개인정보 온(On)마당

수집·이용

토론종료

만14세 미만 동의 시 법정대리인 동의 여부 확인 방법 검토 및 정비

[만14세 미만 동의 시 법정대리인 동의 여부 확인 방법 검토 및 정비] 1. 제안 배경 개인정보처리자는 만 14세 미만 아동의 개인정보 처리 시 법정대리인의 동의를 받고 동의 여부를 확인해야 하나, 법률에서 정한 법정대리인 동의 여부 확인 방법 중 일부는 안전성 및 실효성에 대한 검증이 필요합니다. - 개인정보보호법 시행령 제48조의3 제1항 제2호는‘법정대리인이 동의 내용을 게재한 인터넷 사이트에 법정대리인이 동의 여부를 표시하도록 하고 법정 대리인의 신용카드, 직불카드 등의 카드 정보를 제공받는 방법’을 정하고 있습니다. - 이로 인해, 만 14세 미만 아동은 성인(실제 법정대리인 여부와 무관)의 신용카드, 직불카드를 소지한 경우 회원 및 서비스 가입절차를 진행할 수 있게 되며, 법정 대리인 확인 의무 이행을 이유로 개인정보처리자는 서비스 제공과는 무관한 법정대리인의 신용카드 정보를 수집·저장하는 상황이 발생할 수 있습니다. 따라서, 아동이 법정대리인의 동의 없이 서비스에 임의 가입하거나, 개인정보처리자가 법정대리인으로부터 수집한 개인정보(신용카드 정보 등) 관리 소홀로 발생할 수 있는 보안 사고 등을 방지하기 위해‘법정대리인 동의 여부 확인 방법’의 정비가 필요합니다. 2. 제안 내용 개인정보보호법 시행령에서 정한 법정대리인 동의 여부 확인 방법에 대한 검토 및 정비 (시행령 제48조의3 제1항 제7호 구체화) - 예) 신용카드 정보, 우편 또는 팩스를 이용한 확인 방법 등 3. 기대 효과 (1) 개인정보처리자가 실제 서비스 및 실무에 활용할 수 있도록 법정대리인의 동의여부를 확인할 수 있는 안전한 방안 수립·제공 (2) 개인정보처리자가 수집한 법정대리인의 신용카드 정보 등 개인정보가 유·노출되어 발생할 수 있는 보안사고 예방 4. 참고 자료 (1) 개인정보보호법 제39조의3(개인정보의 수집·이용 동의 등에 대한 특례) 제4항 및 시행령 제48조의3(법정대리인 동의의 확인방법) 제1항 ※ 개정법률 22조의2(아동의 개인정보 보호) 제1항 (2) 위치정보법 제25조(법정대리인의 권리) 제1항 및 시행령 제26조의 3 (법정대리인 동의의 확인방법) 제1항

온마당주민

2023-10-15

4 | 2

개인정보 관리

토론종료

개인정보 유출 의료기관에 과태료 통보, 복지부는 통보받지 못한 상태에 대한 문제점

”개인정보 유출 의료기관에 과태료 통보됐는데…복지부는 몰랐다? 곽성순 기자 승인 2023.10.10 06:41 개인정보위, 16개 병원에 과태료 부과하고 개선 권고 최혜영 의원 “의료법 위반 따른 엄중 조치 필요” 지난 7월 26일 개인정보보호위원회에서 환자 개인정보를 유출한 17개 병원들에 과태료 등을 부과했으나, 관련 주무부처인 보건복지부는 이에 대해 전혀 통보를 받지 못했던 것으로 나타났다. 개인정보위는 지난 7월 26일 전체회의에서 개인정보보호 법규를 위반한 17개 병원 중 16개 병원에 과태료를 부과하고, 17개 전체 종합병원의 개인정보 처리실태에 대한 개선을 권고하기로 의결했다. 개인정보위의 조사 결과에 따르면 2018년 4월부터 2020년 1월까지 각 병원에서는 ▲병원 직원 또는 제약사 직원이 병원 시스템에서 해당 제약사 제품을 처방받은 환자정보를 촬영‧다운로드한 후 전자우편과 보조저장매체(USB) 등을 통해 외부로 반출하거나 ▲제약사 직원이 불법적으로 시스템에 직접 접근해 환자정보를 입수하는 등의 방법으로 민감정보가 포함된 총 18만5,271명의 환자정보가 유출된 것으로 드러났다. 개인정보위는 이에 따라 각 병원들에 개선권고 등과 함께 과태료 총 6,480만원을 부과했다. 유출된 환자정보 1명당 350원씩 과태료가 부과된 셈이다. 유출된 환자정보인원이 가장 많은 세브란스병원의 경우 내부직원이 5만7,912명의 환자정보를 제약사 직원에게 이메일로 송부한 것이 적발돼 개선권고 및 결과공표와 함께 과태료 720만원이 부과됐다. 유출 환자정보 1명당 124원 정도의 과태료가 부과된 것이다. 문제는 이런 상황에 대해 의료기관과 의료법을 담당하고 있는 복지부가 몰랐다는 것이다.“ 위 기사의 내용에서 본 것처럼 민감정보인 의료정보가 유출됐음에도 불구하고 단기적인 해결방법으로 과태료 부과를 통보했습니다. 의료기관과 의료법을 담당하고있는 복지부가 이 상황을 전혀 모르고 있었기 때문에 의료법 위반 여부를 검토할 생각조차 못하고 있었습니다. 앞으로의 더 심각한 유출 문제가 발생하기 전 의료법 위반에 따른 엄중한 처벌이 필요할 것으로 생각됩니다. 이를 해결하기 위해서는 개인정보위와 복지부의 원활한 정보공유를 통한 개선을 위해 정보을 공유하고 통보하는 방법에 대해 법적으로 규정하고 지속적인 확인이 필요하다고 생각했습니다.

올히

2023-10-11

2 | 1

수집·이용

토론종료

개인정보 무단 열람에 대한 처벌

https://n.news.naver.com/article/003/0012119293?sid=102 위 기사를 요약하자면 부산에서 사회복지 업무를 담당하는 공무원이 헤어진 전애인과 전애인의 가족의 개인정보를 사적인 목적으로 공적인 시스템을 이용해 총52차례 열람하였고 개인정보보호법 위반으로 기소되었으나 재판 결과는 무죄가 선언되었습니다. 개인정보보호법 제59조는 개인정보를 처리하거나 처리했던 사람으로 하여금 '거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위' 등을 금지하고 있고, 제72조는 '거짓이나 그 밖의 부정한 수단이나 방법으로 개인정보를 취득한 자'를 처벌하고 있습니다. 이와 같은 법률에 의하여 기소된 되었습니다. 이에 재판부는 "관련 조항을 해석하면 단순히 주어진 권한을 남용하는 데에서 나아가 '무언가 부정한 수단·방법을 이용하는 행위'가 필요하다"며 "이 사건은 '부정한 목적으로 개인정보를 취득한 경우'에 해당된다. 법률 제72조 제2호가 '부정한 목적으로 개인정보를 제공받은 자'를 처벌하는 외에 '부정한 목적으로 개인정보를 취득한 자'를 처벌하고 있지 않은 점. 59조가 단순 권함 남용을 처벌하면서도 '취득' 행위는 포함하고 있지 않다. 이로써 A씨의 범행은 범죄사실의 증명이 없는 때에 해당한다"고 밝혔습니다. 취득행위도 본인의 의사나 동의가 없었다면 엄연한 범죄라고 생각하고 사적으로 공적인 시스템을 이용하는데 제재가 없다는 것이 가장 큰 문제라고 생각합니다. 따라서 관련 법이 조정되거나 새로이 재정되어야한다고 생각합니다.

충북21

2023-10-11

3 | 1

개인정보 관리

토론종료

수술실 CCTV 의무화 시행 이후 보완점

현재 수술실 CCTV의무화내용이 들어있는 의료법이 유예기간을 거쳐 전면적으로 시행되었습니다. 촬영 영상은 의료기관 내 최소 30일 이상 보관해야 합니다. 삭제 주기는 내부 관리계획으로 정해 주기적으로 삭제하게 됩니다. 환자가 수술 촬영 영상 보관을 연장하고 싶을 때는 연장요청서와 함께 고발장, 의료분쟁조정신청서 등 관련 업무가 진행 중임을 증명할 수 있는 서류를 함께 제출하면 됩니다. 연장 기간은 30일 이내여야 하고, 이후에도 추가 연장하기 위해선 요청서를 제출해야 합니다. 누구나 손쉽게 영상을 열람할 수는 없습니다. 우선 영상정보 열람·제공 요청서를 의료기관장에 내야 합니다. 의료기관장은 10일 이내에 열람·제공 방법을 통지하고 실시해야 합니다. 의료기관은 열람이나 제공에 소요되는 비용을 실비 범위 내에서 요청자에게 한해 청구할 수 있습니다. 그러나 이러한 과정이 뚝딱 되는 과정이 아니라는 것은 알고 계실겁니다. <보안뉴스>가 진행한 개인정보보호위원회와 PIS FAIR 2022 조직위원회가 주최한 제11회 개인정보보호페어&CPO워크숍(PIS FAIR 2022)에서 참관객을 대상으로 수술실 CCTV 영상의 정보보호와 관련된 설문조사에 따르면 ‘수술실 CCTV 영상의 적당한 보관기간’에 대해서는 △3년 이상(719명, 48.4%) △2년 이상~3년 미만(290명, 19.6%) △1년 이상~2년 미만(260명, 17.6%) △1년 미만~6개월 이상(125명, 8.4%) △6개월 미만(89명, 6.0%) 등으로 조사됐다. 응답자의 절반에 가까운 사람들이 3년 이상의 장기 보관에 대한 선호도가 높게 나타났습니다. 그러나 의료계가 CCTV의무화법에 굉장한 부담을 느끼고 있는것은 사실이기에 3년은 아니더라도 6개월 정도는 영상을 보관해야한다고 생각합니다. 그리고 또한 CCTV 영상을 보관, 관리하는 과정에서 실수로 유출이 될수도 있기때문에, 영상보호대책에 대해서도 논의를 시작해야된다고 생각합니다.

벽돌

2023-10-07

7 | 1

정보주체 권리

토론종료

동의서와 동의내용을 서비스 내에서 확인할 수 있는 기능에 대한 지원방안

1. 제안배경 대부분의 서비스에서 개인정보처리방침은 찾을 수 있으나 내가 동의한 정보와 동의일자를 확인할 수 없음 열람요청 등의 복잡한 구조와 일반 국민이 신청하기에 까다로운 사항이 많음 2. 제안내용 정보주체가 동의한 동의서와 동의내용을 서비스 내에서 확인할 수 있도록 지원방안등을 개인정보보호위에서 마련하고 계획을 세웠으면 함 ㄴ동의서를 관리하고 동의일, 동의여부, 보존기간을 함께 처리할 수 있는 기능 소개 및 방안 연구 3. 기대효과 각 사이트별로 동의내용을 직접확인할 수 있다면 통합탈퇴 등 현황을 현재 운영중인 e클린서비스를 보다 효율적으로 운영가능함

개인정보보호전문가

2023-07-28

6 | 5

수집·이용

토론종료

온라인 회원 가입 시 반드시 先 동의 後 개인정보 처리가 가능하도록 절차 강화

1. 제안 배경 법률상 개인정보 수집·이용·제공 등 처리에 관한 동의는 사전 동의를 원칙으로 하고 있으나, 다수의 공공기관 및 개인정보처리자가 온라인 회원가입 시‘先 수집·이용 後 동의’형태로 개인정보를 처리하는 경우가 있습니다. - 개인정보보호법 제6조 제2항 제1호, 제17조 제1항 제1호 등에서는 개인정보처리 시‘정보주체의 동의를 받은 경우’로 한정하고 있습니다. 또한, 표준 개인정보 보호지침(개보위) 제6조 제2항 제1호에서도 ‘정보주체로부터 사전에 동의를 받은 경우’로 보다 명확하게 명시하고 있고, 동 지침 제14조(정보주체의 사전 동의를 받을 수 없는 경우)에서도 사전 동의를 원칙으로 정하고 있습니다. - 그러나 정부24, 홈텍스 등 정부기관 홈페이지 및 일반 개인정보처리자 홈페이지 회원 가입 시 ‘본인 인증(확인) 後 약관/개인정보 수집·이용 동의’절차를 진행하는 경우가 다수입니다. ※ 본인 인증 절차는 통신사, 카드사 등의 동의절차 外 개인정보처리자의 동의절차 없이 진행되는 구조가 다수 있으며, 인증기관에서 제공하는 정보값(이름, 생년월일, CI/DI값 등)을 개인정보처리자가 정보주체와의 동의절차 전에 진행함으로 인해 인증기관으로부터 자동으로 제공받아 처리(저장 포함하는 경우 법률 위반소지가 있습니다. 2. 제안 내용 홈페이지 등 온라인 회원 가입 시 반드시 先 동의 後 개인정보 처리가 가능하도록 강조사항 안내 필요 회원 가입 단계에서의 개인정보 처리 가이드 수립 및 제공 필요 - 본인인증 단계에서 인증기관 동의와 별도로 개인정보 처리자의 개인정보 수집·이용 동의 절차 반영 必 - 동의 後 회원가입절차를 중단한 정보주체의 개인정보는 즉시 파기 가능하도록 절차 및 기술요건 반영 必 3. 기대 효과 정보주체의 동의 없는 개인정보를 先 처리하는 법률 위반요소 사전 차단 가능 개인정보 처리자 관점에서 불필요 개인정보 보관에 대한 사전 예방 가능 4. 참고 자료 개인정보보호법 제6조 제2항 제1호, 제17조 제1항 제1호 표준 개인정보 보호지침 제6조 제2항 제1호

privacy_9

2023-07-27

7 | 4

기타

토론종료

개인정보 관련 플랫폼 개선 방안 제안

안녕하세요! 고려대학교 미디어학부 <디지털 미디어와 민주주의 프로젝트>라는 수업에서 개인정보 침해 문제를 해결할 디지털 플랫폼을 구상하는 프로젝트를 맡고 있는 '소보루' 조입니다! --------------------- 이미 개인정보보호위원회와 한국인터넷진흥원에서 만든 E-프라이버시 클린서비스, 닥터 개인정보, 개인정보온마당 등의 정보서비스가 존재하기 때문에, 저희는 새로운 플랫폼을 만들기보다는 기존 서비스의 문제를 해결할 대안을 구상하기로 했습니다. 저희가 분석한 문제들과 그것들을 해결하기 위해 생각해낸 대안을 이 공간에 공유해 보려고 합니다! --------------------- E-프라이버시 클린서비스는 검색해서 찾아가야 하는 웹사이트 형식이라는 점에서 이용이 쉽지 않습니다. 웹/모바일을 포함하는 확장 프로그램 형식으로 바꿔 플랫폼의 접근성을 높여야 합니다. 검색 결과가 단순 나열되는 방식은 가시성이 떨어진다고 판단됩니다. 개인정보를 정리하고 가시적으로 표현해 기능의 접근성과 지속성을 높여야 합니다. 또 유해 사이트나 금융정보관련 사이트, 해외 사이트 등 서비스의 기능이 적용되지 않는 서비스가 존재해 불편했습니다. 확장프로그램 형식으로, 이용자가 가입한 플랫폼을 계속 확인할 수 있게 해 서비스의 지속성을 높여야겠다는 생각을 하게 됐습니다. 확장프로그램으로 만들어진 닥터 개인정보가 있지만, 이는 오른쪽 상단에 있는 확장프로그램 버튼을 눌러야만 사이트의 개인정보 수준을 확인할 수 있어 이용자로서 접근하기가 번거로웠습니다. 화면에 개인정보 수준을 상시로 알려주는 장치를 추가하면 좋겠다는 생각이 들었습니다. 또 신고를 받고 유해사이트를 등록하는 한국인터넷진흥원의 시스템이 적은 신고로 인해 잘 운용되지 않는다는 느낌을 받았습니다. 화면에 신고 버튼을 보이게 해서 신고 건수를 늘리고 효용성을 확대해야 합니다. 딱딱한 디자인과 어려운 단어 역시 서비스 이용을 꺼리게 하는 요인 중 하나인 것 같습니다. 쉽고 친근한 이미지와 설명을 통해 접근성을 높이면 어떨까 제안합니다. 나아가 확장 프로그램이라는 형식의 이점을 이용해 개인정보를 각자 모으고 정리한 기록과 연계시켜 개인 맞춤형 개인정보 관리 서비스로서 지속적으로 이용되면 좋을 것 같다는 생각이 들었습니다. 마지막으로 지금 이 개인정보온마당사이트는 E-프라이버시 클린서비스의 하단 배너로 들어올 수 있다는 점에서 이용 용이성이 떨어졌습니다. 인지도가 낮고, 게시글은 (6월 7일 오후 4시 현재 기준) 13건밖에 존재하지 않습니다. 앞서 제안한 확장프로그램에 인지도 향상을 위한 정보 제공 기능과 공론장 기능을 추가하면 플랫폼 접근성이 올라갈 것으로 보입니다. 전문가에게 민원을 넣는 방식 중심의 일방적 소통이 대부분이라는 점, 충분치 않은 소통으로 실제 정책반영으로 이어진 사례를 찾을 수 없다는 점 또한 문제라고 생각합니다. 쉽고 친근한 이미지와 설명으로 접근성을 높이고, 확장프로그램을 통해 모인 개인정보 관련 기록과 연동되도록 해 지속성을 높이면 좋겠다는 생각이 듭니다. --------------------- 그래서 저희가 제안하는 대안은 '소보루'라는 프로그램입니다. '소보루'는 '소중한 개인정보 보호 루틴'의 줄임말입니다. 귀여운 캐릭터(첨부파일을 참고하세요!>_<)를 통해 지속적으로 이용자 참여를 이끌어보고 싶습니다. 주요 기능으로는 개인정보 아카이빙 서비스인 '소보루 부스러기' (인터넷 공간에서의 활동으로 계속 정보라는 부스러기가 생겨난다는 의미) 경고 서비스인 '소보루 빵빵' (개인정보 침해 우려가 있을 때 이용자가 멈칫하도록 경고해주는) 개인정보 문제 관련해 의견을 나누는 공론장인 '소보루 카페'가 있습니다. 이 프로그램들이 어떻게 구현될 수 있을지, 그 시제품을 첨부파일로 담았습니다. 자세히 보시고, 저희 아이디어에서 개선해야 할 사항이 있거나 혹은 저희 제안에 대한 의견이 있으신 모든 분들의 어떤 의견이라도 다 환영합니다! 감사합니다^^

소보루

2023-06-07

8 | 5

기타

토론종료

과징금 감경 요건에 보안 취약점 신고 포상제 참여 여부 추가 제안

개인정보 유출사고에 대한 기업 부담을 낮추고 보호 활동에 자율적인 참여를 유도하기 위해 「개인정보보호 법규 위반에 대한 과징금 부과기준」(행정예고된 개인정보 보호법 위반에 대한 과징금 부과기준)의 과징금 감경기준에 한국인터넷진흥원에서 운영 중인 보안 취약점 신고 포상제 참여 여부를 고려하게 하는 조항을 추가할 것을 제안합니다. 보안 취약점 신고 포상제는 정보통신망법 제47조의6(정보보호 취약점 신고자에 대한 포상) 및 동법 시행령 제55조의6(정보보호 취약점 신고자에 대한 포상)을 근거로, 소프트웨어 신규 취약점을 발굴하여 신고한 사람에게 과기정통부 예산으로 포상금을 지급하는 제도를 의미합니다. 국가가 포상금을 지급하는 제도이지만 기업/기관(이하 ‘참여사’)에서 공동 운영 제도에 참여할 경우 참여사가 취약점 평가위원으로 같이 참석해 최종 포상금을 결정하고 참여사에서 포상금을 지급하게 됩니다. 참여사가 공동 운영 제도에 참여하게 되면 단순히 금전적 부담을 같이 지게 되는 구조가 아니라 참여사가 사전에 지정한 범위의 시스템을 대상으로 한 취약점을 발굴하는 행위를 문제 삼지 않음으로써 화이트 해커가 법적 처벌을 받게 될 부담 없이 참여사의 시스템을 대상으로 적극적인 취약점 발굴을 할 수 있는 토대를 마련해 줍니다. (참고 : 정보통신망법 제48조(정보통신망 침해행위 등의 금지)에 근거해 정보통신망에 침입하는 행위는 금지되어 있음) 보안 취약점 신고 포상제 설명 URL : https://knvd.krcert.or.kr/rewardExplain.do 해킹이 개인정보 주요 유출사고를 초래한 주요 요인 중 하나인 점을 감안하면 보안 취약점 신고 포상제에 참여해 적극적으로 취약점을 개선하려는 기업의 행동은 개인정보 유출사고 발생 가능성을 낮출 수 있는 주요 요인일 것이며, 자발적인 참여해 의한 금전적 지출 등의 노력은 개인정보보호위원회에서 과징금 산정 시 감경 요건으로 고려해 볼법한 요소란 생각이 듭니다.(참고 : 보호위원회가 인정하는 인증(ISMS-P, ISO 27001 등)을 받은 경우 과징금 금액을 감경하는 조항은 이미 존재하며, 보안 취약점 신고 포상제 참여도 동등한 요건으로 판단 됨) 감사합니다. 개정(안) ---------------------------------------------------- "과학기술정보통신부의 위탁을 받아 한국인터넷진흥원에서 운영 중인 보안 취약점 신고 포상제 공동 운영제도에 참여하는 경우 : 100분의 20 이하에 해당하는 금액을 감경" ----------------------------------------------------

IntoTheSec

2023-06-06

0 | 2

기타

토론종료

개인정보온마당의 활성화를 위한 노력

안녕하세요. 최근에는 개인정보의 중요성이 증가하였지만, 일반 공공기관, 기업, 단체의 담당자들은 여전히 개인정보와 관련된 업무에 어려움을 겪고 있으며, 이를 위한 이해와 노력이 필요합니다. 개인정보 온마당은 매우 유용한 플랫폼이지만, 많은 사람들이 이를 알지 못하고 홍보도 효과적으로 이루어지지 않는 단점이 있습니다. 저 또한 다양한 세미나나 강의를 통해 홍보를 하고 있지만, 이것만으로는 부족하다는 생각이 듭니다. 해당 담당부서의 보다 적극적인 홍보가 필요합니다. 또한, 온마당의 기능에서도 답변을 했을 때 피드백을 문자나 이메일로 알려주거나 앱을 통해 쉽게 확인하고 물어볼 수 있는 다양한 방식이 적용되면 좋을 것 같습니다. 전문회원의 다양한 의견을 청취할 수 있는 커뮤니티도 필요합니다. 앞으로 계속 노력하고 계시겠지만 개인정보 온마당에 대한 중요성을 더욱 어필하고 알리려고 하는 노력이 필요하다고 생각합니다. 다양한 의견을 청취하고 국민과 개인정보 담당자들이 쉽게 접근할 수 있는 온마당이 되기 위해 모임을 만들고 서로 교류할 수 있는 절차도 마련되었으면 좋겠습니다. 그래야 보다 정확하고 다양한 의견이 나오며 전문성도 향상될 것으로 생각됩니다. 아래 댓글로 다양한 아이디어를 제언하면 좋을 것 같습니다. ^^ 감사합니다.

개인정보보호전문가

2023-05-24

5 | 7

기타

토론종료

PBD 우수사례 공모 제안

안녕하세요. 요즘 배송을 위한 송장에 노출된 개인정보에 관심을 갖고 살펴보고 있었는데 회사마다 송장이 조금씩 다르더군요. 개인정보 제거를 위해 손쉽게 제거할 수 있는 송장도 있는 반면에 뜯어내기 어렵게 부착이 되어 있는 것도 있었고 송장에 휴대폰 번호가 기재되어 있지 않은 송장도 있었습니다. 개인적으로는 일반적인 포함하고 있는 3대 정보(성명, 휴대폰 번호, 주소)가 없는 송장은 전혀 예상하지 못했습니다. 기재되어 있지 않다는건 필요한 정보를 확인(처리)하기 위해서는 별도의 시스템(예: 단말 내 앱)이 있단 의미같고 배송원 입장에서는 배송 과정에서 시스템을 확인하는 과정이 수반될 것이라 큰 번거로움이 있을걸로 예상됩니다. 그럼에도 개인정보 보호를 위한 누군가의 어려운 의사결정이 있지 않았을까란 생각도 해보았고요. (저만의 추측이라 사실과 다를 수도 있으며, 송장얘기를 하기 위해서 글을 작성한다기 보단 Privacy 중심 설계를 언급하고자 조심스레 들어본 예입니다.) 본론으로 들어가보면, PBD(Privacy By Design)의 중요성은 개인정보보호위원회 뿐만 아니라 모두가 알고 있지만 기능성/편리성과 상충되는 경우가 있기 때문에 개인정보처리자가 이를 고려하고 실제 적용하는건 쉽지 않습니다. 이 시간에도 프라이버시 중심 설계를 고민하며 이해관계자들을 설득하고 있을지 모르는 개인정보보호 담당자들에게 힘을 실어주기 위해 PBD 우수사례를 공모 또는 발굴해 개인정보처리자를 시상 하거나 개인정보보호위원회 홈페이지를 통해 홍보를 하는건 어떨까요? 중요성을 널리 알릴 수 있고 조직(기업) 홍보에도 도움을 줄 수 있다는 인식을 심어줄 수 있는 등 여러 장점이 있을거 같은데 아직까지는 공모 사례가 없었던 것 같아 글을 남겨 봅니다.

IntoTheSec

2023-03-21

5 | 1

기타

토론종료

개인정보수준진단 전담조직 명확화

현재 대학에서는 정보보호 수준진단을 하고 있습니다. 그러나 문제점은 정보보호 및 개인정보보호 인력 전담조직에 관한 체크 항목이 있습니다. 현재 많은 대학에서는 정보보호 및 개인정보보호 전담인력이 없고 대부분 겸직으로 일하고있습니다. 겸직으로 일하게되면 문제점이 하나에 집중해도 모르자를판에 겸직을 하고있으니 정보보호 및 개인정보보호를 놓치는 부분이 많습니다. 대학에서 원하는건 개인정보보호 위원회가 지침을 만들던 아니면 시행령을 많들어서 전담조직을 신설하고 겸직을 금지 하도록 법을 만들어서 많은 대학에 공문으로 보내주세요 그래야 대학의 기관장들이나 부기관장들이 움직입니다. 아무리 밑에서 말해도 위에서는 움직이지를 않습니다.

중거리대포알

2023-02-25

3 | 2

민감/고유식별정보

토론종료

고유식별정보에 연계정보 추가를 제안합니다.

유출시 매우 큰 영향을 미칠 수 있는 "연계정보"의 보호를 위해 "고유식별정보"로 지정하는 방안을 제안합니다. 1. 제안 배경 「본인확인기관 지정 등에 관한 기준」 제2조에 정의되어 있는 "연계정보"(CI)의 유용성은 "본인신용정보관리업"(마이데이터)에서 두드러지게 나타나고 있다고 생각합니다. 흩어져 있는 정보를 정보주체의 식별자 하나로 통제할 수 있다보니 그 효용성도 입증되었다고 봅니다. 하지만, "연계정보"의 사용은 늘어가는데 비해, 보호수준은 못따라간다고 보입니다. "연계정보"의 위험성은 이미 많이 논의 되어 온것으로 알고 있습니다. 하지만 이해관계자도 많고, "연계정보"를 대체할 만한 효율적인 수단이 없다보니 여전히 가장 선호되는 식별자로 쓰이고 있는것 같습니다. 2. 제안 내용 "연계정보"의 안전한 활용을 위해 보호가 반드시 필요하기에 "고유식별정보"에 "연계정보" 추가를 제안합니다. 시행령의 개정으로 처리할 수 있도록 「개인정보 보호법 시행령」 제19조(고유식별정보의 범위)에 다음과 같이 "연계정보"를 추가하는 방안을 제안합니다. ------------------------------- 「개인정보 보호법 시행령」 제19조(고유식별정보의 범위) 법 제24조제1항 각 호 외의 부분에서 “대통령령으로 정하는 정보”란 다음 각 호의 어느 하나에 해당하는 정보를 말한다. 다만, 공공기관이 법 제18조제2항제5호부터 제9호까지의 규정에 따라 다음 각 호의 어느 하나에 해당하는 정보를 처리하는 경우의 해당 정보는 제외한다. 1. 「주민등록법」 제7조의2제1항에 따른 주민등록번호 2. 「여권법」 제7조제1항제1호에 따른 여권번호 3. 「도로교통법」 제80조에 따른 운전면허의 면허번호 4. 「출입국관리법」 제31조제5항에 따른 외국인등록번호 ========== 추가 ========== 5. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제23조의3에 따른 본인확인기관이 본인확인기관간 공유하기 위해 주민등록번호를 이용하여 생성한 연계정보 ------------------------------- 3. 기대 효과 "연계정보"의 중요성을 개인정보처리자에게 확실하게 인식시킬수 있을것이며, "고유식별정보"의 암호화 의무에 따른 "연계정보"의 암호화를 통해 유출사고 예방 및 사고발생 시 추가 유출사고의 방지를 기대할 수 있을 것입니다. - 끝 -

개인정보보호 가이드

2022-11-05

2 | 4

추천검색어