‘클라우드 정보보호 인증 도입 최적가이드’ 세미나 개최 네이버뉴스/11-18 0:02
클라우드 정보보호 인증에 주목!…’클라우드 정보보호인증 도입 최적가이드’... 전자신문/11-18 0:02
정보보호 분야 학생들이 바라는 ‘이상’, CISO들이 말하는 ‘현실’ 보안뉴스/11-18 1:32
`산업적 연구` 빠진 개인정보보호법, 국회 첫관문 통과…업계 기대반, 걱정반 네이버뉴스/11-18 3:36
[사설] 20대 국회 경제법안 처리, 정말 시간이 없다 이투데이/11-18 5:02
P2P금융 법제화됐지만 이용자 보호는 '산넘어 산' 소비자가 만드는 신문/11-18 7:12
개인정보보호위 '신청인 개인정보 처리 돕는다'…운영세칙 신청서 개선 IT조선/11-18 8:02
[판결]'불기소처분 확정됐다면, 사건기록 공개는 비공개대상 아냐' 로이슈/11-18 9:26
드디어 개망신에서 벗어난다! 법률신문/11-18 9:52
개인정보분쟁조정 신청인 개인정보 활용 사실 명시한다 네이버뉴스/11-18 10:10
SK브로드밴드, ‘디도스 클린존 구축형 서비스’ 출시 네이버뉴스/11-18 10:22
[김정혁 금융·보안칼럼-16] 금융보안 패스워드 관행 개선할 필요 데일리시큐/11-18 10:52
라인, 해커원과 손잡고 공개 버그바운티 시작 보안뉴스/11-18 11:00
‘EU 개인정보 이전 자격’ 내년 1분기 확보 가능할 듯 네이버뉴스/11-18 11:23
[기자수첩]기업 개인정보 오남용? 국민은 바보가 아니다 네이버뉴스/11-18 14:11
국민대 정보보호연구실 팀, ‘금융보안 공모전’ 논문 대상 수상 네이버뉴스/11-18 14:11
디즈니 플러스, 서비스 시작 수 시간 만에 계정 해킹돼 네이버뉴스/11-18 14:18
삼성전자 중저가 스마트폰 기본앱에서도 보안 취약성 발견 아시아타임즈/11-18 14:26
개인정보보호표준포럼, '국제워크숍 2019' 개최 IT DAILY/11-18 15:10
금감원 팝업창 뜨더니 계좌번호·비번 요구? 100% 사기입니다 국방일보/11-18 15:14
[종합] 'IGC X G-CON 2019' 강연기사 모아보기 네이버뉴스/11-18 15:19
에이스손보, 업계 최초 개인정보보호배상책임보험(Ⅱ) 보장 강화한 특약 신설 네이버뉴스/11-18 15:26
카드사에 데이터는 넘친다…'신용평가' 개척 나선 카드업계 네이버뉴스/11-18 15:35
뉴저지 타운정부 `해킹’ 잇따른다 한국일보/11-18 16:52
구글, 왜 또 이러나?... 환자 개인정보보호 침해 논란 재점화 AITIMES/11-18 17:48
KISA, ‘K-사이버 시큐리티 챌린지 2019’ 본선 대회 개최 보안뉴스/11-18 18:14
세종사이버대 박영호 교수팀 ‘2019 국가암호공모전’ 대상 수상 보안뉴스/11-18 18:22
개인정보보호표준포럼, 국제워크숍 개최 보안뉴스/11-18 18:38
[스마트라이프] 사이버 범죄가 이뤄지는 온라인 지하세계…다크웹 YTN/11-18 18:46
매직 더 개더링 제작사, 실수로 45만여명 계정 데이터 유출 IT조선/11-18 19:00
여야, 올해 마지막 정기국회도 평행선…법안 처리 ‘먹구름’ 네이버뉴스/11-18 23:42

'보안 이야기 > 뉴스' 카테고리의 다른 글

11월 24일 뉴스  (0) 2019.11.25
11월 22일 뉴스  (0) 2019.11.23
11월 21일 뉴스  (0) 2019.11.22
11월 20일 뉴스  (0) 2019.11.21
11월 19일 뉴스  (0) 2019.11.20
블로그 이미지

ligilo

행복한 하루 되세요~

,

※ 주의! 이 글은 법령 해석이 아닌 지극히 개인적인 의견일 뿐이며 이를 근거로 업무를 처리하실 수는 없습니다.

업무를 처리하다보면 간혹 개인정보 열람/정정/삭제 요구가 발생하게 된다.

이는 개인정보보호법과 정보통신망법에서 규정하는 정보주체의 권리로 개인정보처리자는 분명 이에 대해 응해야 할 의무를 가진다.(정보통신망법 제30조, 제35~38조)

다만, 개인정보보호법 시행령에서는 열람 대상을
1. 개인정보의 항목 및 내용
2. 개인정보의 수집이용의 목적
3. 개인정보의 보유 및 이용기간
4. 개인정보의 제3자 제공 현황
5. 개인정보 처리에 동의한 사실 및 내용
으로 정의하고 있으며

정보통신망법에서는 열람 대상을
1. 정보통신서비스 제공자등이 가지고 있는 이용자의 개인정보
2. 정보통신서비스 제공자등이 이용자의 개인정보를 이용하거나 제3자에게 제공한 현황
3. 정보통신서비스 제공자등에게 개인정보 수집ㆍ이용ㆍ제공 등의 동의를 한 현황
으로 정의하고 있다.

이 때, 정보주체는 자신의 개인정보를 열람한 개인정보처리자의 접속기록(개인정보처리자의 이름, IP, 처리일시, 처리목적 등)을 요구할 수 있을 것인가에 대한 의문이 생긴다.

개인정보보호법에서는 접속기록을 열람할 어떠한 근거도 보이지 않는다.
하지만 정보통신망법의 열람대상 중 2호 중 개인정보 이용 현황에 대해 해석하면 접속기록도 결국 이용 현황으로 볼 수 있지 않을까라는 생각이 든다.

정보보호업무를 하고는 있지만 나 역시도 정보주체의 한 사람으로써 자기결정권 측면에서 정보주체로서 자신의 정보에 대한 권리는 행사할 수 있어야 한다고 생각한다.
그러나, 현실적으로 개인정보처리자의 접속기록에 처리한 정보주체의 정보를 하나하나 남기기는 쉽지 않다. 따라서, 개인정보의 안전성 확보조치 기준에서는 접속기록에 정보주체의 정보를 남기도록 하고 있으면서도 해설서에서 대량의 정보를 처리하는 경우 쿼리를 기록하고 책임추적성 확보를 위한 노력을 하도록 하고 있다.

이 때, 접속기록을 쿼리로 남긴 경우 결국 특정 1인의 정보주체에 대한 정보를 처리(열람, 수정, 삭제 등)를 했는지 확인하기 위해서는 사내에 남아있는 모든 쿼리에 대한 결과를 재점검하는 노력이 필요하다. 이 작업은 법령에 따라 1년 또는 2년치의 모든 쿼리를 다시 돌려봐야 하며 회사에 회원업무를 처리하는 개발자 또는 DB 담당자가 많지 않은 경우 이 작업을 위해 회사의 타 업무를 마비시켜야 하는 경우가 발생할 수 있다.

또한 공공기관에 로그를 요구하였으나 이는 시간적 경제적 부담없이 쉽게 생성할 수 있는 정보가 아니기 때문에 정보공개요청 대상이 아니라는 행정심판례가 존재한다.(http://law.go.kr/deccInfoP.do?mode=3&deccSeq=205455)
물론, 해당 행정심판례는 개인정보보호법이나 정보통신망법이 아닌 '공공기관의 정보공개에 관한 법률'을 근거로 하고 있어 직접적으로 동일한 내용으로 해석하기는 어려울 것으로 보인다.(공공기관인 경우 동일한 내용으로 해석이 가능하지 않을까 싶다.)

다만, 시간적 경제적 부담없이 생성하기 어렵다는 점은 공공/민간과 상관없이 동일하기 때문에 해당 내용은 개인정보 열람 요구권의 대상이 되어서는 안된다는 생각이 든다.

 

※ 주의! 이 글은 법령 해석이 아닌 지극히 개인적인 의견일 뿐이며 이를 근거로 업무를 처리하실 수는 없습니다.

 

'보안 이야기' 카테고리의 다른 글

SECON 일정 연기  (0) 2020.02.19
SECON2020 사전등록  (0) 2019.12.22
18년 ISMS, PIMS 인증심사원 자격검정 안내  (0) 2018.01.11
[리뷰] 실무자가 말하는 모의해킹  (0) 2017.12.20
개인정보 유효기간제  (0) 2016.01.16
블로그 이미지

ligilo

행복한 하루 되세요~

,

벤츠코리아 개인정보 유출사고

날짜 : 2019. 9. 16

개요 : 기브앤바이크 대회 배번호 공지 파일 내 참가자 휴대전화번호 등 개인정보 포함

http://www.newsworker.co.kr/news/articleView.html?idxno=42657

 

벤츠코리아, 개인정보 대량 유출 사태 또 발생 '국민경각심 자극한다'…기브앤바이크대회과정서 발생 - 뉴스워커

[뉴스워커_오피니언] 불과 5개월 전 일이다. 페이스북 이용자 8700만명의 개인정보 유출사태가 발생한지. 당시 개인정보가 유출된 페이스북 이용자 수는 미국인 7000만 명을 넘었고. 필리핀과 인도네시아 그리도 ...

www.newsworker.co.kr

 

시스템의 사고보다는 인적 사고로 보는게 더 맞을 것 같다는 개인정인 생각...

다시한번 임직원의 개인정보보호 인식 재고 훈련 방안을 마련해야겠다는 생각이 드는 사고사례...

요즘 안그래도 개인정보보호 교육과 훈련을 어떻게 해야할지 고민중인데

아무리 생각해도 법이 연관되어있다보니 재밌게 하기가 쉽지는 않다는 생각이 든다.

(그렇다고 개인정보취급자 대상으로 택배오면 스티커 잘 제거하세요 라는 교육을 할수는 없으니... 그건 이용자 대상 교육이지 사용자인 개인정보취급자 대상 교육이 아니니...)

블로그 이미지

ligilo

행복한 하루 되세요~

,

이 글을 검색해서 들어오신 분이시라면

올해 ISMS와 PIMS가 통합된다는 소식은 들으셨을 겁니다.

구체적인 내용은 발표되지 않았지만 통합만큼은 확정되었죠...

저와 함께 공부하던 사람들한테 통합때문에 시험이 없지 않을까라고 얘기는 했지만

그게 정말 현실이 되어버렸네요...

2018년에는 ISMS 및 PIMS 인증심사원 자격검정이 없습니다.

다만, 기존 심사원들의 자격 통합만 진행될 예정이라고 합니다.

자세한 내용은 KISA ISMS 홈페이지의 공지사항을 확인하시면 되겠습니다.


공지사항 바로가기

블로그 이미지

ligilo

행복한 하루 되세요~

,


이 책을 처음 접한건 저자가 운영하는 보안프로젝트 페이스북 그룹에서였습니다. 현재 기설적 보안보다는 관리적 보안에 치중된 보안담당자로 일하고 있어 보안프로젝트에서 좋은 정보를 많이 얻고 있었기 때문에 모의해킹이라는 컨설팅 업무 중 지극히 기술적인 부분에 대해 어떻게 써 내려갔을지 궁금하기도 했습니다.

이 책을 읽고난 후 느끼는 바는 결론부터 말씀드리자면 IT를 처음 접하면서 바로 모의해커를 꿈꾸는 사람이 보기에는 약간 어렵지만  IT를 공부했거나 특히 다른 IT업계에서 벗어나 모의해킹 분야로 가고자 하는 사람의 진로설정에는 엄청난 도움이 되겠다는 것입니다.

분명 이 책은 기술서는 아닙니다. 오히려 기술에 대한 내용은 거의 없습니다. 다만, 모의해커로 진출하려는 사람들에게 어떻게 공부를 해야하고 어떻게 취업준비를 해야하는가를 알려주는 책입니다. 기술적인 내용은 책에서도 다른 책을 소개하고 있습니다만 이 책의 저자인 조정원씨의 다른 책이 이미 시중에 많이 나와있습니다. 저 역시도 저자의 책이 공부하는데 많은 도움이 되고 있습니다.

책은 크게 4챕터로 구성되어 있습니다.

첫번째. 모의해킹 업무를 이해하는 시간.
취업준비를 하는 사람들이라면 가장 지루한 챕터가 아닐까 싶습니다. 나는 당장 취업에 도움되는 얘기를 듣고자 이 책을 샀는데 모의해킹이란 무엇이냐라는 얘기부터 한다면 당연히 와닿지는 않겠죠.. 하지만 컨설턴트를 고용해 ISMS 인증심사를 준비하는 제 입장에서는 상당히 와닿는 챕터가 오히려 첫번째 챕터였습니다.

두번째. 모의해킹 취업준비 - 프로젝트를 할 때.
이제 본격적으로 모의해커로서 어떤 식으로 프로젝트를 진행햐아 하는지가 나옵니다. 이 챕터를 잘 보면 어떤 환경을 구축해서 취업 전까지 그리고 취업한 후에도 실 사이트에 모의해킹을 할 수 없기에 어떻게 모의해킹 프로젝트를 할지 고민해 볼 수 있습니다. 물론 대부분의 답은 이미 정해져 있고 책에 있습니다.

세번째. 모의해킹 진로를 선택했다면?
정말 취업을 하는 단계입니다. 이직을 원하는 사람보다는 사회에 첫발을 내딛는 사람들에게 훨씬 중요한 챕터입니다. 다만, 그동안 기술만을 만져온 엔지니어나 개발자라면 반드시 필요한 발표와 보고서에 관한 내용이 있으니 건너뛰는 것은 권장하지 않습니다. 물론, 난 발표, 보고서, 문서작성, 이력서 작성은 누구보다 잘 할 수 있다고 하는 사람은 상관 없습니다만 안타깝게도 이 모든것에 기술적 실력까지 갖춘 사람들 본 적은 없는 듯 하네요...

네번째. 모의해킹 분야에서 사회 초년생이 되었을 때
사회 진출 후 또는 전직을 하려는 사람들이 봐야 할 챕터입니다. 결국 경력관리 내용인거죠.. 이 챕터는 비단 모의해커 뿐 아니라 컨설턴트, 나가서는 IT를 업으로 하는 모두에게 필요한 내용인 듯 합니다.

개인적으로 저는 모의해커를 꿈꾸는 사람은 아닙니다. 현재 관리적 보안 업무를 하고 있고 이 길을 떠나고 싶은 생각은 없습니다만, 보안업무 중에 컨설턴트를 고용하고 일부 모의해킹은 직접 해야 하는 사람으로서 몇몇 장을 제외한 내용은 엄청 큰 도움이 되는 책입니다.

저에게 이 책을 누구에게 추천하고 싶냐고 한다면 매일 컨설턴트와 싸우는 기업의 보안담당자나 기술적 보안이 아닌 다른 IT 분야에서 모의해킹으러 전직하려는 사람들을 취업준비생보다 우선으로 두고 싶습니다. 하지만 모의해킹이라는 분야에 관심이 있는 누구에게라도 모의해커에게 필요한 기술적 역량 외의 다른 역량에 대해 고민할 수 있는 길을 마련해 주는 책이기에 이 분야에 관심을 두는 누구라도 그리 많은 시간을 들이지 않고 읽어보기에 좋은 책이 아닌가 싶습니다.


<도서정보 더 알아보기>

블로그 이미지

ligilo

행복한 하루 되세요~

,

오랜만에 올리는 법령정보입니다.

지난 10월 19일 개인정보보호법이 일부 개정 시행되었는데요

시행령과 시행규칙도 함께 개정되어 실무에서 적용할만한 내용이 있습니다.


주요 사항은 다음과 같습니다.

1. 동의 시 강조할 내용이 정의되어 강조 방법까지 명시되었습니다.

2. 개인정보 유출신고 범위가 상당히 축소되었습니다.

3. 개인정보의 열람/정정/삭제/처리정지 시 개인정보처리자가 방법을 마련하도록 했습니다.


구체적으로 살펴보겠습니다.

법 제22조(동의를 받는 방법)

② 개인정보처리자는 제1항의 동의를 서면(「전자문서 및 전자거래 기본법」 제2조제1호에 따른 전자문서를 포함 한다)으로 받을 때에는 개인정보의 수집ㆍ이용 목적, 수집ㆍ이용하려는 개인정보의 항목 등 대통령령으로 정하는 중요한 내용을 행정안전부령으로 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하여야 한다.

시행령 제17조(동의를 받는 방법)

② 법 제22조제2항에서 "대통령령으로 정하는 중요한 내용"이란 다음 각 호의 사항을 말한다.

 1. 개인정보의 수집ㆍ이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정 보주체에게 연락할 수 있다는 사실

 2. 처리하려는 개인정보의 항목 중 다음 각 목의 사항

  가. 제18조에 따른 민감정보

  나. 제19조제2호부터 제4호까지의 규정에 따른 여권번호, 운전면허의 면허번호 및 외국인등록번호

 3. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)

 4. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적 

시행규칙 제4조(서면 동의 시 중요한 내용의 표시 방법)

법 제22조제2항에서 "행정안전부령으로 정하는 방법"이란 다음 각 호의 방법을 말한다.

 1. 글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것

 2. 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것

 3. 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖 의 내용과 별도로 구분하여 표시할 것 

개인정보 수집 및 이용 동의, 위탁 동의, 제3자 동의, 광고성 정보 수신 동의, 고유식별정보 및 민감정보 별도 동의 등 개인정보 활용 동의를 받는 경우 홍보성 목적이 있다는 사실 및 민감정보, 고유식별정보, 개인정보의 보유 및 이용기간, 제공받는자 및 그 목적(위탁 또는 제3자 제공 시)에 대해 9포인트 이상 다른 내용보다 20퍼센트 이상의 크기로 색깔, 굵기, 밑줄 등을 통하여 표시하여야 하며 동의사항이 많은 경우 별도 구분하여야 합니다.


얼마 전 1mm 제3자 동의 사건도 있었고 개인정보보호법의 입법 취지를 본다면 정보주체가 본인의 개인정보가 어떻게 움직이는지 그리고 중요한 정보에는 무엇이 있는지 쉽게 인지할 수 있도록 해야 한다는 것이 주요 골자입니다.


시행령 제37조(평가기관의 지정 및 지정취소)

② 평가기관으로 지정받으려는 자는 행정안전부령으로 정하는 평가기관 지정신청서에 다음 각 호의 서류(전자문서 를 포함한다. 이하 같다)를 첨부하여 행정안전부장관에게 제출하여야 한다.

 1. 정관

 2. 대표자의 성명

 3. 제1항제2호에 따른 전문인력의 자격을 증명할 수 있는 서류

 4. 그 밖에 행정안전부령으로 정하는 서류 

⑥ 제1항에 따라 지정된 평가기관은 지정된 후 다음 각 호의 어느 하나에 해당하는 사유가 발생한 경우에는 행정안 전부령으로 정하는 바에 따라 그 사유가 발생한 날부터 14일 이내에 행정안전부장관에게 신고하여야 한다. 다만, 제 3호에 해당하는 경우에는 그 사유가 발생한 날부터 60일 이내에 신고하여야 한다.

 1. 제1항 각 호의 어느 하나에 해당하는 사항이 변경된 경우

 2. 제4항제1호에 해당하는 사항이 변경된 경우

 3. 평가기관을 양도ㆍ양수하거나 합병하는 등의 사유가 발생한 경우

개인정보 영향평가 기관으로 지정받으려면 신고해야 하는 서류 중 임원의 성명이 빠졌습니다. 또한 변경이 발생한 경우 신고 기한이 두배씩 늘어났습니다. 개인적으로 개인정보 영향평가 기관 지정과 관련한 업무를 해본 적이 없어 실무에서 얼마나 편해졌을지 궁금하군요...


시행령 제39조(개인정보 유출 신고의 범위 및 기관)

① 법 제34조제3항 전단에서 "대통령령으로 정한 규모 이상의 개인정보 "란 1천명 이상의 정보주체에 관한 개인정보를 말한다.

시행령 제40조(개인정보 유출 통지의 방법 및 절차)

③ 제1항과 제2항에도 불구하고 법 제34조제3항 및 이 영 제39조제1항에 따라 1천명 이상의 정보주체에 관한 개 인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조제1항 각 호의 사항을 7일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에 는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 7일 이상 게시하여야 한다. 

개인정보 유출 시 신고 의무가 있죠.

개인정보보호법을 적용받는 경우 유출범위가 기존 1만명 이상인 경우에만 신고하면 되었습니다. 이 기준이 1천명으로 대폭 하향조정 되었습니다.

물론, 정보통신망법에서는 유출 규모에 대한 정의 없이 신고하도록 하고 있기 때문에 정보통신망법 적용 대상의 경우 유출사고가 일어났다는 사실 하나만으로 반드시 신고를 하셔야 하기 때문에 망법 적용 대상자의 경우 변경되는 사항은 없다고 볼 수 있겠네요


시행령 제41조(개인정보의 열람절차 등)

① 정보주체는 법 제35조제1항에 따라 자신의 개인정보에 대한 열람을 요구하려면 다음 각 호의 사항 중 열람하려는 사항을 개인정보처리자가 마련한 방법과 절차에 따라 요구하여야 한다.

 1. 개인정보의 항목 및 내용

 2. 개인정보의 수집ㆍ이용의 목적 

 3. 개인정보 보유 및 이용 기간

 4. 개인정보의 제3자 제공 현황

 5. 개인정보 처리에 동의한 사실 및 내용

③ 정보주체가 법 제35조제2항에 따라 행정안전부장관을 통하여 자신의 개인정보에 대한 열람을 요구하려는 경우 에는 행정안전부령으로 정하는 바에 따라 제1항 각 호의 사항 중 열람하려는 사항을 표시한 개인정보 열람요구서를 행정안전부장관에게 제출하여야 한다. 이 경우 행정안전부장관은 지체 없이 그 개인정보 열람요구서를 해당 공공기 관에 이송하여야 한다.

⑤ 개인정보처리자는 제1항 및 제3항에 따른 개인정보 열람 요구를 받은 날부터 10일 이내에 정보주체에게 해당 개 인정보를 열람할 수 있도록 하는 경우와 제42조제1항에 따라 열람 요구 사항 중 일부를 열람하게 하는 경우에는 열 람할 개인정보와 열람이 가능한 날짜ㆍ시간 및 장소 등(제42조제1항에 따라 열람 요구 사항 중 일부만을 열람하게 하는 경우에는 그 사유와 이의제기방법을 포함한다)을 행정안전부령으로 정하는 열람통지서로 해당 정보주체에게 알려야 한다. 다만, 즉시 열람하게 하는 경우에는 열람통지서 발급을 생략할 수 있다.

시행령 제43조(개인정보의 정정ㆍ삭제 등)

① 정보주체는 법 제36조제1항에 따라 개인정보처리자에게 그 개인정보의 정정 또 는 삭제를 요구하려면 개인정보처리자가 마련한 방법과 절차에 따라 요구하여야 한다. 이 경우 개인정보처리자가 개 인정보의 정정 또는 삭제 요구 방법과 절차를 마련할 때에는 제41조제2항을 준용하되, "열람"은 "정정 또는 삭제"로 본다.

시행령 제44조(개인정보의 처리정지 등)

① 정보주체는 법 제37조제1항에 따라 개인정보처리자에게 자신의 개인정보 처리의 정지를 요구하려면 개인정보처리자가 마련한 방법과 절차에 따라 요구하여야 한다. 이 경우 개인정보처리자가 개인정보의 처리 정지 요구 방법과 절차를 마련할 때에는 제41조제2항을 준용하되, "열람"은 "처리 정지"로 본다.

기존에는 별첨문서로 있는 개인정보 열람요구서를 이용하여 개인정보의 열람/정정/삭제/처리정지를 할 수 있었습니다. 이 내용이 개인정보 열람/정정/삭제/처리정지 방법을 개인정보 처리자가 정할 수 있도록 변경했고 개인정보 열람이 즉시 가능한 경우 열람통지서도 생략이 가능하도록 변경되었습니다.

수집 및 처리하는 개인정보가 일정한 기업 및 기관이라면 개인정보 열람통지를 별도로 할 필요 없이 열람 가능하도록 하는 방법도 상당히 업무 부하를 줄일 수 있는 방법이 아닐까 싶습니다.


이번 개정안에서 적지 않은 부분이 변경됐는데요 특히 법22조는 업무를 처리하시는 분들은 최대한 빨리 변경해야 하지 않을까 싶습니다.


개인정보 보호법_171019.pdf

개인정보 보호법 시행령_171019.pdf

개인정보 보호법 시행규칙_171019.pdf


블로그 이미지

ligilo

행복한 하루 되세요~

,

정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)이 지난 3월 22일 개정안이 발표되었습니다. 진작 정리해서 올렸어야 했는데 벌써 1달 반이 지나버렸군요;;; 늦었지만 나름대로 정리해서 올립니다.

 제22조의 2(접근권한에 대한 동의) - 신설

① 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 “접근권한”이라 한다)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다.
1. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
  가. 접근권한이 필요한 정보 및 기능의 항목
  나. 접근권한이 필요한 이유
2. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
  가. 접근권한이 필요한 정보 및 기능의 항목
  나. 접근권한이 필요한 이유
  다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실

② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.

③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는 기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 한다.

④ 제1항에 따른 접근권한의 범위 및 동의의 방법, 제3항에 따른 이용자 정보 보호를 위하여 필요한 조치 및 그 밖에 필요한 사항은 대통령령으로 정한다.

 모바일 앱을 개발하시는 분들은 반드시 알고 계셔야 하는 부분입니다. 그동안 앱 설치시에 너무 과한 권한을 가진다는 불만이 꾸준히 제기되어 오던 앱도 많은 것으로 알고 있는데요 이제 권한이 필요한 이유를 사전에 명시해야 하며 반드시 필요한 권한이 아니라면 사용자가 선택할 수 있게 되었습니다.

제25조(개인정보의 취급위탁) - 1항 개정, 6항 및 7항 신설

 ① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 제3자에게 이용자의 개인정보를 수집·보관·처리·이용·제공·관리·파기 등(이하 “취급”이라 한다)을 할 수 있도록 업무를 위탁(이하 “개인정보 취급위탁”이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.

제25조(개인정보의 처리위탁)

 ① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 "정보통신서비스 제공자등"이라 한다)는 제3자에게 이용자의 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위(이하 "처리"라 한다)를 할 수 있도록 업무를 위탁(이하 "개인정보 처리위탁"이라 한다)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다.

⑥ 정보통신서비스 제공자등이 수탁자에게 개인정보 처리위탁을 할 때에는 문서에 의하여야 한다.

⑦ 수탁자는 개인정보 처리위탁을 한 정보통신서비스 제공자등의 동의를 받은 경우에 한하여 제1항에 따라 위탁받은 업무를 제3자에게 재위탁할 수 있다.

 아래에서 한번 더 설명하겠지만 '취급'으로 명시하던 모든 조항이 '처리'로 변경되면서 개인정보보호법과 통일시켰습니다. 
또한 그동안 관리되던 '취급'의 범위를 훨씬 확대시켰습니다. 그동안 취급의 범위에 포함되지 않는다고 무시하던 위탁 내용이 있다면 다시 한번 확인해 보셔야 할 것 같습니다.

6항 및 7항은 신설된 항목이지만 사실상 기존부터 지켜야 하던 내용이기 때문에 크게 변경된 사항은 없습니다만 그게 ISMS 인증기준에서 지켜져야 하던 내용인지 법률에서 강제화하던 내용인지 확실치가 않군요;; 만약 ISMS 인증기준이라면 그래서 문서에 의하지 않고 개인정보 취급위탁을 하던분이 계신다면 반드시 문서에 의해서 할 수 있도록 변경하시기 바랍니다.

 제32조(손해배상) - 2항 및 3항 신설

② 정보통신서비스 제공자등의 고의 또는 중대한 과실로 인하여 개인정보가 분실·도난·유출·위조·변조 또는 훼손된 경우로서 이용자에게 손해가 발생한 때에는 법원은 그 손해액의 3배를 넘지 아니하는 범위에서 손해배상액을 정할 수 있다. 다만, 정보통신서비스 제공자등이 고의 또는 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다.

③ 법원은 제2항의 손해배상액을 정할 때에는 다음 각 호의 사항을 고려하여야 한다.
  1. 고의 또는 손해 발생의 우려를 인식한 정도
  2. 위반행위로 인하여 입은 피해 규모
  3. 위반행위로 인하여 정보통신서비스 제공자등이 취득한 경제적 이익
  4. 위반행위에 따른 벌금 및 과징금
  5. 위반행위의 기간·횟수 등
  6. 정보통신서비스 제공자등의 재산상태
  7. 정보통신서비스 제공자등이 이용자의 개인정보 분실·도난·유출 후 해당 개인정보를 회수하기 위하여 노력한 정도
  8. 정보통신서비스 제공자등이 이용자의 피해구제를 위하여 노력한 정도

 손해배상액의 범위가 정해졌습니다. 정보통신서비스 제공자가 아무런 노력을 하지 않은 상태에서 개인정보 유출 등의 문제가 발생한 경우 손해액의 3배까지 배상 판결이 나올 수 있는데요 그 비용이 만만치 않을 듯 합니다.

 제32조의3(노출된 개인정보의 삭제·차단) - 신설

① 정보통신서비스 제공자등은 주민등록번호, 계좌정보, 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 아니하도록 하여야 한다.

② 정보통신서비스 제공자등은 방송통신위원회 또는 한국인터넷진흥원의 요청이 있는 경우 제1항의 노출된 개인정보에 대한 삭제·차단 등 필요한 조치를 취하여야 한다.

 개인정보의 노출 차단의 의무는 있었지만 대부분의 경우 해당 사업자의 사이트 등을 통한 노출만을 이야기 하고 있었는데요 이번에 신설된 이 조항에서는 포털 등을 통한 노출까지도 정보통신 사업자의 책임으로 보고 있습니다. 포털등에서 노출된 자사에서 보유하고 있는 개인정보는 없는지 확인해볼 필요가 있을 것 같습니다.


위의 사항은 주요 내용만 기재해 뒀습니다.

또한 위에는 적지 않았지만 그동안 개인정보 '취급'으로 표현하던 내용이 '처리'로, '누출'로 표현하던 부분이 '유출'로 변경되는 등 용어의 변경이 상당부분 있습니다.

이에 따라 '개인정보처리방침'을 이용하던 망법 적용 대상 기관에서는 9월 23일 이후 개인정보처리방침 개정 시 '개인정보취급방침'으로 변경하셔야 하며

다양한 양식지에서 사용되는 '개인정보관리책임자'의 명칭도 '개인정보보호책임자'로 변경됩니다. 9월 30일이면 엄청 바쁠때인데 내규도 싹 다 갈아엎어야 하는군요;;;;

구체적인 변경사항은 첨부된 신구대조표(16년 6월 2일 시행 대조)를 참조하시면 될 것 같습니다.

법은 3가지가 올라가는군요.. 현재 시행중인 법, 6월 2일 시행예정법, 9월 23일 시행예정법입니다.


정보통신망법 신구조문대비표_160602_160923.xlsx

정보통신망 이용촉진 및 정보보호 등에 관한 법률_160322.pdf

정보통신망 이용촉진 및 정보보호 등에 관한 법률_160602.pdf

정보통신망 이용촉진 및 정보보호 등에 관한 법률_160923.pdf

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령_151223.pdf

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙_151223.pdf


블로그 이미지

ligilo

행복한 하루 되세요~

,

지난 3월 29일에 개인정보보호법의 일부 개정내용이 발표되었군요..

당시 해외여행중이라 이제서야 포스팅 합니다

제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)

① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
1. 개인정보의 수집 출처
2. 개인정보의 처리 목적
3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실

② 제1항에도 불구하고 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조제1항제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다. 다만, 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 아니한 경우에는 그러하지 아니하다.  <신설 2016.3.29.>

③ 제2항 본문에 따라 알리는 경우 정보주체에게 알리는 시기·방법 및 절차 등 필요한 사항은 대통령령으로 정한다.  <신설 2016.3.29.>

④ 제1항과 제2항 본문은 다음 각 호의 어느 하나에 해당하는 경우에는 적용하지 아니한다. 다만, 이 법에 따른 정보주체의 권리보다 명백히 우선하는 경우에 한한다.  <개정 2016.3.29.>
1. 고지를 요구하는 대상이 되는 개인정보가 제32조제2항 각 호의 어느 하나에 해당하는 개인정보파일에 포함되어 있는 경우
2. 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

여기에서 3항과 4항이 추가되었습니다. 

아마도 3항에서 얘기하는 대통령령은 시행 전에 시행령으로 발표되지 않을까 싶습니다.

4항의 예외조항은 중복하여 고지될 필요가 없다는 내용으로 보입니다. 또한 개인정보보호법에서 타인의 생명, 신체, 재산 및 이익을 침해할 우려가 있는 경우는 꽤 많은 부분을 예외조항으로 두고 있는데 20조에서도 마찬가지로 그러한 부분에 대해서는 예외조항을 두고 있습니다.

제23조(민감정보의 처리 제한)

② 개인정보처리자가 제1항 각 호에 따라 민감정보를 처리하는 경우에는 그 민감정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 제29조에 따른 안전성 확보에 필요한 조치를 하여야 한다.  <신설 2016.3.29.>

민감정보의 처리 제한에서 2항이 신설되었습니다. 이번에 신설되었다고는 하지만 이미 민감정보에 대해서는 개인정보보호법의 다른 조항과 정보통신망법의 여러 조항에서 다루고 있기 때문에 안정성 확보조치는 이미 다들 하셨을 거라고 생각됩니다.

 제24조(고유식별정보의 처리 제한)

④ 행정자치부장관은 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사하여야 한다.  <신설 2016.3.29.>

⑤ 행정자치부장관은 대통령령으로 정하는 전문기관으로 하여금 제4항에 따른 조사를 수행하게 할 수 있다.  <신설 2016.3.29.>

4항과 5항이 신설되었습니다. 정확한 내용은 대통령령이 발표되어봐야 알 수 있겠네요.. 고유식별정보를 처리하는 분들게서는 이미 안전성 확보조치는 하고 계시겠죠? 개인적으로 서류작업이 좀 안들어났으면 하는 바램입니다;;;

제25조(영상정보처리기기의 설치·운영 제한)

④ 제1항 각 호에 따라 영상정보처리기기를 설치·운영하는 자(이하 "영상정보처리기기운영자"라 한다)는 정보주체가 쉽게 인식할 수 있도록 다음 각 호의 사항이 포함된 안내판을 설치하는 등 필요한 조치를 하여야 한다. 다만, 「군사기지 및 군사시설 보호법」 제2조제2호에 따른 군사시설, 「통합방위법」 제2조제13호에 따른 국가중요시설, 그 밖에 대통령령으로 정하는 시설에 대하여는 그러하지 아니하다.  <개정 2016.3.29.>
1. 설치 목적 및 장소
2. 촬영 범위 및 시간
3. 관리책임자 성명 및 연락처
4. 그 밖에 대통령령으로 정하는 사항

개정내용이라고 하지만 사실상 대통령령에 있던 내용을 법령으로 넣은 내용이기 때문에 실무에서 변경되는 사항은 없겠네요...

제30조(개인정보 처리방침의 수립 및 공개)

① 개인정보처리자는 다음 각 호의 사항이 포함된 개인정보의 처리 방침(이하 "개인정보 처리방침"이라 한다)을 정하여야 한다. 이 경우 공공기관은 제32조에 따라 등록대상이 되는 개인정보파일에 대하여 개인정보 처리방침을 정한다.  <개정 2016.3.29.>
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)

8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

25조와 같은 내용이네요.. 대통령령이나 고시 등등에 있던 내용을 법령으로 넣은 내용이라고 볼 수 있습니다.

 제67조(연차보고)

② 제1항에 따른 보고서에는 다음 각 호의 내용이 포함되어야 한다.
1. 정보주체의 권리침해 및 그 구제현황
2. 개인정보 처리에 관한 실태조사 등의 결과
3. 개인정보 보호시책의 추진현황 및 실적
4. 개인정보 관련 해외의 입법 및 정책 동향
5. 주민등록번호 처리와 관련된 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙의 제정·개정 현황
6. 그 밖에 개인정보 보호시책에 관하여 공개 또는 보고하여야 할 사항

연차보고는 제 업무가 아니다보니 정확히 모르겠네요.. 이 부분도 이전부터 연차보고에 들어가 있던 내용이 아닐까라는 생각만 막연히 해봅니다.


결론적으로 보면 개인정보보호법은 크게 달라지지 않았습니다.

물론 대통령령이 법령으로 올라온 부분이 많아서 벌칙이 달라졌을 듯 하긴 합니다만

실무자 입장에서는 대통령령이든 법령이든 하다못해 고시든 다 맞춰야 하는 내용이기 때문에

사실상 달라진 내용은 없다고 보셔도 무방할 것 같습니다.

다만, 혹시 변경된 사항에 대해 위반하고 있었음에도 불구하고 무시하고 계셨다면 벌칙 조항을 확인하셔야겠죠^^


현재 시행중인 법령과 예정법령을 같이 올려놓습니다.

파일 뒤에 날짜를 보시면 되구요 시행령과 시행규칙은 현재 시행되고 있는 내용 외에 예정 법령이 없기 때문에 하나만 올라갑니다.

개인정보 보호법_160101.pdf

개인정보 보호법_160930.pdf

개인정보 보호법 시행령_160101.pdf

개인정보 보호법 시행규칙_141119.pdf


블로그 이미지

ligilo

행복한 하루 되세요~

,

2016년 6월 2일에 시행될 예정인 정보통신망 이용촉진 및 정보보호 등에 관한 법률 및 시행령입니다.

개인적으로 이번 개정안에 업무에 지대한 영향을 미쳐서 지금부터 부지런히 준비중이긴 한데요 내용은 다음과 같습니다.

 1. 제29조(개인정보의 파기) 2항
② 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.

 사실상 크게 변경된 내용이 없다고 볼 수도 있겠는데요 그동안 1년이라는 미이용 기간을 시행령에서 정하고 있었지만 이번 개정안에서 1년을 법령으로 봇박았습니다. 또한 미이용 기간을 다른 법령이나 이용자의 요청에 따라 달리 정할 수 있도록 했습니다.
물론 이 부분도 기존에 정보통신망법 해설서에서 명시되어 시행되고 있는 내용이긴 하지만요...

※ 미이용 기간을 달리 정하는 방법은 링크 참조(클릭)

 2. 제47조(정보보호관리체계의 인증) 제2항

「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.  <신설 2012.2.17., 2015.12.1.>
1. 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자
2. 집적정보통신시설 사업자
3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

 이번 개정안에서 ISMS 인증심사 의무대상자가 엄청나게 확대됐습니다. 특히 2항 3호를 잘 보셔야 할텐데요 기존에는 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상인 기업만 해당되었기 때문에 비영리단체, 병원 등 개인정보를 많이 보유하고 있는 상당수의 기관이 ISMS 심사를 받지 않아도 괜찮았습니다.
하지만 매출액의 조항이 추가되면서 상당히 많은 기업이 추가되었으며 특히 교육기관, 병원 등이 많이 추가될 것으로 보입니다.
참고로 저는 대학과 직접적으로 연관된 일을 하는 회사에 근무하고 있기 때문에 ISMS 인증심사 대상자의 범위에 포함될 학교를 추려봤더니 대학알리미 공시자료 기준 39개 대학이 나오더군요.. 2015년 수입 기준입니다.

참고로 이 항목에 따라 ISMS 인증심사 의무대상자가 인증을 받지 아니한 경우 제76조(과태료) 제1항제6의3호가 신설되어 3천만원 이하의 과태료가 부과됩니다.

 3. 제47조(정보보호관리체계의 인증) 제3항
③ 미래창조과학부장관은 제2항에 따라 인증을 받아야 하는 자가 미래창조과학부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 미래창조과학부장관이 정하여 고시한다.<신설>

 이번에 신설된 항목입니다. 현재 ISMS 심사를 받는 기관은 ISMS, PIMS, PIPL, ISO-27001까지 받으려면 같은 항목에 대해서 계속해서 받아야 하는 불편함이 있습니다. PIMS와 PIPL은 통합PIMS라는 이름으로 합쳐지기는 했습니다만 여전히 ISO-27001 등 많은 심사가 남아있습니다.
이번 신설된 내용에 따라 ISO-27001을 받은 기관에서 ISMS 심사를 받는 경우 중복된 항목은 생략이 가능하지 않을까라는 기대를 해봅니다. 물론 제가 근무하는 회사는 ISO-27001을 받지 않았기 때문에 해당사항은 없지만요...

정리해서 말씀드리자면 다음과 같습니다.

1. 기존 ISMS 인증심사 의무대상자가 연매출 1500억원 이상인
   자까지 확대

2. 국제표준 정보보호 인증을 받는 경우 ISMS 심사 중
   일부 생략 가능

3. ISMS 인증심사 의무대상자가 인증을 받지 아니하는 경우
   과태료 3000만원 부과


최신화된 정보통신망법/시행령/시행규칙 올려드립니다.

정보통신망법이 두개인건 파일명 뒤의 숫자를 봐주세요. 파일명 뒤의 6자리 숫자가 시행일입니다.

정보통신망 이용촉진 및 정보보호 등에 관한 법률_160602.pdf

정보통신망 이용촉진 및 정보보호 등에 관한 법률_151223.pdf

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령_151223.pdf

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙_151223.pdf


블로그 이미지

ligilo

행복한 하루 되세요~

,

방송통신위원회에서 1월 14일 개인정보 유효기간제 위반사업자 과태료 처분에 관한 내용을 보도자료로 배포했습니다.

총 5개 업종 27개 사업자에 대해 15년 10월 26일부터 15년 12월 3일까지 기획조사를 한 결과 8개 사업자에 대해 과태료 처분 및 시정조치 명령이 부과되었다는 내용인데요

위반 내용은 다음과 같습니다.

①시행일인 ’15.8.18. 이후에도 개인정보 유효기간제를 시행하지 않은 경우
②개인정보 유효기간제 시행주기*를 위반한 경우(분기·월별)
③개인정보 유효기간제를 일부 이용자에게만 적용한 경우
④광고 이메일을 단순 클릭해도 이용으로 인정한 경우

그렇다면 우선 개인정보 유효기간제가 무엇인지 알아야겠죠

정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제29조(개인정보의 파기) 제2항에서

『정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다.』

라고 명시되어 있습니다.

쉽게 말해 1년동안 로그인하지 않은  사용자의 계정은 삭제하라는 말이죠.

이 때 정보통신망법 시행령 제16조(개인정보의 파기 등)에 따라 다른 법령에서 달리 기간을 정하거나 이용자의 요청이 있는 경우가 아니라면 파기 또는 분리 보관해야 하는데요

정보통신망법이 적용되는 대부분의 기업 정보보호 담당자분들께서는 개인정보 유효기간제에 대해 이미 알고 있을 것이라고 생각됩니다. 하지만 어떻게 위반 내용 중 두번째 항목인 개인정보유효기간제 시행주기에 대해 많은 고민을 하시지 않았을까 생각됩니다.

이번 보도자료에도 명시가 되어 있지만 개인정보 유효기간제 시행주기는 원칙적으로 매일입니다. 매일 오늘로부터 1년간 로그인을 하지 않았다면 파기하는 것이 원칙이죠. 하지만 업무 편의성을 고려해 시행주기를 영업일 기준 5일로 잡고 있습니다.

한마디로 일주일에 한번씩은 파기를 해야하며 파기일이 도래하기 30일 전에 해당자에게 고지를 해줘야 한다는 말이죠. 또한 이메일을 클릭해 해당자가 홈페이지에 접속을 했다고 하더라도 로그인을 하지 않았다면 그것은 사용으로 인정받을 수 없습니다.

방송통신위원회에서는 보도자료를 통해 개인정보 유효기간제가 철저히 준수되도록 지속적으로 점검해 나갈 계획이라고 밝힌 만큼 정보통신망법 적용 대상 기업의 정보보호담당자 여러분들께서는 철저히 준비하셔야 할 것 같습니다.

[개인정보유효기간제 위반사업자 과태료 처분 보도자료 바로가기]

블로그 이미지

ligilo

행복한 하루 되세요~

,