1 개인정보 관리 수준에 대한 평가/개선
| 제32조의 2 개인정보 보호 인증
- ISMS-P : 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
- ISMS : 정보보호, 정보통신망법 제47조
- PIMS : 개인정보보호, 개인정보 보호법 제32조의2
- 인증 : 인증 대상이 인증 기준을 충족하는지 심사하는 행위 또는 결과
- 인증 심사원 > 인증 기관(위원회) > 정책 기관(과기정통부/개인정보보호위원
- ISO27018 : 클라우드 관련 체계 인증 / ISO 27001 : 정보보안 경영 시스템
| 제33조 개인정보 영향평가
- 영향평가 대상 : 하나라도 해당 할 경우
- 5만명 이상의 민감정보/고유식별정보
- 개인정보파일을 다른 외부 개인정보파일과 연계하여 연계 후 50만명 이상
- 100만 명 이상의 개인정보
- 영향평가 시기 : 개인정보파일을 운용, 변경하기 전
- 공공기관 범위
- 국회, 법원, 헌재, 선관위의 행정사무 처리 기관, 중앙행정기관 및 소속기관(지방자치단체 등)
- 국가인법위, 지방공기업, 특수법인, 학교
2 개인정보 유출/노출 시 대응
| 제34조 개인정보 유출 등의 통지, 신고
(1) 통지
- 근거 : 법 제34조, 시행령 제39조(개인정보 유출 통지의 방법 및 절차)
- 개인정보 유출 등 : 개인정보의 분실, 도난, 유출
- 통지 요건 : 몇 명에 대한 기준이 없으므로 1명이라도 유출되면 통지해야 함
- 통지 기한 : 정당한 사유 없으면 72시간 이내
- 예외 : 추가 확산 및 유출을 막기 위한 조치가 필요할 경우
- 통지 방법 : 개별 통지(서면)
- 예외 : 연락처가 없으면 30일 이상 인터넷 홈페이지, 사업장 게시
- 우선순위 : 개별통지 > 인터넷 > 사업장 게시
- 통지 내용
- 우선통지 : 3 피해 최소화를 위해 주체가 할 수 있는 방법, 4 피해 구제 절차, 5 신고 등을 접수할 수 있는 담당 부서 및 연락처
- 추후통지 가능 : 1 항목, 2 경위
(2) 신고
- 근거 : 법 제34조, 시행령 제40조(개인정보 유출 등의 신고)
- 개인정보 유출 등 : 개인정보의 분실, 도난, 유출
- 신고 요건 : 다음 중 하나에 해당 될 경우
- 1천명 이상의 정보주체, 민감/고유식별정보, 해킹에 의한 유출
- 신고하지 않을 요건 : 경로가 확인되어 회수/삭제 조치를 통해 권익 침해 가능성이 현저히 낮은 경우
- 신고 기한 : 72시간 내, 예외 규정 X
- 신고 내용
- 우선통지 : 3 피해 최소화를 위해 주체가 할 수 있는 방법, 4 피해 구제 절차, 5 신고 등을 접수할 수 있는 담당 부서 및 연락처
- 추후통지 가능 : 1 항목, 2 경위
- 신고처 : 개인정보보호위원회, 한국인터넷진흥원
| 제34조의2 노출된 개인정보의 삭제, 차단
- 개인정보 전송 시 암호화를 통해 통신망을 통하여 공중에서 노출되지 않도록 해야 함
- 보호위원회/대통령령으로 지정한 전문기관의 요청이 있을 경우 해당 정보를 삭제/차단해야 함
- 현행법 정보통신서비스 제공자 등 특례를 일반 개인정보처리자에게 확대 적용
- 위반에 대한 제재조항 없음
