개인정보관리사 핸드북

1. 개인정보 저장, 관리 1.1 개인정보 저장·관리의 이해 - 개인정보 저장 시 분실·도난·유출·변조·훼손 되지 않도록 안전성 확보조치를 하여야 한다. - 집단소송 판례를 보면 개인정보 보호를 위해 얼마나 노력을 기울였는지에 따라 위법성 여부를 판단 - 개인정보보호 활동에 대한 입증이 중요하므로 지침, 절차 등을 마련하고 근거를 남겨두어야 함 1.2 개인정보 관리단계 침해 유형과 법률 - 수집 또는 이용목적 달성 후 개인정보 미파기 : 개인정보보호법 제21조 위반 - 파기 조건 미달성 정보에 대한 관리 부주의 : 개인정보보호법 제21조 위반제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하..

1. 개인정보 오너십의 이해 1.1 정보주체의 관점 - 정보주체들은 개인정보의 오너십이 본인에게 있다는 것을 인식해야 함 - 개인정보처리자의 오남용에 대비·대응하기 위해 청구권적 성격을 적극 활용하여야 함 - 최근 각종 개인정보 유출 사고로 정보주체들의 의식이 높아짐 1.2 개인정보처리자의 관점 - 수집하는 시점부터 파기하는 시점까지 라이프사이클에 따라 철저한 관리 필요 - 수익위주의 서비스개발 주력으로 라이프사이클 오너십 상실 - 개인정보 보호 및 활용이 기업의 존폐를 좌우할 정도로 중요하다는 사실 인식 필요 1.3 개인정보최고 책임자의 변화 - `80s 보안 관리자 : 출입통제 등 물리적인 관점에서의 보안 - `90s 보안 담당 이사 : 인적, 지적, 물적 자산 총괄 감독. 감사업무 추가 - `00s..

1. 개인정보 분쟁조정 1.1 개인정보 분쟁조정 위원회 - 개인정보 침해로 인한 피해는 소액, 다수인 경우가 많으므로 개별적인 소송절차로는 구제받기가 어려움 - 피해자 개인은 법률적인 피해 입증이 어렵고 소송비용·재판기간에 따른 부담을 감당하기 힘듦 - 독립적·전문적인 조정기구인 개인정보분쟁조정위원회에서 분쟁 해결 도모 1.2 분쟁조정의 신청 - 개인정보와 관련된 분쟁의 조정을 원하는 자는 누구나 분쟁조정 신청 가능 - 분쟁조정은 강제성을 가지지 않으므로 상대방은 조정에 응하지 않을 수도 있음 - 단, 공공기관인 경우 특별한 사유가 없는 한 분쟁조정에 응하도록 규정하고 있음제43조(조정의 신청 등) ① 개인정보와 관련한 분쟁의 조정을 원하는 자는 분쟁조정위원회에 분쟁조정을 신청할 수 있다.② 분쟁조정위원..

1. OECD 8원칙 1.1 OECD의 프라이버시 보호 8원칙(1) 수집제한의 원칙(Collection Limitation Principle) : 무분별한 개인정보 수집이 일어나지 않도록 입법을 권고. 정보 수집을 위해선 정보주체의 인지 또는 동의가 최소한의 요건. 그러나 범죄 수사 등 때에 따라선 권리가 보장될 수 없음도 인정하고 있다.(2) 정보 정확성의 원칙(Data Quality Principle) : 그 정보가 사용될 목적 범위 내에서 정확/완전한 최신의 것이어야 한다. (3) 목적의 명확화 원칙(Purpose Specification Principle) : 개인정보의 수집 시엔 개인이 그 정보가 사용될 목적을 알고 있어야 함. 목적의 변경이 있을 경우 그에 대한 명시가 있어야 함.(4) 이용제..

1. 개인정보보호 관련 법 1.1 개인정보보호법 제정 1.1.1 개인정보보호법 제정 이전- 아래 3가지 법률이 개인정보보호를 주로 다루었다. (1) 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) (2) 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) (3) 공공기관의 개인정보보호에 관한 법률- 위 법률들은 각각 적용 대상이 있는 법률이라 개인정보를 처리하는 사업자 중 적용을 받지 않는 사작지대 발생 1.1.2 개인정보보호법 제정 이후- 공공기관의 개인정보보호에 관한 법률 흡수 통합- 51만개 사업자 -> 350만개의 모든 공공기관과 사업자로 확대 적용 1.2 개인정보보호법 1.2.1 적용 대상 및 적용 범위- 적용 대상 : 공공·민간 분야의 모든 사업자- 적용 범위 : 전자적..

1. 개인정보의 중요성 인식 1.1 기업과 개인정보 - 고객에 대한 성향 파악 -> 마케팅에 이용하기 위해 개인정보 필요 - Amazon 등 고객에게 맞는 서비스 제공으로 사용자, 기업 모두에게 이익 도모 - 단, 이를 위해 고지 범위를 초과하는 개인정보를 수집·이용하는 부작용 발생 1.2 기업의 개인정보보호 인식 - 이익을 우선시 하여 기술/관리적 조치가 미흡한 경우가 많음 - 강제성 있는 법률만 준수하고 실제로는 각종 규제만 회피 하려는 시도 - 컴플라이언스 위주로만 이루어지다 보니 한국에선 법령 개정이 잦음 1.3 기업의 사회적 책임 - Corporate Social Responsibility - 환경, 소비자, 임직원, 지역사회 등에 대한 책임(3P : People, Planet, Profit) ..

1. 정보사회와 개인정보 등 사생활 침해 - 유비쿼터스 사회, 네트워크 기반 정보사회로 정보의 수집 및 유통이 쉬워짐- 페이스북, 트위터 등 SNS의 폭발적인 사용증가로 프라이버시에 대한 사고방식 전환- 개인정보의 자기결정 범위가 넓어진 만큼 사생활 침해의 위험성 또한 증가- 기술 발전으로 정보수집과 처리 능력이 향상되어 개인정보 침해 또한 다양해짐- 많은 사람들이 그러한 정보 수집 및 침해에 대한 문제의식 부족 2. 개인정보 침해 유형 2.1 침해 유형 4가지- 수집 : 이용자의 동의 없는 수집. 필요 이상의 과도한 수집 등- 저장 : 안전조치가 확보되지 않은 저장으로 인한 유출- 이용 : 고지 범위를 벗어난 목적 외 이용 및 제공. 개인정보 매매. 탈퇴 불응- 파기 : 정당한 이유 없이 개인정보 저장..

1. 개인정보의 정의 1.1 정의- 포괄적 정의 : 개인에 관한 모든 정보- 법적 정의 : 살아있는 개인의 정보로서, 해당 정보만으로, 또는 다른 정보와 쉽게 결합하여 개인을 알아볼수 있는 정보 1.2 정의에대한 해석"결합" : 생년월일만으로는 개인 식별 불가. 그러나 어느 시, 어느 구, 어느 동에 사는 사람이랑 정보와 생년월일이 결합되면 식별 가능성이 높아짐"쉽게" : 다른 정보와 결합하여 개인을 알아볼 수 있는 정보라 함은 포괄으로 개인에 관한 모든 정보를 뜻함. 다만, '쉽게'라는 단서가 달려 있는데, 이는 쉽게 정의 내릴 수 없고 사건이 발생했을때 법원에서 따져봐야 함. 상식적인 수준에서 '개인의 지갑 색깔' 등과 같은 정보는 쉽게 결합하기 힘들다고 볼 수 있음"살아있는" : 사망한 사람의 정보..