| 개인정보 처리위탁 및 영업양도 > 기타 분야 |
|
Q. 개인정보 국외이전 관련 문의드립니다.
|
|
안녕하세요?
개인정보 국외이전 관련하여 문의사항이 있어 글 올리게 되었습니다.
개인정보보호법 제28조 제8(개인정보의 국외 이전)조항을 기준으로, 국외이전에 대한 별도 동의 또는 정보주체(고객 등)와의 계약의 체결 및
이행을 위하여 개인정보의 처리위탁 및 보관이 필요한 경우에 한하여 개인정보의 국외이전에 대한 동의 없이도 이전이 가능하다고 명시하고 있습니다만,
'모바일로 사용하는 고객의 행동 지표 데이터를 공유하여 이슈를 트래킹하고 트래픽제어를 통하여 앱 서비스 운영을 개선/관리 하고자 하는 목적'을
정보주체와의 계약의 이행으로 보고, 동의 없이 국외이전을 할 수 있는지 궁금합니다.
해당 모니터링을 통한 트래픽 제어행위는, 고객의 원활한 쇼핑 환경 및 서비스 제공을 위한 APP 운영 환경 개선의 측면에서 이뤄지는 사항으로
정보주체와의 계약의 이행 측면으로 해석될 여지가 있을까요?
해당 행위가 국외이전 동의를 한고객에 한해서만 제어가 이뤄지는 부분에 대해서도 운영 상 한계가 있을것 같아,
개인정보 처리방침 내 개인정보 처리위탁 및 국외이전 사항을 고지 하고 동의없이 운영해도 될지 문의드립니다.
|
2025-03-14 ㅣ 답변 1 ㅣ 조회수 30
|
| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 네트워크접근제어시스템(NAC) 인사정보 연동에 따른 문의
|
|
사내 네트워크 통제를 구현하기 위해 네트워크접근제어시스템(NAC솔루션)을 도입하였습니다.
사용자 식별을 위해 인사 정보를 연동하였고, 인사정보는 사원번호, 이름, 부서, 직급, 회사이메일 등 이름을 제외하고는 모두 회사에서 사용하는 정보로 최소한만 연동하였습니다.(핸드폰 번호도 제외)
이러한 경우 네트워크접근제어시스템을 개인정보처리시스템으로 분류하고 그에 따른 안정성 확보 조치등을 실제로 이행해야하는지 궁금합니다.
재차 말씀드리면 아래 두가지 질문입니다.
1. 이름+회사정보 위주로만 연동한(인터페이스) 네트워크접근제어시스템을 개인정보처리시스템으로 분류하는것이 맞는지 여부(연동된 정보는 단순 식별을 위한 용도이고 해당 정보를 추가가공하지는 않습니다)
2. 안정성 확보 조치 이행 여부(예를 들어 ip정보를 내려받을 경우 사용자 정보도 함께 익스포트할 경우 사유 등을 기입해야하는지 여부, 개인정보 접속 및 조회 이력 등을 관리해야하는지 유무)
마지막으로 개인적인 의견입니다만 단순히 인사연동만 했다고 개인정보처리시스템으로 분류하고 그에 상응하는 조치를 한다는것은 상당히 비효율적일거같습니다.
감사합니다.
|
2025-03-14 ㅣ 답변 1 ㅣ 조회수 43
|
| 개인정보 관리 > 정보통신 |
|
Q. 개인정보처리시스템 로직 구현 문의드립니다.
|
|
안녕하세요, 개인정보 처리 시스템 로직 구현에 대한 문의드립니다.
현재 시스템 현황은 다음과 같습니다.
1. 서버(WEB, WAS, DB)
2. 응용 프로그램(홈페이지) - web/was 서버
개인정보가 실질적으로 저장되는 DB 서버와 응용 프로그램으로 구현되는 2. 응용 프로그램을 개인정보 처리 시스템으로 보고 있습니다.
응용 프로그램의 경우, 별도의 관리자 페이지가 존재하지 않으며 계정별로 권한을 분리하여 운영되고 있습니다.
- 일반 사용자 로그인: 일반 메뉴 접근
- 관리자 사용자 로그인: 일반 메뉴 + 관리자 메뉴 접근
현재 홈페이지에 관리자 페이지가 없는 관계로 일반 사용자에 맞춰 ID와 Password의 조합으로 로그인 기능을 구현하고 있습니다. 하지만 개인정보 처리 시스템과 관련된 요구사항을 충족하기 위한 로직 구현에 대해 아래와 같이 질문드리고자 합니다.
1. 개인정보 처리 시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소로 제한하여 인가받지 않은 접근 차단 필요
**질문:** 사용자 계정과 접속 가능한 IP를 매핑하여 접근 차단 기능을 구현해야 하는지 여부는 어떻게 되는지 궁금합니다. 이 방법 외에 다른 방법이 있다면 답변주시면 감사하겠습니다.
2. 개인정보 처리시스템는 개인정보 취급자가 외부에서 개인정보 처리 시스템에 접속할 때 인증서, 보안 토큰, 일회용 비밀번호 등의 안전한 인증 수단 적용 필요
**질문:** 일반 사용자와 관리자 사용자 로그인 절차를 다르게 구현하여, 관리자 사용자 로그인 시 OTP(일회용 비밀번호)와 같은 추가 인증 수단을 적용해야 하는지 여부에 대해 알고 싶습니다.
추가로, 응용프로그램이 DB 내용 관리페이지로 볼 수 있을 것 같은데 접속기록 점검은 DB 접속기록과 응용프로그램 접속기록 모두 하여야 하는지 궁금합니다.
감사합니다.
|
2025-03-14 ㅣ 답변 1 ㅣ 조회수 26
|
| 개인정보 수집·이용 > 경영·사무 |
|
Q. 개인정보동의서 재동의 여부
|
|
〇개인정보동의서 재동의 여부에 대해 자문받고 싶습니다.
- 교육수첩(교직원 모바일앱)은 2016년부터 모바일 앱으로 서비스하고 있는 시스템이며 교직원간 소통도구로 소속, 성명, 직위, 사무실번호, 핸드폰번호, 이메일을 수집하고 이용하고 있는 시스템입니다.
- 교육수첩에서는 직원의 핸드폰번호(010—xxx-xxxx)를 안심번호(050-xxx-xxxx)로 서비스 하던 중 사용자의 강한 요구에 따라 핸드폰번호(010—xxx-xxxx)로 서비스를 변경하려고 합니다.
- 2016년 10월 서비스 개통시 핸드폰 서비스를 했고 2016년 12월부터 안심서비스를 시작했으며 이에 대한 별도의 안내는 없었습니다.
- 이후 매뉴얼을 통하거나 사용하면서 안심번호로 서비스 하는 것을 알게되었으며 이용하지 않는 사람들은 어떻게 서비스되고 있는지 모르고 있는 경우가 대부분입니다.
- 이런 경우 개인정보 수집 이용 동의서를 다시 받아야 하는지 자문을 구하고 싶습니다.
〇개인정보동의서를 별도 받지않고 홈페이지, 또는 공문으로 고지하는 것으로 가능한지도 자문받고 싶습니다
〇 부서의견1)개인정보 수집 이용 동의서 최조 징구시 안심번호서비스에 대한 내용이 전혀 언급되지않았으므로 내용으로 봐서 달라지는 것이 없는 것으로 보여 재동의 없이 서비스 변경해도 된다.
〇 부서의견2)이용자들은 핸드폰 수집 이용 목적은 동일하나 안심번호에서 핸드폰번호로 서비스 되는 것을 확인후 판단하고 동의서를 제출해야한다.
|
2025-03-14 ㅣ 답변 1 ㅣ 조회수 18
|
| 기타 유형 > 기타 분야 |
|
Q. 매장 DB 정기 고지 안내 주기 및 필요성
|
|
기업 내 직영 매장이며, 매장 내 예약 관리를 위한 DB 프로그램을 사용합니다.
연 1회 고지, 2년에 1회 고지 사항이 있는 걸로 파악 되는데,
연 1회 고지해야 하는 내용 - 제20조의2(개인정보 이용ㆍ제공 내역의 통지) ① 대통령령으로 정하는 기준에 해당하는 개인정보처리자는 이 법에 따라 수집한 개인정보의 이용ㆍ제공 내역이나 이용ㆍ제공 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 주기적으로 정보주체에게 통지하여야 한다. 다만, 연락처 등 정보주체에게 통지할 수 있는 개인정보를 수집ㆍ보유하지 아니한 경우에는 통지하지 아니할 수 있다.
이 산정 기준 중 '정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억 원 이상'
다른 항목은 해당 사항이 없고,
이 항목이 애매합니다.
총괄 법인 매출액은 100억 이상인데, 관리 주체인 오프라인 직영 매장도 포함 되는 부분인가요?
제20조2항에 대해 연 1회 고지의무 대상이라면 주기는 고객의 개별 가입 날짜와 관계 없이, 사내 규정에 따라 연 1회 발송하면 되는 건지 궁금합니다.
|
2025-03-13 ㅣ 답변 1 ㅣ 조회수 23
|
| 기타 유형 > 기타 분야 |
|
Q. 개인정보 보호책임자 자격 요건 관련
|
|
안녕하세요,
개인정보 보호책임자 자격 요건 관련 질의드리고자 합니다.
개인정보 보호법 시행령 별표 1에 따르면 “개인정보보호 경력”이란 공공기관, 기업체, 교육기관 및 연구기관 등에서 개인정보보호 관련 정책 및 제도ㆍ개인정보 영향평가ㆍ개인정보 보호인증심사 등 개인정보보호 업무를 수행한 경력, 개인정보보호 관련 컨설팅 또는 법률자문 경력을 말한다고 정해져 있습니다.
이때 '기업체에서 개인정보보호 업무를 수행한 경력'이 인정되는 기준이 궁금합니다.
만일 위 경력을 입증해야 하는 상황이 된다면, 입증자료로는 어떠한 것들이 구체적으로 있을지요.
감사합니다.
|
2025-03-12 ㅣ 답변 1 ㅣ 조회수 39
|
| 개인정보 처리위탁 및 영업양도 > 기타 분야 |
|
Q. [문의] 보안관제업무 수탁 업체의 개인정보 취급자 여부
|
|
안녕하세요. 궁금한 점이 생겨 문의 글을 남기게 되었습니다.
최대한 쉽게 써보려했는데, 이해가 안되시는 부분이 있다면 댓글 부탁 드립니다.
보안관제센터(SOC, Security Operation Center) 운영 업무를 위탁받아
고객사에서 보안관제 업무를 수행하고 있습니다.
이때 로그통합관리시스템인 SIEM을 사용하고 있는데,
SIEM안에는 다양한 로그소스로부터 받은 로그들이 있으며,
단일 로그소스로부터 수집한 로그를 통해서는 개인을 식별할 수 없으나
다른 로그소스들의 정보들과 결합을 한다면 개인을 식별할 수 있는 것으로 판단됩니다.
1. 개인정보보호법의 개인정보 정의 부분을 보게 되면 단일 정보만으로는 개인을 식별할 수없더라도 다른 정보와 쉽게 결합하여 개인을 식별할 수 있는 경우에는 개인정보라고 정의되어 있는데, SIEM에 수집된 로그안의 분산되어 있는 휴대폰 번호, 이메일 주소, 시스템에 따른 로그인 ID 등을 개인정보로 보아야할까요?
- 실제로 SIEM을 다루고 있는 사람도 특정 개인을 식별하려면 다양한 로그소스로 부터 발생한 로그들을 조합하여야 하기 때문에 많은 시간과 기술이 필요하다고 판단(쉽게 결합되지 못함)
2. 기술적으로는 많은 시간과 노력을 들이면 개인을 식별할 수 있다고 하더라도, 실제 보안관제 업무를 수행하는 인력들은 SIEM내에서 업무(모니터링/분석/대응)간 개인을 식별하지 않습니다. 이때 보안관제 인력들을 개인정보취급자로 보아야할까요?
- (예시) 단순히 발생한 위협 기반 티켓내 로그에 있는 이메일 주소로 문의 메일을 발송하며 SIEM 내에서 로그들을 조합/가공하여 개인을 식별 하지 않습니다.
- SIEM 자체가 데이터베이스 등 개인정보처리를 목적으로 체계적으로 구성된 시스템이 아니기 때문에, 개인정보 처리시스템이 아니라고 알고 있는데, SIEM을 통해서 개인을 식별하지 않고 분석/대응 업무를 수행하는 보안 관제 인력을 개인정보취급자로 보는 것은 무리가 있다고 생각되어 판단이 어렵네요.
복잡한 글 읽어주셔서 감사하며, 의견 첨언 부탁 드립니다.
감사합니다.
|
2025-03-12 ㅣ 답변 0 ㅣ 조회수 25
|
| 개인정보 처리위탁 및 영업양도 > 정보통신 |
|
Q. 영업양도로 인한 개인정보 이전 통지
|
|
개인정보보호법 시행령 제29조(영업양도 등에 따른 개인정보 이전의 통지)에 따라 공지사항을 게시하려고 합니다.
개인정보 양도자가 개인정보 이전을 통지할 경우, 양도일 30일 이전부터 홈페이지에 게시하고 개별 메일로 통지해야 하는지, 아니면 단순히 30일 이상 게시하면 되는지 문의드립니다
|
2025-03-12 ㅣ 답변 1 ㅣ 조회수 18
|
| 기타 유형 > 기타 분야 |
|
Q. 개인정보 영향평가 수행 후 일부 변경 시 영향평가 대상 여부 문의
|
|
안녕하세요.
이용자 관련 개인정보파일에 대하여 영향평가를 수행하였습니다.
개인정보파일 일부 항목 용량이 너무 많아 1개의 개인정보파일을 2개로 나눠서 기존 이용자 정보 개인정보파일과 용량이 많은 개인정보파일로 나누려고 합니다.
1번은 기존 파일로 보유기간을 그대로 하고,
2번은 보유기간을 줄여서 더 빨리 파기를하려고 합니다.
이 경우 영향평가를 다시 받아야 할까요?
|
2025-03-12 ㅣ 답변 1 ㅣ 조회수 15
|
| 개인정보 파기 > 금융·보험 |
|
Q. 분리보관된 데이터는 DB에서만 조회할 수 있도록 해야할까요?
|
|
ISMS-P 인증기준 안내서에 따르면, 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리가능하도록 관리하고 있는가?에 대한 확인 요건이 있습니다.
현재 전자금융거래법 제22조에 따라 전자금융거래기록을 보존하여야하는 요건을 준수하기 위하여 분리보관 DB에 탈퇴회원의 거래기록을 보존하고 있는데,
이때 탈퇴회원의 CS 문의로 인하여 전자금융거래 내용 확인이 필요한 경우 임직원들만 접속하는 웹으로 구현된 사내 개인정보처리시스템에서 분리보관 DB의 데이터를 조회할 수 있도록 구현하여도 되는지 문의 드립니다.
|
2025-03-11 ㅣ 답변 1 ㅣ 조회수 33
|
지식 Q&A