Embed Size (px)
Citation preview
Copyright ⓒ 2015 Yulchon LLC. All Rights Reserved.
손도일 변호사 / 법무법인 (유) 율촌
2015년 4월 10일
’15년 개인정보보호 전망 및 대응방향
수탁자 점검을 통한 개인정보 관리실태 개선(행자부, ’14.12.28)
2
개인정보 침해 예방활동 대폭 강화한다
※출처: 행정자치부(www.mogaha.go.kr) ’14.12.28 보도자료
신용정보법 개정 (2015.3.11. 공포, 2015.9.12. 시행)
3
금융社에 징벌적 배상 책임…
개인정보 유출땐 피해액 3배 물어야
※출처: 한국경제신문(www.hankyung.com) ’15.1.12 뉴스기사
’15.1.12
법원 "K사, 개인정보 유출 피해자에 10만원 배상"
법원은 개인정보를 회수했더라도 추가 복제나 2차 유출로 인해
텔레마케팅이나 금융사기 범죄에 노출될 가능성이있는 만큼, K사가
고객의 정신적 피해에 대해 배상해야 한다고 지적했습니다.
※출처: 머니투데이방송(http://news.mtn.co.kr) ’15.1.23 뉴스기사
1. 관련 규제의 개정을 통한 책임 및 처벌 강화
2. 감독당국, 법원 및 소비자의 움직임
3. Law & Case 2015
4. 수탁자 개인정보보호 관리방안
5. Conclusion
6. Q&A
Table of Contents
6
14
25
36
45
47
관련 규제의 개정을 통한 책임 및 처벌 강화
CEO 또는 임원 징계 권고 (개인정보보호법 개정)’13.08月
매출액 1% 이하 과징금 부과 (정보통신망법 개정안 입법예고)’13.11月
금융회사 정보관리 및 CEO 책임 강화 (금융회사 고객정보 유출 재발방지 대책 ’14.1月 )’14.01月
금융전산 내부통제 및 CEO 책임 강화 (금융전산 보안강화 종합대책)’13.07月
‘정보보호 Compliance’_ 규제 및 제재 변화
금융회사 및 CEO 책임 강화 (금융분야 개인정보 유출 재발방지 종합대책 ’14.3月 )’14.03月
정보통신망법 개정 (5. 28. 공포, 2014. 11. 29. 시행)’14.05月
금융지주회사법 개정 (5. 28. 공포, 2014. 11. 29. 시행)’14.05月
금융회사 내부통제 강화방안 (7.31. 보도, 내부통제 강화를 위한 제도개선)’14.08月
전자금융거래법 개정 (10.2. 국회 본회의 통과)’14.10月
7
정보통신망법 시행령 개정 (5.28. 공포된 정보통신망법 개정안에 따른 개정)’14.11月
개인정보의 기술적∙관리적 보호조치 기준 고시 개정안 입법예고 (’15.1.13. 방통위案)’15.1月
정보통신망법 일부 개정 (15.1.20. 공포 15.4.21. 시행)’15.1月
전자금융거래법 일부 개정 (15.1.20. 공포)’15.1月
위치정보보호법 개정 (2015.2.3. 공포2015.8.4 시행)’15.2月
신용정보법 개정안 국회 본회의 통과 (15. 2. 16. 국회 본회의 통과)’15.2月
신용정보법 개정 (2015.3.11. 공포 2015.9.12. 시행 예정)’15.3月
정보통신망법 개정_’14.11.29 시행
정보통신서비스 제공자: 사생활 관련 정보수집을 필요 최소한으로 제한1개인정보 누출시 “지체없이” 통지 및 신고 (24시간 경과시 정당 사유 소명)2
개인정보 파기시 이를 복구재생할 수 없도록 필요조치를 취함3
개인정보 누출시 300만원 이하의 법정손해배상책임4
정보보호 최고책임자의 지정 및 미래창조과학부 장관에의 신고5
8
영리목적의 광고성 정보 전송 목적의 전화번호 자동 등록 조치 및 수신자를기망하여 회신을 유도하는 각종 조치 금지6
개인정보 유출 시 현 1억원에서 관련 매출액의 3% 이하 과징금 부과로 상향 조정7
필요 최소한 개인정보 이외의 정보 제공 미 동의시 서비스 제공 거절 금지8
개인정보 취급방침의 전자적 표시의무 폐지1개인정보의암호화 대상 개선- 지문, 홍채인식 등 바이오정보를 기존 ‘일방향 암호화’ 대신 ‘(양방향) 암호화’2
개인정보 유효기간 조정 (3년 1년)3법정 손해배상 청구기간 규정- 개인정보 누출 등의 통지를 받은 날로부터 3년 또는 개인정보가 누출된 날부터 10년4기존 거래관계의 유효기간 규정- ‘해당 거래관계가 종료된 날로부터 6개월’5
별도 동의없이 야간에 광고전송 가능한 매체 규정6
광고 수신동의에 대한 정기적인 확인의무 관련 (2년 주기)8
영리목적 광고성 정보 전송시 표기의무 사항 개선7
9
정보통신망법 시행령 개정_’14.11.29 시행
CIO와 CISO의 겸직 제한1
정보보호 관련 업무 재위탁 금지2
전자금융거래정보를제공∙누설하거나업무상 목적 외에 사용한 경우50억원 이하의 과징금 부과3
전자금융거래기록파기 의무 부여4
공인인증서 이외의 인증 수단 자율화5
전자자금이체 지급 효력 지연조치 의무화6
10
전자금융거래법 개정_’14.10. (’15.4부터시행 예정)
징벌적 손해배상, 금융 피해액의 3배1
11
신용정보법 개정 (15.3.11. 공포, 15.9.12. 시행)
법정손해배상제도, 최대 300만원 손해액2
관련 매출액의 3% 과징금 부과3
과태료 상향 (600만원 5,000만원)4
신용정보관리인의의무 소홀 시 5,000만원 과태료 부과5
제3자 제공 개인정보의 파기 후 금융회사의확인 의무6
대출모집인에 대한 내부 통제 방안 마련7
개인이 아닌 사물의 위치정보 기반 사업자에 대한 신고 의무 폐지1
12
위치정보법 개정(15.2.3. 공포, 15.8.4. 시행)
위치정보의 제3자 제공 내역 통보 의무 완화(매회 30일 범위 내)2
긴급구조 요청 시 가족관계 확인 절차 간소화3
기술적∙관리적보호조치 등의 관리∙감독관련 의무는 유지5
위치정보 사업의 제한 사유 최소한으로 규정4
미래부, IoT(사물인터넷) 정보보호 로드맵 배포(’14.10月)
빅데이터개인정보보호 가이드라인 배포(’14.12月)
금융위원회, 금융보안원 출범 예정(’15.4月)
Active-X 제거 관련 추가사항: 3월말Active-X 를 대체하는
보안프로그램이론칭 예정
미래부등, ‘경제혁신 3개년계획’통한핀테크산업육성및금융개혁
추진(’15.1月)
신규 전자금융서비스에 대한 보안성심의와 인증방법평가위원회 폐지
은행∙증권사 등의 금융거래에서도 Active-x제거 및 공인인증서 사용의무 폐지
인터넷 전문은행 도입 추진
그 밖에…
13
감독당국, 법원 및 소비자의 움직임
방송통신위원회_15년도 개인정보보호업무계획(’15.1.2)
15
• 생활밀접 분야 중점 조사 및 법령상 의무이행여부 점검 강화
- 민원다발 분야 위주 심층조사 등 : 알뜰폰 사업자,
온라인‧선불폰 영업점, TV홈쇼핑, 내비게이션 앱등에 대한 조사 실시
- 개인정보 대량보유 사업자 등 점검 : 포털, 불법 텔레마케팅을 비롯한 개인정보 다량 취급자에 대한주기적인 점검 철저
- 법령상 의무이행 점검 철저 : 주민번호 수집‧보관금지, 개인정보 이용내역 통지(연 1회 이상), 개인정보 보관기간 단축 등 이행점검
- 유출사고 대응 및 사후관리 : 유출사고(자진신고, 검․
경 통보)에 신속히 대응하고, 시정명령 이행을 점검하여 유사사고 방지
개인정보 보호 등 강화
• 인터넷 서비스 가이드라인마련 인터넷 서비스에대한 개인정보 보호 기준을 명확히 제시하여, 사업의불확실성을 해소
- 업종별 개인정보 취급 가이드라인 : 국민생활과 밀접한업종(쇼핑, 통신 등)에 대해 관련 협회와 공동으로 특성에맞는 지침 마련
- 스마트 폰 앱 개인정보 보호 가이드라인 : ’12년에 마련한“스마트폰 앱 개발자 안내서” 개정 (예 : 과도한 수집 및접근권한 제한 등)
• 홍보 및 자율규제 강화 관련 협회와 함께 ‘온라인개인정보 취급 가이드라인 (’14. 11 제정), 빅데이터개인정보 보호 가이드라인 (’14. 12 제정)에 대한홍보와 점검을 병행하여 자율 규제의 실효성 제고
• 잊혀질 권리 대응 등 적용범위, 구현방법 등 법제화방안 검토
- 표현의 자유ㆍ알 권리와의 조화, 기술적ㆍ경제적 한계 등에대한 분석 및 전문가 의견수렴을 통해 제도의 실현가능성고려
※ ’14. 5월, EU의 “잊혀질 권리” 인정 판결 (구글 사용자는 ‘시효가 지나고 부적절한 개인정보’에 대한 검색링크를삭제하도록 요구할 권리를 가짐) 이후, 이슈 확산
금융당국_개인정보 유출 재발방지 종합대책 이행 점검회의(’14.12.29)
주요 이행 현황 점검
16
그 간 개인정보 보호 강화를 위해 금융지주회사법(’14.11.29.시행), 전자금융거래법(’15.4.16.시행예정)을 개정하고 각종 가이드라인을 마련
CISO 책임하에 매월 보안점검을 실시하고 외주용역全단계(입찰→계약→수행→완료)에 걸쳐 보안관리 체계 준수를 의무화(‘15.1월)
금융분야 주민번호 수집·이용과 관련한 관련 법령 해석 및 주민번호 노출 최소화대책을 종합한 가이드라인을 마련(‘15.1월중 책자 발간)
향후 계획
개인정보 유출 재발방지 종합대책 과제가 계획대로 제대로 추진되는지에 대한세부 시행과정 면밀히 점검
「신용정보의 이용과 보호에 관한 법률」 개정안 통과될 수 있도록 노력
법원의 판결 추세_ 회사의 책임 일부 인정 (1/2)
SK컴즈 사건에 대한 법원의 엇갈린 판결
17
서울서부지방법원(II)
• (손해배상(기)) 원고 청구 기각
• 2014. 4. 17. 선고
• 서울고등법원 계류 중
서울중앙지방법원
• (손해배상(기)) 원고 청구 기각
• 2012. 11. 23. 선고
• 대법원 계류 중
대구지방법원
• 원고 일부 승(위자료 1인당 1,000,000원)
• 2012. 4. 26. 선고
• 대법원 계류 중
서울서부지방법원(I)
• 원고 일부 승(위자료 1인당 200,000원)
• 2013. 2. 15. 선고
• 서울고등법원 계류 중
법원의 판결 추세_ 회사의 책임 일부 인정 (2/2)
KT 1심 판례(’14.8.) 10만원 배상
• KT는 원고들(28,718명)에게각 10만원(정신적
손해) 및 지연이자를 지급하라고 판결, 약 28억
• 전체 유출 건수 870만명을 감안하면, 추가 소송
시 손해배상액이약 8천7백억에 이를 수 있음
• 해킹 사고 방지를 위한 주의의무 정도: 해킹
당시의 해킹 기술 및 보안 기술의 수준에 비추어
기대가능성 있는 주의의무를 기울여야 함.
• KT가 영업시스템 관리를 소홀히 한 것이
정보유출 사고의 발단이 됐다고 판시
회사의 책임 일부 인정을 통한 배상 판결 사례
SK컴즈 1심 판례(’13.2.) 20만원 배상
• SK컴즈에 개인정보유출 책임을 인정하고
원고들(2,881명)에게각 20만원을배상하라고
판결, 약 5억8000만원
• 전체 회원 수 약 3500만 명임을 감안하면, 추가
소송이 진행될 경우 향후 손해배상액이최대
7조원에 이를 수 있음
• 장시간 개인정보유출을탐지하지 못하였고,
보안이 취약한 시스템을 사용하였으며, DB
관리자가 업무수행 후 로그아웃을 하지 않은 점을
근거로 책임 인정.
18
법원의 판결 추세_ 회사의 책임 일부 인정 (2/2)
회사의 책임을 부정한 사례
SK 컴즈 2심 판례(15.3.20) 원심판결 뒤집고 원고패소 판결
• 2심은 SK컴즈가 정보통신망법이 정하는 기술적, 관리적 조치를 다했기 때문에 배상책임이 없다며
원고패소판결
• 정보통신서비스 제공자는 법령이 정한 바에 따라 준수해야 할 기술적 조치들을 이행해야 하는데,
이런 조치를 다 했다면 특별한 사정이 없는 한 법률상•계약상 의무를 위반했다 보기 어렵다고 판시
• 이 사건은 해커의 침입으로 개인정보가 유출된 것으로 ‘사건 발생 이후에 '이렇게 했으면 막지
않았을까’하는 부분이 있다 하더라도 법령상 그 정도로 고도의 보호조치까지 요구하고 있는 것은 아니기
때문에 손해배상 책임이 있다고 볼 수 없다고 판시
19
관련기사 링크http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150323150146&type=xml
http://news.kmib.co.kr/article/view.asp?arcid=0923004517&code=11131900&cp=nv
(위반이아니라고본 부분)
• ESB서버이후접속권한의인증을
거치지아니하는구조
• 인증토근의유효성을10분에한번씩
확인하여접속차단하는접근통제시스템
(위반이라고본부분)
• 퇴직한자의접근권한변경또는말소
조치하지아니함
• 월 1회이상정기적으로
개인정보처리시스템에대한업무수행
내역을감독및확인등의주의의무소홀
• 암호화키의프로그램소스코드내저장
법원의 판결 추세_ KT 판례 분석(1/3)
원고들에게 각 10만원(정신적 손해) 및 지연이자를 지급하라.
20
위자료 판단 기준 KT 판례
• 피용자에 의한 개인정보 유출로 인한손해발생 여부
대법 2012. 12. 26. 선고 2011다59834
판결 등
법원의 판결 추세_ KT 판례 분석(2/3)
• 유출된 개인정보가 텔레마케팅에서사용
제3자에 의한 열람 가능성 높고, 추가 복제 및 2차
유출가능성을 배제할 수 없어 개인정보의 확산
가능성有
• 유출된 정보 중 성명, 전화번호, 주민등록번호
등은 스팸의 대상이 되고, 전자금융사기범죄
노출 위험성有
• 주민번호가 노출됨에 따라 신분이나 명의
도용될 우려 크고, 악용될 경우 재산상
피해까지 입을 가능성有
• 이 사건 사고 이후 피고가 별다른 보상조치無
위와 같은 사정을 참작하여 위자료
액수를 10만원으로 정함.
유출된 개인정보의 종류와 성격
개인정보 유출로 정보주체를 식별할
가능성이 발생하였는지
제3자의 유출된 개인정보 열람 가능성
유출된 개인정보의 확산 범위
추가적인 법익 침해 가능성
개인정보 관리 실태 및 개인정보 유출 경위
피해 발생 및 확산 방지 조치
위자료 판단 기준에 따른 KT 판례
21
협의 광의 (판례)
• 방통위 고시 해설서: 일반적으로 체계적인데이터처리를 위해 DBMS를 사용
• 행안부: 일반적으로 개인정보의 체계적인처리를 위한 DBMS를 의미
• DBMS: 데이터베이스를 관리하는 데필요한 데이터의 추가, 변경, 삭제, 검색등의 기능을 집대성한 소프트웨어패키지로 이용자가 작성한 적용업무프로그램과 그 프로그램에서사용하는 데이터베이스 본체와의 사이에개재하는 것.
따라서, 정보통신망법상“개인정보처리시스템”은 ESB서버,
OM(Order Management) 서버, OM DB
서버만을 의미
법원의 판결 추세_ KT 판례 분석(3/3)
• 개인정보 DB에 접근하기 위한
중계서버, 어플리케이션 등도
개인정보처리시스템에 포함.
N-STEP 시스템은 그 전체로서
사용자가 개인정보를 처리할 수 있도록
체계적으로 구성된 넓은 의미의
개인정보처리시스템에 해당
[N-STEP의 구성]
• UI N-STEP 포털 서버 AUT
서버(인증) ESB(중계서버) 서버
OM 서버 OM DB서버
개인정보처리시스템의 의미에 대한 해석
22DBMS: Database Management System, ESB: Enterprise Service Bus
출처: 2014. 2. 16. 김기식 의원 보도자료
집단소송의 대형화_기존 대규모 소송 사례
회사 명 판결일자 원고 수 유출 건수 인정된 위자료
2007.1.26. 5명 54만명 10만원
2007.11.27. 1,026명 32,277명
-20만원
(주민등록번호 유출)
-10만원
(주민등록번호 유출 안 됨)
2008.11.25.259명
3,000여명 30만원
2012.12.26. 약 4만명 1,125만명 기각
2013.5.2. 약 14만명 1,860만명 기각
23
Portal site 대리인 회원 수 원고 수
A 40,738 100,366
B 21,623 (확인불가)
C 6,782 3,269
D 3,321 2,986
E 321 427
Sub Total 72,285 107,048
A 47,963 100,366
F 11,452 (확인불가)
G 7,680 6,148
H 4,745 19,509
I 2,594 (확인불가)
Sub Total 74,434 126,023
Total sum 174,050 132,705
24
집단소송의 대형화_’14년도 카드사 사례(~’15.1.27)
회원 수 기준 상위 5개 카페 기준 (대리인 A의 원고 수는 중복 제외 후 합산)
Law & Case 2015_ 가상 시나리오로 살펴보는…
개인정보유출 Case_개요
K상사(의류, 화장품, 가구)
A 본사(미국 소재)
가구고객및임직원정보
의류,화장품고객정보
연평균 매출액 의류 (800억원) /
화장품 (50억원) / 가구 (300억)
각 사업별로 별도의 브랜드, 홈페이지,
이용약관, 회원제를 운영
화장품 사업의 경우, 홈페이지를 통해
상품 광고를 하고 있으나, 고객
정보를 수집하거나 상품을 판매하지
않으며, 오프라인 직영 매장을
통해서만 상품 판매 및 회원 가입을
받고 있음.
가구구매 고객 대상
TM 대행
2014.1.1 ~ 현재
K상사
수탁업체『TelMe』
A시스템 B시스템
26
개인정보유출 Case _사고1
2014. 9. 24일, 수탁업체 『TelMe』에서 해고당한 여직원 W는 2015. 1. 2. K상사
직원에게 전화하여, 자신에게 1억원을 주지 않으면, K상사의 개인정보가
유출되었다는 것을 언론에 제보하겠다고 함.
2015. 1. 2~3일, K상사 직원은 즉시 CISO겸 CPO에 보고 후 K상사의 위수탁 계약
현황 및『TelMe』에 대한 내부 조사를 실시한 결과, 다음과 같은 사실을 발견함
2014. 9. 27일경 누군가 외부에서 퇴직 여직원 W의 계정으로 『TelMe』의 IPCC에
접속하여 고객 개인정보가 담긴 대용량 엑셀파일을 로컬에 다운로드 받음
해당 엑셀파일에는 K상사 고객 10만명의 개인정보(성명, 주소, 전화번호, 주민번호)가
암호화 되어 있지 않은 상태였음.
K상사와 『TelMe』사이에 체결된 위•수탁 계약서에는 개인정보 취급에 관한 내용이
포함되어 있지 않았고, 『TelMe』를 담당하고 있는 K상사 직원 컴퓨터에는 상용메신저
프로그램(Kakao)이 설치되어 있었으며 이를 통해 『TelMe』에 고객정보를 전달한
사실도 추가로 발견하였음.
27
28
Q. K상사가 취하여야 할 조치 및 예상되는Legal Risk
적용 법률
신고 및 통지 - 지체없이
주민번호 유출 – 5억원 이하 과징금
개인정보 유출 – 관련 매출액 1% 이하 과징금
민사상 손해배상책임 – 법정손해배상제도
형사책임
과태료
X-day D-day D+1 D+αX-3
사고 경위_Timeline
29
(’15.1.2)
사고인지
(’14.9.24)
퇴사조치
(’15.1.3)
내부조사
(’14.9.27)
사고발생
!
사고대응 후속조치
사고 대응_Check Point 0
30
회사의지위에따른적용법령현황숙지0
금융회사의 지위 관련 주요 법규
개인정보처리자 개인정보보호법
정보통신서비스 제공자및 전자거래
정보통신망법
전자문서 및전자거래기본법
전자서명법
전자상거래법
금융기관 전자금융거래법
금융실명거래법
여신전문금융업법
정보통신기반보호법
신용정보 제공∙이용자 신용정보법
위치정보사업자 위치정보보호법
주요 관계 법령 필수 수범 법 / 제도
ISO 27001
ISMS
PIMS
개인정보영향평가
PIPL 인증 기준
개인정보호법
위치정보보호법
전자금융거래법
정보통신망법
여신전문금융업법
신용정보법
※ ISMS(Information Security Management System): 정보보호 관리체계, PIMS(Personal Information Management System): 개인정보보호 관리체계, PIPL(Personal Information Protection Level): 개인정보보호 인증제
사고 대응_Check Point 1
31
사고발생당시의법적요구사항 Check!1
X-day 시점 정보통신망법[시행 2014.5.28.] [법률 제12681호]
D-day 시점 정보통신망법[시행 2014.11.29.] [법률 제12681호]
[정보보호최고책임자] 권고 [정보보호최고책임자] 필수
[유출통지] 지체없이 [유출통지] 24시간 이내
[주민번호이외 고유식별정보]
암호화 NA
[주민번호이외 고유식별정보]
필수 암호화
[과징금] 관련 매출액의 1% 이하
또는 최대 1억원 [과징금] 관련 매출액의 3% 이하
NA [법정손해배상제도] 최대 300만원
X-day
(’14.9.27)
사고발생
!
사고 대응_Check Point 2
32
사고발생시점과인지시점을구분하여대응2
사고발생당시법률적합성준수를위한노력및근거
사고발생당시최대한의안전성확보조치이행
사고 발생 시점과 인지 시점 구분하여
언론/고객/규제기관 등 대응방안 마련
X-day
(’14.9.27)
사고발생
!
D-day
(’15.1.2)
사고인지
X-day
(’14.9.27)
사고발생
!
D-day
(’15.1.2)
사고인지
사고 대응_Check Point 3
33
24시간이내신속한개인정보유출통지∙신고3
개인정보유출 통지∙신고
[X-day] 지체 없이 [D-day] 24시간 이내
1. 유출된개인정보항목
2. 유출발생시점
3. 이용자가취할수있는조치
4. OO회사등의대응조치
5. 상담접수부서및연락처
우선
추가확인즉시
D+1
X-day
(’14.9.27)
사고발생
!
D-day
(’15.1.2)
사고인지
사고 대응_Check Point 4
34
대표이사의신속한대고객커뮤니케이션4~D+3
※출처: Dong-a Business Review 149호, 2014/3/11
1. 빠르게조치하고, 자주소통하라
2. 여론을대응하면서 ‘법적사고’로판단하거나소통하지말라
3. 위기관리과정에서또다른위기를만들지말라
4. 진심으로사과하라, 가치로설명하라, 회사의이름을걸고
사과하라
CEO 스타인하펠
’13.12.15,사고발생후당일오후 6시안전조치보고접수
’13.12.16~17,사고조사및고객대응준비
’13.12.18, 고객통지시작
’13.12.19~’14.2.4 총 11차례고객커뮤니케이션실시
위기관리 커뮤니케이션의 원칙*
사고 대응_Check Point 5
35
X-day와 D-day 간극을줄이기위한후속조치5
퇴사자계정으로내부시스템접속可
X-day 와 D-day 간 3개월이상의 Term有
비인가자에 대한 near-Real time 접근통제와
더불어 이상행위 및 이상징후에 대한 탐지
X-day
(’14.9.27)
사고발생
!
D-day
(’15.1.2)
사고인지
수탁자개인정보보호관리방안
3737
개인정보처리위탁시준수사항위반
2014년, 12월행정자치부, 개인정보보호법 위반에 따른 행정처분 사례 전파中
① 위탁 시 필수사항*을 문서(계약서)에 미반영(§26 ①)
* 필수사항(7개) : 위탁 목적·범위, 목적 외 처리금지, 기술적·관리적 보호 조치, 재위탁 제한, 안전성 확보
조치, 관리현황 점검·감독, 손해배상
제26조(업무위탁에 따른 개인정보의 처리 제한) 제 1항 위반 : 3천만원 이하의 과태료 (1회 위반 200만원)
☞ 위탁 시 필수사항을 문서에 일부 또는 전부 누락
② 개인정보처리 수탁사 미공개(§26 ②)
제26조(업무위탁에 따른 개인정보의 처리 제한) 제 2항 위반 : 1천만원 이하의 과태료 (1회 위반 200만원)
☞ 수탁자를 홈페이지에 공개하지 않음
☞ 수탁자를 OO개소 중 O개소 공개 누락
③수탁사 교육 및 실태점검 등 관리 ·감독 소홀 (§26 ④)
26조(업무위탁에 따른 개인정보의 처리 제한) 제 1항 위반: 1천만원 이하의 과태료 (1회 위반 200만원)
☞ 개인정보보호 수탁사 교육 및 실태점검 등 관리·감독 미실시
개인정보 처리 위탁관련 행정처분 사례
3838
위탁 업무 전반개인정보보호 요건 반영
전사적 개인정보보호관리체계와의 연계
3rd
위탁 업무에 따른 법적의무요구사항 도출
2nd1st
위탁자의 법적 지위
위탁 업무의 특성
관련 법령 및 표준
업계 Best Practice
위탁 업무 전 단계에 걸친
수탁자 관리 체계 수립 및 이행
1. 업체 선정 및 계약
2. 위수탁 업무 이행
3. 계약 해지 및 종료
위탁사 현황 고지
개인정보 취급(처리)방침
수탁자개인정보보호수준강화방향
수탁자 개인정보보호 수준 향상을 위해…
39
위탁업무 개인정보보호 관리 Frame
전사개인정보보호
관리체계
위수탁자관리
관련 법령 및 제도에 따른 Best Practice
1. 업체선정및 계약
2. 운영 및관리감독
개인정보보호체계
변화관리
의무이행요건
업무이행범위(SLA)
관리기준
수탁자 진단 및 관리체계
3. 해지 및종료
개인정보파기확인
사후관리 보증방안업무이관 체계/보안서약
1st
2nd
교육진단 및실사
수준평가
위수탁현황
3rd
위탁업무개인정보보호관리 Frame
40
1. 관련 법령 및 제도 기반
법적 의무 요구사항 도출 및 식별개인정보보호법
전자금융거래법
금융회사전산설비위탁에관한규정
정보통신망법
신용정보보호법
…
업무위탁에 따른 개인정보 처리제한
수집·조사 및 처리의 위탁
재위탁 제한에 관한 사항
외부주문등에 대한 감독 및 검사
정보처리의 위탁
감독 및 검사
…
법제도기반의의무이행요구사항식별
41
법적
의무요구사항
수탁자 선정 및 계약 단계
수탁업체 선정 기준위탁 목적 등의 문서화
2. 위탁 업무 전반에 걸친 수탁자 관리_1/2
위수탁 업무이행 범위(SLA) 검토수탁자 진단 및 평가 기준 수립
위탁업무 이행 및 관리 단계
수탁자 관리 등급 분류
• 개인정보의 처리 방식
• 개인정보의 유형 및 위탁 규모
• 수탁자의 개인정보보호 수준
• 위탁업무의 일반성 및 특수성
관리 등급 분류
• 중점/일반/서면 관리
• 진단 주기/방법 차별화
수탁자 평가체계 운영
• 관리 등급 별 정보보호 목표수준 설정
• 수탁자 개인정보보호 운영수준 평가
• 평가 등급에 따라 상벌제 운영
계약 해지 및 종료 단계
개인정보파기(회수) 확인
서약 및 (샘플링) 검증
부당 이용 건에대한 책임 체계
신의성실에 의한업무 인계
위탁업무全단계에걸친수탁자관리체계이행
42
2. 위탁 업무 전반에 걸친 수탁자 관리_2/2
수탁자 관리 등급 분류를 위한 지수화 및 관리 방안
연간 개인정보제공 수량 (A)
수탁자 관리 등급 분류 지수化
수탁자 보안인증 현황 (B)
정보보호 관련사고 유무 (C)
수탁자의 위탁업체 의존도 (D)
개인 회원정보유형 (E)
위탁되는 개인정보 유형 (F)
기준 항목 별 위험등급 정량화
수탁자 관리 기준 지수(OMI*)
= [A(1~10) + B(1~3) + C(1~3) + D(1~5)]
x E(1~3) x F(1~3) + 위탁자 보정값(α)
OMI: Outsourcing Management Index※( )괄호 안의 숫자는 기준 항목 별 정량화한 값
중점관리
[OMI 기준 상위 30% 이상]
연 1회 이상 방문 진단 대상
On/Off-line 교육 및 실사
수탁자 평가항목의 90% 이상 충족
일반관리
[OMI 기준 30%~80% 사이]
연 1회 방문 또는 서면 진단 대상
On/Off-line 교육 및 샘플링 실사
수탁자 평가항목의 50% 이상 충족(위탁 업무 별 충족 요건 차별)
서면관리
[OMI 기준 하위 80% 이하]
서면 진단 및 확약서 관리
On line 교육
수탁자 평가항목의 최소요건 충족(위탁 업무 별 충족 요건 차별)
1
2
3
OMI 수준 별 수탁자 관리방안
3. 전사 개인정보보호 관리 체계와의 연계
43
전사개인정보보호관리체계와의연계방안
핵심 연계 요소
수탁자선정및 (재)계약
수탁자변화?
전사 개인정보보호 관리 체계
Y 위탁업체 현황변경 고지
개인정보취급방침 변경
업무이행및관리
수탁자 현황변경관리
수탁자 수준 진단및 평가 관리
계약해지및종료
N
계약 해지 관리절차 이행
내부 보고
기타 고려사항
4444
위탁업무 특성에 따른高위험 영역 식별 및 이슈
규제당국 관점에서의 수탁자 현장 감사
사고 발생 시 피해 최소화를 위한 사후 대응체계
1
2
3
선량한 관리자로서의 위탁자 의무 이행 체계
수탁자 관리를 위한 지속적 변화관리 방안
4
5
Conclusion
Conclusion
1 위수탁 업무의 다양화∙복잡화
2 정부당국의 점검 및 제재 강화
3 효율적인수탁자관리방안필요
위탁업무보안관리체계
46
법적 의무요구사항
위수탁 업무全단계
전사 개인정보보호체계와의 연계
Q & A
47
서울특별시 강남구 테헤란로 518, 12층 (대치동)
Tel: 02-528-5200 Fax: 02-528-5228 E-mail: [email protected]
법무법인(유) 율촌
Unit 03, 4th Floor, Kumho Asiana Plaza, 39 Le Duan St., Ben Nghe Ward,
Dist.1, Ho Chi Minh City, Vietnam
Tel: +84 8 3911 0225 Fax: +84 8 3911 0230 E-mail: [email protected]
베트남 (호치민 사무소)
1209, 12F, South Tower C, Raycom InfoTech Park, No. 2, Ke Xue Yuan Nan Lu,
Haidian District Beijing, 100190, P.R. China
Tel: +86-10-8567-0828/0768 Fax:+86-10-8567-0738 E-mail :[email protected]
중국 (북경 사무소)
베트남 (하노이 사무소)
Suite 2502, Keangnam Hanoi Landmark Tower, Pham Hung
Street, Tu Liem District, Hanoi, Vietnam
Tel: +84-4-3837-8200 Fax: +84-4-3837-8230 E-mail: [email protected]
미얀마 (양곤 사무소)
Junction Square Shop House, Building No. 2, 3rd Floor, Between Kyun Taw Road
and Pyay Road, Kamayut Township, Yangon, Myanmar
Tel: +95-94-3088-377 E-mail: [email protected]
손도일 변호사
T. 02.528.5836
