codetwig 님의 블로그

1. 개인정보 영향평가 공공기관 + 민감정보 or 5만명 이상 or 연계 = PIA 의무민간기업은 의무 아님, 하지만 자율적 수행 권고됨단순 필드 추가나 UI 개선 수준은 제외 가능개인정보 수, 제 3자 제공, 정보주체 권리 해할 가능성 및 그 위험 정도 개인정보파일을 등록할 때 영향평가 결과를 함께 첨부해야함 영향평가 시 고려사항 : 민감정보/고유식별정보 처리 여부, 개인정보 보유기간, 개인정보의 수, 제3자 제공여부, 정보주체의 권리를 해할 가능성 및 그 위험 정도 평가대상 : 5만명 이상 민감정보/고유식별정보, 연계 결과 정보주체의 수가 50만명, 100만명 이상의 정보주체 수 포함 2개월, 1년 추후 100만건 넘을 예정 -> 권고 사립학교 의무적 종이 X 공공기관의 내부망에 저장된 인사정보도 영..

1. 정보보호 일반 기밀성, 무결성, 가용성, 부인방지, 인증, 책임추적성 위험감소, 위험회피, 위험전가, 위험수용 2. 개인정보 관리체계 개념 리비히의 최소량의 법칙 : 빈틈 하나로 큰 의미가 없다 기존의 기밀정보 보호중심의 보호체계의 한계 보완 침해사고 객관적 증빙의 필요성 외부적인 기대효과 : 법률적 대응, 대내외 신뢰 증진 내부적인 기대효과 : 사전 재산 피해 예방, 사전보호대책 수립, 지나친 법률 비용 부과 방지, 기술 및 노하우 축적 3. 국내외 개인정보보호 관리체계 미국 BBBOnline 프라이버시 마크 + 신뢰성 마크 미국경영갱선협회, 온라인, 유효기간 1년, 개인정보방침이 심사대상 일본 JIPDEC 프라이버시 마크, 일본정보처리 개발협회, 오프라인, 유효기간 2년 개인정보보호 체계가 심사..

1. 개인정보의 안전성 확보 조치 기준 생체인식정보 : 양방향 암호화 저장 가능 - 원본정보 : 신체적 또는 행동적 특징을 입력장치를 통해 수집되어 가공되지 않음 - 특징정보 : 특정 알고리즘을 통해 특징만을 추출하여 생성된 정보 망분리 : 전년도 직전 3개월간 이용자수 일일평균 100만명, 정보통신서비스 부문 전년도 매출액 100억원 이상 논리적 망분리는 낮은 보안성, 낮은 비용, 용이한 관리 - CBC : OS 커널 가상화, Application 가상화, 패치 및 호환성 문제 존재 - SBC : VDI, Application 가상화 - IaaS (제공자)물리적, 호스트 os에 대한 보안 패치, 하이퍼바이저 등 가상머신 (이용자)게스트os/미들웨어 및 어플리케이션 보안패치 - PaaS (제공자)IaaS..

1. 악성프로그램 등 방지 일 1회 이상 업데이트 트로이목마 : 복제/전염 x 컴퓨터 바이러스 : 복제/전염 o, 감염대상 필요 웜 : 복제/전염 o, 독자적, 네트워크를 통해 스스로 전파 호스트 프로그램 독립형 : 웜, 좀비 호스트 프로그램 의존형 : 백도어, 논리폭탄, 트로이목마, 바이러스 2. 물리적 안전조치 3. 재해/재난 대비 안전조치 10만명 이상의 정보주체  처리하는 대기업/중견기업/공공기관 또는 100만명이상의 중소기업/단체 -> 위기대응 매뉴얼, 개인정보처리시스템 백업 및 복구 전체 백업 : 백업의 속도가 가장 느림, 데이터 복원 속도는 가장 빠름 차등 백업 : 마지막 전체 데이터 백업 이후 변경한 모든 파일 백업 증분 백업 : 모든 유형의 마지막 백업 이후 각각의 새로운 및 변경된 파일..

1. 안전조치 기준 적용 2. 내부 관리계획의 수립/시행 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인/개인/단체의 경우 생략 가능 중요한 변경이 있는 경우 즉시 반영, 수정 이력 관리 연1회 이상 점검/관리 조직 구성 및 운영, 책임자의 자격요건, 역할 및 책임, 취급자 관리/감독/교육, 접근 권한 관리, 접근 통제, 암호화 조치, 접속기록 보관, 악성프로그램, 취약점 점검, 물리적 안전조치, 개인정보 유출사고 대응, 위험 분석 및 관리, 위탁, 계획 수립/변경/승인 신용정보회사 등이 가명처리를 하는 가명정보를 보호하기 위하여 내부관리계획을 수립해야한다. 개인정보처리방침은 사용 불가 3. 접근 권한의 관리 권한부여, 변경 말소에 대한 내역을 기록하고 최소 3년간 보관 * EAM에 자동적 ..

1. 개인정보의 제공 제3자에게 개인정보의 지배/관리권이 이전, 제3자 책임 공직선거법에 따라 선거기간 중에 선거운동 문자 메시지를 보낼 수 있다. 저장매체, 네트워크, DB 제3자 접근권한, 개인정보처리시스템 접근권한, 육안2. 개인정보 제3자 제공 제공받는자, 이용목적, 항목, 기간, 거부할 권리/불이익 내용 개인정보 이전 후에는 제공받는 자의 관리범위에 속한다. 정보주체의 동의, 법률에 특별한 규정, 공공기관이 소관업무 수행, 급박, 공공의 안전과 안녕, 개인정보처리자의 정당한 이익 달성 제공받는 자 책임, 부담 사업제휴, 개인정보 판대 정보주체 동의 필요 3. 개인정보 국외이전 정보주체 동의, 조약, 계약의 체결 및 이행, 인증, 동등한 수준 이전되는 항목, 국가/시기/방법, 이전받는 자, 목적/..

1. 개인정보의 파기 5일 이내(최대 5일 단위 주기) 표시/광고 6개월, 계약 5년, 대금결제 5년, 분쟁처리 3년 1만원 이하 1년, 초과 5년 신용정보 업무처리 3년 통신사실확인자료 12개월/6개월, 로그 3개월 환자명부 5년, 진료기록부 10년, 처방전 2년, 수술기록 10년, 검사소견기록 5년, 진단서 3년 국세부과 제척기간 10년, 국세징수권 환급금 5년 상사채권 배당금 지급청구권 5년, 사채상환청구권 10년 손해배상청구권 3년/10년 다른 법령에 따라 보존해야 하는 데 파기한 경우 다른 법령 위반에 해당 영상정보 보유기간 산정이 어려운 경우 30일 이내 보관 정당 사유로 파기가 지체된 경우 사유 종료된 즉시 파기 공공기관은 개인정보를 영구보존할 수 있다. 2. 개인정보 파기방법 디가우저 : ..

1. 개인정보 수집 및 이용 목적, 항목, 기간, 거부권리 및 불이익 내용 회원가입을 하는 것은 정보주체의 동의가 불필요함 정보주체 동의 없이 추가적인 이용이 가능하기 위한 요건 : 당초 수집 목적과 관련성이 있는지, 예측 가능성이 있는지, 정보주체의 이익을 부당하게 침해하는지, 안전성 확보에 필요한 조치를 하였는지 => 구체적인 기준을 스스로 정하여 개인정보 처리방침에 미리 공개해야함 홍보 또는 판매 권유 등을 위하여 정보주체에게 연락할 수 있다는 사실, 항목(민감정보, 주민번호 제외), 기간, 제공받는 자 및 목적 수집, 이용 목적 항목은 제3자 제공목적과 홍보 마케팅 경우 해당 2. 동의를 받는 방법 홍보하거나 판매 권유 개인정보처리자가 입증책임 필수만 수집하는 경우 미동의 항목이 없어도 됨 개인정..

1. 개인정보 분쟁조정 개인 : 당사자 사이, 누구든지 가능 집단 : 50인 이상 * 개인정보 분쟁조정 위원회 위원장 1명 포함 30명 이내(당연직위원/위촉위원) 조정부(분야별 위원장 지정 5명 이내, 1명은 변호사 자격) 조정 전 합의 권고 가능 비용 X 제척 : 배제되는 것 기피 : 배제시켜달라고 요구하는 것 회피 : 스스로 빠지는 것 * 개인정보 절차 접수/통보 -> 사실확인/의견청취 -> 합의권고 -> 조정절차 개시 -> 조정성립 -> 효력 발생 조정성립 : 15일 이내  * 집단 절차 신청 -> 절차의 개시 및 공고(14일 이상) -> 참가신청 -> 조정결정(60일 이내, 15일 이내) -> 조정의 효력 -> 보상 권고(15일 이내) 2. 개인정보 단체소송 소비자 단체 : 정회원수가 1천명 이상..

1. 정보주체의 권리 처리정보, 동의 선택하고 결정, 처리유무확인/열람 및 전송 요구, 삭제 요구, 공정한 절차, 자동화 처리 결정 국외이전 : 정보주체 동의 필요 이용내역, 영업 양도 양수 : 통지 필요 위탁 : 방침 공개 필요 2. 개인정보의 열람 대통령 기한 : 10일 항목, 목적, 기간, 제3자, 동의 가명정보X 사본의 교부 포함 수수료와 우송료 청구 가능 3. 개인정보의 전송 요구 다운로드권 : 본인에게 전송 이동요구권 : 다른 곳에 전송 4. 개인정보의 정정/삭제 다른 법령에서 수집 대상인 경우 삭제 요구 X 가~라 통신사실확인자료 : 12개월, 시외/시내 전화 역무 : 6개월 마,사 : 3개월 표시/광고 : 6개월, 계약/청약철회 : 5년, 대금결제 : 5년, 불만/분쟁처리 : 3년 가명정보..