개인정보보호 실무론

1. 개인정보보호 일반관리

① 개인정보의 안전한 관리

▶ 개인정보 안전조치 의무

개인정보 처리자는 개인정보가 분실·도난·위조·변조 또는 훼손되지 않도록 내부 관리계획 수릭, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적·물리적 조치를 하여야 한다.

Q. 그럼 대통령령에서 말하는 안전성 확보조치는 무엇이 있을까??

A. 시행령 30조(개인정보 안전성 확보 조치)에 나와있다.

1) 개인정보의 안전한 처리를 위한 내부관리계획의 수립·시행(연 1회 이상 점검·관리해야한다)

:: 개인정보 보호책임자의 지정에 관한 사항, 보호책임자 및 취급자의 역할 및 책임, 췩브자에 대한 교육, 접근 권한의 관리, 접근 통제, 개인정보의 암호화 조치, 접속기록 보관 및 점검, 악성프로그램 등 방지, 물리적 안전조치, 개인정보보호조직에 관한 구성 및 운영, 개인정보 유출사고 대응 계획 수립과 시행, 위험도 분석 및 대응방안 마련, 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치, 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독 사항, 그밖에 개인정보보호를 위해 필요한 사항을 정의한다.

2) 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치

3) 개인정보를 안전하게 저장·전송할 수있는 암호화 기술의 적용 또는 이에 상응하는 조치

:: 이 아이는 고유식별정보(주번, 여권, 운전면허, 외국인 등록번호)와 비밀번호, 바이오정보처리하는 자를 대상으로 한다.

:: 안전한 암호 알고리즘이란? 국내 및 미국, 일본, 유럽 등의 국외암호 연구관련 기관에서 권고하는 알고리즘을 의미한다.

:: 암호알고리즘을 적용한 후에는 안전한 암호화 운영에 필요한 암호키 길이, 암호키 교환방법, 암호 알고르짐 형태(대칭키, 공개키, 일방향)별 암호키 사용 유효기간 등 암호키 관련 사항을 정하여 운영

4) 개인정보 침해사고 발생에 댕으하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치

5) 개인정보에 대한 보안프로그램의 설치 및 갱신

6) 보관시설 마련 또는 잠금장치의 설치 등 물리적 조치

② 개인정보보호의 위반 사례

행정안전부와 한국인터넷진흥원이 발간한 [개인정보 실태 점검 및 행정 처분 사례집]을 정독하자 읽다보면 재미있다.

③ 개인정보보호 제도

대표적으로 개인정보보호법이 존재한다. 이는 일반법으로 개인정보를 업무를 목적으로 처리하는 모든 자들을 대상으로 한다. 타 법률에 동일한 규정이 있을 시 차순위로 적용된다. 신용법, 망법 등을 참고한다. 

④개인정보보호 조직구성 역할

개인정보관리책임자, 개인정보취급자 및 개인정보를 취급하는 각 부서의 책임자, 담당자에 대한 역할과 책임을 정의하고, 그 활동을 평가할 수 있는 체계를 마련하여야 한다. 

부서별 개인정보취급 책임자 및 담당자를 지정하고 실무조직, 개인정보관리 책임자 지정 등 일반적인 내용이니 넘어간다.

⑤ 개인정보보호의 물리적 관리

상동

⑥ 개인정보 취급자 관리

상동

⑦ 개인정보의 위탁 관리

상동

2. 개인정보보호 처리단계

① 개인정보 수집단계 관리

개인정보보호법 15조 개인정보의 수집·이용

개인정보보호법 16조 개인정보의 수집 제한

개인정보보호법 20조 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지

개인정보보호법 22조 동의를 받는 방법

개인정보보호법 23조 민감정보의 처리 제한

② 개인정보 보유단계 관리

개인정보보호법 29조 안전조치 의무

개인정보보호법 30조 개인어보 처리방침의 수립 및 공개

개인정보보호법 31조 개인정보 보호책임자의 지정

개인정보보호법 32조 개인정보파일의 등록 및 공개

개인정보보호법 33조 개인정보 영향평가

개인정보보호법 34조 개인정보 유출 통지 등

③ 개인정보 이용 및 제공 단계 에서의 관리

개인정보보호법 17조 개인정보의 제공

개인정보보호법 18조 개인정보의 이용·제공 제한

개인정보보호법 19조 개인정보를 제공받은자의 이용·제공 제한

개인정보보호법 26조 업무위탁에 따른 개인정보의 처리 제한

개인정보보호법 27조 영업양도 등에 따른 개인정보의 이전 제한

개인정보보호법 28조 개인정보 취급자에 대한 갑독

④ 개인정보 파기단계 관리

개인정보보호법 21조 개인정보 파기

3. 웹사이트 개인정보 관리

① 웹사이트 개인정보 등록 및 관리

② 웹사이트 개인정보 변경 및 내용 통보

③ 개인정보 유출과 노출 방지를 위한 관리 방법

4. 폐쇄회로 텔레비전(CCTV)관리 실무

① CCTV 설치에 대한 규칙

개인정보보호법 25조 제 1항

개인정보보호법 시행령 24조 제 1항

② CCTV 설치, 운영 및 관리

개인정보보호법 시행령 제 25조 제 1항

③ CCTV 설치, 관리 등의 위탁

개인정보보호법 제 25조 제 8항

개인정보보호법 시행령 제 26조 제 1항

④ CCTV 설치, 운영 점검

⑤ 개인영상정보 보호