찾아가는 정보보호 캠페인 실시 정보보호 바로 알기 !.

Presentation on theme: "찾아가는 정보보호 캠페인 실시 정보보호 바로 알기 !."— Presentation transcript:

1 찾아가는 정보보호 캠페인 실시 정보보호 바로 알기 !

2 개인정보보호의 정의 및 필요성 개인정보보호란? 개인정보보호의 필요성
개인정보 취급자가 정보주체의 개인정보를 정당하게 수집·이용하고 개인정보를 보관, 관리하는 과정에서 내부자의 고의나 관리 부주의 및 외부의 공격으로부터 유출·변조· 훼손되지 않도록 하며, 정보주체의 개인정보 자기결정권(본인 정보 이용, 제공 현황자료 요청)이 제대로 행사되도록 보장하는 일련의 행위 개인정보보호의 필요성 개인정보 유출 등 정신적 피해, 보이스 피싱 등에 의한 금전적 손해, 스팸 메일, 유괴 등 각종 범죄에 노출 우려 개인정보는 기업의 자산 그 자체, 개인정보 유출시 기업 이미지 손상, 집단 손해배상 등으로 기업 경영 타격 정부, 공공행정의 신뢰성 하락으로 사회적 혼란 야기, 국가 브랜드 하락

3 “ 개인정보”란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아 볼 수 있는 정보를 말한다
개인정보보호법상 개인정보의 정의 개인정보보호법 제2조(정의) “ 개인정보”란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아 볼 수 있는 정보를 말한다 개인정보란 ? =“생존하는 개인을 식별할 수 있는 정보” 생존하는 개인에 관한 정보 개인을 식별할 수 있는 정보 개인정보의 주체는 자연인(自然人)이어야 하며, 법인 또는 단체의 정보는 해당되지 않음 사망하였거나 실종신고 등 관계법령에 의하여 사망한 것으로 간주되는 자에 관한 정보는 개인정보로 볼 수 없음 ※ 사자(死者)의 정보가 유족과 관련이 있는 경우는 개인정보에 해당 개인에 대한 사실·판단·평가 등 개인에 관한 모든 정보 특정 개인을 식별하거나 식별 가능하게 하는 정보 예) 지문, 홍채, 주민등록번호, 사진 등 다른 정보와 결합하여 개인을 식별할 수 있는 정보 예) 주소 + 성명 => ***에 사는 특정인 성명 + 전자메일 => ***가 사용하는 메일

4 개인정보 유출 사고 사례 카드사 개인정보 유출 사고(2014)
▪ 유출 규모 : 1억 400만건 ▪ 유출 정보 : 이름, 휴대폰번호, 직장명, 주소, 신용카드 정보 등 ▪ 유출 경로 : 외주 직원이 USB에 개인정보파일 저장 후 불법 반출 개인정보의 안전보관 및 업무상 정상적인 정보 활용에 대해서도 접근과 이용 권한에 대한 강력한 통제 필요 개인정보 보관 및 접근 통제 미흡 이동통신사 개인정보 유출 사고(2014) ▪ 유출 규모 : 410만건 ▪ 유출 정보 : 이름, 주민등록번호, 휴대폰번호, 주소, 결제 계좌번호 등 ▪ 유출 경로 : 휴대폰 판매 대리점에서 개인정보 무단 공유 대량의 고객정보를 다루는 전산담당자와 직원에 대한 집중 관리·감독 실시 외주직원 관리감독 절차 부재 약학정보원 개인정보 유출 사고(2015) ▪ 유출 규모 : 약 47억건 ▪ 유출 정보 : 약국 환자 개인정보(이름, 주민등록번호, 조제정보 등) ▪ 유출 경로 : 약국 의료정보시스템 개발 공급 업체가 불법으로 제약사 등에 환자 개인정보 판매 임직원의 안일한 정보보호 의식 임직원의 정보보호에 대한 중요성 인지 필수 대형병원 수술기록 노출(2016.5) ▪ 유출 정보 : 유방암 수술기록, 병력 등 개인 의료기록 ▪ 유출 경로 : 병원 소속 교수 연구팀이 임상연구를 위해 모아뒀던 환자 정보 공유 사이트 제작과정에서 보안코드 누락으로 정보 노출

5 개인정보 처리단계별 의무사항 개인정보 수집·이용 제공·위탁 저장·관리 파기 정보주체의 동의를 통해 제공 가능
정보주체의 동의를 통해 제공 가능 위탁하는 업무의 내용 및 수탁자 공개 정보주체의 동의를 통해 수집·이용 가능 필요 최소한의 정보 수집 수집한 목적 범위 내 이용 가능 개인정보 수집·이용 제공·위탁 저장·관리 파기 처리목적 달성, 보유기간이 경과한 개인정보는 지체 없이 파기 파기하지 않고 보존해야 하는 경우 다른 정보와 분리 저장·관리 접근통제, 접속기록 보관 등 보호조치 정보주체 권리보장(열람, 정정·삭제, 처리정지)

6 개인정보 수집 이용 개인정보 수집 이용시 정보주체의 동의를 받아야 합니다.
수집/이용 제공/위탁 저장/관리 파기 개인정보 수집 이용시 정보주체의 동의를 받아야 합니다. 직접 또는 우편, 팩스 등의 방법으로 동의서를 전달하고, 날인한 동의서 수령 전화를 통하여 동의 내용을 알리고 동의의 의사표시 확인 인터넷홈페이지 등에 동의내용을 게재하고 정보주체가 동의 여부를 표시 개인 정보를 수집 이용할 수 있는 경우 개인정보를 수집 이용 할 수 있는 경우 필요 최소한의 개인정보 수집 민감정보 및 고유식별정보 처리 제한 인터넷상 주민번호 대체수단 제공 [ 처벌 규정 ] 위반 시, 3천만원 이하의 과태료 주민등록번호 수집 법정주의(14.8.6)

7 개인정보 수집 이용 개인정보 수집 시 다음 사항을 준수합니다 수집 목적에 필요한 최소한의 개인정보를 수집
수집/이용 제공/위탁 저장/관리 파기 개인정보 수집 시 다음 사항을 준수합니다 수집 목적에 필요한 최소한의 개인정보를 수집 최소한의 개인정보 수집이라는 입증책임은 사업자가 부담 정보주체가 필요 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스 제공을 거부 금지 개인정보를 수집 이용 할 수 있는 경우 필요 최소한의 개인정보 수집 민감정보 및 고유식별정보 처리 제한 인터넷상 주민번호 대체수단 제공 [ 처벌 규정 ] 위반 시, 3천만원 이하의 과태료 주민등록번호 수집 법정주의(14.8.6)

8 개인정보 수집 이용 민감한 개인정보 처리시 다음사항을 주의해야 합니다 민감정보 및 고유식별정보의 처리는 원칙적으로 금지
수집/이용 제공/위탁 저장/관리 파기 민감한 개인정보 처리시 다음사항을 주의해야 합니다 민감정보 및 고유식별정보의 처리는 원칙적으로 금지 정보주체에게 별도 동의를 얻거나, 법령에서 구체적으로 허용한 경우(주민번호 제외)에 한하여 처리 가능 ※ 민감정보 : 사상, 신념, 정당가입, 건강정보, 유전정보 등 개인의 사생활에 관한 정보 ※ 고유식별정보 : 주민등록번호, 외국인등록번호, 운전면허번호, 여권번호 등 개인정보를 수집 이용 할 수 있는 경우 필요 최소한의 개인정보 수집 민감정보 및 고유식별정보 처리 제한 인터넷상 주민번호 대체수단 제공 [ 처벌 규정 ] 위반 시, 5년 이하 징역 또는 5천만원 이하 벌금 주민등록번호 수집 법정주의(14.8.6)

9 개인정보 수집 이용 인터넷 회원 가입시 주민번호 대체수단을 제공해야 합니다
수집/이용 제공/위탁 저장/관리 파기 인터넷 회원 가입시 주민번호 대체수단을 제공해야 합니다 사업자는 정보주체가 인터넷 홈페이지를 통해 회원으로 가입할 경우, 주민등록번호 이외의 회원가입 방법을 제공 ※ 주민등록번호 이외의 회원가입 방법 : I-PIN, 공인인증서, 전자서명 등 개인정보를 수집 이용 할 수 있는 경우 필요 최소한의 개인정보 수집 민감정보 및 고유식별정보 처리 제한 인터넷상 주민번호 대체수단 제공 [ 처벌 규정 ] 위반 시, 3천만원 이하의 과태료 주민등록번호 수집 법정주의(14.8.6)

10 개인정보 수집 이용 주민등록번호는 원칙적으로 활용이 금지됩니다 예외적 처리 허용 수집 가능한 사례 수집 불가능한 사례
수집/이용 제공/위탁 저장/관리 파기 주민등록번호는 원칙적으로 활용이 금지됩니다 예외적 처리 허용 - 법령에서 구체적으로 주민등록번호 처리를 요구한 경우 - 정보주체 또는 제3자의 급박한 생명, 신체, 재산이익을 위해 명백히 필요하다고 인정되는 경우 수집 가능한 사례 - 세금 부과 및 과세자료 수집 관리, 환자진료· 약처방 - 임직원 인사관리 및 급여지급, 기부금 영수증 발행 등 수집 불가능한 사례 - 회원관리(홈페이지 가입, 도서대여, 마일리지 카드발급 등) - 본인확인(출입자 관리, 고객센터, 단순 상담), 주차증 발급 등 개인정보를 수집 이용 할 수 있는 경우 필요 최소한의 개인정보 수집 민감정보 및 고유식별정보 처리 제한 인터넷상 주민번호 대체수단 제공 주민등록번호 수집 법정주의(14.8.6) [ 처벌 규정 ] 주민등록번호 유출 시, 과징금 5억원 이하 부과

11 개인정보 제공 위탁 개인정보 처리업무 위탁 기준 1. 개인정보 처리업무 위탁 시, 문서에 의하여 함(계약서 체결)
수집/이용 제공/위탁 저장/관리 파기 개인정보 처리업무 위탁 기준 1. 개인정보 처리업무 위탁 시, 문서에 의하여 함(계약서 체결) 2. 사업자는 위탁 사실을 정보주체가 쉽게 확인토록 공개 ㅇ 인터넷 홈페이지에 지속적으로 공개 ㅇ 인터넷 홈페이지 게재 불가시 공개방법 : 사업장 등의 보기 쉬운 장소게 게시, 신문 게재, 계약서에 게재 등 3. 위탁자 및 수탁자의 책임 ㅇ 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 감독 ㅇ 수탁자가 위탁받은 업무와 관련하여 개인정보보호법을 위반하여 손해배상책임 발생시, 수탁자를 위탁자의 소속 직원으로 간주(수탁자 및 위탁자 모두 책임) [ 처벌 규정 ] 위반 시, 3천만원 이하 과태료 홍보 및 판매권유 위탁 ㅇ 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁 시, 위탁사실을 정보주체에게 고지 ㅇ 고지방법 : 서면, 전자우편, FAX, 전화, 문자전송 등

12 개인정보 제공 위탁 개인정보 제공업무 위탁 계약서 (예시) 업무 위탁시 확인사항 개인정보처리 위탁 시 문서(계약서)에 의합니다
수집/이용 제공/위탁 저장/관리 파기 개인정보 제공업무 위탁 계약서 (예시) 업무 위탁시 확인사항 개인정보처리 위탁 시 문서(계약서)에 의합니다 문서(계약서)에 다음 사항이 포함되어야 합니다 위탁업무의 목적 및 범위 재위탁 제한에 관한 사항 안전성 확보 조치에 관한 사항 개인정보 관리 점검 등 감독에 관한 사항 손해배상 등 책임에 관한 사항 개인정보보호 종합지원 포탈(privacy.go.kr) 참조

13 개인정보 저장 관리 개인정보가 분실 도난 유출 변조 훼손되지 않도록 안정성 확보에 필요한 기술적 관리적 물리적 조치 이행
수집/이용 제공/위탁 저장/관리 파기 개인정보가 분실 도난 유출 변조 훼손되지 않도록 안정성 확보에 필요한 기술적 관리적 물리적 조치 이행 관리적 보호조치 : 내부관리계획 수립(개인정보 처리방침 수립 및 공개 등) 기술적 보호조치 : 접근통제, 방화벽, 백신 등 보안프로그램 설치 물리적 보호조치 : 개인정보의 안전한 보관을 위한 보관시설 및 잠금장치 마련 안전성 확보 조치 정보주체의 열람, 정정 삭제 처리정지권 보장 영상정보처리기기의 설치 운영 제한 [ 처벌 규정 ] 미이행 시, 3천만원 이하의 과태료 미이행으로 인한 정보유출 시, 2년 이하 징역 또는 1천만원 이하 벌금

14 개인정보 저장 관리 개인정보 처리방치 예시 사업장 비치 또는 인터넷 홈페이지 등에 공개 안전성 확보 조치
수집/이용 제공/위탁 저장/관리 파기 개인정보 처리방치 예시 사업장 비치 또는 인터넷 홈페이지 등에 공개 안전성 확보 조치 정보주체의 열람, 정정 삭제 처리정지권 보장 영상정보처리기기의 설치 운영 제한

15 개인정보 저장 관리 정보주체는 자신의 개인정보에 대한 열람, 정정 삭제 처리정지를 사업자에게 요구할 수 있음 대응 조치
수집/이용 제공/위탁 저장/관리 파기 정보주체는 자신의 개인정보에 대한 열람, 정정 삭제 처리정지를 사업자에게 요구할 수 있음 대응 조치 내용적으로 10일 이내에 열람할 수 있도록 조치 열람 제한 사유 법률의 규정, 타인의 생명, 신체, 재산 침해가 우려되는 경우 안전성 확보 조치 정보주체의 열람, 정정 삭제 처리정지권 보장 영상정보처리기기의 설치 운영 제한 [ 처벌 규정 ] 미이행 시, 3천만원 이하의 과태료

16 개인정보 저장 관리 영상정보처리기기기(CCTV)는 공개된 장소에 특정 목적으로만 설치 운영
수집/이용 제공/위탁 저장/관리 파기 영상정보처리기기기(CCTV)는 공개된 장소에 특정 목적으로만 설치 운영 허용 사유 : 법령에서 구체적으로 허용하는 경우, 법죄예방 및 수사, 시설안전 및 화재예방 등 설치목적과 다른 목적으로 임의 조작, 녹음기능 사용 금지 안내판 설치 정보주체가 쉽게 인식할 수 있도록 안내판 설치 (기재사항 : 설치목적 및 장소, 촬영범위 및 시간, 관리책임자 및 연락처) 건물 안에 다수의 영상정보처리기기 설치시, 출입구 등 잘 보이는 곳에 해당 시설 장소가 전체가 설치지역임을 표시하는 안내판 설치 안전성 확보 조치 정보주체의 열람, 정정 삭제 처리정지권 보장 영상정보처리기기의 설치 운영 제한 [ 처벌 규정 ] 위반 시, 3년 이하 징역 또는 3천만원 이하 벌금 안내판 설치 위반 시, 1천만원 이하의 과태료

17 개인정보 저장 관리 안내판 설치 예시 안전성 확보 조치 정보주체의 열람, 정정 삭제 처리정지권 보장
수집/이용 제공/위탁 저장/관리 파기 안내판 설치 예시 안전성 확보 조치 정보주체의 열람, 정정 삭제 처리정지권 보장 영상정보처리기기의 설치 운영 제한

18 개인정보 파기 수집/이용 제공/위탁 저장/관리 파기 개인정보 파기 조치 보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을 때는 지체 없이(5일 이내) 개인정보 파기 다만, 다른 법령에 따라 보존해야 하는 경우에는 미파기 소비자 분쟁 처리 관련 기록(3년), 요금정산(5년), 계약 및 청약철회(5년) : 전자상거래법 파기 방법 전자적 파일 형태 복원이 불가능한 방법으로 영구삭제 기록물, 인쇄물, 서면 파쇄, 소각 [ 처벌 규정 ] 위반 시, 3천만원 이하 과태료

19 정보보안 사고 사례 DDoS 공격 좀비PC 확인하기 좀비PC 확인 방법 자가진단 방법
- 다음 등 12개 기업 16개 웹사이트 공격( ) - 프랑스 에버노트 서비스 마비(2014.6) 좀비PC 확인하기 좀비PC 원격제어가 가능한 봇(Bot) 프로그램이 설치되어 해커(공격자)의 임의대로 조종이 가능한 상태의 PC 확인 방법 한국인터넷진흥원 보호나라 ( 홈페이지 접속 > 점검하기 > 악성 봇 감염 확인 (백신 다운로드도 가능) 자가진단 방법 시작 > 실행 or 검색창에 ‘cmd’ 입력 > 창에 ‘netstat’입력 > 활성화된 IP 주소 중 8080, 135, 9900, 6400 포트가 있는지 여부 확인 ※ 8080, 135, 9900, 6400는 악성 프로그램이 빈번하게 사용하는 포트임

20 정보보안 주요 점검사항 접근 권한의 관리 비밀번호 관리 보안프로그램 설치 및 운영 물리적 접근 통제
개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무담당자에 따라 차등 부여 여부 점검방법 개인정보처리시스템의 Application을 통하여 접근시 업무담당자 별로 접근할 수 있는 권한이 차등 배분되어 있는지 확인 - Application 주요 메뉴, 정보범위, 사용권한(입력, 읽기, 쓰기, 삭제) 등의 차등 부여 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제4조 제1항 (증빙) 개인정보처리시스템 권한 요청/승인서 등 퇴직 등 인사이동이 발생하여 개인정보취급자 변경시 지체 없이 개인정보처리시스템의 접근권한 변경 또는 말소 여부 점검방법 퇴사 시 주요 정보처리시스템ID, 출입토근(지문, 카드 등), PC(노트북) 등 즉시 회수하고 있는지 확인 전보시 주요 인수인계 과정에서 주요 정보처리시스템 내 ID 권한을 회수하고 있는지 확인 외부(협력)/임시 직원의 경우 내부직원과 구별 가능한 계정발급 및 중요정보의 접근권한 제한 여부 확인 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제4조 제2항 (증빙) 접근권한 발급 및 회수 기록

21 정보보안 주요 점검사항 접근 권한의 관리 비밀번호 관리 보안프로그램 설치 및 운영 물리적 접근 통제
비밀번호 작성규칙 수립· 적용 여부 점검방법 개인정보처리시스템 및 PC 계정, 패스워드 생성규칙 확인 개인정보처리시스템 및 PC 계정, 패스워드 목록 확인(실사 포함) ※ 비밀번호 생성 규칙(안정행정부 해설서 기준) - 패스워드문자 종류에 따라 최소 8자리에서 10자리로 구성 - 영문, 숫자, 특수문자, 대문자, 소문자 중 2개 구성 시 10자리 - 영문, 숫자, 특수문자, 대문자, 소문자 중 3개 구성 시 8자리 - 단어로 된 패스워드, 키보드의 연속배열의 패스워드 사용금지 - 6개월 주기로 패스워드 변경 및 변경 시 동일한 패스워드 사용금지 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제5조 (증빙) 계정/패스워드 생성 규칙(지침/매뉴얼)

22 정보보안 주요 점검사항 접근 권한의 관리 비밀번호 관리 보안프로그램 설치 및 운영 물리적 접근 통제
보안 프로그램의 자동 업데이트 기능을 사용 또는 일 1회 이상 업데이트 실시 여부 점검방법 개인정보처리시스템 및 개인정보처리 PC의 OS 보안업데이트 설정과 백신의 보안 업데이트는 실시간 또는 1일 자동업데이트 설정 자동검사 설정은 최소 주1회 이상 PC 전체영역을 대상으로 설정하여야 함 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제8조 제1호 (증빙) 보안프로그램 및 백신프로그램의 보안설정 적용 여부 실사, OS 보안업데이트 등 PC보안실사 악성 프로그램관련 경보 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 이에 따른 즉각적인 업데이트 실시 여부 점검방법 서버 및 중요 정보처리시스템의 경우 원칙적으로 패치 시행 전, 패치에 대한 테스트가 선행되어야 하며 테스트의 안전성 확인 후 적용 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제8조 제2호 (증빙) 시스템(서버) 및 업무용 PC 업데이트 현황(실사), 시스템(서버) 업데이트 대장

23 정보보안 주요 점검사항 접근 권한의 관리 비밀번호 관리 보안프로그램 설치 및 운영 물리적 접근 통제
주요 접근통제 구역(전산실, 문서보관실, 공조시설, 소방시설 등)내 비인가 접근을 통제할 수 있는 접근통제 적용 여부 점검방법 중요 통제구역 출입은 IC카드, 바이오 인증 등 출입통제 장치를 통하여 출입이 제한되어야 하며, 출입통제 장치 부재 시, 출입기록 관리대장 작성 및 담당자가 출입자의 출입목적 달성 시까지 동반하여야 함 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제8조 제2호 (증빙) 시스템(서버) 및 업무용 PC 업데이트 현황(실사), 시스템(서버) 업데이트 대장 개인정보가 포함된 문서 및 저장매체를 물리적으로 통제된 별도의 장소에, 시건 장치가 적용된 설비 내 보관 여부 점검방법 개인정보가 문서로 보관될 경우 지정된 보안구역 내 장소에 보관하여야 하며 보관되는 시설물(케비넷, 금고) 등은 잠금이 가능하여야 함 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제9조 제2항 (증빙) 보호장비/보관장비 목록 및 관리현황, 열쇠관리대장 등 개인정보가 포함된 보조저장 매체의 반출· 입 통제를 위한 보안대책 마련 여부 점검방법 업무 목적이 달성되었을 경우 지체 없이 개인정보파일을 파기하여야 하며 복구 또는 재생되지 아니하도록 조치하여야 함 (관련 법률 및 규정) 개인정보보호법 제21조, 제26조 (증빙) 파기확인서(공문), 파기관리대장, 물품관리대장(PC 등의 불용처분 및 매각관련)

24 정보보호 강화 주요 사례 전산기기 등을 통해 정보 외부 유출 경로 차단 출입정보 전송 전산센터 IT개발실 정보 입력
(관리자 동행) 방문객 등록 전산기기 반입 시 정보 등록 및 스마트폰 봉인 스티커 부착 출입 정보 인식 출입정보 전송 승인 받지 않은 전산기기 반출·입 검색 출입관리 시스템 MDM 금속탐지기 스마트폰 카메라 기능 ON/OFF 추가 X-ray 검색대 1차 출입문 (1층) X-ray검색대 2차 출입문 [은행] [카드] 전산센터 IT개발실

25 정보보호 강화 주요 사례 업무영역 인터넷영역 인터넷망 분리 구 분 업무영역 인터넷영역 인터넷 사용 인터넷 사용 불가
당행 인터넷뱅킹 사이트(kbstar.com) 허용 업무상 필요 사이트는 정보보호부 승인 후 허용 인터넷 사용 가능 인터넷 제한사이트* 외 허용 * 제한사이트 : 음란,도박, 증권, 게임, 웹하드 등 웹메일 사용 가능(사설메일 사용 금지) 파일 이용 인터넷영역으로 파일 이동통제 인터넷영역으로 텍스트 복사/붙여넣기 차단 파일 생성/편집 가능 업무영역으로 파일 이동통제 업무영역으로 텍스트 복사/붙여넣기 가능 파일 편집 불가(보기 기능만 가능)

26 정보보호 강화 주요 사례 이동식 보조기억매체 관리 정책 개별적인 이동식 보조기억매체(USB, 외장HDD 등) 전면 사용 금지
구분 주요내용 비고 인수도 관리 신청자 : USB신청/반납 시 신청기록부에 해당 내용 작성 관리자 : 신청사유 정당성 확인, 매건 승인 후 USB 제공 USB 사용 후 저장된 자료는 반드시 삭제 후 반납 문서관리 보조기억매체(USB) 관리대장 및 사용신청기록부의 보관기간 : 3년 지정 USB 3개

27 정보보호 기본 준수사항 1. 개인정보는 동의 받아 수집 회원, 멥버십 가입 등 고객의 개인정보를 수집할 때에는 동의를 받고,
수집·이용 목적, 수집항목, 보유기간, 거부 시 발생할 수 있는 불이익을 알리고 동의를 받습니다. 개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 확인 철저 첨부파일 확인 철저

28 정보보호 기본 준수사항 2. 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집
개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 확인 철저 첨부파일 확인 철저 2. 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보는 서비스나 업무처리에 꼭 필요한 필수 정보만 수집하며, 주민등록번호나 민감정보는 원칙적으로 수집하지 않습니다.

29 정보보호 기본 준수사항 3. 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지
개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 확인 철저 첨부파일 확인 철저 3. 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보를 당초 수집 목적과 다르게 이용하거나 제3자에게 제공할 경우에는 반드시 고객의 동의를 받아야 합니다.

30 정보보호 기본 준수사항 4. 개인정보처리 업무 위탁 시 위탁사실 공개
개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 확인 철저 첨부파일 확인 철저 4. 개인정보처리 업무 위탁 시 위탁사실 공개 대리점, 위탁점, 콜센터 등 외부에 개인정보의 처리를 위탁하는 경우 홈페이지 또는 사업장에 위탁내용과 수탁자를 공개해야 합니다.

31 정보보호 기본 준수사항 5. 안전한 개인정보 관리 보관
개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 확인 철저 첨부파일 확인 철저 5. 안전한 개인정보 관리 보관 개인정보 내부관리계획을 수립하고, 개인정보 접근통제, 보안 프로그램 등을 설치해야 합니다. 또한, 개인정보 보관 장소의 출입 통제 또는 잠금장치 등을 마련해야 합니다. ※ 단, 상시 근로 5인 미만 사업장은 내부관리계획 수립 면제

32 정보보호 기본 준수사항 6. 개인정보 이용목적 달성 시, 반드시 파기
개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 확인 철저 첨부파일 확인 철저 6. 개인정보 이용목적 달성 시, 반드시 파기 개인정보의 보유기간이 경과하거나, 개인정보의 처리목적이 달성되어 더 이상 불필요한 경우 지체 없이 파기해야 합니다. 또한, 파기 시, 복구 또는 재생되지 않도록 주의합니다.

33 정보보호 기본 준수사항 개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 확인 철저 첨부파일 확인 철저 7. 비밀번호 관리 철저 PC 내 로그인 계정의 비밀번호는 영대문/영소문/숫자/특수문자를 조합하여 사용하며, 8자리 이상으로 설정 및 주기적으로 변경하여 사용해야 합니다.

34 정보보호 기본 준수사항 8. e-Mail 확인 철저 발신인이 불분명하거나 수상한 첨부파일은 열지 말고 모두 삭제하며,
개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 확인 철저 첨부파일 확인 철저 8. 확인 철저 발신인이 불분명하거나 수상한 첨부파일은 열지 말고 모두 삭제하며, 개인정보, 계좌정보 등의 업데이트나 정보변경을 요구하는 이메일을 받으면 클릭하지 말고 해당 회사 사이트에 가서 직접 확인해야 합니다.

35 정보보호 기본 준수사항 개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 확인 철저 첨부파일 확인 철저 9. 첨부파일 확인 철저 악의적이거나 실수에 의한 유출, 복제 등으로 인해 개인정보 또는 중요 정보가 노출되지 않도록 첨부파일에 비밀번호를 설정해야 합니다.

36 정보보호 기본 준수사항 체크리스트 1. 개인정보는 동의 받아 수집
회원, 멥버십 가입 등 고객의 개인정보를 수집할 경우 동의를 받습니까? 수집·이용 목적, 수집항목, 보유기간, 거부 시 발생할 수 있는 불이익을 알리고 동의를 받습니까? ■ Yes, □ No 2. 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 서비스나 업무처리에 필요한 필수 개인정보를 구분합니까? 주민등록번호나 민감정보(사상, 신념, 정치, 건강, 사생활침해 정보)를 수집할 경우, 고객의 명시적, 별도 동의를 받습니까? 3. 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 고객동의를 얻은 업무 외의 다른 업무에 개인정보를 사용하거나 제3자에게 제공하기 위해, 별도의 추가동의를 받고 있습니까? 4. 개인정보처리 업무 위탁 시 위탁사실 공개 대리점, 위탁점, 콜센터 등 외부에 개인정보의 처리를 위탁하는 경우 홈페이지 또는 사업장에 위탁내용과 수탁자가 공개됩니까? 5. 안전한 개인정보 관리 보관 개인정보보호 점검, 교육 등 내부 관리계획을 수립합니까?(상시 근로 5인 미만 사업장 제외) 홈페이지나 업무용 프로그램이 접근권한 관리기능을 지원합니까? 홈페이지나 업무용 프로그램이 개인정보 마스킹(***)기능을 지원합니까? 업무용 PC에 백신 등 보안프로그램이 설치되어 있습니까? 개인정보 보관장소가 잠금장치 등 출입통제 되고 있습니까? 6. 개인정보 이용 목적이 달성 시, 반드시 파기 개인정보의 보유기간이 경과하거나, 개인정보의 처리목적이 달성되어 더 이상 불필요한 경우, 지체 없이 파기할 수 있도록 관리대장을 마련하여 개인정보의 보유기간, 파기방법, 파기여부 등을 관리합니까? 개인정보 파기 시, 문서 세절, 소각, Data 완전삭제 등 복구 또는 재생되지 않는 파기방법을 사용합니까? 7. 비밀번호 관리 철저 PC 내 로그인 계정의 비밀번호를 영대문/영소문/숫자/특수문자를 조합하여 사용하며, 8자리 이상으로 설정합니까? PC 내 로그인 계정의 비밀번호를 주기적으로 변경하고, 별도의 관리대장을 만들어 관리합니까? 8. 확인 철저 발신인이 불분명하거나 수상한 메일은 열람(클릭)하지 말고 즉시 삭제합니까? 연락처, 주소 등의 개인정보나 계좌정보 등의 업데이트나 정보변경을 요구하는 이메일을 받을 경우, 열람(클릭)하지 말고, 해당회사 사이트에 가서 직접 확인합니까? 9. 첨부파일 확인 철저 이메일에 파일을 첨부할 경우, 해당 파일 자체에 암호를 설정하거나, 암호를 설정하여 압축합니까?

37 Thank you ! 감사합니다. 정보보호본부