개인정보인 것(단독으로 또는 다른 정보와 쉽게 조합하여 특정 개인(살아있는)을 식별할 수 있는 것)

• 휴대전화번호 뒤 4자리
• 컴퓨터 IP주소(단독으로도 개인정보가 될 수 있다!)
• 차량번호(법인차량이면 아닐 수도)
• 회사에서 부여한 사번

개인정보가 아닌 것

• 돌아가신 할아버지의 주민등록번호
• 대표이사 또는 대표자의 성명(대표자이기 때문, 직원 이름은 개인정보다!)

[개인정보 보호법] 제2조(정의) ← 개인정보의 법률적 의미

• http://www.law.go.kr/법령/개인정보보호법/(14839,20170726)

가명정보는 개인정보다!

• 가명정보 : ~~에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보

  • 즉 추가 정보의 사용, 결합으로 특정 개인 식별 가능

개인정보 수집 시 알리고 동의 받아야하는 것

• 개인정보의 수집 및 이용 목적
• 수집하려는 개인정보의 항목
• 개인정보의 보유 및 이용 기간
• 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

주민등록번호는 주체의 별도 동의가 있어도 수집 불가

• 법령에 의해서만 수집 가능

중요한 내용은 명확히 표시해야 함

• e.g. 민감정보, 고유식별번호, 불이익의 내용 등을 밑줄, 볼드체 표시

정보통신서비스 제공자 등은 정보통신서비스를 1년의 기간 동안 이용 안할 경우 이용자의 개인정보를 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보 항목 등을 이용자에게 알려야 한다.

• 1년 미이용 고객 정보는 파기 혹은 파기에 준하는 별도 분리보관해야 한다.

• ID 정도는 남겨놓을 수 있다!

  • 계정복구를 위해 최소한의 정보만 가능! ← 타당하고 사업자가 입증 가능해야 함

개인정보 업무위탁 vs 제3자 제공

• 위탁 시 수탁사에 대해 위탁사가 관리감독하고 책임지도록 되어있음

  • 법적으로 방문해야하는 것은 아니지만 보통 방문점검함
• 위탁자의 업무를 위한 처리가 업무위탁, 제3자의 이익을 위한 처리 시 제3자 제공
• 위탁 시에는 동의 받을 필요 없음, 제3자 제공은 제공에 대한 정보 주체의 동의 필요

기업에서 지원자들로부터 입사지원서를 접수받을 때 개인정보 수집, 이용 동의서를 받을 필요 없다.

• 관행적으로 동의서를 받기는 한다.

콜센터 고객 상담 시 자동으로 통화내용 녹취 시 고객에게 고지하지 않아도 됨

• 대화 참여자의 녹취는 합법이다!
• 관행적으로 고지하긴 한다.

1년 미이용 고객의 개인정보를 별도 분리보관 한 경우, 대상 정보를 통계 등의 목적으로 이용 불가하다.

• 별도 분리보관은 파기에 준하는 조치로 특별한 규정이 있는 경우 제외하고 제3자 제공 불가
• 하지만 별도 분리보관 전 개인을 식별할 수 없는 상태에서 통계정보를 얻어 보관하는 것은 가능하다.

국가법령정보센터

• www.law.go.kr

개인정보보호 종합포털

• www.privacy.go.kr

개인정보 유출 : 개인정보처리자가 통제를 상실 또는 권한 없는 자의 접근을 허용할 경우 모두 해당

• 해커가 침투해서 빼간 경우
• 개인정보가 들어있는 USB를 분실한 경우

회사 고객의 개인정보 유출 시

• 법에 의한 처벌 - 벌금 최대 5,000만원
• 소송에 의한 배상 - 손해배상금 + 소송 비용
• 유무형 손실 - 매출 감소, 이미지 손실

개인정보의 안정성 확보 조치 기준 ← 개인정보보호법

• 제5조(접근 권한의 관리) : ~~에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.

• 제6조(접근통제) : 개인정보 처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망 또는 전용선 등 안전한 접속 수단을 적용하거나 안전한 인증수단을 적용하여야 한다.

  • sms, 2차 비밀번호, IP접근제한, 문자인증, OTP 등이 안전한 인증수단

    • 비용이 많이 들어서 안하는 회사가 많다.

• 제7조(개인정보의 암호화)

  • 비밀번호 및 바이오 정보 암호화해야 한다.
  • 비밀정보를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장
  • 고유식별정보를 저장하는 경우에는 이를 암호화
  • 개인정보보호법 상에서는 이름, 전화번호, 주소 등은 암호화 의무 없음

• 제8조(접속기록의 보관 및 점검)

  • 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록 1년 이상 보관,관리 해야 한다.

    • 접속한 (일시, ip, 계정, 행위, 주체 정보) 5가지
  • 고유식별정보 또는 민감정보는 2년 이상 보관, 관리 해야 한다.

  • 개인정보처리자는 개인정보의 오,남용, 분실, 도난, 유출, 위조, 변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검해야 한다.

    • 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
  • 개인정보처리자는 개인정보취급자의 접속기록이 위,변조 및 도난, 분실되지 않도록 해당 사유를 반드시 확인하여야 한다.
  • 개인정보처리자는 개인정보취급자의 접속기록이 위,변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

• 개인정보의 기술적,관리적 보호조치 기준 ← 정보통신망법

  • 제4조(접근통제)

    • 정보통신서비스 제공자들은 ~~에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년 간 보관한다.
    • ~~제공자들은 ~~정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우 안전한 인증 수단 적용해야 한다.
    • 전년도 말 기준 직전 3개월간 그 개인정보가 저장,관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도 의미) 매출액 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.

    • 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용 운용하여야 한다.

      • 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
      • 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
      • 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경

  • 제5조(접속기록의 위,변조방지)

    • 정보통신서비스 제공자들은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인,감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존,관리하여야 한다.
    • ~~제공자들은 ~~취급자의 접속기록이 위,변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다.

  • 제6조(개인정보의 암호화)

    • 정보통신서비스 제공자들은 비밀번호는 복호화되지 아니하도록 일방향 암호화하여 저장한다.

    • ~~제공자들은 다음 각 호의 정보에 대해서는 안전한 암호 알고리듬으로 암호화하여 저장한다. (비밀번호, 바이오정보는 일방향 암호화이며, 나머지는 양방향 암호화)

      • 주민등록번호
      • 여권번호
      • 운전면허번호
      • 외국인등록번호
      • 신용카드번호
      • 계좌번호
      • 바이오정보
    • 정보통신서비스 제공자들은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송,수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다.