개인정보의 개념
• 가명 정보 <그 자체의 식별 기능성>
‣ 가명처리를 하여 원래의 상태로 복원하기 위한 추가 정보의 사용•결합 없이는 특정 개인을 알아볼 수 없는 정보
• '쉽게 결합' 하여 알아볼 수 있는 정보<타 정보의 결합을 통한 식별 가능성>
‣ 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려
• 개인을 '알아볼 수 있는 정보여야 함'<정보를 통한 식별 가능성>
‣ 해당정보를 처리하는 자의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려(고유 식별정보, 주민등록번호)
• '정보의 내용•형태' 등은 제한이 없음<정보의 형태>
‣ 전자, 수기 등 형태와 처리방식은 무관
‣ 주관적 평가, 허위정보라도 해당될 수 있음(평가표, 예명)
• '개인에 관한' 정보여야 함 <정보가 지칭하는 대상>
‣ 법인 또는 단체의 정보는 해당 없음
‣ 연관성에 따라 개인정보가 될 수 있음(대표자 성명, 담당자 전화번호)
• '살아있는' 개인에 관한 정보<정보가 지칭하는 대상>
‣ 자연인에 관한 정보만 해당
‣ 국적이나 신분에 관계없이 법 적용대상(외국인, 피의자 정보)
• 개인정보 예시
| 구분 | 내용 | |
| 인적사항 | 일반정보 | 성명, 주민등록번호, 주소, 연락처, 생년월일, 출생지, 성별 등 |
| 가족정보 | 가족관계 및 가족구성원 정보 등 | |
| 신체적 정보 | 신체정보 | 얼굴, 홍채, 음성, 유전자 정보, 지문, 키, 몸무게 등 |
| 의료ㆍ건강 정보 | 건강상태, 진료기록, 신체장애, 장애등급, 병력, 혈액형, IQ, 약물테스트 등의 신체검사 정보 등 | |
| 정신적 정보 | 기호ㆍ성향 정보 | 도서·비디오 등 대여기록, 잡지구독정보, 물품구매내역, 웹사이트 검색내역 등 |
| 내면의 비밀 정보 | 사상, 신조, 종교, 가치관, 정당·노조 가입여부 및 활동내역 등 | |
| 사회적 정보 | 교육정보 | 학력, 성적, 출석, 기술 자격증 및 전문 면허증 보유내역, 상벌기록, 생활기록부, 건강기록부 등 |
| 병역정보 | 병역여부, 군번 및 계급, 제대유형, 근무부대, 주특기 등 | |
| 근로정보 | 직장, 고용주, 근무처, 근로경력, 상벌기록, 직무평가기록 등 | |
| 법정정보 | 직장, 고용주, 근무처, 근로경력, 상벌기록, 직무평가기록 등 | |
| 재산적 정보 | 소득정보 | 봉급액, 보너스 및 수수료, 이자소득, 사업소득 등 |
| 신용정보 | 대출 및 담보설정 내역, 신용카드번호, 통장계좌번호, 신용평가 정보 등 | |
| 부동산정보 | 소유주택, 토지, 자동차, 기타소유차량, 상점 및 건물 등 | |
•개인정보의 활용
‣ 공공기관
‣ 의료기관
‣ 금융기관
‣ 인터넷 쇼핑
‣ 운송업체
‣ 넷플릭스
• 개인정보 처리 예시
• 개인정보 처리단계(life-Cycle)와 법 조항
※ 주요 용어
| • 정보주체 ‣ 처리되는 정보에 의해 알아볼 수 있는 그 정보의 주체가 되는 사람 • 개인정보 파일 ‣ 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물 • 처리 ‣ 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위 • 개인정보 처리자 ‣ 업무를 목적으로 개인정보 파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기간, 법인, 단체, 개인 등 • 개인정보 시스템(처리 시스템) ‣ 데이터 베이스 시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 응용 시스템 • 접근통제 ‣ 개인정보처리시스템에 대한 비인가된 사용자뿐만 아니라 인가된 사용자가 비인가된 방식으로 자산을 접근하는 행위에 대한 통제 • 접근권한 ‣ 개인정보처리시스템으로 접근을 허용하는 인가자에게 읽기, 쓰기, 삭제 등의 권한을 부여하고 관리하는 행위 • 제 3자 제공 ‣ 개인정보를 저장한 매체나 수기문서를 전달하는 경우뿐만 아니라, DB 시스템에 대한 접속권한을 허용하여 열람ㆍ복사가 가능하게 하여 개인정보를 공유하는 경우 등의 의미 포괄 • 처리위탁 ‣ 「개인정보 보호법」 제26조에서 말하는 개인정보의 ‘처리위탁’이란 본래의 개인정보 수집ㆍ이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미 |
개인정보보호의 필요성
• 개인정보의 악용
‣ 유출된 개인정보
⇒ 개인금융정보 : 개인금융정보를 통한 공인인증서 재발급
⇒ ID, Password 유출 : 유료 콘텐츠 도용, 아이템 해킹
⇒ 신분증 위조 : 위조 휴대폰 발급, 위조 계좌 개설 신용카드 발급
⇒ 개인 기본정보 : 타인명의로 인터넷 회원 가입
⇒ 스팸 메일 : E-mail을 통한 피싱
• 개인정보 유출 및 침해사고 경로
• 개인정보보호의 중요성(개인정보보호는 국가•사회 안전 및 기업 발전의 필수 요소)
‣ 개인
⇒ 개인정보 유출 등 정신적 피해, 보이스 피싱 등에 의한 금전적 손해, 유괴 등 각종 범죄에 노출 우려
‣ 기업
⇒ 개인정보는 기업의 자산 그 자체, 개인정보 유출 시 기업 이미지 실추, 집단 손해배상 등으로 기업 경영 타격
‣ 국가
⇒ 정부 및 공공행정 신뢰성 하락, 국가 브랜드 가치 하락, 프라이버시 라운드 대두에 따른 산업 전반 수출애로
개인정보보호 진단 개요
• 개인정보보호 진단 목적
• 진단의 의미
• 개인정보보호 진단 절차
진단을 위해 알아야 할 것
• 개인정보보호 진단과 컨설팅의 차이
| 진단 | 컨설팅(시간, 품질, 비용) | |
| 업무 목표 | • 문제점의 진단과 개선방안의 제시 | • 기관 및 기업의 개인정보보호 수준 강화 |
| 프로젝트 기간 | • 평균 1주일 내외(단, 시스템과 업무범위에 따라 차이) | • 평균 2.5개월 내외 |
| 분석 기준 | • 정형화되고 체크리스트 기준 | • 자산분석, 개인정보 흐름분석, 법적 준거성 등 다양한 분석기법과 기준 적용 |
| 개선방안 | • 점검방법을 통한 단편적인 개선방안 제시 | • 구조화된 방식의 복합적이고 입체적인 개선방안 제시 • 보안솔루션 도입 또는 업무 프로세스 개선 방안 제시 |
| 작성 내용 | • 점검항목과 점검기준을 바탕으로 한 실사, 인터뷰, 자료 확인 등 사실 내용 작성 | • 진단결과를 기반으로 한 위험 평가 • 위험평가를 기반으로 효과적이고 효율적인 개인정보보호 방안 제시 |
• 진단 대상과 진단 기준
• 개인정보보호 진단 절차와 세부 교육 목표
개인정보 처리와 개인정보 위반사례
• 학원 개인정보 업무 처리 흐름
• 의료기관 개인정보 처리 흐름
'Rookies 9기 > 개인정보보호법' 카테고리의 다른 글
| 개인정보보호법 2일차 (0) | 2022.11.23 |
|---|
