정보보안 QnA


첼라는 클라이언트 분들의 궁금증을 해결하고, 더 안전한 정보보안 활동을 지원하기 위해 최선을 다하고 있습니다. 

정보보안 업무와 관련한 궁금한 사항이 있으시면 언제든지 문의해주시기 바랍니다. 

첼라는 기술과 전문성으로 답변드리며, 함께 더욱 안전한 정보보안 환경을 만들기 위해 노력하겠습니다.

※ 직접 문의 : TEL. 010 4319 8765 / E-Mail. kms@cela.kr

※ 카카오톡 채널 문의 : 첼라

2023-12-05
조회 175

B2B 서비스 종류 및 비즈니스 유형이 다양함에 따라 '이용내역'을 보내는 경우도 있지만,
일반적인 경우에는 이용내역 안내를 하지 않아도 됩니다.

이와 관련한 사항은 개인정보보호법 시행령 제15조3(개인정보 이용.제공 내역의 통지)에 명시되어 있으며,
해설서에서도 이와 같은 내용이 설명되어 있습니다.

아래는 관련 내용입니다.
업무에 참고하시기 바랍니다. :)


230927_개인정보 보호법 개정 안내서 초안(공개), 31 Page

Q.이용·제공 내역 통지 대상에서 제외할 수 있는 사유 중 공공기관, 법인의 임직원 또는
개인의 연락처 등의 개인정보를 처리한 경우는 어떤 상황을 말하는 것인지?

A.해당 조항의 사례는 B2B 사업 관계에서와 같이 사업자 간 업무 처리를 하는 경우를 말하는 것으로, 이용·제공내역 통지 제도의 도입 목적은 개인정보처리자(사업자)와 정보주체(고객)의 관계에서 정보주체의 권리를 보장하기 위한 조항이므로, 기업 간 이루어지는 B2B 관계에서 업무를 목적으로 업무 상대방의 연락처 등을 처리하는 경우까지 이용·제공 내역을 통지하게 할 필요는 없다는 의견을 반영한 것임


2023-12-05
조회 102

'만 14세 이상입니다' 라는 항목에 체크하는 방법 또는 생년월일을 확인하는 방법으로 가능합니다.

아래는 '아동청소년 개인정보보호 가이드라인(KISA, 2022.07) 내용입니다.

만 14세 미만 여부 프로세스 설계 또는 구축 시 참고하시 바랍니다.


2023-08-22
조회 156

설치 또는 실행 과정에서 하나의 방법으로 안내하여도 무방합니다.

하지만, 둘다 하는것이 더 바람직하다고 볼 수 있습니다.


참고 자료 : 방송통신위원회 > 스마트폰 앱 접근권한 개인정보보호 안내서 9 Page


출처 : 방송통신위원회 누리집 > 스마트폰 앱 접근권한 개인정보보호 안내서

2023-08-14
조회 169

가장 쉽게 판단하는 방법은 위탁 또는 제3자에게 전달하는 업무가 위탁자의 대한 이익인지, 제3자의 이익을 위함인지 판단하는 겁니다.
하지만, 해당 경우로도 판단되지 않고 모호한 경우도 많이 있으니 종합적인 부분을 고려하여 판단하여야 합니다.

아래는 개인정보보호위원회에서 발간한 '개인정보 처리 위.수탁 안내서'의 일부 내용입니다.
위수탁의 개념 및 판단기준에 대해서 잘 설명하고 있어 해당 내용 부분을 발췌하여 올립니다.

업무 위탁과 제3자 제공 판단 시 도움이 되셨으면 좋겠습니다.


 

2023-08-14
조회 79

Q. 개인정보 처리방침 내에 개인정보 담당자를 명시하지 않고 개인정보 보호책임자만 명시하면 안되나요? 

  => 네. 가능합니다. 개인정보보호를 총괄하는 책임자는 반드시 지정이 되어야 합니다.
        그리고 경우에 따라 개인정보보호 책임자 이외에도 필요에 따라 개인정보 담당부서, 담당자 등을 기재하는 것도 권장됩니다.


Q. 그리고 개인정보 처리방침내에 담당자 연락처를 꼭 모두 명시해야 하나요?
  => 아닙니다.
        정보주체의 개인정보 관련 문의, 고충처리 등이 원활히 처리될 수 있는 개인정보 보호 책임자의 소속 부서 연락처 등을
        기재하는 것이 중요합니다.(담당자 개인 연락처를 기재할 필요는 없습니다. )


관련 근거 : 개인정보 처리방침 작성 가이드라인 56 Page

2023-08-04
조회 464

결론부터 말씀드리면 암호화 하지 않아도 됩니다.

개인정보의 안전성 확보조치 기준 제 6조에 따르면  다음 개인정보에 대해서는 안전한 암호 알고리즘으로 암호화하여 저장하라고 명시되어 있습니다.

1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호
5. 신용카드번호
6. 계좌번호
7. 생체인식정보 

따라서 CI, DI 값 자체가 주민등록번호에 해당된다고 볼 수는 없으므로 해당 값을 내부망 개인정보처리시스템에 저장 시 반드시 암호화 하여야 하는 의무가 발생하지는 않는 것으로 판단됩니다.

다만, CI, DI 값은 온라인 상의 개인 식별 번호로 일종의 온라인 상의 주민등록번호와 같습니다.
이에 따라 CI, DI 값을 저장·관리 시 주민등록번호와 같이 안전하게 관리할 필요가 있으며,
유출 시 피해 최소화를 위해 저장 시 암호화 등의 보호조치를 적용하는 것을 권고 드립니다. 

2023-08-04
조회 92

개인정보의 기술적·관리적 보호조치 기준제 4조제8항에는 다음과 같은 내용이 명시되어 있습니다.

⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용ㆍ운용하여야 한다. 

1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성 

2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고 

3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경 


여기서에서 제1호에 따른 문자 조합을 문의주신걸로 확인 됩니다.

이경우 대문자, 소문자로 구분하여 비밀번호를 설정할 경우 2종류 이상의 문자로 인정됩니다.

아래는 '개인정보의 기술적.관리적 보호조치 기준 해설서' 55 Page 따른 내용입니다.
 - 영대문자, 영소문자, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성하여야 한다.


2023-07-14
조회 123

상담기록의 경우, 해당 법령에 따라 3년을 보존하고 있으며,   이는 의무적으로 보존해야하는 강행규정에 해당된다고 볼 수 있습니다.

전자상거래법 시행령 >  제6조(사업자가 보존하는 거래기록의 대상 등) 

    1. 표시ㆍ광고에 관한 기록: 6개월
    2. 계약 또는 청약철회 등에 관한 기록: 5년
    3. 대금결제 및 재화등의 공급에 관한 기록: 5년
    4. 소비자의 불만 또는 분쟁처리에 관한 기록: 3년

다만, 전자결제기록(동조항 제2호 및 제3호)을 5년간 보관해야 하는 사항과 이에 대한 소비자 불만, 상담 등이 포함될 수 있는점을 고려하여
정보주체에게 아래 3개 항목을 안내하고 동의 받는 다면 3년 이상 보관이 가능합니다.

개인정보보호법 > 제15조(개인정보의 수집.이용)

    1. 개인정보의 수집ㆍ이용 목적
    2. 수집하려는 개인정보의 항목
    3. 개인정보의 보유 및 이용 기간

2023-07-13
조회 60

현행 법률에서 나열한 3가지 목적 외 추가적인 목적은 포함되지 않는 것으로 해석하고 있습니다.

따라서, 가명정보는 통계작성, 과학적 연구, 공익적 기록보존 을 위해서 정보주체 동의 없이 가명정보를 처리 할 수 있습니다.

개인정보보호법 > 제28조의2(가명정보의 처리 등)

2023-06-17
조회 283

네. 맞습니다.
가상계좌도 암호화 대상입니다.

계좌번호 범위는 가상계좌번호도 포함되며 용도를 구분하고 있지 않습니다.
이에 따라 임호화 저장 유무가 달라지지 않는다는 점을 참고하시기 바랍니다.


개인정보의 기술적 관리적 보호조치 기준 제6조

② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리즘으로 암호화하여 저장한다.
1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호
5. 신용카드번호
6. 계좌번호
7. 바이오정보 

2023-06-12
조회 137

개인정보의 수집, 이용시에는 법률에 근거 및 기타 사유를 제외하고는 정보주체의 동의를 받으라 법적으로 명시되어 있습니다.
개인정보 보호법[시행 2020. 8. 5.] 제15조 제1항 

기업에서 중복가입 방지 목적을 위해 회원가입 시 개인정보 보유·이용기간을 영구적으로 동의받고 아이디를 영구적으로 보관하는 경우가 있습니다.

  - 알기쉬운 개인정보 처리 동의 안내서(2022.3) Page.11
  - 개인정보보호 법령 및 지침, 고시 해설서(2020.12). Page.102 

상기 안내서 및 해설서를 보면 개인정보 수집 시 에는 '수행하려는 업무 목적 등을 고려하여 합리적인 범위 내에서 필요한 최소한의 개인정보를 수집 하여야함' 이라는 사항이 있습니다. 이에 따라 사업자는 '필요한 최소한의 개인정보 처리 원칙'을 준수하여야 합니다.
또한, '최소한의 개인정보 입층책임은 개인정보 처리자가 부담한다' 라고 명시되어 있습니다.

이에 따라 손해배상 청구소송의 제기 시 개인정보 처리자가 그 목적 달성을 위해 최소한의 개인정보를 입증하지 못한다면 패소하게 될 가능성이 높을 것입니다.

즉, 기업(개인정보 처리자)은 중복가입 방지 목적 달성을 위해 수집·저장하는 최소한의 개인정보(아이디 : 영구보존)라는 것을 입증해야 합니다.
단순하게 수집·이용 기간을 '영구'로 표기하여 동의를 받았으니 '영구보관'이 가능하다고 판단하기 보다는 수집목적(중복가입 방지 목적)을 달성하기 위해 다른 여러가지 방법 등을 고려하는게 적합하다고 판단됩니다.
(Ex. 중복가입 방지를 위해 아이디를 해시값으로 저장 및 매칭을 통한 방지 적용)

2023-06-11
조회 90

이용내역 통지제도는 이용자의 개인정보를 이용한 내역을 이용자에게 알려주기 위한 제도입니다.
1년 동안 서비스를 이용하지 않은 이용자에게 이용내역을 통지하는 것은 필요하지 않을 것으로 판단됩니다.

개인정보 보호법[시행 2020. 8. 5.] [법률 제16930호, 2020. 2. 4., 일부개정] 제39조의8 

2023-06-11
조회 59

요효기간이 경과한 이용자의 개인정보를 분리 저장·관리하는 경우 해당 이용자의 개인정보는 이용자의 요청이 없는 한 이용할 수 없으므로, 영리목적의 광고성 정보를 전송해서는 안될 것입니다.

영리목적의 광고성 정보 전송에 대한 수신동의 여부를 2년마다 확인하도록 하는 취지는 최초에 수신동의를 했다 하더라도 앞으로도 계속해서 수신할 것인지 선택권을 주고자 함에 있습니다. 

따라서 영리목적의 광고성 정보를 전송해서는 안 되는 이용자에게 수신동의 여부를 확인할 필요는 없을 것으로 판단됩니다.

정보통신망 이용촉진 및 정보보호 등에 관한 법률 ( 약칭: 정보통신망법 )[시행 2022. 12. 11.] [법률 제18871호, 2022. 6. 10., 일부개정] 제50조

2023-06-11
조회 132

네. 맞습니다.

개인정보보호법 제20조에 따른 '정보주체 이외로부터 수집한 개인정보'로 해당이 됩니다.
그에 따라 같은 조 2항 및 3항에 따라 대통령으로 정하는 기준에 해당되는 경우 정보주체에게 주기적으로 안내하여야 합니다.


신문고 질의 내용

O 질의 내용

개인정보보호법 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) 1항에 대한 법률 해석 문의사항이 있어 이렇게 글을 올립니다. (① 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.) 

정보주체 이외로부터 수집한 개인정보라는게 다음의 경우에도 해당되는지 궁금합니다.
일반 홈쇼핑 등 사이트에서 간편가입을 지원하고 있는데요. 간편가입에는 카카오, 네이버, T아이디 등을 통하여 회원가입이 가능한데.
이 경우 정보주체의 동의를 받아서 회원가입정보를 전달해서 가입하고 있는데, 이때에도 정보주체 이외로부터 수집한 개인정보가 해당되는지 궁금합니다.
기업에서는 정보주체 이외로부터 수집한 개인정보를 처리할 경우 일정 조건 이상이면 정보주체에게 안내하는 사항이 있는데 위 같은 경우 해당되는지 궁금합니다.

O 답변 내용

「개인정보 보호법」(이하‘보호법’) 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) 제1항에 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호(1. 개인정보의 수집 출처, 2. 개인정보의 처리 목적, 3. 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실)의 모든 사항을 정보주체에게 알려야 한다고 규정하고 있습니다.


또한, 보호법 제20조 제2항에 제1항에도 불구하고 처리하는 개인정보의 종류·규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제17조 제1항 제1호에 따라 정보주체 이외로부터 개인정보를 수집하여 처리하는 때에는 제1항 각 호의 모든 사항을 정보주체에게 알려야 한다고 규정하고 있습니다.

여기서 ‘정보주체 이외로부터 수집한 개인정보‘에는 제3자로부터 제공받은 정보, 신문·잡지·인터넷 등에 공개되어 있어 수집한 정보 등이 해당됩니다.

개인정보처리자가 보호법 시행령 제15조의2 제1항에 해당한다면 보호법 제17조 제1항 제1호에 따라 개인정보를 제공받아 처리하는 경우 정보주체의 요구가 없더라도 ‘수집 출처’,‘처리목적’,‘개인정보 처리의 정지를 요구할 권리’에 대한 사항을 정보주체에게 알려야 합니다.

이를 종합하면, 귀하께서 문의하신 내용으로 SNS(카카오, 네이버, T아이디 등) 계정을 이용하여 다른 사이트에 회원가입을 하는 경우 SNS 회사는 수집·이용 중인 이용자(정보주체)의 개인정보를 다른 사이트에 제공하게 되므로 일정한 사항을 알리고 개인정보 제3자 제공에 관한 동의를 받아야 합니다.

따라서, 귀하께서는 보호법 제17조 제1항 제1호에 따라 SNS(카카오, 네이버, T아이디 등) 회사로부터 개인정보를 제공받은 특정 사이트의 개인정보처리자는 정보주체의 요구가 있는 경우 사실을 요구를 받은 날로부터 3일 이내에 알려야 합니다.

또한, 보호법 시행령 제15조의2 제1항에 해당하는 경우(5만명 이상의 정보주체에 대하여 민감정보 또는 고유식별정보를 처리하는 자, 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 자)에‘수집 출처’,‘처리목적’,‘개인정보 처리의 정지를 요구할 권리’에 대한 사항을 개인정보를 제공받은 날부터 3개월 이내에 정보주체에게 고지해야 합니다.

※ 국민신문고를 통한 질의민원의 경우 개인정보 보호법에 대한 안내 및 일반적 유권해석에 대한 답변이 가능하며, 개별사례에 대한 위법 여부는 안내 취지에 따라 스스로 판단하여야 함을 양해하여 주시기 바랍니다.

2023-06-10
조회 235

회원번호 및 닉네임은 개인정보 가능성이 높은 정보다 라고 할 수 있습니다.


회원번호의 경우 '찾기쉬운 생활법령 정보'에서 개인정보로 안내하고 있습니다.
(출처 : https://www.easylaw.go.kr/CSP/OnhunqueansInfoRetrieve.laf?onhunqnaAstSeq=94&onhunqueSeq=5351)

사원증 번호, 회원번호 등도 고유식별정보의 범위에 포함되나요?
“고유식별정보”란 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호에 해당하는 정보를 말합니다. 따라서 사원증 번호, 회원번호 등은 개인정보에는 해당할 수 있으나, 고유식별정보에는 해당하지 않습니다.


닉네임의 경우 판례들에서 개인정보로 취급하고 있음을 확인하였습니다.

출처 : 서울고등법원 2015. 2. 9. 선고 2014노2820 판결 [공직선거법위반·국가정보원법위반] > 종합법률정보 판례

원심의 판단 및 그 근거를 앞서 Ⅱ의 2. 나.항에서 밝힌 바에 비추어 살피건대, 다음 아고라 게시판의 게시글 정보(특히 닉네임 정보)는 개인정보 보호법상 개인정보에 해당하고, 검사가 공소외 3 회사로부터 임의제출의 방식으로 받은 위 게시글 정보는 개인정보 보호법을 위반하여 위법하게 수집한 증거에 해당하므로 증거능력이 없다고 보아야 할 것이나, 임의제출 이후 수집된 2차적 증거들은 당초 임의제출된 게시글 정보의 범위, 압수·수색영장 신청 및 발부의 경위 등의 사정들을 전체적·종합적으로 고려하면 그 증거능력이 부정되지 아니한다고 봄이 타당하다. 따라서 위와 같은 원심의 판단은 정당하고, 검사와 피고인들의 이 부분 주장은 모두 이유 없다.


출처 : 서울고등법원 2017. 8. 30. 선고 2015노1998 판결 [공직선거법위반·국가정보원법위반] > 종합법률정보 판례

4) 공소외 3 회사로부터 취득한 ‘다음 아고라’ 게시글 관련 증거능력(피고인들 항소이유 제2-4점 및 검사 항소이유 제1-3점)
가) 공소외 3 회사로부터 임의제출 받은 ‘다음 아고라’ 게시글 정보의 증거능력(검사)
원심은, 공소외 3 회사가 검사에게 제공한 ‘다음 아고라’ 게시판의 게시글 정보에는 해당 게시글의 작성시각, 작성자 닉네임, URL 정보, 게시글 제목 및 본문에 관한 정보가 포함되어 있는 점, ‘다음 아고라’ 게시판 서비스를 제공하는 공소외 12 주식회사(이하 ‘공소외 12 회사’라 한다)는 그 회원가입에 실명 확인이 필요한 포털사이트로서 그 회원들의 실명, 주민등록번호, 전화번호, 아이디, 닉네임 등의 정보를 수집·보관하고 있는 것으로 보이는 점, 특정 회원의 닉네임 정보는 그 자체만으로 개인을 식별할 수 있는 정보라고 보기 어렵더라도 이를 공소외 12 회사가 보관하고 있는 실명, 주민등록번호, 전화번호 등 인적사항에 관한 정보와 결합할 경우 쉽게 개인을 식별할 수 있는 점 등에 비추어, 공소외 3 회사가 검사에게 임의로 제출한 ‘다음 아고라’ 게시판의 게시글 정보는 ‘개인정보 보호법’상의 개인정보이며 검사가 이를 수집한 것은 위법수집증거에 해당한다고 판단하였다.

원심이 위와 같이 인정한 사정 등을 위 3)가)항에서 본 법리에 비추어 살펴보면, 원심의 판단은 정당한 것으로 수긍할 수 있다.

2023-06-10
조회 106

네. 맞습니다. 

만 14세 미만에게 '개인정보 이용내역 통지'를 하여야 하며, 학부모 핸드폰 번호 정보가 있는 경우 동일하게 통지가 필요합니다.
핸드폰 번호가 없다 하더라도 학부모 이메일 등의 정보가 있다면 역시 동일하게 통지하여야 합니다.

학부모에게 '개인정보 이용내역 통지'를 할 수 있는 개인정보를 수집하지 않는 경우는 통지하지 않아도 됩니다.


개인정보 보호법 [시행 2020. 8. 5.] [법률 제16930호, 2020. 2. 4., 일부개정]

 제39조의8(개인정보 이용내역의 통지)
① 정보통신서비스 제공자 등으로서 대통령령으로 정하는 기준에 해당하는 자는 제23조, 제39조의3에 따라 수집한 이용자의 개인정보의 이용내역(제17조에 따른 제공을 포함한다)을 주기적으로 이용자에게 통지하여야 한다. 다만, 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 아니한 경우에는 그러하지 아니한다.

제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
⑤ 정보통신서비스 제공자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 한다.

2023-06-02
조회 251

개인 식별에 직접적인 정보 뿐만 아니라 간접적인 정보도 개인정보에 해당될 수 있습니다.
이 정보는 개인정보다. 아니다. 로 판단하기보단 개인정보가 될 가능성이 높다. 낮다. 로 판단하시는게 더 적합합니다.

아래는 개인정보분쟁조정위원회 홈페이지에 명시된 개인정보 유형에 따른 항목입니다. 참고하세요.
(출처 : https://www.kopico.go.kr/intro/personInfoIntro.do)

유형구분
개인정보 항목
일반정보이름, 주민등록번호, 운전면허번호, 주소, 전화번호, 생년월일, 출생지, 본적지, 성별, 국적
가족정보가족구성원들의 이름, 출생지, 생년월일, 주민등록번호, 직업, 전화번호
교육 및 훈련정보학교출석사항, 최종학력, 학교성적, 기술 자격증 및 전문 면허증, 이수한 훈련 프로그램, 동아리활동, 상벌사항
병역정보군번 및 계급, 제대유형, 주특기, 근무부대
부동산정보소유주택, 토지, 자동차, 기타소유차량, 상점 및 건물 등
소득정보현재 봉급액, 봉급경력, 보너스 및 수수료, 기타소득의 원천, 이자소득, 사업소득
기타 수익정보보험 (건강, 생명 등) 가입현황, 회사의 판공비, 투자프로그램, 퇴직프로그램, 휴가, 병가
신용정보대부잔액 및 지불상황, 저당, 신용카드, 지불연기 및 미납의 수, 임금압류 통보에 대한 기록
고용정보현재의 고용주, 회사주소, 상급자의 이름, 직무수행평가기록, 훈련기록, 출석기록, 상벌기록, 성격 테스트결과 직무태도
법적정보전과기록, 자동차 교통 위반기록, 파산 및 담보기록, 구속기록, 이혼기록, 납세기록
의료정보가족병력기록, 과거의 의료기록, 정신질환기록, 신체장애, 혈액형, IQ, 약물테스트 등 각종 신체테스트 정보
조직정보노조가입, 종교단체가입, 정당가입, 클럽회원
통신정보전자우편(E-mail), 전화통화내용, 로그파일(Log file), 쿠키(Cookies)
위치정보GPS나 휴대폰에 의한 개인의 위치정보
신체정보지문, 홍채, DNA, 신장, 가슴둘레 등
습관 및 취미정보흡연, 음주량, 선호하는 스포츠 및 오락, 여가활동, 비디오 대여기록, 도박성향