slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
교육 ( 행정 ) 기관 개인정보 보호책임자 (CPO) 순회 교육 업무사례 중심의 개인정보보호법 PowerPoint Presentation
Download Presentation
교육 ( 행정 ) 기관 개인정보 보호책임자 (CPO) 순회 교육 업무사례 중심의 개인정보보호법

Loading in 2 Seconds...

play fullscreen
1 / 38

교육 ( 행정 ) 기관 개인정보 보호책임자 (CPO) 순회 교육 업무사례 중심의 개인정보보호법 - PowerPoint PPT Presentation


  • 514 Views
  • Uploaded on

교육 ( 행정 ) 기관 개인정보 보호책임자 (CPO) 순회 교육 업무사례 중심의 개인정보보호법 이해. 2014 년 7 월. 목 차. 개인정보 보호법 개관. I. 개인정보보호 업무 사례 및 대응 방안. III. II. 개인정보 유출 사례 및 대응 방안. Ⅰ. 개인정보보호법 개관. 1. 개인정보보호법 소개 2. 개인정보보호법 개정 ( 시행 ) 주요 내용. 1. 개인정보보호법 소개.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '교육 ( 행정 ) 기관 개인정보 보호책임자 (CPO) 순회 교육 업무사례 중심의 개인정보보호법' - fritz


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

교육(행정)기관 개인정보 보호책임자(CPO) 순회 교육

업무사례 중심의 개인정보보호법 이해

2014년 7월

slide2

목 차

개인정보 보호법 개관

I

개인정보보호 업무 사례 및 대응 방안

III

II

개인정보 유출 사례 및 대응 방안

slide3

개인정보보호법 개관

1. 개인정보보호법 소개

2. 개인정보보호법 개정(시행) 주요 내용

slide4

1. 개인정보보호법 소개

제 1 장 총칙 - 목적, 정의, 개인정보보호원칙, 다른 법률과의 관계 등

개인정보보호법 구성

제 2 장 개인정보보호정책의 수립 등

- 개인정보보호위원회, 기본계획·시행계획 수립, 개인정보보호지침, 자율규제촉진 등

제 3 장 개인정보의 처리

- 수집·이용·제공 등 처리기준, 민감정보·고유식별정보 제한, 영상정보처리기기 제한 등

제 4 장 개인정보의 안전한 관리

- 안전조치의무, 개인정보파일 등록·공개, 개인정보영향평가, 유출통지제도 등

제 5 장 정보주체의 권리 보장

- 열람요구권, 정정·삭제요구권, 처리정지요구권, 권리행사방법 및 절차, 손해배상책임 등

제 6 장 개인정보분쟁조정위원회

- 분쟁조정위원회 설치·구성, 분쟁조정의 신청방법·절차, 효력, 집단분쟁조정제도 등

제 7 장 개인정보 단체소송 – 단체소송 대상, 소송허가요건, 확정판결의 효력 등

제 8 장 부칙 - 적용제외, 금지행위, 침해사실신고, 시정조치 등

제 9 장 벌칙 – 벌칙, 과태료 및 양벌 규정 등

부칙 : 시행일, 경과조치, 다른 법률의 개정 등

- 4 -

slide5

1. 개인정보보호법 소개

개인정보 보호책임자(CPO)

1) 개인정보 보호의 개념

개인정보의 개념

단일정보 또는 다른 정보와 결합하여 살아있는 개인을 식별할 수 있는 정보

개인정보 처리자, 보호책임자, 취급자의 개념

  • 업무 목적의 개인정보파일 운용
  • 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등

개인정보

처리자

개인정보 처리자

개인정보 취급자

  • 개인정보 처리에 관한 업무 총괄 책임
  • 사업주 또는 대표자, 임원급 지정 필요(총괄, 최종 의사결정 가능 직무)
  • 개인정보처리자의 지휘·감독을 받아 개인정보 처리

- 5 -

slide6

1. 개인정보보호법 소개

2) 개인정보보호법과 개인정보의 Life-Cycle

수집

  • 고유식별정보 및 민감정보의 처리 제한(법 제23조, 제24조)
  • 영상정보처리기기의 설치, 운영 제한(법 제 25조)

저장

  • 기술적, 관리적, 물리적안전조치 의무(법 제29조)
  • 개인정보 처리방침의 공개 및 보호책임자 지정(법 제30조, 제31조)
  • 개인정보파일의 등록 및 공개(법 제32조)

제공

  • 개인정보의 제공 및 제한(법 제17조 ~ 제20조)
  • 업무위탁, 영업양도 시 개인정보 처리 제한(법 제26조, 제27조)

파기

  • 개인정보의 파기(법 제21조)
  • 개인정보 유출통지 및 정보주체의 권리 보장(법 제34조 ~ 제39조)

- 6 -

slide7

1. 개인정보보호법 소개

2) 개인정보보호법과 개인정보의 Life-Cycle

  • 개인정보 처리 단계별 주요 문제점 및 조치방법

주요 문제점

취약점 조치방법

수집

  • 개인정보 수집 관련 동의
  • 고지항목 명시
  • 개별 고지 및 동의

수집목적·

항목, 동의방법

  • 위탁과제3자 제공 구분
  • 수탁자 관리·감독
  • 제3자 제공 시 동의 절차
  • 별도의 동의절차 부재
  • 동의 항목 기본 설정 미흡
  • 위탁/제3자 제공 구분 미흡
  • 수탁업체 관리·감독 부재
  • 제3자 제공시 고지 미흡
  • 검색 사이트 개인정보 노출
  • DB 암호화 미적용
  • 복잡한 회원탈퇴
  • 삭제 수단 미흡
  • 개인정보 영구보관(미파기)

제공

위탁고지,

제공시 동의방법

  • 기술적·관리적·물리적 조치
  • 접근권한 관리
  • 자체 감사

저장

안전조치 의무

파기

개인정보

정정 및 삭제

시기와 방법

  • 정정및 파기·삭제
  • 열람 및 처리중지

- 7 -

slide8

1. 개인정보보호법 소개

3) 개인정보의 수집·이용

민감정보 및 고유식별정보의 처리 제한(법 제23조, 제24조)

  • 민감정보
    • 정보주체의 사행활을 현저히 침해할 우려가 있는 개인정보
    • 사상·신념, 노동조합·정당 가입·탈퇴, 정치적 견해, 건강, 성생활 등의 정보
    • 주민등록번호
  • 고유식별정보
    • 개인을 고유하게 구별하기 위해 부여된 정보
    • 주민등록번호, 운전면허번호, 여권번호, 외국인등록번호 고유식별정보원칙적 처리 금지
    • 주민등록번호 외의 회원가입 방법 제공
    • 고유식별정보 처리 시, 암호화 등 안전성 확보조치
  • 예외적 허용 사유
    • 정보주체의 별도 동의(14.8.7 개정(시행)법에 따라예외 사항을 제외한 주민등록번호 처리 금지)
    • 법령에서 구체적으로 처리를요구하거나허용하는 경우
    • 공공기관이 법률에서 정한 소관업무 수행을 위해불가피한 경우

법령

- 8 -

slide9

1. 개인정보보호법 소개

4) 개인정보의 저장

기술적, 관리적, 물리적 안전조치 의무(법 제29조)

  • 접근통제 시스템 설치 및 운영
  • 개인정보의 암호화 및 보안프로그램 설치 운영
  • 접속기록의 보관 및 위, 변조 방지

기술적

  • 내부 관리계획의 수립 및 시행
  • 개인정보 보호책임자 지정(CPO)및 개인정보 취급자에 대한 교육 실시

관리적

  • 전산실, 자료보관실 등 출입통제 절차 수립 및 운영
  • 개인정보가 포함된 서류, 보조저장매체 등은 잠금장치가 있는 장소에 보관

물리적

- 9 -

slide10

1. 개인정보보호법 소개

5) 개인정보의 제공

개인정보보호의 제공 및 이용 제한(법 제17조 ~ 제20조)

  • 개인정보 외부 제3자 제공
    • 개인정보의 목적 외 이용 및 제3자 제공은 원칙적 불가
    • 법 제18조 2항에 의한 경우 제3자 제공가능
    • (개인정보 수집 목적 범위 내, 정보주체의 동의를 받은경우, 법률에 규정이 있는 경우 등)
    • 동의를 받을 때에는 제공받는 자, 이용목적, 개인정보 항목, 보유・이용기간,
    • 동의거부권 에 대한 고지
  • 개인정보 운영 방법 공개
    • 서면, 전자우편, 모사전송, 전화, 전화 문자전송, 홈페이지 게시

- 10 -

slide11

1. 개인정보보호법 소개

6) 개인정보의 파기

개인정보의 파기(법 제21조)

  • 파기 방법
    • 수집 및 이용목적 달성 후 지체 없이 파기
    • 개인정보 파기 후 복구 또는 재생되지 아니하도록 조치
    • 개인정보 기록된 출력물, 서면 등 파쇄 또는 소각
    • 전자적 파일 복원 불가능한 방법으로 영구 삭제

- 11 -

slide12

1. 개인정보보호법 소개

7) 영향평가 제도

개인정보 영향평가 제도(법 제33조)

공공기관에서 개인정보를 처리하는 정보화 사업추진 시, 개인정보 침해사고 예방을 위한

사전 개인정보 영향평가 실시 의무화

정보화 사업 추진

  • 신규 정보화 사업에 대한 개인정보 위험 요인 분석 및 개선조치 후서비스 제공

개인정보

영향평가

침해요인

분석

개인정보 영향평가 제도란?

개인정보파일 구축, 상호연계 등 사업 추진 시사전에 개인정보 유출, 오·남용 등 정보주체의권익침해 위험 조사, 예측, 검토개선 제도

공공기관

평가기관

정보주체

- 12 -

slide13

1. 개인정보보호법 소개

8)정보주체의 권리보장

집단분쟁 조정제도 및 단체소송(법 제49, 51조)

다수의 정보주체에게 비슷한 침해가 일어난 경우, 일괄 분쟁조정하거나 단체로 권리침해 중지를

요구할 수 있는 소송제도 도입

- 13 -

slide14

2. 개인정보보호법 개정(시행) 주요 내용

▣ 배경 및 추진경과

▣반복되는 개인정보 대량유출

낮은 개인정보보호 의식!

솜방망이 처벌과 실효성 없는 대책!

  • ’14년 1월 카드사 1억 400만건 개인정보 유출
  • ’14년 3월 통신사 고객 1,200만명 정보 유출
  • 2011년 이후 개인정보 유출·침해 건수
  • 약 2억3000만건 이상
  • (국민 일인당 4회 이상 유출된 셈)

※ 사진출처 : 전자신문

- 14 -

slide15

2. 개인정보보호법 개정(시행) 주요 내용

▣ 배경 및 추진경과

▣개인정보 유출사고 증가 및 2차 피해 발생에 따른 대책 마련 시급

공공기관 직원들, 개인정보 무단열람

정보유출 2차피해 발생

돈받고 개인정보 유출

명의도용, 스팸발송, 피싱 등에 활용

총 3개 카드사 약 1억 300만 개인정보 대량유출

개인정보 유출 피해 근절을 위한 대책마련 시급

- 15 -

slide16

2. 개인정보보호법 개정(시행) 주요 내용

▣ 배경 및 추진경과

▣ 정책 추진경과

『주민번호 수집·이용 최소화 종합대책 』마련 ( ‘12.4)

※ 안행부, 방통위, 금융위 공동 마련, ‘12.4.20 국가정책조정회의 보고

인터넷상 주민번호 수집금지『정통망법』개정 ( ‘12.8)

※ 6개월 계도기간 운영(‘13.2월 본격 시행)

주민번호 수집 법정주의를 위한 『개인정보보호법 』개정 공포( ‘13.8.6) 및시행( ‘14.8.7)

주민번호 처리 근거 마련 : 27개 부처 299개 대통령령

* 고유식별정보 및 민감정보 처리근거 마련 위한 대통령령 일괄개정(‘12.1, ‘13.1)

- 16 -

slide17

Ⅱ. 개인정보 보호법 주요 개정 내용

2. 개인정보보호법 개정(시행) 주요 내용

▣ 상세 개정 내용

▣ 주민번호 수집 법정주의

원칙적 처리금지, 예외적 처리 허용

  • 개정법 제24조의 2항
    • 법령에서 구체적으로 주민등록번호 처리를 요구, 허용한 경우
    • 정보주체 또는 제3자의 급박한 생명, 신체, 재산 이익을 위해
    • 명백히 필요하다고 인정되는 경우
    • 기타 이에 준한 경우로서 안전행정부령으로 정하는 경우
    • 주민번호 외의 홈페이지 회원가입 방법 제공(14.8.7까지)
  • 주민번호 수집 금지 계획 수립 및 시행 (14.8.7 까지)

- 17 -

slide18

2. 개인정보보호법 개정(시행) 주요 내용

▣ 상세 개정 내용

▣ 과징금 및 징계권고 제도

과징금 제도 신설

  • 개정법 제34조의2 제1항
    • 주민번호 유출 등의 경우 과징금(5억원 이하) 부과
    • 다만, 주민번호 안전성 확보조치 이행시 과징금 면제
  • 개정법 제65조제2항
    • 안전행정부장관의 징계권고 대상자에 CED 및 책임있는 임원이
    • 포함됨을 명시

CEO 및 책임 있는 임원(개인정보 보호책임자 등)의 역할과 책임 강화

- 18 -

slide19

2. 개인정보보호법 개정(시행) 주요 내용

▣ 주민번호 처리 금지 정책방향

▣주민번호 미 수집 환경 구축 추진

교육(행정)기관

교육부

  • 주민번호 사용실태 조사
  • 주민번호 미 수집 전환 검토
  • 대체수단 도입 또는 근거 마련
  • 주민번호 수집 금지 계획 수립 및
  • 시행(14.8.7 이전까지)
  • 교육, 홍보 및 기술지원
  • 우수사례 조사 및 공유
  • 미수집 전환 추진 점검 및 지원

개정(시행) 개인정보보호법에 따라 주민번호 처리금지 등 조치 실시

(불가피한 경우 필요 최소한 이용할 수 있는 법령 근거 마련)

- 19 -

slide20

2. 개인정보보호법 개정(시행) 주요 내용

  • 2. 불가피성 유무 (대체 불가능)
  • 1. 주민번호 처리 법령 근거 유무

▣ 주민번호 전환 체크리스트(안)

▣주민번호 처리 필요성 검토 및 근거 마련(근거 없는 기수집 주민번호 삭제 조치)

현행 유지

  • 법령(법률, 시행령, 시행규칙)상
  • 주민번호 처리근거가 있는 경우

YES

NO

법령 근거 마련

  • 기존 입법례를 참고하여 당해 소관 법령에 근거 마련

YES

대체수단 적용

  • 주민번호를 생년월일, 등록번호,
  • I-Pin 등으로 대체

NO

법령 근거가 없는 경우 수집된 주민등록번호에 대한 삭제 조치(2016년 1월 1일 까지)

- 20 -

slide21

2. 개인정보보호법 개정(시행) 주요 내용

▣ 주민번호 미 수집 전환 대응방법

  • 학교 홈페이지 회원 관리 수단으로 주민번호 처리 시

각급 학교 홈페이지 회원 관리를 위해 학생의 주민번호 수집 가능 여부?

  • 주민번호 처리 법령근거 유무
    • 법령근거 없음
      • 유아교육법 * 초중등교육법*고등교육법 시행령에서는 법령상 업무에 따른
      • 주민번호 처리 근거를 규정하고 있으나 홈페이지 회원관리는 이에 해당하지 않음
  • 처리 불가피성 유무
    • 불가피성 없음
      • 주민번호 대신 생년월일, 학번, I-Pin 등으로 대체 가능
  • 대응 방안
    • 주민번호 삭제 및 대체수단 도입 검토
      • 생년월일, 학번, I-Pin, 휴대폰 인증 등

- 21 -

slide22

2. 개인정보보호법 개정(시행) 주요 내용

▣ 주민번호 미 수집 전환 대응방법

  • 법령 근거 없는 자체 서식을 통해 주민번호 수집 시

구체적 법령 근거 없이 각종 신고서, 신청서 양식 등으로 주민번호 수집 가능여부?

  • 주민번호 처리 법령근거 유무
    • 법령근거 없음
      • 주민번호는 원칙적으로 처리가 제한되는 개인정보이므로 법령근거가 없을 경우
      • 수집 및 처리 금지
  • 처리 불가피성 유무
    • 불가피성 없음
      • 주민번호 대신 생년월일 등으로 대체 가능
  • 대응 방안
    • 주민번호 삭제 및 필요시 소관부처에 법령 반영 요구

- 22 -

slide23

2. 개인정보보호법 개정(시행) 주요 내용

▣ 주민번호 미수집 전환 대응방법

  • 내부 업무를 위한 주민번호 수집 시

내부 업무를 위한 주민번호가 담긴 한글 파일을 개인 USB에 보관 가능 여부?

  • 주민번호 처리 법령근거 유무
    • 법령근거 검토 필요
      • 내부 업무를 위해 주민번호 수집의 근거가 있는지 검토하여 처리 가능
  • 처리 불가피성 유무
    • 불가피성 검토 필요
      • 주민번호의 처리 필요성 여부를 검토하여 법령 근거를 마련하여 처리 가능
  • 대응 방안
    • 주민번호의 수집 및 처리에 대한 법령 근거가 있는 경우에는 처리 가능함
    • 다만, 저장하는 경우 분실, 도난, 유출, 변조 또는 훼손 되지 않도록 안전성 확보 조치 필요
      • 주민등록번호가 담긴 한글파일은 비밀번호 설정
      • 잠금장치가 있는 보안 USB 사용

- 23 -

slide24

II

주요현황 및 시사점

1. 국내 개인정보 유출 사례

2. 교육(행정)기관 개인정보 유출 사례

3. 개인정보보호법 위반 및 행정처분 사례

4. 개인정보보호 강화 방안

slide25

1. 국내 개인정보 유출 사례

▣ 정부기관 개인정보 유출 무방비(2014.2.5, SBS뉴스)

여기를 클릭하시면 영상 팝업 창이 나타납니다.

- 25 -

slide26

1. 국내 개인정보 유출 사례

▣ 주요 개인정보 유출 원인 및 내용

- 26 -

slide27

1. 국내 개인정보 유출 사례

▣ 연도별 개인정보 침해 사고 및 유형

72%

177,736

최근 5년

약 5배 증가

출처 : 방송통신위원회 (한국인터넷진흥원 개인정보침해신고센터 접수자료)

- 27 -

slide28

2. 교육(행정)기관 개인정보 유출 사례

▣원인 : 개인정보 관리 부주의로 게시판에 개인정보가 포함된 자료 업로드

  • 엑셀의 셀 숨기기 기능을 이용하여 셀을 숨기고 게시판에 개인정보 게시

- 28 -

slide29

2. 교육(행정)기관 개인정보 유출 사례

▣원인 : 개인정보 관리 부주의로 게시판에 개인정보가 포함된 자료 업로드

  • OLE개체 삽입 기능을 사용하여 작성한 첨부문서의 그래프를 더블 클릭 시 그래프 작성을 위하여 사용한 개인정보 확인 가능

<그래프 작성 시 사용한 자료>

<첨부문서의 그래프>

- 29 -

slide30

2. 교육(행정)기관 개인정보 유출 사례

▣원인 :개인정보를 제3자 제공 시, 정보주체의 동의 없이 무단 제공

  • 전 검찰총장 아들 친자 확인을 위해 해당 교육청으로부터 가족관계부 열람 등 본인 동의 없이 개인정보 유출 언론보도

- 30 -

slide31

2. 교육(행정)기관 개인정보 유출 사례

▣ 원인 : 개인정보취급자의 개인정보보호 인식 부족

  • 학부모의 휴대전화 정보 및 상담기록 정보가 담긴 서류와 일반 서류를 인근 고물상에 판매

개인정보가 담긴

서류의 파기를 요청

인근 고물상

학부모 휴대전화

- 31 -

slide32

2. 교육(행정)기관 개인정보 유출 사례

▣ 원인 : 개인정보취급자의 개인정보보호 인식 부족

  • 초등학교 가정통신문 발송 시, 기초생활수급자의 개인정보 노출

- 32 -

slide33

2. 교육(행정)기관 개인정보 유출 사례

▣ 원인 : 대학 서버 보안설정 취약,FTP서버 모든 파일 웹에서 유출

  • 구글 검색만으로도 해당 대학 6개 학과 학생 및 교수 130명 개인정보 유출

- 33 -

slide34

3. 개인정보보호법 위반 및 행정처분 사례

▣2013년 교육(행정)기관 개인정보보호법 위반 사항

대학

정부 및 공공기관

  • 접근권한 부여∙변경∙말소기록 미관리
  • 수집 동의 시 고지사항 미 고지
  • 처리방침 공개 시 필수항목 누락
  • 위탁업무 수탁사 미공개
  • 개인정보처리시스템 접속기록 미관리
  • 고유식별정보 및 비밀번호 저장∙전송 시 암호화 미적용
  • 내부 관리계획 미 수립
  • 업무용 PC 고유식별정보 암호화 미적용
  • 위탁 계약 시 필수사항 미반영
  • 비밀번호 일방향 암호화 미적용
  • 고유식별정보 및 비밀번호 암호화 미적용
  • 내부 관리계획 미 수립
  • 관리자 페이지 안전한 접속수단 미적용
  • 홈페이지 개인정보 노출
  • 비밀번호 작성 규칙 미 적용
  • 계정 공유(권한 관리 미흡)
  • 수집 동의 시 고지사항 미 고지

- 34 -

slide35

3. 개인정보보호법 위반 및 행정처분 사례

▣ 개인정보보호법 위반에 따른 행정처분 강화

대학교에서 학생의 개인정보 수집 동의 시 필수사항 미고지

(개인정보보호법 제15조 “개인정보 수집·이용” 위반)

위반사례

1

위반사례

2

행정처분 : 5천만원 이하의 과태료 부과

개선방안 : 정보주체 동의 시 필수 고지항목 고지 필요

(①개인정보 수집·이용 목적 ②수집 개인정보 항목 ③ 보유 및 이용 기간 ④ 동의 거부 권리 및 불이익의 내용)

공공기관 민원신청 게시판의 비밀번호 설정 및 전송 시 암호화 미조치

(개인정보보호법 제29조 “안전조치의무” 위반)

행정처분 : 3천만원 이하의 과태료 부과

개선방안 : 안전한 비밀번호 작성 규칙 적용 및 암호화 적용

① 영문·숫자 ·특수문자 2가지 조합 시 최소 10자리 이상

② 영문·숫자 ·특수문자 3가지 조합 시 최소 8자리 이상

- 35 -

slide36

4. 개인정보보호 강화 방안

▣ 교육사이버안전센터 사이버공격 대응 방안 활용

개인정보처리시스템에 대한 보안강화

  • 보안 관리시스템에 대한 관리자 및 업데이트 서비스 외 접근 차단
  • 정보시스템 계정의 비밀번호 복잡성 유지 및 정기적 변경
  • 정보시스템의 불필요 서비스 중지 및 포트 차단
  • 정기적인 모의 훈련(모의침투, 재난 복구 등) 실시
  • 정보시스템 재개편 시 보안 취약점 점검 실시
  • 중요 개인정보 DB 암호화

개인정보가 저장된 PC의보안강화

  • 주요 응용프로그램(한글, PDF, JAVA 등) 최신 보안 패치 강화
  • 불필요한 응용 프로그램 설치 금지
  • 최신 엔진의 백신 사용 및 정기적인 수동검사 실시
  • 관리자 PC 공개용 보안소프트웨어 사용 지양 및 인터넷 차단

- 36 -

slide37

4. 개인정보보호 강화 방안

▣ 개인정보 보호책임자(CPO)의 개인정보 관리·감독 역량 강화

개인정보보호를 위해 가장 필요한 것!

교육(행정)기관 개인정보 보호책임자(CPO)의

개인정보보호를 위한 관심과 책임감이 중요!

개인정보 처리실태

관리·감독 철저

개인정보보호

계획 수립 및 시행

개인정보 유출예방

침해 대응 강화

- 37 -