개인정보 온(On)마당

상단배너 재생

상단배너 이전

1 / 3

상단배너 다음

01

내게 맞는 사례 찾기

상세조건검색 >

대상 선택 유형 선택 분야 선택 사례보기

정보주체(일반국민)

정보주체(일반국민)

개인정보처리자(민간)

개인정보처리자(민간)

개인정보처리자(공공)

개인정보처리자(공공)

사례 보기 더보기 >

다시하기 이전 다음 사례보기

02

소통마당

제안하기 > 제안 11 건 토론 0 건 심의 0 건 결과 0 건

제안 11건 토론 2건 심의 0건 결과 0건

제안하기 >

더보기 >

PBD 우수사례 공모 제안

안녕하세요. 요즘 배송을 위한 송장에 노출된 개인정보에 관심을 갖고 살펴보고 있었는데 회사마다 송장이 조금씩 다르더군요. 개인정보 제거를 위해 손쉽게 제거할 수 있는 송장도 있는 반면에 뜯어내기 어렵게 부착이 되어 있는 것도 있었고 송장에 휴대폰 번호가 기재되어 있지 않은 송장도 있었습니다. 개인적으로는 일반적인 포함하고 있는 3대 정보(성명, 휴대폰 번호, 주소)가 없는 송장은 전혀 예상하지 못했습니다. 기재되어 있지 않다는건 필요한 정보를 확인(처리)하기 위해서는 별도의 시스템(예: 단말 내 앱)이 있단 의미같고 배송원 입장에서는 배송 과정에서 시스템을 확인하는 과정이 수반될 것이라 큰 번거로움이 있을걸로 예상됩니다. 그럼에도 개인정보 보호를 위한 누군가의 어려운 의사결정이 있지 않았을까란 생각도 해보았고요. (저만의 추측이라 사실과 다를 수도 있으며, 송장얘기를 하기 위해서 글을 작성한다기 보단 Privacy 중심 설계를 언급하고자 조심스레 들어본 예입니다.) 본론으로 들어가보면, PBD(Privacy By Design)의 중요성은 개인정보보호위원회 뿐만 아니라 모두가 알고 있지만 기능성/편리성과 상충되는 경우가 있기 때문에 개인정보처리자가 이를 고려하고 실제 적용하는건 쉽지 않습니다. 이 시간에도 프라이버시 중심 설계를 고민하며 이해관계자들을 설득하고 있을지 모르는 개인정보보호 담당자들에게 힘을 실어주기 위해 PBD 우수사례를 공모 또는 발굴해 개인정보처리자를 시상 하거나 개인정보보호위원회 홈페이지를 통해 홍보를 하는건 어떨까요? 중요성을 널리 알릴 수 있고 조직(기업) 홍보에도 도움을 줄 수 있다는 인식을 심어줄 수 있는 등 여러 장점이 있을거 같은데 아직까지는 공모 사례가 없었던 것 같아 글을 남겨 봅니다.

개인정보수준진단 전담조직 명확화

현재 대학에서는 정보보호 수준진단을 하고 있습니다. 그러나 문제점은 정보보호 및 개인정보보호 인력 전담조직에 관한 체크 항목이 있습니다. 현재 많은 대학에서는 정보보호 및 개인정보보호 전담인력이 없고 대부분 겸직으로 일하고있습니다. 겸직으로 일하게되면 문제점이 하나에 집중해도 모르자를판에 겸직을 하고있으니 정보보호 및 개인정보보호를 놓치는 부분이 많습니다. 대학에서 원하는건 개인정보보호 위원회가 지침을 만들던 아니면 시행령을 많들어서 전담조직을 신설하고 겸직을 금지 하도록 법을 만들어서 많은 대학에 공문으로 보내주세요 그래야 대학의 기관장들이나 부기관장들이 움직입니다. 아무리 밑에서 말해도 위에서는 움직이지를 않습니다.

중거리대포알

민감/고유식별정보

고유식별정보에 연계정보 추가를 제안합니다.

유출시 매우 큰 영향을 미칠 수 있는 "연계정보"의 보호를 위해 "고유식별정보"로 지정하는 방안을 제안합니다. 1. 제안 배경 「본인확인기관 지정 등에 관한 기준」 제2조에 정의되어 있는 "연계정보"(CI)의 유용성은 "본인신용정보관리업"(마이데이터)에서 두드러지게 나타나고 있다고 생각합니다. 흩어져 있는 정보를 정보주체의 식별자 하나로 통제할 수 있다보니 그 효용성도 입증되었다고 봅니다. 하지만, "연계정보"의 사용은 늘어가는데 비해, 보호수준은 못따라간다고 보입니다. "연계정보"의 위험성은 이미 많이 논의 되어 온것으로 알고 있습니다. 하지만 이해관계자도 많고, "연계정보"를 대체할 만한 효율적인 수단이 없다보니 여전히 가장 선호되는 식별자로 쓰이고 있는것 같습니다. 2. 제안 내용 "연계정보"의 안전한 활용을 위해 보호가 반드시 필요하기에 "고유식별정보"에 "연계정보" 추가를 제안합니다. 시행령의 개정으로 처리할 수 있도록 「개인정보 보호법 시행령」 제19조(고유식별정보의 범위)에 다음과 같이 "연계정보"를 추가하는 방안을 제안합니다. ------------------------------- 「개인정보 보호법 시행령」 제19조(고유식별정보의 범위) 법 제24조제1항 각 호 외의 부분에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다. 1. 「주민등록법」 제7조의2제1항에 따른 주민등록번호 2. 「여권법」 제7조제1항제1호에 따른 여권번호 3. 「도로교통법」 제80조에 따른 운전면허의 면허번호 4. 「출입국관리법」 제31조제5항에 따른 외국인등록번호 ========== 추가 ========== 5. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제23조의3에 따른 본인확인기관이 본인확인기관간 공유하기 위해 주민등록번호를 이용하여 생성한 연계정보 ------------------------------- 3. 기대 효과 "연계정보"의 중요성을 개인정보처리자에게 확실하게 인식시킬수 있을것이며, "고유식별정보"의 암호화 의무에 따른 "연계정보"의 암호화를 통해 유출사고 예방 및 사고발생 시 추가 유출사고의 방지를 기대할 수 있을 것입니다. - 끝 -

개인정보보호 가이드

안전성 확보조치

개인정보 보호책임자의 역량기반 자격요건 추가

효과적인 개인정보보호를 위해 개인정보 보호책임자 혹은 개인정보 보호조직에 역량 기반 자격요건(자격증 등)을 추가 할 것을 건의 합니다. 1. 제안 배경 현행 법령에서는 CPO의 책임 및 권한을 명확히 할 수 있도록 직위에 따른 요건만 부과하고 있습니다. 하지만, 해당 직위에 있는 CPO가 관련 지식이 없거나 매우 적은 경우도 많은 것으로 알고 있습니다. 그러므로, 관련 자격을 갖춘 사람을 CPO로 지정하거나 혹은 개인정보보호 조직에 필수로 포함할 필요가 있다고 생각합니다. 2. 제안 내용 「개인정보의 안전성 확보조치 기준」에 역량 기반 자격요건을 추가하여 실질적인 개인정보 보호가 되도록 하는 것이 바람직해 보입니다. 또한, CISO와 달리 CPO의 경우 소상공인이나 개인사업자의 경우도 감안해야 할 것입니다. 이에 「개인정보의 안전성 확보조치 기준」 제3조(안전조치 기준 적용)의 개인정보처리자 유형에 따라 아래와 같은 역량 기반 자격요건의 추가를 제안합니다. ==== 개인정보처리자 유형에 따른 역량기반 자격요건 안 ==== * 유형3: 관련 역량을 갖춘 CPO 필수 지정 - CPO는 "개인정보 보호 계획의 수립 및 시행"할 수 있는 역량필요 - 또한, "내부통제시스템의 구축"에 대해 이해야함. - 이에 관련 내용이 포함되어 있는 다음 자격 중 하나이상을 요구함 1. 정보보호 / 개인정보보호 관련 학위 (학위별 추가경력 요구) 2. 정보관리기술사 (향후 정보보안기술사 시행 시 정보보안기술사 포함) 3. ISMS-P 인증심사원 4. 개인정보 영향평가 전문인력 5. 기타 개인정보보호 해외자격 ==> ISO/IEC 27701 심사원, IAPP CIPP 등 6. 기타 정보보호 관련 자격 ==> CISSP, CISA, 정보보안기사(+추가 경력) ※ 공공기관 등에는 등급기반으로 지정해야 하는데 관련 자격이 있는 직원이 없는경우가 생길수 있을 것입니다. 이런 경우를 감안하여 "유형2"처럼 조직내 필수로 하는 방식도 생각해 볼 필요가 있어보입니다. * 유형2: 개인정보 보호조직 내 자격 보유자 1인 필수 - CPO가 개인정보보호 소양이 부족하더라도 이를 보완할 수 있는 실무자를 확보 - 실무자급 이므로 다소 완화된 자격증 요건을 제시함 1. 유형3 CPO 자격요건 2. 정보보안기사/산업기사 (추가경력 요건 없음) 3. CPPG (개인정보관리사, 민간자격이나 ISMS-P 심사원 인정자격에 포함되어 있음) * 유형1: 역량기반 자격요건 면제 3. 기대 효과 정보보호 조직의 객관적 역량확보를 통해 개인정보처리자의 개인정보 보호활동이 더욱 효과적으로 운영 될 것입니다. - 끝 -

개인정보보호 가이드

개인정보 지침자료 목록의 원페이지 도식화 제한

개인정보보호위원회에서 공개한 개인정보 관련 자료는 종류가 매우 다양하고 많습니다. (각종 가이드라인, 해설서, 해석례, 안내서, 지침 등) 자료가 많다보니 특정 상황에서 어떤 자료를 참고하는게 좋을지, 내가 참고하고 있는 자료가 최신 자료인지, 폐기된 가이드라인은 아닌지 등을 고민할때가 많습니다. 물론 개인정보보호 포털(privacy.go.kr) 자료마당의 지침자료에 가보면 목록화를 잘 해주시고 있고 개정본을 업로드하면 기존 자료를 노출시키지 않는 등 지속적인 관리를 해주고 계시지만... 내가 필요한 자료가 뭔지(예: 개인정보처리방침에 관해 궁금한게 있다면 개인정보 처리방침 작성지침), 어떤 자료 들이 있는지 등을 한눈에 볼 수 있게끔 모든 개인정보 지침자료를 (한 화면에)도식화해서 개인정보보호포털 자료마당 첫 화면에 배치한다면, 업계 종사자와 학생 들에게 큰 도움이 될것 같습니다. 참고할 만한 링크를 나열해보면 다음과 같고, 해당 자료를 클릭하면 업로드 되어 있는 게시물로 바로 이동하는 기능과, 개정 날짜를 옆에 기재해 가장 최근 개정일을 확인할 수 있게끔 해주시는 기능까지 구현을 해주신다면 좋겠습니다. 또한 mou(https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS212&mCode=C040030000&nttId=7615)를 체결한 한국디자인진흥원과의 협업으로 눈에 쏙쏙 들어오는 디자인을 입혀서 별도 자료로 배포하는 방법도 있을 것 같습니다. - https://www.mindmeister.com/ko/812600046/_?fullscreen=1 - http://cdn.itdaily.kr/news/photo/202207/209342_211333_4719.jpg - https://image.ahnlab.com/img_upload/kr/site/images2/product/img_sec_map.jpg

(국민제안) 내가 원하는 개인정보 보호 및 활용 교육

1. 제안배경 개인정보보호위원회와 한국인터넷진흥원은 개인정보처리자 및 정보주체를 대상으로 다양한 개인정보 보호 및 활용 교육을 개최하고 있습니다. 신기술 및 서비스 등장 등 다양한 환경 변화에 맞는 유연한 교육과정 개설 및 국민들께서 원하시는 교육을 제공해 드리기 위해 신규 교육과정 개설 의견을 제안 받고자 합니다. 2. 제안내용 기존 교육과정 및 운영 개선방안, 신규 교육과정으로 원하시는 내용 및 방식 등에 대해 제안해 주십시오.(예 : 정보주체 권리행사 방법 등) 제안 주신 내용을 검토하여 우수제안을 선정하여 새로운 교육과정을 개설, 운영하도록 하겠습니다. <국민 제안 운영 절차> (1) (국민) 받고 싶은 교육 제안> (2) (KISA, 과정개발연구반) 제안 숙의 및 우수제안 채택* > (3) 우수제안은 올해 및 차년도 교육계획에 반영 * 채택된 우수제안에 대해서는 개별 연락 및 소정의 상품 제공 3. 기대효과 교육과정에 대한 국민 의견수렴을 통해 국민과 함께 소통하는 현장 기반의 교육과정을 개설, 운영하여 일방향적 교육과정 개설, 운영에서 벗어나 교육과정의 개방화, 개인 맞춤형 교육으로 전환될 수 있도록 하고자 합니다. 4. 참고자료 : 개인정보 보호 및 활용 교육과정 주요내용 및 연간 일정

CI 정보가 주민번호인가

주민등록번호를 가공하여 생성되는 CI 정보를 주민등록번호와 동일하게 취급해야 하지 않을까요. 현재 주민번호는 법적 근거에 의해서만 수집 및 이용이 가능합니다. 그러나 CI정보는 개인정보의 하나로만 취급되고 있어 정보주체의 동의에 의해 처리가 가능한 상황입니다. 이에 CI정보의 위상을 주민번호와 동일하게 취급하는것이 바람직하지 않나 의견드립니다. (CI 사용 금지가 아닌 법적근거에 의한 수집)

정보주체 권리

국토교통부 유료도로 미납통행료 등록차량의 개인정보의 보관기간 재검토

안녕하세요, 특례시민1홉니다. 행정보유 개인정보의 보관기간에 대해 토론해 보고자 합니다. || 제안배경 #국토교통부 행정보유 개인정보분을, 제3자에게 제공하거나 위탁운영하는 사안이 많습니다. 그 중, 유료도로 통행 중, 미납요금이 발생하는 경우, 자동차 등록정보 시스템내 관리되는 미납요금 관련 제3자에게 제공하는 개인 정보는 다음과 같이 설명되어 있습니다. ==== 다음 ============ - 대상: 이름, 주민(외국인)등록번호, 주소, 차대번호 - 보관기간: 영구 - 시스템: 자동차관리정보 - 개인정보파일명: 자동차등록정보 - 제3자제공현황: (1) 한국도로공사 , (2) 한국교통연구원 이에, 문제는, 1. 보관기간 실제 업무는 어찌하는지 확인할 길은 없으나, 관련 처리방침에는, 미납요금의 납부에 대해서는 언급도 없으니, 납부가 완료되었다 하더라도, 현재 기준, 영구보관이 가능합니다. 2. 가명처리 누락 미납/체납 개인정보 영구보관은 개인정보 이용목적과는 상당한 차이가 있습니다. || 제안사항 미납차량등록정보 내 개인정보 활용에 있어, 미납요금 납부 여부에 따라, 제3자에게 정보제공 하는 목적을 세분화하여, 필요에 따라, "업무목적 달성시 까지", "영구보관" 등으로 보관기간 조정을 제안합니다. 미납요금의 납부가 완료되었음에도 제3자에게 제공한,가명처리되지 않은, 체납자의 개인정보 영구보관한 행정운영의 개선을 요구합니다. 개인정보온마당 이용자 분들의 고견 구합니다. + 참고 - 소관부처: 국토교통부 (누리집) > 개인정보 제3자 제공현황 (http://www.molit.go.kr/USR/WPGE0201/m_122/DTL.jsp)

특례시민1호

개인정보 보호책임자 자격요건 미충족 시 과태료 부과

1. 제안배경: 개인정보 보호책임자를 법령에서 요구하는 지정요건에 해당하지 않은 임직원으로 지정하는 사례가 존재하며 실질적인 업무수행이 원활하지 않음 2. 제안내용: 법령개정 가. 개인정보 보호법 제75조(과태료) 제4항 제8호 의 문구변경 예시) 기존: 제31조제1항을 위반하여 개인정보 보호책임자를 지정하지 아니한 자 변경: 제31조제6항을 위반하여 대통령령으로 정하는 기준에 해당하는 임직원을 개인정보 보호책임자로 지정하지 아니하거나 제31조제1항의 개인정보 보호책임자를 지정하지 아니한 자 3. 기대효과: 실질적인 법령의 자격요건을 만족하는 개인정보 보호책임자가 지정 4. 참고자료: 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제76조(과태료)

비공식활동

개인정보보호 포털에 자료 업로드시 국민 편의 고려 요청

(토론까지할 주제는 아니고 간단한 제안 드립니다.) 개인정보 보호와 관련한 자료는 대부분 개인정보보호 포털(privacy.go.kr)에 업로드 됩니다. 요즘도 일부 자료는 텍스트 복사&붙여넣기가 안되는 형태로 업로드가 되어서 활용성이 떨어집니다. 최근 자료를 예로 들면 다음과 같습니다. - 자료마당 > 교육자료 > 2022년 가명정보 활용지원사업 온라인 설명회 발표자료 > 2022년_가명정보_활용지원사업_온라인_설명회_개인정보위_발표자료.pdf - 자료마당 > 지침자료 > 소상공인을 위한 개인정보보호 핸드북(2021.12, 제정) 복사&붙여넣기가 되면 자료를 읽고 활용하는 분들에게 큰 도움 될 것 같습니다! 또한 제정 자료도 있지만 개정되어 업로드 되는 자료도 굉장히 많은데 어떤 내용들이 개정되었는지를 간략하게라도 게시물 본문에 작성해 주시면 정말 좋겠습니다! 자료가 공개되면 늘 어떤게 바뀌었는지 비교해 봐야해서 힘이 듭니다. 감사합니다.

온라인 개인정보보호를 위해 플랫폼에 과도한 개인정보수집을 요구해서는 안된다

온라인 개인정보보호를 위해 플랫폼에 과도한 개인정보수집을 요구해서는 안된다 임대차3법으로 부동산 규제를 하면서 정부정책을 전반적으로 규제하고 통제하고 모니터링 시스템으로 가게 되었다. 부동산 플랫폼도 마찬가지이다. 부동산 플랫폼이 대부분 정확하고 명확하게 개인정보를 받고 있는데 네이버부동산 및 대부분의 플랫폼은 정보를 수집해서 뿌려주는 형식의 시스템이기 때문에 플랫폼사이트가 해킹을 당하게 되면 대부분의 국민들이 피해를 입게 되는 구조가 됩니다. 플랫폼 회사는 책임을 지지 않습니다. 네이버부동산에 물건을 올릴때 정확하고 명확하게 부동산 물건을 올리는 정책은 세입자를 위해서 한다고 하지만 전세계에서 누구나 볼 수 있는 플랫폼이 해킹된다면 피해가 생길 수 있기 때문에 민간플랫폼에 정확하고 명확하게 물건을 올리는 정책은 위험할 수 도 있다고 봅니다. 땡땡아파트에 땡땡동에 땡땡호에 물건과 땡땡구에 땡땡상가의 땡땡이름을 온라인에 정확하고 명확하게 올려야 한다는것은 개인정보보호를 위해서도 좋은 시스템은 아니라고 봅니다. 온라인 개인정보보호를 위해 플랫폼에 과도한 개인정보수집을 요구해서는 안된다 플랫폼 회사가 해킹으로 피해를 입었을때 책임을 져 주기 어렵다. 개인정보보호를 위해서 온라인에서 과도한 개인정보 수집은 위법하다.

03

지식 마당

많이 본 Q&A 더보기 >

[개인정보 수집·이용]
신입사원 채용과 관련 주민번호를 요구하면 전달하는게 맞나요?
조회수629답변 4
[개인정보 안전성 확보조치]
네이버폼은 개인정보처리시스템인가요?
조회수412답변 3
[개인정보 수집·이용]
동의 없이 개인정보 수집·이용이 가능한 경우를 알려주세요.
조회수327답변 2
[개인정보 파기]
휴면회원 처리 기준 문의
조회수237답변 3
[정보주체 권리]
개인정보 이용내역 통지 의무가, 채용 서비스에도 있는지 궁금합니다!
조회수224답변 3

자료실 더보기 >

공지사항 더보기 >

개인정보보호위원회 링크

한국인터넷진흥원 링크

개인정보분쟁조정위원회 링크

개인정보보호포털 링크

개인정보침해신고센터 링크

e프라이버시 클린서비스 링크

불법스팸대응센터 링크

개인정보처리방침 | 이용약관