-
IT·보안
개정위, 2021년 개인정보보호 실태조사 결과 발표
‘개인정보의 이용 및 수집에 동의합니다’ 라는 문구는 새로운 서비스를 가입하거나 이용하기 위한 절차에서 항상 마주하는 문구입니다. 대부분의 사용자들은 개인정보 관련 약관을 자세하게 읽고 확인하기 보다는 무심코 체크하며, 개인정보의 수집 및 제공에 동의함으로써 개인정보 처리자가 개인정보를 활용할 수 있도록 데이터를 제공합니다. , , . (25) 개인정보처리자는 다음의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며그 수집목적의 범위에서 이용할 수 있습니다「개인정보보호법」 제조 제항 3, , . 개인정보위원회 보도자료공공기관인 이상 민간기업가만명 이상의 대규모 개인정보 보유 개인정보보호위원회, 2021 결과개인정보보호위원회 보도자료공공기관인 이상 민간기업가만명 이상의 대규모 개인정보 보유
-
- 22.02.23
-
IT·보안
대체 불가능 토큰, NFT는 무엇인가?
요즘 가장 핫한 키워드인 NFT란 ‘Non Fungible Token’의 약자로, 우리말로는 ‘대체불가 토큰’ 혹은 ‘대체불가능 토큰’으로 번역됩니다. 즉, 토큰마다 고유한 인식값이 있어 상호교환이 불가능하며, 위변조 혹은 복제가 불가능해 원본의 가치를 인정해주는 '디지털 등기부등본'이라 볼 수 있습니다. NFT는 비트코인과 같이 블록체인을 기반으로 하는 암호화폐의 일종이지만, 비트코인과 다른 점은 '대체불가능성'입니다. 비트코인이나 이더리움 등 대체 가능한 토큰은 한개당 동일한 가치를 지니고 있으며, 상호교환이 가능합니다. 그러나 대체불가능 토큰 NFT는 ‘A’라는 NFT와 ‘B’라는 NFT가 서로 다르기 때문에 상호교환이 불가능합니다. NFT는 디지털 자산에 고유한 인식 값을 부여하여 디지털 자산을 안전하게 소유, 거래, 인증할 수 있도록 하는 것이 특징입니다. NFT가 등장하기 전에는 디지털파일의 복제, 배포, 소유권 등의 관리가 되지 않았으나 NFT의 등장으로 디지털 파일에 소유권을 부여하여 타인과 디지털 파일을 공유하더라도 소유권은 원작자에게 있음을 보장할 수 있게 되어 자산으로서의 가치도 인정받게 되었습니다.출처: 크립토키티NFT의 시초는 2017년 캐나다의 신생 기업 Dapper Labs가 출시한 게임 '크립토키티'의 성공이었습니다. 크립토키티(Crypto Kitties)는 가상고양이 육성 게임으로 가상 고양이를 수집하여 자신만의 희귀한 고양이를 만들 수 있으며, 고유의 일련번호가 부여된 고양이들을 암호화폐로 사고 팔 수 있습니다. 크립토키티에서 가장 비싸게 거래된 '드래곤'이라는 고양이 캐릭터는 현재 시세로 13억원 정도에 거래되었다고 합니다. NFT거래는 빠른 성장세를 보이고 있으며, 특히 실물로 수집해야 했던 예술작품을 디지털로 소유할 수 있게 됨에 따라 예술작품에서 거래가 많이 일어나고 있습니다.출처: 그라임스 인스타그램실제로 테슬라 CEO 일론머스크의 아내이자 가수인 그라임스가 암호화기술이 적용된 디지털 그림 컬렉션 10종을 '워 님프(Wae Nymph)'라는 제목으로 온라인 경매에 내놓자 20분만에 총 580만달러(약 65억원)에 낙찰되었습니다. 출처: Beeple2021년 3월 11일 미국 디지털 아티스트 Beeple(Mike Winklemann)의 ‘Everydays : The First 5000 Days’라는 작품이 크리스티 경매에서 무려 6930만 달러(한화 약 784억 원)에 낙찰되며 화제가 되기도 했습니다. NFT는 미술작품이 아니라도 디지털 콘텐츠라면 무엇이든 적용하여 거래할 수 있습니다. 트위터의 창립자 잭 도시는 ‘just setting up my twttr(지금 막 내 트위터 계정을 설정했다)’이라고 자신이 쓴 역대 첫 트윗에 NFT를 적용해 290만 달러(약 32억 7000만 원)에 판매했습니다. 영국의 일렉트로닉 뮤직 듀오 디스클로저(Disclosure)는 트위치에서 실시간으로 신곡을 제작하고 이를 NFT로 만들었습니다. MBC가 자사 NFT전용 플랫폼인 아카이브by MBC를 통해 '무한도전 무야호'영상의 NFT를 경매에서 950만원에 판매되기도 했습니다. 국내외 기업들의 NFT 사업으로의 진출도 활발히 일어나고 있습니다. 마이크로소프트는 엔진코인을 만든 기업과 협력하여 게임 이용자들에게 NFT를 보상하는 브라우저를 출시했으며, 카카오 역시 자회사 그라운드 X를 통해 NFT 플랫폼 사업에 집중하고 있습니다. 방탄소년단(BTS)소속사 하이브는 자사 아티스트들을 NFT와 연계해 포토카드 등의 굿즈를 제작하였습니다. 이처럼 미래 핵심 산업으로 떠오르고 있는 NFT는 디지털 세계에서의 원본의 가치를 인정하고, 소유권을 보호해줌으로써 디지털 자산의 가치를 높이는 역할을 하고 있습니다. 앞으로 새로운 가상 자산으로 계속해서 성장할 것으로 보이는 NFT산업에 꾸준히 관심을 가져야 할 것입니다.
-
- 22.02.16
-
IT·보안
내부회계관리제도 적용 기업의 ITGC 대응 방안 (상)
「주식회사의 외부감사에 관한 법률」 즉, 외감법은 외부감사를 받는 회사의 회계처리와 회계의 투명성, 외부감사의 신뢰성제고를 목적으로 제정된 법입니다. 2018년 11월부터 새롭게 시행된 ‘신(新)외감법’이라 불리는 「주식회사 등의 외부감사에 관한 법률」에서는 상장회사의 내부회계관리제도에 대해서도 외부감사를 받도록 하였습니다. 신외감법의 대표적인 항목들은 다음과 같습니다. 1. 외부감사 대상 확대 신외감법 이전에는 자산·부채·종업원수를 기준으로 외부감사가 이루어졌으나, 신외감법에서는 외부감사 기준에 기업의 매출액을 포함시켜 기업의 규모와 재무상황을 고려하고자 했습니다. 주식회사 등의 외부감사에 관한 법률 시행령 제5조(외부감사의 대상) 다음 각 호의 어느 하나에 해당하는 회사는 외부감사 대상이 된다. <개정 2020.10.13> 1. 직전 사업연도 말의 자산총액이 500억원 이상인 회사 2. 직접 사업연도의 매출액이 500억원 이상인 회사 3. 다음 각 목의 사항 중 2개이상에 해당하는 회사 가. 직전 사업연도 말의 자산총액이 120억원 이상 나.직전 사업연도 말의 부채총액이 70억원 이상 다. 직전 사업연도의 매출액이 100억원 이상라. 직전 사업연도 말의 종업원이 100명 이상2. 내부회계관리제도 실효성 강화 내부회계관리제도는 신뢰성 있는 회계정보의 작성과 공시를 위해 회사가 갖추고 지켜야할 재무보고에 대한 내부통제제도를 의미합니다. 신외감법에서는 내부회계관리제도에 대해서도 ‘검토’가 아닌 ‘감사’를 받도록 하여 외부감사인의 감사를 의무화하였고, 기존에는 회계감사인이 내부회계관리제도에 대한 감사의견을 소극적으로 표명했다면, 신외감법 이후에는 적극적으로 표명하게 되었습니다. 내부회계관리 제도 감사 대상은 상장기업의 자산 총액을 기준으로 2019년부터 순차적으로 적용하고 있으며, 2023년에는 모든 상장기업이 내부회계관리제도의 대상이 됩니다.개별기준 외부 감사 적용 시점 연결기준 외부 감사 적용 시점 *연결재무제표: 모회사와 자회사의 사업실적포함3.
-
- 22.01.28
-
IT·보안
정보보호 및 개인정보보호 관리체계(ISMS-P)인증제도
ISMS-P란? ISMS-P는 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 증명하는 제도로, 국내 최고 권위의 정보보호 및 개인정보보호 관리체계 통합 인증 제도입니다. 2018년 11월 복수의 인증제도에 따른 혼란을 해소하고, 인증에 소요되는 비용, 행정, 인력 등의 부담을 절감하고자 ISMS인증과 PIMS인증의 행정 및 인증심사 절차가 통합되었습니다. 통합된 인증은 ISMS와 ISMS-P로 이루어지며, ‘ISMS 인증’은 정보보호 중심의 인증, ISMS-P인증은 개인정보의 흐름과 정보보호 영역을 모두 인증하고 있습니다. ISMS 인증은 정보보호관리체계 수립 및 운영 16개 항목과 보호대책 요구사항 64개 항목과 개인정보 처리 단계별 요구사항 22개 항목까지 총 102개 항목을 모두 갖춰야 취득할 수 있습니다. 최초 심사를 통해 인증을 취득하면 3년의 유효기간이 부여되며, 인증 유효기간 중 매년 1회 이상 사후 심사가 시행됩니다. ISMS-P의 목적 및 기대효과 -일회성 정보보호 대책에서 벗어나 체계적, 종합적인 정보보호 관리체계를 구현함으로써 기업의 정보보호 및 개인정보보호 관리수준을 향상시킬 수 있습니다. -기업은 지속적이고 체계적인 ISMS-P 구축을 통해 해킹, DDoS 등의 침해사고 및 개인정보 유출사고 발생 시 신속하게 대응할 수 있으며, 피해 및 손실을 최소화할 수 있습니다. -기업 경영진이 직접 정보보호 의사결정에 참여함으로써 정보보호 및 개인정보보호 업무에 대한 책임성과 신뢰성을 향상시킬 수 있습니다. -ISMS-P 인증을 취득한 기관은 정보보호 및 개인정보보호에 대한 신뢰성을 높여 대외 이미지를 제고할 수 있습니다. -ISMS-P 인증을 취득한 기관은 공공부문 사업 입찰 시 가산점 부여 등의 인센티브를 얻을 수 있습니다. ISMS-P인증대상 <임의신청자> ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있습니다. 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있습니다. 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일합니다. <의무대상자> ①정보통신망서비스를 제공하는 자(ISP) ②집적정보통신시설사업자(IDC) ③연간매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자 *정보통신망 「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말합니다. *집적정보통신시설사업자 정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말합니다.출처: 개인정보보호 위원회 정보보호 및 개인정보보호 관리체계 인증제도 안내서 (2021.7)ISMS-P 인증절차 ISMS-P의 인증심사 절차는 다음과 같이 1) 준비 및 신청단계, 2) 심사단계, 3) 인증단계로 나눌 수 있으며 사후관리를 위해서는 4) 사후심사 및 갱신심사를 시행해야 합니다.출처: 개인정보보호 위원회 정보보호 및 개인정보보호 관리체계 인증제도 안내서 (2021.7)1) 준비 및 신청단계에서는 인증심사 신청 전 취득하고자 하는 인증의 종류에 따라 ISMS 혹은 ISMS-P 관리체계를 구축하고 최소 2개월 이상 운영한 증거자료를 준비해야 합니다. 인증심사 신청 시 취득하고자 하는 인증에 따라 ISMS 단일 인증, ISMS-P 단일 인증, 다수 인증 중 하나를 정하여 신청할 수 있습니다.신청기관은 안내된 심사계획에 따라 심사장소, 심사대응 담당자 지정 및 심사 대응 협조 등을 사전에 준비해야 합니다. 2)심사단계에서는 관리체계 수립 및 운영, 보호대책 요구사항 및 개인정보 처리단계별 요구사항의 인증항목에 맞는 체계를 구축하고 적절하게 운영하고 있는지 확인합니다.인증준비 미흡 또는 인증심사팀 요청사항(추가자료 요청, 현장실사 및 인터뷰 요청 등) 대응이 미흡한 경우, 심사의 신뢰성을 확보할 수 없기 때문에 인증심사 중단 및 심사팀 철수가 이루어질 수 있다는 점에 유의하여야 합니다. 3)인증단계에서는 인증위원회에서 심사결과를 심의·의결하며, ISMS-P인증기준에 적합한 경우 인증서를 발급하며, 신청기관은 이의신청을 할 수 있습니다.4)ISMS-P 사후관리 단계는 사후심사와 갱신심사로 나뉩니다.사후심사는 인증취득기관이 수립하여 운영 중인 정보보호 및 개인정보보호 관리체계가 인증기준에 적합한 수준으로 유지되는지 확인하기 위해 인증 유효기간 중 매년 1회 이상 시행하는 인증심사를 말합니다. 인증발급일 기준으로 매 1년 이전에 심사를 완료해야 하며, 인증유효기간 내 사후심사를 받지 않을 경우 인증이 취소됩니다.ISMS-P 인증의 유효기간은 3년이며 인증 유효기간이 만료될 때 유효기간 연장을 위해서는 갱신심사를 시행해야 합니다.갱신심사는 유효기간(인증발급일 기준) 만료 전에 심사를 받아야 하며, 인증유효기간 내 심사를 받지 않을 경우 인증은 효력을 상실합니다. 갱신심사를 통해 연장되는 인증 유효기간은 3년이며, 최초심사와 마찬가지로 인증위원회에서 인증 유효기간 연장에 대한 심의·의결을 받아야 합니다. ISMS-P인증제도에 대한 자세한 정보는 개인정보보호위원회(https://www.privacy.go.kr/)와 한국인터넷진흥원(https://isms.kisa.or.kr/main/)의 정보보호 및 개인정보보호 관리체계(ISMS-P)인증제도 안내서(2021.7)에서 확인하실 수 있습니다. 출처 및 참고자료개인정보보호위원회(https://www.privacy.go.kr/) KISA 한국 인터넷 진흥원(https://isms.kisa.or.kr/main/) 정보보호 및 개인정보보호 관리체계(ISMS-P)인증제도 안내서(2021.7)
-
- 21.12.31
-
IT·보안
본인이 가입한 모든 사이트를 알고 계신가요?
온라인 쇼핑, 비대면 금융서비스..요즘 웹이나 모바일로 서비스되지 않는 것이 없을 정도로 인터넷은 우리의 삶에 깊숙하게 자리하고 있습니다. 다만, 편리함만큼이나 개인정보 유출이 염려되기도 합니다. 나에 대한 신상정보를 아는 듯한 사람에게서 보이스피싱 전화를 받은 경험, 모르는 사이트에서 온 광고 문자를 받은 경험 모두 한번쯤 있으실 것입니다. 또한 모두가 알만한 기업에서 개인정보 유•노출 사고가 발생하기도 합니다.이렇듯 기술의 발전과 함께 내 개인정보가 어디까지 흘러갔는지에 대한 불안감도 갖게 됩니다. 개인정보를 보호하는 가장 기본적인 방법은 개개인의 보안의식을 강화하고 개인정보의 보호•관리에 대한 중요성을 상기할 필요가 있습니다. 개인정보를 제공할 시 동의 약관을 꼼꼼히 살피고, 비밀번호를 주기적으로 변경하며, 반드시 필요한 사이트만 가입하는 등 개인정보에 대한 철저한 사전 관리가 이루어져야 합니다. 개인정보보호위원회와 한국인터넷 진흥원(KISA)에서는 개인정보의 보호를 위해 프라이버시 클린서비스’를 무료로 제공하고 있습니다. 개인정보를 보호하고 명의도용, 사생활침해 등의 피해를 예방하기 위해 2010년부터 시작된 e프라이버시 클린서비스는 가입했던 사이트들을 확인하고, 사용하지 않는 사이트는 탈퇴할 수 있도록 도와줍니다. 또한 개인정보 수정, 삭제, 처리, 정지 등을 요청할 수도 있습니다. 이를 통해 불필요한 서비스에서 탈퇴하여 개인정보를 보호할 수 있으며, 개인정보 유출 피해를 막을 수 있습니다. e프라이버시 클린서비스는 본인확인이 이루어진 웹사이트를 조회하기 때문에, 직접 회원가입을 하지 않았던 사이트도 조회될 수 있습니다.e프라이버시 클린서비스에서 제공하는 서비스는 다음과 같습니다.1. 본인확인 내역 조회2. 웹사이트 회원 탈퇴3. 개인정보 열람 등 신청본인확인 내역 조회 서비스는 인터넷에서 회원가입, 연령확인(성인인증), 실명인증 등을 위해 실시한 본인확인 내역을 제공합니다.웹사이트 회원탈퇴 서비스는 본인인증을 했던 웹사이트 중 명의도용이 의심되거나 더 이상 이용을 원하지 않는 불필요한 웹사이트에 대해 회원탈퇴처리를 진행합니다.개인정보 열람 등 신청 서비스는 웹사이트에서 수집된 개인정보를 열람하고, 해당 개인정보 정정/삭제/파기 등의 처리를 대행해줍니다.각각의 서비스 이용를 이용하기 위해서는 개인정보 수집·이용에 대한 동의를 위해 개인정보 수집·이용 목적 및 수집 항목, 보유·이용기간 등에 대한 내용을 확인합니다. 이후 본인확인을 위해 본인명의로 발급·가입된 ①디지털 원패스, ②공동인증서, ③아이핀, ④휴대폰, ⑤신용카드 중 하나를 선택하여 본인확인 절차 후 실명인증을 진행합니다. 우리나라는 개인정보 보호법 제4조에서 정보주체의 개인정보 처리에 관한 권한을 명시하고 있습니다. 나아가 개인정보 보호법 제35조(개인정보의 열람) 1항에서 정보 주체의 개인정보에 대한 열람 요구권한을 명시하고 있으며, 36조와 37조에서 개인정보의 정정·삭제에 대한 권한, 개인정보의 처리정지에 대한 요구권한 38조에서는 이에 대한 권리행사의 방법 및 절차에 대해 명시하고 있습니다. 개인정보 보호법 제4조(정보주체의 권리) ① 개인정보의 처리에 관한 정보를 제공받을 권리② 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리③ 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리④ 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리⑤ 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리 개인정보 보호법 제35조(개인정보의 열람) ① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다. ② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 행정안전부장관을 통하여 열람을 요구할 수 있다. <개정 2013.3.23, 2014.11.19, 2017.7.26> ③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다. ④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다. 1. 법률에 따라 열람이 금지되거나 제한되는 경우 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우 개인정보 보호법 제36조(개인정보의 정정ㆍ삭제) ① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다. ② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다. ③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. ④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다. ⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정ㆍ삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다. 개인정보 보호법 제37조(개인정보의 처리정지 등) ① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다. ② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. 1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우 ③ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다. ④ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다. 개인정보 보호법 제38조(권리행사의 방법 및 절차) ① 정보주체는 제35조에 따른 열람, 제36조에 따른 정정ㆍ삭제, 제37조에 따른 처리정지 등의 요구(이하 "열람등요구"라 한다)를 문서 등 대통령령으로 정하는 방법ㆍ절차에 따라 대리인에게 하게 할 수 있다. ② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다. ③ 개인정보처리자는 열람등요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한한다)를 청구할 수 있다. ④ 개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다. e프라이버시 클린서비스를 통해 불필요한 사이트를 탈퇴하여 개인정보의 유출을 막고 명의도용, 사생활침해 등의 피해 또한 예방할 수 있을 것입니다. 소중한 내 개인정보, 조금 더 신중하게 다뤄주면 어떨까요? 출처 및 참고자료개인정보 보호법 e프라이버시 클린서비스 https://www.eprivacy.go.kr/main.do
-
- 21.12.23
-
IT·보안
유럽 내 개인정보 및 공공데이터 자유롭게 국외이전 가능해졌다.
#유럽에 지사를 둔 한국 기업 A는 유럽 소비자를 대상으로 한국 상품 쇼핑 대행업을 하고 있다. 선호 예상 상품을 선정하기 위해 소비자 정보를 분석하는데 어려움이 있어 한국 본사에 분석을 의뢰했다. 그러나, 유럽 소비자 정보를 한국으로 이전하기 위해서는 표준계약조항(SCC)을 활용할 수밖에 없으며, 현지 법을 위반할 경우 전체 매출의 4%까지 부과되는 과징금 때문에 시간과 비용 측면에서 부담을 느낄 수밖에 없었다. 2017년 1월 GDPR적정성 협의가 시작된 이후, 약 5년여만에 한국에 대한 유럽연합(EU)의 GDPR적정성 결정이 통과되면서 A와 같은 기업들이 유럽의 고객정보를 수월하게 가져올 수 있게 되었습니다. 2021.12.17(금) 오후 6시(한국시간) 한국에 대한 유럽연합(EU) 일반 개인정보보호법(GDPR) 상의 적정성 결정이 채택되었습니다. 이는 EU가 한국의 개인정보보호 정책이 GDPR과 동등한 수준임을 인정한 것입니다. 이에 따라 앞으로 우리나라 기업은 EU회원국에 준하는 지위를 부여받게 됩니다. 표준 계약 등 기존의 까다로운 절차가 면제되고, EU시민의 개인정보를 추가적인 인증이나 절차 없이 자유롭게 국내로 이전 처리할 수 있게 되었습니다.GDPR(General Data Protection Regulation) 은 2018년 5월 25일부터 시행된 EU연합의 개인정보보호법으로 EU를 대상으로 비즈니스를 진행하는 모든 곳에 적용됩니다. GDPR은 DPO(개인정보보호책임자)지정, 영향평가 등을 추가하여 기업의 책임성을 강화했다는 특징이 있습니다. 처리제한권, 정보이동권, 삭제권, 프로파일링 거부권 등을 신설·강화하여 정보주체 권리 또한 강화하였습니다. 또한 모든 회원국을 대상으로 전체매출액 4%의 과징금을 부과하도록 하는 등 강력한 처벌조항을 통해 개인정보를 보호하고 있습니다.GDPR적정성 결정은 EU역외 국가가 EU와 동등한 수준의 개인정보보호 제도를 운영하고 있는지 확인하는 제도입니다. EU와 동등한 수준의 개인정보 보호 조치를 갖췄는지를 평가하여 적정성 결정 국가로 지정하고 있으며, 지정된 국가는 EU회원국처럼 자유롭게 EU 시민의 개인정보 이전이 허용됩니다.2017년 1월 우리나라에 대한 GDPR적정성 검토가 시작되었으나 핵심 요건인 '개인정보 감독기구의 독립성' 미충족으로 협의가 2차례 중단되었습니다. 그러나 지난해 데이터 3법 개정으로 개인정보보호위원회가 독립감독기구로 확대·출범함에 따라 논의가 재개되며 협의가 급진전 되었습니다. 한국과 EU는 5년여간 비대면 회의를 포함한 총 60회 이상 회의를 통해 한국의 개인정보보호법 등 관련 법제 및 정부기관별 소관업무 등에 대한 심층 검토를 거쳐 한국의 개인정보보호 법체계가 'EU 일반개인정보보호법(EU GDPR)과 동등한 수준임을 확인하였습니다. 그 결과, 유럽정보보호이사회(EDPB)는 한·EU 법제 간 차이를 조정하기 위한 개인정보위의 고시 제·개정 등 한국정부의 노력을 높이 평가하며 한국 법제의 우수성을 언급하였으며, EU집행위의 회원국 승인절차(커미톨로지)에서 만장일치로 한국 적정성 결정을 승인하였습니다.EU적정성 진행절차- EU집행위(사법총국)가 초기결정, 의견수렴, 최종결정의 3단계를 진행합니다.윤종인 개인정보보호위원회 위원장과 디디에 레인더스 EU집행위 사법총국 커미셔너는 “한국과 EU간의 높은 수준의 정보보호에 대한 공유된 의지와 한국의 우수한 개인정보보호법제가 이번 적정성 결정의 토대” 임을 밝혔습니다. 나아가 개인정보위는 이번 결정이 “개인정보보호 강화가 국제무역 활성화에 기여할 수 있음을 보여주는 사례로서, 한-EU 자유무역협정(FTA)을 보완하여 디지털분야의 양측 간 협력을 강화”할 것이라고 평가하였습니다.그간 EU진출 한국 기업들은 GDPR과 현지 국가 법제를 면밀히 검토하고 실사 및 행정절차를 거쳐 SCC를 체결해야 유럽 시민 정보를 국내로 이전할 수 있었습니다. 이런 과정에서 3개월 이상의 시간과 3천만원~1억원 상당의 비용이 소요될 뿐만 아니라, 규정 위반에 따른 과징금부과 등에 대해 기업들은 큰 부담을 안고 있었습니다. 또한 중소기업은 표준계약절차 자체가 어려워 EU 진출을 포기하기도 했습니다.GDPR 적정성 결정으로 개인정보 국외이전에 있어 한국은 EU회원국에 준하는 지위를 부여받게 되며, 기존의 까다로운 절차가 면제됩니다. 이에 따른 국내 기업들의 활발한 EU진출이 예상되는 가운데, 특히 국내 데이터 분석 회사들의 넓어질 것으로 예측됩니다. 개인정보위 보도자료에 소개된 독일 기업 ㄱ사의 사례를 보면, 마케팅 전략 수립을 위해 한국의 전문 업체에 자사 고객 개인정보 분석을 의뢰하려 했으나 현지 당국의 개인정보 이전 승인을 받는 과정이 복잡해 제한적인 연구만 맡겼습니다. 그러나 적정성 결정 이후에는 ㄱ사가 표준계약 등의 절차 없이 한국 회사에 데이터를 보낼 수 있기에 보다 수월한 마케팅 전략을 세울 수 있을 것입니다.다만, 역외이전 관련 의무 부담만 경감되므로 EU 시민의 개인정보를 직접 수집하고 처리하는 사업자의 전반적인 GDPR 준수 의무가 없어지는 것은 아니라는 점은 꼼꼼히 상기해야 할 것 같습니다. 또한 개인정보위는 한-EU 기업 간 데이터 교류·협력 강화로 국내 데이터 경제가 보다 활성화될 것이라고 전망하였습니다. 민간데이터 이전에 국한되었던 일본에 대한 적정성 결정과는 달리, 이번 적정성 결정은 공공데이터 이전에도 적용됨으로써 한국-EU 정부간의 공공분야 협력도 강화될 것으로 전망하였습니다. 개인정보위는 EU 외 국가 국민의 개인정보를 한국으로 이전할 수 있도록 추가 국제 협상을 추진할 계획이며, 영국을 우선 대상으로 선정하였습니다. 기업의 GDPR 적용대상 여부- EU내에 사업장을 운영하며, 개인정보 처리- EU거주자에게 재화나 서비스를 제공- EU거주자의 EU내 행동을 모니터링*GDPR적용대상은 ‘국적’이 아닌 ‘EU거주자’에 해당하는지 고려-> 따라서 EU 국적자의 개인정보가 한국에서 수집∙처리되는 경우, GDPR이 적용되지 않을 수 있지만,한국인의 정보가 EU 역내에서 수집∙처리되면 EU 거주자에 해당되며 GDPR이 적용될 수는 있음.* ‘명백히’ EU 시장을 염두에 두고 있을때 적용되며, 단순 접근 가능성은 GDPR 적용의 근거가 되지 않음-> 기업이 재화나 서비스를 유로화로 유통하거나 프랑스어∙독일어 등으로 홈페이지를 구성할 경우명백한 타겟팅의 근거가 되지만, 영어 및 달러화만을 활용할 경우 GDPR의 규제대상이 되지 않을 수 있음출처 및 참고문헌개인정보보호위원회 보도자료, 한국 EU 「개인정보보호 적정성 결정」 최종 통과KISA GDPR대응지원 센터, https://gdpr.kisa.or.kr/
-
- 21.12.23
-
IT·보안
클라우드 컴퓨팅법 개정안, 2023년 1월부터 시행
클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(약칭: 클라우드 컴퓨팅법)‘클라우드 컴퓨팅’이란 ICT자원을 소유하지 않고 인터넷에 접속해서 빌려쓰는 서비스 방식으로, 4차산업혁명의 핵심기술이자 다른 기술의 근간이 되는 기술입니다.「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」은 클라우드 컴퓨팅법은 클라우드 컴퓨팅의 발전 및 이용을 촉진하고 클라우드컴퓨팅 서비스를 안전하게 이용할 수 있는 환경을 조성하는 것을 목적으로 제정되었습니다.클라우드 컴퓨팅법의 히스토리2009년 행정안전부, 지식경제부, 방송통신위원회의 합동으로 범정부 클라우드컴퓨팅 활성화 종합계획의 수립·시행으로 준비되어 2012년 입법예고 및 공청회 등을 통해 이해관계자의 의견을 수렴하여 입법예고안을 수정하였습니다. 각계 의견을 반영한 정부안은 2013년 10월 국회에 제출되었으며, 2015년 3월 3일 국회 본회의를 통과하여 3월 27일 공포되었으며 2015년 9월에 시행되었습니다. 클라우드컴퓨팅법에서의 용어제2조에서는 클라우드컴퓨팅법에서 사용하는 용어들을 다음과 같이 정의하고 있습니다.클라우드 컴퓨팅법과 다른 법률과의 관계제4조에서는 다른 법률간의 관계에 대해 다루고 있습니다. 다른 법률과 중복되거나 충돌될 가능성이 높기 때문에 관련법률 사이에 우선 적용 순서를 정해 혼란을 최소화하기 위한 조항입니다. 클라우드 컴퓨팅법 제4조에서는 개인정보 관련 사항은 「개인정보보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」등 관련 법에서 정하는 바에 따르도록 하고 있습니다.제4조(다른 법률과의 관계) 이 법은 클라우드 컴퓨팅의 발전과 이용 촉진 및 이용자보호에 관하여 다른 법률에 우선하여 적용하여야 한다. 다만, 개인정보보호에 관하여는 「개인정보보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 에서 정하는 바에 따른다. 정보보호에 관한 기준 명시제23조 2항에서는 클라우드 컴퓨팅 서비스의 안전성 및 신뢰성 향상을 위해 정보보호에 관한 기준을 정하여 고시할 것을 명시하고 있습니다.제23조 ② 과학기술정보통신부장관은 클라우드컴퓨팅 서비스의 품질·성능에 관한 기준 및 정보보호에 관한 기준을 정하여 고시하고, 클라우드컴퓨팅 서비스 제공자에게 그 기준을 지킬 것을 권고할 수 있다. 이에 과학기술정보통신부, 한국인터넷진흥원에서는 공공기관에 검증된 클라우드 서비스를 공급하고 이용자의 보안 우려를 해소하기 위해 클라우드 보안 인증제도를 운영하고 있습니다.클라우드 컴퓨팅 서비스 정보보호에 관한 기준클라우드 컴퓨팅 서비스 정보보호에 관한 기준은 2017년 8월 24일 시행되었으며 「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」 23조 2항에서 명시된 클라우드 컴퓨팅 서비스의 안전성 및 신뢰성 향상을 위해 정보보호에 관한 기준을 정해야 하는 규정에 따라 마련된 행정규칙입니다.제23조 ② 과학기술정보통신부장관은 클라우드컴퓨팅 서비스의 품질·성능에 관한 기준 및 정보보호에 관한 기준(관리적·물리적·기술적 보호조치를 포함한다)을 정하여 고시하고, 클라우드컴퓨팅 서비스 제공자에게 그 기준을 지킬 것을 권고할 수 있다.2023년 1월, 클라우드 컴퓨팅법 개정안 시행과학기술정보통신부에서는 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률’을 2022년 1월 개정하여 2023년 1월 시행 예정임을 밝혔습니다. 개정 사항에서는 클라우드 보안인증 제도 관련 사항을 법률로 상향입법 하였으며, 이번 고시 개정의 주요내용은 다음과 같습니다.제3조(국가 등의 책무) ① 국가와 지방자치단체는 클라우드컴퓨팅의 발전 및 이용 촉진, 클라우드컴퓨팅서비스 이용 활성화, 클라우드컴퓨팅 서비스의 안전한 이용환경 조성 등에 필요한 시책을 마련하여야 한다.② 클라우드컴퓨팅서비스 제공자는 이용자 정보를 보호하고 신뢰할 수 있는 클라우드컴퓨팅서비스를 제공하도록 노력하여야 한다.제20조(국가기관등의 클라우드컴퓨팅 서비스 이용 촉진) ② 국가기관등은 제1항에 따른 클라우드 컴퓨팅서비스 이용에 있어 제23조의2 제1항에 따른 보안인증을 받은 클라우드컴퓨팅 서비스를 우선적으로 고려하여야 한다.제37조 (과태료) ① 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다 (중략)출처 및 참고문헌클라우드컴퓨팅 주요법령 해설서, 과학기술정보통신부·정보통신산업진흥원클라우드컴퓨팅법 해설서, 정보통신산업진흥원
-
- 21.11.25
-
IT·보안
개정위, 바이오정보의 용어 및 개념, 적용범위 개정(안) 행정예고
지난 8월 31일 개인정보보호위원회는 현행 고시 상 바이오정보의 용어, 개념, 적용범위를 명확하게 하기 위해「개인정보의 기술적·관리적 보호조치 기준 일부개정(안) 행정예고(공고 제2021-33호)」와 「개인정보의 안전성 확보조치 기준 일부개정(안) 행정예고(공고 제2021-34호)」를 공지 하였습니다. 이번 개정(안)은 현행 고시 상 ’바이오정보‘가 생명공학 전체분야를 포함하는 정보로 인식되는 경우가 있고, 다른 법령에서도 ’생체정보‘ 용어가 사용되고 있는 점 등을 고려하여 기존 ’바이오정보‘를 ’생체정보‘로 용어를 변경 하고, 현행 고시에서 해석되고 있는 ‘바이오정보’는 개인을 인증, 식별하기 위한 목적으로 기술적으로 처리되는 정보로 한정하여 해석하고 있기 때문에 이를 ‘생체인식정보’로 명확히 정의하여 인증·식별 목적이 아닌 일반적인 ‘생체정보’와 구분하기 위해 ‘생체인식정보’ 용어를 신설 하여 용어 및 개념을 명확히 하였습니다.(「개인정보의 기술적·관리적 보호조치 기준 일부개정(안) 제2조 제8호」, 「개인정보의 안전성 확보조치 기준 일부개정(안) 제2조 제16호, 제16의2호」) 또한 암호화 대상이 되는 정보는 ‘생체인식정보’ 임을 명확히 하여 생체정보 중 규제 대상이 되는 정보의 범위를 명확화 하였습니다. (「개인정보의 기술적·관리적 보호조치 기준 일부개정(안) 제6조 제2항」, 「개인정보의 안전성 확보조치 기준 일부개정(안) 제7조 제1항·제2항」) 개인정보보호위원회 「행정절차법」제46조의 규정에 의하여 법령을 개정함에 있어 국민에게 미리 알려 이에 대한 의견을 청취하기 위해 개정 이유와 주요 내용을 사전에 공고 하고 있습니다. 의견이 있는 기관·단체 또는 개인은 이메일, 우편을 통해 개인정보위원회에 의견을 제출할 수 있으며, 자세한 내용은 개인정보위원회 홈페이지>알림 · 소식>새소식>공지사항에서 확인하실 수 있습니다. 「개인정보의 기술적·관리적 보호조치 기준 일부개정(안)」 신‧구조문 대비표「개인정보의 안전성 확보조치 기준 일부개정(안)」 신‧구조문 대비표출처 및 참고자료개인정보보호위원회(http://www.pipc.go.kr)
-
- 21.09.01
-
IT·보안
휴대전화번호 뒷자리도 개인정보?
코로나 팬데믹 초기에 식당, 백화점, 관공서등에 출입시 이 것을 기록하였는데이제는 안심콜, QR코드 인증등으로 주로 이 것을 활용하고 있습니다 이 것은 무엇일까요? 바로 방문 인증, 출입 기록입니다.방문 인증은 역학조사를 위해 개인을 식별할 수 있는 정보를 기입하거나 인증받는 것을 말하는데 초기에는 휴대전화 번호를 명부에 기입하는 방식이었지만 수기 출입 명부에 기록된 휴대전화 번호로 인한 사생활에 침해가 발생하자 개인 안심번호라는 고유번호를 개인에게 발급하였고 현재는 QR코드 및 안심콜을 통한 인증 방법이 많이 사용되고 있습니다.그렇다면 휴대전화 번호 전체가 아닌 뒷자리 4개는 개인정보일까요? 정답은 “개인정보가 맞다”입니다.개인정보보호법에서는 개인정보를 "살아 있는 개인에 관한 정보"와 해당 정보만으로 특정인을 알아볼 수 없지만 다른 정보와 쉽게 결합해 특정인을 알아볼 수 있는 정보를 개인정보라고 정의하고 있습니다. 즉, 이름, 전화번호 뒷자리, 주소, 성별, 생년월일만 각각 알고 있다면 특정인을 알 수 없으나 정보를 결합(조합)하면 결국 단 한 명의 특정인을 알 수 있기 때문에 개인정보는 우리가 생각하는 전화번호, 주민등록번호, 운전면허번호뿐만 아니라 개인의 모든 정보가 개인정보에 속하게 됩니다.개인정보분쟁조정위원회 홈페이지전화번호 뒷자리 역시 이 것 하나만으로는 개인을 식별할 수 없지만, 다른 정보들을 결합하여 전화번호 사용자가 누군지 확인할 수 있기 때문에 2013년 대전지법 논산지원에서는 휴대전화 번호 뒷자리도 개인정보에 해당한다는 판결을 내렸습니다.휴대전화번호 뒷자리 4자만으로도 그 전화번호 사용자가 누구인지를 식별할 수 있는 경우가 있고, 특히 그 전화번호 사용자와 일정한 인적 관계를 맺어온 사람이라면 더더욱 그러할 가능성이 높으며, 설령 휴대전화번호 뒷자리 4자만으로는 그 전화번호 사용자를 식별하지 못한다 하더라도 그 뒷자리 번호 4자와 관련성이 있는 다른 정보(생일, 기념일, 집 전화번호, 가족 전화번호, 기존 통화내역 등)와 쉽게 결합하여 그 전화번호 사용자가 누군인지를 알아볼 수도 있다.(대전지법논산지원,2013고단17판결)우리나라는 개인정보 보호법 제2조(정의) 1에 개인정보 정의에 대해 명확하게 명시하고 있으며, 제23조(민감정보 처리 제한)와 제24조(고유식별정보의 처리 제한), 개인정보보호법 시행령 제18조(민감정보의 범위), 제19조(고유식별정보의 범위) 등에서 사생활을 침해할 우려가 있는 개인정보와 개인을 고유하게 식별할 수 있는 정보에 대해서도 정의하고 있습니다.개인정보보호법 제2조(정의) <개정 2014. 3. 24., 2020. 2. 4.>1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.다. 가목 또는 나목을 제1호의2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)개인정보보호법 제24조(고유식별정보의 처리 제한) ① 개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 “고유식별정보”라 한다)를 처리할 수 없다.1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우② 삭제 <2013. 8. 6.>③ 개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다. <개정 2015. 7. 24.>④ 보호위원회는 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다. <신설 2016. 3. 29., 2017. 7. 26., 2020. 2. 4.>⑤ 보호위원회는 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있다. <신설 2016. 3. 29., 2017. 7. 26., 2020. 2. 4.>개인정보보호법 제23조(민감정보의 처리 제한) ①개인정보처리자는 사상ㆍ신념, 노동조합ㆍ정당의 가입ㆍ탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보(이하 “민감정보”라 한다)를 처리하여서는 아니 된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 그러하지 아니하다. <개정 2016. 3. 29.>1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다. <신설 2016. 3. 29.>개인정보보호법 시행령 제18조(민감정보의 범위) 법 제23조제1항 각 호 외의 부분 본문에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다. <개정 2016. 9. 29., 2020. 8. 4.>1. 유전자검사 등의 결과로 얻어진 유전정보2. 「형의 실효 등에 관한 법률」 제2조제5호에 따른 범죄경력자료에 해당하는 정보3. 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통해 생성한 정보4. 인종이나 민족에 관한 정보개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화) ① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과2. 암호화 미적용시 위험도 분석에 따른 결과⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.위와 같이 기업(개인정보처리자)은 민감정보, 고유식별정보 등의 개인정보들을 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 행정안전부에서 고시한 “개인정보의 안전성 확보조치 기준”을 기반으로 하여 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치를 해야 합니다.따라서 암호화 필수 정보(고유식별정보, 바이오정보, 비밀번호)는 반드시 안전한 암호화 모듈로 암호화하여 저장하고 권한이 있는 인가자만 데이터에 접근할 수 있도록 해야 하며 직무 분리와 최고 권한의 원칙을 준수하고 개인의 신체, 신념, 사회적 지위, 신분 등의 민감정보는 데이터를 결합하더라도 특정인을 식별할 수 없도록 데이터 마스킹등의 기술적 조치를 하여야 합니다.신시웨이의 데이터베이스 접근제어 설루션 Petra는 EAL2 등급 CC(공통평가기준, Common Criteria) 인증을 획득하였으며 암호화 솔루션 PetraCipher는 보호프로파일(PP, Protection Profile) 준수 등급의 국제 인증을 획득하여 제품의 우수성과 안정성을 인정받아 개인정보의 기술적, 관리적 조치를 가능하게 합니다.출처 및 참고자료개인정보분쟁조정위원회 https://www.kopico.go.kr개인정보 보호 법령 및 지침∙고시 해설, 2016.12개인정보보호법개인정보보호법 시행령개인정보의 안전성 확보 조치 기준
-
- 21.08.31
-
IT·보안
개인정보 분쟁 조정 제도를 아시나요?
1999년 1월 B2B 전자상거래 기업으로 시작해 지금은 글로벌 빅데이터 기업이 된 알리바바의 창업자 마윈은 “세상은 지금 IT에서 DT(Data Technology)로 전환되고 있습니다.” (2015년 중국 빅데이터산업 설명회), “정부와 세상의 중심은 데이터가 될 것입니다.” (2017년 6월 21일 CNBC 인터뷰) 라며 데이터의 중요성에 대해 강조해 왔고, 전 세계 수 많은 국가들은 데이터 수집, 활용하기 위한 제도를 신설하거나 개선하였습니다.국내 또한 한국판 뉴딜의 핵심 과제로 ‘데이터 댐’ 구축을 추진하여 진행하고 있으며 데이터 수집, 가공, 결합, 거래, 활용을 위해 우선적으로 이원화된 법규들을 통합하고 개선하는 등 개인정보보호법·신용정보법·정보통신망법 등 데이터 3법을 개정하였고 법 개정을 통해 가명 정보 활용 및 결합을 통한 데이터 사용이 가능해졌지만 민간 데이터의 생산, 거래, 활용 등을 촉진하기 위한 데이터 기본법이 국회에 계류중이어서 민간 기업들은 다소 아쉬워하는 분위기입니다.데이터로 인해 새로운 산업과 다양한 서비스들이 개인정보를 토대로 맞춤형 서비스를 제공하여 편리한 생활을 누릴 수는 있지만 아직 까지는 안일한 보안 인식과 의식 등으로 인해 개인정보 침해 사고와 분쟁 발생은 매년 증가하거나 비슷한 수준을 유지하고 있습니다특히 개인정보의 유출이나 오남용에 의한 집단 분쟁 발생 시에는 정보주체가 스스로 개인정보의 유출이나 오·남용을 사전에 알기 어렵기 때문에 사후 조치가 어려울 뿐만 아니라 정신적, 금전적 손해가 발생할 수 있어 정부에서는 준사법적 기구인 개인정보분쟁조종위원회를 운영하여 개인정보 침해 발생시 사실 조사를 통해 해결방안을 권고하고 하는 ‘개인정보분쟁조정제도’를 운영하고 있습니다. 「2020 개인정보 분쟁조정 사례집」 개인정보 침해신고와 분쟁조정 처리 절차분쟁조정 신청은 방문, 우편, 온라인 신청이 가능하며(전액 무료) 접수 완료 시 신청인과 피신청인이 제출한 자료를 토대로 개인정보 침해 여부를 조사하여 조정 전 합의를 권고하고 있으며 431건(2020년)의 분쟁 중 조정 전 합의나 조정 성립으로 인한 피해 구제 조정 성립률이으로 조정 전 합의나 조정 성립의 비율이 높은 편입니다.미합의시에는 조정부의 심의/의결을 거치며 조정부에서는 개인정보침해 여부 및 손해배상금 산정 등을 통해서 합리적인 조정안을 제시하고 양 당사자가 수락할 경우 조정이 성립됩니다. 대부분의 분쟁조정사건은 정보주체의 동의 없이 개인 정보를 수집하거나 수집 목적 외 이용, 제 3자에게 제공하는 경우이며, 정보주체 동의 없이 개인정보를 무단으로 수집한 대표적 사례로는 가입하지 않은 서비스 등으로부터 수신받은 광고 문자가 대표적입니다.또한 “개인정보보호 기술적, 관리적, 물리적 조치 미흡”, “개인정보취급자에 의한 누설, 유출, 훼손 등”은 기업이 기본적으로 조치하고 있어야 하는 사항으로 조치 방법으로는 데이터베이스 접근제어를 활용하여 인가자에 대해 적절한 권한을 부여하고 개인정보처리자에 대한 지속적인 보안 인식 교육을 통해 조치할 수 있으며, 민감정보 및 고유식별정보는 데이터를 암호화하여 기술적인 조치를 취할 수 있습니다.「2020년도 분쟁조정사건 처리 통계」 연도별‧종결유형별 처리건수개인정보 분쟁조정 제도의 의의개인정보 분쟁조정 제도는 개인정보에 관한 분쟁이 발생하였을 때 비용이 많이 들고 시간이 오래 걸리는 소송제도의 대안으로써 비용 없이 신속하게 분쟁을 해결할 수 있는 조정을 통해 개인정보 침해를 당한 국민의 피해를 신속하고 원만하게 구제한다는데 그 의미가 있습니다. 이러한 개인정보 분쟁조정 제도는 신청 내용과 요건에 따라 개인정보 분쟁조정과 집단분쟁조정(동일 사건으로 50명 이상 신청한 경우)으로 구분하여 운영하고 있습니다. 조종의 효력개인정보분쟁조정위원회의 조정 결정에 대해 신청인과 상대방이 이를 수락하여 조정이 성립된 경우에는 조정서를 작성하게 되며, 조정서의 내용은 「개인정보 보호법」 제47조 제5항 규정에 따라 "재판상 화해"의 효력 (민사소송법상 확정판결과 동일한 효력)이 부여됩니다. 이것은 조정 성립 후 당사자가 결정 내용을 이행하지 않을 경우에 법원으로부터 집행문을 부여받아 강제집행을 할 수 있는 강력한 효력이 있습니다. 조종의 효력개인정보 처리와 관련하여 당사자 사이에 분쟁이 있을 때 분쟁의 조정을 원하는 자는 누구든지 신청이 가능하며, 신청의 내용은 법령 위반행위의 중지, 피해에 대한 손해배상의 청구뿐만 아니라 개인정보 열람요구권, 정정요구권, 삭제요구권 등과 같은 적극적 권리 행사도 포함됩니다.출처 및 참고자료개인정보분쟁조정위원회 https://www.kopico.go.kr개인정보분쟁 조정 위원회 유튜브 https://www.youtube.com/c/pipcpr
-
- 21.08.28