[정보보안] - 개인정보 보호조치
1. 개인정보의 수집 및 이용
정보주체의 동의를 받은 경우 개인정보의 수집/이용/목적, 수집 항목, 보유 및 이용기간, 동의 거부의 권리 및 불이익 내용을 의무 고지 후 개인정보를 수집할 수 있으며, 해당 내용을 위반시에는 5천만원 이하의 과태료가 부가될 수 있다.
하지만 예외적으로 다음 항목에 관해 정보주체의 동의 없이 개인 정보를 이용할 수 있다.
- 정보주체의 이익을 침해하는 경우
- 가명처리 혹은 암호화 등 안전성 확보 조치를 취했을 경우
- 개인정보를 수집한 정황 혹은 관행에 미루어볼 때 개인정보의 추가 이용 가능성이 있을 경우
- 법률의 특별 규정 및 법령상의 의무 준수가 필요한 경우
- 정보주체와의 계약 체결 이행에 불가피한 경우
- 정보주체의 생명 및 신체, 재산에 관한 이익 보호가 필요한 경우
- 개인정보처리자의 정당한 이익 달성을 위해 불가피한 경우
- 학점인정법에 관한 법률 규정이 있거나 법 준수를 위해 불가피한 경우
2. 개인정보의 위탁 처리
개인정보의 위탁이란? 문서에 의해 처리되어야 하며 위탁업무의 목적과 범위, 개인정보의 기술적/관리적 보호조치,
재위탁 제한, 수탁자의 의무 미이행에 대한 손해배상 등의 책임사항, 위탁업무 목적 외 개인정보의 처리금지 사항이 포함되어야한다.
위탁하는 업무 사항 및 수탁자를 공개적인 홈페이지에 공지해야하며, 홍보 및 마케팅 업무 위탁 시 업무사항과 수탁자를 정보주체에게 알림이 필요하다. 또한, 수탁자가 개인정보를 안전하게 유지할 수 있도록 교육 및 감독이 필요하다.
또한, 수탁자의 법 위반으로 인해 발생하는 손해배상책임은 위탁자에게 있다.
3. 영상정보처리기기의 설치 및 운영
영상정보처리기기 설치 및 운영이 가능한 경우는 법령에서 구체적으로 허용하는 경우로 범죄 예방 및 수사/시설 안전 및 화제 예방/교통단속/교통 정보의 수집 및 분석의 경우를 예로 들 수 있다.
반면 화장실/목욕탕/탈의실 등 사생활 침해가 우려되는 장소는 영상정보처리기기를 설치할 수 없으나 교도소와 정신보건시설은 안전을 위해 설치 및 운영이 가능하도록 하고있다.
영상정보처리기기 운영자는 영상정보처리기기 운영 및 활용 방침을 마련하여 관리가 필요하다.
4. 개인정보 안전 관리
1) 접근통제 조치 기준을 마련하여 관리해야한다.
- 방화벽, IPS, 웹 방화벽 등의 보안시스템을 활용하여 접근을 통제하고 불법 유출 시도를 탐지할 수 있어야한다.
- 외부망에서 접속이 필요할 경우 가상사설망(VPN) 혹은 전용선과 같은 안전한 인증수단을 이용해야한다.
- 주민등록번호 뿐만아니라 홈페이지에서 본인을 인증할 수 있는 추가 정보를 활용해야한다.
- 연 1회 이상 고유식별정보를 처리하는 홈페이지 취약점 점검을 실시하고 미흡한 부분은 보완조치해야한다.
2) 개인정보를 암호화하여 보관해야한다.
- 개인정보를 암호화할 경우 안전한 암호알고리즘을 활용하여 암호화해야한다.
- 안전한 암호 키를 생성하고 보관 후 활용기간이 종료되면 파기 절차를 거쳐야한다.