| 민감정보 및 고유식별정보 처리 > 경영·사무 |
|
Q. 고유식별정보 안전성확보조치 (시행령 21조)
|
|
이전에 개보위에선 2년마다 고유식별정보 실태점검을 했습니다.(현재 3년으로 변경) 23년도에 진행한 매뉴얼을 보고 질의를 드리고자 합니다.
1. 5만에 대한 기준(명수vs건수)
시행령에 따르면 1만명 이상의 고유식별정보를 처리하는 공공기관, 5만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 자 가 기준 대상이라고 되어있습니다.
하지만 23년도 고유식별정보 안전조치 관리실태 조사 매뉴얼에 따르면 5만(당시 공공기관도 5만)의 기준은 "고유식별정보 보유량이 5만 건" 이라고 되어있습니다.
시행령: 정보주체 수
매뉴얼: 건수
이에 따라 특정기관에서 "홍길동+주민등록번호+여권번호"를 가지고 있다면 1명/2건의 고유식별정보를 가지게 되어 기준이 애매해집니다. 어떻게 측정하는게 올바른건가요?
2. 점검대상(정보주체 수) 점검항목(건 수) 두개의 측정방법이 상이한건가요?
ex) 점검대상을 선정하는건 명수로 선정하나, 선정된 대상들의 보유량 측정은 건수로 한다.
3. 중복제거에 관한 기준 질의
매뉴얼에 따르면 보유량 산정 시 임직원의 고유식별정보, 종이문서, 업무용PC에 포함된 고유식별정보를 모두 포함하라고 쓰여있습니다.
단 동일 DB상의 여러 TABLE에 보유한 동일한 고유식별정보는 중복을 제거하여 항목별 1건씩 산정하라고 되어있습니다.
기준이 동일 DB일 경우에만 중복제거가 가능하다고 합니다.
그렇다면, 예를 들어 종이문서로 고유식별정보를 받아, 스캔본은 PC에 저장, 원본은 파일철하여 캐비넷 보관, 데이터는 엑셀에 입력 한다면 이는 중복데이터이긴 하나 동일DB가 아니게 되어 중복제거 대상은 아닙니다.
이 경우 건수를 1건(정보주체 수) OR 3건(캐비넷종이문서+PC스캔본+엑셀데이터) 중 어떤 경우로 측정을 하는게 올바를까요?
|
2024-08-06 ㅣ 답변 1 ㅣ 조회수 41
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 개인정보 이용 및 제공 동의서
|
|
개인정보 이용 및 제공 동의서 작성 시 본인이 작성하지 않고 제3자에게 작성하도록 하면서 제3자에게 개인정보 이용 및 제공 동의서 작성 위임장(개인정보 처리 방법에 관한 고시 별지 제11호 서식)을 작성해도 가능한지요?
별지 11호 서식에는 열람, 정정, 삭제, 처리정지에 대한 부분만 위임할 수 있도록 되어 있어 위 내용에 대해 위임도 가능한지 궁금합니다.
|
2024-08-06 ㅣ 답변 1 ㅣ 조회수 38
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. (개)개인정보 수집 이용 동의, (정)마케팅 동의 관련 문의
|
|
안녕하세요.
문의사항이 있어 질문드립니다.
회원가입 목적으로만 개인정보를 수집하고 있고 마케팅 수신 동의를 따로 받고 있는데 문제의 여지가 있는지 확인 받고 싶습니다.
아래는 예시입니다.
EX)
1) 필수, 선택 동의 체크
(필수) 이용 약관 (약관) ㅁ
(필수) 개인정보 수집 및 이용 동의 (약관) ㅁ
(선택) 이벤트 수신 동의 ㅁ
2) 개인정보 수집 및 이용 동의
- 수집목적 : 서비스 회원관리
~~~~~~
질문1) 현재 동의를 받는 상황에서 문제가 있을까요? 문제가 없다면 이유를 부탁드립니다!
질문2) 홍보를 위한 개인정보 수집 동의를 추가로 받는다면 해결이 될까요?
답변 부탁드리겠습니다!
감사합니다.
|
2024-08-05 ㅣ 답변 2 ㅣ 조회수 72
|
| 개인정보 안전성 확보조치 > 정보통신 |
|
Q. 개인정보처리시스템 서버 접근 중요정보처리단말기(맥북) 패치관련 문의
|
|
안녕하세요.
개인정보처리시스템 서버 접근 중요정보처리단말기(맥북) 패치관련 문의드립니다.
<인프라 환경 구축 중>
1.시스템 환경 AWS클라우드
-일일 100만건 이상의 개인정보 처리 예정
2.내부망 중요단말기 환경
-인터넷 사용이 차단된 내부망
-AWS(개인정보처리시스템) <---- VPN -----> On-premise 중요정보처리단말기
<문의사항>
1. '개인정보의 안전성 확보조치 기준' 제6조(접근통제) 6항 준수를 위하여 중요정보처리단말기(내부망) 인터넷 차단조치가 필요한데 개인정보취급자가 중요정보처리단말기로 맥북(애플)을 요청하고 있습니다.
여기서 이슈사항은 MAC북은 직접적으로 Apple 에서 안내해주는 지정된 아이피 대역 또는 url 인터넷 접속을 허용해줘야 O/S패치가 되어서 외부 인터넷 접근이 필요합니다.
맥북 사용을 요청한 개인정보취급자는 전 근무지 인터넷금융사에서 내부망에 위치한 중요정보처리단말기가 외부망에 있는 중계(Proxy)서버를 통하는 방식으로 정보보안대체방안을 만들어 맥북 패치를 받았다고 합니다.
위와 같이 인터넷과 연결된 외부망 중계(Proxy)서버를 이용하는 방식으로 내부망 중요정보처리단말기 패치 적용이 개인정보보보호법준수에 위배되는 부분이 없는지 문의드립니다.
감사합니다.
|
2024-08-05 ㅣ 답변 1 ㅣ 조회수 39
|
| 개인정보 파기 > 기타 분야 |
|
Q. 개인정보 파기 관련 법
|
|
안녕하세요 항상 애용하고 있는 유저 입니다.
이번에도 질문이 있어 글을 올립니다.
개인정보 파기 관련 질문 입니다.
개인정보 파기 관련 법을 개인정보처리방침에 작성할려고 합니다.
-----------------------------------------------------------------
전자상거래 등에서 소비자 보호에 관한 법률
계약 또는 청약철회 등에 관한 기록 : 5년 보관
대금결제 및 재화 등의 공급에 관한 기록 : 5년 보관
소비자의 불만 또는 분쟁처리에 관한 기록 : 3년 보관
전자문서 및 전자거래 기본법
공인전자주소를 통한 전자문서 유통에 관한 기록 : 10년 보관
통신비밀보호법
로그인 기록 : 3개월
------------------------------------------------------------------
대부분의 업체의 개인정보처리방침을 확인 했을 때 거의 위와 같은 관련법을 근거로 삼아 개인정보를 가지고 있는거 같습니다.
질문)
혹시 이 이외에도 관련법이 있는지 아니면 개인정보 파기 관련 가이드 라인이 존재하는지 궁금하여 질문드립니다.
항상 감사합니다.
|
2024-08-05 ㅣ 답변 1 ㅣ 조회수 80
|
| 개인정보 제3자 제공 > 정보통신 |
|
Q. 제3자 정보제공에 해당이 되는 것인지요?
|
|
안녕하십니까! 당사의 전산시스템 유지보수 구조는 당사와 A 업체가 전산시스템 유지보수계약이 이루어져 있습니다.
또한 당사는 A업체와 개인정보처리위탁계약과정보보호에 대한 특약을 체결한 상태입니다.
A업체는 다시 B업체와 당사의 전산시스템 유지보수 계약을 체결하였고, 유지보수업무를 수행하가 위해
당사의 전산시스템 점검 또는 프로그램 수정보완이 필요한 경우 B업체에서 당사의 전산시스템에 접근하여 개인정보 접근이 필요한 업무도
수행을 하고 있습니다.
이러한 경우도, 당사 입장에서는 B 업체에 대한 개인정보 제3자 제공에 해당이 되는 것인지요?
|
2024-08-03 ㅣ 답변 1 ㅣ 조회수 44
|
| 개인정보 수집·이용 > 보건·의료 |
|
Q. 기관대기관 업무협약 시(위탁 아님) 정보 수집 및 제3자 제공 문의
|
|
보건소와 서울시 산하기관인 심리지원센터가 업무협약을 맺어 임산부 등에 대한 심리상담을 제공하는 서비스를 시행하려고 합니다.
보건소에서 보건소를 이용하는 임산부 등을 대상으로 임신육아 마음상담을 시행함에 있어
관내 심리지원센터와 기관 대 기관으로 업무협약을 맺고
보건소는 마음상담 프로그램을 열고 심리지원센터에서는 보건소 모자건강센터로 방문하여 심리검진을 진행합니다,(무료)
이때 보건소는 대상자를 모집(이름, 전화번호, 주소, 상담유형-난임상담, 산후상담, 임신중 상담)하고
심리지원센터는 보건소 모자건강센터 내로 방문하여 무료 상담을 진행 한 후 그 상담내용을 심리지원센터로 이관하여 가져갑니다.
보건소에는 심리지원센터 상담사가 상담 후 가장 기본적인 내용(상담유형, 상담 후 정상, 저위험, 고위험 판정 결과, 심리상담소로 연계가 필요한지 여부만을 받을 예정입니다.
또한 심리지원센터에서는 추후 계속적 상담이 필요한 경우 심리지원센터로 주민을 방문시켜 지속상담을 진행합니다.
이런 경우
정보수집 주체를 두개의 기관으로 각각 하고 서로 필요한 부분에 대한 제 3자 정보 제공 동의서를 받아 진행이 가능한지요?
(정보수집 주체 및 관리책임)
1) 보건소 - 프로그램 신청과 관련된 정보(이름, 전화번호, 주소, 상담유형)
2) 심리지원센터 - 상담내용에 대한 정보 수집
(제3자 정보 제공동의)
1) 보건소 - 프로그램 신청관련 정보를 심리지원센터에 제공
2) 심리지원센터 - 상담결과 중 상담유형, 상담 후 결과 판정-정상, 고위험, 저위험, 지속 연계관리 필요에 대한 결과만 보건소 제공
협약의 관계로 위탁이 아니어서 개인정보를 각각의 기관이 관리하는 것이 가장 좋은 방법일 것 같아 이러한 방법이 가능한지 문의드립니다.
또한 이러한 방법이 문제가 된다면 어떻게 진행해야하는지 문의드립니다.
|
2024-08-02 ㅣ 답변 1 ㅣ 조회수 41
|
| 개인정보 제3자 제공 > 경영·사무 |
|
Q. 해외 법인의 수탁사 서비스 이용 시 당사와의 관계 (3자 제공 / 위수탁)
|
|
안녕하세요,
포럼 통하여 도움 많이 받고 있습니다.
당사에서는 해외 법인에서 수탁사로 두고 있는 업체의 서비스를 활용하고 있는데, 이러할 경우 당사와 해외 법인은 3자 제공, 혹은 위수탁 관계일까요?
A: 당사
B: 해외 법인
C: B의 수탁사
A회사 직원들의 이러닝 교육을 C에서 제공하는 이러닝 플랫폼을 통하여 직원들이 교육을 수강합니다. 이 과정에서 A회사 직원들의 개인정보가 B로 이전되고, B는 C와 위탁 계약을 맺고 있습니다 (단순 교육 플랫폼 사용이 아닌 A의 개인정보가 실질적으로 처리되고 B와 C에서 이수율 현황, 대시보드 등에도 접근 가능하여 위수탁 관계에 있음).
이러할 경우 A와 B는 어떤 관계로 볼 수 있을까요?
B는 A의 교육에 관하여 '통일적인 관리'를 위해 본인들이 이미 계약을 맺고 있는 수탁사를 활용하도록 하는 것이어서 최종 이익이 B에 있기에, 저 개인적으로 3자 제공에 가깝다고 생각하는데 어떻게 보시나요? 만약 위수탁 관계라 본다면 A가 B에 대한 수탁사 관리 및 점검 등도 하여야 하는데, 회사의 규모나 실질적 운영 사정 사정 상 불가합니다. 판단 기준이 명확치가 않아 의견 공유해주시면 감사하겠습니다.
감사합니다.
|
2024-08-02 ㅣ 답변 2 ㅣ 조회수 45
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 공동주택 채권양도동의서 제출, 미제출 세대 공지 개인정보 침해 여부
|
|
아파트에서 현재 채권양도동의서 제출을 받고 있는데, 채권양도동의서 제출, 미제출 세대의 동호수를 게시판에 공지하자는 의견이 있습니다.
이 때 개인정보 침해라고 볼 수 있는지 판단 부탁드립니다.
|
2024-08-02 ㅣ 답변 1 ㅣ 조회수 37
|
| 개인정보 수집·이용 > 정보통신 |
|
Q. 필수 입력이 아닌 이메일, 전화번호 처리 문의
|
|
안녕하세요,
개발 중인 시스템은 관리자가 신규 사용자를 등록한 후, 신규로 등록된 사용자가 시스템에 로그인을 하여 업무를 수행하는 시스템입니다.
관리자가 신규 사용자 등록시에는 사용자 ID, 사용자 이름을 필수로 입력하게 되어 있고, 이메일과 전화번호는 옵션 항목에 포함되어 있습니다.
(등록된 사용자가 자신의 이메일이나 전화번호를 설정 메뉴에서 입력하면 시스템에 저장이 됩니다.)
시스템에서는 해당 사용자에게 업무가 할당되거나 할당된 업무의 내용이 변경되었을 때 해당 사용자의 이메일 주소가 존재하면 변경사항을 이메일로 통지를 하고 있습니다.
이렇게 필수로 수집하지 않는 이메일, 전화번호도 시스템에 저장되어 사용되기 때문에 개인정보처리 항목에 포함되는건가요?
|
2024-08-02 ㅣ 답변 1 ㅣ 조회수 50
|
지식 Q&A