개인정보보호관리체계 _4. 개인정보보호법 심화(1) 4-1. 개인정보 생명주기 개요 # 개인정보의 생명주기 (라이프사이클) - 사람의 일생처럼 일련의 생명주기를 가지고 있음. 일련의 개인정보 관리의 단계 - 정보의 생성 -> 관리 -> 이용 * 개인정보보호관리체계 ISMS-P의 처리단계 - 수집 -> 저장 / 관리 -> 이용 / 제공 -> 파기 ------>>>> 처리 * 개인정보 생명주기별 프라이버시(보안) 관리 모델을 표준으로 제시 # 수집단계 - 정보 주체에 관한 모든 형태의 개인정보를 취득하는 것 * 수집 시 보호 조치 - 개인정보 수집 제한 - 기본 - 개인정보 수집 제한 - 민감정보 및 고유식별정보 수집 제한 - 개인정보 수집 제한 - 주민등록번호 수집 이용 제한 - 정보주체의 동의 획득 : ..
[ Computer Security ]/PIMS
개인정보보호관리체계 _3. 개인정보보호법 이해 3-1. 개인정보보호법 개요와 개인정보 보호 원칙 # 개인정보보호법 제정 - 개인정보 처리 기업, 기관, 단체, 개인에게 적용됨으로써 그동안의 법의 사각지대에 놓여있던 기관과 사업자들이 새롭게 이 법의 적용 대상으로 편입 : 법 적용 대상은 모든 개인 정보처리자으로 확대 - 개인정보보호위원회 - 전자적으로 처리되는 개인정보, 종이문서에 수기로 기재한 개인정보 - 개인정보보호의 국제적 차원 논의 : 1980 OECD 프라이버시 보호 8원칙 / 2004 APEC 프라이버시 보호 9원칙 # 개인정보 보호 원칙 - OECD 8원칙 - 개인정보보호의 국제적 차원 논의 - OECD 프라이버시 가이드라인 = OECD 프라이버시 보호 8대 원칙 - 국가의 개인정보보호법의 ..
개인정보보호관리체계 _2. 해외의 개인정보 2-3. 미국과 EU의 개인정보 정리 # 1. 미국은 공공분야와 민간분야를 아우르는 개인정보보호관련 기본법은 없지만 각 분야에서 개인정보보호를 하는 개별법주의의 법률체계를 가지고 있다. O / X # 2. 미국은 개인정보 보호를 위해 포괄적인 독립된 감독 기구로써 연방거래위원회를 별도로 두고 있다 O / X -> 포괄적인 독립된 감독 기구를 두고 있지 않음. 개인정보보호를 위한 역할을 하는 연방거래위원회 FTC가 있음. # 3. GDPR의 DPO는 우리나라의 개인정보보호책임자와 자격요건이 같다 O / X -> 우리나라 개인정보보호책임자는 CPO라고 부르며, 자격이 다름 # 4. EU 에서 각 회원국에 직접 적용되는 GDPR은 data protection dire..
개인정보보호관리체계 2. 해외의 개인정보 2-2. 유럽 (2) # 기업의 책임성 * 기업의 책임성 강화를 위한 조치사항 - GDPR은 프로세서를 직접 규제하는 내용을 다수 포함하고 있어 프로세서(개인정보 취급자, 수탁자)도 개인정보보호를 위한 다양한 의무를 부담함. * 분야 전문지식과 업무수행 능력, 독립성을 가진 DPO Data Protection Officer 지정 * 정기적인 개인정보 영향평가 -> 문제점 조기 발견 -> 추후 발생할 비용 소모 및 평판 침해 리스크 최소화 * DPbD (Data Protection by design and by default) 이행 - 기업이 모든 프로젝트 초기 단계에서 개인정보 보호를 중요한 고려사항으로 하여 라이프 사이클 전반에 걸쳐 개인정보를 보호하도록 권장 ..
개인정보보호관리체계 2. 해외의 개인정보 2-2. 유럽 # 유럽연합 EU의 개인정보 규율체계 * 보수적 관점에서의 정책 운영 -> 인권보호를 위한 국가의 역할 강조 = 정부 규제 * 개인의 권리 = 기본권 으로 해석 & 개인정보 처리를 금지하거나 제한해서는 안된다 ???? 무슨 말 * 독립적인 감독기관 설치 의무화 * 기본법 마련 -> 공공부문과 민간부문 통합 # 유럽의 개인정보보호 법 제도 * 1995 EU Data Protection Directive - 프라이버시 보호, 회원국 간 보호법제 조화로 개인정보의 자유로운 이동 보장, 간접적인 영향력 * 2002 Directive on Privacy and Electronic Communication * 2018 General Data Protection..
개인정보보호관리체계 2. 해외의 개인정보 2-1. 미국 미연방 프라이버시법 제 55조의 2에 의하면 미국은 개인정보를 개인에 관한 정보로 개인의 성명 등 개인에게 배정된 신분의 식별을 위한 특기사항으로 정의하고 있다 # 미국의 개인정보 규율체계 * 시장 자율 규제에 입각한 개별법주의의 법률체계 - 소비자 권리 보호를 중점으로 하며 개인정보보호 관련 사항 규정 기본법은 없으나 각 분야에서 개별법으로 정보 보호를 명시하는 구조 * 프라이버시법 입법화 : 1972 워터게이트 사건 / 최초의 프라이버시에 대한 권리 포함 법 * 공공부문과 민간부분을 분리하고 각 분야에서 필요에 의해 법규를 정비하는 개별 접근 방식 채택 - 사회적 기술적 변화에 민첩한 대응 가능 - 개별 영역별 법률 제정 -> 관련 업계나 이익 ..
개인정보보호관리체계 _1. 개인정보 이해 1-4. 개인정보 이해 정리 # 1. 개인정보 개념으로 포함되지 않는 것은 ? 1. 살아있는 개인에 관한 정보 2. 익명정보 3. 간접식별정보 4. 가명정보 -> 개인정보란 살아 있는 개인에 관한 정보로서 직접식별정보, 간접식별정보, 가명정보를 포함한다. # 2. 개인정보 가치 산정 방법 중 소송 판결을 참고하여 유출된 개인정보 항목 및 손해배상액을 토대로 개인정보 가치 역산정하는 기법은 무엇인가 ? 1. CVM 2. Delphi 기법 3. 손해배상액 기법 4. 블랙마켓 -> CVM (=가상가치산정법)은 비시장 자원에 대한 가치 측정을 위한 설문 방식의 경제 가치 산정 기법이다. -> 델파이기법은 전문가 패널에 의존하여 질문자와 전문가 사이의 상호작용에 의한 예측..
개인정보보호관리체계 _1. 개인정보 이해 1-3. 개인정보 보호의 컴플라이언스 컴플라이언스 - 법규준수/ 준법감시/ 내부통제 동의 의미 - 사업 추진 과정에서 기업이 자발적으로 관련 법규를 준수하도록 하기 위한 일련의 시스템, 기업 윤리까지 포함하기도. - 외부 규제나 표준에 대해 지속적 관찰을 통해 준수 여부 확인 및 문제 개선하는 활동 - 기업의 비즈니스 연속성, 경영 투명성 확보를 위해 강제적, 자율적으로 다양한 규제를 준수하는 것 기업의 사회적 책임 - 기업이 단기 이익만을 위해 사회적 책임을 등한시 하고 단순 영리를 추구하는 것보다 사회 구성 유기체로서 사회적 책임에 충실하여야 오래 살아남을 수 있음 - CSR 기업 스스로가 자신의 사업 활동을 행할 때 이해관계자와의 상호관계에서 자발적으로 사회..
개인정보보호관리체계 _1. 개인정보 이해 1-2. 개인정보 보호 개인정보보호의 중요성 - 개인정보 침해 시 문제점 : 개인/기업/국가적 측면 - 사회 발전에 따른 개인정보 범위 확대 - 개인정보 침해 원인 : 개인정보처리자 / 정보주체 프라이버시 정의 - 개인정보는 프라이버시에서 파생 - 헌법 17조 : 프라이버시의 보호에 불가침 선언 - 사생활의 비밀과 자유에 대한 법적 논의 : 미국 프라이버시권 논의가 대표적 - 프라이버시의 어원 : 라틴어 빼앗다에서 유래 - 과거 : the right to be left alone. 소극적 권리. 사생활 침해받지 않고 공개 당하지 않을 권리. 개인간 사적 권리 - 1977 미국연방대법원 프라이버시권 : 침해당하지 않을 소극적 권리 -> 사적 결정의 독립성과 자율성 ..
개인정보보호관리체계 _1. 개인정보 이해 1-1. 개인정보와 관련 법률 용어 개인정보 정의 - 살아있는 개인에 관한 정보 - 개인을 알아볼 수 있는 정보 (직접식별정보) - 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 (간접식별정보) - 원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보 (가명정보) 살아있는 - 법적으로 사망한 것으로 간주되는 자는 보호 대상 x - 사망자의 정보가 사망자와 유족의 관계를 나타내는 정보라면 사망자의 정보이면서 동시에 유족의 정보가 되므로 보호 대상 o 개인에 관한 - 개인정보의 주체는 자연인. 법인 및 단체는 포함 x - 대표자를 포함한 임원진, 업무 담당자 등은 법인의 정보이면서 개인의 정보이므로 개인을 식별할 수 있는 정..
