itnyaong 님의 블로그

1. 개인정보 보호법 기준1.1. 국외 이전 시 필수 요건정보주체의 별도 동의 필요이전되는 개인정보 관련 사항 사전 고지1.2. 정보주체에게 고지해야 할 필수 사항이전되는 개인정보 항목개인정보 보유기간국외 이전 사유국외 이전 국가 및 업체 정보정보주체의 거부권 및 행사 방법2. GDRP 기준2.1. 개인정보 국외 이전 방법2.1.1. 적정성 결정(Adequacy Decision) 국가로 이전EU 집행위원회가 해당 국가의 개인정보 보호 수준을 승인한 경우 별도 조치 없이 이전 가능대한민국, 영국, 일본 등2.1.2. 적정성 결정이 없는 국가로 이전표준계약조항(Standard Contractual Clauses, SCCs)EU 집행위원회가 승인한 게약을 체결하여 보호 조치 확보구속력 있는 기업 규칙(Bind..

1. 접근통제 조치1.1. 본인 계정 사용 원칙타인의 계정을 사용하지 못하도록 IP 또는 MAC 주소 기반 ACL(Access Control List) 적용근무 시간 외 접근 통제 및 승인 절차 마련1.2. 접근 기록 관리개인정보처리시스템 접속 기록을 최소 1년 이상 보관 및 주기적 점검2. 패스워드 정책2.1. 강력한 패스워드 기준 적용최소 8자리 이상대문자, 소문자, 숫자, 특수문자 포함 (각 1개 이상)2.2. 패스워드 입력 오류 제한5회 이상 실패 시 계정 잠금 조치계정 잠근 해제는 사용자 본인 신청을 통해서만 가능2.3. 패스워드 재설정 및 분실 시사용자 본인 확인 후 비밀번호 재발급 가능

1. 개인정보 처리 위탁 시 준수사항1.1. 최소한의 정보 위탁위탁 목적에 필요한 최소한의 개인정보만 제공해야 함1.2. 목적 외 사용 금지위탁 목적 외의 개인정보 사용은 금지되며, 재위탁 시에도 사전 동의 필요1.3. 수탁업체 관리·감독수탁업체는 위탁자의 이익을 위해 업무를 수행하며, 위탁자는 보안 조치 이행 여부를 관리·감독해야 함2. 필수 계약사항 (위탁 계약 시 명시사항)위탁 업무의 목적 및 범위재위탁 제한 및 조건개인정보 보호를 위한 안전성 확보조치계약 종료 시 개인정보 반환 및 파기 절차손해배상 및 책임에 관한 사항3. 정보주체 고지사항위탁 업무 내용 및 수탁 업체 명칭위탁 대상 개인정보 항목개인정보 보유 및 이용 기간개인정보 처리 목적

1. 개인정보 영향평가(PIA, Privacy Impact Assessment)의 개념개인정보 처리 시스템 구축이나 변경 시 해당 시스템이 정보주체의 개인정보에 미칠 영향을 자선에 분석·평가하는 절차 (개인정보 보호법 제33조 및 시행령 제35조)2. 의무적으로 시행되는 경우5만명 이상의 정보주체에 관한 민감정보나 고유식별정보의 개인정보파일 구축·운용 시다른 개인정보파일과 연계 시 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일 구축·운용 시100만명 이상의 정보주체에 관한 개인정보파일 구축·운용 시3. 주요 절차3.1. 사전 준비 및 범위 확정시스템의 목적, 개인정보 처리 항목, 대상 범위 식별3.2. 개인정보 흐름 분석수집, 저장, 이용, 제공, 파기 등 개인정보의 처리 흐름도 작성3..

1. 개인정보 파기 시 준수해야 하는 절차 (개인정보 보호법 제21조 및 시행령 제16조)파기 사유 확인: 보유 기간이 경과하거나 개인정보 처리 목적이 달성되면 즉시 파기파기 방법 결정: 전자적·비전자적 형태에 파아 적절한 방법을 선택파기 이력 기록: 파기한 날짜, 담당자, 파기 방법 등을 기록 및 보관파기 수행 및 검증: 파기 후 데이터 복구 가능성을 점검2. 안전한 파기 방법 (개인정보 보호법 시행령 제16조 및 ISMS-P 인증기준)2.1. 전자적 형태2.1.1. DB 데이터논리적 삭제: 데이터베이스 내의 개인정보를 삭제 후 덮어쓰기를 하여 복구 불가능하게 함암호화 후 키 파기: 암호화된 상태라면 복호화 키 파기로 복구 불가능하게 함2.1.2. 저장매체(HDD, SSD, USB 등)소프트웨어 파기:..

1. 암호화가 중요한 이유개인정보 처리 과정에서 암호화는 데이터 유출 시에도 정보의 기밀성을 유지할 수 있도록 보호해줌암호화된 데이터는 탈취되더라도 복호화 키 없이는 의미 없는 데이터가 되기 때문에 데이터 보호의 최후 방어선과 같은 역할을 함 (GDPR을 적용 받는 기업이라면 암호화된 데이터도 개인정보로 보기 때문에 유의)2. 암호화 적용 시 고려해야 할 사항2.1. 안전한 알고리즘 선택개인정보 보호법에서는 안전성이 입증된 암호화 알고리즘을 사용할 것을 권하고 있음 (비밀번호는 단방향 해시함수, 고유식별정보는 양방향 암호화 방식 적용)2.2. 암호화 키 관리키 관리 시스템(KMS)을 도입하여 접근 권한을 최소화하고 주기적으로 키를 변경해야 함2.3. 데이터 암·복호화 성능암호화가 성능에 영향을 미치지 않..

1. 법적 근거와 원칙항목국내국제규제개인정보 보호법GDPR(유럽연합), CCPA(미국)수집 최소화의 원칙: 서비스 제공에 반드시 필요한 최소한의 정보만 수집해야 하며 추가 정보 수집 시 별도의 동의를 받아야 함목적 제한 원칙: 수집한 개인정보는 명확한 목적 내에서만 사용해야 하며 다른 용도로 활용할 경우 추가 동의가 필요함보유기간 제한 원칙: 개인정보는 필요 기간 동안만 보관해야 하며, 기간이 지나면 안전한 방식으로 파기해야 함정보주체의 권리 보장: 정보주체는 자신의 개인정보 열람, 정정, 삭제, 처리, 정지를 요청할 수 있어야 함안전성 확보 원칙: 개인정보 보호를 위해 암호화, 접근통제 등의 기술적·관리적 조치를 적용해야 함2. 법적 리스크2.1. 개인정보 보호법과징금: 매출액 3% 이하 또는 매출액 ..