I. 개인정보보호 합동 점검 체계

II. 주요 점검 현황 및 위반 사례

III. 2015년 관리실태 점검 방향

목차

2

I. 개인정보보호 합동 점검 체계

3

1. 합동 점검체계 출범 배경

약 121,320,000명

사건일 개인정보처리자 피해규모

2011. 4 현대캐피탈 175만명

2011. 7 SK컴즈 3,560만명

2011. 8 삼성카드 47만명

2011. 11 넥슨 1,230만명

2012. 3 SKT/KT 20만명

2012. 5 EBS 400만명

2012. 7 KT 870만명

2013.12 KB, 롯데, 농협카드 1,700만명

2014.2~3 KT/SKT/LGU+ 2,430만명

2014.4 티몬 등 1,700만명

‘11~14년 주요 개인정보 유출건수

51,360,454명

우리나라 전체인구(’15.2) >

17,569 23,33339,811

54,832

122,215

166,801

177,736

158,900

0

30,000

60,000

90,000

120,000

150,000

180,000

04년 05년 6년 7년 8년 9년 10년 11년 12년 13년 14년

개인정보 침해신고상담건수(KISA)

개인정보 유출 및 침해 지속 발생

4

2. 개인정보보호 정부 합동점검체계 출범

판결소식 이후집단소송 참여자 급증!

3,560만 건2011.07

SK컴즈 20만원 위자료 판결시 7조 배상(’14년 매출액의 75배)

※ 매출액 : 2,606억(‘11) -> 939억(‘14)

개인정보 유출 사고에 범정부 차원의 체계적 대응을 위한

개인정보보호 합동점검단 출범(’12.11.8, ‘14.말까지 한시적)

5

3. 정부 합동점검체계 상시화

개인정보 유출 사고에 범정부 차원의 상시적 대응을 위한

개인정보보호 점검 전담부서 설치(’15.1.6)

6

4. 합동 점검 체계 구성 및 운영

조

직

구

성

개인정보보호 점검 전담부서 설치(’15.1.6)

(구성현황) 과장, 총괄(3), 점검기획(5), 행정처분(2), 조사점검(10)- 안행부 및 관계기관 파견인력으로 구성

* 안행부 8, 방통위 2, 금융위.교과부.복지부.경찰청 각 1, 전문기관 3

조사 및 점검-기획 점검 : 취약 분야, 위험 업종 대상 중심 실시, 제도개선 병행 (정기)

-특별 점검 : 침해사고, 유출 신고, 언롞보도 등 사고 원인조사 및 책임 규명 (수시)

현황 조사분석 모니터링 침해사고, 민원

업종별 개인정보처리현황

개인정보관리실태

개인정보 제공/활용현황

▶ KISA, NIA, 리서치 등

개인정보 유/노출현황

온라인 점검 (취약점 분석)

▶ 관계부처/기관 연계

개인정보 침해신고, 민원

분쟁조정 신청

사고 발생, 언롞 보도 등

▶ 경찰, KISA 등

<개인정보보호과>

7

5. 현 점검 체계의 고민

우리나라 전체 사업체

약 380만개

개인정보 처리 사업자

약 71만개

현 점검 인력으로 약 1,420년 소요

(연간 500개 기관 현장점검 가능)

홈페이지보유 사업체로 추정

8

II. 주요 점검 현황 및 위반 사례

9

1. 개인정보 관리실태 점검 현황(12.1 ~ 14.12)

※ 과태료 292건, 시정조치 589건, 개선권고 824건 등 총 1,705건

총 1,267개소 점검 및 1,039개소 위반(평균 위반율 82.0%)

* 검사기관은 현장점검 및 온라인 점검을 포함한 검사기관수 임** 처분기관 및 위반건수는 검사월 기준 통계이며, 행정처분 진행중인 사항이 있어 변동 가능

구분 2012 2013 2014 합계

검사기관* 422 331 514 1,267

처분기관** 347 297 395 1,039

위반건수** 726 469 510 1,705

10

구분 금융업 의료업 유통업 협단체방송

통신업

호텔

여행업학원업 소매업 기타

검사기관 105 62 88 86 58 22 40 36 770

위반기관 74 49 61 74 25 17 34 32 680

위반율 70.5% 79.0% 69.3% 86.0% 43.1% 77.3% 85.0% 88.9% 88.3%

2. 점검결과 분석 (주요 위반 사항)

*취급자 감독(28조), 처리방침 공개(30조), 보호책임자 지정(31조), 개인정보파일등록(32조),개인정보영향평가(33조)

11

0 200 400

*기타(§28, §30, §31, §32, §33)

열람·정정·삭제 위반(§35, §36, §37)

침해, 훼손 및 누설(§34, §59)

개인정보 미파기(§21)

과도핚 개인정보 수집(§16)

동의 방법 위반(§22)

고지의무 불이행(§15②, §17②)

동의 없는 수집이용(§15,§17,§23,§24)

위·수탁 위반(§26)

안전 조치 미흡(§29)

CCTV 설치·운영 위반(§25)

188

6

9

30

56

84

116

128

137

429

522

< 주요 위반 사항 >

1. CCTV 설치·운영

2. 개인정보보호 안전조치

3. 위·수탁에 따른 사항

4. 수집 및 고지 방법 및 절차

5. 개인정보 미파기

3. 점검 결과 분석 시사점

보유기간

침해/유츌

위험

수집

파기

제공/위탁이용

저장

개인정보 유출건 중 수탁자 책임형 76.8%

※ ‘12~’13년 유출사고 56건중 43건

법 위반 중 수탁자 책임형 66%

※ ‘12~’13년 점검결과 494건중 318건

사업자의 84%가시스템 개발 및운영업무 위탁

(IT서비스산업협회, ‘06)

1개 수탁사가 평균 788개 위탁사 개인정보 처리

※’14년 25개 수탁사 시범점검 결과

12

4. 수탁사 점검 사례 (홈페이지 웹호스팅)

3,200개 사업자의홈페이지 호스팅

(85만명 DB 단일 서버)

웹호스팅IT 수탁사홈페이지 제작

및 호스팅 서비스

수집에 따른 고지사항 미흡

처리방침 공개 미흡

접근권핚 관리(3년) 미흡

접근기록 관리(6개월) 미흡

전송구간 암호화(SSL) 적용 미흡

병의원

개인사업자

중소기업

학교.학원

펜션

쇼핑몰

13

4. 수탁사 점검 사례 (이미용 ASP)

3,800개미용·피부관리실고객관리 시스템

ASP 서비스

*ASP(Application Service Provider)온라인 응용소프트웨어 임대 사업

1,300만명 개인정보를단일 DB에서 운영

이미용 업계IT 수탁사

미용실·피부관리실(위탁사)미용실 고객

위탁계약 필수사항 누락

접근통제, 접근기록보관

전송시 암호화(SSL) 미적용

개인정보 미파기

고객정보(성명, 주소,전화번호,이메일 등)

14

4. 수탁사 점검 사례 (의료분야)

처방전(인쇄)

약국

위탁계약시필수항목 누락

병·의원병원고객

15

보험심사청구확인 시스템

의료정보업체

건강보험심사평가원

보험심사청구

목적외 이용

접근권핚(3년) 관리 미흡

접근기록(6개월) 관리 미흡

전송암호화(SSL) 미흡

EMR(진료기록관리)

OCS(처방전달시스템)

PACS(영상정보시스템)

보험심사청구시스템

처방전시스템유지보수 위탁

의료 IT수탁사

위탁 사항고지 미흡

처방전(데이터)

III. 2015년 관리실태 점검 방향

16

대기업

중소기업

개인사업자

1. 관리실태 점검 전략

17

SI 개발·운영 위탁

솔루션 구매및 운영

홈페이지 제작·웹호스팅 위탁

ASP 서비스 이용

처리유형

업종별 주요 수탁사

중대형 SI 업체

(의원, 이미용실, 학원, PC방, 음식점,부동산중계소 등)

(중대형 병원, 대학, 대형학원,스포츠시설, 프렌차이즈 등)

(공공, 금융,유통, 제조업 등)

자체개발

위탁자 점검

위탁자

정보 수집

위탁자

법 준수 제고

수탁자 점검

수탁사 점검을 통해 1석 2조의 성과 달성

2. 점검 방향 및 목표

10만 개인정보처리자 점검

구분 분야1분기 2분기 3분기 4분기

합계분야 월 분야 월 분야 월 분야 월

기획

교육,공공복지,통신

공공 1 교육 4 비영리단체 7 산업·물류 10 4회

의료 2 방송·통신 6 중개·생활 8 시설·문화 11 4회

수탁사 공공·교육 3 전업종 5 통신·산업 9 정보·문화 12 4회

특별 민원 등 분기별 7회 분기별 7회 분기별 7회 분기별 7회 28회

합계 10회 10회 10회 10회 40회

18

3. 관리실태 점검 방안 (처리자)

점검 대상 등 사전 협의

민간협단체

전국 3,000개 병원

전국 60,000개 학원

자율점검표

회원사

회원사

회원사

회원사

자율점검 및 이행계획 수립기관은 처분유예 등 인센티브 부여

미수행 기관은 과태료 등행정처분 조치

회원사 개선계획

-------------------------------------

자율점검 수행개선계획 수립및 이행 유도

자율점검 가이드라인 배포(교육 및 컨설팅 지원)현장점검

※협단체 관련 부처와 공동 점검 추진관련업계 전반의

개인정보 보호수준 제고

19

4. 관리실태 점검 방안 (수탁사) (1)

개인정보 처리 사업자

약 71만개

중점 점검 대상은 매출규모 30억 이상약 2,000개 사업체

전산개발·운영 수탁자

6,000개로 추정

개인정보처리 위탁

홈페이지 개발·운영, 고객관리시스템 ASP진료기록 저장·관리, 서버관리, 본인인증 등

공공, 금융, 교육, 복지, 의료, 문화, 정보통신개인서비스(병의원, 학원, 이미용실, 정비소 등

20

4. 관리실태 점검 방안 (수탁사) (2)

21

자율점검 안내

• SW 개발사(6,000

여개)에 자율점검지침과 점검계획

안내

※”IT수탁사 개인정보

보호실태 자율점검

지침”

※”개발자 가이드라인”

자율점검 실시및 개선 추진

• SW개발사 자율

점검 실시

• 미흡사항 개선

계획수립 및 이행

• 자율점검 수행 및개선 기관에 처분

유예 등 인센티브

실태점검 실시

• 업종별 주요 IT 수

탁사 집중 점검

• 자율점검 미수행

기관은 과태료

처분 추진

※ 부처 합동점검반 편성

및 운영 예정

미래부와 협력하여 IT 수탁사 자율점검 추진

5월4월

실태점검 시 업종별 해당부처와 합동점검반 편성 및 집중 점검

5. 중점 점검 사항 (1)

업무위탁에 따른 개인정보 처리제한

수탁사에 대한 교육.실태점검 등 관리.감독 여부

수탁사와 문서에 의한 계약 여부(필수사항 7가지 포함)

수탁사를 홈페이지 등에 공개 여부

안전조치 의무

개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조.변조 방지 조치

개인정보의 안전한 처리를 위한 내부 관리계획의 수립.시행

개인정보에 대한 접근 통제 및 접근 권한의 제한 조치

개인정보를 안전하게 저장. 전송할 수 있는 SSL등 암호화 기술의 적용

개인정보에 대한 보안프로그램의 설치 및 갱신

개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치

22

5. 중점 검사 사항 (2)

개인정보 수집.이용.제공

개인정보 수집 당시의 정보주체 이용.제공 동의 범위를 초과하여 이용.제공 여부

온.오프라인 회원가입 및 각종 게시판에서 개인정보 수집 시 동의 여부

정보주체 동의 시 필수 고지항목 적정 여부

개인정보 제3자 제공 시 정보주체 동의 여부 및 동의 시 필수고지 항목 적정 여부

개인정보의 파기

목적 달성 및 보유기간 경과 후 개인정보 파기 여부

개인정보의 당초 보유기간 경과 후 관련 법 목적에 따라 보관 시 별도 보관 여부

개인정보처리방침의 수립 및 공개

개인정보처리방침의 수립 여부(필수사항 8가지 포함 여부)

개인정보처리방침의 수립 또는 변경 시 정보주체가 쉽게 인지할 수 있도록 공개 여부

23

6. 올해 강화되는 제도

공급자에게 법을 준수하여 시스템을

공급 하도록 의무조항 신설 및 처벌 강화

※ 위반건수(‘12~‘13) 분석 결과, 개발 등 공급단계에서 64.4%

위반 건의 사전 예방 가능

경각심 고취, 경고적 예방적 효과달성을 위해 법 위반자 공표 강화

※ 행정처분 결과 공표 기준 완화

- 공표내용 : 위반행위 내용, 위반행위 한 자, 처분내용 및 결과

공급 및 수탁 사업자에게개발직원 대상 자체 교육 의무 부여※ 수탁사 직원을 위한 “개인정보처리시스템 개발 및 운영

가이드라인”보급과 병행 추진

24

25