 아동의 개인정보 수집 36 정보통신망법 적용대상 이외의 개인정보침해 35,284 개인정보 취급자에 의한 훼손·침해 또는 누설 1,022 계 177,736 72% 177,736 최근 5년 약 5배 증가 출처 : 방송통신위원회 (한국인터넷진흥원 개인정보침해신고센터 접수자료) - 27 -

2. 교육(행정)기관 개인정보 유출 사례 ▣ 원인 : 개인정보 관리 부주의로 게시판에 개인정보가 포함된 자료 업로드 엑셀의 셀 숨기기 기능을 이용하여 셀을 숨기고 게시판에 개인정보 게시 - 28 -

2. 교육(행정)기관 개인정보 유출 사례 ▣ 원인 : 개인정보 관리 부주의로 게시판에 개인정보가 포함된 자료 업로드 OLE개체 삽입 기능을 사용하여 작성한 첨부문서의 그래프를 더블 클릭 시 그래프 작성을 위하여 사용한 개인정보 확인 가능 <첨부문서의 그래프> <그래프 작성 시 사용한 자료> - 29 -

2. 교육(행정)기관 개인정보 유출 사례 ▣ 원인 : 개인정보를 제3자 제공 시, 정보주체의 동의 없이 무단 제공 전 검찰총장 아들 친자 확인을 위해 해당 교육청으로부터 가족관계부 열람 등 본인 동의 없이 개인정보 유출 언론보도 - 30 -

2. 교육(행정)기관 개인정보 유출 사례 ▣ 원인 : 개인정보취급자의 개인정보보호 인식 부족 개인정보가 담긴 학부모의 휴대전화 정보 및 상담기록 정보가 담긴 서류와 일반 서류를 인근 고물상에 판매 학부모 휴대전화 개인정보가 담긴 서류의 파기를 요청 인근 고물상 - 31 -

2. 교육(행정)기관 개인정보 유출 사례 ▣ 원인 : 개인정보취급자의 개인정보보호 인식 부족 초등학교 가정통신문 발송 시, 기초생활수급자의 개인정보 노출 - 32 -

2. 교육(행정)기관 개인정보 유출 사례 ▣ 원인 : 대학 서버 보안설정 취약, FTP서버 모든 파일 웹에서 유출 구글 검색만으로도 해당 대학 6개 학과 학생 및 교수 130명 개인정보 유출 - 33 -

3. 개인정보보호법 위반 및 행정처분 사례 ▣ 2013년 교육(행정)기관 개인정보보호법 위반 사항 대학 정부 및 공공기관 위탁 계약 시 필수사항 미반영 비밀번호 일방향 암호화 미적용 고유식별정보 및 비밀번호 암호화 미적용 내부 관리계획 미 수립 관리자 페이지 안전한 접속수단 미적용 홈페이지 개인정보 노출 비밀번호 작성 규칙 미 적용 계정 공유(권한 관리 미흡) 수집 동의 시 고지사항 미 고지 접근권한 부여∙변경∙말소기록 미관리 수집 동의 시 고지사항 미 고지 처리방침 공개 시 필수항목 누락 위탁업무 수탁사 미공개 개인정보처리시스템 접속기록 미관리 고유식별정보 및 비밀번호 저장∙전송 시 암호화 미적용 내부 관리계획 미 수립 업무용 PC 고유식별정보 암호화 미적용 - 34 -

3. 개인정보보호법 위반 및 행정처분 사례 ▣ 개인정보보호법 위반에 따른 행정처분 강화 대학교에서 학생의 개인정보 수집 동의 시 필수사항 미고지 (개인정보보호법 제15조 “개인정보 수집·이용” 위반) 위반사례 1 행정처분 : 5천만원 이하의 과태료 부과 개선방안 : 정보주체 동의 시 필수 고지항목 고지 필요 (①개인정보 수집·이용 목적 ②수집 개인정보 항목 ③ 보유 및 이용 기간 ④ 동의 거부 권리 및 불이익의 내용) 공공기관 민원신청 게시판의 비밀번호 설정 및 전송 시 암호화 미조치 (개인정보보호법 제29조 “안전조치의무” 위반) 위반사례 2 행정처분 : 3천만원 이하의 과태료 부과 개선방안 : 안전한 비밀번호 작성 규칙 적용 및 암호화 적용 ① 영문·숫자 ·특수문자 2가지 조합 시 최소 10자리 이상 ② 영문·숫자 ·특수문자 3가지 조합 시 최소 8자리 이상 - 35 -

4. 개인정보보호 강화 방안 ▣ 교육사이버안전센터 사이버공격 대응 방안 활용 개인정보처리시스템에 대한 보안강화 보안 관리시스템에 대한 관리자 및 업데이트 서비스 외 접근 차단 정보시스템 계정의 비밀번호 복잡성 유지 및 정기적 변경 정보시스템의 불필요 서비스 중지 및 포트 차단 정기적인 모의 훈련(모의침투, 재난 복구 등) 실시 정보시스템 재개편 시 보안 취약점 점검 실시 중요 개인정보 DB 암호화 개인정보가 저장된 PC의 보안강화 주요 응용프로그램(한글, PDF, JAVA 등) 최신 보안 패치 강화 불필요한 응용 프로그램 설치 금지 최신 엔진의 백신 사용 및 정기적인 수동검사 실시 관리자 PC 공개용 보안소프트웨어 사용 지양 및 인터넷 차단 - 36 -

교육(행정)기관 개인정보 보호책임자(CPO)의 4. 개인정보보호 강화 방안 ▣ 개인정보 보호책임자(CPO)의 개인정보 관리·감독 역량 강화 개인정보보호를 위해 가장 필요한 것! 교육(행정)기관 개인정보 보호책임자(CPO)의 개인정보보호를 위한 관심과 책임감이 중요! 개인정보보호 계획 수립 및 시행 개인정보 유출예방 침해 대응 강화 개인정보 처리실태 관리·감독 철저 - 37 -

감사합니다