개인정보관리사 핸드북

1. 개인정보 영향평가(PIA : Privacy Impact Assessment) 1.1 대상 및 시기- (5만명 민감 조건) 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 구축·운용·변경- (50만명 연계 조건) 다른 개인정보파일과 연계하려고 할때, 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일- (100만명 조건) 100만명 이상의 정보주체에 관한 개인정보파일 구축·운용·변경※ 영향평가를 받은 후에 개인정보파일 운용체계를 변경하려는 경우 변경된 부분에 대해서 영향평가를 실시개인정보보호법 제33조(개인정보 영향평가) ① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되..

1. 개인정보 관리체계의 개념 1.1 개인정보보호 관리체계의 배경- 고객정보는 비지니스 이익 창출을 위한 원동력이자 기업 생존에 영향을 미치는 주요 위험요소로 인식- 개인정보침해사고 발생 시 집단소송 등 적극적 배상요청이 보편화됨- 개인정보침해사고의 목적이 해킹 실력 과시에서 금전적 이익으로 변화하는 경향- 기존 기밀정보 보호중심의 보호체계로는 전사적 차원에서의 개인정보보호가 어려움- 정보주체는 개인정보를 기업에게 안심하고 맡길 수 있는 객관적 판단기준 필요- 기업은 개인정보보호 노력을 객관적으로 증빙할수 있는 방법 필요 1.2 개인정보보호 관리체계의 정의- 기업이 정보주체의 개인정보를 보호할수 있도록 보호대책들을 구현하고 지속적으로 관리·운영하는 체계- 개인정보보호 관리체계 수립을 위한 고려사항1. 조..

1. 내부관리계획의 수립ㆍ시행 1.1 내부관리계획 일반사항- 내부관리계획은 개인정보처리자가 개인정보보호를 위한 사항을 전사적인 차원에서 명시적으로 구체화하는 것이다.- 내부관리계획은 가능한 정기적으로 개정되어야 한다.- 내부관리계획은 가능한 최고경영진의 승인을 거쳐 전사에 공표되어야 한다.- 내부관리계획은 연 1회 이상 개인정보보호책임자에 의해 이행 실태 점검이 이루어져야 한다.- 기업 입장에서 내부관리 계획은 민사소송 들에 대하여 방어기제로 활용될수 있다.- 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인은 내부관리계획을 수립하지 않을 수 있다. 1.2 내부관리계획의 포함 내용1. 개인정보 보호책임자의 지정에 관한 사항2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 ..

1. 제, 개정의 배경 2. 기준의 법적 성격 3. 용어정의보편적으로 널리 사용되는 용어와 본 정의상의 용어가 차이가 있을 경우, 본 정의에 의한 용어의 해석이 우선된다. 3.1. 정보주체 정보주체는 처리되는 정보에 의해 식별되는 사람으로, 살아있는 자연인의 정보- 정보주체의 정의는「개인정보보호법」의 내용을 그대로 인용한다. - ‘정보의 주체가 되는 사람’의 의미는, 해당 정보의 궁극적인 소유권을 보유하고 있는 사람으로서, 법에 의해 보호대상이 되는 존재를 의미한다.- ‘정보통신망법’에서는 정보의 주체가 되는 사람을 ‘이용자(User)’로 표현하고 있지만, 이 역시 ‘정보주체’와 동일 개념으로 이해해야한다 3.2. 개인정보파일개인의 이름이나 고유한 식별자 등을 사용하여 일정한 규칙에 따라 ‘검색이 가능’..

1. 개인정보 제공의 이해 1.1 개인정보 제공의 의의 - 개인정보의 제3자 제공, 개인정보 취급위탁, 영업·양도 등에 따른 이전을 모두 포함 - 개인정보 제공은 개인정보보호 측면에서 권리침해 가능성이 높아지는 리스크 - 개인정보취급자가 확대되고 개인정보처리자의 관리영역을 벗어남 1.2 제3자의 의미 - 개인정보처리자 자신이 아닌 다른 모든 자 - 자회사, 패밀리사이트, 계열사 등 모두 포함 1.3 제공의 의미 - 개인정보를 제3자에게 전달·공유하는 행위 - 접근 권한을부여하거나 열람을 하게 하는 등 정보를 확인할 수 있게 하는 모든 행위 2. 개인정보 제3자 제공과 위탁 2.1 개인정보의 제3자 제공 - 개인정보를 제3자에게 제공하는 경우 다음 내용을 고지하고 동의를 받아야 한다. (1) 개인정보를 제..

1. 개인정보 저장, 관리 1.1 개인정보 저장·관리의 이해 - 개인정보 저장 시 분실·도난·유출·변조·훼손 되지 않도록 안전성 확보조치를 하여야 한다. - 집단소송 판례를 보면 개인정보 보호를 위해 얼마나 노력을 기울였는지에 따라 위법성 여부를 판단 - 개인정보보호 활동에 대한 입증이 중요하므로 지침, 절차 등을 마련하고 근거를 남겨두어야 함 1.2 개인정보 관리단계 침해 유형과 법률 - 수집 또는 이용목적 달성 후 개인정보 미파기 : 개인정보보호법 제21조 위반 - 파기 조건 미달성 정보에 대한 관리 부주의 : 개인정보보호법 제21조 위반제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하..

1. 개인정보 오너십의 이해 1.1 정보주체의 관점 - 정보주체들은 개인정보의 오너십이 본인에게 있다는 것을 인식해야 함 - 개인정보처리자의 오남용에 대비·대응하기 위해 청구권적 성격을 적극 활용하여야 함 - 최근 각종 개인정보 유출 사고로 정보주체들의 의식이 높아짐 1.2 개인정보처리자의 관점 - 수집하는 시점부터 파기하는 시점까지 라이프사이클에 따라 철저한 관리 필요 - 수익위주의 서비스개발 주력으로 라이프사이클 오너십 상실 - 개인정보 보호 및 활용이 기업의 존폐를 좌우할 정도로 중요하다는 사실 인식 필요 1.3 개인정보최고 책임자의 변화 - `80s 보안 관리자 : 출입통제 등 물리적인 관점에서의 보안 - `90s 보안 담당 이사 : 인적, 지적, 물적 자산 총괄 감독. 감사업무 추가 - `00s..

1. 개인정보 분쟁조정 1.1 개인정보 분쟁조정 위원회 - 개인정보 침해로 인한 피해는 소액, 다수인 경우가 많으므로 개별적인 소송절차로는 구제받기가 어려움 - 피해자 개인은 법률적인 피해 입증이 어렵고 소송비용·재판기간에 따른 부담을 감당하기 힘듦 - 독립적·전문적인 조정기구인 개인정보분쟁조정위원회에서 분쟁 해결 도모 1.2 분쟁조정의 신청 - 개인정보와 관련된 분쟁의 조정을 원하는 자는 누구나 분쟁조정 신청 가능 - 분쟁조정은 강제성을 가지지 않으므로 상대방은 조정에 응하지 않을 수도 있음 - 단, 공공기관인 경우 특별한 사유가 없는 한 분쟁조정에 응하도록 규정하고 있음제43조(조정의 신청 등) ① 개인정보와 관련한 분쟁의 조정을 원하는 자는 분쟁조정위원회에 분쟁조정을 신청할 수 있다.② 분쟁조정위원..

1. 개인정보보호법에서의 권리 1.1. 개인정보처리에 관한 정보를 제공받을 권리 - 정보주체는 개인정보의 수집·이용·제공·파기 등 처리에 관한 사항을 제공받을 권리가 있음 - 개인정보처리자는 이러한 고지의무 및 개인정보처리방침의 공개의무를 준수 하여야 함제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.1. 개인정보의 처리에 관한 정보를 제공받을 권리2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차..

1. OECD 8원칙 1.1 OECD의 프라이버시 보호 8원칙(1) 수집제한의 원칙(Collection Limitation Principle) : 무분별한 개인정보 수집이 일어나지 않도록 입법을 권고. 정보 수집을 위해선 정보주체의 인지 또는 동의가 최소한의 요건. 그러나 범죄 수사 등 때에 따라선 권리가 보장될 수 없음도 인정하고 있다.(2) 정보 정확성의 원칙(Data Quality Principle) : 그 정보가 사용될 목적 범위 내에서 정확/완전한 최신의 것이어야 한다. (3) 목적의 명확화 원칙(Purpose Specification Principle) : 개인정보의 수집 시엔 개인이 그 정보가 사용될 목적을 알고 있어야 함. 목적의 변경이 있을 경우 그에 대한 명시가 있어야 함.(4) 이용제..

1. 개인정보보호 관련 법 1.1 개인정보보호법 제정 1.1.1 개인정보보호법 제정 이전- 아래 3가지 법률이 개인정보보호를 주로 다루었다. (1) 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) (2) 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) (3) 공공기관의 개인정보보호에 관한 법률- 위 법률들은 각각 적용 대상이 있는 법률이라 개인정보를 처리하는 사업자 중 적용을 받지 않는 사작지대 발생 1.1.2 개인정보보호법 제정 이후- 공공기관의 개인정보보호에 관한 법률 흡수 통합- 51만개 사업자 -> 350만개의 모든 공공기관과 사업자로 확대 적용 1.2 개인정보보호법 1.2.1 적용 대상 및 적용 범위- 적용 대상 : 공공·민간 분야의 모든 사업자- 적용 범위 : 전자적..

1. 개인정보의 중요성 인식 1.1 기업과 개인정보 - 고객에 대한 성향 파악 -> 마케팅에 이용하기 위해 개인정보 필요 - Amazon 등 고객에게 맞는 서비스 제공으로 사용자, 기업 모두에게 이익 도모 - 단, 이를 위해 고지 범위를 초과하는 개인정보를 수집·이용하는 부작용 발생 1.2 기업의 개인정보보호 인식 - 이익을 우선시 하여 기술/관리적 조치가 미흡한 경우가 많음 - 강제성 있는 법률만 준수하고 실제로는 각종 규제만 회피 하려는 시도 - 컴플라이언스 위주로만 이루어지다 보니 한국에선 법령 개정이 잦음 1.3 기업의 사회적 책임 - Corporate Social Responsibility - 환경, 소비자, 임직원, 지역사회 등에 대한 책임(3P : People, Planet, Profit) ..

1. 정보사회와 개인정보 등 사생활 침해 - 유비쿼터스 사회, 네트워크 기반 정보사회로 정보의 수집 및 유통이 쉬워짐- 페이스북, 트위터 등 SNS의 폭발적인 사용증가로 프라이버시에 대한 사고방식 전환- 개인정보의 자기결정 범위가 넓어진 만큼 사생활 침해의 위험성 또한 증가- 기술 발전으로 정보수집과 처리 능력이 향상되어 개인정보 침해 또한 다양해짐- 많은 사람들이 그러한 정보 수집 및 침해에 대한 문제의식 부족 2. 개인정보 침해 유형 2.1 침해 유형 4가지- 수집 : 이용자의 동의 없는 수집. 필요 이상의 과도한 수집 등- 저장 : 안전조치가 확보되지 않은 저장으로 인한 유출- 이용 : 고지 범위를 벗어난 목적 외 이용 및 제공. 개인정보 매매. 탈퇴 불응- 파기 : 정당한 이유 없이 개인정보 저장..

1. 개인정보의 정의 1.1 정의- 포괄적 정의 : 개인에 관한 모든 정보- 법적 정의 : 살아있는 개인의 정보로서, 해당 정보만으로, 또는 다른 정보와 쉽게 결합하여 개인을 알아볼수 있는 정보 1.2 정의에대한 해석"결합" : 생년월일만으로는 개인 식별 불가. 그러나 어느 시, 어느 구, 어느 동에 사는 사람이랑 정보와 생년월일이 결합되면 식별 가능성이 높아짐"쉽게" : 다른 정보와 결합하여 개인을 알아볼 수 있는 정보라 함은 포괄으로 개인에 관한 모든 정보를 뜻함. 다만, '쉽게'라는 단서가 달려 있는데, 이는 쉽게 정의 내릴 수 없고 사건이 발생했을때 법원에서 따져봐야 함. 상식적인 수준에서 '개인의 지갑 색깔' 등과 같은 정보는 쉽게 결합하기 힘들다고 볼 수 있음"살아있는" : 사망한 사람의 정보..