오답노트 및 메모 ~400 법규

369.
개인정보와 프라이버시
- 프라이버시 : 인격권 그 자체. 사생활에 관련된 권리와 이익을 총칭. 개인정보보다 포괄적. 
- 개인정보 : 인격권의 침해가 없어도 보호해야 할 경우가 있음. 실질적으로 수립, 관리하고 있는 기관의 권리도 인정됨. 정보, 신체, 지역, 금융, 사회적 프라이버시 다섯 가지로 분류. 
- 개인정보와 프라이버시에 대한 보호제도는 혼재되어 있음

 

370.
개인정보
- 가족관계증명서의 주민번호와 성명
- 핸드폰 개통 신청서의 핸드폰번호와 성명
- 은행계좌 신청시의 계좌번호와 성명

+ 법인단체의 대표전화번호, 주소 : "살아있는 사람"의 정보가 아님

 

371.
개인정보보호법 - 정보주체의 권리
- 개인정보 처리에 관한 사항을 공개해야 하고, 열람청구권 등 정보주체의 권리를 보장해야 한다
- 익명 또는 가명으로 처리될 수 있다
- 개인정보의 정확성, 완전성, 최신성이 보장되도록 하여야 한다
- 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리해야하고, 목적 외 용도로 사용해선 안된다

 

372.
개인정보보호법 - 정보주체의 권리
- 개인정보 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 수 있다
- 개인정보의 처리 정지, 정정 삭제 및 파기 요구 가능
- 개인정보 처리로 인하여 발생한 피해를 신속하고 공정하게 구제받을 수 있다
- 개인정보 처리에 관한 정보를 제공받을 권리

- 개인정보 처리여부를 확인하고, 열람, 전송을 요구할 권리

 

373.
개인정보처리자는 개인정보 처리에 대해 정보주체의 동의를 받을 때 각각 동의사항을 구분하여 받아야 한다.
이 때 중요한 내용을 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 해야한다.
중요한 내용에 해당하는 항목들
- 개인정보를 제공받는 자
- 개인정보를 제공받는 자의 개인정보 이용 목적
- 개인정보 보유 및 이용 기간

 

374.
개인정보 수집시 다른 정보의 처리에 대한 동의와 별도로 동의를 받아야 하는 개인정보 항목
- 환자 병력
- 운전면허 번호
- 외국인 등록번호
( 고유 식별 정보(주민번호, 면허번호, 외국인 등록번호 등), 민감정보(사상, 신념, 병력, 성경험, 범죄경력, 유전정보, 인종 등) )

 

375.
가명정보 처리 (28조 4)
- 개인정보처리자는 통계작성, 연구, 공익적 보존 등을 위해 동의없이 가명정보를 처리할 수 있음
- 누구든지 특정 개인을 알아보기 위해 가명정보를 처리해서는 안 됨
- 가명정보를 처리하는 과정에서 특정인을 알아볼 수 있는 정보가 생성된 경우 처리를 중지하고 지체없이 회수, 파기해야 한다
- 가명정보를 본래 상태로 복원하기 위한 추가 정보는 별도로 분리보관하고 안전성 확보 조치 필요

 

376.
개인정보의 파기
- 개인정보를 파기해야 하는 상황이 발생시 정당한 사유가 없는 한 5일 이내 파기해야 한다
- 처리목적을 달성하면 동의기간에 미달하여도 파기할 수 있다
- 처리목적을 달성하지 못한 채 동의기간이 경과하면 파기해야 한다
- 복원 불가능한 방법 : 현재 기술수준 기준을 고려하여 복구 가능성을 원천 차단한 방법

 

377.
공공기관 - 개인정보보호위원회에 등록하여 관리가 필요한 사항
- 개인정보파일의 명칭, 운영 근거, 목적, 기록되는 개인정보의 항목
- 진료 기록 파일, 고객정보 db 파일, 행정처분파일

- 처리방법, 보유기간, 통상적/반복적으로 제공받는 경우 제공받는자

+ 작성일시는 관리사항 아님

 

378.
공공기관-개인정보 영향평가 요소 (33조)
- 처리하는 개인정보의 수
- 정보주체의 권리를 해할 가능성 및 그 위험 정도
- 개인정보 보유기간

- 시행령 (민감정보, 고유식별정보 등 처리여부, 개인정보 보유기간)
- 개인정보 제3자 제공 여부 (위탁여부는 X)

 

379.
개인정보 유출통지
- 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때 [즉시/지체없이] 해당 정보주체에게 유출된 정보 항목, 시점, 경위, 유출로 인해 발생할 수 있는 피해를 최소화하기 위해 정보주체가 할 수 있는 방법 등, 대응조치 및 피해구제절차, 피해가 발생한 경우 신고등을 접수할 수 있는 [담당부서 및 연락처]를 서면등의 방법과 함께 홈페이지에 알아보기 쉽게 7일 이상 게재해야 한다. (또는 오프라인의 경우 사업장)
개인정보처리자는 [1천 명]이상의 개인정보가 유출된 경우 유출 통지 및 조치 결과를 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고해야 한다.

 

380.
개인정보분쟁조정위원회 (42~44조)
- 분쟁조정 신청을 받았을 때, 당사자에게 내용을 제시하고 조정 전 합의를 권고할 수 있다
- 위원회의 위원, 친족인 경우 분쟁조정사건의 심의/의결에서 제척된다
- 개인정보 관련 분쟁 조정을 원하면 위원회에 분쟁조정을 신청할 수 있고, 위원회가 상대방에게 알린다
- 위원회는 신청을 받은 날로부터 60일 이내에 이를 심사해 조정안을 작성해야 한다

 

381.
개인정보처리자의 집단분쟁조정 거부 및 집단분쟁조정결과에 대해 수락 거부시,
단체 소송의 제기가 가능한 비영리민간단체의 자격요건 (51조)
- 법률상 또는 사실상 동일한 침해를 입은 100명 이상 정보주체로부터 단체소송 제기를 받은 경우
- 정관에 개인정보 보호를 단체의 목적으로 명시하고 3년이상 활동실적이 있을 경우
- 단체의 상시 구성원 구사 5천명 이상
- 중앙행정기관에 등록된 단체
=> 4가지 조건을 전부 만족해야 한다

+ 소비자 단체 : 정관에 정보주체의 권익증진을 위해 주된 목적으로 하는 단체. 단체 정회원수가 1천명 이상이고 등록 후 3년이 경과.

 

382.
비인가 접근을 통제하기 위해

공식적인 사용자 계정 및 접근권한 등록, 변경, 삭제, 해지 절차를 수립 이행하는 경우 (제 5조)
- 고유한 사용자 계정 발급. 업무상 여러 관리 계정 생성.
- 직무별 접근권한 분류 체계에 따라 권한을 세분화하는 것이 바람직
- 해당 직원이 전보, 퇴직 등 인사이동 발생시 지체없이 접근권한 변경, 말소 처리 (단, 3년동안 기록 보관)
- 정보시스템 설치 후 제조사/판매사 기본계정, 테스트 계정등은 가급적 삭제하거나 추측이 어렵도록 변경

 

383.
개인정보처리자와 개인정보취급자
- 개인정보취급자 : 개인정보를 처리하는 업무를 담당하는 자. 처리자의 지휘감독을 받아 정보를 처리함. 파견근로자, 시간제 근로자, 임직원 등.
- 개인정보처리자 : 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체, 개인 등.

 

 

384.
100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업의 내부관리계획
(표준: 10만명 미만의 대/중견/공공기관, 또는 100만명 미만 중소)
- 개인정보 보호책임자의 지정
- 개인정보 유출사고 대응, 계획 수립, 시행
- 개인정보 암호화 조치

+ 개인정보 처리자 유형 : 완화, 표준, 강화
+ 완화 (1만명 미만 단체, 소상공인, 개인)
+ 강화 (10만명 이상 대기업/중견기업 또는 100만명 이상 중소기업)
- 처리업무 위탁시 수탁자에 대한 관리 및 감독 사항
- 위험도 분석 및 대응방법
- 재해, 재난 대비

 

385.
공공기관의 개인정보처리시스템의 권한부여/변경/말소기록 보관기간
- 최소 3년동안 보관하여야 함

(개인정보 안전성 확보 조치 기준)

 

386.
개인정보 안전성 확보조치 기준 : 홈페이지 취약점 점검
- 홈페이지를 통해 고유식별정보를 처리하는 경우, 홈페이지에 대해 연 1회 이상 취약점을 점검하고 보완조치
- 취약점 점검은 자체인력, 보안업체 등을 활용할 수 있고 상용도구, 공개용 도구, 자체제작 도구 사용 가능
- 웹쉘 등 점검 조치로 비인가자에게 정보 노출되는 위험을 줄일 수 있다

 

387.
가명, 익명처리
- 해부화 : 기존 하나의 데이터셋을 식별성이 있는 정보집합들과 식별성이 없는 정보집합물로 구성된 2개의 데이터셋으로 분리하는 기술
- 삭제기술 : 전체 또는 일부 삭제
- 일반화기술 : 세세한 정보보다는 전체적인 통계정보가 필요할 때 사용
- 암호화 : 암호화 기법 사용
- 무작위화 : 잡음추가, 순열변경, 토근화 등
- 표본추출 : 무작위 레코드 추출
- 재현데이터 : 원본과 유사한 통계적 성질의 가상의 기술 데이터 생성

 

388.
정보통신망 이용촉진 및 정보보호 (제 5조)
- 개인정보 보호에 관하여 개인정보 보호법의 적용이 경합하거나, 7장의 통신과금서비스에 관하여 전자금융 거래법의 적용이 경합할 때, [정보통신망 이용촉진 및 정보보호 등에 관한 법]을 우선한다.

 

389~390번은 법이 바뀌어 삭제됨

 

391.
전기통신사업자와 전기통신사업자의 전기통신역무를 이용해 정보를 제공하거나 정보의 제공을 매개하는 자
정보보호관리체계 인증을 의무적으로 받아야 할 대상 (47조)
- 집적정보통신시설 사업자
- 정보통신서비스부문 3개월간 일평균 이용자수 100만명 이상
- 정보통신서비스 부문 전년도 매출 100억원 이상
- 연간 매출액 및 세입 등이 1500억원 이상 (ex 상급종합병원, 재학생 1만명이상 학교)

 

392.
정보보호관리체계 인증
- 인증을 취득한 기관은 연 1회 이상 사후관리
- 필요한 경우 인증심사 업무를 수행하는 기관을 지정가능
- 정보보호 관리체계 인증 유효기간은 3년
- 인증의무대상자가 과학기술정보통신부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 조치를 취했을때 일부 생략 가능

 

393.
과학기술정보통신부장관이 정보호호관리체계인증을 취소시켜야 하는 경우
- 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우 (반드시)

 

394.
(48조 2, 시행령 56조)
침해사고 대응 - 과학기술정보통신부 장관 또는 한국인터넷진흥원KISA 조치
- 집적된 정보통신시설을 운영, 관리하는 사업자에 대한 접속경로 차단 명령
- 소프트웨어 제작, 배포한 자에 대한 보안상 취약점을 수정, 보완한 프로그램 제작, 배포 요청
- 언론기관 및 정보통신서비스 제공자에 대한 침해사고 예보, 경보 전파
- 정보통신서비스 제공자에 대한 보안 취약점 보완 프로그램의 정보통신망 제재

 

395.
개인정보처리시스템의 접속기록
- 식별자 : 개인정보처리시스템에 접속한 자를 식별할 수 있도록 부여된 ID
- 접속일시 : 시스템에 접속한 시점 또는 업무를 수행한 시점
- 접속기록은 이용자와 개인정보취급자 등의 기록을 모두 포함
- 접속기록에 수기로 작성한 문서는 X
- 접속자를 알 수 있는 정보 : 컴퓨터 또는 서버의 ID

 

396.
정보통신기반보호법
- 주요정보통신기반시설 보호체계의 용어 및 각 시설들의 역할과 보호체계 (2장)
- 주요정보통신기반시설의 지정요건과 절차 취약점 분석, 평가 방법 및 절차 (3장)
- 주요정보통신기반시설의 보호지침 및 조치와 대응법 (4장)

주요정보통신기반시설 : 제어, 관리시스템 또는 망법에 의한 정보통신망

 

397.
정보통신기반보호법상, 주요정보통신기반시설
- 도로, 철도, 지하철, 공항, 항만 등 주요 교통시설
- 전력, 가스, 석유 등 에너지 수자원 시설
- 방송중계, 국가제도통신망시설
- 원자력, 국방과학, 첨단방위산업관련 정부출연 연구기관의 연구시설

+ 금융정보통신기반시설은 해당없음 !! 

 

398.
정보통신기반 보호법에서 주요정보통신기반시설 지정시 고려하여야 하는 사항
- 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회적 중요성
- 기관이 수행하는 업무의 정보통신기반시설에 대한 [의존도]
- 다른 정보통신기반시설과의 [상호연계성]
- 침해사고가 발생시 국가안전보장과 경제사회에 미치는 [피해규모 및 범위]
- 침해사고 발생 가능성 또는 그 복구의 [용이성]

 

399.
주요정보통신기반시설의 취약점을 분석, 평가하는 관리기관
- 한국인터넷진흥원KISA
- 정보공유/분석 센터ISAC
- 정보보호 전문서비스 기업
- 한국전자통신연구원ETRI

 

400.
정보통신기반 시설보호업무 프로세스
1) 취약점 분석 평가
2) 보호대책 수립
3) 보호계획 수립
4) 기반보호위원회 심의
5) 보호대책 이행
6) 보호대책 이행점검

 

+
상반기 : 취약점 점검
8월말 : 보호대책 수립, 제출
10월말 : 보호계획 제출
12월말 : 계획 확정

 

요약

취약점>대책>계획>심의>이행>점검