| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 | 31 |
- ncp
- 로드밸런서
- isms
- EC2
- 네이버클라우드
- RDS
- 파일시그니처
- 와이어샤크
- azure
- 취약점
- AWS
- AWS SSA
- mysql
- 클라우드자격증
- 정보보안
- Iam
- ISMS-P
- 인스턴스
- Burp Suite
- 클라우드
- 클라우드 자격증
- 보안컨설팅
- 정보보호
- metasploit
- 로그분석
- 클라우드보안
- 클라우드서비스
- 개인정보보호법
- AWS SAA
- 공개키
- Today
- Total
처음 만나는 클라우드 보안
[정보보호]개인정보보호법 살펴보기 본문
들어가며
보안담당자 혹은 컨설턴트로서 살펴볼 '개인정보보호법' 주요 내용들을 키워드 위주로 살펴보자.
- 관리체계의 구성
- 관리체계 수립 및 운영: ISMS-P
- 보호대책 요구사항: 정보보안
- 개인정보 처리단계별 요구사항: 개인정보 보호
- 법령 구성 : 조 > 항 > 호 > 목
- 조: 제 1조, 제 2조, 제 3조
- 항: ①, ②, ③
- 호: 1. 2. 3.
- 목: 가. 나. 다.
개인정보보호법 주요내용
주로 참조되는 3장 15조부터 시작
3장 제1절: 개인 수집의 수집 및 이용
제15조: 당사자의 동의와 특별법에 의해 수집될 수 있다.
1항. 개인이 동의하거나, 법률(타법, 망법, 전자 통신법 등)에 의한 특별한 규정이 있을 때
2항. 개인정보 수집에 대한 동의 내용( 수집 목적, 이용기간, 동의 거부에 대한 불이익 등)
제16조 1항: 개인정보는 최소한으로 수집한다. 입증책임은 개인정보 처리자가 부담한다.
제21조: 개인정보가 불필요하게 되었을 때 지체 없이 파기한다. 여기서 '지체 없이'는 '표준 개인정보 보호지침'에서 5일 이내로 기간이 명시된다.
제22조: 동의는 명시적(수집정보 하나하나 분명히 밝혀서), 별도(추가되는 정보 요청은 별도로 요청)로 받아야 한다.
3장 제2절 : 개인정보 처리의 제한
제24조 1항: 정보주체에게 고유 식별정보들(이름, 운전면허번호, 생년월일 등)에 대한 동의는 개별적으로 받아야 한다.
제24조 2항: 주민등록번호는 법률에 의해 통과되지 않는 이상 수집될 수 없다.
제25조 : 아무나 CCTV를 설치할 수 없다. 녹음도 불가하며 법령에 의해 정해진 곳이 아니면 설치가 불허된다.
제26조: 업무*위탁에 대한 개인정보 처리 제한
: 표준화된 계약서 양식(온라인 존재)을 사용하고, 수탁자에 대한 충분한 교육을 제공한다. 정보주체가 수탁자를 언제든지 확인할 수 있도록 공개되어야 한다.
제27조: 영업양도에 따른 개인정보 이전 시, 이전 사실과 양도 사실에 대해 정보주체에게 반드시 통지하여야 한다.
제28조: 개인정보취급자에 대하여 정기적으로 연 1회 필요한 교육을 실시하여야 한다. (전자금융감독 규정에 직급별 교육시간 명시)
4장 개인정보의 안전한 관리
제30조:개인정보 처리 방침의 수립 [최근 업데이트]
: 개인정보 처리 방침이 변경될 경우 정보주체가 쉽게 확인할 수 있도록 공개해야 한다.
개인정보처리 방침 작성 가이드
제31조: 개인정보보호 보호책임자를 지정하고 공개해야 한다.
제34조: 개인정보 유출 통지에 대한 주체는 개인정보 처리자이다.
개인정보 처리자가 1건이라도 유출되었으면 알게 되었을 때 5일 이내(표준 개인정보 보호지침)에 정보주체에 다음 각 호를 알려줘야 한다. => 유출 항목, 경위, 대응 조치, 담당부서 연락처 등
제39조: 개인정보 유출 통지에 대한 신고 특례
정보통신서비스 제공자의 경우 1건이라도 유출을 알게 된 때 전문기관(KISA)에 경과 24시간 이내에 통지 및 신고를 해야 한다.
제5장 정보주체의 권리보장: EU의 **GDPR내용 반영 항목
제35조: 정보주체의 열람을 요구받았을 때 대통령령으로 정하는 기간(10일)에 따라 알려주거나 사유를 말해줘야 한다.
제39조: 손해배상 관련. 2항에는 300만 원 이하의 손해배상 청구권 명시되어 있다.
참고자료
Q. 고시위반은 법령위반과 무관하다?
: X. 법령과 '연결'된 고시 위반시, 법령 위반에 해당한다. 실제 위반 시 발생하는 과태료는 법령위반 과태료로 산정되며 이는 컨설팅시 하나의 비즈니스케이스로서 제시 가능하다.
*제공과 위탁 차이
제공: 목적이 상이한 주체 ex) 온라인 쇼핑몰-(할인 프로모션)-보험사
책임소재: 제공받은 자 ex) 보험사
관련법: 개인정보보호법 제17조
위탁: 목적이 동일한 주체 ex) 온라인 쇼핑몰-(화물운송)-운송업체
책임소재: 위탁사 ex) 온라인 쇼핑몰
관련법 : 개인정보보호법 제26조
**GDPR이란?
: 2018년 5월 25일부터 시행되고 있는 EU(유럽연합)의 개인정보보호 법령으로 위반 시 과징금 등 행정처분이 부과될 수 있으며, EU 내 사업장이 없더라도 EU를 대상으로 사업을 하는 경우 적용대상이 될 수 있어 우리 기업의 주의가 필요함.
출처-https://gdpr.kisa.or.kr/gdpr/static/whatIsGdpr.do
[개인정보보호법 법령 URL]
개인정보보호법
www.law.go.kr
'정보보안 > 정보보호' 카테고리의 다른 글
| [정보보호] 정보보안 컨설팅이란? (0) | 2022.07.22 |
|---|---|
| [정보보호]보안심사의 유형(with 컨설턴트 VS 심사원) (0) | 2022.06.08 |
| [정보보호]클라우드 보안인증: CSAP, ISO27001 & 27017 & 31000 (0) | 2022.06.03 |
| [정보보호] 관련 자격증 정리: CISA, CISSP, CPPG (0) | 2022.06.02 |
| [정보보호] ISMS인증과 개인정보처리 (0) | 2022.06.02 |
