| 민감정보 및 고유식별정보 처리 > 정보통신 |
|
Q. 전산시스템 구축에 따른 본인확인 절차 기능 검토관련
|
|
안녕하세요
전산 시스템 구축에 따른 사전 문의 드립니다.
1. 취약계층 지원 사업을 위한 전산시스템 구축을 추진 중에 있습니다.
고유식별정보를 수집하지 않고 중복 지원을 막는 방법을 검토 중에 있으나, 동명이인 등 중복을 막는 방법의 제약사항이 많아 문의드립니다.
2. 주민등록번호를 수집하여 중복 검증을 할 수 없는 관계로, 주민등록번호 입력을 통한 SHA256 알고리즘(평문(암호화 하지않은 데이터)를 일방향으로 암호화
하는 표준 알고리즘)을 이용하여 복호화가 안되는 키값을 보관하여 중복 검증하는 방법을 검토하고 있습니다.
첫 신청 시 주민등록번호 입력을 통해 복호화가 되지 않는 일방향 알고리즘 키값을 생성하고, 중복 신청 시 신규생성된 키값과 기존 키값을 비교하여 중복
지원을 막고자 합니다.
3. 주민등록번호를 보관하지 않고 복호화 불가 일방향 키값을 보관하고 기 신청 키값과 신규 신청시 생성된 키값의 비교를 통해 중복을 체크하려고 합니다.
이와 같은 기술 운영도 고유식별정보를 수집하는 것으로 볼 수 있어 진행하면 안되는 사항인지 문의 드립니다.
주민등록번호 수집없이 중복사항을 체크하는 부분에 대한 대처가 어려운 상황입니다.(이름, 생년월일 중복자)
전문가의 의견 부탁드립니다. 감사합니다.
|
2023-08-14 ㅣ 답변 2 ㅣ 조회수 82
|
| 개인정보 정의 > 금융·보험 |
|
Q. 해지된 계좌번호도 개인정보에 해당 되나요??
|
|
회사에서 퇴직금 관련업무를 처리하면서 A의 개인irp퇴직계좌번호를 B(제3자)에게 이름과 계좌번호를 알려주어 개인정보제공으로 신고를 당했습니다.
개인 irp퇴직연금통장은 입출금 통장이 아니므로 돈를 인출하게되면 자동으로 해지통장으로 전환되는 것으로 알고 있습니다.만약 B에게 이름과 개인정보를 알려준 시점 이전에 이미 해지된 계좌번호라면 개인정보를 유출한것이 맞는지 알고 싶습니다.
|
2023-08-11 ㅣ 답변 2 ㅣ 조회수 78
|
| 기타 유형 > 정보통신 |
|
Q. ISMS 의무 대상 관련 문의
|
|
ISMS 의무 대상자 관련하여 조언을 구합니다.
kisa 홈페이지에 의무 대상 요건중 다른건 다 해당이 안되는데 전년도 직적 이용자수의 기준이 궁금해서요.
의무대상자 : 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자
회사가 여러개의 서비스를 하고 있고 단일 서비스의 회원수가 100만명이 되지는 않지만,
5개의 서비스를 합치면 100만명이 됩니다.
(물론 5개 서비스 모두 저장되는 DB는 다르며, 1명이 5개의 서비스중 중복으로 가입할 수도 있습니다.)
이경우에도 의무 대상자가 되는지 궁금합니다.
|
2023-08-11 ㅣ 답변 2 ㅣ 조회수 83
|
| 개인정보 관리 > 정보통신 |
|
Q. 개인정보보호법 개정안 변경 이후 개인정보 통지 내용에 대한 질문
|
|
안녕하세요.
이번 9월 15일 개정된 개인정보보호법이 실될 경우 변경되는 개인정보 이용 내역에 대한 통지에 대해 궁금한 사항들이 있어 질문드립니다.
[질문 1]
과거에는 이용내역과 수집출처로 구분되어 있었고 각각 해당되는 서비스만 통지를 했던것으로 알고 있는데 이용내역과 수집출처 두 가지 구분이 정확히 무슨 의미인지 궁금합니다.
[질문 2]
9월 15일 이후 개정된 법이 시행된다면 5만명 이상의 회원을 보유한 모든 온라인 서비스는 정보 주체에게 개인정보 이용 내역에 대한 통지를 해야하는 상황으로 변경되는 건지 궁금합니다.
[질문 3]
제가 자료를 찾던 중 개인정보이용에 대한 통지는 연 1회라고 확인했었는데 정확하게 몇 번 통지를 해야하는가에 대한 법조항이 있는지 궁금합니다. 또한 통지에 대한 법령이 이번 개정과 함께 변경되는 사항은 없는지 궁금합니다.
-------------------------------------------------------------------------------------------------------------------------
[디지털 사회에 맞는 규제 일원화 정책]
기존
이용내역
①정보통신서비스 매출액 100억 이상
②100만명 이상 개인정보 처리
수집출처
①5만명 이상 민감정보·고유식별정보 처리
②100만명 이상 개인정보 처리
이후
①5만명 이상 민감정보·고유식별정보 처리
②100만명 이상 개인정보 처리
참조 - https://www.korea.kr/briefing/pressReleaseView.do?newsId=156570351
-------------------------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------------------------
[제 20조 신설]
제20조의2(개인정보 이용ㆍ제공 내역의 통지) ① 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 이 법에 따라 수집한 개인정보의 이용ㆍ제공 내역이나 이용ㆍ제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지하여야 한다. 다만, 연락처 등 정보주체에게 통지할 수 있는 개인정보를 수집ㆍ보유하지 아니한 경우에는 통지하지 아니할 수 있다.
② 제1항에 따른 통지의 대상이 되는 정보주체의 범위, 통지 대상 정보, 통지 주기 및 방법 등에 필요한 사항은 대통령령으로 정한다.
-------------------------------------------------------------------------------------------------------------------------
항상 친절한 답변 감사드립니다! 업무 수행에 굉장히 많은 도움이 되고 있습니다!!
|
2023-08-11 ㅣ 답변 2 ㅣ 조회수 181
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 개인정보처리자(정보통신서비스 사업자)가 수집 이용 동의서를 개인정보 처리방침으로 갈음할 수 있을까요?
|
|
안녕하세요. 온라인에서 회원가입을 하는 경우 개인정보 수집 이용 동의에 대한 내용에 대해 [보기]를 누르면 개인정보 처리방침으로 넘어가는 어플리케이션이 몇 있는 것을 확인했습니다.
개인정보 보호법(2020) 정보통신서비스 제공자 등의 특례에 보면 수집하는 경우 목적, 항목, 기간에 대한 내용을 알리고 동의를 받으면 된다고 나와있습니다.
민감정보 등의 수집 없이 일반 개인정보만 수집한다면, 처리방침에서 목적, 항목, 기간에 대해 안내가 되고있기 때문에 "개인정보 처리방침에 대한 동의"라는 용어가 아닌 "개인정보 수집.이용에 관한 동의"라는 안내문구를 사용하여 [보기] 클릭 시 처리방침으로 유도되게 안내한다면 동의 안내서를 개인정보 처리방침으로 대체하고 있단 개념으로 되어 이상 없을까요?
|
2023-08-09 ㅣ 답변 4 ㅣ 조회수 101
|
| 기타 유형 > 기타 분야 |
|
Q. 위수탁 시 동의
|
|
안녕하세요
옛날에 정보통신망법에 의거하여 개인정보 위수탁 시 정보주체의 동의를 받아야 했습니다
그러나 법이 개정되면서 처리방침 또는 법에 범위 안에서 알리기만 하면 되는 걸로 아는데요
그렇다고해서 위수탁에 대한 내용을 동의를 받아도 문제가 될까요?
|
2023-08-09 ㅣ 답변 3 ㅣ 조회수 69
|
| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 개인정보처리자이자 정보통신제공자인 경우
|
|
개보법의 안전성 확보조치 기준과 망법의 기술적 관리적 보호조치 기준에서
동일한 내용이나 서로 다른 요구사항을 가지고 있다면 어떤 법률을 따라야 하나요?
예를 들어 접속기록을 기준으로 안전성 확보조치에선 개인정보처리자는 1년 이상 보관을 요구하고 있으나, (고유,민감 정보x, 5만명 이하인 경우 가정)
기술적 관리적 보호조치 기준에선 6개월 이상 보관 (기간통신사업자 아닌 경우 가정)을 요구하고 있는 경우.
망법이 우선 적용되므로 6개월만 보관해도 되나요?
예전에 어디선가 두개가 상충되는 경우 더 타이트한 법을 기준으로 잡으면 문제가 없다고 들었긴 했으나,
이거는 차치하고 근본적으로 6개월만 보관해도 법률상 문제가 없는지 궁금합니다.
|
2023-08-09 ㅣ 답변 4 ㅣ 조회수 63
|
| 개인정보 파기 > 경영·사무 |
|
Q. 휴면 처리에 대한 정보 처리 방침 문의
|
|
안녕하세요.
법 제39조의6 파기특례(휴면처리) 오는 9월15일 부로 폐지.
-------------------------------------
제39조의6(개인정보의 파기에 대한 특례)
① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.
-------------------------------------
해당 법령이 적용된다면 기존의 휴면회원 정보는 모두 삭제 처리인지 아니면 휴면회원에서 모두 일반회원으로 복구 가능한지 궁금합니다.
관련 자료를 찾아보니
"이미 분리보관돼 있는 개인정보인데, 개인정보자의 권리침해 소지가 있으면 파기하면 안 된다. 따라서 사전에 개인정보 대상자에게 연락한 뒤에 파기 또는 원상복귀해야 한다고 생각한다. 이와 관련해서도 별도의 안내서를 만들어 상세하게 설명할 예정이다."
- 출처 : https://www.boannews.com/media/view.asp?idx=119372
라고 답변한 내용까지 확인했는데 혹시 후속 안내가 있었는지 궁금합니다.
|
2023-08-09 ㅣ 답변 2 ㅣ 조회수 137
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 보안 프로그램 사용자 인증을 위해 개인정보 사전 등록 관련 문의
|
|
보안 프로그램에서 계정 정보 변경을 위해 사용자 인증 시 사전에 등록된 휴대폰번호로 SMS가 발송되고 방식이라고 합니다.
이에 따라 사전에 사용자인 내부 직원의 휴대폰 번호가 해당 프로그램에 등록되어야 하는데
이를 사용자가 직접 입력할 수 없어 관리자가 각 사용자의 연락처를 등록해야 하는 상황입니다.
이럴 경우, 관리자는 사용자의 휴대폰번호를 수집하게 되므로 회사 차원에서 개인정보 수집/이용에 대한 동의를 받아야 하는지 문의 드립니다.
또한 해당 보안 프로그램에서 추가적으로 개인정보 수집/이용에 대한 동의 절차가 진행되어야 하는지도 함께 문의 드립니다.
|
2023-08-08 ㅣ 답변 3 ㅣ 조회수 51
|
| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 정보통신서비스 제공자 개인정보 암호화 질문
|
|
정보통신서비스 제공자로 개인정보 기술적 관리적 보호조치 기준에 따라
1. 주민등록
2. 여권
3. 운전면허
4. 외국인등록
5. 신용카드
6. 계좌
7. 생체인식정보
등을 개인정보처리시스템에 저장할 경우 암호화 하고 있는데요.
만약 직원 PC에 파일 형태로 다운로드 받는 경우에도 위 정보들을 암호화 해야 하는건가요?
즉, 저 조항이 의미하는것이
개인정보처리시스템에 저장하는 경우와 직원PC에 저장하는 경우 두가지 모두에 해당하는 것인지 궁금합니다.
|
2023-08-08 ㅣ 답변 4 ㅣ 조회수 69
|
지식 Q&A