주요 위반・개선 사례 중심

(1)

ђ੍ઁࠃ

ࠃഒઓ஘ঋմࢴ

주요 위반・개선 사례 중심

(2)

(3)

⁧# # ㇦

1. Њὦ ᓢᨆ↿ · ὢẗ ··· 1

2. Њὦ ᓢ⫺؞ ··· 3

3. ӎἎ᫋ᒲ ᓢ⒆ᆚ ··· 5

4. Њὦ ᓢ⒆ᆚᶳጢỲ⢯ ··· 7

5. Њὦ ᓢᴶῲ⁞♆ ··· 9

5.1. Њὦ ᓢ◖׷὾῿תպⵊӮᆚ ··· 9

5.2. ᘲὦϮ὾῿ת⦣ ··· 11

5.3. ӎἎ᫋ᒲ ᓢᵂ⸦⹂ ··· 13

5.4. ᘲᏮᑶ⸦ᵂ⸦⹂ ··· 15

5.5. ῿᥻؞᥻ᓢӮ · Ӯᆚ ··· 17

(4)

· 본 안내서는 개인정보보호법에 따라 개인정보처리자가 준수해야할 사항 중 주요 위반사례 및 조치방법을 안내함

· 누구나 개인정보보호 교육 및 안내 등의 목적으로 이 안내서를 활용(인용·편집 포함) 할 수 있으며, 이 경우 다음과 같이 출처 및 저작권 표시를 하여야 함.

※ 출처 : 개인정보보호위원회, 개인정보 보호조치 안내서(2020.12.)

(5)

 ࡟؃ ۉԴ

ȿ شѣࡿ ܶओ ̏ʝɹ ߴࡵ߻ѣ ࢺؼ࣬঎ࡿ ѭࡿծ ؄ऌ ߆˅ ʋࢆࢺؼծ

ܶओଛ ۉԴ

ȥ ʎࢉࢽؿձ ܹखࡶ ࡢଞ طѦࢂ ئࢶ ̒ʠɼ ߷Е ˁࡉ ܹखŘࢇࡈ߾ оଞ ࢽؿ࣯঑ࢂ Ѱࢂձ ؇ࡵ ҋ ܹखଥߞ ଡ

ȿ ʋࢆࢺؼ ܶओ ݡ ࢺؼ࣬঎Ըْਜ਼ ܶओ ѭࡿծ ؄ߎࡰΜ ଔܶ ˅ऌۉଡ ࣵ Ğʋࢆࢺؼ ؼࡧ ׽ ࢄࡅ ̘ɻğࡳ ϹԀଛ ۉԴ

ȥ ʎࢉࢽؿ ܹखŘࢇࡈࡶ ࡢଞ Ѱࢂձ ؇ࡶ ҶЕ ě£ ʎࢉࢽؿ ܹखŘࢇࡈ ּࢶ

¤ܹखଜԮЕʎࢉࢽؿࢂତּ¥ʎࢉࢽؿࢂؿࡪ؀ࢇࡈ̛ɾ¦Ѱࢂձ ʠٕଟ ̀չɼ ࢑ЬЕ یݨ ؀ Ѱࢂ ʠٕ߾ Ҭհ ٙࢇ࢈ࢇ ࢑Е ˁࡉ߾Е

̐ ٙࢇ࢈ࢂ ΰࡈĜࡶ ؆Җݤ ˈएଥߞ ଡ

ઑ஖ ࢎ೦ ߂ ߑߨ

▶ ᓢ⃪⒢὆ே὆⹻ೋ

Њὦ ᓢ⒆ᆚ὾ં ᓢ⃪⒢὆ ே὆ᅪ ᐉἮ ҫẞ ೟ᶾ Њὦ ᓢᅪ

ᨆ↿ⵎᨆὶἪ቞, ‘ே὆’ંЊὦ ᓢ⒆ᆚ὾ϮЊὦ ᓢᅪᨆ↿․ὢẗ ⵆંѱᶾ૮ⵊ ᓢ⃪⒢὆὾ᐊ`ὦᪧࢇ὆὆ᢚⱊ᫊၊ᤊே὆ᷚᕮᅪ

ታ⹃ⵆѺ ⹃ὦⵎᨆὶᶢᵪⵗશ૒.

Ϯέᫎ⒛ᤊ೟὆ᤊᤊቢᶾ↯῿὾ᫎ὆᤟ታἲ؞ᾚⵆӎὦᾓἲ⏻ં

ᐗᒃ෾ં὾ⴲᤊታⵆўࢆ

,

ὦ⤞थủủᢚὢ⪦⹂ቢᶾᤊ

‘

ே὆

’

ᑲ⪪ἲ

⡢ᆛⵆં೟Ἢ၊ே὆὆὆ᢚⱊ᫊ᅪⵎᨆὶ᪣શ૒. Њὦ ᓢ⒆ᆚ὾ં

ῲ⹂᢯Ἢ၊Њὦ ᓢᨆ↿ᶾ૮ⵊே὆ᅪᐉἲᨆὶἪ቞, ⶓ⺲έ↋

␳ὲ ጦ Ϯ ᐊᣋⵎ ᨆ ὶἪᎮ၊ ᓢ⃪⒢὆ ே὆ⵆᶾ ⦣⹂ࢢẗἲ

१◖ⵎᨆὶ᪣શ૒.

< 사례 >

ㅙᷯ⹂Ӯቒᑲᩫ♢ೊᐊ׷᫊〽Њὦ ᓢ⹊ẗே὆ᤊ〾ᶾ؞ታࢎὦⵆંҫẞ

(6)

ߨ੸ ӔѢ

『개인정보 보호법』제15조(개인정보의 수집․이용)

개인정보처리자는 다음 하나에 해당하는 경우에는 개인정보를 수집할 수 있음 1. 정보주체의 동의를 받은 경우

2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 (중략)

개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 함

1. 개인정보의 수집·이용 목적 2. 개인정보의 보유 및 이용 기간 3. 수집하려는 개인정보의 항목

4. 동의 거부권 및 거부에 따른 불이익 내용

୊ߥ ӏ੿ ߥ஗

위반 법 조항 위반 내용 처벌 내용

법 제15조제1항 수집‧이용기준을 위반하여 개인정보를

수집한 경우 5천만원 이하 과태료

법 제15조제2항 정보주체에 대한 고지의무를 위반한 경우 3천만원 이하 과태료

▶ ⴲᨆӎ↮ᢚⵛᴶࢢ

Њὦ ᓢ⒆ᆚ὾ં

①Њὦ ᓢ὆ ᨆ↿·ὢẗኗ`, ②ᨆ↿ⵆӎ὾

ⵆં Њὦ ᓢ὆ⵛኗ, ③Њὦ ᓢ὆ᓢἎᏽὢẗ؞ϲ, ④ே὆ᅪ

ўᕮⵎպᆚϮὶ૒ંᢚ᫒ᏽே὆ўᕮᶾഞᅦᕶὢὣὢὶં

ҫẞצᕶὢὣ὆ࢢẗἲᴺᆚӎே὆ᅪᐉᴲᵪⵗશ૒.

(7)

51# ᇚⴶⷓ⊲# 㣊Ꮾ

 ࡟؃ ۉԴ

ȿ ʋࢆࢺؼծϔѭ߄ࢄࡅଜʥࡳࢺؼ࣬঎Ըْਜ਼ѭࡿ؄ߎࡰΜܶओࢇԸْਜ਼

ϔ ʋࡓࢄऌΜѣԹ ʋࢆࢺؼծ ર̘ଙऌ߆ࡲ ۉԴ

ȥ ʎࢉࢽؿؿࡪ̛ɾࢇˁ˕ବࡶҶЕए঑߷ࢇ̐ʎࢉࢽؿձળ̛ଥߞଡ ȿ રܢଙऌ ߆ࡲ ॶԸ ؜ԫऎ ʋࢆࢺؼ הۭծ Щխ ऍࡒࢄ ࢄֱऌԸ ۉࡅଛ

ۉԴ

ȥ ʎࢉࢽؿձ ળ̛ଟ ݤ߾Е יչࢶࡳԻ ٗܥଜʠΟ ܕɽଜЕ ؏ݥࡳԻ

ЬݤЕ ࢢۢݤ੄ ܹ ߷ѦԼ ળ̛ଥߞ ଡ

ઑ஖ ࢎ೦ ߂ ߑߨ

▶ ᕶⴲẂⵊЊὦ ᓢં↮⒢ᶴὢ⫺؞

Њὦ ᓢ὆⒆ᆚኗ`ὢ૚᤟ఆᶶўࢆ

,

ⵢ૧ᤊᘲ᪒὆⮾↮

,

ᢚᶳὢ⁳Ⴚఊ ҫẞ ૧ⵊᢚἎϮᶴંⵊ5ὪὢࢢᶾЊὦ ᓢᅪ⫺؞ⵆᷚᵪ ⵗશ૒.

< 개인정보가 불필요하게 된 때 >

ㅙЊὦ ᓢ⒆ᆚ὾Ϯ૧⓶ӎ↮ⵆӎே὆ᅪᐉᵆ୆ᓢἎ؞ϲ὆ҫӪ

ㅙ⹺Ế⢶⧢ ታ ҲᵫӮҲ⁳Ⴚ ே὆⒎⹺೟ᶾഞᅦЊὦ ᓢ⒆ᆚ὆ᒃ`תў᥺ታ ㅙ૮׶Ḳ Ὢὢࢆ␲պ᥺ቦ᫊⺖؞ϲ὆ᆺႺ

▶ ⫺؞ᐗᒃ

Њὦ ᓢᅪ⫺؞ⵎഺᶾં૒᫊ᓣẾⵆўࢆᾚᣋⵎᨆᶴં⸃⣊၊

ḲᒫⵆѺ⫺؞ⵆᷚᵪⵗશ૒. ⵆೊം᪒⡚, CD/DVD, USB ቂኖᆚ೟὆

ᇒ⒢ᶾῲῲ὾؞`Ἢ၊؞။ఊЊὦ ᓢં૒᫊ᾚᣋ᫊⢚ᨆᶴં؞ᨎ`

ᐗᒃἪ၊ᢛ ⵆўࢆጪጪᆚ`ὦᐗᒃἪ၊ᇒ⒢ᅪ⫺Ԣⵆᷚᓣ՚ⵎᨆ

ᶴல။ⵆᷚᵪⵆ቞, ⁳ὢḮЇὢ▊ဓጪ὆⸃⣊၊ఆᶢὶંҫẞᶾં

ጪᆚ`Ἢ၊ ᕲᦲⵆўࢆ ᥺ϯⵆં ᐗᒃἪ၊ ⵢ૧ Њὦ ᓢᅪ Ḳῲ⽶

⫺؞ⵆᷚᵪⵗશ૒.

(8)

▶ ᒃဧ᢯὆ጢᓢӮЊὦ ᓢ὆ᓢ⁢ᐗᒃ

ᒃဧᶾഞཪЊὦ ᓢᅪ⫺؞ⵆ↮ᴸӎᓢ⁢ⵆંҫẞᶾંⵢ૧Њὦ ᓢ෾ંЊὦ ᓢ⫺Ὢἲ૒૒ᅦЊὦ ᓢḮDB ⸧Ἦ⤺ὢᘂ೟ἲᕲᆚ ⵆᷚ΅ᾓ․Ӯᆚⵆᷚᵪⵗશ૒. Ꮶ⫺؞ ᓢϮ؞⁢Њὦ ᓢḮ⸪ᾚ ఆᶢὶἪቢЊὦ ᓢ὆ኗ`ṦὢẗὢࢆἎ▊, Ḓ․࢖ẗ὆Ỳⷆ᤟ὢ

⛒↮Ꭾ၊ὢᅪᐗ↮ⵆ؞Ỳⵊ׊ έશ૒. Ꮶ⫺؞ ᓢંḒ၊↮૒ᅦ ᒃဧᶾᤊᓢ⁢ⵆல။ⵊኗ`ᒂỲࢢᶾᤊᆺ⒆ᆚⵢᵪⵗશ૒.

< 보존의무를 규정하고 있는 입법례 >

ㅙㅯῲ὾᢯ў྆೟ᶾᤊ὆᥺ᘲ὾ᓢ⸦ᶾӮⵊᒃᅎㅰ ⁞ᏽே᫊⵷ဧ ⁞

ゥҲᵫ෾ં⒛ᵫ⒎⹺೟ᶾӮⵊ؞။ल

ウ૮׶Ҟ ᏽᾚ⹂೟὆ӣ׷ᶾӮⵊ؞။ल

ェ᥺ᘲ὾὆ᕶᆺ෾ંᕲᾯ⒆ᆚᶾӮⵊ؞။ल

ߨ੸ ӔѢ

『개인정보 보호법』제21조(개인정보의 파기) (요약)

개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기해야 함.

단, 다른 법령에 따라 보존하여야 하는 경우에는 그렇지 않음

개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치

개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장·관리하여야 함

୊ߥ ӏ੿ ߥ஗ 3⒊ᆺẾὢⵆӪ⣊Ⴚ ( 1ⵛ ), 1

⒊ᆺẾὢⵆӪ⣊Ⴚ

( 3

ⵛ

)

법 제21조제1항 개인정보가 불필요하게 되었을 때 파기

하지 않은 경우 3천만원 이하 과태료

법 제21조제3항 개인정보를 분리하여 저장‧관리하지

않은 경우 1천만원 이하 과태료

(9)

61# ኞⳞ⢛⊂ⷓ⊲ⴖ# ㉖Ὢ

 ࡟؃ ۉԴ

ȿ ˅ࡧݢشࢺؼ ܶओśࢄࡅ߻ лଛ ѭࡿծ Щխ ʋࢆࢺؼ߻ лଛ ѭࡿࠧ ˮٔ

ଙऌ ߆˅ ଛ ؞߻ ؄ࡲ ۉԴ

ȥ ˈࡪݥطࢽؿ ܹखŘࢇࡈ߾ оଞ ѰࢂЕ Ьհ ʎࢉࢽؿࠪ ˱ٗଜࠆ طѦԻ

ˈएଜˈ Ѱࢂ ؇߅ߞ ଡ

ȿ Щխ أԳࡿ ̏ʝ ߴࢄ ࢺؼ࣬঎Ըْਜ਼ ѭࡿծ ؄߂ ࣬״ҜԹ؞ୋծ ܶओś

ࢄࡅଛ ۉԴ

ȥ Ьհ ˈࡪݥطࢽؿࠪ бչ ࣯׷ҟԼء୎Е ࢽؿ࣯঑ࢂ Ѱࢂɼ ࢑Ь ଥѦ

ئԶࢇ˱঑ࢶࡳԻঈչձࡁ˱ଜʠΟରࡈଞˁࡉɼ߅Тִঈչଟܹ߷ࡸ

˅ࡧݢشࢺؼԁ!

ᐭࣜ渂愂姷嵣憎笾ࣦࣜࣜᐮࣜ櫲劒憎笾ࣜࣜᐯࣜ殺洊彺竎憎笾ࣜࣜᐰࣜ歾剳汾姷嵣憎笾

ઑ஖ ࢎ೦ ߂ ߑߨ

1. ӎἎ᫋ᒲ ᓢ὆⒆ᆚ ⵊ

ӎἎ᫋ᒲ ᓢંẾ♇`Ἢ၊⒆ᆚⵎᨆᶴἪࢆ, ӎἎ᫋ᒲ ᓢ

(⃪Ꮺ೟။

ᑶ⸦ Ṧ)὆ᨆ↿ᏽὢẗᶾӮⵊᢚⵛἲᒲல၊ӎ↮ⵆӎே὆ᅪᐉἮ

ҫẞḮ, ᒃဧᶾᤊӎἎ᫋ᒲ ᓢ὆⒆ᆚᅪẂ՚ⵆўࢆⶶẗⵊҫẞᶾᆺ⒆ ᆚⵎᨆὶ᪣શ૒.

<동의를 별도로 받은 예시>

□ 개인정보 수집‧이용 내역 (필수사항)

수집‧이용 항목 수집․이용 목적 보유기간

경력, 자격사항 채용절차 진행, 경력․자격 확인 채용 종료 후 즉시 삭제 ※ 위의 개인정보 수집‧이용에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할

경우 원활한 채용심사를 할 수 없어 채용에 제한을 받을 수 있습니다.

☞ 위와 같이 개인정보를 수집·이용하는데 동의하십니까? □ 예 □ 아니오)

□ 고유식별정보 수집‧이용 내역

항 목 수집목적 보유기간

운전면허번호 운전직 채용 관리 채용 종료 후 즉시 삭제 ※ 위의 고유식별정보 처리에 대한 동의를 거부할 권리가 있습니다. 그러나 동의를 거부할

경우 원활한 채용심사를 할 수 없어 채용에 제한을 받을 수 있습니다.

☞ 위와 같이 고유식별정보를 처리하는데 동의하십니까? □ 예 □ 아니오)

෾ⵊ

,

ӎἎ᫋ᒲ ᓢᅪ⒆ᆚⵆંҫẞᶾંצӎἎ᫋ᒲ ᓢϮᕲ᫒

ㆍ

லࢊㆍἎ▊ㆍỲ⁞ㆍᒮ⁞ ෾ં ⻪᥾ఆ↮ ᴲશⵆல။ ᴶᴶῲ᤟ ⹃ᓢᶾ

ⴲẂⵊ ⁞♆ᅪⵆᷚᵪⵗશ૒.

(10)

2. ⃪Ꮺ೟။ᑶ⸦὆⒆ᆚ ⵊ

⃪Ꮺ೟။ᑶ⸦ં ᓢ⃪⒢὆ே὆ᅪᐉᵆ૒ⵆୂཪலẾẾ♇`Ἢ၊⒆ᆚϮ

׶↮ఆ቞, ᒃᅎ·૮⦣ဧဧ·՛⹺׊♇·૮ᒃẾ׊♇·ⶺᒃᾚ⫾᥺׊♇·⃿ᵇᤎў ӮᆚỲẾ⹺׊♇ᏽϾᢚẾ׊♇ᶾᤊ՚⒢`Ἢ၊⃪Ꮺ೟။ᑶ⸦὆⒆ᆚᅪ

Ẃ՚ⵆўࢆⶶẗⵊҫẞᶾᆺ⒆ᆚⵎᨆὶ᪣શ૒.

< 주민등록번호 처리를 요구·허용하는 법령 예시 >

ㅙӎ೟ԾἏᒃ᫊⵷ဧ ⁞ ӎἎ᫋ᒲ ᓢ὆⒆ᆚ

ㅙת၊὾↯ᶳઓဓЊᐊᒃ᫊⵷ဧ ⁞὆ ᏪϾ ᓢᏽӎἎ᫋ᒲ ᓢ὆⒆ᆚ ㅙ὆Ⴚᒃ᫊⵷ဧ ⁞὆ ᏪϾ ᓢᏽӎἎ᫋ᒲ ᓢ὆⒆ᆚ

ߨ੸ ӔѢ

『개인정보 보호법』제24조(고유식별정보의 처리 제한) (요약)

개인정보처리자는 다음 각 호의 경우를 제외하고는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보(이하 "고유식별정보" 라 한다)를 처리할 수 없다.

1. 정보주체에게 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우

2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

개인정보처리자가 제1항 각 호에 따라 고유식별정보를 처리하는 경우에는 그 고유식별정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 대통령령으로 정하는 바에 따라 암호화 등 안전성 확보에 필요한 조치를 하여야 한다.

『개인정보 보호법』제24조의2(주민등록번호 처리의 제한) (요약)

제24조제1항에도 불구하고 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.(중략)

개인정보처리자는 제24조제3항에도 불구하고 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다.(중략)

୊ߥ ӏ੿ ߥ஗

법 제24조제1항 동의를 받지 않거나 법령근거 없이 고유식별정보를 처리한 경우

5년 이하의 징역 또는 5천만원 이하의 벌금 법 제24조의2제1항 법령근거 없이 주민등록번호를 처리한

경우 3천만원 이하의 과태료

법 제24조제3항, 법 제24조의2제2항

고유식별번호에 대해 안전성 확보에 필요한

조치를 하지 않은 경우 3천만원 이하의 과태료 주민등록번호가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조

또는 훼손된 경우(안전성 확보에 필요한 조치를 다 한 경우는 제외)

5억원 이하의 과징금

(11)

71# ᇚⴶⷓ⊲# ㉖Ὢ# ⮃⃲# Ⳃ㙿

 ࡟؃ ۉԴ

ȿ ʋࢆࢺؼ অնɹ ૣଞѶ ߳בծ ࡟ੇଙֱۭ أզ߻ ҩӿ ࡟ੇ הۭծ ࢓ۺ ଙࠎࡰΜ הۭ ە Ğ࡟ੇ߳בࡿ ֹࢳ ׽ آ࡟ğ ଡֹࡳ ϹԀଛ ۉԴ

ȥ ʎࢉࢽؿঈչ߶הࡢ੊ݤɼएଗܹତּࢇ૦ଡѹח۰߾ࢂଜࠆߞଡ ȿ ʋࢆࢺؼծ ࡟ੇଙВ ۉݥࡳ ୐ૐࢄऌ߻ ːʋଙऌ ߆߂ ࢳ؅Ѷ ۉԴ ȿ ୐ૐࢄऌ߻ Ğܶੇ࢒ğրࡳ ːʋଙ˅ Ğ࡟ੇ߳בࡿ έࡅğࡳ ϹԀଛ ۉԴ

ȥ ʎࢉࢽؿ ঈչ߶ה ࡢ੊ ݤ ě ࡢ੊߶ה ΰࡈ ܹ੊࢕Ĝձ ୓૓ࢇए߾

˓ʎଥߞ ଡ

ઑ஖ ࢎ೦ ߂ ߑߨ

1. Ỳ⢯ኗ`೟὆ጦᤊ⹂

Њὦ ᓢ⒆ᆚ὾Ϯ 3὾ᶾѺЊὦ ᓢ὆⒆ᆚᶳጢᅪỲ⢯ⵆંҫẞ ᶾં૒૒Ἲϯ⸦὆ࢢẗὢ⯚ⵖఊጦᤊᶾ὆ⵆᷚᵪ ⵗશ૒.

위‧수탁 문서에 필수적으로 포함되어야 하는 내용 근거

① 위탁업무의 목적 및 범위 시행령§28①제1호

② 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 법§26①제1호

③위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 시행령§28①제4호

④ 개인정보의 기술적·관리적 보호조치에 관한 사항

※ 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

법§26①제2호 시행령§28①제3호

⑤ 재위탁 제한에 관한 사항 시행령§28①제2호

⑥ 수탁사가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항 시행령§28①제5호

☞

위․수탁에 대한 자세한 사항은 개인정보보호 종합포털(privacy.go.kr)의 ‘자료마당’

→ ‘지침자료’에 “개인정보 처리 위․수탁 안내서”를 참고

2. Ỳ⢯ᶳጢࢢẗ೟὆ӣЊ

Њὦ ᓢ⒆ᆚ὾(Ỳ⢯὾)ં

①

Ỳ⢯ⵆં ᶳጢ὆ ࢢẗӪ

②

Њὦ ᓢ

⒆ᆚ ᶳጢᅪ Ỳ⢯ᐉᴲ ⒆ᆚⵆં ὾

(ᨆ⢯὾ )ᅪ Ảᷯ ⃿ὦ ὦ⤞थ

⸶⮆ὢ↮ᶾ↮᥻`Ἢ၊ѺᾚⵆંᐗᒃἪ၊ӣЊⵆᷚᵪⵗશ૒

.

※ 홈페이지에 게재할 수 없는 경우 사업장에 공개하는 등 시행령 제31조제3항 각호의 방법으로 공개 가능

(12)

3. ᨆ⢯὾ᶾ૮ⵊԾἏᏽϾள

Ỳ⢯὾ં ᨆ⢯὾ᶾ ૮ⵆᷚ ЊЊὦ ᓢᓢ⸦ ԾἏἲ ᫒᫊ⵆӎ Ỳ‧ᨆ⢯

ጦᤊᶾ⯚ⵖఊࢢẗᏽᒃ 29⁞὆ᴶᴶῲ⁞♆὆ጢᅪ⃮ᨆⵆં↮ᷚᕮ ೟ Њὦ ᓢ ⒆ᆚ ⷲ⹗ἲ Ͼளⵢᵪ ⵗશ૒. ὢഺ, Ỳ⢯὾ં ᫒↶`ὦ

Ͼளἲ ỲⵆᷚϾளҲ⹻ἲᏦᆚᨆᆫⵆӎ, ᨆ⢯὾Ḯⷿ὆ⵆᷚ὾὾Ⴚ ▊Ẃ՚

,

ⷲᾓᐗጦ

,

῾Ѯல՚ᐞ⯚೟ ૒ᵿⵊᨆ૖ἲ⹊ẗⵎᨆ

ὶ᪣શ૒.

ߨ੸ ӔѢ

『개인정보 보호법』제26조(업무위탁에 따른 개인정보의 처리 제한) (요약)

개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적·관리적 보호조치에 관한 사항

3. 그 밖에 개인정보의 안전한 관리를 위하여 대통령령으로 정한 사항

제1항에 따라 개인정보의 처리 업무를 위탁하는 개인정보처리자(이하 "위탁자"라 한다)는 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하

"수탁자"라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개하여야 한다.

୊ߥ ӏ੿ ߥ஗

법 제26조제1항 업무 위탁 시 같은 항 각 호의 내용이 포함된

문서에 의하지 않은 경우 1천만원 이하 과태료 법 제26조제2항 위탁하는 업무의 내용과 수탁자를 공개하지

않은 경우 1천만원 이하 과태료

(13)

81# ᇚⴶⷓ⊲# ⬆ⷂ⸮㐖ⴖ⃲# =# +4,# ᇚⴶⷓ⊲㎦Ꮗⵎ# ⷏Ꮊፊ㬚# ኾὪ

 ࡟؃ ۉԴ

ȿ ʋࢆࢺؼঽ̔࢒߻ʬ ʋࢆࢺؼঅնݡݘ੩߻ лଛ ࢸ̏˽ଛࡳ ْࠃଙֱۭ

гз ߳בشԸ ˽ଛࡳ ५Ҝْࠃଙऌ ߆˅ ָҕ ʋࢆࢺؼঽ̔࢒߻ʬ ࢴ঎

˽ଛࡳ ْࠃଛ ۉԴ

ȥ ʎࢉࢽؿী̗࢕߾ʯ ʎࢉࢽؿঈչݤݛ੬߾ ࢻܖଜЕ ˃ࢽࡵ ߶הطԻ

८ҟٕࠆ ଥߞ ଡ

ȿ ʋࢆࢺؼঽ̔࢒ࡿࢸ̏˽ଛْࠃسʾփܒ߻лଛέࠄࡳϔɻؼ˔ଙऌ߆ࡲۉԴ

ȥ ʎࢉࢽؿী̗࢕߾ оଞ ࢻ̒̀ଞ ٕࠆ ضˁ ֆܕ߾ оଞ ΰࠇࡵ ফܕ

ϗɾ ؿ˗ଥߞ ଡ

ઑ஖ ࢎ೦ ߂ ߑߨ

1. ◖׷὾ᒲҲ ᐊ׷ᏽ╊᥺ⵊ὆պⵊ␖೟ᕮᷚ

Њὦ ᓢ⒆ᆚ᫊᪒⥊ᒲᢚẗ὾Ҳ ἮЊὦ ᓢ◖׷὾ᒲ၊ⵊЊᴗ ᐊ׷ⵗશ૒. ῿תպⵊἮᶳጢᒲ၊῿תϮઓⵊቂ੢ᏽ᢯ᤦպⵊ(έဓ/

᳞؞/ᢛ /ᒮҫ/▊ဓ/૒Ả၊ೊ)ἲᤦᕲ⹂ⵆᷚ╊╊᥺ⵊἪ၊␖೟ᕮᷚⵗશ૒.

2. ῿תպⵊᕮᷚ , ᒮҫ , ᆾ᥺ࢢᷛ 3 लὢ᢯ᓢӮ

Њὦ ᓢ⒆ᆚ᫊᪒⥊ᶾ῿᥻ⵎᨆὶંЊὦ ᓢ◖׷὾ᶾ૮ⵊ῿ת պⵊᕮᷚ, ᒮҫ, ᆾ᥺ᶾ૮ⵊࢢᷛἮ╊╊᥺3लϲᓢӮⵢᵪⵗશ૒.

Њὦ ᓢ⒆ᆚ᫊᪒⥊ᶾ૮ⵊ῿῿תպⵊ὆؞။Ἦ૒ἺӪЇἮ ᓢϮ⯚ⵖ ఆல။Ӯᆚⵢᵪⵆ቞, պⵊᒮҫࢢᷛἲ৲`ⵆᷚ؞။‧Ӯᆚⵆᷚᵪⵗશ૒.

< 위반 및 개선 사례 >

[위반 사례] [개선 사례]

•마지막 권한 변경 내역만 보관 •모든 권한 변경 이력 보관

¥ ݠࢆ࢒ ׽ ؅̔࢒ ࢺؼ ¦ ݣ঍ ׽ ؅̔ ۉࡧ

(14)

3. ᴶῲⵊᘲᏮᑶ⸦὿᤟׊♇⃮ᨆ

Њὦ ᓢ◖׷὾὆ Ҳ ᘲᏮᑶ⸦Ϯ ᴶῲⵆѺ ᣋ᤟ఎ ᨆ ὶல။, Њὦ ᓢ⒆ᆚ὾ં ᘲᘲᏮᑶ⸦ ὿᤟׊♇ἲ ᨆᆫⵆӎ ὢᅪ Њὦ ᓢ⒆ᆚ

᫊᪒⥊, ῿ת⦣ ᫊᪒⥊, ὦ⤞थ⸶⮆ὢ↮೟ᶾ`ẗⵢᵪⵗશ૒.

ᘲᏮᑶ⸦ં ૧ⵊ῿᥻պⵊἲϮ↮↮ᴸં὾Ϯ▂☏ⵆўࢆ῿᥻ἲ

᫊லⵆ؞ᶢဣல။ጦ὾, ᨙ὾೟Ἢ၊⁞ⵗ·՚᤟ⵆᷚᵪⵗશ૒.

4. ᘲᏮᑶ⸦Ḓέဓ⺍ᨆ ⵊ

Њὦ ᓢ⒆ᆚ᫊᪒⥊ᶾպպⵊᶴં὾὆ᘲ ᢯`ὦ῿תἲᐗ↮ⵆ؞

Ỳⵆᷚ Ҳ ᓢ෾ંᘲᏮᑶ⸦ᅪὪ ⺍ᨆὢ᢯ᾆኩέဓⵊҫẞ, Њὦ ᓢ⒆ᆚ᫊᪒⥊ᶾ῿תἲ ⵊⵆં೟؞ᨎ`⁞♆ᅪ◖ⵢᵪⵗશ૒

.

Ҳ ᓢ෾ંᘲᏮᑶ⸦ᅪὪὪ ⺍ᨆ

(

᷶

: 5

⹺

)

ὢ᢯ᾆኩέဓⵊҫẞ ᢚẗ὾Ҳ ᾎ׶ ೟὆ ⁞♆ᅪ ◖ⵆўࢆ Ҳ ᓢ·ᘲᏮᑶ⸦ έဓӪ

ே᫊ᶾ ▂▂Ϯ`ὦ ὦ↋ᨆ૖(ӣὦὦ↋ᤊ, OTP ೟)ἲ `ẗⵆᷚ ૧ⵊ

῿תպⵊ὾ὲἲ⹃ὦⵆં೟὆⁞♆ᅪ◖ⵆல။ⵗશ૒.

ߨ੸ ӔѢ

『개인정보 안전성 확보조치 기준』제5조(접근 권한의 관리) (요약)

개인정보취급자 등에게 업무수행에 필요한 최소한의 범위로 접근권한의 부여, 변경 또는 말소에 대한 내역을 기록 및 보관

개인정보취급자 등에 대한 비밀번호 작성규칙 수립 및 적용 등

୊ߥ ӏ੿ ߥ஗

법 제29조 안전성 확보 조치를 취하지 아니하여 개인정보를 도난‧유출‧변조 또는 훼손당한 경우

2년 이하 징역 또는 2천만원 이하 벌금 법 제29조 안전성 확보조치 의무를 위반한 경우 3천만원 이하 과태료

(15)

81# ᇚⴶⷓ⊲# ⬆ⷂ⸮㐖ⴖ⃲# =# +5,# ␂ⴶᆾⵎ# ⷏Ꮊ㝳ⷚ

 ࡟؃ ۉԴ

ȿ ʋࢆࢺؼঅնݡݘ੩߻ ࢸܓ ୬ ࢇࢺݡɻ ࢄە ߳בծ অնଙऌ ߆В ʾࡆ

࢒ѭࡰԸ ݡݘ੩ ࢸ̏ ५ЬԸ̍߂ࡎ Ҝ ࣌৑ծ ࢳࡅଙऌ ߆ࡲ ۉԴ

ȥ ʎࢉࢽؿঈչݤݛ੬߾ ࢻܖ ୯ ࢊࢽݤɾ ࢇۘ ߶הձ ଜए ߉Е ˁࡉ

࢕ѰࡳԻ ݤݛ੬ ࢻܖࢇ ८ЯѸѦԼ ଥߞ ଡ

ȿ ࠶ْ։߻ۭ ʋࢆࢺؼঅնݡݘ੩߻ ࢸܓଙВ ʾࡆ ߂ࢄҞ ٵ׶؞ୋ ࢄ࠶߻

شѣࡿ ߄ࢴଛ ࢸܓܶЬ ׽ ࢆऋܶЬࡳ ࢳࡅଙऌ ߆ࡲ ۉԴ

ȥ ࠹ٕ֌߾۰ ʎࢉࢽؿঈչݤݛ੬߾ ࢻܖ ݤ ߇ࢷଞ ࢻܖܹЯ ӖЕ ߇ࢷଞ

ࢉऎܹЯࡶ ࢶࡈଥߞ ଡ

ઑ஖ ࢎ೦ ߂ ߑߨ

1. ᐗ⹂ᒫᏽ♖έ⢾↮᫊᪒⥊Ảᷯ

Њὦ ᓢ⒆ᆚ᫊᪒⥊ᶾ ૮ⵊ ῿᥻ պⵊἲ ⵊⵆᷚ ὦϮᐉ↮ ᴸἮ

῿תἲ ⵊⵆӎ, Њὦ ᓢ⒆ᆚ᫊᪒⥊ᶾᕶᕶᒃ`ὦЊὦ ᓢἎ▊᫊லᅪ

⢾↮ⵆӎ῿ת ⵊ·␖૖೟`ῶⵊ૮Ἷ⁞♆ᅪⵢᵪⵗશ૒.

ᕶᒃ`ὦ῿תᏽ♖ⵢᢚӎᐗ↮ᅪỲⵢϮဧᫎ׊◖ᵫ῾෾ં♖ⵢ ᢚӎ ᐊᣋ ᫊ ᓢᴶ ᶳ୞ὢ⪦ `ẗ, ӪலⵆѺ ⶶẗఆўࢆ ᢚẗఆ↮

ᴸં ␳೟ᶾ૮ⵢ⃪؞`Ѯ⦎ᏽ⁞♆, ேὪIP, ⵢṦIP ⃪᥺ᶾᤊ὆

Ӫலⵊ/ᘲ ᢯`ὦ῿᥻᫊ல⢾↮ᏽ␖૖⁞♆೟`ῶⵊẢᷯ·ӮᆚϮ ⴲẂⵗશ૒.

2 Њὦ ᓢ῿ת⦣ ⁞♆

Њὦ ᓢ⒆ᆚ᫊᪒⥊ἮẾ♇`Ἢ၊Ṧᕮ῿תἲ␖૖ⵢᵪⵆ቞, ᶳጢ᢯

ṦᕮᶾᤊЊὦ ᓢ⒆ᆚ᫊᪒⥊ᶾ῿᥻ὢⴲẂⵊҫẞᶾંID/PWὢṦᶾ ᴶῲⵊ῿᥻ ᨆ૖(VPN ෾ંῲẗᤎ)ἲ `ẗⵆўࢆᴶᴶῲⵊὦ↋ᨆ૖

(ὦ↋ᤊ,

ᓢᴶ⦎⡞, OTP ೟)ἲ`ẗⵆᷚᵪⵗશ૒.

⸶⮆ὢ↮ᅪ ⦣ⵢ Њὦ ᓢᅪ ⒆ᆚⵆં ҫẞ, Њὦ ᓢϮ Ἆ▊ఆ↮

ᴸல။ ؞`Ἢ၊ủ◖ᵫ῾῾Ѯἲᨆ⵷ⵎѱἲպӎⵗશ૒. ◖ᵫ῾

῾Ѯ᫊, Ӯᆚ὾⮆ὢ↮லᐆೊ᫊⯚ⵖఆல။ⵗશ૒

.

(16)

ᶳጢ᢯P2P, ӣἎᤒ , ᢯ẗủቂὪ, ủⵆೊ, ቂᫎ΅, SNS ೟ἮẾ♇`

Ἢ၊ᢚẗⵆ↮ᴸல။ⵆ቞, ᐆೊ᫊ⴲẂⵊҫẞཪலЊὦ ᓢϮἎ‧

०▊ఆ↮ᴸல။ᴶῲ⁞♆ᅪⵢᵪⵗશ૒.

Њὦ ᓢϮ⯚ⵖఊ⫺Ὢ, Ӯᆚ὾⮆ὢ↮, ᤊᘂᆭ೟ᶾ῿᥻ⵆંҫ၊

(URL,

ӣἎᤒ , P2P ೟)ᶾ૮ⵊὦ↋ῶ␖Ϯ`ẗఆᶢὶં↮⹃ὦ

ⵗશ૒.

Ὢ ᫊ϲὢ᢯ᶳጢᅪ⒆ᆚⵆ↮ᴸંҫẞ὾ேἪ၊᫊᪒⥊῿᥻ὢ

␖૖ఆᶢᵪ ⵆ቞

,

၊צᴲằ ⺲ᶾં Њὦ ᓢᶾ ૮ⵊ ῿תὢ ᕶϮઓ ⵆல။⁞♆ⵢᵪⵗશ૒.

ỲᐆᏽЊᤎᢚီ

ߨ੸ ӔѢ

『개인정보 안전성 확보조치 기준』제6조(접근 통제) (요약)

정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위한 침입차단, 침입탐지 기능을 포함한 조치

개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하는 경우 안전한 접속수단 또는 안전한 인증수단의 적용

개인정보 유·노출 방지를 위한 업무용 컴퓨터 등에 대한 안전조치

고유식별정보를 처리하는 인터넷 홈페이지에 대한 취약점 점검 및 개선조치 등

୊ߥ ӏ੿ ߥ஗

•안전한 인증수단 미적용 •안전한 인증수단 적용

(17)

81# ᇚⴶⷓ⊲# ⬆ⷂ⸮㐖ⴖ⃲# =# +6,# ኞⳞ⢛⊂ⷓ⊲# ⬒㯶㰒

 ࡟؃ ۉԴ

ȿ ୐ૐࢄऌ߻ۭࠃ˽؞ୋծࢌԬ឵ࢴܛݡࢴܛˮɻߋୋ୕ծࢳࡅଙऌ߆ࡲۉԴ

ȥ ˈࡪݥطࢽؿ࣯׷ҟԼء୎ࠆ̀ء୎࠹˲ࢉҟԼء୎ࡋࢷִରء୎ࢷܞ ݤ 66/ҟࡶ ࢶࡈଜࠆ ߎ୎୘ଜࠆ ࢷܞଥߞ ଡ

ȿ έْ։߻ ࣬״ҜԹ؞ୋ ࢲ࢝ ݡ ߋୋ୕ ଙऌ ߆˅ ૞הࡰԸ ࢲ࢝ଛ ۉԴ

ȥ ࣯׷ҟԼء୎ ҟ ˈࡪݥطࢽؿЕ ࢵࢠ ݤ ߇ࢷଞ ߎ୎୘ ߊˈչऋࡳԻ

ߎ୎୘ ଜࠆ ࢵࢠଥߞ ଡ

ઑ஖ ࢎ೦ ߂ ߑߨ

1. ӎἎ᫋ᒲ ᓢῲᦏ՚ϲᵂ⸦⹂

ᓢ⦣ᫎᇋἲ ⦣ⵆᷚ ӎἎ᫋ᒲ ᓢᅪ ᦏᫎⵆં ҫẞᶾં

SSL

೟὆

⦣ᫎᵂ⸦Ⳳ၊⦎❊ὢ⢿ᾚఊ؞ᨎἲ⹊ẗⵆᷚᵪⵗશ૒.

예시

෾ⵊ, ᓢ⁞΅ᾓᇒ⒢ᅪ ⦣ⵢ ӎἎ᫋ᒲ ᓢϮ ૢآ ⫺Ὢἲ ῲ૚ⵆં

ҫẞᶾં ᵂ⸦⹂ ؞ઓἲ ӣⵆં ᓢᴶ

USB

೟ἲ ᢚẗⵆўࢆ, ⵢ૧

Њὦ ᓢᅪᵂ⸦⹂΅ᾓⵊ⺲ᓢ⁞΅ᾓᇒ⒢ᶾ΅ᾓⵆᷚῲ૚ⵆᷚᵪⵗશ૒

.

2. ࢢ ․ ṦᕮᇋᶾӎἎ᫋ᒲ ᓢ΅ᾓ᫊ᵂ⸦⹂

ὦ⤞थ ՚ϲὢࢆ

DMZ

՚ϲἮ Ṧᕮᶾᤊ ↯῿ ῿תὢ ϮઓⵆᎮ၊

Ṧᕮ὾὆♖έἲᐉἲϮઓ᤟ὢὶ᪣શ૒. ὢᶾഞཪDMZ ՚ϲᶾᤊ

⃪Ꮺ೟။ᑶ⸦, Ṧ՛ὦ೟။ᑶ⸦, Ảῲቢⶶᑶ⸦, ᷚպᑶ⸦ ೟ ӎἎ᫋ᒲ ᓢᅪ⒆ᆚⵆંҫẞᵂ⸦⹂ⵆᷚ΅ᾓⵆᷚᵪⵗશ૒.

(18)

ࢢᕮᇋᶾӎἎ᫋ᒲ ᓢᅪ΅ᾓⵆંҫẞᶾல᫊ᷛᵂ⸦⹂ⵆᷚ΅ᾓ ⵆᷚᵪⵗશ૒.

3. ӎἎ᫋ᒲ ᓢᴶῲⵊᴺӎᆚↆἪ၊ᵂ⸦⹂΅ᾓ

ӎἎ᫋ᒲ ᓢᅪᵂ⸦⹂ⵆંҫẞᶾં՛՛ࢢṦᵂ⸦Ӯဖᷞ՚؞Ӯᶾᤊ

պӎⵆંᴶῲⵊᴺӎᆚↆἪ၊ᵂ⸦⹂ⵆᷚ΅ᾓⵆᷚᵪⵗશ૒.

☞

안전한 암호화 알고리즘은 개인정보보호 종합포털(privacy.go.kr)의 ‘자료마당’ →

‘참고자료’에 ‘개인정보의 암호화 조치 안내서’ 참고

ߨ੸ ӔѢ

『개인정보 안전성 확보조치 기준』제7조(개인정보의 암호화) (요약)

고유식별정보를 정보통신망을 통해 송신하거나 보조저장매체를 통해 전달하는 경우 암호화

비밀번호를 저장하는 경우 일방향 암호화하여 저장

인터넷구간 및 인터넷구간과 내부망의 중간지점(DMZ)에 고유식별정보를 저장하는 경우 암호화

내부망에 고유식별정보를 저장하는 경우에도 암호화하여 저장

개인정보를 암호화하는 경우 안전한 알고리즘으로 암호화하여 저장

୊ߥ ӏ੿ ߥ஗

법 제29조 안전성 확보 조치를 취하지 아니하여 개인정 보를 도난‧유출‧변조 또는 훼손당한 경우

(19)

81# ᇚⴶⷓ⊲# ⬆ⷂ⸮㐖ⴖ⃲# =# +7,# ␂↾≆㯶# ⬒㯶㰒

 ࡟؃ ۉԴ

ȿ ୐ૐࢄऌ ୠࡒɹࢌ ׽ Ը̍ࢆ ૐࢄऌ Ҝ ٵ׶؞ୋծ ࢌԬ឵ࢴܛ ݡ ࢴܛˮɻ ߋୋ୕ծ ࢳࡅଙऌ ߆ࡲ ۉԴ

ȥ ٸ׹ء୎ ࢷܞ ݤ 66/ҟࡶ ࢶࡈଜࠆ ߎ୎୘ଜࠆ ࢷܞଥߞ ଡ ȿ ٵ׶؞ୋ ࢲ࢝ ݡ ߋୋ୕ ଙऌ ߆˅ ૞הࡰԸ ࢲ࢝ଛ ۉԴ

ȥ ٸ׹ء୎Е ࢵࢠ ݤ ߇ࢷଞ ߎ୎୘ ߊˈչऋࡳԻ ߎ୎୘ଜࠆ ࢵࢠଥߞ

ଜֲ ߎ୎୘ ݤ ࢊ؏ଯ ߎ୎୘ ߊˈչऋࡳԻ ߎ୎୘ ଥߞ ଡ

ઑ஖ ࢎ೦ ߂ ߑߨ

1. ᘲᏮᑶ⸦ῲᦏ՚ϲᵂ⸦⹂

ᓢ⦣ᫎᇋἲ⦣ⵆᷚᘲᏮᑶ⸦ᅪᦏᫎⵆંҫẞᶾં

SSL

೟὆⦣ᫎ

ᵂ⸦Ⳳ၊⦎❊ὢ⢿ᾚఊ؞ᨎἲ⹊ẗⵆᷚᵪⵗશ૒. ⬖⢥⚏Ⓘ Ⳳ၊צྖ

೟ἲ⦣ⵢῲᦏఆં⬖⢥὆ࢢẗἲ⹃ὦⵆᷚᘲᏮᑶ⸦೟ὢ⮷ጦἪ၊

ῲᦏఆં↮⹃ὦⵆᷚᵪⵗશ૒.

예시

ȄԻ̐ࢉݤ66/7/6ߎ୎୘ձیࡈଜࠆٸ׹ء୎ࢷܞ

2. ᴶῲⵊὪᐗⶓᵂ⸦⹂ᴺӎᆚↆἲᢚẗⵆᷚ΅ᾓ

ᘲᏮᑶ⸦ᅪ ᵂ⸦⹂ⵎ ഺં ⵊᑶ ᵂ⸦⹂ఊ ಒ ᓣ⸦⹂ఆ↮ ᴸல။

Ὢᐗⶓᵂ⸦⹂ⵆᷚᵪⵗશ૒. Ὢᐗⶓᵂ⸦⹂཮ⵢ᫊ⵖᨆ၊ᵂ⸦⹂ⵆᷚ

ẾᓦЀἲἎ▂ⵆўࢆᓣ⸦⹂ⵎᨆᶴல။ⵊᵂ⸦⹂ᐗᒃέશ૒.

(20)

ᘲᏮᑶ⸦ᅪ ΅ᾓⵎ ҫẞ ᴶῲⵆ↮ ᴸἮ Ὢᐗⶓ ᵂ⸦⹂ ᴺӎᆚↆ

(MD5, SHA1,

὾⒢ ὿ⵖᨆ ೟)Ἢ၊ ᵂ⸦⹂ ⵆં ҫẞ ᓣ⸦⹂ ఎ

Ỳⷆὢ ὶἪᎮ၊, ᐆೊ᫊ ᴶῲⵊ Ὢᐗⶓ ᵂ⸦⹂ ᴺӎᆚↆ(SHA256,

SHA512

೟)Ἢ၊ᵂ⸦⹂ⵆᷚᵪⵗશ૒.

☞

안전한 암호화 알고리즘은 개인정보보호 종합포털(privacy.go.kr)의 ‘자료마당’ →

‘지침자료’에 ‘개인정보의 암호화 조치 안내서’ 참고

ỲᐆᏽЊᤎᢚီ

•비밀번호 MD5 적용 •안전한 알고리즘인 SHA256 적용

ߨ੸ ӔѢ

『개인정보 안전성 확보조치 기준』제7조(개인정보의 암호화) (요약)

비밀번호를 정보통신망을 통해 송신하거나 보조저장매체를 통해 전달하는 경우 암호화

비밀번호를 저장하는 경우 복호화되지 않도록 일방향 암호화하여 저장

비밀번호를 암호화하는 경우 안전한 알고리즘으로 암호화

୊ߥ ӏ੿ ߥ஗

(21)

81# ᇚⴶⷓ⊲# ⬆ⷂ⸮㐖ⴖ⃲# =# +8,# ⷏❋Ꮾḛ# ⊲ኾ# ⇍# ኾὪ

 ࡟؃ ۉԴ

ȿ ʋࢆࢺؼঽ̔࢒ࡿ ࢸܓ̘Թࡳ ؼ˔ଙ˅ ࢎࡰΜ ܶପ߳ב࣌ୠ ܶࢺ Ҝ߻

лଛ έࡅࡳ ̘Թଙऌ ߆ࡲ ۉԴ

ȥ ʎࢉࢽؿী̗࢕ࢂ ࢻܖ̛Լࡶ ؿ˗ଟ Ҷ߾Е ˃ࢽ ࢻܖࢊݤ ࢻܖएࢽؿ

ܹଭ߶ה߾ оଞ ΰࡈࡶ ̛Լଜˈ ؿ˗ଥߞ ଡ

ȿ أࢳ ࡿבۉଡࡳ ָѼ ૣଞଛ ʋࢆࢺؼঽ̔࢒ࡿ ࢸܓ̘Թࡳ ؼ˔ଙ˅ ࢎࡰΜ

ʋࡓր ؼ˔ଛ ۉԴ

ȥ ʎࢉࢽؿী̗࢕ࢂ ࢻܖ̛Լࡵ ফܕ ϗ ࢇۘ ؿ˗ଥߞ ଡ

ઑ஖ ࢎ೦ ߂ ߑߨ

1. ῿᥻؞။ 1 लὢ᢯ᓢӮ

Њὦ ᓢ⒆ᆚ᫊᪒⥊ ؞⹻ ૖Ҳᶾᤊᕮ⤞ Њὦ ᓢ◖׷὾Ϯ ῿᥻ⵊ ᢚ᫒ἲᴺᨆὶંᴲ྆ ᓢϮ᫊᫊᪒⥊ᶾῲ὾`Ἢ၊὾ே؞။ఆல။

ᤒҲ

·՚ⷲⵆᷚᵪⵗશ૒ .

①

Ҳ

(ID

೟

) :

᫊᪒⥊ᶾ῿᥻ⵊ὾ᅪ᫋ᒲⵎᨆὶல။ᕮᷚఊ ᓢ

②

῿᥻Ὢ᫊

(

ल

-

Ể

-

Ὢ

-

᫊

-

ᕲ

-

⓶

) :

῿᥻ⵊ᫊῾෾ંᶳጢᅪᨆ⵷ⵊ᫊῾

③

῿᥻↮

(IP

⃪᥺೟

) :

῿᥻ⵊ◖׷὾὆⛢Ⳗ⤞

,

ኖᐂὪ؞؞೟⃪᥺

④

ᓢ⃪⒢ ᓢ

:

Њὦ ᓢ◖׷὾Ϯ ৲՚὆ Њὦ ᓢᅪ ⒆ᆚⵆᷮં↮ᅪ ᴺ

ᨆὶંὢᅲ

, ID

೟

⑤

ᨆ⵷ᶳጢ

(

΅ᾓ

,

ᨆ

,

ᢛ

,

૒Ả၊ೊ೟

) :

◖׷὾Ϯ᫊᪒⥊ᶾᤊ⒆ᆚⵊ ᓢ

⃪⒢ᶾӮⵊᨆ⵷ᶳጢࢢẗἲᴺᨆὶં ᓢ

예시 ^번호 ^계정정보 ^접속일자 ^접속시간 ^{접속지정보} ^수행업무 ^정보주체 1001 K1234 2019-02-01 10:05:15 192.168.*.*** 다운로드 AB1234 ※ 수행업무 중 다운로드의 경우 그 사유를 반드시 기록하여야 합니다.

෾ⵊ

,

῿᥻؞။Ἦᣋ᤟ఆં᫊؞ᶾഞཪᴲᴲ྆؞ϲேᴶᓢӮⵆᷚᵪⵗશ૒

.

구분 보관기간

모든 개인정보처리시스템 1년 이상

5만명 이상 개인정보 처리 또는 고유식별정보 및 민감정보 처리시스템 2년 이상

(22)

2. ῿᥻؞။Ể 1 ⹺ὢ᢯῾Ѯ

Њὦ ᓢ⒆ᆚ᫊᪒⥊ᶾᓢӮఊ῿᥻؞။ἲ╊᥺ỂỂ1⹺ὢ᢯῾Ѯⵆᷚ

ᘲ ᢯⵷Ỳᅪ⢾↮ⵆӎ`ῶⵊ૮Ἷ⁞♆ᅪⵆᷚᵪⵗશ૒.

⒢Ҳ`ὦ ῾Ѯἲ ᨆ⵷ⵆӎ ῾Ѯ὆ ⺖἖᤟ἲ ⹃ᓢⵆ؞ Ỳⵢᤊં

ᴲ྆Ḯ ЇἮᢚⵛ೟ἲᢚῲᶾҲ⹻ⵆӎ᫊⵷ⵎᨆὶ᪣શ૒.

①

῾Ѯ⃪⒢(

Њὦ ᓢᓢ⸦ᕮᤊ

,

Ͼᢚᕮᤊ

,

Њὦ ᓢᓢ⸦ῲጦᶳ⒢೟

)

②

῾Ѯ᫊؞(

╊᥺Ể

1

⹺ὢ᢯

)

③

῾Ѯ ⵛኗ ᏽ ࢢẗ(

ᘲὦϮఊ Њὦ ᓢ ⒆ᆚ ᏽ ૮ྷ὆ Њὦ ᓢ

૒Ả၊ೊ೟ᘲ ᢯⵷Ỳ⢾↮

,

῿᥻؞။὆Ỳ

·

ᒮ⁞ᷚᕮ೟

) ೟

④

῾Ѯ⺲᥻⁞♆(

Њᤎ⁞♆

,

ҞӪᓢӎ೟

) ೟

3. ῿᥻؞။ἲᴶῲⵆѺᓢӮ

῿᥻؞။ὢ ỲỲ·ᒮ⁞ ᏽ லࢊ, ᕲ᫒ఆ↮ ᴸல။ ᴲ྆Ḯ ЇἮ ᐗᒃ

೟Ἢ၊ᴶᴶῲⵆѺᓢӮ ⵆᷚᵪⵗશ૒

.

①

῿᥻؞။ἲ ᢯᫊ ᐟᶳⵆᷚ ᒲᒲல὆ ᓢ⁞΅ᾓᇒ⒢, ΅ᾓᾓ♆ ೟ᶾ

ᓢӮ

② CD-ROM, DVD-R, WORM

೟ӪЇἮଡ଼ଡ଼ᶢ᳞؞ᐗ↮ᇒ⒢ᢚẗ

③

῿᥻؞။ἲᨆ Ϯઓⵊᇒ⒢(ⵆೊം᪒⡚೟)ᶾᐟᶳⵆંҫẞᶾં

Ỳ·ᒮ⁞ᷚᕮᅪ⹃ὦⵎᨆὶં ᓢᅪᒲல὆ᾓᘲᶾᓢӮ ೟

ߨ੸ ӔѢ

『개인정보 안전성 확보조치 기준』제8조(접속기록의 보관 및 점검) (요약)

개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관

개인정보처리시스템의 접속 기록 등을 월 1회 이상 점검

개인정보취급자의 접속기록을 안전하게 보관

୊ߥ ӏ੿ ߥ஗

(23)

⍗ⵂ # ⺺ⴖ㬲⬺㬞# ᇚⴶⷓ⊲# Ⳟ㍚♪᷾

# # # # 0# ኾὪⵎ# ⌾⺺ⴖḚ# ⴶ㬚# Ⳟ㍚

ਬ୹ ࢎ۹ ݫੌ ױ୓ߊ࣠ী ੄ೠ ਬ୹

؞ᶳᶾᤊ␲ẗἿ᫊ᣋ೒ᶾѺὢቂὪἲ⦣ⵢᕶⵗҗ⦣ᓢᅪⵆંӪ ᶾᤊ ᨆᐟታ὆Ἷ᫊ᣋᶾѺὢቂὪἲேᓢᐊᦏ ⵆᷚ⦣ᓢᅪᐉἮἿ᫊ᣋ೒ᶾѺ

૒ᅦᕶⵗҗ὾೒὆ὢቂὪ⃪᥺Ϯצ૮၊०▊ఊᢚီ

ⵢ૧؞ᶳὢᨆᐟታ὆ᕶⵗҗ὾Ϯ૒ᅦᕶⵗҗ὾೒὆ὢቂὪ⃪᥺ᅪ

◖ೋⵎᨆὶல။ὪӲ`Ἢ၊ὢቂὪἲᐊᦏⵊѱἮЊὦ ᓢᓢ⸦

὆ጢᅪ ૒ⵆᷮ૒ӎ ᓢ؞ ᶢဣӎ, ᕶⵗҗ὾೒ὢ ὾ᫎ೒὆ ὆ᢚᶾ

ᐆⵆᷚЊὦ ᓢϮⵖᕮ၊ӣЊఆ↮ᴲશⵎպᆚϮ♖ⵢఆᶶ૒ӎ

ᓪᨆὶ᪣શ૒.

ഞཪᤊ␲ẗҞӪ⦣ᓢ, ӣጦᐊᦏ೟ᷚ࿚ታ὆ ᓢ⃪⒢ᶾѺேὪⵊ

ࢢẗἲῲ૚ⵆંҫẞᶾંᨆᨆᫎ὾ЊЊὦ὆Њὦ ᓢϮӣЊఆ↮

ᴸல။⃪὆(Њᒲᐊᦏ؞ઓ὆ጢᢚẗ೟)ⵆᷚᵪⵗશ૒.

< 개선 사례 >

※ 메일시스템의 개별발송 기능을 사용하여 동보발송 사고 방지

(24)

ਬ୹ ࢎ۹ ѱद౸ স۽٘۽ ੋೠ ਬ୹

Ꮺϲ ⷿ⹺ᶾᤊ ⷿ⹺ Ảᷯ᫒`ᶾ Ӯⵊ ὾Ⴚᅪ ⸶⮆ὢ↮ Ѻ᫊⫾ᶾ

ᶳ၊ೊⵆંӪ ᶾᤊЊὦ ᓢ◖׷὾Ϯᶿ᤮⫺Ὢᶾᤊ⃪Ꮺ೟။ᑶ⸦Ϯ

⯚ⵖఊ⵷/ᷢὢ‘ᨖ؞؞’ ⒆ᆚఊѱἲὦ↮ⵆ↮ኩⵆӎᾆᾆኩᶳ၊ೊ

ⵆᷚѮᢷ᷂↲ᶾ὆ⵢ०▊ఊᢚီ

ᶿ᤮⫺Ὢ ᶳ၊ೊ ᫊

‘ᨖ؞؞’

⒆ᆚఊ ⵷/ᷢ ෾ં

SheetϮ ὶં↮

⹃ὦⵆӎ, Њὦ ᓢϮ⯚ⵖఆᶢὶἲҫẞᢛ ⁞♆ⵆᷚЊὦ ᓢϮ ०▊ఆ↮ᴸல။ ⵆᷚᵪⵗશ૒.

< 개선 사례 >

※ ‘숨기기 취소’ 기능을 사용하여 숨겨진 Sheet에 개인정보가 포함되어 있는지 확인

὾ᤦⵊЊὦ ᓢ०▊ᢚီᏽ⁞♆ᐗᒃἮ‘⸶⮆ὢ↮Њὦ ᓢ०▊

ᐗ↮ᴶࢢᤊ’ ␦ӎ

(25)

(26)

☃ 㽰 ㅣ

☃ 㽰㙿 ᘃㅟㇼ⛛⛛䀟ルシ䁳㽃᝔ㅟ㬗ᬞ㎫䅌シ ỻㅷㅟㅟ⮫ 㽃ᚗ⿇