728x90
반응형
SMALL

개인정보의 안전성 확보조치 기준과 개인정보의 기술적,관리적 보호조치 기준 비교

개인정보의 안전성 확보조치 기준 개인정보의 기술적, 관리적 보호조치 기준
제1조 목적 제1조 목적
제2조 정의
10. "개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
 - 개인정보처리시스템이란 일반적으로 데이터베이스(DB) 내의 데이터에 접근할 수 있도록 해주는 응용시스템을 의미하며, 데이터베이스를 구축하거나 운영하는데 필요한 시스템을 말한다.
 - 업무용 컴퓨터의 경우에도 데이터베이스 응용프로그램이 설치·운영되어 다수의 개인정보취급자가 개인정보를 처리하는 경우에는 개인정보처리시스템에 해당될 수 있다.
- 다만, 데이터베이스 응용프로그램이 설치·운영되지 않는 PC, 노트북과 같은 업무용 컴퓨터는 개인정보처리 시스템에서 제외된다. 		 제2조 정의
공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.
 - 공개된 무선망은 커피전문점, 도서관, 공항, 철도역, 버스터미널, 대학, 병원, 유통센터, 호텔 등에 설치될 수 있으며 개인정보처리자가 고객이나 방문객용으로 매장, 로비, 대합실, 회의실, 휴게실,주차장 등의 장소에 설치한 무선접속장치도 이에 해당한다.
 - 개인정보처리자가 직원의 업무처리 목적으로 사무실, 회의실 등에 무선접속장치(AP)를 설치하여 운영하는 경우 “공개된 무선망”에서 제외된다.
· CDMA, WCDMA 등의 기술을 사용하는 이동통신망은 “공개된 무선망”에서 제외된다 		 
접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다  
제3조 안전조치 기준 적용 없음
제4조 내부관리계획의 수립.시행
    지역교권 통암기 악물조 유 위재위

1.개인정보보호책임자(CPO)의 지정에 관한 사항
2.개인정보보호책임자 및 개인정보취급자의 역할
  및 책임에 관한 사항 (CISO아님)
3.개인정보취급자의 교육에 관한 사항
4.접근권한의 관리에 관한사항
5.접근통제에 관한 사항
6.개인정보의 암호화조치에 관한 사항
7.접속기록 보관 및 점검에 관한 사항
8.악성프로그램 등 방지에 관한 사항
9.물리적 안전조치에 관한 사항
10.개인정보보호조직에 관한 구성 및 운영에 관한
   사항
11.개인정보 유출사고 대응계획 수립.시행에 관한
  사항.
12.위험도분석 및 대응방안 마련에 관한 사항
13.재해 및 재난대비 개인정보처리시스템의 물리
   적 안전조치에 관한 사항
14.개인정보처리 업무를 위탁하는 경우 수탁자에
   대한 관리 및 감톡에 관한 사항		 제3조 내부관리계획의 수립.시행
      지역 내이 위도

1.개인정보관리책임자의 자격요건 및 지정에 관한 사항
2.개인정보관리책임자와 개인정보책임자의 역할 및 책임에
  관한 사항
3.개인정보 내부관리계획의 수립 및 승인에 관한 사항
4.개인정보의 기술적,관리적 보호조치 이행 여부의 내부
  점검에 관한 사항
5.개인정보처리업무를 위탁하는 경우 수탁자에 대한 관리
  감독에 관한 사항
6.개인정보의 도난,분실,누출,변조,훼손 등이 발생한 경우의
  대응절차 및 방법에 관한사항
내부관리계획 중 유형2는 해당하지 않는 항목
  : 위재위
위험도분석 및 대응방안 마련에 관한 사항
재해 및 재난대비 개인정보처리시스템의
    물리적 안전조치에 관한 사항
③ 개인정보처리 업무를 위탁하는 경우 수탁자에   
    대한 관리 및 감독에 관한 사항		  
제5조 접근권한의 관리
:유형1인 경우 다음 2가지 안해도 됨
① 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여해야 한다.
② 계정및 비밀번호를 일정횟수 이상 틀렸을 경우 접근제한등의 기술적 조치를 취해야 한다
     -> 기술적,관리적보호조치기준에는 없다.
         (즉 정보통신서비스제공자는 해당없음)		 정통망법에서는 비밀번호 일정횟수이상 틀린경우에 대한 접근제한사항에 대한 내용은 없다.

사용자패스워드는 내부적으로 설정한 규칙을 준수하면 되는 거지 영어대소문자,숫자,특수문자 조합 8자리이상 2개이상 조합시 10자리 이상 을 따를 필요는 없다. 다만 개인정보취급자는 위 규칙을 준수해야 한다.
제6조 접근통제
① 개인정보처리자는 다음 각호의 조치를 해야 한다.
1.개인정보처리시스템에 대한 접속권한을 IP 주소등으로 제한
2.개인정보처리시스템에 접속한 IP정보를 분석하여 불법적인 정보유출 시도를 탐지

② 외부에서 개인정보처리시스템에 접속하는 경우 VPN 또는 전용선 등 안전한 접속수단이나 안전한 인증수단(OTP) 을 적용 (즉 개보법에서는 둘중에 하나만 적용해도 되고, 망법에서는 둘다 해야 한다.)

③ 개인정보처리시스템, 업무용 컴퓨터, 모바일기기 및 관리용 단말기에 접근통제 조치

연1회이상 취약점 점검 수행

⑤ 일정시간 업무처리 안할시 자동 접속차단
     -> 기술적,관리적보호조치기준에는 없다.
         (즉 정보통신서비스제공자는 해당없음)

⑥ 별도의 개인정보처리시스템 없이 업무용 컴퓨터나 모바일기기를 이용하여 개인정보처리 시  제1항을 적용하지 않을 수 있다. (IP제한) 
  이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS: Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다

유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수있다.
- 안전한 접속수단(VPN,전용선), 안전한 인증수단(OTP) 적용
- 연1회이상 취약점 점검
- 일정시간 업무처리 안할시 자동접속차단 		제4조 접근통제
<망분리 대상 - 100 100>
⑥ 전년도말 기준 직전 3개월간 그 개인정보가 저장.관리되고 있는 이용자수가 일일 평균 100만명 이상이거나,정보통신서비스부문 매출액이 100억원 이상인 정보통신서비스제공자는
- 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할수 있거나
- 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터등을 물리적 또는 논리적으로 망분리 해야한다,

* 회원현황만 조회가능한 단순 정보조회자 pc는 망분리 대상이 아니다.
* 개인정보의 기술적,관리적 보호조치 기준 제9조 (개인정보표시제한 보호조치) 에서 정한 미스킹 기준을 따라 개인을 식별할 수 없도록 마스킹 처리가 된 경우에는 망분리 적용대상 아니다.
  반면 DRM을 적용해서 암호화된 개인정보를 다운로드하는 경우에는 DRM과 상관없이 망분리 대상이다.
단순조회자 - 망분리X
마스킹      - 망분리X
DRM        - 망분리O
이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립
개인정보취급자는 비밀번호 작성규칙을 수립하고,이를 적용·운용하여야 한다.
    - 2문자조합 10자리,  3문조합 8자리 등...
  즉 이용자는 그냥 강제는 아니지만, 개인정보취급자(사용자)는 법에 맞는 작성규칙을 따라야 한다.
반면 안전성확보조치기준에서는, 제4조 (접근권한의관리)에서
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.

<외부접속시 추가인증수단 적용>
외부에서 개인정보처리시스템에 접속을 불가피하게 허용할때에는 사용자계정/비밀번호 이외에 추가적인 인증수단을 적용해야 한다. 예를 들어 vpn적용해서 vpn아이디/비밀번호 접속후 사용자계정/비밀번호 접속으로만 하지 말고 otp등 추가적인 2차 인증수단을 적용해야 한다. 
(개보법에서는 안전한 접속수단(VPN,전용선) or 안전한 인증수단(OTP) 중 하나만
 적용해도 되지만 망법에서는 둘다 적용해야 함)

단순한 조회자권한만 있더라도 otp를 적용해야 한다.
(망분리 대상자와는 달리)
제7조 개인정보의 암호화
:유형1,2인 경우 다음 1가지 안해도 됨
①안전한 암호화키 생성.이용.보관.배포.파기절차를 수립.시행해야 한다.		 제6조 개인정보의 암호화
③ 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보및 인증정보를 송.수신할때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호중 하나의 기능을 갖추어야 한다.
  1. 웹서버에 SSL 인증서를 설치하여 전송하는 정보를 암호화하여 송.수신 -> HTTPS 를 말함.
  2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신 -> http를 사용하는 대신 암호화해주는 응용프로그램이라도 있어야 한다.
  -> http://www.xxx.co.kr/join 식으로 회원관리페이지 URL인데 별도 암호화해서 전송해주는 응용프로그램도 없이 딸랑 웹방화벽만 있으면 결함.  (2.7.1 암호정책 적용)
제8조 접속기록의 보관 및 점검
 ① 접속한 기록을 1년이상 보관.관리하여야 한다
    다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, (1명이라도)고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템인 경우 2년이상 보관.관리하여야 한다.
 ② 개인정보처리자는 개인정보의 오남용,분실도난,유출,위조,변조,훼손 등에 대응하기위해 접속기록을 월1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우 내부관리계획으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다
 ③ 개인정보처리자는 접속기록이 위.변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
(정보통신제공자와 달리 백업의무를 명시하지는 않았고 따라서 물리적인 저장장치에 보관하지 않아도 된다.)

접속기록관련해서는 3가지가 준수되어야 한다.
    1. 항목 - 계정,접속일시,IP,업무내용 등
    2. 보관 - 1년 or 2년
    3. 위변조방지 - 안전하게 보관 (백업,Hash) 		제5조 접속기록의 위.변조 방지
① 정보통신제공자등은 접속한 기록을 월1회 이상 정기적으로 점검하고, 시스템 이상유무의 확인 등을 위하여 최소 1년 이상 접속기록을 보존.관리해야 한다.
② 단 제1항에도 불구하고 기간통신사업자의 경우에는 보존,관리해야 하는 기간을 2년으로 한다.
③ 정보통신제공자등은 접속기록이 위.변조 되지 않도록 별도의 물리적인 저장 장치에 보관하고 정기적으로 백업을 수행 하여야 한다.
제9조 악성프로그램 등 방지 제7조 악성프로그램 방지
제10조 관리용단말기의 안전조치
 "관리용 단말기" 란 개인정보시스템의 관리,운영,개발,보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.		  
제11조 물리적 안전조치 제8조 물리적 접근방지
제12조 재해.재난대비안전조치
  ① 개인정보처리자는 화재,홍수,단전등의 재해.재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
 ② 개인정보처리자는 재해.재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련해야 한다.
  유형1, 유형2에 해당하는 개인정보처리자는 위 제1항,제2항의 조치를 이행하지 아니할 수있다
 		  
제13조 개인정보의 파기  
  제9조 출력.복사시 보호조치
  제10조 개인정보표시제한조치
  제11조 규제의 재검토
[별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준  

 

● 개인정보의 안전성 확보조치 기준에만 나오는 항목 (차틀 V취세 관재파)

 안전성 확보조치에만 나오는 항목
  (차틀 V취세 관재파)

 즉 정보통신서비스제공자에게는 해당없는,
    개인정보보호법에 적용받는 공공기관에만 해당.

안전성확보조치에서는 안전한접속수단(VPN,전용선)
                         + 안전한인증수단(OTP)
기술적.관리적에서는 안전한인증수단(OTP)만 명시		 접근권한 차등부여
비밀번호 일정횟수이상 틀렸을시 조치

VPN 또는 전용선 등 안전한 접속수단
일정시간 사용하지 않는경우 접속(세션) 차단
연1회이상 취약점 점검

관리용 단말기의 안전조치
재해.재난대비 안전조치
개인정보의 파기
기술적 관리적 보호조치에만 나오는 항목
(조백출표규) 		2문자조합10자리이상,3문자조합 8자리 등 비밀번호 구체적인 작성규칙
접속기록 물리적인 저장장치에 백업
출력.복사시 보호조치
개인정보표시 제한조치
규제의 재검토

 

● 유형별 개인정보의 안전성 확보조치 기준

유형 기준 해당 회사 안해되 되는 항목
유형1 (완화)

내차틀 V취세재		 1만명 미만의 정보주체에 관한 개인정보를 보유 소상공인,단체,개인 <유형1 - 안해도 되는 것>  ->  내차틀 V취세 재

 (1) 내부관리계획
         <제5조 접근권한의 관리>
 (2) 개인정보처리시스템에 대한 접근권한을 업무
     수행에 필요한 최소한의 범위로 업무담당자
     에 따라 차등 부여해야 한다.
 (3) 계정및 비밀번호를 일정횟수 이상 틀렸을
    경우 접근제한등의 기술적 조치를 취해야 한다
        
         < 제6조 접근통제 >
 (4) VPN,전용선 or OTP 적용
 (5) 연1회이상 취약점 점검
 (6) 일정시간 업무처리 안할시 자동접속차단
     (세션타임아웃)

          <제12조 재해.재난대비안전조치>
유형2 (표준)

위재위 키재 		100만명 미만 중소기업 제4조 내부관리계획의 수립.시행
  아래 3가지를 내부관리계획에 포함하지 아니할 수 있다.
 12.위험도분석 및 대응방안 마련에 관한 사항
 13.재해 및 재난대비 개인정보처리시스템의 물리
   적 안전조치에 관한 사항
 14.개인정보처리 업무를 위탁하는 경우 수탁자에
   대한 관리 및 감톡에 관한 사항
제7조 개인정보의 암호화
 ①안전한 암호화키 생성.이용.보관.배포.파기
       절차를 수립.시행해야 한다.

제12조 재해.재난대비안전조치
10만명 미만 대기업, 중견기업, 공공기관
1만명 이상 소상공인, 단체, 개인
유형3 (강화) 10만명 이상 대기업, 중견기업, 공공기관  
100만명 이상 중소기업, 단체  

 

 유형

구분 1만명 미만 1만명 ~ 10만명 미만 10만명 ~ 100만명 미만 100만명 이상
소상공인 유형1 유형2
개인
단체 유형2 유형3
중소기업 유형2 유형3
공공기관 유형2 유형3
대기업
중견기업

 

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리 (8/10)  (0) 2021.04.28
ISMS-P 키워드별 정리(7/10)  (0) 2021.02.19
ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
ISMS-P 키워드별 정리(3/10)  (0) 2021.02.08
728x90
반응형
SMALL

정보보호최고책임자 (CISO) 신고 대상 업종 (내 ISMS 특5명1천 통5명 음 상1천)

1.용선별 소프트웨어 개발및 보급사업자
2. ISMS 인증의무 대상자
3. 수유형 온라인서비스 제공자로 상시 종업원 수가 5명이상이거나 전년도말 기준 직전 3개월 간의 일일평균 이용자 수가 1천명 이상인 자
4. 신판매업자로서 상시 종업원수가 5명이상인
5. 란물 및 사행성개임물 차단 프로그렘 제공
5. 시 종업원수가 1천명 이상인 자 

 

CISO와 CPO 업무 비교

정보보호최고책임자(CISO)
정취 침대보 암		 개인정보보호책임자 (CPO)
계조 불내교파 방자파
1. 정보보호 관리체계의 수립 및 관리운영
2. 정보보호 취약점 분석.평가 및 개선
3. 침해사고 예방 및 대응
4. 사전 정보보호대책 마련 및 보호조치 설계.구현등
5. 정보보호 사전 보안성 검토
6. 중요정보의 암호화 및 보안서버 적합성 검토		 1. 개인정보보호 계획의 수립 및 시행
2. 개인정보처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오남용 방지를 위한 내부통제시스템
   구축
5. 개인정보보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리 감톡
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령
   으로 정한 업무 
    - 개인정보처리방침의 수립.변경 및 시행
    - 개인정보 보호 관련 자료의 관리
    - 처리 목적이 달성되거나 보유기간이 지난 개인정보
      의 파기

직전 사업년도말 기준 자산총액이 5천억원 이상인 ISMS인증 의무대상 기업은 CISO는 다른 업무를 겸직할수 없다.
   (ISMS의무대상자가  아닌 일반기업은 5조원 이상인 경우 겸직 금지)
 상시종업원 5명 미만시 정보통신서비스제공자는 CPO지정안할수 있으며 이때에는 대표자가 CPO가 됨

 

● 로그기록에 대한 보관기간

  개인정보보호법 정통망법 해당 인증항목
접근권한 부여 기록 3년 5년 2.5.6 접근권한 검토
접속기록 1년
(단,5만명이상 개인정보 또는 고유식별정보,민감정보 1건이라도 처리시 2년		 1년
(단, 기간통신사업자는 2년)		 2.9.4 로그및 접속기록 관리
접속기록 검토주기 1개월 1개월 2.9.5 로그및 접속기록 점검

 

● 오픈소스 SSL의 취약점

1.HeartBleed : 사용자들의 로그인정보나 암호화된 정보의 개인키와 비밀키를 탈취해 개인정보를 탈취할수 있는 취약점
 - 버퍼 오버플로우 공격으로 Heartbit 패킷의 크기를 위조해 서버의 데이터를 유출하는 공격

2.Freak SSL : SSL을 통해 강제로 취약한 RSA로 다운그레이드 시킴
 - RSA 키 길이를 강제로 512바이트로 변경시키는 공격

3. Poodle : TLS연결설정과정에서 하위버전인 SSL 3.0 으로 연결수립을 유도한 뒤 패딩 오라클 공격
 - 임의 데이터를 패딩으로 이용해 암호화 통신의 일부를 복호화 가능한 공격

4. DROWN : Decryption RSA with Obsolete and Weakended Encryption
 - 암호화된 세션키를 탈취하는 공격

5. BEAST  : Browser Exploit Against SSL/TLS

  - CBC 의 약점을 이용, 암호화 통신에서 평문을 유출하는 공격

 

● 핀테크 보안기술

  기술 설명
인증 IC Tagging IC카드내 인증정보를 통신기능이 포함된 스마트폰을 서버에 전달하여 인증
FIDO 생체인증규격
데이터보호 TEE  Trust Execution Environment
모바일AP를 일반응용영역과 보안응용영역으로 구분
토큰화 결제시 가상의 카드번호를 이용하여 정보.유출에 대응
모니터링 FDS 이상금융거래 유무 판별

 

● 침해사고 대응 7단계

1. 사고 전 준비
2. 사고 탐지
3. 초기대응
4. 대응전략 체계화
5. 사고조사
6. 보고서 작성
7. 해결

 

● 취약점 분석도구

1.네트워크 취약점 : Nessus, SATAN, SAINT, SARA

2. 서버 취약점 : SecuDR, COPS

3. DB기반 웹스캐너 : Nikto, N-Stealth

4. 포렌식 도구 : Encase, FTK

5. 파일 : Tripwire

 

● 개인정보 유출 신고기준

  개인정보보호법 정통망법
신고대상건수 1천명 이상 유출건수 무관
신고시점 지체없이 (5일이내) 정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내
신고기관 행정안전부, KISA, 정보주체 방통위 또는 KISA, 이용자
정당한 사유로 인하여 정보주체에게 개별통지를 하지 못했을 경우에는 홈페이지 게시하여야 한다.
7일 이상 30일 이상

사례1) 개인정보처리자 A씨는 개인정보 유출사실을 인지하고, 3일간 사실확인을 거친 후 유출된 개인정보가 1만건을 넘는 것을 확인 후 행정안전부 장관에게 통지하였다
          --> 5일이내 신고했으니깐 (O) , 행정안전부장관에게 신고했으니깐 (O)
사례2) 개인정보처리자 C는 개인정보 유출사실을 인지하고, 유출된 개인정보 항목과  유출일시, 정보주체가 할수 있는 대응, 현재 자사의 대응현황과 피해구제절차와  담당부서의 연락처를 정보주체에게 통지하였다.
          --> (X) 유출경위가 누락되었음
사례3) 개인정보처리자 D는 개인정보 유출사실을 인지했으나 100건 미만이라서 정보주체에게만 통지하였다.
         --> (O) 1천건 미만이니깐 신고는 안해도 되지만 정보주체에게는 1건이라도 유출된경우 알려야 한다.
사례4) 개인정보처리자 E는 개인정보 유출사실을 인지하였으나 1천건 미만이고 유출일시 등이 불분명하여서 내부적으로 검토후 통지하는 것으로 정보보호 팀장 승인을 받았다.
          --> (X) 확인된 사항만이라도 지체없이 정보주체에게 통지하여야 한다.

 

● 개인정보 수집.이용이 가능한 경우

개인정보보호법 제15조 정통망법 제22조
동법 소계 급정

1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한경우
    ①법령에 따라 본인확인이 필요한 경우
    ②법령에 따라 연령확인이 필요한 경우
    ③법령상 보험자의 의무 이행
3. 공공기관이 소관의 업무를 수행하기 위해 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상탱 있거나 주소불명 등으로 사전동의를 받을 수 없는 경우로, 명백히 정보주체 또는 제3자의 급박한 생명,신체,재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우		 계요법

1. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여
   필요한 개인정보로서 경제적,기술적인 사유로 통상적인
   동의를 받는 것이 뚜렷하게 곤란한 경우
2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요 한 경우
3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우

 

 주민등록번호 수집 등 처리가 가능한 경우

개인정보보호법 제24조 2 정통망법 제23조의 2
법급행

1. 법률,대통령령,국회규칙,대법원규칙,헌법재판소
   규칙,중앙선관위규칙,감사원규칙에서 구체적
   으로 주민등록번호 처리의 요구하거나 허용
2. 정보주체 또는 제3자의 급박한 생명,신체,재산
   의 이익을 위하여 명백히 필요하다고 인정
3. 행정안정부령을 정하는 경우		 본법방

1. 본인확인기관으로 지정 받은 경우
2. 법령에서 이용자의 주민등록번호 수집.이용을 허용
3. 방송통신위원회가 고시하는 경우

 

● 공공기관이 업무수행을 위해 동의없이 고유식별정보,민감정보 처리가 가능한 경우

소약범법형
 - 개인정보를 목적외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 법률에서 정하는 소관업무를 수행할 수 없는 경우로서 보호위원회 심의.의결을 거친 경우
 - 조약,국제협정의 이행을 위하여 외국정부, 국제기구에 제공하기 위하여 필요한경우
 - 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
 - 법원의 재판업무 수행을 위하여 필요한 경우
 - 및 감호, 보호처분의 집행을 위하여 필요한 경우

 

개인정보파일의 등록사항

명운항 처보반 명수담열 거평
 - 개인정보파일 명칭
 - 개인정보파일의 운영근거 및 목적
 - 개인정보파일에 기록되는 개인정보 항목
 - 개인정보 처리방법
 - 개인정보 보유기간
 - 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는자
 - 개인정보파일을 운용하는 공공기관의 명칭
 - 개인정보파일로 보유하고 있는 개인정보의 정보주체수
 - 해당 공공기관에서 개인정보처리 업무를 담당하는 부서
 - 개인정보의 열람요구를 접수.처리하는 부서
 - 열람을 제한하거나 거절할수 있는 개인정보의 범위및 제한 또는 거절 사유
 - 개인정보 영향평가를 실시한 경우 그 결과 첨부

※ 파기에 대해서는 언급이 없다.

 

● 행정안전부에 등록이 면제되는 개인정보파일(공공기관)

 국범 조내비 통 위영 자금   (국범이는 조내비랑 통해서 위영에게 자금을 줬다)
 1.국가안전,외교상비밀,그밖에 국가의 중대한 이익에 관련된 사항을 기록한 개인정보파일
 2.범죄의 수사, 공소의 제기,유지, 형 집행 , 보호관찰, 출입국관리에 대한 사항
 3.조세범처벌법 에 따른 범칙행위 조사, 관세법에 따른 범칙행위조사
 4.공공기관의 내부적업무처리만을 위하여 사용되는
 5.다른 법령에 따라 비밀로 분류된 개인정보파일
 6.통계법에 따라 수집되는 개인정보파일
 7.공중위생, 공공의 안전과 안녕을 위해 필요로 인해 일시적으로 처리되는 개인정보파일
 8.영상정보처리기기를 통해 처리되는 개인정보파일
 9.자료.물품.1회성행사
 10.금융업무 취급을 위해 보유하는 개인정보파일

 

개인정보를 목적외 용도로 이용.제공이 가능한 경우

동법 급통 소약 범법형
1. 별도 동의
2. 법률에 규정
3. 급박한 생명..
4. 통계작성 및 학술연구 등의 목적을 위하여 특정개인을 알아볼수 없는 형태로
   개인정보를 제공하는 경우
이하는 공공기관만 해당함.  즉 위 1,2,3,4만 민간기업에서 목적외 이용가능 사유
5. 소관업무 수행 + 보호위원회 심의.의결
6. 조약.국제협정
7. 범죄의 수사, 공소의 제기 및 유지
8. 법원의 재판업무
9. . 감호, 보호처분 집행

공공기관이 위 사유에 따라 개인정보를 목적외의 용도로 이용하거나 제3자에게 제공하는 경우 그 내용을 관보,인터넷 홈 페이지에 게제하여야 한다.
  - 단, 동의를 받았거나, 범죄의 수사등에 관련된 경우 게제하지 않아도 된다.
  - 게제시점 : 이용.제공한 날로부터 30일 이내
    게제기간 : 홈페이지에 게제하는 경우 10일 이상

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(3/10)  (0) 2021.02.08
ISMS-P 키워드별 정리(2/10)  (0) 2021.02.04
ISMS-P 결함사례 (7/7)  (0) 2021.02.04
ISMS-P 결함사례 (6/7)  (0) 2021.02.04
ISMS-P 결함사례 (5/7)  (0) 2021.02.01

+ Recent posts

티스토리툴바