개인정보관리사 핸드북

1. 개인정보 영향평가(PIA : Privacy Impact Assessment) 1.1 대상 및 시기- (5만명 민감 조건) 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 구축·운용·변경- (50만명 연계 조건) 다른 개인정보파일과 연계하려고 할때, 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일- (100만명 조건) 100만명 이상의 정보주체에 관한 개인정보파일 구축·운용·변경※ 영향평가를 받은 후에 개인정보파일 운용체계를 변경하려는 경우 변경된 부분에 대해서 영향평가를 실시개인정보보호법 제33조(개인정보 영향평가) ① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되..

1. 개인정보 관리체계의 개념 1.1 개인정보보호 관리체계의 배경- 고객정보는 비지니스 이익 창출을 위한 원동력이자 기업 생존에 영향을 미치는 주요 위험요소로 인식- 개인정보침해사고 발생 시 집단소송 등 적극적 배상요청이 보편화됨- 개인정보침해사고의 목적이 해킹 실력 과시에서 금전적 이익으로 변화하는 경향- 기존 기밀정보 보호중심의 보호체계로는 전사적 차원에서의 개인정보보호가 어려움- 정보주체는 개인정보를 기업에게 안심하고 맡길 수 있는 객관적 판단기준 필요- 기업은 개인정보보호 노력을 객관적으로 증빙할수 있는 방법 필요 1.2 개인정보보호 관리체계의 정의- 기업이 정보주체의 개인정보를 보호할수 있도록 보호대책들을 구현하고 지속적으로 관리·운영하는 체계- 개인정보보호 관리체계 수립을 위한 고려사항1. 조..

1. 내부관리계획의 수립ㆍ시행 1.1 내부관리계획 일반사항- 내부관리계획은 개인정보처리자가 개인정보보호를 위한 사항을 전사적인 차원에서 명시적으로 구체화하는 것이다.- 내부관리계획은 가능한 정기적으로 개정되어야 한다.- 내부관리계획은 가능한 최고경영진의 승인을 거쳐 전사에 공표되어야 한다.- 내부관리계획은 연 1회 이상 개인정보보호책임자에 의해 이행 실태 점검이 이루어져야 한다.- 기업 입장에서 내부관리 계획은 민사소송 들에 대하여 방어기제로 활용될수 있다.- 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인은 내부관리계획을 수립하지 않을 수 있다. 1.2 내부관리계획의 포함 내용1. 개인정보 보호책임자의 지정에 관한 사항2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 ..

1. 제, 개정의 배경 2. 기준의 법적 성격 3. 용어정의보편적으로 널리 사용되는 용어와 본 정의상의 용어가 차이가 있을 경우, 본 정의에 의한 용어의 해석이 우선된다. 3.1. 정보주체 정보주체는 처리되는 정보에 의해 식별되는 사람으로, 살아있는 자연인의 정보- 정보주체의 정의는「개인정보보호법」의 내용을 그대로 인용한다. - ‘정보의 주체가 되는 사람’의 의미는, 해당 정보의 궁극적인 소유권을 보유하고 있는 사람으로서, 법에 의해 보호대상이 되는 존재를 의미한다.- ‘정보통신망법’에서는 정보의 주체가 되는 사람을 ‘이용자(User)’로 표현하고 있지만, 이 역시 ‘정보주체’와 동일 개념으로 이해해야한다 3.2. 개인정보파일개인의 이름이나 고유한 식별자 등을 사용하여 일정한 규칙에 따라 ‘검색이 가능’..

1. 개인정보 제공의 이해 1.1 개인정보 제공의 의의 - 개인정보의 제3자 제공, 개인정보 취급위탁, 영업·양도 등에 따른 이전을 모두 포함 - 개인정보 제공은 개인정보보호 측면에서 권리침해 가능성이 높아지는 리스크 - 개인정보취급자가 확대되고 개인정보처리자의 관리영역을 벗어남 1.2 제3자의 의미 - 개인정보처리자 자신이 아닌 다른 모든 자 - 자회사, 패밀리사이트, 계열사 등 모두 포함 1.3 제공의 의미 - 개인정보를 제3자에게 전달·공유하는 행위 - 접근 권한을부여하거나 열람을 하게 하는 등 정보를 확인할 수 있게 하는 모든 행위 2. 개인정보 제3자 제공과 위탁 2.1 개인정보의 제3자 제공 - 개인정보를 제3자에게 제공하는 경우 다음 내용을 고지하고 동의를 받아야 한다. (1) 개인정보를 제..

1. 개인정보 저장, 관리 1.1 개인정보 저장·관리의 이해 - 개인정보 저장 시 분실·도난·유출·변조·훼손 되지 않도록 안전성 확보조치를 하여야 한다. - 집단소송 판례를 보면 개인정보 보호를 위해 얼마나 노력을 기울였는지에 따라 위법성 여부를 판단 - 개인정보보호 활동에 대한 입증이 중요하므로 지침, 절차 등을 마련하고 근거를 남겨두어야 함 1.2 개인정보 관리단계 침해 유형과 법률 - 수집 또는 이용목적 달성 후 개인정보 미파기 : 개인정보보호법 제21조 위반 - 파기 조건 미달성 정보에 대한 관리 부주의 : 개인정보보호법 제21조 위반제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하..

1. 개인정보 오너십의 이해 1.1 정보주체의 관점 - 정보주체들은 개인정보의 오너십이 본인에게 있다는 것을 인식해야 함 - 개인정보처리자의 오남용에 대비·대응하기 위해 청구권적 성격을 적극 활용하여야 함 - 최근 각종 개인정보 유출 사고로 정보주체들의 의식이 높아짐 1.2 개인정보처리자의 관점 - 수집하는 시점부터 파기하는 시점까지 라이프사이클에 따라 철저한 관리 필요 - 수익위주의 서비스개발 주력으로 라이프사이클 오너십 상실 - 개인정보 보호 및 활용이 기업의 존폐를 좌우할 정도로 중요하다는 사실 인식 필요 1.3 개인정보최고 책임자의 변화 - `80s 보안 관리자 : 출입통제 등 물리적인 관점에서의 보안 - `90s 보안 담당 이사 : 인적, 지적, 물적 자산 총괄 감독. 감사업무 추가 - `00s..

1. 개인정보 분쟁조정 1.1 개인정보 분쟁조정 위원회 - 개인정보 침해로 인한 피해는 소액, 다수인 경우가 많으므로 개별적인 소송절차로는 구제받기가 어려움 - 피해자 개인은 법률적인 피해 입증이 어렵고 소송비용·재판기간에 따른 부담을 감당하기 힘듦 - 독립적·전문적인 조정기구인 개인정보분쟁조정위원회에서 분쟁 해결 도모 1.2 분쟁조정의 신청 - 개인정보와 관련된 분쟁의 조정을 원하는 자는 누구나 분쟁조정 신청 가능 - 분쟁조정은 강제성을 가지지 않으므로 상대방은 조정에 응하지 않을 수도 있음 - 단, 공공기관인 경우 특별한 사유가 없는 한 분쟁조정에 응하도록 규정하고 있음제43조(조정의 신청 등) ① 개인정보와 관련한 분쟁의 조정을 원하는 자는 분쟁조정위원회에 분쟁조정을 신청할 수 있다.② 분쟁조정위원..

1. 개인정보보호법에서의 권리 1.1. 개인정보처리에 관한 정보를 제공받을 권리 - 정보주체는 개인정보의 수집·이용·제공·파기 등 처리에 관한 사항을 제공받을 권리가 있음 - 개인정보처리자는 이러한 고지의무 및 개인정보처리방침의 공개의무를 준수 하여야 함제4조(정보주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.1. 개인정보의 처리에 관한 정보를 제공받을 권리2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리4. 개인정보의 처리 정지, 정정·삭제 및 파기를 요구할 권리5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차..

1. OECD 8원칙 1.1 OECD의 프라이버시 보호 8원칙(1) 수집제한의 원칙(Collection Limitation Principle) : 무분별한 개인정보 수집이 일어나지 않도록 입법을 권고. 정보 수집을 위해선 정보주체의 인지 또는 동의가 최소한의 요건. 그러나 범죄 수사 등 때에 따라선 권리가 보장될 수 없음도 인정하고 있다.(2) 정보 정확성의 원칙(Data Quality Principle) : 그 정보가 사용될 목적 범위 내에서 정확/완전한 최신의 것이어야 한다. (3) 목적의 명확화 원칙(Purpose Specification Principle) : 개인정보의 수집 시엔 개인이 그 정보가 사용될 목적을 알고 있어야 함. 목적의 변경이 있을 경우 그에 대한 명시가 있어야 함.(4) 이용제..