2013년 개인정보처리취급자 교육.

Presentation on theme: "2013년 개인정보처리취급자 교육."— Presentation transcript:

1 2013년 개인정보처리취급자 교육

2 배경 개인정보란? 4대 고유식별정보란? 개인정보처리취급자란?
개인정보보호 배경 및 용어정의 배경 2011년 3월29일 공포, 9월30일 법령시행, 시행령/규칙 제정, 10월 지침/기준 고시 개인정보 수집 및 처리업무를 정비 시행하여 법령에 따라 개인정보를 보호하기 위함 개인정보란? 생존하는 특정 개인을 식별하거나 식별할 수 있는 모든 정보 즉, 성명,주소,연락처,주민번호,비밀번호 등 개인을 식별할 수 있는 모든 정보 (엔디에스의 개인정보 관리대상은 現 대통령령으로 지정된 4대 고유식별정보만 적용) 4대 고유식별정보란? 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 개인정보처리취급자란? 개인정보를 부서에서 가장 많이 취급하는 담당자  개인정보보호법의 규정은 법적 권고사항이 아니라, 의무사항임

3 개인정보를 수집·이용할 수 있는 경우 (법 제15조)
개인정보 수집·이용 및 제한 개인정보를 수집·이용할 수 있는 경우 (법 제15조) 정보주체의 동의를 받은 경우 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 공공기관이 법령에서 정한 소관업무 수행을 위해 불가피한 경우 정보주체와의 계약 체결·이행을 위해 불가피한 경우 정보주체 등의 생명, 신체, 재산의 이익 보호 (사전동의 받기 곤란한 경우) 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 처벌규정 위반 시 5천만원 이하의 과태료 필요 최소한의 개인정보 수집 (법 제16조) 개인정보처리자는 수집목적에 필요한 최소한의 개인정보를 수집 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담 개인정보처리자는 정보주체가 필요 최소한의 정보 외의 개인정보 수집에 동의 하지 않는다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부 금지 처벌규정 위반 시 3천만원 이하의 과태료

4 개인정보 수집·이용·제3자 제공 기준 개인정보 수집·이용 개인정보 제공 목적외 이용·제공 1. 정보주체의 동의를 받은 경우
2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 3. 공공기관이 법령에서 정한 소관 소관업무를 위해 불가피한 경우 4. 정보주체와의 계약 체결이행에 불가피한 경우 5. 정보주체등의 생명, 신체, 재산의 이익 보호 6. 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 1. 정보주체의 동의를 받은 경우 2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 3. 공공기관이 법령에서 정한 소관 소관업무를 위해 불가피한 경우 5. 정보주체등의 생명, 신체, 재산의 이익 보호 1. 정보주체의 별도 동의를 받은 경우 2. 다른 법률의 특별한 규정 3. 명백히 정보주체 또는 제3자의 생명, 신체,재산의 이익에 필요한 경우 4. 통계작성 및 학술연구 목적에 필요한 경우로 특정개인을 알아볼 수 없는 형태로 제공하는 경우 처벌규정 처벌규정 처벌규정 위반 시 5천만원 이하의 과태료 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금 ※ 개인정보 수집·이용은 폭넓게 인정하되, 제공, 목적외 이용·제공 기준은 요건을 엄격히 규정하여 차등화

5 민감정보 및 고유식별정보 처리제한 내용 세부사항
민감정보 및 고유식별정보의 처리는 원칙적으로 금지 (법 제23조, 제24조) 정보주체에게 별도 동의를 얻거나, 법령에서 구체적으로 허용된 경우에 한하여 예외적으로 처리 허용 ※ 민감정보 : 사상, 신념, 노동조합, 정당가입, 건강 등 사생활 침해 우려가 현저히 높은 개인정보 ※ 고유식별정보 : 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보 세부사항 민감정보의 범위 (영 제18조) ① 유전자 검사에 따른 유전정보 ② ‘형의 실효 등에 관한 법률’에 따른 범죄 경력 정보 고유식별정보의 범위 (영 제19조) ① 주민등록번호 (「주민등록법」제7조제3항) ② 여권번호 (「여권법」제7조제1항제1호) ③ 운전면허번호 (「도로교통법」제80조) ④ 외국인등록번호 (「출입국관리법」제31조제4항) 처벌규정 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금

6 영상정보처리기기의 설치·운영 제한 ① 내용 영상정보처리기기는 공개된 장소에 특정 목적으로만 설치·운영 (법 제25조제1항)
<영상정보처리기기 설치·운영 허용 사유> 1) 법령에서 구체적으로 허용하는 경우 2) 범죄예방 및 수사 3) 시설안전 및 화재예방 4) 교통단속 ) 교통정보의 수집·분석 및 제공 처벌규정 위반 시 3천만원 이하의 과태료 목욕실, 화장실, 탈의실 등 개인 사생활을 현저히 침해할 우려가 있는 장소에는 영상정보처리기기 설치·운영 금지 (법 제25조제2항) - 다만, 교정시설, 정신의료기관에는 설치·운영 허용 (영 제22조제1항) 처벌규정 위반 시 5천만원 이하의 과태료 영상정보처리기기 설치목적과 다른 목적으로 영상정보처리기기를 임의 조작, 다른 곳을 비추는 행위, 녹음기능 사용 금지 (법 제25조제5항) 처벌규정 위반 시 3천만원 이하 징역 또는 3천만원 이하 벌금

7 영상정보처리기기의 설치·운영 제한 ② 안내판 설치 영상정보처리기기 운영관리방침 수립 ※ 개인정보 처리방침으로 대체 가능
정보주체가 쉽게 인식할 수 있도록 안내판 설치 (법 제25조제4항, 영 제24조) <안내판 기재사항> 1) 설치목적 및 장소 ) 촬영범위 및 시간 ) 관리책임자 및 연락처 건물 안에 다수의 영상정보처리기기 설치시, 출입구 등 잘 보이는 곳에 해당 시설·장소 전체가 설치지역임을 표시하는 안내판 설치 다음의 경우, 안내판 설치에 갈음하여 인터넷 홈페이지에 기재사항 게재 <안내판 설치 예외> 1) 공공기관이 원거리 촬영, 과속, 신호위반단속 등 목적으로 설치하는 경우 2) 장소적 특성으로 안내판 설치가 불가능하거나 설치하더라도 정보주체가 쉽게 알아볼 수 없는 경우 처벌규정 위반 시 1천만원 이하의 과태료 영상정보처리기기 운영관리방침 수립 <운영관리방침 포함사항 (영 제25조)> 1) 설치근거 및 설치목적 2) 설치대수, 설치위치, 촬영범위 3) 관리책임자, 담당부서 등 4) 촬영시간, 보관기간, 보관장소, 처리방법 5) 운영자의 영상정보 확인방법 및 장소 6) 정보주체의 영상정보 열람 등 요구에 대한 조치 7) 기술적,관리적,물리적 조치 등 ※ 개인정보 처리방침으로 대체 가능

8 개인정보 처리방침 수립 및 공개 내용 개인정보처리방침 공개방법 <개인정보처리방침 포함사항>
개인정보처리자는 개인정보처리방침을 수립·공개(법 제30조제1항, 영 제31조제1항) <개인정보처리방침 포함사항> 1) 개인정보 처리목적 2) 개인정보 처리 및 보유기간 3) 개인정보 제3자 제공에 관한 사항 4) 개인정보 처리 위탁에 관한 사항 5) 정보주체의 권리·의무 및 행사방법에 관한 사항 6) 처리하는 개인정보항목 7) 개인정보 파기에 관한 사항 8) 개인정보 안전성 확보조치에 관한 사항 개인정보처리방침 공개방법 인터넷 홈페이지 첫화면 또는 첫화면과 직접 연결되는 화면에 게재 <인터넷 홈페이지 게재 불가시 공개방법 (영 제31조제3항)> 1) 사업장 등의 보기 쉬운 장소에 게시 ) 관보, 신문 게재 3) 연 2회 이상 발생하는 간행물, 소식지 등에 게재 ) 재화용역을 제공하기 위해 작성한 계약서에 게재하여 발급 처벌규정 위반 시 1천만원 이하의 과태료

9 개인정보보호책임자(CPO : Chief Privacy Officer)의 지정
내용 개인정보처리자는 개인정보 처리에 관한 업무를 총괄·책임지는 개인정보 보호책임자를 지정 (법 제31조) <개인정보 보호책임자 업무> (법 제31조제2항, 영 제32조제1항) 1) 개인정보 보호계획 수립·시행 ) 개인정보 처리실태 및 관행의 정기적 조사·개선 3) 불만의 처리 및 피해구제 ) 유출 및 오남용 방지를 위한 내부통제시스템 구축 5) 개인정보 보호 교육계획 수립·시행 ) 개인정보파일 보호 및 관리· 감독 7) 개인정보처리방침 수립·변경 및 시행 8) 개인정보 보호 관련 자료의 관리 9) 처리목적이 달성되거나 보유기간이 경과한 개인정보 파기 지정요건 개인정보 보호책임자 지정요건 (영 제32조제2항) ① 공공기관은 기관별 직급 명시 (개인정보처리 담당부서의 장) ② 공공기관 외의 개인정보처리자의 경우 개인 사업주, 대표자, 정보처리 업무를 담당하는 부서의 장, 개인정보 보호에 관한 소양이 있는 사람 중 어느 하나를 지정 처벌규정 위반 시 1천만원 이하의 과태료

10 개인정보의 안전성 확보조치 내용 세부사항 (영 제30조) 개인정보가 분실·도난·유출·변조·훼손되지 않도록 안전성 확보에 필요한
기술적·관리적·물리적 조치 이행 (법 제29조) 세부사항 (영 제30조) 관리적 보호조치 - 내부관리계획 수립·시행 기술적 보호조치 - 접근통제 및 접근권한 제한 조치 - 개인정보의 안전한 저장·전송을 위한 암호화 또는 이에 상응하는 조치 - 접속기록의 보관 및 위·변조 방지조치 - 보안프로그램의 설치 및 갱신조치 물리적 보호조치 - 개인정보 안전한 보관을 위한 보관시설 마련 또는 잠금장치 설치 처벌규정 미이행시 3천만원 이하의 과태료, 미이행으로 인한 유출시 2년 이하 징역 또는 1천만원 이하 벌금  내부관리계획은 CPO의 승인하에 시행/공표하며, 개인정보 처리취급자 뿐만 아니라, 전 임직원이 공유해야 한다.

11 개인정보 처리업무 위탁 기준 내용 홍보 및 판매권유 위탁 위탁자 및 수탁자의 책임
제3자에게 개인정보 처리업무 위탁시, 문서에 의하여야 함 (법 제26조, 영 제28조) 개인정보처리자는 위탁사실을 정보주체가 쉽게 확인토록 공개 (법 제26조제2항) 위탁자의 인터넷 홈페이지 첫화면 또는 첫화면과 직접 연결되는 화면을 통하여 공개사항을 게재 (영 제28조제2항) 홍보 및 판매권유 위탁 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁 시 위탁사실을 정보주체에게 고지 (법 제26조제3항) 고지방법 (영 제28조제4항) 서면, 전자우편, FAX, 전화, 문자 또는 이에 상당하는 방법 위탁사실을 과실없이 고지할 수 없는 경우 (영 제28조제5항) - 위탁사실을 인터넷 홈페이지에 30일 이상 게재(홈페이지가 없는 경우 사업장 등에 게재) 위탁자 및 수탁자의 책임 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 감독 (법 제26조제4항) 수탁자가 위탁받은 업무와 관련하여 이 법을 위반하여 손해배상책임 발생시, 수탁자를 개인정보처리자의 소속직원으로 간주 (법 제26조제6항) 처벌규정 위반 시 3천만원 이하의 과태료

12 영업양도 등에 따른 개인정보 이전제한 내용 고지방법 (영 제 29조)
개인정보처리자는 영업의 전부, 일부의 양도·합병 등으로 개인정보를 다른 사람에게 이전하는 경우, 다음 사항을 정보주체에 고지 (법 제27조제1항) <영업양도 등 고지시항> 1) 개인정보 이전사실 2) 개인정보를 이전 받는 자(영업양수자 등)의 성명, 주소, 전화번호, 연락처 3) 정보주체가 개인정보 이전을 원하지 않는 경우 조치할 수 있는 방법 및 절차 개인정보처리자가 통지한 경우, 영업양수자 등은 고지의무 면제 고지방법 (영 제 29조) 서면, 전자우편, FAX, 전화, 문자전송 또는 이에 상당하는 방법 과실 없이 정보주체에게 고지할 수 없는 경우 해당 사항을 인터넷 홈페이지에 30일 이상 게재 (인터넷 홈페이지가 없는 경우에는 사업장 등의 보기 쉬운 장소에 게재) 처벌규정 위반 시 1천만원 이하의 과태료

13 개인정보 파기조치 내용 파기방법 (영 제`16조) 보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을
때는 지체 없이 (5일 이내) 개인정보 파기 (법 제21조, 표준지침 제11조) 다만, 다른 법령에 따라 보존해야 하는 경우에는 미파기 소비자 분쟁처리 관련 기록(3년), 요금정산(5년), 계약 및 청약철회(5년) : 전자상거래법 의료기록부(10년), 진단서 등의 부본(3년) : 의료법 시행규칙 파기방법 (영 제`16조) 개인정보가 복구 또는 재생되지 아니하도록 파기 - 전자적 파일 형태 : 복원이 불가능한 방법으로 영구 삭제 ※ 복원이 불가능한 방법 : 사회 통념상 현재 기술 수준에서 적절한 비용이 소요되는 방법 (표준지침 제11조제2항) - 기록물, 인쇄물, 서면 등 : 파쇄 또는 소각 처벌규정 위반 시 3천만원 이하의 과태료

14 개인정보의 기술적/관리적 보호조치 기준(출력/복사 시 보호조치)
내용 개인정보의 기술적·관리적 보호조치 기준 제7조(출력·복사 시 보호조치) ②정보통신서비스제공자등은 개인정보취급자가 개인정보를 종이로 인쇄하거나, 디스켓, 콤팩트디스크 등 이동 가능한 저장매체에 복사할 경우 다음 각 호의 사항을 기록하고 개인정보관리책임자의 사전승인을 받도록 조치한다. 출력·복사물로부터 다시 출력 또는 복사하는 경우도 또한 같다. 1. 출력·복사물 일련번호 출력·복사물의 형태 3. 출력·복사 일시 출력·복사의 목적 5. 출력·복사를 한 자의 소속 및 성명 출력·복사물을 전달 받을 자 7. 출력·복사물의 파기일자 출력·복사물의 파기 책임자 개인정보의 수집/이용 시 정보주체엑 알려야 하는 사항 내용 제15조(개인정보의 수집ㆍ이용) ② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 1. 개인정보의 수집·이용 목적 수집하려는 개인정보의 항목 3. 개인정보의 보유 및 이용 기간 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

15 국민의 권리 보장 (1) 개인정보 유출통지 및 신고제
국민의 권리 보장 (1) 개인정보 유출통지 및 신고제 내용 개인정보처리자는 개인정보 유출시 지체없이 (5일 이내) 정보주체에게 유출사실 통지 (법 제34조, 표준지침 제27조) 1만명 이상 개인정보 유출시 지체없이 (5일 이내) 행정안전부 또는 한국정보화진흥원, 한국인터넷진흥원에 신고 (법 제34조제3항, 영 제39조) ※ 개인정보 유출에 따른 금융사기, 보이스피싱 등 2차 피해 방지를 위해 전문기관은 기술 지원 통지방법 통지 방법 (영 제40조제1항) - 서면, 전자우편, FAX, 전화, 문자전송 또는 이에 상당하는 방법 - 1만명 이상 개인정보 유출시, 통지와 동시에 인터넷 홈페이지에 7일 이상 게재 (영 제40조제3항) 유출된 개인정보 확산 및 추가유출 방지를 위하여 접속경로 차단, 취약점 점검·보완, 유출 개인정보 삭제 등 긴급한 조치 필요시 해당 조치를 취한 후 정보주체에게 통지 가능 (영 제40조제1항) 처벌규정 통지·신고 미이행 시 3천만원 이하의 과태료

16 국민의 권리 보장 (2) 개인정보 침해신고 내용 개인정보침해신고센터
국민의 권리 보장 (2) 개인정보 침해신고 내용 개인정보에 관한 권리, 이익을 침해받은 사람은 행정안전부장관에게 침해사실을 신고 (법 제62조) 개인정보침해신고센터 행정안전부장관은 개인정보 침해신고의 접수, 처리 등 업무를 효율적으로 수행하기 위하여 한국인터넷진흥원을 개인정보침해신고센터 운영을 위한 전문기관으로 지정 (법 제62조제2항, 영 제59조) <개인정보침해신고센터 업무> (법 제62조제3항) 1) 개인정보 처리와 관련한 신고의 접수, 상담 ) 사실의 조사, 확인 및 관계자의 의견 청취 3) 위의 업무에 딸린 업무 개인정보침해신고센터 ☎ 국번없이 홈페이지 : privacy.kisa.or.kr

17 국민의 권리 보장 (3) 정보주체의 열람, 정정·삭제, 처리정지권 보장
국민의 권리 보장 (3) 정보주체의 열람, 정정·삭제, 처리정지권 보장 내용 정보주체는 자신의 개인정보에 대한 열람, 정정·삭제, 처리정지를 개인정보처리자에 대해 요구할 수 있음 (법 제35조~제37조) 조치사항 개인정보 열람 요구 대응조치 (영 제41조) - 내용적으로 10일 이내에 열람할 수 있도록 조치, - 열람할 수 없는 정당한 사유가 있을 경우 정보주체에게 그 사유를 알리고 열람 연기 (사유가 소멸하면 지체없이 열람) 개인정보 정정·삭제, 처리정지 요구 대응조치 (영 제43조) - 내용적으로 10일 이내에 조치 ※ 처리정지권 (법 제37조) : 정보주체는 공공기관에 등록된 개인정보 파일 중 자신의 개인정보 처리정지 요구 가능 <열람 제한사유> 1) 법률의 규정 2) 타인의 생명, 신체, 재산 침해우려가 있는 경우 3) 공공기관의 조세부과 징수·환급, 교육기관 성적평가·입학자 선발, 채용 시험·보상금 산정·감사조사 업무 처벌규정 위반 시 3천만원 이하의 과태료

18 개인정보보호법 시행대비 10대 점검사항 내용 [방송통신위원회 제공] 1. 무분별한 개인정보 수집 자제
: 인터넷쇼핑몰 등 대다수 업종은 물품을 구매하는 데 있어 주민등록번호나 생년월일은 필요치 않음 불필요하게 주민번호 등 개인정보를 수집하는 경우, 관리소홀로 인해 해킹 등 유출사고 책임이 크게 증가하므로 서비스 제공에 필요한 최소한의 개인정보 수집이 현명하다. 인터넷 사이트에서 동의를 구하는 경우, ‘동의함’으로 미리 설정하여 이용자가 직접 클릭하지 않고도 바로 동의 할 수 있도록 유도해서는 안된다. 2. 개인정보 수집시 서비스제공에 꼭 필요한 필수정보와 선택정보 구분 : 고객정보 수집시 해당 서비스 제공과 관련 없는 개인정보(선택정보)를 수집하지 말아야 한다. 즉, 선택정보를 고객이 입력하지 않았다고 해서 해당 서비스 제공을 거부하는 것은 과태료 3천만원 부과사항임 또한 법적 분쟁시 필수정보(해당 서비스 제공에 필수적인 정보)와 선택정보가 적정한지는 사업자가 입증책임을 부담함 3. 주민등록번호 등 고유식별정보와 종교, 건강정보 등 민감정보는 원칙적 처리금지 : 고유식별정보와 민감정보는 ①정보주체의 별도의 동의 ②법령에서 구체적으로 명시하거나 허용하는 경우를 제외하고 처리할 수 없도록 규제가 강화된다. 수집시 법령에 근거가 있는지, 홈페이지 또는 서식에 별도의 동의서식을 갖추고 있는지 살펴서 법 위반사례가 없도록 한다

19 개인정보보호법 시행대비 10대 점검사항 내용 [방송통신위원회 제공]
4. 홍보판매목적 개인정보 위탁시 고객에게 고지하고 관리책임 철저히 : 홍보, 판매목적으로 개인정보 처리업무를 위탁할 때 고객들에게 고지해야 한다. 예를 들어, 수탁자인 택배회사의 잘못으로 개인정보가 유출되어 피해가 발생한 경우, 위탁자가 손해배상을 해야 한다. 위탁자는 수탁자를 관리 감독할 책임이 부과되므로 수탁자 교육 등을 철저히 이행해야 한다. 5. 개인정보파일은 DB보안 프로그램, 암호화 소프트웨어 등 안전한 방법을 사용하여 보관 : 개인정보파일은 유출되었을 때 명의도용, 불법마케팅, 보이스피싱 등에 악용될 수 있으므로 안전한 방법 으로 보관해야 한다. 안전하게 보관하기 위해서는 개인정보를 암호화하고 DB에 접근권한 제한, 백신 프로그램 설치, 방화벽 등 침입차단시스템을 설치하고 필요한 보호조치를 취해야 한다. 6. 계약청약 철회서, 분쟁처리문서 등 필수 보관시에는 예외사항 준수 : 고객의 개인정보가 담긴 계약서, 청약철회서처럼 보관하고 있지 않으면 불이익을 당할 수 있는 문서를 보관해야 하는 경우에는 법률에서 지정한 예외사항을 숙지하고 이를 준수하는 것이 좋다. ※ 계약청약철회 기록(5년), 소비자 분쟁처리기록(3년) : 전자상거래보호법 7. 이미 수집된 개인정보파일을 이용한 후에는 알아볼 수 없도록 파기 : 개인정보의 보유이용기간이 끝난 경우, 이용목적을 달성한 경우에는 문서를 분쇄하거나 소각해 파기해야 한다. 컴퓨터로 저장된 문서를 가지고 있는 경우라면 로우레벨포맷이나 삭제 소프트웨어 를 사용해서 파기 처리한다.

20 개인정보보호법 시행대비 10대 점검사항 내용 [방송통신위원회 제공]
8. 기존 CCTV에 안내판 설치, 녹음기능 사용여부 확인하여 미비점 보완 : 현재 민간에는 약 280만대의 CCTV가 설치되어 있는데 관리감독 근거법률이 없었으나, 이 법 제정 으로 설치운영이 제한된다. 안내판이 설치되지 않은 경우가 대다수이므로 법 시행 시 안내판 설치, 녹음기능·각도조정 금지, 접근권한 제한 등 안전성 조치를 취해야 한다. (위반 시 과태료 부과) 9. 개인정보보호에 관한 지침, 문서를 명확히 구비하고 열람청구에 대비 : 개인정보보호 관련 문서를 명확하게 구비하지 않았다면, 개인정보가 유출되는 경우에 막대한 손해배상 책임을 질 수 있다. 개인정보 열람청구서 등을 비치하고, 인터넷 웹사이트의 경우 회원정보 열람정정 메뉴, 회원탈퇴 메뉴를 쉽게 찾을 수 있도록 조치한다. 10. 개인정보 유출통지, 집단분쟁조정, 단체소송에 대비 : 개인정보가 유출이 된 경우 정보주체에게 즉시 알리고, 사실확인, 홈페이지 차단, 비밀번호 변경공지 등 초동 조치를 신속히 하여야 한다. 유출 대응을 지연하는 경우에는 과태료가 부과되고, 유출이 확인될 경우 피해자는 분쟁조정위원회에 집단분쟁조정 또는 법원에 권리침해 단체소송을 제기할 수 있으므로 철저히 대비해야 한다. 개인정보보호법 기술적/관리적 보호조치 고시 내 비밀번호는 최소 10자리 이상으로 구성되어야 하며, 연속적 인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않도록 요구함

21 2012년 8월, 개인정보보호법 변경 사항 -. 해킹, 관리자 부주의로 인한 개인정보 사고에 따른 2차, 3차 피해를 줄이고, 주민번호의 불법적 이용을 원천적으로 차단하기 위해, 인터넷상 주민번호 수집/이용이 2012년 8월부터 제한됩니다. 내용 근거 법률 - 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제23조의2(주민등록번호의 사용 제한) (‘12년 8월 시행예정) 제23조의2(주민등록번호의 사용 제한)① 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 이용자의 주민등록번호를 수집ㆍ이용할 수 없다. 1. 제23조의3에 따라 본인확인기관으로 지정받은 경우 2. 법령에서 이용자의 주민등록번호 수집ㆍ이용을 허용하는 경우 3. 영업상 목적을 위하여 이용자의 주민등록번호 수집ㆍ이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우 ② 제1항제2호 또는 제3호에 따라 주민등록번호를 수집ㆍ이용할 수 있는 경우에도 이용자의 주민등록번호를 사용하지 아니하고 본인을 확인하는 방법(이하 "대체수단"이라 한다)을 제공하여야 한다. ※ (76조 과태료)제23조의2 위반하여 필요한 조치를 하지 아니한 자는 3천만 원 이하의 과태료 근거 법률 - 정보통신망 이용촉진 및 정보보호 등에 관한 법률」부칙 제2조(주민등록번호 수집․이용 제한에 관한 경과조치) (‘14년 8월 시행예정) 제2조(주민등록번호 수집ㆍ이용 제한에 관한 경과조치) ① 이 법 시행 당시 주민등록번호를 사용한 회원가입 방법을 제공하고 있는 정보통신서비스 제공자는 이 법 시행일부터 2년 이내에 보유하고 있는 주민등록번호를 파기하여야 한다. 다만, 제23조의2제1항 각 호의 어느 하나에 해당하는 경우는 제외한다. ② 제1항에 따른 기간 이내에 보유하고 있는 주민등록번호를 파기하지 아니한 경우에는 제23조의2제1항의 개정규정을 위반한 것으로 본다.

22 ㈜엔디에스 개인정보보호법 법규준수를 위해 임직원의 지켜야 할 내용
PC의 개인정보 문서 출력시 그룹웨어 내 문서관리함의 보안 폴더에 개인정보 문서 출력 관리대장을 통해 기록 관리 (필요시 그룹웨어 내 문서관리함의 보안 폴더에 있는 양식을 통해 신청 및 기록 관리 요망) ※ ㈜엔디에스에서 現 개인정보로써 유출/반출을 통제하는 항목 : 現 대통령령으로 지정된 4대 고유식별정보 PC의 개인정보 문서 출력시 개인정보 출력을 최소화 할 것 ㈜엔디에스 개인정보 처리취급자는 부서별 1명으로 지정하였고 개인정보 처리 취급자만 개인정보를 수집에서 파기 할 수 있다 개인정보 처리취급자 감사 : 년 1회 감사체크리스트를 통한 감사(부서장 권한) 개인정보 수집/처리/이용등에 관한 업무 및 기타 관련 사항 발생 시 엔디에스 그룹웨어 내 지식품질경영시스템규정개인정보 내부관리규정 문서의 개인정보보호 처리지침을 준수 할 것