|
|
정보통신망법 |
개인정보보호법 |
|
비밀번호 |
반기별 1회이상 변경 |
세부내용 없음 |
|
접속기록&접속기록 점검 (계정, 일시, 접속지, 대상계정, 수행업무) |
최소 1년 기록,(6개월 > 1년 변경됨) 월에 1회이상 점검 기간 통신 사업자의 접속기록은 2년이상 보관 |
최소 1년 기록, 월에 1회이상 점검 (5만명이상 정보주체 수 처리하거나, 고유식별정보나 민감정보를 처리하는 경우 2년 보관&관리하여야 한다) |
|
권한부여, 변경, 말소에 대한 기록
|
5년 |
3년 |
|
유출과 신고 |
근거 제27조의 3 규모상관없이 유출 시, 24시간 이내 방통위 or KISA 신고 |
근거 제34조 유출시 지체없이 정보주체에게 고지 (개인정보 유출의 범위 및 경위 등) 1천명이상 유출 시, 정보주체에게 고지 및 행안부 or KISA신고 |
|
업무위탁사실 |
알리고 동의받아야함 |
고지만으로 가능 (위탁사실 공개하고 고지 의무있음) |
|
업무양도 시 |
영업 양도하는 자가 이전사실 알리더라도 이전 받은 자도 이전 사실을 알리도록 규정하고 있음 (양도자, 양수자 모두 고지) |
개인정보처리자는 영업의 전보 또는 일부를 양도하는 경우(개인정보) 미리 정보주체에게 고지하여야 한다.
영업 양수자 등은 개인정보를 이전받았을 때에는 지체없이 정보주체에게 알려야 함(양도자가 이미 알린 경우에는 안해도 된다.)
고지 못할경우 →홈페이지 30일 이상게재
홈페이지가 없을 경우 →사업장내 30일 이상 게재 |
|
개인정보 수집 동의 시 |
1. 개인정보의 수집·이용 목적 2. 수집하는 개인정보의 항목 3. 개인정보의 보유·이용기간 |
1. 개인정보의 수집·이용 목적 2. 수집하는 개인정보의 항목 3. 개인정보의 보유·이용기간 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 |
|
개인정보 수집·이용 시 동의 예외 |
|
1. 법률에 특별한 규정 2. 공공기관이 법령등에서 정하는 소관업무 3. 정보주체와의 계약체결 4. 정보주체 또는 법정대리인이 의사표시를 할 수 없는 상태 5. 개인정보처리자의 정당한 이익 |
|
제공 동의 |
제24조의2 제1항 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 |
제17조 제2항 1. 개인정보를 제공받는 자 2. 개인정보를 제공받는 자의 개인정보 이용 목적 3. 제공하는 개인정보의 항목 4. 개인정보를 제공받늕 자의 개인정보 보유 및 이용 기간 5. 동의를 거부할 권리가 있다는 사실 ㅁ치 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 |
정보주체에게 직접 개인정보 수집동의를 받지않고, 보유한경우 정보주체가 정보이용(?)을 요청할 경우 3일이내 고지해야한다. 사진의 경우 어떻게 처리하느냐에 따라 바이오 정보로 볼 수 있다
1영역 개인정보보호의 이해 (10문제)
2영역 개인정보보호 제도 (20문제)
개인정보의 특별법 목록
정보통신망법, 신용정보보호법, 의료법, 초중등교육법, 위치정보의 보호 및 이용 등에 관한 법률 등
□ OECD 8원칙
1. 수집제한의 원칙
2. 정보정확성의 원칙 (정확, 완전, 최신)
3. 목적의 명확화 원칙
4. 이용제한의 원칙 (다른목적으로 사용하면 안된다)
5. 정보의 안전한 보호에 관한 원칙
6. 공개의 원칙
7. 개인참가의 원칙 (=열람청구권)
8. 책임의 원칙 (다른 7개 원칙들의 시행조치를 이행하는데 책임을 다한다는 것)
□ 개인정보의 처리 제한(민감정보&고유식별정보)
- 고유식별 정보를 처리하는 경우, 행정안전부 장관은 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 경우 정기적으로 조사하여야 한다.
→ 공공기관이거나 or 5만명 이상의 정보주체의 고유식별정보를 처리하는 자 (2년마다 1회 이상 조사하여야 함)
- 법령 등에 따라 주민등록번호를 수집·이용할 수 있는 경우일지라도 이용자의 주민등록번호를 사용하지 아니한 본인 확인 방법(대체수단)의 제공을 의무화하고 있다.
□ 영상정보처리기기의 설치·운영 제한
설치가능한 경우,
→ 법령, 범죄의 예방, 시설안정 및 화재 예방, 교통단속, 교통정보 수집
- 목용실, 화장실, 발한실, 탈의실 > 절대 설치불가
- 교도소, 정신보건 시설 > 법령에 근거하여 설치가능
- 안내판 설치 시 안내할 항목
1. 설치 목적 및 장소
2. 촬영 범위 및 시간
3. 관리책임자 성명 및 연락처
4. 그 밖에 대통령령으로 정하는 사항
- 안내판 설치 아니할수 있는 시설
→ 군사시설, 국가중요시설, 보안목표시설
□ 업무위탁에 따른 개인정보의 처리 제한
- 위탁자의 책임
1. 문서에 의한 업무위탁
2. 위탁사실 공개의무 (업무의 내용과 수탁자를 공개)
3. 위탁사실 공개의무 (망법은 이용자에게 알리고 동의받아야 처리위탁이 가능, 개법은 고지만으로 업무위탁이 가능)
4. 수탁자에 대한 관리·감독의무
5. 수탁자의 불법행위로 인한 손해배상책임 (수탁자를 위탁자의 소속직원으로 봄, 그러므로 관리 잘해야함)
□ 영업양도 등에 따른 개인정보의 이전제한(개보법&망법 동일)
1. 개인정보를 이전하려는 사실
2. 개인정보를 이전받는 자(영업양수자) 의 성명(법인인 경우 법인명칭), 주소, 전화번호, 및 그 밖의 연락처)
3. 정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차
양수인은 받은 개인정보를 목적 범위 내에서만 이용, 제3자 제공할 수 있으며, 범위 외에서 이용, 제공하려면 별도의 동의를받아야 한다.
□ 개인정보 처리방침의 수립 및 공개
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만)
5. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정볼르 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당되는 경우에만)
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
시행령
1. 처리하는 개인정보의 항목
2. 개인정보의 파기에 관한 사항
3. 제30조에 따른 개인정보의 안전성 확보 조치에 관한 사항
홈페이지에 지속적으로 게재 > 홈페이지에 게재할 수 없는 경우 > 사업장에 게시 or 관보or 연2회이상 간행물소식지 홍보지 등에 지속적으로 게시 or 재화나 용역을 제공하기 위하여 개인정보처리자와 정보주체가 작성한 계약서 등에 실어 정보주체에게 발급하는 방법
□ 개인정보 보호책임자의 지정
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 규제
4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
□ 개인정보 유출 통지 및 전문기관 신고(1번~5번, 개보법과 망법이 거의 똑같음)
유출되었음을 알게 되었을 때 지체없이 정보주체에게 고지
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
1000명이상 개인정보가 유출된 경우 위 내용 통지 및 조치결과를 지체없이 행정안전부장관 또는 KISA에 신고하여야 한다. (지체없이 기준은 5일 내로 한정하고 있음) > 홈페이지에 유출사실 7일 이상 게재 > 홈페이지 없는 경우 서면등의 방법과 함께 사업장에 7일이상 게시하여야 함
망법의 경우 정보주체의 연락처를 알 수 없는 경우 홈페이지에 30일 이상 게시 > 홈페이지 없는 경우, 전국 일간지 2곳이상에 1회 이상 공고
□ 정보주체의 권리
정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다)을 요구할 권리
4. 개인정보의 처리 정지, 정정삭제 및 파기를 요구할 권리
5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
개인정보 열람 요구시 개인정보처리자는 10일이내 답변하거나 거절하여야 함
개인정보처리자의 고의 또는 중대한 과실로 인하여, 정보주체에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지아니하는 범위에서 손해배상액을 정할 수 있다.
법원의 배상액을 정할 때 고려할 사항
1. 고의 또는 손해 발생의 우려를 인식한 정도
2. 위반행위로 인하여 입은 피해 규모
3. 위법행위로 인하여 개인정보처리자 취득한 경제적 이익
4. 위반행위에 따른 벌금 및 과징금
5. 위반행위의 기간·횟수
6. 개인정보처리자의 재산상태
7. 개인정보처리자가 정보주체의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
8. 개인정보처리자가 정보주체의 피해구제를 위하여 노력한 정도
□ 법정대리인의 권한
- 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다. 대체로 법정대리인의 성명, 연락처 정도
□ 개인정보 분쟁조정
- 개인정보분쟁조정위원회 > 개인정보와 관련한 분쟁의 조정을 원하는 자는 누구나 개인정보 분쟁조정위원회에 분쟁조정을 신청할 수 있다.
- 개인정보분쟁조정위원회는 원칙적으로 분쟁조정신청일로부터 60일 이내에 조정안을 제시하여야 한다.
- 위원회의 조정안을 양 당사자가 수락한 경우 그 조정내용은 재판상 화해의 효력을 갖는다. 위원회가 제시한 조정안에 대하여 당사작 15일 이내에 수락여부를 알리지 아니하면 조정을 거부한 것으로 본다.7
□ 집단분쟁조정
- 피해입은 정보주체의 수가 50명 이상일 것
- 신청권자 : 집단 분쟁조정을 신청할 수 있는 자는 국가, 지방자치단체, 개인정보 보호단체 및 기관, 정보주체, 개인정보처리자이다.
- 신청권자가 집단분쟁조정을 신청하면 개인정보분쟁조정위원회는 의결로써 집단분쟁조정절차를 개시할 수 있다. 14일 동안 개시를 공고한다.
- 가장 적합한 1인 또는 수인을 대표당사자로 선임할 수 있다.
- 개인정보분쟁조정위원회는 원칙적으로 집단분쟁조정절차의 공고가 종료된 날의 다음날 부터 60일 이내에 이를 심사해서 조정안을 작성해야 한다.
- 당사자가 수락한 조정내용은 재판상 화해의 효력이 있음
□ 단체소송
- 원고 적격 : 개인정보 단체소송을 제기할 수 있는 단체는 소비자단체와 비영리민간단체로 제한
소비자단체
1. 공정거래위원회에 등록한 단체일것
2. 정관에 따라 상시적으로 정보주체의 권익증진을 단체의 주된 목적으로 하는 단체일것
3. 단체의 정회원수가 1천명 이상일것
4. 공정거래위원회에 등록 후 3년 경과하였을 것
비영리민간단체
1. 비영리단체일것
2. 사실상 동일한 침해를 입은 100인 이상의 정보주체로부터 단체소송의 제기를 요청받을 것
3. 정관에 개읹어보 보호를 단체의 목적으로 명시한 후 3년이상 활동실적이 있을것
4. 단체의 구성원수가 5천명 이상일 것
5. 중앙행정기관에 등록되어 있을 것
- 개인정보처리자가 개인정보분쟁위원회의 집단분쟁조정을 거부하거나 조정결과를 수락하지 아니하는 경우에 단체소송이 가능하다.
단체소송의 원고가 소제기를 하기 위해서는 변호사를 소송대리인으로 선임해야 한다.
3영역 개인정보 라이프 사이클 관리 (25문제)
□ 정보주체 이외 수집 출처 표시(정보주체의 요구가 있으면)
- 개인정보의 수집 출처
- 개인정보의 처리 목적
- 개인정보의 처리정지 권리
□ 공공기관의 개인정보파일 등록
- 개인정보파일의 명칭
- 개인정보파일의 운영 근거 및 목적
- 개인정보파일에 기록되는 개인정보의 항목
- 개인정보의 처리방법
- 개인정보의 보유기간
- 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는자
- 그 밖에 대통령령으로 정하는 사항
1. 개인정보파일을 운용하는 공공기관의 명칭
2. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
3. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
4. 개인정보의 열람 요구를 접수·처리하는 부서
5. 개인정보파일의 개인정보 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유
□ 개인정보의 제3자 제공시 동의 안내
- 개인정보를 제공받는자
- 개인정보의 수집·이용목적
- 수집하려는 개인정보의 항목
- 개인정보의 보유 및 이용 기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
□
- 개인정보 처리자가 직원의 업무처리를 목적으로 사무실 회의실 등에서 무선접속장치(AP)를 설치해 운영하는 경우 공개된 무선망에서 제외한다.
- CDMA, WCDMA 등 이동통신망은 공개된 무선망에서 제외한다.
□ 인증수단의 종류
인증서(PKI) : 전자상거래 등에서 상대방과의 신원확인, 거래사실 증명 문서의 위변조 여부 검증 등을 위해 사용하는 전자서명으로서 해당 전자서명을 생성한 자의 신원을 확인하는 수단
보안토큰 : 암호 연산장치 등으로 내부에 저장된 정보가 외부로 복사, 재생성 되지 않도록 공인인증서 등을 안전하게 보호할 수 있는 수단으로 스마트카드, USB 토큰 등이 해당
일회용 비밀번호(OTP) : 무작위로 생성되는 난수를 일회용 비밀번호로 한번 생성하고, 그 인증값이 한번만 사용하도록 하는 방식
4영역 개인정보의 보호조치 (30문제)
□ 공공기관의 범위
- 국회, 법원 헌재, 선관위는 공공기관이 아니다.
- 국가인권위원회, 공공기관, 지방공단, 특수법인, 학교
□ 개인정보처리자의 유형
|
유형 |
적용대상 |
|
유형1 (완화) |
- 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 |
|
유형2 (표준) |
- 100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업 - 10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관 - 1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 |
|
유형3 (강화) |
- 100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체 - 10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관 |
□ 접속기록
계정(id), 접속일시(시간), 접속지정보(ip), 처리한 정보주체 정보, 수행업무
□ 내부관리계획의 수립, 시행(연 1회이상 점검)
1. 개인정보 보호책임자 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11. 개인정보 유출사고 대응 계획 수립시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항
※ 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인은 내부관리계획의 수립의무가 없다
※ 친목도모 동창회에선
개인정보 수집 및 이용
개인정보처리방침 수립공개
개인정보보호책임자 지정 을 적용하지 않는다.
- 개인정보보호 책임자의 지정
망법 : 부서의 장
개보법 : 개인정보의 처리에 관한 업무를 총괄해서 책임질 '개인정보보호책임자'의 요건 및 수행업무의 범위를 규정
□ 개인정보책임자의 업무
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 밀 오용 남용 방지를 위한 내부통제시스템의 구축
5. 개인정보보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리 감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정한 업무
□ 접근권한의 변경
망법 : 5년
개보법 : 3년
□ 망분리
대상자는 전년도말 기준 직전 3개월간 일일평균 100만명 이상이거나 정보통신부문 저년도 매출액이 100억원 이상인 정보통신서비스 제공자
망법 : 의무화
논리적인 망분리도 인정한다.
□ 고유식별번호 유출, 변조 훼손방지
인터넷 홈페이지를 통한 고유식별정보(주민등록번호, 운전면허번호, 외국인등록번호, 여권번호)를 처리하는 경우에, 홈페이지에 대해 연 1회이상 취약점을 점검하여야 한다.
□ 암호화
고유식별번호, 신용카드번호, 계좌번호, 바이오 정보 및 비밀번호는 암호화하여 저장해야함.
DMZ에 고유식별정보를 저장하는 경우에도 암호화해야함.
□ 접속기록
접속기록은 최소 1년이상 보관 월 1회이상 점검
다만 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보 처리하는 경우 2년이상 보관 관리하여야함
망법 : 최소 6개월 보관 월 1회이상 점검
□ 개인정보의 파기
1. 완전파괴(소각, 파쇄 등)
2. 전용 소자장비를 이용하여 삭제(디가우저장비 이용)
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행(완전포맷3회이상 , 데이터영역에 무작위 값 덮어쓰기 3회이상)
정보보호 준비도 관련 링크
http://www.kfict.or.kr/board/index.html?board_id=business2&action=list&page=2
https://www.kisis.or.kr/kisis/subIndex/36.do
5영역 개인정보 관리체계 (15문제)
□ 개인정보보호 관리체계의 개념
국내 개인정보보호 마크제도(ePivacy)
개인정보보호협회(OPA)가 인증기관으로 심사를 수행하고, 인증위원회를 함께 운영한다.
인증심사는 웹사이트 점검 및 서류심사, 현장심사로 진행되며, 마크 유효기간은 1년으로 사후관리 심사 대신 사후관리 모니터링을 실시(반기별)한다.
□ 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도
과학기술정보통신부 > 망법 > 정보보호
방송통신위원회 > 망법 > 개인정보보호
행정안전부 > 개인정보보호법 > 개인정보보호
º 인증의무 대상자
- 정보통신망법 제47조제2항의 어느 한가지 이상의 기준에 해당할 경우, 인증 의무대상자가 된다.
|
정보통신서비스 제공자 |
인증 의무대상자 여부 |
|
정보통신망서비스를 제공하는 자 (ISP). ※ 서비스 제공 지역이 '서울특별시 및 모든 광역시'인 사업자
|
매출액 및 방문자 수에 관계없이 인증 의무대상자에 해당 |
|
집적정보통신시설 사업자(IDC) |
|
|
연간 매출액 또는 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 자 |
- 정보통신서비스 부문 전년도(법인인 경우에는 전사업연도를 말한다.) 매출액이 100억원 이상인 자 또는 - 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 또는 - 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당하는 경우 º 「의료법」 제3조의4에 따른 상급종합병원 º 직전연도 12월31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교 |
º 인증 범위
- 인증 범위는 신청기관이 제공하는 정보통신서비스를 기준으로, 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 모두 포함한다.
- 인증을 신청하기 전에 인증기준에 따른 정보보호 관리체계를 구축하여 최소 2개월 이상 운영하여야 하며, 인증 신청 시 운영기간에 대한 증적자료를 포함하는 인증신청서류를 인증기관에 제출하여야 한다.
º 인증심사는 문서심사와 현장심사로 이루어지며, 인증 유효기간은 3년으로 인증 취득 후 연1회 이상 사후 관리 심사를 받아야 한다.
º 인증 추진 체계
정책기관 - 과학기술통신부
인증기관 - KISA
인증심사기관 - 심사기관 인증심사 수행(도장찍을순 없음)
º 인증기준
|
ISMS(80항목) |
ISMS-P(102항목) |
|
1. 관리체계 수립 및 운영(16항목) |
1. 관리체계 수립 및 운영(16항목) |
|
2. 보호대책 요구사항(64항목) |
2. 보호대책 요구사항(64항목) |
|
|
3. 개인정보 처리단계별 요구사항(22항목) |
□ ISO27001(정보보안경영시스템 인증)
경영시스템 중 정보보호관리체계 시스템을 심사하고 인증하는 제도로 ISO와 IEC가 2005년 제정한 국제 표준이다. 각 나라별로 인정기관 및 인증기관을 지정하여 운영하고 있으며, 인증기관 내 인증위원회에서 인증결과를 심의하고 의결하고 있다. 한국 인증기관으론 BSI Korea가 있다.
- 인증심사는 문서심사와 현장심사로 이루어지며, 인증 유효기관은 3년으로 인증취득 후 연1회 이상 사후관리를 받아야 한다.
□ 해외 개인정보보호 관리체계(BS 10012)인증제도
Plan-Do-Check-Act 주기 기반
□ 개인정보영향평가(PIA: Privacy Impact Assessment) 제도
사전예방의 원칙 하에 정보시스템의 도입 또는 개인정보를 수집, 이용하는 정보시스템에 중대 변경이 발생할 경우 개인정보 수집 · 이용 · 저장 · 제공 · 파기의 라이프사이클을 분석하고 부정적 영향을 미리 조사 · 예측한 후 예방하는 제도이다.
º 개인정보 영향평가의 주요 활동을 정리하면 다음과 같다. (한국인터넷진흥원 2011)
- 국내 개인정보보호 관련 법 제도 요구사항을 준수하도록 프로세스 구축
- 개인정보 수집 · 이용 · 저장 · 제공 · 파기의 라이프 사이클 분석
- 취급되는 개인정보에 대하여 위험평가를 통하여 개인정보에 대한 부정적 영향도 평가
- 위험을 제거 또는 감소시키기 위한 효과적인 대응책 수립
(법 제33조) 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그밖에 대통령령으로 정한 사항
(영 제35조) 개인정보 영향평가의 대상
1. 구축·운용 또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
2. 구축·운용하고 있는 개인정보 파일을 해당 공공기관 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
3. 구축·운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일
4. 법 제33조제1항에 따른 개인정보 영향평가(이하 "영향평가"라 한다)를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일, 이 경우 영향평가 대상은 변경된 부분으로 한정한다.
1단계 : 사전분석
2단계 : 영향평가의 실시(현황분석)
3단계 : 영향평가의 결과정리
필요성 검토는 총10개 질문항목으로 구성되며, 항목 중 하나 이상 'Y'로 체크하게 되면 영향평가의 대상이 된다.
국회, 대법원, 등은 법, 시행령의 영향을 받지않고 자체 시행규칙으로
|
제24조의2(주민등록번호 처리의 제한) ① 제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다. <개정 2016. 3. 29., 2017. 7. 26.> 1. 법률ㆍ대통령령ㆍ국회규칙ㆍ대법원규칙ㆍ헌법재판소규칙ㆍ중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우 |
참고자료 링크
「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」
영상정보 처리시스템
있어야하는 항목
①설치목적및 장소 ②촬영 범위 및 시간 ③관리책임자의 성명 및 연락처 ④(위탁하는 경우)위탁받은자의 명칭 및 연락처
'자격증 > CPPG ' 카테고리의 다른 글
| 영상정보처리기기의 설치 운영 제한 정리(CCTV) (0) | 2020.05.18 |
|---|---|
| 31회 CPPG(개인정보관리사) 합격 후기 & 참고자료 (10) | 2020.05.06 |
댓글