codetwig 님의 블로그

1. 개인정보 영향평가 공공기관 + 민감정보 or 5만명 이상 or 연계 = PIA 의무민간기업은 의무 아님, 하지만 자율적 수행 권고됨단순 필드 추가나 UI 개선 수준은 제외 가능개인정보 수, 제 3자 제공, 정보주체 권리 해할 가능성 및 그 위험 정도 개인정보파일을 등록할 때 영향평가 결과를 함께 첨부해야함 영향평가 시 고려사항 : 민감정보/고유식별정보 처리 여부, 개인정보 보유기간, 개인정보의 수, 제3자 제공여부, 정보주체의 권리를 해할 가능성 및 그 위험 정도 평가대상 : 5만명 이상 민감정보/고유식별정보, 연계 결과 정보주체의 수가 50만명, 100만명 이상의 정보주체 수 포함 2개월, 1년 추후 100만건 넘을 예정 -> 권고 사립학교 의무적 종이 X 공공기관의 내부망에 저장된 인사정보도 영..

1. 정보보호 일반 기밀성, 무결성, 가용성, 부인방지, 인증, 책임추적성 위험감소, 위험회피, 위험전가, 위험수용 2. 개인정보 관리체계 개념 리비히의 최소량의 법칙 : 빈틈 하나로 큰 의미가 없다 기존의 기밀정보 보호중심의 보호체계의 한계 보완 침해사고 객관적 증빙의 필요성 외부적인 기대효과 : 법률적 대응, 대내외 신뢰 증진 내부적인 기대효과 : 사전 재산 피해 예방, 사전보호대책 수립, 지나친 법률 비용 부과 방지, 기술 및 노하우 축적 3. 국내외 개인정보보호 관리체계 미국 BBBOnline 프라이버시 마크 + 신뢰성 마크 미국경영갱선협회, 온라인, 유효기간 1년, 개인정보방침이 심사대상 일본 JIPDEC 프라이버시 마크, 일본정보처리 개발협회, 오프라인, 유효기간 2년 개인정보보호 체계가 심사..

1. 개인정보의 안전성 확보 조치 기준 생체인식정보 : 양방향 암호화 저장 가능 - 원본정보 : 신체적 또는 행동적 특징을 입력장치를 통해 수집되어 가공되지 않음 - 특징정보 : 특정 알고리즘을 통해 특징만을 추출하여 생성된 정보 망분리 : 전년도 직전 3개월간 이용자수 일일평균 100만명, 정보통신서비스 부문 전년도 매출액 100억원 이상 논리적 망분리는 낮은 보안성, 낮은 비용, 용이한 관리 - CBC : OS 커널 가상화, Application 가상화, 패치 및 호환성 문제 존재 - SBC : VDI, Application 가상화 - IaaS (제공자)물리적, 호스트 os에 대한 보안 패치, 하이퍼바이저 등 가상머신 (이용자)게스트os/미들웨어 및 어플리케이션 보안패치 - PaaS (제공자)IaaS..

1. 악성프로그램 등 방지 일 1회 이상 업데이트 트로이목마 : 복제/전염 x 컴퓨터 바이러스 : 복제/전염 o, 감염대상 필요 웜 : 복제/전염 o, 독자적, 네트워크를 통해 스스로 전파 호스트 프로그램 독립형 : 웜, 좀비 호스트 프로그램 의존형 : 백도어, 논리폭탄, 트로이목마, 바이러스 2. 물리적 안전조치 3. 재해/재난 대비 안전조치 10만명 이상의 정보주체  처리하는 대기업/중견기업/공공기관 또는 100만명이상의 중소기업/단체 -> 위기대응 매뉴얼, 개인정보처리시스템 백업 및 복구 전체 백업 : 백업의 속도가 가장 느림, 데이터 복원 속도는 가장 빠름 차등 백업 : 마지막 전체 데이터 백업 이후 변경한 모든 파일 백업 증분 백업 : 모든 유형의 마지막 백업 이후 각각의 새로운 및 변경된 파일..

1. 안전조치 기준 적용 2. 내부 관리계획의 수립/시행 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인/개인/단체의 경우 생략 가능 중요한 변경이 있는 경우 즉시 반영, 수정 이력 관리 연1회 이상 점검/관리 조직 구성 및 운영, 책임자의 자격요건, 역할 및 책임, 취급자 관리/감독/교육, 접근 권한 관리, 접근 통제, 암호화 조치, 접속기록 보관, 악성프로그램, 취약점 점검, 물리적 안전조치, 개인정보 유출사고 대응, 위험 분석 및 관리, 위탁, 계획 수립/변경/승인 신용정보회사 등이 가명처리를 하는 가명정보를 보호하기 위하여 내부관리계획을 수립해야한다. 개인정보처리방침은 사용 불가 3. 접근 권한의 관리 권한부여, 변경 말소에 대한 내역을 기록하고 최소 3년간 보관 * EAM에 자동적 ..

1. 보호조치 기준 개요 (내부관리계획)총 16개 항목 (권한변경 관리) 권한 변경 내역 보관기간 3년 분기별 1회 이상 비밀번호 변경 일방 대상자에게만 적용되던 것을 전체 개인정보처리자로 확대 규정 수범자의 부담을 고려하여 외부에서 접속 시 안전조치, 인터넷망 차단 등은 적용 대상자와 내용을 기존과 동일하게 유지 개인정보처리자를 전체 정보통신서비스 제공자에게도 적용 : 일정 횟수 인증 실패, 접속기록 점검 대규모 정보통신 : 암호키 관리 절차, 재해/재난 정보통신서비스를 개인정보처리자 : 인터넷망 구간 전송 시 암호화, 출력/복사 개인정보의 안전성 확보조치 기준 - 안전조치의 적용 - 내부 관리계획의 수립/시행 및 점검 - 접근 권한의 관리 - 접근통제 - 개인정보의 암호화 - 접속기록의 보관 및 점검..

1. 개인정보의 제공 제3자에게 개인정보의 지배/관리권이 이전, 제3자 책임 공직선거법에 따라 선거기간 중에 선거운동 문자 메시지를 보낼 수 있다. 저장매체, 네트워크, DB 제3자 접근권한, 개인정보처리시스템 접근권한, 육안2. 개인정보 제3자 제공 제공받는자, 이용목적, 항목, 기간, 거부할 권리/불이익 내용 개인정보 이전 후에는 제공받는 자의 관리범위에 속한다. 정보주체의 동의, 법률에 특별한 규정, 공공기관이 소관업무 수행, 급박, 공공의 안전과 안녕, 개인정보처리자의 정당한 이익 달성 제공받는 자 책임, 부담 사업제휴, 개인정보 판대 정보주체 동의 필요 3. 개인정보 국외이전 정보주체 동의, 조약, 계약의 체결 및 이행, 인증, 동등한 수준 이전되는 항목, 국가/시기/방법, 이전받는 자, 목적/..

1. 개인정보의 파기 5일 이내(최대 5일 단위 주기) 표시/광고 6개월, 계약 5년, 대금결제 5년, 분쟁처리 3년 1만원 이하 1년, 초과 5년 신용정보 업무처리 3년 통신사실확인자료 12개월/6개월, 로그 3개월 환자명부 5년, 진료기록부 10년, 처방전 2년, 수술기록 10년, 검사소견기록 5년, 진단서 3년 국세부과 제척기간 10년, 국세징수권 환급금 5년 상사채권 배당금 지급청구권 5년, 사채상환청구권 10년 손해배상청구권 3년/10년 다른 법령에 따라 보존해야 하는 데 파기한 경우 다른 법령 위반에 해당 영상정보 보유기간 산정이 어려운 경우 30일 이내 보관 정당 사유로 파기가 지체된 경우 사유 종료된 즉시 파기 공공기관은 개인정보를 영구보존할 수 있다. 2. 개인정보 파기방법 디가우저 : ..

1. 개인정보 수집 및 이용 목적, 항목, 기간, 거부권리 및 불이익 내용 회원가입을 하는 것은 정보주체의 동의가 불필요함 정보주체 동의 없이 추가적인 이용이 가능하기 위한 요건 : 당초 수집 목적과 관련성이 있는지, 예측 가능성이 있는지, 정보주체의 이익을 부당하게 침해하는지, 안전성 확보에 필요한 조치를 하였는지 => 구체적인 기준을 스스로 정하여 개인정보 처리방침에 미리 공개해야함 홍보 또는 판매 권유 등을 위하여 정보주체에게 연락할 수 있다는 사실, 항목(민감정보, 주민번호 제외), 기간, 제공받는 자 및 목적 수집, 이용 목적 항목은 제3자 제공목적과 홍보 마케팅 경우 해당 2. 동의를 받는 방법 홍보하거나 판매 권유 개인정보처리자가 입증책임 필수만 수집하는 경우 미동의 항목이 없어도 됨 개인정..

1. 개인정보 분쟁조정 개인 : 당사자 사이, 누구든지 가능 집단 : 50인 이상 * 개인정보 분쟁조정 위원회 위원장 1명 포함 30명 이내(당연직위원/위촉위원) 조정부(분야별 위원장 지정 5명 이내, 1명은 변호사 자격) 조정 전 합의 권고 가능 비용 X 제척 : 배제되는 것 기피 : 배제시켜달라고 요구하는 것 회피 : 스스로 빠지는 것 * 개인정보 절차 접수/통보 -> 사실확인/의견청취 -> 합의권고 -> 조정절차 개시 -> 조정성립 -> 효력 발생 조정성립 : 15일 이내  * 집단 절차 신청 -> 절차의 개시 및 공고(14일 이상) -> 참가신청 -> 조정결정(60일 이내, 15일 이내) -> 조정의 효력 -> 보상 권고(15일 이내) 2. 개인정보 단체소송 소비자 단체 : 정회원수가 1천명 이상..