• 검색 결과가 없습니다.

개인정보보호현황 및 정책방향

N/A
N/A
Protected

Academic year: 2023

Share "개인정보보호현황 및 정책방향"

Copied!
25
0
0

로드 중.... (전체 텍스트 보기)

전체 글

(1)개인정보보호현황 및 정책방향. 2013년 6월.

(2) Contents I.. 주요 현황. II. 개선 필요사항 III. 향후 정책방향 IV. 중점 추진사업.

(3) I. 주요 현황 12년 침해 유형 및 실태 개인정보 생명주기. 118 신고. 분쟁조정. 행정처분. (166,801건). (143건). (756건). • 이용자의 동의 없는 개인정보 수집. - 3,507건. -. 19건. • 과도한 개인정보 수집, 민감한 개인정보 수집. 847건 -139,724건. -. 1건. • 위탁절차 위반 및 위탁업체 관리감독 미흡. - 3,855건 - 125건. • 목적 외 이용 및 동의없는 제3자 제공 • 접근권한 부실, 부당 공유 및 불법 거래. 침해 유형. - 111건. -. -. -. 17건 -. - 103건 28건. - 2,196건. -. 76건. * 검거 / 기소. • 개인정보 이용 동의 철회 및 회원탈퇴 요구 불응. - 941건 - 1,377건. -. 2건 2건. -. 1건 3건. 파기. • 정당한 이유없는 개인정보 보유 및 미파기. -. -. 10건. -. 6건. 기타. • 개인정보처리방침 누락, 미공개 등. - 12,915건. -. 16건. - 124건. 수집. • 주민등록번호 수집방법 위반, 도용/침해 관리. 이용 제공. • 기술적ㆍ관리적 조치 미비로 개인정보 침해. 779건. 46건 53건.

(4) <참고 1> 12년 개인정보 침해싞고현황 침해유형 정보주체의 동의 없는 개인정보 수집. 2009. 2010. 2011. 2012. 1,075. 1,267. 1,623. 3,507. 15. 75. 53. 396. 115. 146. 379. 847. 1,171. 1,202. 1,499. 2,196. 158. 158. 278. 941. 개인정보 처리 위탁 시 고지의무 불이행. 6. 25. 36. 125. 영업의 양수 등의 통지의무 불이행. 6. 22. 64. 44. 10. 21. 38. 48. 기술적․관리적 조치 미비로 인한 개인정보 유출 등. 819. 1,551. 10,958. 3,855. 수집 또는 제공받은 목적 달성 후 개인정보 미파기. 294. 323. 488. 779. 열람, 정정, 삭제, 처리정지 요구 불응. 680. 826. 662. 717. 동의철회․열람․정정을 수집보다 쉽게 해야 할 조치 미이행. 603. 630. 800. 660. 19. 35. 71. 47. 6,303. 10,137. 67,094. 139,724. 23,893. 38,414. 38,172. 12,915. 35,167. 54,832. 122,215. 166,801. 개인정보 수집 시 고지 의무 불이행 과도한 개인정보 수집 고지한 범위를 넘어선 목적 외 이용 또는 제3자 제공 개인정보 취급자에 의한 훼손․침해 또는 누설. 개인정보보호책임자 미지정. 법정대리인의 동의 없는 아동의 개인정보 수집 주민등록번호 등 타인 정보의 훼손․침해․도용 기타 개인정보 침해 합계.

(5) <참고 2> 12년 개인정보 분쟁조정 사건현황 조정 신청 사유. 2009. 2010. 2011. 2012. 합계. 145. 191. 126. 143. 정보주체의 동의 없는 개인정보 수집. 19. 8. 12. 19. 개인정보 수집 시 고지 의무 불이행. -. -. -. -. 과도한 개인정보 수집. -. 1. 1. 1. 고지한 범위를 넘어선 목적 외 이용 또는 제3자 제공. 41. 125*. 19. 76. 개인정보 취급자에 의한 훼손․침해․누설. 5. 3. 4. 2. 개인정보보호 기술적․관리적 조치 미비. 22. 27. 76**. 17. 수집 또는 제공받은 목적 달성 후 개인정보 미파기. 9. 9. 5. 10. 열람, 정정, 삭제, 처리정지 요구 불응. 16. 6. 2. 1. 동의철회․열람․정정을 수집보다 쉽게 해야할 조치 미이행. -. 2. -. 1. 기타 개인정보 침해(개인정보취급방침 수정요청 등). 33. 10. 7. 16.

(6) I. 주요 현황 12년 실태점검 및 처분현황 총 47회 756개소 점검, 과태료 57건, 시정조치 360건 등 총 441건 행정처분 구분. 금융업. 학원. 협회/연맹. 공공기관. 운송업. 의료업. 기타. 전체. 점검기관. 37. 25. 25. 74. 27. 21. 232. 441. 위반기관. 33. 20. 17. 49. 17. 11. 217. 364. 위반비율. 89.2%. 80.0%. 68.0%. 66.2%. 63.0%. 52.4%. 93.5%. 82.5%. 조사 및 점검 -기획 점검 : 취약 분야, 위험 업종 대상 중심 실시, 제도개선 병행 (정기) -특별 점검 : 침해사고, 유출 싞고 등 사고 원인조사 및 책임 규명 (수시). <개인정보보호 합동점검단> 현황 조사분석  업종별 개인정보처리현황  개인정보관리실태. 모니터링  개인정보 유/노출현황.  개인정보 침해싞고, 민원.  온라인 점검 (취약점 분석).  분쟁조정 싞청.  개인정보 제공/홗용현황. ▶ KISA, NIA, 리서치 등. 침해사고, 민원.  사고 발생, 얶롞 보도 등. ▶ 관계부처/기관 연계. ▶ 경찰, KISA 등.

(7) <참고 3> 12년 법 위반현황 (조항별) 제25조(영상정보처리기기의 설치·운영 제한). 27%. 32% 13%. 제15조(개인정보의 수집·이용). 14% 14%. 제29조(안전조치의무) 제30조(개인정보 처리방침의 수립 및 공개). 기타. 제25조 (영상정보처리기기) : 은행권 및 대중교통 시설의 CCTV 기획점검 - 영상정보 접근권한 미 관리, 물리적 접근통제 미 조치, 내부관리계획 미 수립, 보관시설/잠금 장치 미 설치. 제15조(개인정보 수집·이용제핚) : 전 업종 공통 위반사항 - 개인정보 수집 시 필수 고지사항 누락, 동의 거부 권리 및 동의거부에 따른 불이익 내용 미 고지 개인정보 수집 동의 절차 누락 (동의 절차가 없는 기존 서식 사용). 제29조(안전조치의무) : 대부분 기술적 보호 조치 위반 - 내부관리계획 미 수립, 접근 권한 미 관리, 전송 시 암호화 미 적용, 접속(로그)기록 미 관리. 제26조(업무위탁에 따른 제핚) : 위탁 문서(필수조치), 수탁사 관리 감독 등 제30조(개인정보처리방침의 수립·공개) : 책임자 지정, 연락처 미기재 및 방침 미공개.

(8) I. 주요 현황 12년 공공기관 수준진단결과 개인정보보호 관리체계, 보호대책, 침해대책 등 관리수준 짂단 및 적극적인 개선 유도 - ’12년 짂단대상 : 중앙부처(43), 지방자치단체(16), 지방공기업(129) 등 188개 기관 지표별 진단 결과 99.38. 전담 조직 및 인력 구성. 관리체계 구축. 98.81. 개인정보보호를 위한 예산확보 위탁업무에 따른 관리감독. 73.84 93.80. 개인정보보호 교육 개인정보보호책임자 역할 수행. 89.92 86.72. 개인정보 수집이용 최소화 이행 보호대책 수립 및 시행. 90.11. 개인정보 파일 관리 영향평가 계획수립 및 결과관리. 95.22 91.59. 개인정보 처리방침 수립 및 공개. 92.13. 개인정보 노출방지 및 자율개선 침해사고 대책. 침해사고 대응절차 수립 전파 개인정보처리시스템 접근기록 관리. 86.69 83.09.

(9) 각 중앙행정기관 시행계획 이행실적 1/2 II.<참고 개선5> 필요사항 12년 중앙행정기관 시행계획 시행계획 개요 작성 대상 : 각 중앙행정기관 (46개) 주요 내용 : ①정책 및 제도개선, ②시스템 운영,. ③교육. 및 홍보. ’12년 총 312개 사업, 예산 60,611백만원 * 안행부에서 작성핚 3년 단위 기본계획에 따라 각 기관별 특성을 반영하여 연도별로 작성 (법 제10조). ’12년 이행 실적 총평 주요 성과 - 주민번호 수집·이용 최소화 정책, 분야별 가이드라인 마렦 등을 통해 개인정보보호법의 조기 정착 기반 마렦. 미흡 분야 - 개인정보보호법에 부합하는 개별법령 정비 및 분야별 실태개선 등 미흡.

(10) 각 중앙행정기관 시행계획 이행실적 1/2 2/2 II.<참고 개선5> 필요사항 12년 필요사항 중앙행정기관 시행계획 개선. 소관 법령의 정비를 위핚 실질적 노력 필요 * 주민번호 및 민감정보 처리근거 마렦을 위핚 법령 일괄 개정 외에. 개인정보보호 법의 취지 및 주요 원칙에 부합하는 개별법 정비 필요. 인력 및 예산 확보를 위핚 관계부처 협력 필요 *. * 안전핚 관리 및 실태점검 강화 등을 위핚 전담인력, 예산 확보 필요. 소관분야, 산하기관에 대핚 처리실태 점검 강화 필요 * 검찰청, 경찰청 등 유출위험이 높은 기관 내부통제 강화 필요. 사업자 실무교육 강화 및 내부직원 역량 강화 필요 * 분야별 가이드라인을 홗용하여 실무교육 실시 및 자격증 취득 장려 등.

(11) 각 중앙행정기관 시행계획 이행실적 1/2 2/2 II.<참고 개선5> 필요사항 중점 사항 (현황/실태 종합) 1. 개인정보 관리체계 구축 및 지속관리. □ 개인정보 관리체계 구축, 개인정보 생명주기에 따른 법규 준수사항 주기적 점검 □ 서비스제공을 위해 꼭 필요핚 최소핚의 개인정보만 수집(개인정보파일 일제정비). 조직에 맞는 개인정보보호 정책 수립 및 관련자 교육 최소 정보 수집 • 수집 시 동의 •. 최고책임자(CPO)와 업무담당자를 지정 지속적인 통제 및 내부 보안감사 수행 등. • 목적 외. ※ 근거 : 법 제15조(개인 정보의 수집이용). 이용ㆍ제공 금지. 수집 이용. 개인정보 보유현황 파악. 개인정보 조회/취득 통제. 개인정보 전송/유출 통제 • 목적 달성후 지체없이 파기. 정보주체와 약정한 서비스 제공, 법률상 의무 이행, 공공기관 업무수행 등을 위해 반드시 필요한 최소한의 정보만을 수집. ※근거 : 법 제21조 (개인정보의 파기). 파기. ※ 근거: 법 제19조 (개인정보 제공 받은 자의 이용 ㆍ 제공 제한). • 안전성 제공. 확보조치 (암호화, 접근 통제 등) ※ 근거: 법 제29조 (안전조치의무).

(12) 각 중앙행정기관 시행계획 이행실적 1/2 2/2 II.<참고 개선5> 필요사항 중점 사항 (현황/실태 종합) 2. 위탁업무 관리 및 감독 강화.

(13) 각 중앙행정기관 시행계획 이행실적 1/2 2/2 II.<참고 개선5> 필요사항 중점 사항 (현황/실태 종합) 3. 접근 권한 관리 및 접속기록 점검.

(14) 각 중앙행정기관 시행계획 이행실적 1/2 2/2 II.<참고 개선5> 필요사항 중점 사항 (현황/실태 종합) 4. 목적 외 이용 및 제공 관리 철저.

(15) 각 중앙행정기관 시행계획 이행실적 1/2 2/2 II.<참고 개선5> 필요사항 중점 사항 (현황/실태 종합) 5. 홈페이지 보호조치 및 업무담당자 관리. 개인정보 보유 홈페이지에서 개인정보 보호조치가 취해지도록 각 홈페이지 및 개인정보업무 담당자 관리 < 관리자 > - 홈페이지 설계 오류 등 취약점 점검/조치, 관리자 페이지 무단접근 방지 - 개인정보 필터링 시스템 도입 등 보호조치 강화. -용역 발주 시 보안교육을 수료한 인력 포함 요청하고 철저한 자격 검증 < 각 업무담당자 > - 게시판의 글, 첨부파일 등록 시 개인정보 포함여부 검토 후 게시 - 개인정보 업무 담당자 대상 주기적인 개인정보보호 교육 수행 ※ www.privacy.go.kr 사이버 교육, www.i-privacy.kr 온라인교육. - 민원, 문의 등으로 게시판의 글, 첨부파일 등록 시 개인정보 포함여부 검토 후 게시.

(16) III. 향후 정책방향 Insights and Direction. 人. 보안 위협요소. (1,029개 기업 설문조사). - 사람(보안정책 부재) : 33%(+11%) - 시스템 복잡성 증가 : 38%(-14%) - 데이터 증가. : 25%(-19%). * BYOD, 소셜 미디어 환경. 必. Fortune 500 기업 - 매년 평균 140여개 소송 진행. 프로세스 확립 및 지속관리 “소셜 엔지니어링 Attack” “Behavior Insight”. 사전 예방조치 및 선제 투자 기획점검/처분 및 실태 개선. * 준법, 책임성(Compliance, Going Concern). * APEC, OECD 등 Privacy Round. 協. 직원 교육 및 관행 개선. “Risk”  “Value Mgt”. “Last One Mile”. 민간/정부 협치 및 협력. - (통신) 서비스 제공자 : 고객. 현장/수요자 중심 지원체계.  2% 부족 ?, 마중물 / 계기. “양방향 Signaling”, “생태계”.

(17) III. 향후 정책방향 민관 협치의 보호수준 향상 주요 업종 계약서/서식 일괄정비 - 과다, 불필요 수집 및 무단제공 관행 근절. 법 제도 개선 및 책임성 강화 개인정보보호법 개정 - “주민번호 수집/이용 최소화 대책” 후속조치. 인증 마크제 도입 추짂 - 업종별 자율점검 및 개선 유도. 취약업종, 반복노출기관 점검 강화. 행정처분 확행 및 관계 기관 협력 강화. 합동 점검 및 실태개선. 빅데이터시대 개인정보보호대책 마렦 - 데이터 공유/개방 및 보호조치 조화 등. 창업자 대상, 개인정보조치 지원 강화 주민번호 대체수단 도입/전홖 기술지원 “지역거점 지원센터” 설치 및 운영. 기술지원 및 교육.

(18) IV. 중점 추진사업 (1/4) 1. 민간 협업의 보호수준 향상. 주요 업종 계약서, 서식 개선. 과다, 불필요 개인정보 수집, 무단 제공 관행 근절 - 통신, 금융, 쇼핑 등 주요 업종 163종 서식 정비 * 수집/이용절차, 고지사항, 최소 수집 원칙 등. 행정/민원서식 : 1,650종 일괄정비 (주민번호생년월일). 개인정보보호수준 인증제 도입. 개인정보 보호수준에 따라 등급별 인증마크 부여 인센티브(행정처분 면제/경감, 포상 등), 대국민 홍보/소개 등. 개인정보 보호관리과정, 개인정보보호대책 구현 등 심사 * 기업 규모 등을 고려, 심사항목 차등화 (소상공인 별도체계). 민갂 협회단체 자율 규제 강화. 시범 협회/단체 지정 사례 전파 자율홗동 문화 정착 * 맞춤형 정보제공/교육, 컨설팅, 자율 점검 및 규약 제정 등. “개인정보보호포럼” 및 “범국민운동본부” 홗성화.

(19) 개인정보개인정보보호수준 보호수준 인증제(PIPL) 인증제 개요(1) (1/2) <참고> 개념. 개인정보 처리기관이 개인정보 보호 홗동을 자율적으로 촉짂ㆍ지속 핛 수 있도록 해당 기관의 개인정보 보호수준을 점검해 인증마크를 부여하는 제도 ※ 개인정보 보호수준 : 개인정보를 처리함에 있어 제반 보호조치를 시행하고 있는 수준 ▶보호대책 ·보호체계 수립 ▶ 기술적·관리적·물리적 보호조치 ▶ 정보주체의 권리보장 등. 근거 : 개인정보보호법 제13조(자율규제의 촉짂 및 지원) 대상기관 모 든 개 인 정 보 처 리 자. 병원, 학원, 제조업, 서비스업 등 72개 업종 350만 민간 사업자. 사업자. 공공 중앙부처, 지방자치 기관 단체, 공사, 공단, 학교 등 2.8만 기관. 기대효과 국회·법원·헌법 재판소, 중앙 선거 관리 헌법 위원회 등. 기관. 개인정보보호 자율규제 문화확산 ▶ 인증과정을 통하여 기관 내부의 개인정보 보호 수준을 점검 ▶ 조직 내부 구성원에게 개인정보 보호 중요성 전파 및 인식제고. 비영리 단체. 사업자 협회 · 복지법인 등. 기관의 대외 이미지 제고 ▶ 인증마크의 대외공표로 개인정보 보호에 대핚 싞뢰성 확보.

(20) 개인정보개인정보보호수준 보호수준 인증제(PIPL) 인증제 개요(2) (2/2) 개요(1) <참고> 인증 추진체계. 인증 심사영역. 안전행정부 인증제도 운영. NIA. 인증심사원 인증심사 수행. 인증마크 싞청/취득. 인증심사 결과심의. 인증위원회. 개인정보 보호 관리 과정. 개인정보 보호 대책. 개인정보 보호체계. 개인정보 처리제핚. 실행 및 운영 모니터링 교정 및 개선. 싞청기관. 관리적 보호조치 기술적 보호조치 물리적 보호조치 정보주체 권리보장. 인증 유형 기관별 특성(규모)을 반영핚 인증 유형 구분 민갂부문 : 3개 유형으로 인증 - 유형1(대기업용) : 68개 심사항목(150개 점검항목) - 유형2(중/소기업용) : 54개 심사항목 (124개 점검항목) - 유형3(소상공인용) : 34개 심사항목(87개 점검항목). 공공부문 : 단일 유형으로 인증 - 공공기관 : 68개 심사항목(150개 점검).

(21) IV. 중점 추진사업 (2/4) 2. 제도 개선 및 책임성 강화 주민번호 수집 법정주의 (원칙적 금지, 법령 예외). 주민번호 유출기업 대상 과징금 제도 싞설 (5억원 이하). 법 개정. 유출기업 및 기관의 CEO 및 임원 징계 권고제 도입. 국외이전 기준. “APEC CBPRs” 및 “EU 적합성 평가” 대응전략 마렦 * “국외이전 가이드라인” 수립 및 배포. 개인정보보호분야 국제협력 및 국제공조체계 강화 * APEC, OECD, ISO, Cyber-Space 총회 등. 빅데이터 보호방안. 빅데이터 홖경, 개인정보보호조치 강화방안 데이터 처리단계별 개인정보보호 기준 및 절차 마렦.

(22) IV. 중점 추진사업 (3/4) 3. 합동점검 강화 및 실태 개선. 취약업종, 분야 점검 강화. “합동점검단” 중심 기획 조사 및 특별조사 강화 * (선정 기준) 민감정보 다량 보유, 회원유치 과열 반복 다량 노출, 반복 민원/신고 발생. 행정처분 확행, 관렦 협회/단체 사례 전파. 관계기관 협력 제도 개선. 통합 모니터링 및 조치 강화. 금융위, 방통위 등 관계기관 합동 제도개선 추짂 분야별 취약 요인, 구조적 문제점 등 짂단 / 분석. 업종, 분야별 가이드라인 마렦 및 배포. 개인정보 유/노출 모니터링 정보 공동홗용 및 대응조치 * 민원인 실수, 관리자 조치필요사항 및 홈페이지 설계 등. 사전 삭제조치, 교육/홍보, 기술지원 및 조사 단속 등.

(23) IV. 중점 추진사업 (4/4) 4. 기술지원 및 교육 강화 창업자 대상 개인정보보호조치 지원 - 기술적, 관리적 안전성 확보조치 사항 컨설팅 및 지원. 창업자 지원. 주민번호 대체/전홖. - “주민번호 수집/이용 대책” 후속조치 중소기업청, 자치단체 (창업지원센터) 연계 최소화 협력 추짂. 주민번호 미수집 전홖, 대체수단 마렦 지원 중소업체 대상, 시범 모델 개발 및 보급. “가이드라인” 마렦 및 교육/상담 추짂. 지역거점 지원센터. 지원센터”지원 설치 및 운영 지역별 교육, 홍보, 컨설팅 “지역거점 및 보호조치사항 - 주민센터, 정보화센터, 상공회의소, 지방공무원교육원, 대학 등.

(24) (개인정보보호, “1.0”  “3.0”) 시스템운영관리자. 개인정보보호책임자 정책 수립 및 체계 정립. 기술적 보호조치 및 이행 관리. - 보호계획/방침, 전담조직/투자. - 접근권핚/인적 보안, 접속기록 감사. Supporting. 소양 및 관리역량 확보 - 개인정보처리현황, 관리실태 이해. 관리 감독 (Risk Mgt). Communication 역량 강화 - 보안투자, 개선조치사항. Steering. 개인정보 생명주기별 관리/지원. - 내부통제시스템 및 정기감사. - 업무 + IT, 전사적 시계. Compliance. 각 부서 업무담당자 인식 및 관행 변화 - 업무처리절차/방식 개선, 교육. 민원 처리 및 피해구제 - Double/Cross Check, Reporting.

(25) • 참고자료 : 개인정보보호 종합지원 포털 : www.privacy.go.kr(자료실). - 25 -.

(26)

참조

관련 문서

※ 정보주체의 동의를 받거나 법령의 처리 근거 또는 계약의 체결∙이행 등을 위해 불가피하게 개인정보 수집하는 경우에도 처리 목적 달성에 필요한