IT Security

1. 개인정보 영향평가 제도 01. 개인정보 영향평가 개요 개인정보 영향평가의 개념 개인정보 영향평가(PIA : Privacy Impact Assessment)란 개인정보파일을 운용 하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리시스템의 중대한 변경 시동 시스템의 구축·운영·변경 등이 개인정보에 미치는 영향 (impact)에 대하여 사전에 조사·예측·검토하여 개선방안을 도출하는 체계적인 절차를 말한다. 결국 이를 통해 정보시스템의 구축·변경 등이 완료되기 전에 평가 및 개선을 통해 정보주체의 개인정보에 미치는 중대한 영향을 사전에 파악하여 그 위험요인을 제거하거나 최소화할 수 있는 방안을 모색하는 것 가급적 개발 초기 단계, 즉 개발에 대한 설계 조정이 가능한 시점에 수행하는 것이 필요..

[부록] 기타 기술적 보호조치 01. 출력 보안 시스템 1.1 출력 보안 개요 개인정보처리자는 개인정보를 처리하는 경우 개인정보취급자가 업무에 필요 한 최소한의 범위로 열람이 되도록 조치하여야 하며 그 외 불필요한 정보는 열람을 제한하거나 마스킹 처리를 통해 개인정보 유출사고가 발생하지 않도록 조치하여야 한다. 1.2 출력 보안을 위한 보호조치 가. 화면 표시 제한 개인정보 마스킹을 적용할 때는 전사적인 관점에서 마스킹 기준을 정의하여 모든 개인정보처리시스템에 동일한 기준으로 적용될 수 있도록 하여야 한다. 시스템마다 마스킹 기준이 상이할 경우 조합을 통해 실제 정보를 알아낼 수 있는 취약점이 존재 나. 출력·복사물 보호조치 출력물 보안시스템의 주요 활용방안은 인가되지 않은 출력은 차단하며, 인가된 출력..

1. 기술적 보호조치 개요 개인정보 침해의 종류 1) 개인정보 유출 법령이나 처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 처리자가 통제를 상실하거나 또한, 권한 없는 자의 접근을 허용한 것을 말한다. 2) 개인정보 불법유통 다양한 경로를 통해 수집한 개인정보가 이용 및 관리 과정에서 관리 부주의 및 실수, 악의적인 유출, 해킹 등으로 인해 유출된 후 금전적 이익 수취를 위해 불법적인 방법을 통해 거래되는 경우를 말한다. 3) 개인정보의 오남용 다양한 경로를 통해 수집한 개인정보가 이용 및 관리 과정에서 관리 부주의 및 실수, 악의적인 유출, 해킹 등으로 인해 유출된 후 불법 스팸, 마케팅, 보이스 피싱 등에 악용되어 개인정보 침해가 발생하는 경우를 말한다. (권한있는 자) 4) 홈..

8. 정보주체의 권리보장과 침해구제 등 01. 정보주체 권리 보장 1.1 열람요구권 열람요구 가능 항목 (3동기항목) 1. 개인정보의 항목 및 내용 2. 개인정보의 수집·이용의 목적 3. 개인정보 보유 및 이용 기간 4. 개인정보의 제3자 제공 현황 5. 개인정보 처리에 대하여 동의한 사실 및 내용 개인정보 열람을 요구받았을 때에는 10일 이내에 정보주체가 해당 개인정보를 열람할 수 있도록 조치 열람을 거절하려는 경우에는 열람 요구를 받은 날부터 10일 이내에 거절의 사유 및 이의제기 방법을 로 해당 정보 주체에게 알려야 한다. (보감법이조성시) 1. 법률에 따라 열람이 금지되거나 제한되는 경우 2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 ..

7. 영상정보처리기기의 설치 및 운영 제한 01. 고정형 영상정보처리기기 설치 및 운영 제한 1.1 설치목적 및 설치장소의 제한 가. 적용범위 및 적용대상 1) 적용범위 고정형 영상정보처리기기의 설치 및 운영에 관한 적용대상은 ‘일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치' 1. 폐쇄회로 텔레비전: 다음 각 목의 어느 하나에 해당하는 장치 가. 일정한 공간에 지속적으로 설치된 카메라를 통하여 영상 등을 촬영하거나 촬영한 영상정보를 유무선 폐쇄회로 등의 전송로를 통하여 특정 장소에 전송하는 장치 나. 가목에 따라 촬영되거나 전송된 영상정보를 녹화·기록할 수 있도록 하는 장치 2. 네트워크 카메라: 일정한 공간에 지속적으로 설치된 기기로 촬..

6. 개인정보의 처리단계별 보호 01. 수집과 이용 및 그 제한 1.1 개인정보 수집·이용 가. 개인정보의 수집 수집(원칙): 개인정보는 정보주체로부터 직접 수집 수집(예외): 제3자 또는 인터넷, 신문, 잡지, 방송 등 공개된 매체로 수집하거나 업무 처리 과정 중 생성 정보주체로부터 명함을 받음으로써 개인정보를 취득할 수도 있다. 개인정보를 수집하는 경우 명함 등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용할 수 있음. 나. 개인정보의 수집 ·이용의 적법근거 (동법급소계정공) 1. 정보주체의 동의를 받은 경우 ( 개인정보라는 입증책임은 개인정보처리자가 부담한다) 아래 사항을 명확히 알리고 수집 (목항기거) 1. 개인정보의 수집ㆍ이용 목적 2. 수집하려는 개인..

5. 개인정보 보호 관리체계 01. 개인정보 보호 조직 1.1 개인정보 보호책임자 가. 지정 목적 개인정보 보호책임자도 개인정보 보호 법규 준수, 유출 및 오·남용 방지 등 개 인정보처리자의 개인정보 보호 활동을 촉진하기 위한 자율적 규제 장치의 하나라 고 할 수 있다. 개인정보처리자로 하여금 개인정보 보호책임자를 지정하도록 하 는 것은 조직 내에서 개인정보 처리에 관한 업무를 총괄하여 책임질 임원 내지 부서장급의 책임자를 지정·운영함으로써 개인정보처리자의 내부 관리체계를 더욱 공고히 할 수 있기 때문이다. 나. 개인정보 보호책임자의 지정 1. 공공기관: 다음 각 목의 구분에 따른 기준에 해당하는 공무원 등 (국법헌중고 정3 교3 군4 고34 학행) 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행..

4. 개인정보 영향평가와 개인정보 보호법 01. 개인정보 영향평가의 의의 1.1 개인정보 영향평가의 개념 “개인정보 영향평가” (Privacy Impact Assessment, PIA)란 개인정보 수집· 활용이 수반되는 사업 추진할 때 개인정보 오·남용으로 인한 프라이버시 침해 위험이 잠재되어 있지 않는지를 조사·예측·검토하고 개선사항 도출하기 위한 평가하는 제도를 말한다. 개인정보 영향평가 수행에 관한 국제표준 ISO/IEC 29134가 제정되었고, PbD의 구현을 위한 평가로서 데이터의 활용을 기반으로 한 신기술 개발 시 고려해야 하는 평가로 주목을 받고 있다. 공공기관의 경우 국민의 개인정보처리에 따른 프라이버시 침해를 최소화하기 위해, 대통령령으로 정하는 요건에 해당하는 개인정보 파일의 구축·운용..

3. 개인정보 보호법의 주요원칙 01. PbD와 개인정보 보호법의 원칙 1.1 Privacy by Design의 7대 원칙과 8대 전략 가. PbD의 7대 원칙과 국내외 관련 정책 제1원칙 - 사후 대응이 아닌 사전 대비: 문제점을 고치는 것이 아니라 예방 (Proactive not Reactive: Preventative not Remedial) 제2원칙- 프라이버시 보호를 기본설정으로(Privacy as the Default Setting) 제3원칙 - 설계부터 프라이버시 보호 (Privacy Embedded into Design) 제4원칙 - 완전한 기능성 보장(일방이 손해를 보는 것이 아닌 당사자 모두의 이익을 추구) (Full Functionality: Positive-Sum, not Zero-..

2. 개인정보의 필요성 및 개인정보 보호 체계 01. 개인정보 보호의 필요성과 개인정보 보호법의 제·개정 1.1 개인정보 보호의 필요성 가. 개인정보 보호의 필요성 개인정보보호법 목적 : 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함 개인정보자기 결정권 정보주체가 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 말한다 반드시 개인의 내밀한 영역이나 사사(私事)의 영역에 속하는 정보에 국한되지 않고 공적 생활 에서 형성되었거나 이미 공개된 개인정보까지 포함 개인정보자기결정권의 내용 ① 자신에 관한 권리를 함부로 침해당하지 아니하고 ② 자신에 관한 정보를 자유로이 열람하며 ③ 자신에 관한 정보의 정정·사용중지·삭제 등을 요구할 수 있고 ④ 이러한 요구가 수용되지 않을 경우에 불복신..