개발/운영자를 위한 개인정보보호 가이드 라인 요약

1.개인정보처리시스템 기획 단계

1) 기본원칙
• 개인정보보호 관련 법령 및 지침 등 관련 규정을 세부적으로 검토
• 개인정보 수집 최소화를 위해 개인정보 처리 목적을 명확히 하고 수집
• 개인정보 목적 달성 시 파기 방법을 사전에 결정
• 주민등록번호 이외 추가 인증수단을 통한 회원가입 방법 제공
• 개인정보처리시스템에 대한 접근권한 등 기본적인 보안대책 마련
• 개인정보 전송 및 저장 시 적용할 암호화 알고리즘과 방식 결정
• 개인정보처리시스템과 관련된 개인정보 처리(취급)방침 수립
• 공공기관 개인정보처리시스템과 관련하여서는 개인정보 영향평가 고려
• 개발단계에서 적용해야 할 시큐어 코딩에 대한 기준 정의

2) 개인정보 수집 최소화를 위한 방안 마련
근거: ① 개인정보 보호법 제16조(개인정보의 수집 제한) ② 정보통신망법 제23조2(개인정보 수집 제한 등 )

– 이용자의 개인정보를 수집하는 경우 서비스의 제공을 위하여 필요한 최소한의 정보만을 수집하여야
-필요한 최소한의 정보 이외에 개인정보를 제공하지 아니한다는 이유로 그 서비스 제공을 거부하여서는 안 됨
-개인정보처리시스템을 개발하기에 앞서 개인정보처리시스템에서 처리하는 개인정보에 대한 명확한 목적을 먼저 정의해야 한다

① 서비스를 제공하는 데 있어 필요한 이용자의 개인정보가 무엇인지 그 종류를 조사
② 조사한 개인정보 중 필수적으로 수집해야하는 “필수 동의 항목”을 검토하여 구성한다.
③ 필수/선택 동의 사항을 명시적으로 구분하여 수집한다.

 

 

 

 

 

 

 

 

 

 

 

 

개인정보영향평가(PIA) 수행 절차 요약

27개인정보영향평가의 전체 수행절차는 아래 표와 같습니다.  이글에서 소개하는 도표와 그림들은 KISA에서 발간한 개인정보영향평가 수행안내서에서 발췌한 것임을 밝힙니다. (2016.04)

※ 개인정보영향평가는 새로운 시스템을 구축하는 경우에 발생할 수 있는 개인정보 침해요인을 사전에 분석하는 것이므로 개발초기단계 즉 개발에 대한 설계조정이 가능한 시점에 수행되어야 한다.

※ 영향평가 수행결과 개선사항에 대한 이행여부는 시스템 구축사업의 테스트단계에서 점검하는 것이 바람직함

※ 영향평가 의무수행 대상 여부를 확인할 때는 개인정보보호법 시행령 제 35조에  근거
① 5만명 이상의 정보주체에 관한 민감/고유식별정보 포함 여부
② 내/외부의 다른 개인정보파일과 연계 시 50만명 이상의  개인정보 포함 여부
③ 구축ㆍ운용 또는 변경 대상시스템에 100만명 이상의 개인정보 포함 여부
④  영향평가 받은 후 개인정보파일의 운용체계를 변경하려는 경우

1. 영향평가계획 수립

1-1. 영향평가 수행계획서 작성

평가과정에 필요한 사항들을 정리하고 영향평가팀 내부적으로 공유하기위해 세부적인 평가계획을 수립한다.

1-2. 영향평가팀 구성 (역할배분)

영향평가팀은 개인정보보호책임자, 사업주관부서, 평가기관, 시스템개발부서, 자문위원 등으로 구성할 수 있으며 영향평가 수행을 위한 역할과 업무배분을 통해 수행됨
-> 내부인력뿐 아니라 업무위탁을 하고 있는 경우에는 위탁업체 직원까지 영향평가팀에 포함 (평가수행인력은 프리랜서, 타사인력(50%)도 활용 가능

1-3. 영향평가팀 운영계획서 작성

2. 평가자료 수집

대상사업 및 개인정보보호 관련 기관 내·외부 정책환경 분석을 위한 자료 수집

개인정보보호 관련 법규 및 상위기관의 지침과 해당기관 내부규정 현황을 파악하고
당해 사업을 이해하고 분석하기 위해 필요한 자료 등 취합 및 분석

3. 개인정보 흐름분석

대상사업에서 처리되는 개인정보 흐름에 대한 파악을 위해 정보시스템 내 개인정보
흐름 분석

① 개인정보 처리업무 현황 분석 후 개인정보 영향도 등급표, 개인정보 처리 업무표 및 업무흐름도 작성
② 개인정보 처리 업무표를 기반으로 개인정보 흐름표 작성
③ 개인정보 흐름표를 기반으로 개인정보 흐름도 작성
④ 기관 내 네트워크 및 보안시스템 구조 등을 분석하여 정보시스템 구조도 작성

3-1. 개인정보 처리업무 현황 분석

개인정보처리 업무표 작성

개인정보 업무 흐름도 작성

3-2. 개인정보 흐름표 작성

분석된 업무흐름을 기반으로 개인정보 처리업무별로 개인정보의 수집, 보유, 이용·제공, 파기로
구분하여 개인정보 흐름을 분류

※개인정보 흐름표에는 업무명을 기준으로 개인정보의 수집, 보유, 이용·제공, 파기에 이르는 LifeCycle별 현황을 기재하여 개인정보 흐름을 한 눈에 이해할 수 있도록 작성

 

3-3. 개인정보 흐름도 작성

작성된 개인정보 흐름표를 기반으로 수집, 보유, 이용·제공, 파기되는 개인정보 처리단계 별로
흐름을 한 눈에 파악할 수 있도록 ‘개인정보 흐름도’를 작성

※영향평가대상사업 또는 시스템전체의 개인정보 흐름을 총괄적으로 표현한 ‘총괄 개인정보
흐름도’를 작성하고 개별업무별로 ‘업무별 개인정보 흐름도’를 함께 작성

1) 총괄흐름도 작성

2) 업무별 흐름도 작성

3-4 정보시스템 구조도 작성

– 방화벽, 침입탐지시스템 및 전송데이터 암호화, DB 암호화 등 기술적·물리적 보안 등 보안시스템
현황을 분석 가능하도록 상세히 작성하고 인터넷 구간, DMZ 구간, 외부 연계 구간, 내부망 영역 등 네트워크 성격에 따른 구분이 표시

※ 네트워크 접근제어의 미흡, 서비스 거부 공격에 대한 방어, 네트워크 가용성 확보 미흡 등과 같이 시스템 설계상 내재된 개인정보 침해요인을 분석, 위험도 산정 등에 활용

 

개인정보 처리시스템에 대한 보호 대책의 적정성을 검토하고 효과적인 침해 요인 분석 및
위험도 산정이 가능하도록 ‘정보보호 시스템 목록’을 작성  

 

4.  개인정보 침해요인 분석

개인정보의 흐름에 따른 개인정보 조치사항 및 계획 등을 파악하고 개인정보 침해
위험성 도출

① 평가기준 수립 및 개인정보보호 조치사항 파악을 위한 평가항목 작성
② 자료 분석, 현장 및 시스템 실사, 담당자 인터뷰 등을 통해 개인정보보호 조치
현황 파악
③ 파악한 조치 현황을 기반으로 개인정보 침해요인 도출
④ 도출된 개인정보 침해요인에 대한 위험도 산정

4-1. 평가항목 구성

5개 영역 25개 세부 평가분야
① 대상 기관의 개인정보보호 관리체계
② 대상 시스템의 개인정보보호 관리체계
③ 개인정보 처리단계별 보호조치
④ 대상 시스템의 기술적 보호조치
⑤ 특정 IT기술 활용 시 개인정보보호

4-2 개인정보 보호조치 현황파악(항목별 평가)

4-3 개인정보 침해요인 도출

개인정보 흐름 분석 및 개인정보보호 조치 현황에 대한 평가결과를 기반으로 개인정보 침해
요인 분석

※  ‘이행(Y)’ 및 ’해당없음(N/A)’로 평가된 항목은 침해요인이 없는 것으로 판단하고  ‘미이행(N)’ 및 ‘부분이행(P)’로 평가된 항목은 평가결과를 근거로 구체적인 침해요인 분석 및 도출 필요

4-4  개인정보 위험도 산정

도출된 침해요인은 모두 개선하는 것이 원칙이나, 기관내 자원이 부족한 경우 위험도분석 결과에 따라 개선사항의 우선 순위를 정하여 선택적 조치 가능 (법적 의무사항은 필수적으로 조치 필요)

위험도 = 개인정보 영향도 + (침해요인 발생가능성 X 법적 준거성) X 2

 

5. 개선계획 수립

개인정보 침해 요인별 위험도 분석에 기반하여, 위험요소를 제거하거나 최소화하기 위한 개선방안 및 개선계획을 수립

개선방안은 위험도의 우선순위에 따라 해당기관이 수용 가능한 수준을 정하여 단기, 중·장기로 구분하고, 수행 시기는 가능한 구체적으로 제시하고  개선방안의 실질적인 이행을 위하여 담당부서 및 담당자를 명확히 지정

5-1 개선방안 도출

도출된 개선방안을 기반으로 대상기관 내 보안조치현황, 예산, 인력, 사업 일정 등을 고려하여 개선계획 수립하고 도출된 개선계획은 위험평가 결과를 참고하여 위험도가 높은 순서의 개선방안을 먼저 실행하도록 개선계획표 작성

침해요인 도출 단계와의 연계성 및 추적성을 확보할 수 있도록 개선과제와 관련된 평가항목 번호 (질의문 코드) 표기

5-2 개선계획 수립

도출된 개선사항에 대하여 실질적인 개선이 가능하도록 상세 개선방안 제시

6. 영향평가서 작성

영향평가의 모든 과정 및 산출물을 정리하여 영향평가서 작성
영향평가결과를 사업완료 후 2개월 이내에 행정안전부 장관에게 제출해야 함

영향평가 추진경과 및 중간산출물 등의 내용을 정리하고 도출된 위험요소 및 개선계획 등 최종산출물들을 모두 취합하여 영향평가서를 작성함

※ 행정안전부는 개인정보보호위원회의 심의·의결을 거쳐 해당 사업에 대한 의견을 제시할 수 있음

7. 이행점검

개인정보 침해요인에 대한 조치내역을 확인

7-1  개선사항 반영여부 점검(개인정보파일 구축·운용 前)

시스템 구축이나 변경사업의 경우에는 테스트 단계에서 침해요인별 조치가 적절하게 수행
되었는지 점검(권고 사항)

영향평가 사업종료 후 영향평가 기관 사업 담당자가 사후 관리의 일환으로 개선 계획에 대한
이행 여부의 점검 가능

7-2  개선계획 이행 점검

영향평가서를 제출받은 공공기관의 장은 개선사항으로 지적된 부분에 대한 이행 현황을 영향평가서를 제출받은 날로부터 1년 이내에 행정자치부장관에게 제출(「개인정보 영향평가에 관한 고시」 제14조)

 

 

개인정보보호법의 운영체계

개인정보보호법의 일원화된 운용을 위해 공공/민간분야의 운용체계를 아래와 같이 일원화하여 운영하고 있다.

보호위원회(심의/의결) – 행정안전부(총괄 집행) – 부처(소관 집행)

※ 예외적 적용사항
헌법기관(국회/법원/헌재/선관위):기본계획 및 시행계획의 수립시행 권한
방통위, 과학기술정보통신부: 정보통신분야에서의 개인정보보호관련 집행
– 금감위:  금융/신용 분야의 개인정보보호관련 집행

1. 개인정보위원회

법이 정하는 개인정보보호에 관한 사항을 심의/의결하기 위하여 대통령소속으로 설립된 독립적인 감독기구 (개인정보보호 7조)

주요업무:  (컨트롤타워 역할)
– 기본/시행계획의 심의/의결,
– 개인정보보호관련 정책, 제도개선, 권고등에 대한 심의/의결
– 오남용 감시
– 이행실태 조사
– 공공기관 간의 의견 조정
– 법령해석/운용에 대한 심의/의결
– 연차보고서의 작성/제출
– 영향평가결과에 대한 의견제시
– 개선방안 연구
– 개인정보침해요인평가 기본계획 수립/자료제출, 진술요구권한
– 분쟁조정위원회의 위원 임명권한
– 3년마다 개인정보 보호 기본계획을 관계 중앙행정기관장과 협의하여 수립

2. 행정안전부

행정안전부는 공공기관과 민간분야의 개인정보를 총괄 집행한다.
– 개인정보관리수준 및 실태파악을 위한 조사를 실시할 수 있다

주요업무:  (총괄집행)
– 표준 개인정보보호지침 제정
– 개인정보처리방침 작성 지침의 제정/권고
– 개인정보열람창구 구축/운영
– 개인정보유출신고제도 운영
– 개인정보파일 등록 접수 및 현황 공개
– 자율규재 촉진 및 지원시책
– 개인정보영향평가 관리/운영
– 법 위반 행위 조사 및 시정권고 및 명령, 과태료 부과

3. 개인정보 분쟁조정 위원회

개인정보보호위원회의 산하에 있으며 개인정보침해와 관련된 분쟁을 당사자 사이의 합리적이고 신속하게 해결하기 위한 기구로 심의를 통하여 손해배상을 결정하며 개인정보피해예방 활동, 법제도 개선 건의, 시정권고등을 통해 국민의 권리 보호 및 건전한 개인정보보호 이용환경 구축 등의 업무를 담당한다.

4. 개인정보 침해신고 센터

개인정보침해와 관련된 신고접수와 상담을 수행하고 신고된 개인정보처리자의 법률위반 여부를 조사하여 후속조치 지원하고있다.

개인정보보호법, 최소한 지켜야할 10가지 !!!

3월말부로 개인정보보호법의 계도기간이 종료됩니다. 계도기간이 끝나고나서  개인정보보호법을 위반이 드러나면 처벌을 받게 되지만 아직 개인정보보호법에 대비하여 준비가 되지 않은 회사가 매우 많은 상황입니다.

모든 개인정보보호법 항목을 준비하기 어렵다면  71조 6가지, 72조 3가지, 73조 3가지 총 12개 조항에 대해서는 꼭 대비하여 형사처벌 받는 일이 없도록 해야겠습니다.   개인정보보호법 71조, 72조, 73조는 개인정보보호법을 정보주체 동의 없이 이용하거나 제3자에게 부정한 방법으로 제공하는 경우, 기한이 지난 개인정보를 조치 없이 계속 이용하는 경우 등에 해당합니다. 위반 시 최고 5년 이하 징역형 또는 5000만원 이하 벌금형을 받습니다.

 

▶ 개인정보보호법 대비한  최소한도의 준수항목 10가지 (12개조항 포함)

1. 정보주체 동의 없이 개인정보를 제3자에게 제공하지 말 것
2. 영리 또는 부정한 목적과 수단으로 개인정보를 취득하지 말 것
3. 사생활 침해 우려 정보를 다루지 말 것
4. 동의 없이 고유식별정보를 다루지 말 것
5. 업무상 알게 된 개인정보를 누설하지 말 것
6. 타인 개인정보를 훼손, 멸실, 유출하지 말 것
7. 영상정보처리기기를 설치목적에 맞게 사용할 것
8. 안전성 확보 조치 없이 개인정보를 분실, 도난, 유출하지 말 것
9. 정정, 삭제에 필요한 조치 없이 개인정보를 계속 이용하지 말 것
10. 개인정보처리 정지요구를 무시하고 계속 이용하거나 제3자에게 제공하지 말 것

 

▶ 관련 전문가 의견

“방대한 개인정보보호법 전체 조항을 분석하고 대비할 수 없다면 최소한 12가지만 기억하라. 형사처벌이라는 가장 무거운 벌칙을 피하기 위해 71~73조 12가지만이라도 숙지하라. 개인정보보호법은 양벌규정이라 개인정보보호법을 위반하면 개인과 법인 양쪽으로 벌금이 부과되므로 더욱 철저한 대비가 필요하다”  – 구태언 행복마루 변호사

“최근 사업 현장을 둘러보면 전체 350만 사업자의 90% 이상을 차지하는 중소·중견기업의 문제가 심각하다. 유예 기간이 끝났기 때문에 이제 사업자의 책임이며, 사업주가 법을 위반하지 않도록 적극적으로 행동에 나서야 할 시점이다”   -이경호 고려대 정보보호 대학원 교수

 

▶ 개인정보보호법 위반 시 형사처벌 조항 12가지

 

원문참조: http://www.etnews.com/news/computing/security/2571860_1477.html

개인정보보호 10계명에 대한 개인적인 코멘트들…

safe1_22

  행안부의 자료 “개인정보보호 10계명”이라는 글에  개인적인 코멘트들을 첨부해 보았습니다.  9월 30일부터  개인정보보호법이 발효되었는데요  사실상 개인정보는 우리스스로 지켜야 하는 것이기 때문에  개인이 무엇을 할 것인가를 생각하고 정리해보았으면 좋겠네요.. 

1. 회원가입을 하거나 개인정보를 제공할 때에는 개인정보취급방침 및 약관을 꼼꼼히 살핀다.
(가능한 회원가입을 하지 않고 사용하시길 권해드려요..  굳이 가입을 해야할땐  약관을 잘 보셔야 하구요..  아무리 서비스가 필요해도 약관이 문제가 되는 곳에는 가입을 하지 마세요..  잘 찾아보면  다른 사이트들을 통해서도 대체방법이 있을때가 많습니다.  )

2. 회원가입 시 비밀번호를 타인이 유추하기 어렵도록 영문·숫자 등을 조합해 8자리 이상으로 설정한다.
(패스워드를 복잡하게 하는 것보다 중요한 것은  가입하는 사이트들의 등급을 정해서    등급별로 다른 패스워드를 사용하는 것입니다.     1등급: 금융  2등급:쇼핑 3등급:개인적(SNS등)  4등급:일반사이트… 이렇게 등급을 정해두고  1등급의 패스워드 규칙은  해당 등급사이트들내에서만 사용하세요.

3. 자신이 가입한 사이트에 타인이 자신인 것처럼 로그인하기 어렵도록 비밀번호를 주기적으로 변경한다.
(이거 쉽지 않더라구요..  중요한 것은 본인이 바꿔놓고 기억을 못하기 때문에  자주 바꾸는것이 상대적으로 어렵다는 것입니다.  하지만 핵심사이트들은 주기적으로 변경하는 것이 필요합니다.  메인 이메일계정, 금융권계정,  근무하는 회사관련 계정만은  힘들더라도  반드시 그렇게 하셔야합니다.

4. 가급적 안전성이 높은 주민번호 대체수단(아이핀)으로 회원가입을 하고, 꼭 필요하지 않은 개인정보는 입력하지 않는다.
가능한  개인정보를 최대한 적게 이용할 수 있는 자신 만의 사용법을 터득하세요

5. 자신의 개인정보가 노출되어 타인이 자신의 명의로 회원가입이 되어있는 경우가 있으므로 명의도용확인 서비스를 이용해 인터넷 가입정보를 자주 확인한다. 도용 사실이 확인되면 정보도용 차단, 실명인증기록 조회 등을 확인한다.
이것뿐 아니라 자신의 개인정보를 인터넷상에서 스스로 검색해보고 탐색하는 노력이 필요합니다.   문제가 될 만한 글이나 정보는 인터넷상에 아예 올라가지 않도록 처음부터  주의를 기울여야 합니다.

6. 자신의 아이디와 비밀번호, 주민번호 등 개인정보가 공개되지 않도록 주의, 관리하며 친구나 다른 사람에게 알려주지 않는다.
그 누구에게도 계정의  정보를 알려주지 마시고   혹 노출되면 즉시 변경하시길 바랍니다.  가족/친지/친구들에게도 알려주어서는 안됩니다. 나중에 서로 얼굴 붉힐일이 생기지 않도록…

7. 인터넷에 올리는 데이터에 개인정보가 포함되지 않도록 하며, P2P로 제공하는 자신의 공유폴더에 개인정보 파일이 저장되지 않도록 한다.
(이거 매우 중요합니다.  다른거 아무리 열심히 해도  이  항목이 문제가 되면 모든것이 다 나간다고 보시면 되겠습니다.  폴더째로  내 컴퓨터의 자료를 공유하는 것은  절대로  피하시길 바랍니다.  그런 프로그램은  아예 쓰지않으시길 권해드립니다. )

8. 신용카드 번호와 같은 금융정보 등의 중요한 개인정보들을 문서에 작성하여 저장할 경우 암호화기능을 제공하는 문서프로그램을 사용해야 한다.
( 간편하게 사용할 수 있는 Truecrypt 같은 무료 프로그램을 권합니다.  필요할때만 암호화된 파일을 마운트해서 사용하는 방식이지요.. 저도 유용하게 사용중입니다.  인증서,중요 파일등을  이렇게 관리하시는것이 매우 효율적이지요)

9. 인터넷에서 아무 자료나 함부로 다운로드 하지 않는다.
(다운로드 하는 사이트도 잘 골라야 하고,  다운로드하는 자료도 잘 골라야합니다.   특히 실행파일이 포함된 자료는 매우 조심해야 합니다.  동영상 데이터의 경우, 코덱다운로드를 유도하는 경우 매우 조심해야 하며  pdf,xls등의 오피스 문서 자료도 매우 조심해야합니다.   p2p사이트에서 설치되는 프로그램에는 자동업데이트 기능이 들어있는데  이를 통해 많은 악성코드들이 들어온다는 사실을 잊지 마시기 바랍니다.  정 다운로드가 필요하시면 차라리 토렌트 프로그램을 사용하는 것이  P2P프로그램보다는 더 안전하다고 생각합니다.  토렌트프로그램도  실행할때만 가동되는 포터블 타입을 권해드립니다.  )

10. 개인정보가 유출된 경우 해당 사이트 관리자에게 삭제를 요청하고, 처리되지 않는 경우 즉시 개인정보침해신고센터(국번없이 1336,www.1336.or.kr에 신고한다.
10번 항목은 자발적인 노력이 필요합니다.  귀챦다고 넘기는 경우가 많을텐데요   누군가 하겠지라고 생각하지 말고  내 선에서 마무리 짓겠다는 마음으로  과감하게 신고해주세요..

[개인정보의 기술적 관리적 보호조치] 해설서 교육

메일로  보안뉴스에서 온 내역입니다.  실제 교육은 소만사에서 진행하는 것입니다.
개인정보 관리자라면  교육을 받고 오시는것이 좋을 듯합니다
이런 행사에 가서 교육받은 수료증을 잘 보관해두시면  향후 개인정보관련 감사시에
개인정보에 노력을 기울인 근거들을 제출할 수 있으니  도움이 된다고 할 수 있습니다.
묘하게도 소만사 사이트에선 사전등록링크를 접근못하고  메일을 통해서만 되더군요..
아직 업데이트를 안했나?

사전등록: http://www.somansa.com/conf_regist.asp
약도보기: http://www.eltower.com/about/sub_01_07.htm

사용자 삽입 이미지

개인정보보호 실천 결의문

   과거 CRM열풍의 영향으로 기업들은  고객정보를 과도하게 수집해왔습니다.  필요하든 필요하지 않든 다양한 고객정보를 수집했고 이를 마케팅수단으로 활용해왔습니다.  물론 여러가지 효과도 본 것이 사실일 것입니다.   하지만 축적된 고객정보가 이젠 기업을 되려 불안에 떨게 하는 큰 불안요소가 되고 있습니다.  관리되지 않은 고객정보는 오히려 기업에 독이 될수도 있다는 사실을 GS칼텍스는 우리에게 알려주었습니다.
 
  GS칼텍스에서의 고객정보 유출 사건이후  행안부에서는 부랴 부랴 대책회의를 열었고  각 기업의 보안관리자들을 소집해서 집체교육까지 시켰더랬습니다.  교육명은 [민간기업 개인정보보호 실천 결의 대회및 인식 제고 교육] 이었죠..  9월 30일 (화) pm14:30부터 17:50 까지 코엑스 그랜드 볼룸 103호에서 진행되었었습니다.  행안부 주최, KISA 주관이었구요.. 아는 분이 참석했는데   현장에서 개인정보보호 실천 결의문까지 함께 결의했다고 합니다.

  아래에 결의문을 개제해봅니다. 아래 내역은 모든 보안관리자들이 알고  실천해야 할 부분이기도 하고  또 행안부에서 의지를 가지고 실행하려고 하는 내용이니깐  알아두시면 좋을듯 합니다. ^^  보안관리자 교육에 포함시켜도 좋을듯 싶습니다.


 개인정보보호 실천 결의문

  최근 개인정보 유출사고가 빈번히 발생함에 따라 사회적 혼란과 정보화 사회에 대한 신뢰를 저하시키고 있다.  이에 우리는 고객의 개인정보보호를 강화함으로써 창의적이고 안전한 선진 정보화 사회를 구현하기 위해 다음과 같이 결의한다.

하나. 우리는 개인정보 관리 책임자를 지정한다.
하나. 우리는 개인정보 취급방침을 고객들에게 알기 쉽게 안내한다.
하나. 우리는 업무에 필요한 고객정보를 최소한으로 수집한다.
하나. 우리는 고객의 정보를 정당한 방법으로만 수집한다.
하나. 우리는 고객에게 안내했던 목적으로만 개인정보를 이용한다.
하나. 우리는 보유기간이 만료된 개인정보는 즉시 폐기한다.
하나. 우리는 개인정보가 유출 훼손되지 않도록 안전성 확보에 최선을 다한다.

 

개인정보 다량 취급 업체 실태점검, 법적 규제 강화

   행안부에서 개인정보 다량취급업체를 대상으로한 실태점검을 실시하며 법적 규제 강화할 예정이라고 합니다. 행안부 사이트에 관련 보도자료가 공개되었으며  언론에도 게재된바 있습니다.  보도자료 원문은 HWP파일도 작성되어 있으며  아래의 글은 보도자료를 기초로 해서 정리해본것입니다.
<< 행안부사이트에서 보도자료 보기 >>
행안부 사이트: http://www.mopas.go.kr

▶ 추진 배경
  GS칼텍스 개인정보 유출사고와 관련하여  방송통신위원회, 금융위원회, 지식경재부, 한국정보보호진흥원 등 관계기관 및 정보화 추진 실무위원등 전문가와의 합동회의가 2008년 9월 9일 열렸습니다.  올해들어 굵직굵직한 개인정보 유출사고가 빈발하고 있어서 예견된 일이었다라고 생각이 듭니다.    합동회의 결과  개인정보 다량 취급사업자 개인정보 유출방지 대책을 마련하고 , 신속히 추진하기로 하였다고 합니다.  이번에 문제가 발생한 GS칼텍스의 경우는 개인정보보호 관련 법령을 적용받지 아니하는 업체라는 점에서 개인정보 보호에 관한 법적 관리체계의 정비가 필요했다는 것이죠..

▶ 대책 개요
  개인정보를 다량 취급하는 업체에 대한 지도점검과 개인정보 보호 교육, 법/제도 개선방안등 제안하였습니다.

▶ 대책 세부 내용 (보도문에 있던것을 정리하였습니다.)
  1. 범부처적인 개인정보 개인정보 실태점검을 추진한다.
     –  10월까지 현행 정보통신망법, 신용정보보호법등 개인정보보호 관련 개별 법률을 적용받고있는 사업자에 대하여 소관부처에서 개인정보관리 실태 전반을 점검 
     –  법 위반 사업자에 대해서는 시정명령, 과태료, 형사고발 추진 등 행정제재와 함께 위반사실을 언론등에 공개한다.  (형사고발도 그렇지만…  언론에 공개하는것이 가장 무서울듯하군요… 요즘 워낙 민감한지라… 아래 사업자군에 해당되신 분들은  대책을 세우셔야 할듯 싶습니다.)
     – 정보통신망법에 포함되는 사업자군:
        유/무선 통신사, 초고속인터넷업체, 포털등 정보통신사업자, 여행업, 호텔업, 항공사, 학원, 교습소, 휴양콘도미니엄업, 할인점,백화점, 쇼핑센타, 체인사업자등 준용사업자  (안들어가는게 별로 없군여…^^)
     – 신용정보의 이용및 보호에 관한 법률에 포한되는 사업자군: 은행, 보험사,증권사

  2. 사업자의 인식제고를 위한 교육을 실시한다.
    – 9월중 관련 사업자 협회등과 연계하여 개인정보보호 교육을 실시하고  개인정보보호 메뉴얼을 제작 배포

  3.  정보통신망법 적용 대상 업체를 확대하여 법적 관리체계를 강화한다.
    – 다량의 개인정보를 취급하고 있으면서 개인정보보호 관련 법령을 적용받지 아니하는 업체 (정유업체, 결혼중개업체, 대형서점) 등에 대하여는  관계부처와 협의를 거쳐 정보통신망법상 개인정보보호 의무를 따르도록(준용사업자) 시행규칙을 개정하여 개인정보보호법 제정 전까지는 정보통신망법상 개인정보의 수집ㆍ이용ㆍ제공 시 동의, 개인정보시스템에 대한 접근권한통제 등 개인정보보호 의무를 적용

   4.  개인정보 보호법 연내 개정을 적극 추진한다.
    – 공공ㆍ민간의 모든 개인정보처리자에 대하여 개인정보 수집ㆍ이용ㆍ제공 등 단계별 보호기준을 제시하고, 개인정보 보호를 위한 관리적ㆍ기술적 보호조치 의무를 적용토록 할 계획이다.
    –  동법에 따라 개인정보의 제3자 불법 매매, 무단 유출 시 형사처벌을 강화하고, 개인정보처리 위탁시 수탁업체의 자격ㆍ기준, 관리ㆍ감독, 유출 시 배상책임을 엄격히 규정할 계획이다

▶  행안부의 중점 강조 사항
    1. 대량 개인정보 유출의 재발방지를 위해서는 기업CEO차원의 적극적 관심과 의지가 절대 필요하다.
    2. 개인정보를 다량관리하고 있는 업체는 다음의 사항을 점검및 관리/감독해야 한다.
       –  개인정보의 암호화 여부
       –  DB에 대한 접근 권한
       –  제반 보안조치를 전면 재점검
       –  개인정보처리 위탁하고있는 수탁업체의 적격정 확인,  관리/감독 강화

[방통위] 개인정보 오남용 피해예방 10계명

방송통신위원회와 한국정보보호진흥원에서 개인정보 오남용 피해 예방 10계명을 발표했다고 합니다. 개인정보를 수집하고 관리하는 기업에 대한 정책이나 규재도 함께 발표해준다면 더 좋겠다는 생각이 듭니다.  어쨋든 내 개인정보가 새어 나가면 결국 내 손해니깐..  각 개인들이  개인정보 관리에 만전을 기해야할듯 싶습니다.

10계명에 제가 조금씩 첨언을 해보았습니다.  사족이 될 듯하기도 하지만 제목만 쓰기엔 왠지 부족한듯 해서리…

<개인정보 오남용 피해예방 10계명>

제 1계명. 회원가입을 하거나 개인정보를 제공할 때에는 개인정보취급방침 및 약관을 꼼꼼히 살펴야 한다. (개인정보취급방침이 없는 사이트는 가입하지 않는다.)
 –> 저두 대충 읽고 동의하곤했는데 이젠 꼼꼼히 읽어야 할듯합니다. 개인정보에 관한 약관을 특히 자세히 읽어주세요. 약관이 허술하거나  불공정하다면 절대로 가입하지 않아야 합니다.

제 2계명: 회원가입 시 비밀번호를 타인이 유추하기 어렵도록 영문·숫자 및 특수문자를 조합하여 8자리 이상으로 설정한다.
–> 패스워드는 절대로 복잡하게 만들어야합니다. 문자사이에 스페이스를 넣는 것도 좋은 방법이고  길수록 좋습니다. 패스워드가 아니라 패스문장이 되도록 하면 사용자입장에선 쉽지만 해커입장에선 어렵겠죠?

제 3계명: 가급적 안전성이 높은 주민번호 대체수단(아이핀: i-PIN)으로 회원가입을 하고 꼭 필요하지 않은 개인정보는 입력하지 않는다.
–>음.. 이부분은 글쎄요란 생각이 드네요.. 아이핀은 효과가 있을지…. 이미 전국민의 주민번호가 다 새어나간 상황에서 주민번호를 사용한다는것 자체가 불안합니다.  뭔가 대안이 있어야할듯한데… 말이죠…  쓸데없이 개인정보를 많이 입력하게 하는 사이트엔 절대로 가입하지 마시길 권해드립니다. 개인정보는 꼭 필요한 만큼만 최소한도로 수집되어야 합니다.
–>참고사이트 : http://www.1336.or.kr)

제 4계명: 자신이 가입한 사이트에 타인이 자신인 것처럼 로그인하기 어렵도록 비밀번호를 주기적으로 변경한다.
–> 패스워드를 주기적으로 변경하는것이 좋습니다.  중요한 사이트라면 3개월에 한번씩은 변경하는 것을 권해드립니다.  패스워드도  여러개를 다르게 사용하는 정책을 가지고 계시면 좋을 듯 합니다.   그리고 사이트들에 가입시 중요도 레벨별로 아이디/패스워드를 달리하는것이 좋습니다. 모든 사이트들에 다른 아이디로 가입하는 것은 불가능하므로  등급을 나눠  3-5개정도의 다른 아이디/패스워드를 사용하되  해당사이트가 몇 레벨인지만 기억하면 될듯합니다. 

제 5계명: 타인이 자신의 명의로 신규 회원가입 시 즉각 차단하고 이를 통지받을 수 있도록 명의도용확인서비스를 이용한다. 
–> 어쨋든 대안이  될수 있으니 참고하세요.. 
-크레딧뱅크(
http://www.creditbank.co.kr)
-사이렌24(
http://www.siren24.com)
-마이크레딧(
http://www.mycredit.co.kr

제 6계명: 자신의 아이디와 비밀번호, 주민번호 등 개인정보가 공개되지 않도록 주의하여 관리하며 친구나 다른 사람에게 알려주지 않는다.
–>  어떤 경우에도 자신의 아이디/패스워드/주민번호를 알려주지 마세요. 가족에게도 알려주지 않는 것이 좋다는거…  ^^   어쨋든 그런 정신으로  아이디/패스워드를 관리해야합니다.  모니터에 아이디/패스워드 메모지로 붙여두고 사용하는 몰지각한 사람들도 본적이 있습니다.  PDA에 개인정보등 중요 정보를 보관하는것도 문제가 될수있습니다. PDA는 암호화가 안되거든요..  PC에도 마찬가지이구요..  엑셀도 암호를 걸어서 보관이 가능하므로  중요 정보라면  중요정보에 걸맞게 관리해주시길 바랍니다. 

제 7계명: 인터넷에 올리는 데이터에 개인정보가 포함되지 않도록 하며 P2P로 제공하는 자신의 공유폴더에 개인정보 파일이 저장되지 않도록 주의한다.
–> P2P는 아예 사용하지 않기를 권해드립니다.  혹 사용할시엔  필히 별도의 드라이브에 따로 공유를 지정해서 사용하시되 개인정보 파일이 결코 포함되지않도록 하시는것이 좋습니다. 그런 면에서 USB이동디스크를 공유로 사용하시는것도 좋을듯합니다. 사용하지않을때 쉽게 뺄수도 있구요…  인터넷에  개인정보가 포함된 text를 입력하거나 파일을 올리지 않도록 하시구요… ^^

제 8계명: 금융거래 시 신용카드 번호와 같은 금융정보 등은 암호화하여 저장하고 PC 방 등 개방환경에서는 개인정보를 입력하지 않는다.
–> PC방이나 관공서의 PC에서 금융거래를 하거나 중요한 사이트를 사용하는것은 매우 조심하셔야합니다.  누가 어떤 자료를 보고있는지 확인이 불가능합니다 .PC에 해킹소프트웨어가 설치되어 있을수도 있으며  네트웍단에서 스니핑을 하고 있을수도 있습니다.  PC방의 컴퓨터에 USB를 사용하다 해킹소프트웨어가 묻어 들어올수도 있으므로  주의가 필요합니다.

제 9계명: 인터넷에서 아무 자료나 함부로 다운로드 하지 않는다.
–> 파일을 다운로드 받을시 출처가 확실한 곳에서만 다운로드하시길 바랍니다. 출처가 확실할 경우에도 다운로드후 백신으로 검사하는 것이 꼭 필요합니다.  특히 E-donkey의 경우 별도의 관리자도 없기때문에 무수히 많은 해킹소프트웨어가 존재한다는거… 인지해야합니다.  P2P를 즐겨 쓰시는 분들 대부분이 해킹소프트웨어가  PC에 즐비하다는거…  다들 아시리라 생각합니다. 

제10계명: 개인정보가 유출된 경우 해당 사이트 관리자에게 삭제를 요청하고 처리되지 않는 경우 즉시 개인정보침해신고센터(1336, http://www.1336.or.kr/)에 신고하는 것을 생활화한다.