| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 개인정보처리시스템 내 리스트성(1건 이상)으로 개인정보 조회 시 마스킹 처리 여부
|
|
개인정보처리시스템 내 리스트성(1건 이상)으로 개인정보를 조회가 가능한 화면에서 개인정보 마스킹이 필수인가요?
개인정보의 안전성 확보조치 기준 안내서(2024.10).pdf 103 page에서
'① 개인정보처리자는 개인정보처리시스템에서 개인정보의 출력시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화하여야 한다.'
해당 조항의 해설 중 아래처럼 풀이가 되어 있습니다.
'개인정보처리자는 출력 항목을 최소화하기 위해 용도에 따라 출력항목을 차등화하여 표시하거나, 개인정보를 마스킹 하는 등의 방법을 활용할 수 있다.'
여기서 언급된 마스킹이 개인정보를 리스트성으로 조회하는 화면에서도 마스킹되어 표기(출력) 되도록 가이드가 되는 것인지 궁금합니다!
|
2025-08-25 ㅣ 답변 1 ㅣ 조회수 37
|
| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 개인정보 영향평가 실시 필요여부 관련하여 문의 드립니다.
|
|
안녕하십니까? OO기관 정보시스템 구축 담당자입니다.
우리 공사에서 이번에 정보시스템 개선 신규 사업을 추진 중입니다.
설계 과정에서 해당 사업이 개인정보영향평가 실시 대상인지 모호하여 검토를 요청 드리고자 합니다.
기존 운영중인 시스템의 개선 개발이며, 현황 및 개선 사항은 아래와 같습니다.
ㅇ 현황
- 대상 : 시스템 A (고객관리 시스템이며, 개인정보 정보주체 약 12만명의 파일 보유 중)
- 비고 : 2022년 개인정보영향평가 실시 완료
ㅇ 개선사항
- 내용 : 온라인 복지 신청 페이지 신청자에 한하여 공공마이데이터 서비스를 연계하여
개인 행정 묶음정보를 받아 PDS에 저장 및 활용(연간 약 3천여명의 개인정보 수집 및 활용)
위 내용으로 정보화 사업 추진 시, 개인정보영향평가를 실시해야 할지 검토를 요청드립니다.
감사합니다.
|
2025-08-21 ㅣ 답변 2 ㅣ 조회수 37
|
| 개인정보 정의 > 정보통신 |
|
Q. 스마트폰 카메라로 처리되는 개인의 얼굴정보
|
|
이미 개발된 서비스가 있고, 거기에 개인의 얼굴을 휴대폰 카메라로 입력 받아 해당 사진 정보를 동영상으로 만드는 기능을 개발 중 입니다.
문의1.
사용자가 휴대폰으로 찍은 얼굴 사진을 서버에 저장한다고 했을 때 사용자 동의를 어떻게 받아야 하는지 궁금합니다.
이미 수집하고 있는 개인정보에 해당 항목을 추가하여 간단히 처리할 수 있을까요?
아니면 생체정보로 분류되어 이미 수집/처리하고 있는 개인정보처리 동의 절차 外 별도 동의/안내가 필요한지 궁금합니다.
문의2.
해당 얼굴사진의 정보는 개인을 인증/식별할 목적으로 사용하지 않을 예정입니다: 생체인식정보는 아닌것으로 판단 됨
이럴 경우 얼굴사진을 수집하고 저장하고 파기하는 과정에서 개인정보보호법 준수수준의 보안조치만 되면 되는지요?
생체정보 이기 때문에 별도 조치가 필요한 부분이 있는지 문의 드립니다.
문의3
동의를 받아서 서버에 얼굴 사진을 저장할 경우 암호화를 필수로 해야 하나요?
필수가 아닌 권고사항인지 궁금 합니다.
|
2025-08-21 ㅣ 답변 2 ㅣ 조회수 60
|
| 영상정보처리기기 설치·운영 > 보건·의료 |
|
Q. 영상정보 처리기기 설치 근거
|
|
씨씨티비 설치 근거 참조 시 ’개보법 제25조제1항제1호 1. 법령에서 구체적으로 허용하고 있는 경우 ‘라고 나와있는데
여기서 말하는 ‘법령에서 구체적으로 허용하는 경우’ 란 어떤 경법령의 어떤 경우를 말하는 건가요 ….?
씨씨티비를 설치하려는 곳은 병원입니다
|
2025-08-21 ㅣ 답변 3 ㅣ 조회수 43
|
| 기타 유형 > 정보통신 |
|
Q. 개인정보위수탁 vs 제3자제공
|
|
저희는 까페24처럼 호스팅서비스를 제공 하고 있습니다.
저희 서비스를 이용중인 고객사에서 고객사명의로 통신판매업을 신고하지 못하여 저희회사 명의로 쇼핑몰을 오픈하였습니다.
쇼핑몰의 매출은 저희 회사명의로 발생하고 매출액의 일부를 계약에 따라 고객사에 지급하고 있습니다.
쇼핑몰 관리자페이지 에서는 컨텐츠관리, 회원관리, 배송관리를 할수 있고 관리자 권한은 저희 회사에도 있고, 고객사에도 있습니다.
실제 쇼핑몰의 운영 및 이용자 개인정보의 처리는 고객사 관리자들이 하고 있습니다. 다만 그 중 배송업무 처리는 저희 회사 관리자가 하고 있습니다.
이와같이 업무를 처리하는 경우 개인정보위수탁에 해당할까요? 개인정보 제3자제공이 될까요?
개인정보위수탁이였을 경우 위탁사와 수탁사는 각각 어느회사가 될까요?
개인정보 제3자제공일 경우 어떤회사가 개인정보처리자고 어떤 회사가 제3자제공 업체가 될까요?
|
2025-08-20 ㅣ 답변 2 ㅣ 조회수 49
|
| 개인정보 파기 > 기타 분야 |
|
Q. 기업회원 담당자 정보의 ‘정보주체’ 산정 및 변경 시 파기 보고 필요 여부 문의
|
|
안녕하세요. 저는 공공기관 대외 웹사이트를 운영하고 있는 담당자입니다.
기관 내 「개인정보 파기 관리 규정」에 따라 매월 개인정보 파기 현황을 보고하고 있으며,
아래와 같은 기업회원 구조 운영 시 파기 기준과 정보주체 산정 방식에 대해 확인이 필요하여 문의드립니다.
[시스템/DB 운영 현황]
o 회원 유형: 기업회원(회사 단위로 1행 관리)
o 기업 정보 필드:
[기업명], [사업자등록번호], [대표자명], [기업주소]
[담당자1 이름], [전화번호], [이메일]
[담당자2 이름], [전화번호], [이메일]
※ 기업 담당자 1~3명 등록 가능 및 상시 변경 가능
o 로그인 방식: 법인사업자 범용 공동인증서로 로그인
o 현재 변경 처리 방식: 기업회원 테이블 내 담당자 컬럼 값을 직접 수정(덮어쓰기)
[문의사항]
1. 정보주체 산정 기준
위 구조에서 파기 현황을 산정할 때 ‘정보주체’는 기업(법인) 단위가 아니라,
각 기업에 등록된 담당자(개인) 수로 계산하는 것이 맞는지 확인 부탁드립니다.
※ 참고: DB 구조상 기업은 1행이나, 개인정보(이름/연락처/이메일)는 담당자별로 존재합니다.
2. 담당자 변경 시 파기 보고 필요 여부
담당자 정보가 변경(교체) 되는 경우, 기존 담당자 A의 개인정보가 시스템에서 더 이상 활용되지 않도록 대체되는데,
이 행위가 「개인정보 파기」에 해당하여 파기 건으로 보고·기록(파기일자/방법/책임자 등) 해야 하는지 문의드립니다.
(예시 상황)
- 담당자 A → B로 교체(기존 A의 이름/연락처/이메일이 덮어쓰기됨)
- 담당자 수 감축으로 특정 담당자 정보를 삭제
- 기업회원 탈퇴로 기업 및 담당자 정보 일괄 삭제
가능하시다면, 위 기준에 대한 관련 법령·가이드라인
(예: 개인정보보호법/시행령, 표준지침, 거이드라인 등) 근거도 함께 안내해주시면 감사드리겠습니다.
감사합니다.
|
2025-08-19 ㅣ 답변 1 ㅣ 조회수 36
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 영상물 제작 위수탁 계약 체결 유무
|
|
안녕하세요
회사에서 영상물(대외 홍보, 내부홍보, 내부교육)제작 관련으로 외부업체와 계약을 하고 있습니다.
대내/대외로 영상물 제작의 범위가 나눠집니다.
① 우선 외부업체에서 내부 임직원 컨택 시에는 회사에서 컨택할 담당자의 정보를 업체에 전달해줍니다. (개인정보: 이름, 연락처)
② 업체는 회사로부터 전달 받은 연락처로 임직원과 만나, 영상물 촬영 진행 후 결과물을 회사에 제공합니다.
③ 업체는 특정 기간까지 원본 소스를 보관 후 파기합니다.
④ 회사는 업체로 부터 전달 받은 영상물로 대외/대내에 사용합니다.
이 경우 회사가 업체에 임직원의 개인정보(이름, 연락처)를 전달하기에 위수탁 계약 체결이 필요하다고 생각되는데요.
체결하는게 맞을까요?
|
2025-08-19 ㅣ 답변 2 ㅣ 조회수 27
|
| 개인정보 처리위탁 및 영업양도 > 정보통신 |
|
Q. 문자 메시징 서비스의 위탁 동의서의 효력 여부
|
|
안녕하세요, 저희는 문자 메시징 서비스 사용을 위해 A통신사와 계약을 체결하고 사용중에 있습니다.
Q1. 이 때, 별도의 개인정보 처리 위탁 계약서 체결 없이, 개인정보처리 위탁 동의서를 작성하여 수탁사에게 제출함으로써,
개인정보 처리 위탁 계약의 효력과 동일하게 가져갈 수 있는지에 대한 질문입니다.
(수탁사가 별도의 동의양식을 작성하여 위탁사에게 동의 요청)
위탁 동의서의 구성은 아래와 같습니다.
가. 용어의 정의
나. 위탁업무의 목적 및 범위
다. 개인정보의 기술적 관리적 보호조치에 관한 사항
라. 위탁업무 수행 목적 외 개인정보 처리 금지에 관한 사항
마. 재위탁 제한에 관한 사항
바. 위탁업무와 관련하여 보유하고 있는 개인정보 관리 현황 점검 당 감독에 관한 사항
사. 손해배상등 책임에 관한 사항
Q2. 만약 동의서가 위탁계약의 효력을 가질 수 없다고 하면, 별도의 위탁 계약서 작성을 통해 처리를 해야될 것으로 판단되는데,
그럼 동의서를 요청한 금일부터 새로운 계약을 체결해도 문제가 없는지?
Q3. 계약 체결 시, 해당 서비스를 무기한 사용할 예정이라, 그럼 위탁업무 기간을 계약 개시일로부터 서비스 사용 만료일로 기재를 할 수 있는지,
해당 사항이 개인정보보호법 등 관련 법령에 저촉되진 않는지?
예시: 2025. 8. 20. ~ 서비스 이용 종료(만료) 시
미리 감사드립니다.
|
2025-08-19 ㅣ 답변 1 ㅣ 조회수 33
|
| 민감정보 및 고유식별정보 처리 > 정보통신 |
|
Q. 개인정보 및 고유식별정보 처리에 대해 질문드립니다.
|
|
고유식별정보를 암호화해서 저장해야한다는 것은 이해했는데, 혹시 고유식별 번호를 DB에 저장할 때 부분만 암호화해서 저장해도 되는지 궁금합니다.
부분만 저장해도 된다면 얼마나 부분적으로 암호화 처리 해도 되는건지 궁금하고,
안된다면 근거가 무엇인지도 궁금합니다.
단순히 생각할 때는, 주민번호를 예로 들면 앞자리가 보여지면 결국 개인정보가 드러나는 부분이라
전체 암호화를 해야할 것 같아서 질문드립니다.
|
2025-08-19 ㅣ 답변 1 ㅣ 조회수 21
|
| 개인정보 처리위탁 및 영업양도 > 정보통신 |
|
Q. CCTV 유지보수 업체의 개인정보 위수탁 해당 여부 문의
|
|
저희 기관에서는 CCTV 설치·운영과 관련하여 외부 유지보수 업체와 계약을 체결하여 장비 점검, 고장 수리, 저장장치 정상 작동 여부 확인 등의 업무를 수행하고 있습니다.
이 과정에서 다음과 같은 상황이 모두 발생할 수 있습니다.
1. 장비 점검만 수행하는 경우
단순히 카메라 및 저장장치의 작동 여부를 확인하며, 영상에 접근하지 않는 경우
2. 영상 시청 가능성이 있는 경우
카메라 각도, 화질, 녹화 상태 등을 점검하는 과정에서 일시적으로 화면에 인물이나 차량 등이 등장할 수 있는 경우
위와 같은 상황에서,
유지보수 업체가 수행하는 업무가 개인정보보호법상 ‘개인정보 처리 위탁’에 해당하는지 여부
만약 해당된다면, 개인정보보호법 제26조에 따른 위탁계약 체결 의무가 있는지 여부
에 대해 명확한 해석을 부탁드립니다.
|
2025-08-18 ㅣ 답변 1 ㅣ 조회수 44
|
지식 Q&A