1 / 38

교육 ( 행정 ) 기관 개인정보 보호책임자 (CPO) 순회 교육 업무사례 중심의 개인정보보호법 이해

교육 ( 행정 ) 기관 개인정보 보호책임자 (CPO) 순회 교육 업무사례 중심의 개인정보보호법 이해. 2014 년 7 월. 목 차. 개인정보 보호법 개관. I. 개인정보보호 업무 사례 및 대응 방안. III. II. 개인정보 유출 사례 및 대응 방안. Ⅰ. 개인정보보호법 개관. 1. 개인정보보호법 소개 2. 개인정보보호법 개정 ( 시행 ) 주요 내용. 1. 개인정보보호법 소개.

fritz
Download Presentation

교육 ( 행정 ) 기관 개인정보 보호책임자 (CPO) 순회 교육 업무사례 중심의 개인정보보호법 이해

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 교육(행정)기관 개인정보 보호책임자(CPO) 순회 교육 업무사례 중심의 개인정보보호법 이해 2014년 7월

  2. 목 차 개인정보 보호법 개관 I 개인정보보호 업무 사례 및 대응 방안 III II 개인정보 유출 사례 및 대응 방안

  3. 개인정보보호법 개관 1. 개인정보보호법 소개 2. 개인정보보호법 개정(시행) 주요 내용

  4. 1. 개인정보보호법 소개 제 1 장 총칙 - 목적, 정의, 개인정보보호원칙, 다른 법률과의 관계 등 개인정보보호법 구성 제 2 장 개인정보보호정책의 수립 등 - 개인정보보호위원회, 기본계획·시행계획 수립, 개인정보보호지침, 자율규제촉진 등 제 3 장 개인정보의 처리 - 수집·이용·제공 등 처리기준, 민감정보·고유식별정보 제한, 영상정보처리기기 제한 등 제 4 장 개인정보의 안전한 관리 - 안전조치의무, 개인정보파일 등록·공개, 개인정보영향평가, 유출통지제도 등 제 5 장 정보주체의 권리 보장 - 열람요구권, 정정·삭제요구권, 처리정지요구권, 권리행사방법 및 절차, 손해배상책임 등 제 6 장 개인정보분쟁조정위원회 - 분쟁조정위원회 설치·구성, 분쟁조정의 신청방법·절차, 효력, 집단분쟁조정제도 등 제 7 장 개인정보 단체소송 – 단체소송 대상, 소송허가요건, 확정판결의 효력 등 제 8 장 부칙 - 적용제외, 금지행위, 침해사실신고, 시정조치 등 제 9 장 벌칙 – 벌칙, 과태료 및 양벌 규정 등 부칙 : 시행일, 경과조치, 다른 법률의 개정 등 - 4 -

  5. 1. 개인정보보호법 소개 개인정보 보호책임자(CPO) 1) 개인정보 보호의 개념 개인정보의 개념 단일정보 또는 다른 정보와 결합하여 살아있는 개인을 식별할 수 있는 정보 개인정보 처리자, 보호책임자, 취급자의 개념 • 업무 목적의 개인정보파일 운용 • 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등 개인정보 처리자 개인정보 처리자 개인정보 취급자 • 개인정보 처리에 관한 업무 총괄 책임 • 사업주 또는 대표자, 임원급 지정 필요(총괄, 최종 의사결정 가능 직무) • 개인정보처리자의 지휘·감독을 받아 개인정보 처리 - 5 -

  6. 1. 개인정보보호법 소개 2) 개인정보보호법과 개인정보의 Life-Cycle 수집 • 고유식별정보 및 민감정보의 처리 제한(법 제23조, 제24조) • 영상정보처리기기의 설치, 운영 제한(법 제 25조) 저장 • 기술적, 관리적, 물리적안전조치 의무(법 제29조) • 개인정보 처리방침의 공개 및 보호책임자 지정(법 제30조, 제31조) • 개인정보파일의 등록 및 공개(법 제32조) 제공 • 개인정보의 제공 및 제한(법 제17조 ~ 제20조) • 업무위탁, 영업양도 시 개인정보 처리 제한(법 제26조, 제27조) 파기 • 개인정보의 파기(법 제21조) • 개인정보 유출통지 및 정보주체의 권리 보장(법 제34조 ~ 제39조) - 6 -

  7. 1. 개인정보보호법 소개 2) 개인정보보호법과 개인정보의 Life-Cycle • 개인정보 처리 단계별 주요 문제점 및 조치방법 주요 문제점 취약점 조치방법 수집 • 개인정보 수집 관련 동의 • 고지항목 명시 • 개별 고지 및 동의 수집목적· 항목, 동의방법 • 위탁과제3자 제공 구분 • 수탁자 관리·감독 • 제3자 제공 시 동의 절차 • 별도의 동의절차 부재 • 동의 항목 기본 설정 미흡 • 위탁/제3자 제공 구분 미흡 • 수탁업체 관리·감독 부재 • 제3자 제공시 고지 미흡 • 검색 사이트 개인정보 노출 • DB 암호화 미적용 • 복잡한 회원탈퇴 • 삭제 수단 미흡 • 개인정보 영구보관(미파기) 제공 위탁고지, 제공시 동의방법 • 기술적·관리적·물리적 조치 • 접근권한 관리 • 자체 감사 저장 안전조치 의무 파기 개인정보 정정 및 삭제 시기와 방법 • 정정및 파기·삭제 • 열람 및 처리중지 - 7 -

  8. 1. 개인정보보호법 소개 3) 개인정보의 수집·이용 민감정보 및 고유식별정보의 처리 제한(법 제23조, 제24조) • 민감정보 • 정보주체의 사행활을 현저히 침해할 우려가 있는 개인정보 • 사상·신념, 노동조합·정당 가입·탈퇴, 정치적 견해, 건강, 성생활 등의 정보 • 주민등록번호 • 고유식별정보 • 개인을 고유하게 구별하기 위해 부여된 정보 • 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호 고유식별정보원칙적 처리 금지 • 주민등록번호 외의 회원가입 방법 제공 • 고유식별정보 처리 시, 암호화 등 안전성 확보조치 • 예외적 허용 사유 • 정보주체의 별도 동의(14.8.7 개정(시행)법에 따라예외 사항을 제외한 주민등록번호 처리 금지) • 법령에서 구체적으로 처리를요구하거나허용하는 경우 • 공공기관이 법률에서 정한 소관업무 수행을 위해불가피한 경우 법령 - 8 -

  9. 1. 개인정보보호법 소개 4) 개인정보의 저장 기술적, 관리적, 물리적 안전조치 의무(법 제29조) • 접근통제 시스템 설치 및 운영 • 개인정보의 암호화 및 보안프로그램 설치 운영 • 접속기록의 보관 및 위, 변조 방지 기술적 • 내부 관리계획의 수립 및 시행 • 개인정보 보호책임자 지정(CPO)및 개인정보 취급자에 대한 교육 실시 관리적 • 전산실, 자료보관실 등 출입통제 절차 수립 및 운영 • 개인정보가 포함된 서류, 보조저장매체 등은 잠금장치가 있는 장소에 보관 물리적 - 9 -

  10. 1. 개인정보보호법 소개 5) 개인정보의 제공 개인정보보호의 제공 및 이용 제한(법 제17조 ~ 제20조) • 개인정보 외부 제3자 제공 • 개인정보의 목적 외 이용 및 제3자 제공은 원칙적 불가 • 법 제18조 2항에 의한 경우 제3자 제공가능 • (개인정보 수집 목적 범위 내, 정보주체의 동의를 받은경우, 법률에 규정이 있는 경우 등) • 동의를 받을 때에는 제공받는 자, 이용목적, 개인정보 항목, 보유・이용기간, • 동의거부권 에 대한 고지 • 개인정보 운영 방법 공개 • 서면, 전자우편, 모사전송, 전화, 전화 문자전송, 홈페이지 게시 - 10 -

  11. 1. 개인정보보호법 소개 6) 개인정보의 파기 개인정보의 파기(법 제21조) • 파기 방법 • 수집 및 이용목적 달성 후 지체 없이 파기 • 개인정보 파기 후 복구 또는 재생되지 아니하도록 조치 • 개인정보 기록된 출력물, 서면 등 파쇄 또는 소각 • 전자적 파일 복원 불가능한 방법으로 영구 삭제 - 11 -

  12. 1. 개인정보보호법 소개 7) 영향평가 제도 개인정보 영향평가 제도(법 제33조) 공공기관에서 개인정보를 처리하는 정보화 사업추진 시, 개인정보 침해사고 예방을 위한 사전 개인정보 영향평가 실시 의무화 정보화 사업 추진 • 신규 정보화 사업에 대한 개인정보 위험 요인 분석 및 개선조치 후서비스 제공 개인정보 영향평가 침해요인 분석 개인정보 영향평가 제도란? 개인정보파일 구축, 상호연계 등 사업 추진 시사전에 개인정보 유출, 오·남용 등 정보주체의권익침해 위험 조사, 예측, 검토개선 제도 공공기관 평가기관 정보주체 - 12 -

  13. 1. 개인정보보호법 소개 8)정보주체의 권리보장 집단분쟁 조정제도 및 단체소송(법 제49, 51조) 다수의 정보주체에게 비슷한 침해가 일어난 경우, 일괄 분쟁조정하거나 단체로 권리침해 중지를 요구할 수 있는 소송제도 도입 - 13 -

  14. 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 배경 및 추진경과 ▣반복되는 개인정보 대량유출 낮은 개인정보보호 의식! 솜방망이 처벌과 실효성 없는 대책! • ’14년 1월 카드사 1억 400만건 개인정보 유출 • ’14년 3월 통신사 고객 1,200만명 정보 유출 • 2011년 이후 개인정보 유출·침해 건수 • 약 2억3000만건 이상 • (국민 일인당 4회 이상 유출된 셈) ※ 사진출처 : 전자신문 - 14 -

  15. 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 배경 및 추진경과 ▣개인정보 유출사고 증가 및 2차 피해 발생에 따른 대책 마련 시급 공공기관 직원들, 개인정보 무단열람 정보유출 2차피해 발생 돈받고 개인정보 유출 명의도용, 스팸발송, 피싱 등에 활용 총 3개 카드사 약 1억 300만 개인정보 대량유출 개인정보 유출 피해 근절을 위한 대책마련 시급 - 15 -

  16. 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 배경 및 추진경과 ▣ 정책 추진경과 『주민번호 수집·이용 최소화 종합대책 』마련 ( ‘12.4) ※ 안행부, 방통위, 금융위 공동 마련, ‘12.4.20 국가정책조정회의 보고 인터넷상 주민번호 수집금지『정통망법』개정 ( ‘12.8) ※ 6개월 계도기간 운영(‘13.2월 본격 시행) 주민번호 수집 법정주의를 위한 『개인정보보호법 』개정 공포( ‘13.8.6) 및시행( ‘14.8.7) 주민번호 처리 근거 마련 : 27개 부처 299개 대통령령 * 고유식별정보 및 민감정보 처리근거 마련 위한 대통령령 일괄개정(‘12.1, ‘13.1) - 16 -

  17. Ⅱ. 개인정보 보호법 주요 개정 내용 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 상세 개정 내용 ▣ 주민번호 수집 법정주의 원칙적 처리금지, 예외적 처리 허용 • 개정법 제24조의 2항 • 법령에서 구체적으로 주민등록번호 처리를 요구, 허용한 경우 • 정보주체 또는 제3자의 급박한 생명, 신체, 재산 이익을 위해 • 명백히 필요하다고 인정되는 경우 • 기타 이에 준한 경우로서 안전행정부령으로 정하는 경우 • 주민번호 외의 홈페이지 회원가입 방법 제공(14.8.7까지) • 주민번호 수집 금지 계획 수립 및 시행 (14.8.7 까지) - 17 -

  18. 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 상세 개정 내용 ▣ 과징금 및 징계권고 제도 과징금 제도 신설 • 개정법 제34조의2 제1항 • 주민번호 유출 등의 경우 과징금(5억원 이하) 부과 • 다만, 주민번호 안전성 확보조치 이행시 과징금 면제 • 개정법 제65조제2항 • 안전행정부장관의 징계권고 대상자에 CED 및 책임있는 임원이 • 포함됨을 명시 CEO 및 책임 있는 임원(개인정보 보호책임자 등)의 역할과 책임 강화 - 18 -

  19. 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 주민번호 처리 금지 정책방향 ▣주민번호 미 수집 환경 구축 추진 교육(행정)기관 교육부 • 주민번호 사용실태 조사 • 주민번호 미 수집 전환 검토 • 대체수단 도입 또는 근거 마련 • 주민번호 수집 금지 계획 수립 및 • 시행(14.8.7 이전까지) • 교육, 홍보 및 기술지원 • 우수사례 조사 및 공유 • 미수집 전환 추진 점검 및 지원 개정(시행) 개인정보보호법에 따라 주민번호 처리금지 등 조치 실시 (불가피한 경우 필요 최소한 이용할 수 있는 법령 근거 마련) - 19 -

  20. 2. 개인정보보호법 개정(시행) 주요 내용 • 2. 불가피성 유무 (대체 불가능) • 1. 주민번호 처리 법령 근거 유무 ▣ 주민번호 전환 체크리스트(안) ▣주민번호 처리 필요성 검토 및 근거 마련(근거 없는 기수집 주민번호 삭제 조치) 현행 유지 • 법령(법률, 시행령, 시행규칙)상 • 주민번호 처리근거가 있는 경우 YES NO 법령 근거 마련 • 기존 입법례를 참고하여 당해 소관 법령에 근거 마련 YES 대체수단 적용 • 주민번호를 생년월일, 등록번호, • I-Pin 등으로 대체 NO 법령 근거가 없는 경우 수집된 주민등록번호에 대한 삭제 조치(2016년 1월 1일 까지) - 20 -

  21. 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 주민번호 미 수집 전환 대응방법 • 학교 홈페이지 회원 관리 수단으로 주민번호 처리 시 각급 학교 홈페이지 회원 관리를 위해 학생의 주민번호 수집 가능 여부? • 주민번호 처리 법령근거 유무 • 법령근거 없음 • 유아교육법 * 초중등교육법*고등교육법 시행령에서는 법령상 업무에 따른 • 주민번호 처리 근거를 규정하고 있으나 홈페이지 회원관리는 이에 해당하지 않음 • 처리 불가피성 유무 • 불가피성 없음 • 주민번호 대신 생년월일, 학번, I-Pin 등으로 대체 가능 • 대응 방안 • 주민번호 삭제 및 대체수단 도입 검토 • 생년월일, 학번, I-Pin, 휴대폰 인증 등 - 21 -

  22. 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 주민번호 미 수집 전환 대응방법 • 법령 근거 없는 자체 서식을 통해 주민번호 수집 시 구체적 법령 근거 없이 각종 신고서, 신청서 양식 등으로 주민번호 수집 가능여부? • 주민번호 처리 법령근거 유무 • 법령근거 없음 • 주민번호는 원칙적으로 처리가 제한되는 개인정보이므로 법령근거가 없을 경우 • 수집 및 처리 금지 • 처리 불가피성 유무 • 불가피성 없음 • 주민번호 대신 생년월일 등으로 대체 가능 • 대응 방안 • 주민번호 삭제 및 필요시 소관부처에 법령 반영 요구 - 22 -

  23. 2. 개인정보보호법 개정(시행) 주요 내용 ▣ 주민번호 미수집 전환 대응방법 • 내부 업무를 위한 주민번호 수집 시 내부 업무를 위한 주민번호가 담긴 한글 파일을 개인 USB에 보관 가능 여부? • 주민번호 처리 법령근거 유무 • 법령근거 검토 필요 • 내부 업무를 위해 주민번호 수집의 근거가 있는지 검토하여 처리 가능 • 처리 불가피성 유무 • 불가피성 검토 필요 • 주민번호의 처리 필요성 여부를 검토하여 법령 근거를 마련하여 처리 가능 • 대응 방안 • 주민번호의 수집 및 처리에 대한 법령 근거가 있는 경우에는 처리 가능함 • 다만, 저장하는 경우 분실, 도난, 유출, 변조 또는 훼손 되지 않도록 안전성 확보 조치 필요 • 주민등록번호가 담긴 한글파일은 비밀번호 설정 • 잠금장치가 있는 보안 USB 사용 - 23 -

  24. II 주요현황 및 시사점 1. 국내 개인정보 유출 사례 2. 교육(행정)기관 개인정보 유출 사례 3. 개인정보보호법 위반 및 행정처분 사례 4. 개인정보보호 강화 방안

  25. 1. 국내 개인정보 유출 사례 ▣ 정부기관 개인정보 유출 무방비(2014.2.5, SBS뉴스) 여기를 클릭하시면 영상 팝업 창이 나타납니다. - 25 -

  26. 1. 국내 개인정보 유출 사례 ▣ 주요 개인정보 유출 원인 및 내용 - 26 -

  27. 1. 국내 개인정보 유출 사례 ▣ 연도별 개인정보 침해 사고 및 유형 72% 177,736 최근 5년 약 5배 증가 출처 : 방송통신위원회 (한국인터넷진흥원 개인정보침해신고센터 접수자료) - 27 -

  28. 2. 교육(행정)기관 개인정보 유출 사례 ▣원인 : 개인정보 관리 부주의로 게시판에 개인정보가 포함된 자료 업로드 • 엑셀의 셀 숨기기 기능을 이용하여 셀을 숨기고 게시판에 개인정보 게시 - 28 -

  29. 2. 교육(행정)기관 개인정보 유출 사례 ▣원인 : 개인정보 관리 부주의로 게시판에 개인정보가 포함된 자료 업로드 • OLE개체 삽입 기능을 사용하여 작성한 첨부문서의 그래프를 더블 클릭 시 그래프 작성을 위하여 사용한 개인정보 확인 가능 <그래프 작성 시 사용한 자료> <첨부문서의 그래프> - 29 -

  30. 2. 교육(행정)기관 개인정보 유출 사례 ▣원인 :개인정보를 제3자 제공 시, 정보주체의 동의 없이 무단 제공 • 전 검찰총장 아들 친자 확인을 위해 해당 교육청으로부터 가족관계부 열람 등 본인 동의 없이 개인정보 유출 언론보도 - 30 -

  31. 2. 교육(행정)기관 개인정보 유출 사례 ▣ 원인 : 개인정보취급자의 개인정보보호 인식 부족 • 학부모의 휴대전화 정보 및 상담기록 정보가 담긴 서류와 일반 서류를 인근 고물상에 판매 개인정보가 담긴 서류의 파기를 요청 인근 고물상 학부모 휴대전화 - 31 -

  32. 2. 교육(행정)기관 개인정보 유출 사례 ▣ 원인 : 개인정보취급자의 개인정보보호 인식 부족 • 초등학교 가정통신문 발송 시, 기초생활수급자의 개인정보 노출 - 32 -

  33. 2. 교육(행정)기관 개인정보 유출 사례 ▣ 원인 : 대학 서버 보안설정 취약,FTP서버 모든 파일 웹에서 유출 • 구글 검색만으로도 해당 대학 6개 학과 학생 및 교수 130명 개인정보 유출 - 33 -

  34. 3. 개인정보보호법 위반 및 행정처분 사례 ▣2013년 교육(행정)기관 개인정보보호법 위반 사항 대학 정부 및 공공기관 • 접근권한 부여∙변경∙말소기록 미관리 • 수집 동의 시 고지사항 미 고지 • 처리방침 공개 시 필수항목 누락 • 위탁업무 수탁사 미공개 • 개인정보처리시스템 접속기록 미관리 • 고유식별정보 및 비밀번호 저장∙전송 시 암호화 미적용 • 내부 관리계획 미 수립 • 업무용 PC 고유식별정보 암호화 미적용 • 위탁 계약 시 필수사항 미반영 • 비밀번호 일방향 암호화 미적용 • 고유식별정보 및 비밀번호 암호화 미적용 • 내부 관리계획 미 수립 • 관리자 페이지 안전한 접속수단 미적용 • 홈페이지 개인정보 노출 • 비밀번호 작성 규칙 미 적용 • 계정 공유(권한 관리 미흡) • 수집 동의 시 고지사항 미 고지 - 34 -

  35. 3. 개인정보보호법 위반 및 행정처분 사례 ▣ 개인정보보호법 위반에 따른 행정처분 강화 대학교에서 학생의 개인정보 수집 동의 시 필수사항 미고지 (개인정보보호법 제15조 “개인정보 수집·이용” 위반) 위반사례 1 위반사례 2 행정처분 : 5천만원 이하의 과태료 부과 개선방안 : 정보주체 동의 시 필수 고지항목 고지 필요 (①개인정보 수집·이용 목적 ②수집 개인정보 항목 ③ 보유 및 이용 기간 ④ 동의 거부 권리 및 불이익의 내용) 공공기관 민원신청 게시판의 비밀번호 설정 및 전송 시 암호화 미조치 (개인정보보호법 제29조 “안전조치의무” 위반) 행정처분 : 3천만원 이하의 과태료 부과 개선방안 : 안전한 비밀번호 작성 규칙 적용 및 암호화 적용 ① 영문·숫자 ·특수문자 2가지 조합 시 최소 10자리 이상 ② 영문·숫자 ·특수문자 3가지 조합 시 최소 8자리 이상 - 35 -

  36. 4. 개인정보보호 강화 방안 ▣ 교육사이버안전센터 사이버공격 대응 방안 활용 개인정보처리시스템에 대한 보안강화 • 보안 관리시스템에 대한 관리자 및 업데이트 서비스 외 접근 차단 • 정보시스템 계정의 비밀번호 복잡성 유지 및 정기적 변경 • 정보시스템의 불필요 서비스 중지 및 포트 차단 • 정기적인 모의 훈련(모의침투, 재난 복구 등) 실시 • 정보시스템 재개편 시 보안 취약점 점검 실시 • 중요 개인정보 DB 암호화 개인정보가 저장된 PC의보안강화 • 주요 응용프로그램(한글, PDF, JAVA 등) 최신 보안 패치 강화 • 불필요한 응용 프로그램 설치 금지 • 최신 엔진의 백신 사용 및 정기적인 수동검사 실시 • 관리자 PC 공개용 보안소프트웨어 사용 지양 및 인터넷 차단 - 36 -

  37. 4. 개인정보보호 강화 방안 ▣ 개인정보 보호책임자(CPO)의 개인정보 관리·감독 역량 강화 개인정보보호를 위해 가장 필요한 것! 교육(행정)기관 개인정보 보호책임자(CPO)의 개인정보보호를 위한 관심과 책임감이 중요! 개인정보 처리실태 관리·감독 철저 개인정보보호 계획 수립 및 시행 개인정보 유출예방 침해 대응 강화 - 37 -

  38. 감사합니다

More Related