2015년 개인정보 관리실태 점검 방향 및 사례 2015. 5. 19.

목차 I. 개인정보보호 합동 점검 체계 II. 주요 점검 현황 및 사례 III. 2015년 관리실태 점검 방향

I. 개인정보보호 합동 점검 체계

> 1. 합동 점검체계 출범 배경 개인정보 유출 및 침해 지속 발생 약 129,0000,000명 51,360,454명 ’11.9 이후 주요 개인정보 유출건수 우리나라 전체인구(’15.2) 사건일 개인정보처리자 피해규모 2011. 4 현대캐피탈 175만명 2011. 7 SK컴즈 3,560만명 2011. 8 삼성카드 47만명 2011. 11 넥슨 1,230만명 2012. 3 SKT/KT 20만명 2012. 5 EBS 400만명 2012. 7 KT 870만명 2013.12 KB, 롯데, 농협카드 8,200만명 2014.2~3 통신사,금융사,쇼핑몰 1,200만명 2014.4 티몬 등 113만명 개인정보 침해신고 상담건수(KISA) *언론 발표 주요 유출 사건

SK컴즈 20만원 위자료 판결시 7조 배상(’14년 매출액의 75배) 2. 개인정보보호 정부 합동점검체계 출범 개인정보 유출 사고에 범정부 차원의 체계적 대응을 위한 개인정보보호 합동점검단 출범(’12.11.8, ’14.말까지 한시적) 3,560만 건 2011.07 해커가 관리자 ID/비밀번호를 탈취 판결소식 이후 집단소송 참여자 급증! SK컴즈 20만원 위자료 판결시 7조 배상(’14년 매출액의 75배) ※ 매출액 : 2,606억(‘11) -> 939억(‘14)

3. 정부 합동점검체계 상시화 개인정보보호 점검 전담부서 설치(’15.1.6) 개인정보 유출 사고에 범정부 차원의 상시적 대응을 위한 개인정보보호 점검 전담부서 설치(’15.1.6)

4. 합동 점검 체계 구성 및 운영 조사 및 점검 <개인정보보호과> 조 직 구 성 개인정보보호 점검 전담부서 설치(’15.1.6) (구성현황) 과장, 총괄(3), 점검기획(5), 행정처분(2), 조사점검(10) - 안행부 및 관계기관 파견인력으로 구성 * 안행부 8, 방통위 2, 금융위.교과부.복지부.경찰청 각 1, 전문기관 3   조사 및 점검 기획 점검 : 취약 분야, 위험 업종 대상 중심 실시, 제도개선 병행 (정기) 특별 점검 : 침해사고, 유출 신고, 언론보도 등 사고 원인조사 및 책임 규명 (수시) <개인정보보호과> 현황 조사분석   모니터링 침해사고, 민원 업종별 개인정보처리현황 개인정보관리실태 개인정보 제공/활용현황 개인정보 유/노출현황 온라인 점검 (취약점 분석) 개인정보 침해신고, 민원 분쟁조정 신청 사고 발생, 언론 보도 등 ▶ KISA, NIA, 리서치 등 ▶ 관계부처/기관 연계 ▶ 경찰, KISA 등

5. 현 점검 체계의 고민 약 380만개 약 71만개 우리나라 전체 사업체 개인정보 처리 사업자 홈페이지 보유 사업체로 추정 약 380만개 약 71만개 현 점검 인력으로 약 1,420년 소요 (연간 500개 기관 현장점검 가능)

II. 주요 점검 현황 및 사례

1. 개인정보 관리실태 점검 현황(12.1 ~ 14.12) 총 1,267개소 점검 및 1,039개소 처분(평균 위반율 82.0%) - 위반건수는 과태료 292건, 시정조치 589건, 개선권고 824건 등 총1,705건 * 현장점검 및 온라인 점검을 포함한 검사기관수 임, *, ** 검사월 기준 통계이며, 행정처분 진행중인 사항이 있어 변동 가능 ※ 업종별 현황

2. 점검 결과 분석 (위반건수 1,705건) < 주요 위반 사항 > 1. CCTV 설치·운영 2. 개인정보보호 안전조치 3. 위·수탁에 따른 사항 4. 수집 및 고지 방법 및 절차 5. 개인정보 미파기 *취급자 감독(28조), 처리방침 공개(30조), 보호책임자 지정(31조), 개인정보파일등록(32조),개인정보영향평가(33조)

3. 점검 결과 분석 시사점 법 위반 중 수탁자 책임형 66% 제공 /위탁 이용 저장 수집 파기 ※ ‘12~’13년 점검결과 494건중 318건 개인정보 유출건 중 수탁자 책임형 76.8% ※ ‘12~’13년 유출사고 56건중 43건 보유기간 침 해 / 유 츌 위 험 수집 파기 제공 /위탁 이용 저장 사업자의 84%가 시스템 개발 및 운영업무 위탁 (IT서비스산업협회, ‘06) 1개 수탁사가 평균 788개 위탁사 개인정보 처리 ※’14년 25개 수탁사 시범점검 결과

4. 점검 사례 (홈페이지 제작 수탁사) 웹호스팅 IT 수탁사 홈페이지 제작 및 호스팅 서비스 병의원 펜션 중소기업 학교.학원 수집에 따른 고지사항 미흡 처리방침 공개 미흡 접근권한 관리(3년) 미흡 접근기록 관리(6개월) 미흡 전송구간 암호화(SSL) 적용 미흡 쇼핑몰 3,000여개 사업자의 홈페이지 호스팅 (100만명 단일 서버/DB) 개인 사업자

*ASP(Application Service Provider) 개인사업자 미용실 고객 이미용 업계 IT 수탁사 미용·피부관리실 고객정보 (성명, 주소, 전화번호, 이메일 등) 고객관리 시스템 ASP PC방 고객 4,000여개 매장의 개인정보(약 1천만명)를 단일 서버/DB에서 운영 PC방 학생 위탁계약 필수사항 누락 접근통제, 접근기록보관 전송시 암호화(SSL) 미적용 개인정보 미파기 *ASP(Application Service Provider) 온라인 응용소프트웨어 임대 사업 학원

4-1. 점검 사례 (의료분야 수탁사) 병·의원 병원고객 의료 IT수탁사 약국 건강보험 관련기관 의료정보업체 보험심사청구 확인 시스템 위탁 사항 고지 미흡 위탁계약시 필수항목 누락 보험 심사 청구 의료 IT수탁사 접근권한(3년) 관리 미흡 접근기록(6개월) 관리 미흡 전송 구간 암호화(SSL) 미흡 EMR(진료기록관리) OCS(처방전달시스템) PACS(영상정보시스템) 보험심사청구시스템 처방전(인쇄) 건강보험 관련기관 약국 처방전시스템 유지보수 위탁 목적외 이용 처방전 (데이터) 의료정보업체

4-2. 점검 사례 (의료분야 수탁사) 2014년 의료기관 수 : 총 86,629개 ※ 건강보험심사평가원(2015.5)

III. 2015년 관리실태 점검 방향

1. 관리실태 점검 전략 처리유형 중대형 SI 업체 업종별 주요 수탁사 자체개발 대기업 SI 개발·운영 위탁 중소기업 개인사업자 처리유형 중대형 SI 업체 자체개발 (공공, 금융, 유통, 제조업 등) SI 개발·운영 위탁 업종별 주요 수탁사 홈페이지 제작 ·웹호스팅 위탁 (중대형 병원, 대학, 대형학원, 스포츠시설, 프렌차이즈 등) 솔루션 구매 및 운영 ASP 서비스 이용 (의원, 이미용실, 학원, PC방, 음식점, 부동산중계소 등)

2. 점검 방향 및 목표 10만 개인정보처리자 점검 부처간 협력 강화 수탁사 중점 점검 민·관 협력 강화 ㅇ해당 부처와의 협력을 통해 공동 점검 추진 ㅇ점검 기법 공유 수탁사 중점 점검 민·관 협력 강화 ㅇ민간 협·단체와 자율점검 협력 ㅇ실태점검 예고 제도 시행 ㅇ업종별 위탁규모가 큰 주요 수탁사 집중 점검 ㅇ시스템 기획·개발단계 부터 법 준수 유도 구분 분야 1분기 2분기 3분기 4분기 월 기획 교육,공공 복지,통신 공공 1 교육 4 비영리단체 7 산업·물류 10 의료 2 전업종 5 중개·생활 8 시설·문화 11 수탁사 공공·교육 3 방송·통신 6 통신·산업 9 정보·문화 12

3. 관리실태 점검 방안 (처리자) 개인정보처리자 민간 협단체 전국 3,000개 병원 전국 60,000개 학원 현장점검 점검 대상 등 사전 협의 민간 협단체 전국 3,000개 병원 전국 60,000개 학원 자율점검 가이드라인 배포 (교육 및 컨설팅 지원) 현장점검 자율점검 및 이행계획 수립 기관은 처분유예 등 인센티브 부여 자율점검표 회원사 미수행 기관은 과태료 등 행정처분 조치 회원사 회원사 자율점검 수행 개선계획 수립 및 이행 유도 ※관련 부처와 공동 점검 추진 개선계획 ------------ ------------------------- 관련업계 전반의 개인정보 보호수준 제고 회원사 회원사

4. 관리실태 점검 방안 (수탁사) (1) 개인정보 처리 사업자 전산개발·운영 수탁자 약 71만개 6,000개로 추정 처리 위탁 공공, 금융, 교육, 복지, 의료, 문화, 정보통신 개인서비스(병의원, 학원, 이미용실, 정비소 등 홈페이지 개발·운영, 고객관리시스템 ASP 진료기록 저장·관리, 서버관리, 본인인증 등 약 71만개 6,000개로 추정 중점 점검 대상은 매출규모 30억 이상 약 2,000개 사업체

4. 관리실태 점검 방안 (수탁사) (2) 관련 부처와 협력하여 IT 수탁사 자율점검 추진 업종별 해당부처와 합동점검반 편성 및 집중 점검 자율점검 안내 자율점검 실시 및 개선 추진 실태점검 실시 SW 개발사(6,000여개)에 자율점검 지침과 점검계획 안내 ※”IT수탁사 개인정보 보호실태 자율점검 지침” ※”개발자 가이드라인” SW개발사 자율 점검 실시 미흡사항 개선 계획수립 및 이행 자율점검 수행 및 개선 기관에 처분유예 등 인센티브 업종별 주요 IT 수탁사 집중 점검 자율점검 미수행 기관은 과태료 처분 추진 ※ 부처 합동점검반 편성 및 운영 예정 4월 5월 수탁자 점검 위탁자 법 준수 제고 위탁자 정보 수집 위탁자 점검

5. 중점 점검 사항 (1) 안전조치 의무 업무위탁에 따른 개인정보 처리제한 개인정보의 안전한 처리를 위한 내부 관리계획의 수립.시행 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 개인정보를 안전하게 저장. 전송할 수 있는 SSL등 암호화 기술의 적용 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조.변조 방지 조치 개인정보에 대한 보안프로그램의 설치 및 갱신 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치 업무위탁에 따른 개인정보 처리제한 수탁사와 문서에 의한 계약 여부(필수사항 7가지 포함) 수탁사를 홈페이지 등에 공개 여부 수탁사에 대한 교육.실태점검 등 관리.감독 여부

5. 중점 검사 사항 (2) 개인정보의 파기 개인정보 수집.이용.제공 개인정보처리방침의 수립 및 공개 목적 달성 및 보유기간 경과 후 개인정보 파기 여부 개인정보의 당초 보유기간 경과 후 관련 법 목적에 따라 보관 시 별도 보관 여부 개인정보 수집.이용.제공 온.오프라인 회원가입 및 각종 게시판에서 개인정보 수집 시 동의 여부 정보주체 동의 시 필수 고지항목 적정 여부 개인정보 제3자 제공 시 정보주체 동의 여부 및 동의 시 필수고지 항목 적정 여부 개인정보 수집 당시의 정보주체 이용.제공 동의 범위를 초과하여 이용.제공 여부 개인정보처리방침의 수립 및 공개 개인정보처리방침의 수립 여부(필수사항 8가지 포함 여부) 개인정보처리방침의 수립 또는 변경 시 정보주체가 쉽게 인지할 수 있도록 공개 여부

6. 올해 강화되는 제도 공급자에게 법을 준수하여 시스템을 공급 하도록 의무조항 신설 및 처벌 강화 ※ 위반건수(‘12~‘13) 분석 결과, 개발 등 공급단계에서 64.4% 위반 건의 사전 예방 가능 법 준수 의무 강화 경각심 고취, 경고적 예방적 효과 달성을 위해 법 위반자 공표 강화 ※ 행정처분 결과 공표 기준 완화 - 공표내용 : 위반행위 내용, 위반행위 한 자, 처분내용 및 결과 위반자 공표 강화 공급 및 수탁 사업자에게 개발직원 대상 자체 교육 의무 부여 ※ 수탁사 직원을 위한 “개인정보처리시스템 개발 및 운영 가이드라인”보급과 병행 추진 직원 교육 의무

개인정보보호 지원센터 : (전화) 02)2131-0111, (홈페이지) privacy.nia.or.kr 개인정보보호 종합포털 : www.privacy.go.kr 개인정보보호 지원센터 : (전화) 02)2131-0111, (홈페이지) privacy.nia.or.kr 개인정보침해 신고센터 : (국번없이) 118, (홈페이지) privacy.kisa.or.kr