상담원의 상담내용도 개인정보로 분류 : 파일형
정보통신 서비스 : 방문 기록 IP, 임시파일 등

이용자의 개인정보 수집시
반드시 동의를 얻어야한다.

고지사항
1. 개인정보의 수집 이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유 및 기간

<예외 인경우>

정보통신서비스 제공에 한 계약을 이행하기 하여 필요한 개인정보로서 경제 기술적인 사유로 동의를 얻는 것이 현실적으로 어려운경우

정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우

해당 법 또는 다른 법률에 특별한 규정이 있는 경우

<개인정보 활용을 위한 동의 획득 방법>

인터넷 사이트 : 인터넷 사이트에 동의내용을 게재하고 이용자에게 동의 여부를 표시하도록함

서면 : 동의 내용이 기재된 서면을 이용자에게 직접 교부하거나 우편 또는 FAX를 통하여 전달하고 이용자가 동의 내용에 대하여 서명날인 후 제출하도록 하는 방법

전자 우편 : 동의 내용이 적힌 전자우편을 발송하여 이용자로 부터 동의의 의사표시가 적힌 전자우편을 전송받는 방법

전화 : 전화를 통하여 동의 내용을 이용자에게 알리고 동의를 얻거나 인터넷주소등 동의 내용을 확인할 수 있는 방법을 안내하고 재차 전화통화를 토앟여 동의를 얻는 방법

동의 획득 시 주의사항

1. 동의를 구하고 있다는 사실 및 법정 고지사항을 명확히 인식 확인함

2. 자발적 의사에 따라 동의 여부를 판단 결정할 수 있도록 하여야 함

3. 법정 고지사항을 이해하기 쉽고 명확하게 표시하여 이용자에게 알린 상태에서 동의를 받아야함.

개인정보 처리 위탁
원칙 : 개인정보 처리 위탁을 위한 동의를 받아야함

개인정보 제3자 제공 VS 개인정보 처리위탁의 차이

개인정보 제3자 제공은 마케팅처럼 제3자의 회사가 임의의로 서로의 이득을 위하여 개인정보를 수집하기를 원할때 받아야하는 동의이고

개인정보 처리위탁은 우리 회사의 서비스를 운영하기위해서 다른 회사의 관리를 원하거나 개인정보로 인해서 서비스 원할을 위해서 대행업체를 불러서 진행할경우에 예이다.

그 예로는 배송업무의 처리위탑과 상담업무 처리위탁이 있다.

합병등의 의한 개인정보 이전
통지 항목
1. 개인정보를 이전하려는 사실
2. 개인정보를 이전 받는자(양수자)의 성명 주소 전화번호 및 그 밖의 연락처
3. 개인정보 이전을 원하지 않을 경우 동의 철회 방법 및 절차

통지 방법
인터넷 홈페지이 게시, 전자우편, 서면, 전화 등을 통해 통지

양도자와 양수자는 통지의무자 이며 당초의 개인정보의 목적 범위 내에서만 개인정보를 이용하거나 제공해야함.

당초의 목적과 다른 목적으로 개인정보를 이용하거나 제공하려면 이용자로부터 별도의 동의를 얻어야함.

---

사용 목적이 끝난 개인정보의 삭제

1. 이용자가 동의를 철회한 경우
2. 수집시 동의를 얻은 보유기간이 만료된 경우
3. 개인정보 수집 이용 목적이 달성된 경우

생애주기라고 한다.

유효기간 만료 30일전까지 전자우편, 서면, 전화 등의 방법으로 이용자에게 통지해야한다.

개인정보의 파기의 예외인 경우
개인정보가 기재된 문서 : 분쇄기로 분쇄하거나 소각

컴퓨터 파일 형태로 저장된 개인정보 기록 : 기술적 방법 로우레벨포맷 등 으로 삭제

---

개인정보 보호담당자의 업무 길라잡이1

학습목표
1. 개인정보 내부관리계획을 이해할 수 있다.
2. 개인정보 처리방침의 필수 포함사항을 알 수 있다.
3. 이용자의 권리보장 의무와 필요한 조치방법을 알 수 있다.

학습내용
1. 내부관리 계획의 수립 운영
2. 개인정보 처리방침의 작성 관리
3. 이용자 권리보장

개인정보 관리 책임자
이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말함

개인정보 보호 책임자
개인정보 처리에 관한 업무를 총관해서 책임지거나 업무처리를 최종적으로 결정하는 자

개인정보처리
개인정보를 수집, 생성, 기록, 저장, 보유, 가공. 편집, 겁색. 파기 등이와 유사한 행위를 말함

개인정보처리담당자
개인정보처리자로서 개인정보를 활용한 업무를 실제 수행하며 개인정보 보호를 위한 각종 활동 및 개인정보취급자를 관리 / 감독하는 자를 말함.

개인정보 취급자
개인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 말함

내부 관리 계획
정보통신서비스 제공자 등이 개인정보의 안전한 취급을 위하여 개인정보보호조직이 구성, 개인정보취급자의 교육, 개인정보 보호조치등을 규정한 계획을 말함

법정대리인
별도의 위임을 받지 않고도 직접 법률의 규정에 의하여 대리권의 효력이 발생하는 자(친권자, 후견인)를 말함

내부관리 계획은 제정 후 1년에 1회이상 검토를 하여 개정하여야 함

사전 조사 -> 기획 -> 내부관리 계획 작성 -> 내부관리 계획 승인 및 선언 -> 사내 적용 및 가이드(교육) -> 내 외부 정기감사 -> 개정 및 재승인이 필요함

내부관리 계획서 예시

<개인정보 보호 책임자>
개인정보 보호 조직 구성 및 운영의 총괄
내부관리계획의 수립 및 승인
개인정보기술적 관리적 보호조치 기준 이행 총괄

<개인정보 보호 담당자>
개인정보에 대한 안정성을 확보하고, 개인정보 취급자에 대한 교육과 관리감독 책임

개인정보 보호 실태조사 협조에 관한 사항

개인정보 취급자 지정 변경관리 및 교육
개인정보 수집에서 파기 등 전 단계에 대한 개인정
보 관리실태 분기별 점검 및 개선

<개인정보 취급자>
개인정보보호 활동 참여
내부관리계획의 준수 및 이행
개인정보의 기술적 관리 관리적 보호조치 기준 이행
소속 지원 또는 제3자에 의한 위법 부당한 개인정보

정보통신 서비스 제공자는 개인정보 보호책임자 및 개인정보 취급자, 수탁사 및 대리점을 대상으로 매 1년 이상의 개인정보보호 교육을 실시하여야 함!

---

1. 내무관리계획의 수립과 운영
   점검시기 : 정기적 최소 연 1회 권고
   점검방법 : 점검시기, 대상, 내용등을 포함
   점검반 : 사업장 내에 개인정보 보호 관련 부서의 감사자 또는 유관 부서의 전문가로 구성 가능

점검 절차 : 범위 대상 기간 점검 수행자 등의 내용과 점검 결과를 어떻게 처리할 것인지의 내용 포함

점검결과 자료관리 : 시스템 점검 결과 요약, 시스템 로그 및 수집한 증거자료 등 점검 시 생성된 모든 자료와 결과 보고서를 관리하는 것을 의미

-> 점검결과에 대한 접근은 점검반으로 제한하여 자료의 무결성 보장

< 개인정보 업무 처리 주요 점검사항 >
1. 자리 이석시 PC화면 잠금 조치 미흡
2. 업무용 PC 비밀번호 미설정
3. 송 ㆍ 수신 시 암호화 조치 미흡
4. 승인없는 외부 반출
5. 서류 방치
6. 부주의한 메일 발송

---

---

개인정보 처리 방침의 작성 관리

개인정보 처리방침 주요 내용
1. 개인정보의 수집 이용 목적 수집하는 개인정보의 항목 및 수집방법

2. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명, 제공받는 자의 이용 목적과 제공하는 개인정보 항목

3. 개인정보의 보유 및 이용 기간, 개인정보의 파기절차 및 파기방법

4. 개인정보 처리위탁을 하는 업무의 내용 및 수탁자

5. 이용자 및 법정 대리인의 권리와 그 행사방법

6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치 운영 및 그 거부에 관한 사항

7. 개인정보 보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처

---

이용자의 권리 보장

이용자의 권리 보장

1) 동의철회
2) 열람 제공 또는 오류정정 요구
3) 법정 대리인 권리보장 등

---

---

개인정보 보호 담당자의 업무 길라잡이2

학습목표

1. 접근통제 방안에 대해 알 수 있다.
2. 접속기록 위/변조 방지 방법에 대해 알수 있다.
3. 개인정보 암호화 방법에 대해 알 수 있다.
4. 악성 프로그램 방지를 위한 방법에 대해 알 수 있다.
5. 물리적 접근 방지 방법에 대해 알 수 있다.
6. 출력 복사 시 보호조치 방법에 대해 알 수 있다.
7. 개인정보 표시 제한 보호조치방법에 대해 알 수 있다.

학습 내용

1. 접근통제 방안
2. 접속 기록 위/변조 방지 방법
3. 개인정보 암호화 방법
4. 악성 프로그램 방지를 위한 방법
5. 물리적 접근 방지
6. 출력 복사 시 보호조치
7. 개인정보 표시 제한 보호조치

---

개인정보 보호 책임자

개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자

개인정보의 유출
정보주체의 개인정보에 대하여 개인정보 처리자가 통제를 상실하거나 또한 권한없는 자의 접근을 허용한 것을 말함

개인정보 처리시스템
데이터베이스시스템 등 개인정보를 처리할 수 있또록 체계적으로 구성한 시스템을 말함

개인정보 취급자
개인정보처리자의 지휘 / 감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든자를 말함

개인정보 보호 담당자의 업무 길라잡이2

처리시스템 접근 권한 관리

1. 개인정보 처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호 책임자 또는 개인정보 취급자에게만 부여

2. 전보 또는 퇴직등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체없이 개인정보처리 시스템의 접근 권한을 변경 또는 말소

3. 개인정보처리 시스템 접근 권한의 부여, 변경 또는 말소에 대한 내역을 전자적 또는 수기로 기록하고, 그 기록을 최소 5년간 보관

4. 기록 작성 시 신청자 정보, 신청 및 적용 일시, 승인자 및 발급자 정보, 신청 및 발급 사유 등의 내용이 포함되어야 하며 공식적인 절차를 통하여 관리

---

1) 접근 통제

2) 정보유출 방지

불법적인 접근 및 침해사고 방지를 위해 접근 제한 기능 및 유출 탐지 기능이 수행되도록 설치 운영

침해

3) 망분리 적용방안

물리적 망분리 / 논리적 망분리

4) 비밀번호 관리 방법

연속적인 숫자나 생일, 전화번호 등 추축하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고

비밀번호에 유효기간을 설정하여 반기별 1회이상 변경

5) 개인정보 처리 시스템 취약점 진단

인터넷 홈페이지를 통해 고유식별정보를 처리하는 정보 통신 서비스 제공자는 고유식별정보가 유출 변조 훼손되지 않도록 해당 인터넷 홈페이지에 대해 연 1회 이상 취약점을 점검하여야 하며, 그 결과에 따른 개선 조치를 하여야 함

정보통신 서비스 제공자의 자체인력, 보안업체 등을 활용할 수 있으며, 취약점 점검은 상용도구, 공개용 도구, 자체 제작 도구등을 사용할 수 있음

---

1) 접속기록 위 변조 방지 방법

개인정보 취급자가 개인정보처리시스템에 접속한 기록을 월 1회이상 정기적으로 확인 감독

개인정보 처리와 관련된 정보를 포함하는 접속기록을 최소 6개월 이상 보존 관리

위반 사례

개인정보 처리 시스템에 접속하여 고객 개인정보 조회 유출

접속기록 미보관

---

3.개인정보 암호화 방법

3-1) 개인정보 저장시 암호화

정보통신서비스 제공자는 고유실별정보, 신용카드번화, 계좌번호, 바이오정보등 안전한

4. 악성프로그램 방지를 위한 방법

1) 악성프로그램 방지를 위한 방법

정보통신서비스 제동자는 설치한 보안 프로그램을 적절하게 운영

보안 프로그램 설치 후, 최신 상태의 보안 업데이트 적용

보안 프로그램의 정책 환경 설정 등을 통해 사내의 보안정책을 적용

보안프로그램을 통해 발견되는 악성 프로그램 등 확산 방지 조치(삭제 치료 물리적 차단 분리 등)

물리적 접근 방지

출입 통제 절차

개인정보의 물리적 저장소의 출입이 자유로울 경우
시스템과 달리 그 기록을 알기 어렵기 떄문에 정보 유출자의 색출이 어려움

개인정보를 물리적 저장소에 두고 있는 경우에는 비인가자의 접근으로 인한 개인정보의 절도, 파괴 등의 물리적 위협으로부터 정보자산을 보호하기 위해 출입통제 절차를 수립하여야 함

안전한 장소 보관

개인정보 처리자는 개인정보가 포함된 서류, 보조 저장매체 등을 잠금 장치가 있는 안전한 장소에 보관하여야함

디스켓(FD), 이동형 하드디크스(HDD), USB 메모리, Flash메모리, CD(CompatDisk), DVD(Digital Versatile Disk) 등의 보조 기억 매체는 금고 또는 잠금장치가 있는 캐비닛 등에 안전하게 보관함

---

출력복사시 보호조치

출력항목 최소화 방안

1. 업무에 따라 다른 출력항목 출력되도록 구현

2. 대리점, 고객상담, 영업 등 각각의 업무형태나 개인정보 처리 시스템의 접근권한에 따라 보여지는 출력항목 다르게 설정

출력물 보안 조치

1. 인쇄물 출력 시 필요한 경우 출력자, 부서명, 문서명, 출력일장, 회사로고 등을 프린트

2. 워터마킹 기술을 이용하여 삽입

---

개인정보 표시제한 보호 조치

4. 개인정보, 위 수탁 관리하기

학습목표

1. 개인정보 처리 위 수탁 관련 사고 사례와 요구사항을 알 수 있다.

2. 개인정보 처리 수탁 점검항목에 대해 알수 있다.

3. 온라인 개인정보보호 자율규제에 대하여 이해할수 있다.

학습 내용

1. 개인정보 위 수탁 관련 보호조치
2. 개인정보 업무 시 위 수탁 체크리스트
3. 온라인 개인정보보호 자율규제

keyword

개인정보 제3자 제공
개인정보 수집 제공 관계에 있는 당사자 이외의 제3자에게 제3자의 이익을 위하여 개인정보가 이전되는것

개인정보보호 관리체계 인증
신청기관의 개인정보보호를 위한 일련의 조치와 활동이 인증심사 기준에 부합하다고 승인하는 것을 말함

개인정보처리의 위탁
기관 내부업무를 외부의 제3자에게 위탁하여 처리토록 하는 일종의 아웃소싱(Outsourcing)경우를 말함

고유식별정보
벌령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등을 말함

---

1. 개인정보 위 수탁 관련 보호조치

1) 개인정보의 이전

처리위탁 : A사의 업무 목적 내에서 활용

2) 제3자 제공과 위탁의 구별

3) 개인정보의 제3자의 제공

---

개인정보 위 수탁 관리하기

개인정보 업무 시 위 수탁 체크리스트

외부 위탁 계약
개인정보 처리업무를 외부에 위탁하는 경우 개인정보보호에 관한 요구사항, 관리감독, 법규정위반의 배상책임 등에 관한 사항을 계약서 등에 문서화해야함.

1. 개인정보 처리업무를 위탁하는 외주 용역 업체에 대한 위탁계약서가 존재하지 않은경우

위탁자 관리 감독

위탁 업체가 계약서 및 서비스 수준협ㅇ약, 관련 법 규정 등에 명시된 사항을 충분히 이행하는지 주기적으로 관리 감독해야함

1. 개인정보 수탁사에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나 교육 수행 여부를 직접 확인하거나 교육수행결과를 받고 있지 않은 경우

2. 최근 개인정보 처리위타기 종료된 업체에 대하여 개인정보를 회수 파기하는 절차를 수행한 증적이 확인되지 않는 경우

3. 정보통신서비스 제공자인 신청기관으로부터 개인정보 처리업무를 위탁받은 수탁자 중 일부가 신청기관의 동의 없이 해당 업무를 재위탁한 경우

---

개인정보, 위 수탁 관리하기

3. 온라인 개인정보보호 자율규제

1) 온라인 개인정보보호 자율규제

온라인 기반 융합서비스 확산

수집 이용되는 개인정보의 유형과 규모 확대

복잡한 위 수탁 관계

자율규제 참여 시행 절차

1단계 자율규약 제정

( 협 단체 & 사업자 )

개인정보보호 자율 점검 체크리스트 구성

2) 온라인 개인정보보호 자율규제 Q&A

---

정리