| 민감정보 및 고유식별정보 처리 > 교육·사회복지 |
|
Q. 주민등록번호 정정
|
|
저희는 고등교육법 시행령 제73조(고유식별정보의 처리)에 따라 학생의 주민등록번호를 수집하고 있습니다.
학생이 개인정보 정정 요구서를 작성하기 전 기존 개인정보를 확인하는 페이지가 존재하는데 이 페이지에 기존의 주민등록번호가 마스킹 없이 노출되어도 괜찮은지 궁금합니다. 문제가 된다면 어떤 방식으로 기존 주민등록번호를 확인시킬 수 있는지 궁금합니다.
감사합니다.
|
2023-05-15 ㅣ 답변 1 ㅣ 조회수 64
|
| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 마스킹된 카드번호나 계좌번호도 암호화 대상일까요?
|
|
결제 데이터를 받아서 db에 저장하는 흐름이 있는데요, 넘어올 때 부터 1234-4453-****-5555로 마스킹된채로 데이터가 넘어온다면, 신용카드번호라고 양방향 암호화를 꼭 하지 않아도 될까요?
비슷한 사례로 생년월일은 db암호화를 하지 않고 주민등록번호는 하려고 하는데, 주민등록번호가 999999-1******로 넘어오는 경우 생년월일로 판단하여 암호화를 하지 않으려다보니 질문드립니다.
|
2023-05-15 ㅣ 답변 2 ㅣ 조회수 165
|
| 개인정보 처리위탁 및 영업양도 > 보건·의료 |
|
Q. 개인정보 처리 위수탁 관련 문의드립니다.
|
|
개인정보 처리 위수탁 관련 문의드립니다.
1. AWS를 이용하려고 합니다. 클라우드 컴퓨팅 서비스 업체와 개인정보 위수탁계약을 맺어야 하는 지 궁금합니다.
2. AWS를 이용한 단순 데이터 저장도 개인정보처리위탁이라고 볼 수 있나요?
3. 직접적인 데이터 접근을 할 수 없다고 하면, 위수탁 계약을 맺지 않아도 될까요?
4. 위탁하려는 회사(수탁자)가 AWS를 이용하고 있다면, 위탁자가 해야할 조치사항 같은게 있을까요?
|
2023-05-15 ㅣ 답변 3 ㅣ 조회수 202
|
| 개인정보 안전성 확보조치 > 기타 분야 |
|
Q. 암호화 방식(Bcrypt) 사용
|
|
안녕하세요
저희 회사는 패스워드 암호화 시 sha-256 사용을 지향하고 있습니다.
그런데 bcrypt 암호화 솔루션도 사용을 하려고 합니다.
제가 알기로는 rainbow table 공격 방지 및 salt 값을 통합한 블로피시 암호에 기반을 둔 암호화 솔루션으로 알고 있습니다.
해외에서는 사용을 하는 것 같은데 국내 즉 isms-p나 다른 인증을 받을 때 해당 암호화 솔루션을 사용해도 문제가 없을까요?
|
2023-05-15 ㅣ 답변 1 ㅣ 조회수 86
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 간편로그인/가입
|
|
안녕하세요.
쇼핑몰 운영이며, SNS 간편 가입/로그인 기능을 추가를 고려중입니다.
1. 기존 회원이 간편로그인계정으로 시도 하거나, 또는 2. 간편가입회원이지만 시일이 지난후 간편로그인 정보가 변경되어 기존 자사에게 보유한 정보와 불일치 발생을 우려하고 있습니다.
이때 이용자는 식별되었지만, 일부정보 불일치가 발생할 경우, 이용자에게는 시도하는 간편로그인정보를 기본 계정정보로 업데이트 할것인지를 문의하는 팝업을 발생하고 동의하면 진행을 고려중입니다.
이용자에게 기존이용자정보 업데이트에 대한 동의를 구하고 진행하므로, 개인정보보호법에는 위반 소지가 없을것으로 예상됩니다. 전문가님들의 다른 의견이 있으신지 궁금합니다.
|
2023-05-15 ㅣ 답변 2 ㅣ 조회수 71
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 개인정보 조회 시 동명이인
|
|
안녕하세요
ISMS-P 때문에 개인정보처리시스템 조치를 하고 있는데요
개인정보 조회 시 LIKE 검색을 막고자 LIKE 검색을 '=' 조건으로 조치하려고 합니다.
그런데 = 조치에도 동명이인이 있다면 2명이 검색 될 것 같은데요
조건을 2가지 넣는 방법이 아닌 이름으로만 검색을 할 때 추가로 특정 조건을 넣을 수 있게 개발을 해야 할지
아니면 이런상황일 때 '=' 조건이기 때문에 동명이인 검색은 어쩔 수 없는 부분인지 문의 드립니다.
|
2023-05-12 ㅣ 답변 3 ㅣ 조회수 94
|
| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 해외 수탁자에 대한 관리 감독을 어떻게 하나요?
|
|
<개인정보의 기술적, 관리적 보호조치 기준> 제3조 제1항 제5호에 따라 내부관리계획을 수립할 때 '개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항'을 정해야 합니다.
해설서에 따르면 사업자 선정부터 사업 종료 시까지 전 과정에 걸쳐 안전성 확보를 위한 보호조치 사항을 포함해야 하고, 제안요청서, 계약서 등에 기술적․관리적 및 물리적 보호조치에 관한 사항을 명시하고, 이에 대한 이행여부를 분기별 또는 반기별로 주기적 관리·감독 및 확인해야 한다고 합니다.
그런데 국내가 아닌 해외 수탁자에 대해서는 수탁자 교육, 처리현황 점검 등의 관리 감독이 쉽지 않을 것으로 판단됩니다.
1. AWS나 해외 메일링 업체와 같은 해외 수탁자에 대한 관리 감독에 관한 사항을 어떻게 정해야 할까요?
2. 위수탁 계약서를 작성해야 하나요?
3. AWS, 해외 메일링 업체에 대해서 수탁자 교육을 어떻게 해야 하나요?
|
2023-05-12 ㅣ 답변 2 ㅣ 조회수 101
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 계좌번호도 개인정보가 되나요?
|
|
예를 들어 같은 회사에 소속되어 있는 2명의 직원을 A와 B라고 정의하겠습니다.
저는 같은 회사 동료인 A사원에게 B사원 남편(C)의 계좌번호를 알려줬습니다.
이는 A사원이 B사원 남편에게 빌린 돈을 받기 위해서였습니다.
때마침 제가 B사원 남편과 친분이 있어 계좌번호를 알고 있었기에, B사원 남편(C)의 계좌번호를 A사원에게 알려줬습니다.
그랬더니 B사원이 저에게 개인정보 유출로 신고한다고 하는데요
단순히 계좌번호도 개인정보 유출이 되는지? 된다면 처벌이 가능성이 있는지 궁금합니다.
|
2023-05-11 ㅣ 답변 3 ㅣ 조회수 90
|
| 개인정보 수집·이용 > 금융·보험 |
|
Q. 채팅상담 시 임의 입력된 개인정보에 대한 처리
|
|
고객 상담 채팅 서비스 기획 과정에서 궁금한 사항이 있어 문의드립니다.
(서비스 개요) 당사에서 진행중인 프로모션에 한정된 고객질의에 대한 응답을 1:1 채팅 형태로 제공
(프로세스) 당사 앱에 질문하기 창 호출 > 외부 업체 챗 솔루션 활용 실시간 데이터 송수신(API)을
통해 답변 제공 * 대화로그는 당사/외부업체 양측 보관되며, 정보 송수신시 암호화 처리됨
본 서비스가 이벤트 정보에 한정된 질의응답임에도 불구하고(이벤트 외 질문에는 처리할 수 없다는 답변만 제공)
"만약 고객이 임의로 개인정보 등을 입력 하는 경우" 해당 정보에 대한 처리절차가 궁금합니다.
(채팅 공지 메시지에 개인정보 입력 금지 안내 예정)
발생 가능성은 낮지만 해당 경우를 배제할 수는 없을 듯 해서...
1) 서비스 진입단계에서 고객 앞 개인정보 수집 & 외부업체에 대한 개인정보제공 동의를 받아야하는 건지
2) 외부업체와의 대화정보 송수신과정에서 개인정보에 대한 비식별 조치를 해야하는지에 대해 문의드립니다.
2)의 경우, 당사가 외부업체로 대화정보 송신과정에서 바로 비식별화가 일어나야 하는 지,
대화 종료 이후 대화로그 보관과정에서 사후 비식별처리를 해도되는지도 궁금합니다.
(외부 업체 솔루션은 대화정보를 수신하는 과정에서 개인정보 발생시 비식별화 조치 후 저장처리됨)
|
2023-05-10 ㅣ 답변 3 ㅣ 조회수 140
|
| 기타 유형 > 기타 분야 |
|
Q. 이메일 무단 수집 거부 고지
|
|
안녕하세요
가끔 홈페이지에 보면 '이메일 무단 수집 거부'라고 하여 정보통신망법 50조의2 에 의거하여 고지하는 걸 볼 수 있는데
이 고지 내용도 의무 인가요?
50조의2는 2014년도에 삭제가 되었고 개인정보처리방침 내용 처럼 홈페이지 내에서 실제 영리적인 목적으로
이메일 수집 하지 않는다면 해당 내용을 고지할 필요는 없을 것 같은데...
어떤 상황일 때 고지해야되고 안해도 되는지 문의 드립니다.
|
2023-05-10 ㅣ 답변 2 ㅣ 조회수 55
|
지식 Q&A