2011. 6. 26. 00:42ㆍ카테고리 없음
@ 개인정보 라이프 사이클 관리
1. 개인정보 라이프 사이클
A. 개인정보 수집 → 저장 및 관리 → 이용 및 제공 → 파기
B. 생명 주기 형태
C. 기업에서의 개인정보 라이프 사이클
i. 방대한 정보 관리/통제 위해서 현황 파악이 제일 중요
ii.
라이프 사이클 형태별 흐름파악 및 개별적인 리스크
파악하여, 문제를 해결하기 위한 제일 효율적인 방법
CPPG - 개인정보 라이프 사이클(Life Cycle) 관리
2. 개인정보 수집 이용
A. 개인정보 수집 이용의 동의
i. 개인정보의 수집 이용 목적
ii. 수집하는 개인정보의 항목
iii. 최소한의 정보 수집 원칙
B. 개인정보 수집 제한
i. 민감 정보의 수집 금지 원칙
ii. 최소한의 정보 수집 원칙
C. 개인정보 수집 제한 원칙 준수
i. 인권침해 우려 시
ii. 사회적 차별 유발 시
iii. 서비스 제공에 필요한 최소한의 정보를 수집
D. 개인정보 수집 및 이용 시 고지 사항 : 목적/동의/항목/기간 사항 고지
E.
개인정보 수집 시 고지 방법 중 언론 매체를 통한 방법이
비용 대비 비효율적
CPPG - 개인정보 라이프 사이클(Life Cycle) 관리
3. 개인정보 제공
A. 개인정보 제공 원칙 중 가장 높은 우선 순위 → 이용자의 동의
B. 개인정보의 제공 동의
i. 개인정보를 제공 받은 자
ii. 개인정보를 제공받은 자의 개인정보 이용 목적
iii. 제공하는 개인정보의 항목
iv. 개인정보를 제공받은 자의 개인정보 보유 및 이용기간
C. 개인정보의 취급 위탁
i. 개인정보 취급 위탁을 받은 자
ii. 개인정보 취급 위탁을 하는 업무의 내용
※ 제공 vs 위탁
-
제공 : 제 3자에게 제공 (예시> 통신회사에서 텔레마케터에게 정보
제공)
- 위탁 : 서비스 완결을
위해 필요한 업무의 일부
(쇼핑몰 회사에서 택배사에게 배송을
위한 정보를 제공)
CPPG - 개인정보 라이프 사이클(Life Cycle) 관리
4. 개인정보 파기
A. 개인정보의 파기
i. 수집 이용 목적을 달성한 경우
ii. 보유 및 이용기간이 종료된 경우
iii. 사업 폐지하는 경우
B.
지체 없이 파기
‘지체 없이’는 ‘즉시’를 의미하지 않지만, 합리적 이유 및 근거에 따라 가장 빠른
시기를 의미함
CPPG - 개인정보 라이프 사이클(Life Cycle) 관리
5. OECD 개인정보보호 원칙
A.
수집제한의 원칙
목적에 맞지 않는 정보 수집을 하지 않음, 개인정보 최소화 수집
B.
정보 정확성의 원칙
정보가 정확해야 하고,
틀리면 정정
C.
목적 명확화 원칙
어떤 목적으로 쓸 것인지 목적이 정확
D.
이용 제한의 원칙
명확한 목적 이외에는 이용을 제한
E.
안전보호의 원칙
수집 후 안전하게 보관
F.
개인 참가의 원칙
내 정보에 대한 사용 동의/결정/오류 정정/동의
철회권
G.
공개의 원칙
어떤 정책을 가지고 누가 책임을 지는지 공개 →
책임, 정책(관리)
H.
책임의 원칙
CPPG - 개인정보 라이프 사이클(Life Cycle) 관리
6. 개인정보의 Ownership
A. 수집된 개인정보 소유권 → 기업
B. 개인정보 관리 책임자의 지정
C. 개인정보 관리 책임자의 자격 요건
i. 임원 or 이용자 고충처리 부서의 장
ii.
사업주 or
대표자
대표자 : 5인 이하, 3개월 이내 일일 방문객 1,000 명 이하의 사업장 대표자
7. 개인 정보보호 책임자
A. 고객 센터장 → CIO → CISO, CPO(정보보호 총괄 책임자)
B. 내부관리 계획 수립, 이행의 총괄
C. 개인정보의 기술적, 관리적 보호조치 기준 이행 총괄
D.
개인정보 침해 행위 점검 (개인정보 처리자 공통)
8.
개인정보 수집 시 동의 사항의 명기
명확한 목적,
정확한 항목, 보유 가능한 기간 (추상적
의미가 아닌, 현실적)
9. 동의 예외 사항 (수집 시 동의 예외사항)
A. 경제적, 기술적 사유로 정보통신 서비스 이용 제약
B. 요금 정산을 위한 경우
C.
기타 법률에 의한 경우 (예시> 병원에서의 개인정보 수집)
10. 개인정보 동의 획득 방법
A. 본인 동의함을 제 3자가 봐도 알 수 있음
B. 동의 내용 기재 후 클릭 유도 (Web Site)
C. 전자 우편을 통해 내용 회신을 받거나 클릭 유도 (Mail)
D. 전화를 통해 사전 고지 후 녹취 (전화)
E.
서면 고부 및 모사 전송을 통한 서명 날인
접수 (우편/FAX)
11. 주민등록 번호 이외의 가입 방법 의무화
A. I-Pin / G-PIN
B. 포털 : 전년도 말 기준 직전 3개월 간 일일 사용자 수 5만 명 이상
C. 게임 : 전년도 말 기준 직전 3개월 간 일일 사용자 수 1만 명 이상
D. 전자 상거래 : 전년도 말 기준 직전 3개월 간 일일 사용자 수 1만 명 이상
E.
기타 : 전년도
말 기준 직전 3개월 간 일일 사용자 수 1만 명
이상
12. 동의와 통지
A.
동의
이용자에게 개별적으로 연락을 취해 회신 등 방법으로
피드백을 받은 조치
B.
통지
이용자에게 개별적으로 연락을 취하지만, 피드백을 받을 필요가 없는 조치
13. 민감 정보의 최소 수집의 원칙
A. 기본적 인권 침해 우려가 있는 정보 수집 금함
B.
서비스 제공에 필요한 최소한의 정보를 수집하도록
함
14. 개인정보 취급 방침의 공개 (OECD 공개 원칙)
A. 개인정보 수집 목적, 항목, 방법
B. 제 3자 제공의 경우, 제공 받은 자, 목적, 항목
C. 개인정보 보유기간, 파기 절차 및 방법
D. 개인정보 취급 위탁 업무 내용 및 수탁자
E. 이용자 및 법정 대리인의 권리 및 그 행사 방법
F.
개인정보 관리 책임자 및 고충처리 부서
15. 제 3자 제공과 위탁
A. 제공 : 정보통신 서비스와는 무관한 서비스를 제공
B.
위탁 : 업무의
일부를 다른 업체가 수행하는 과정에서 제공
16. 개인정보 제 3자 제공
A. 개인정보를 제공 받은 자, 이용 목적, 항목, 보유 기간
B.
고지 후 개별적인 동의 (변경 시에도 개별적인 동의)
17. 개인정보 취급 위탁
A. 개인정보 취급 위탁 받은 자, 업무 내용
B. 고지 후 개별적인 동의 (변경 시에도 개별적인 동의)
C.
단, 계약 이행을
위한 경우 이용자 통지로 갈음
18. 취급 위탁 시 주의점
A. 업무의 재위탁 시에도 이용자 동의 획득 필요
B.
수탁자의 취급 업무 시에는 위탁자의 관리 감독 권한을
부여
규정 위반 시, 수탁자의 손해배상 책임을 위탁자의 직원과 동일하게 처리
19.
영업 양수도에 따른 개인정보 이전
영업 양도에 따른 개인정보 이전 시의
통지
20. 이용 목적 달성한 개인정보의 파기
A. 개인정보의 수집 이용 목적을 달성한 경우
B. 개인정보의 보유 및 이용기간이 끝난 경우
C. 폐업하는 경우
D.
기타 법률에서 정한 경우
21. 파기 방법
A. 종이로 출력 : 분쇄하거나 소각
B. 전자적 파일 형태 : 재생할 수 없는 기술적 방법 이용하여 삭제
i. 공개 자료 : 완전 포맷 3회
ii. 민감 자료 : 완전 포맷 3회/완전 파과/자기소자
iii.
비밀 자료 :
완전 파괴/자기소자
22.
개인정보 파기 대상
이용자가 제공한 개인정보 뿐만 아니라 이용자 서비스 제공
과정상에서 생성된 정보
(생성정보)
및 백업 파일에 기재된 모든 개인정보가 대상임
23. 이용 목적 달성 후 개인정보 관리 방법
A. 목적 달성 후 지체 없이 파기
B.
보관해야 하는 개인정보의 경우, DB와 분리 후 최소화된 접근권한을 부여하여,
제한적으로 관리되어야 함
24. 수집 목적 달성 및 완료 후 파기 대상되는 개인정보의 유형
A. 회원가입 정보 : 회원 탈퇴하거나 회원에서 제명된 경우
B. 대금지급 정보 : 대금의 완제일 또는 채권 소멸 시효기간 만료될 때
C. 배송 정보 : 물품 또는 서비스가 안되거나 제공될 때
D. 설문조사, 이벤트 등 일시적 목적 : 설문 조사, 이벤트 종료 시
E. 본인확인 정보 : 본인임을 확인할 때 (본인 인증 시)
F.
제 3자에게
제공 : 개인정보 제공 시 보유 및 이용기간이 도래된 때
25. 개인정보 관리 직원의 통제 → 사회공학 공격에 대비