개인정보처리와 개인정보보호 2017년 2월
개인정보처리와 개인정보보호 개인정보 유출사고 방지의 중요성
개인정보처리와 개인정보보호 대규모 유출사고가 지속적으로 반복 주요 사고 사례 원인 및 피해 규모 해킹, 내부유출, 위탁업체 관리 소흘 등이 주요원인 주요 사고 사례 원인 및 피해 규모 시기 발생기업 발생원인 피해규모 유출정보 제재조치 등 ’10.3 OOO몰 등 25개 업체 해킹 2,000만명 주민번호, ID, 비밀번호 등 업체별 유출수준에 따라 과태료부과 ’11.8 OO카드 내부유출 80만명 주민번호 앞자리 등 기관주의 및 유출직원 면직 ‘12.7 OO 870만건 주민번호, 휴대폰번호, 요금제등 과징금, 시정조치 명령 ‘14.1 카드3사 위탁업체 유출 8,700만건 주민번호, 신용카드번호, 결제계좌 등 3개월 영업정지 및 각 사에 과태료 600만원 부과 ‘14.3 1,170만건 주민번호, 유심카드번호 등 과징금 7천만, 과태료 1천5백만 시정명령
개인정보와 위탁과 개인정보보호 잇따른 개인정보 유출 사고 발생 증가와 그 배경 불법정보에 대한 수요 금융거래 편의성, 효율성 중시 낮은 수준의 제재 금융소비자 권리 경시 일부 회사의 허술한 정보보안 형식적 가이드라인 그림출처: 구글 이미지 검색
개인정보처리와 개인정보보호 개인정보 유출사고 방지를 위한 노력 개인정보 유출로 인한 비즈니스 위험이 증가하고 사회적 경각심이 증대되고 있습니다. 일련의 개인정보 유출사태 발생 이전부터 한국보험금융㈜는 개인정보 보호강화 및 정보 유출 방지를 위해 노력하여 왔습니다. 현재 실시 중인 ‘개인정보처리 현황 점검’을 비롯하여 차별화된 노력을 더해갈 예정입니다. 개인정보 유출사고 위험 최소화를 위해 한국보험금융㈜의 지점관계자 여러분의 긴밀한 협조와 관심을 요청 드립니다. 그림출처: 구글 이미지 검색
개인정보처리와 개인정보보호 개인정보 유출 시 문제점 회사의 피해 고객의 피해 고객의 이탈, 잠재고객의 외면, 경쟁상대의 비방대상 가능성 기술적•관리적 보호조치 위반으로 인한 수사, 행정조사 및 과태료 부과 가능성 피해자에 의한 집단 손해배상 소송 제기 가능성 피해자 집단 손해배상 패소 시 천문학적 배상금 및 소송비용이 발생 승소하더라도 고객의 이탈, 기업이미지 실추 사건 발생부터 소송종결까지 언론 보도 및 인터넷 게시글을 통한 기업이미지 실추 유출 사실을 이용한 협박, 공갈 사건의 가능성 고객의 피해 각종 범죄 노출 우려로 인한 정신적 피해 각종 범죄와 사기에 악용되어 물질적 피해 불법 매매, 명의도용(금융계좌, 휴대폰 개설, 사이버 머니 판매) 신분증 위조, 보이스 피싱, 스미싱, 유괴 등
개인정보처리와 개인정보보호 개인정보 유출사고 발생시 제재
개인정보 유출사고 발생 시 제재사항(패널티) 금융당국의 엄정한 제재를 통한 정보의 불법유출•활용 등 유사범죄 재발방지 의지 개인정보처리와 개인정보보호 개인정보 유출사고 발생 시 제재사항(패널티) 금융당국의 엄정한 제재를 통한 정보의 불법유출•활용 등 유사범죄 재발방지 의지 징벌적 과징금 도입 및 형벌, 과태료 등의 제재가 대폭 강화될 예정 특히 주민번호 불법활용 또는 유출 시 일반 개인정보 유출 시보다 과태료•과징금 부과 가중예정 • 개인정보 유출 및 불법활용 시 형벌 수준 대폭 상향 예정(금융관련법 최고 수준 적용) 구분 신용정보법(안) 전자금융거래법(안) 개인정보보호법 적용대상 신용정보제공•이용자 (은행, 카드 등) 전자금융거래정보처리자 모든 개인정보처리자 정보 유출자 형량 10년 이하 징역 또는 1억원 이하 벌금 5년 이하 징역 또는 5천만원 이하 벌금 • 개인정보 유출방지 주의의무 위반 시 과태료 수준 대폭 강화 예정 구분 신용정보법(안) 전자금융거래법(안) 위반사항 정보유출방지를 위한 보안장치 미비 식별정보 암호화 조치 미비 •정보폐기 의무 위반 안전성 확보의무 위반 과태료 수준 600만원 → 5천만원 3천만원(신설) 5천만원(신설)
개인정보처리와 개인정보보호 지점이 갖춰야 할 요건
안전성 확보조치 준수 및 자체점검 실시(물리적 점검 등) 개인정보처리와 개인정보보호 지점이 갖춰야 할 요건 1 개인정보보호 내부지침 수립 개인정보 활용 통제 및 전담 관리자 지정하고 내부관리지침 수립 후 주기적 검토해야 함 내 부지침을 통하여 관련 법령 및 규정을 준수하고 회사의 개인정보 보호활동을 실행해야 함 안전성 확보조치 준수 및 자체점검 실시(물리적 점검 등) 자체점검을 통해 다음의 내용을 점검하여 필요시 보완조치를 시행해야 함 안전성 확보를 위한 차등 열람권한 설정, 암호화, 데이터 송수신 전용회선 사용 등 보안조치 여부 개인정보 접근 권한의 무단 양도 및 대여 발생여부 확인 업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위 금지 정당한 권한 없이 또는 허용된 권한을 초과하여 개인정보 훼손, 멸실, 변경, 위조 또는 유출 행위 방지
개인정보 처리 제한 범위의 준수_계약 기간 및 계약 종료 후까지 개인정보처리와 개인정보보호 지점이 갖춰야 할 요건 2 자체교육 실시 고객 신용정보 보호에 대한 교육을 정기적으로 실시함으로써 정보의 오·남용 발생을 예방할 의무 존재 개인정보 처리 제한 범위의 준수_계약 기간 및 계약 종료 후까지 개인정보는 지점업무 수행 목적 범위를 넘어 다른 용도 사용 불가, 제3자에의 제공, 유포 금지 한국보험금융㈜의 사전 승인 없이 업무 목적 외에 (또는 다른 매체로) 저장, 출력 혹은 복사·가공 금지 계약관계 종료 시 폐기 계약 종료시 한국보험금융㈜의 고객정보 일괄 폐기
개인정보처리와 개인정보보호 한국보험금융㈜의 지점관리방안
지점 대상 정기적 교육 및 자체 점검• 자체교육 확인서 관리 개인정보처리와 개인정보보호 한국보험금융㈜의 개인정보 위탁업체 관리방안 수립 및 운영 지점 개인정보처리 현황 점검 ’개인정보처리 관련 지점 리스트’ 관리 및 ‘개인신용정보 보안관리 약정서’ 체결 여부 확인 지점 개인정보보호 체크리스트 배부를 통해 업체별 이행 여부 점검 점검 결과 부적정 항목에 대해서는 필요 시 개선 계획 수립 요청 지점 대상 정기적 교육 및 자체 점검• 자체교육 확인서 관리 지점를 위한 맞춤형 교육 자료 제공 지점장 및 내부 직원에 대한 개인정보보호 교육 실시 확인서명 징구 지점 방문 실사 점검 실시 개인정보보호 내부지침 수립여부 확인 안전성 확보 조치와 보안관리 상태, 폐기 상태를 점검
개인정보처리와 개인정보보호 사전승인 없는 위탁 금지
개인정보처리와 개인정보보호 사전승인 없는 위탁의 금지 지점은 한국보험금융㈜의 사전승인 없이 계약상의 권리와 의무의 전부 또는 일부를 제3자에게 양도하거나 위탁 할 수 없음 위탁 시 당해 위탁 계약서와 함께 그 사실을 사전에 한국보험금융㈜에 통보하고 승인취득
개인정보처리 위탁과 개인정보보호 사용목적 종료시 철저한 파기
참고 : 한국보험금융㈜ 의 지점 대상 개인정보 파기 확인서 요청기준 (‘이용 목적 충족 시’ → 구체화) 개인정보처리 위탁과 개인정보보호 사용목적 종료시 철저한 파기 파기 혹은 반납 대상 개인정보 판단의 기준 사용 또는 보관 기간이 정해진 경우: 기간 종료 직후 즉시 정보 파기 혹은 한국보험금융㈜에 반납 별도 보유기간 미정 시: 이용목적 충족된 즉시 정보 파기 혹은 한국보험금융㈜에 반납 계약해지 또는 계약기간 만료 시 즉시 파기 혹은 한국보험금융㈜에 반납 참고 : 한국보험금융㈜ 의 지점 대상 개인정보 파기 확인서 요청기준 (‘이용 목적 충족 시’ → 구체화) 지속적 거래 업무: 매월 말일 기준으로 개인정보 파기 후 그 결과를 1개월 이내에 제출하도록 요청 일회성 거래 업무: 이벤트 종료 후 즉시 개인정보 파기 후 그 결과를 1개월 이내에 제출하도록 요청
개인정보처리 위탁과 개인정보보호 바람직한 파기 방법 전자문서파일 형태 인쇄물 형태 불필요한 개인정보 데이터가 시스템, PC, 매체상에 전자문서파일 형태로 저장되어 있는 경우에는 재생할 수 없도록 완전하게 삭제 인쇄물 형태 불필요한 개인정보가 인쇄물형태로 존재하는 경우에는 문서 파쇄기로 파기 그림출처: 구글 이미지 검색
개인정보처리 위탁과 개인정보보호 업무참고용 간단 체크리스트
저장 이용 수집 제공 폐기 개인정보처리 위탁과 개인정보보호 간단 체크리스트 요약 1 잠금장치가 있는 캐비닛, 서랍장 등에 안전하게 보관하는 가? 적절한 보안장치(윈도우 보안패치 자동 업데이트, 바이러스 백신 설치 등)를 성정했는가? 업체 자체 정보처리 시스템의 경우 접근, 활용을 기록, 관리하는 가? 정보 처리 시스템의 로그인 패스워드는 숫자, 특수문자 또는 영문 을 혼용하는 가? 저장 이용 한국보험금융㈜와 개인정보를 송수신시 보완장치를 하는가? 수집 제공 한국보험금융㈜로 부터 제공받은 개인정보 이용자가 제한되어 있는가? 대량조회가능자 현황과 접근 권한을 관리하는 가? 업무 무관자가 임의 열람 불가하도록 보안조치를 취했는가? 한국보험금융㈜의 승인 없이 업무 목적을 벗어나 저장, 출력, 복사, 가공 하고 있지는 않은가? 고유식별정보 및 민감정보에 대해 암호화등 추가 보호대책을 마 련하고 있는가? 폐기
저장 이용 수집 제공 폐기 개인정보처리 위탁과 개인정보보호 간단 체크리스트 요약 2 사용, 보관기간 만료시 적절히 폐기, 반환하는가? 사용, 보관 기간 미정시 이용 목적이 충족된 즉시 정보를 폐기하거 나 한국보험금융㈜에 반환하는가? 개인신용정보를 폐기한 경우 그 결과를 1개월 이내에 서면으로 통 보하는 가? 퇴사자 발생시 정보처리 시스템에 접근 가능한 해당 ID를 즉각적 으로 삭제하는가? 저장 이용 수집 제공 폐기 제3자에게 개인정보처리를 재위탁 할 경우 한국보험금융㈜의 사전 승인을 득하고 있는가? 위탁시 적절한 보안조치를 취하는 가?
Thank you