프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2020.09 – 신용정보이동권으로 New Player등장② 마이페이먼트 사업자

목록

<마이페이먼트사업자의 보안점검> 금융보안원이 높은 수준의 보안점검 실시 이유) 모든 입출금계좌에 접근가능하며 실제 입출금을 수행함 [점검기관] 금융보안원 [점검시기] 사업개시전(개시후에도 주요항목 변경시 재점검) [점검항목] – 기관보안점검: 30개항목 서면점검 (정보자산 식별목록화, 로그보존 및 주기적 검토, 중요정보암호화, 접근권한관리, 악성코드대책, 인터넷접속통제 포함) – 서비스취약점 점검: 웹40개,앱48개항목 원격테스트 <마이페이먼트사업자 개요> 정보주체가 본인이 가진 모든 입출금계좌를 하나의 웹, 앱으로 조회 및 입출금거래를 할 수 있도록 하는 서비스 [사업허가] 금융위로부터 마이페이먼트 사업자 허가취득 [적용법] 전자금융거래법 (2020년 하반기 개정예정) [사용망] 금융결제원 은행공동망 사용 [사업경쟁력] 은행 각각과의 계약 없이 은행계좌기반의 서비스 가능 [조회정보] 입출금계좌정보 조회 및 실제 입출금거래 [정보주체의 혜택] 하나의 앱으로 모든 계좌관리및 간편송금

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2020.08 – 신용정보이동권으로 New Player등장: 마이데이터사업자

목록

Privacy Report 신용정보이동권으로 New Player등장: 마이데이터사업자 역할 -정보주체에게는 신용도프로파일 등 신용정보관리서비스 제공 -신용정보제공이용자 대상으로는 정보주체의 권한을 대리행사 내부관리규정 포함사항 -개인정보처리기록보관, 개인신용정보관리체계, 이해상충방지, 신용정보분석시 왜곡방지, 임직원임무수행절차, 개인신용정보 관리계획 및 교육계획 사업자허가를 받기 위한 정보통신설비 조건 – 이동식저장장치통제프로그램, 데이터에 대한 접속기록유지, 데이터암호화, 외부접속시 안전한 접속수단 등을 포함한 14개 항목 구분 My Data 사업자 My Payment 사업자 사업허가 금융위로부터 마이데이터사업자 허가 취득 (2020년 8월 신청예정) 금융위로부터 사업지급결제개시서비스 사업자 허가취득 (2020년 하반기 예정) 적용법 (신용정보통합이므로) 신용정보법 적용 (온라인입출금거래이므로) 전자금융거래법 적용 사용망 미정(금융결제원 은행공동망 사용가능성 있음) (신용정보제공이용자들이 업종별로 중계기관을 두고 중계망을 구축할 가능성 있음) 금융결제원 은행공동망 사용 사업의 경쟁력 정보주체의 모든 신용, 재산정보를 통합분석하여 개인에게 맞춘 금융컨설팅 가능 기존에는 은행각각과 펌뱅킹 (사업자와 은행간의 온라인뱅킹)계약을 해야 했음. 이제는 은행각각과의 계약없이도 은행계좌를 기반으로 한 서비스 가능 조회정보 모든 신용정보 (입출금계좌+공공요금+증권+보험+SNS..+보유부동산시세+대출….) 입출금계좌 관련정보만 조회 + 입출금 등의 실제 거래 가능 정보주체의 혜택 하나의 앱으로 모든 신용정보조회, 분석 종합적인 자금관리 및 신용도관리가능 하나의 앱으로 모든 은행 계좌현황을 한곳에서 집중관리. 타행간 거래수수료 하락, 간편송금 규정 내용 법 37조에 따른 동의철회권 , 연락중지 청구권 제37조(개인신용정보 제공 동의 철회권 등) ① 개인인 신용정보주체는 제32조제1항 각 호의 방식으로 동의를 받은 신용정보제공ㆍ이용자에게 개인신용평가회사, 개인사업자신용평가회사 또는 신용정보집중기관에 제공하여 개인의 신용도 등을 평가하기 위한 목적 외의 목적으로 행한 개인신용정보 제공 동의를 대통령령으로 정하는 바에 따라 철회할 수 있다. 다만, 동의를 받은 신용정보제공ㆍ이용자 외의 신용정보제공ㆍ이용자에게 해당 개인신용정보를 제공하지 아니하면 해당 신용정보주체와 약정한 용역의 제공을 하지 못하게 되는 등 계약 이행이 어려워지거나 제33조제1항제1호에 따른 목적을 달성할 수 없는 경우에는 고객이 동의를 철회하려면 그 용역의 제공을 받지 아니할 의사를 명확하게 밝혀야 한다. ② 개인인 신용정보주체는 대통령령으로 정하는 바에 따라 신용정보제공ㆍ이용자에 대하여 상품이나 용역을 소개하거나 구매를 권유할 목적으로 본인에게 연락하는 것을 중지하도록 청구할 수 있다. 법 38조에 따른 열람 및 정정청구권 제38조(신용정보의 열람 및 정정청구 등) ① 신용정보주체는 신용정보회사등에 본인의 신분을 나타내는 증표를 내보이거나 전화, 인터넷 홈페이지의 이용 등 대통령령으로 정하는 방법으로 본인임을 확인받아 신용정보회사등이 가지고 있는 신용정보주체 본인에 관한 신용정보로서 대통령령으로 정하는 신용정보의 교부 또는 열람을 청구할 수 있다. ② 제1항에 따라 자신의 신용정보를 열람한 신용정보주체는 본인 신용정보가 사실과 다른 경우에는 금융위원회가 정하여 고시하는 바에 따라 정정을 청구할 수 있다. 법 38조의2에 따른 통지 요청권 제38조의2(신용조회사실의 통지 요청) ① 신용정보주체는 개인신용평가회사, 개인사업자신용평가회사에 대하여 본인의 개인신용정보가 조회되는 사실을 통지하여 줄 것을 요청할 수 있다. 이 경우 신용정보주체는 금융위원회가 정하는 방식에 따라 본인임을 확인받아야 한다. ② 제1항의 요청을 받은 개인신용평가회사 또는 개인사업자신용평가회사는 명의도용 가능성 등 대통령령으로 정하는 사유에 해당하는 개인신용정보 조회가 발생한 때에는 해당 조회에 따른 개인신용정보의 제공을 중지하고 그 사실을 지체 없이 해당 신용정보주체에게 통지하여야 한다. ③ 제2항의 정보제공 중지 및 통지 방법, 통지에 따른 비용 부담 등에 필요한 사항은 대통령령으로 정한다. 법 39조에 따른 무료열람권 제39조(무료 열람권) 개인인 신용정보주체는 1년 이내로서 대통령령으로 정하는 일정한 기간마다 개인신용평가회사(대통령령으로 정하는 개인신용평가회사는 제외한다)에 대하여 다음 각 호의 신용정보를 1회 이상 무료로 교부받거나 열람할 수 있다. 1. 개인신용평점 2. 개인신용평점의 산출에 이용된 개인신용정보 3. 그 밖에 제1호 및 제2호에서 정한 정보와 유사한 정보로서 대통령령으로 정하는 신용정보 법 39조의2에 따른 교부 또는 열람권 제39조의2(채권자변동정보의 열람 등) ② 개인인 신용정보주체는 제1항에 따라 종합신용정보집중기관이 제공받아 보유하고 있는 신용정보주체 본인에 대한 채권자변동정보를 교부받거나 열람할 수 있다.

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2020.08 – 신용정보법 ③ GDPR의 개인정보이동권 반영 <신용정보이동권> 등장

목록

2020년8월부터 정보주체의 결정에 따라 ‘신용정보의 대이동’ <신설> 신용정보이동권 신설 정보주체가 신용정보 이동권을 행사시, 신용정보제공이용자는 ‘기존금융기관과 신규금융기관(마이데이터사업자, 비금융CB, 개인사업자CB, P2P연계금융사업자)’에 개인신용정보를 전송해야 함

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2020.05 – 신용정보법② 적용대상

목록

금융회사인 신용정보제공·이용자들이 각자 보유한 신용정보를 비금융CB에 제공 → → 전문성 납세 Ⅰ 연체정ⅰ보 성실성 개인신용판단을 위한 정보를 수집하고 개인신용상태를 평가하여 개인신용평점 등의 결과를 제3자에게 제공 개인신용평가업 전문개인신용평가업 = 비금융CB 신설 개인사업자신용평가업 = 개인사업자CB 신설 신용조사업 : 제3자의 의뢰를 받아 신용정보를 조사하고, 그 신용정보를 그 의뢰인에게 제공 기업신용조회업 : 기업정보조회. 기업신용등급제공. 기술신용평가 신용정보회사 금융거래내역이 부족한 사회초년생, 주부 등을 대상으로 공공요금, 통신비, 온라인쇼핑, SNS포스팅 등 비금융정보로 개인신용을 평가 전문개인신용평가업 = 비금융CB 신설 개인사업자(자영업자) 대상으로 신용을 평가 개인사업자신용평가업 = 개인사업자CB 신설

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2020.05 – 신용정보법① 신용정보에 바이오인증, 비금융정보 포함

목록

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2020.02 – <데이터 3법> 마침내 국회통과 ②신용정보법

목록

데이터3법 개정 다가올 개인정보 보호법제 변화 1월9일 국회통과, 2월4일 공표, 8월5일 시행예정 내용에서 주목할 점 특정 개인을 알아보기 위한 목적으로 정보처리시 관련 매출액 3%이하 과징금에서 전체 매출액 3% 이하 과징금으로 확대 | 과징금 확대 : 개인신용정보 누설 등으로 신용정보주체에 피해를 입힌 경우 손해배상 범위를 기존 3배에서 5배로 확대 구분 신용정보법 개인정보보호법 분리보관 가명처리된 정보와 원 상태로 복원하기 위한 추가정보는 <각 대통령령>이 정한 방법으로 분리 보관 또는 삭제 내부계획수립 제3자의 불법적인 접근, 정보 변경/훼손/파괴를 막기위해 신용정보법 대통령령에 따라 1) 내부관리계획 수립 2) 접속기록보관 해당 정보가 분실/도난/유출/위조/ 변조 또는 훼손되지 않도록 대통령령에 따라 안전성 확보에 필요한 조치 구축 익명정보 검증기관 검토 익명처리가 적절하게 이루어졌는지 여부를 판단하기 위해 <금융위원회>에 심사요청 가능 → <금융위원회>를 통해 인정받은 경우 해당 정보는 익명정보로 추정 관련 조항 없음 파기 가명정보 이용 중 특정 개인을 알아볼 수 있게 된 경우 즉시 처리중지, 정보삭제 가명정보 처리 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우 해당정보 처리중지, 지체없이 회수/파기 가명정보 처리기록 보관 개인신용정보를 가명처리나 익명처리를 한 경우 조치 기록을 3년간 보존 가명정보 처리시 가명정보 처리목적, 3자 제공시 제공받는 자의 정보를 보관할 것을 명시 신용정보법 제40조의2, 개인정보보호법 제28조의2

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2017.03.03- 신보법고시 <기술적·물리적·관리적 보안대책>위반시 처벌③

목록

신용정보법고시 <기술적·물리적·관리적보안대책>위반시 처벌 ③ <신용정보회사>는 유출시 6개월 업무정지, 3년내 업무정지 2회시 허가취소 Privacy Report 2017.02 고시의 <기술적·물리적·관리적보안대책>은 편의상 <기술적 보안대책>으로 표기함 분실·도난·누출·변조 또는 훼손은 편의상 유출로 표기함 <신용정보회사 등>은 이법의 적용대상자인 <신용정보회사>, <신용정보제공ㆍ이용자>, <신용정보집중기관> 모두를 의미함 직원(외주사포함)이 <기술적 보안대책>을 위반·유출시 양벌규정을 적용하여 회사. 기관도 벌금형 5천만원 신용정보회사 등 고의 및 중대한 과실로 개인신용정보 유출시 <징벌적손해배상> 피해액의 3배, <법정 손해배상> 인당 3백만원 개인비밀 = (업무상 알게 된 타인의) 신용정보+ 사생활정보 <기술적 보안대책> 위반 (모집업무수탁자의 위반포함) 으로 개인비밀 유출시 징벌적 과징금 50억원 or 매출액의 3% 법19조① (신용정보전산시스템안전보호) <신용정보회사 등>은 신용정보전산시스템 (제25조제6항에 따른 신용정보공동전산망을 포함) 에 대한 제3자의 불법적인 접근, 입력된 정보의 변 경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 대통령령으로 정하는 바에 따라 <기술적 보안대책> 을 수립ㆍ시행해야 한다 법 50조(형사처벌) 법 19조①을 위반하여 비권한자로써 신용정보전산시스템의 정보를 변경·삭제, 그 밖의 방법으로 이용할 수 없게 하거나 신용정보를 검색·복제하거나 그 밖의 방법으로 이용한 자 ⇢형사처벌 5년 징역 5천 벌금대상 법 51조(양벌규정) 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제50조의 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 <기술적 보안대책> 위반 적발시 과태료 4천만원 게을리하지 아니한 경우에는 그러하지 아니하다. 고의·과실이 없었음을 입증 or 개인 신용 정보 유출 사고 발생 <피해액의 3배내> 에서 배상액 산정 법원 <300만원 내> 에서 배상액 산정 신용정보주체 피해입증이 어려울 경우 <법정손해배상> 청구 피해입증이 가능시 <징벌적손해배상> 청구 <기술적 보안대책>는 가장 구체적, 실제적 법규정으로 위반시 고의·중대한 과실 로 판단됨 입 증 못 하 면 위반시 내부직원의 위반으로 보는 <모집업무수탁자> 1. 신용카드회원모집인 2.가맹점모집인 3.보험설계사 4. 보험대리점 5. 투자권유대행인 6. 대출모집인 <수탁자><위임직채권추심인>이 유출시에도 연대하여 손해배상책임을짐 법 17조 ② 수탁자에게 <개인신용정보> 제공시 <개인식별번호> 암호화 <기술적 보안대책> 3의 ⑥ 규정 과태료 2천4백 <기술적 보안대책> 위반으로 유출시 6개월 업무정지 3년내 업무정지2회의 경우 인허가취소 법 19조 ② <신용정보제공ㆍ이용자>가 다른 <신용정보제공ㆍ이용자> 또는 <신용조회회사>와 서로 이 법에 따라 <신용정보>를 제공시 <기술적 보안대책>을 포함한 계약을 체결 법 19조 ① 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 <기술적ㆍ물리적ㆍ관리적 보안대책>을 수립ㆍ시행 위반시 과태료 4천 신용정보회사 (신용조사, 신용조회,채권추심업)에 추가적으로 적용되는 규정 14조① 허가 인가 취소 5. 업무정지명령을 위반 or 업무정지해당 행위를 한 자가 그 사유발생일 전 3년 이내에 업무정지처분을 받은 사실이 있는 경우 처벌 처벌대상 위반규정 14조 ② 신용 정보 회사에 적용되 는 6개월 내 업무 정지 해당 행위 3. 수집· 조사가 금지된 정보를 수집/조사 한 경우 16조 ① ② (수집조사 처리 제한) ① 은 다음 각 호의 정보를 수집ㆍ조사하여서는 아니 된다. 1. 국가의 안보 및 기밀에 관한 정보 2. 기업의 영업비밀 또는 독창적인 연구개발 정보 3. 개인의 정치적 사상, 종교적 신념, 그 밖에 신용정보와 관계없는 사생활에 관한 정보 4. 확실하지 아니한 개인신용정보 5. 다른 법률에 따라 수집이 금지된 정보 법 16조 ②와 영 13조에 따라서 <개인의 질병정보>는 보험회사, 체신관서, 공제조합, 공제회, 동일 직장ㆍ직종 대상 공제사업이 보험계약ㆍ공제계약 및 보험금ㆍ공제금 지급업무로만 수집ㆍ조사 or 타인에게 제공할 수 있으며 미리 동의받아야 함 ④ 신용정보회사 등은 ②에 따라 신용정보의 처리를 위탁하기 위하여 수탁자에게 개인신용정보를 제공하는 경우 특정 신용정보주체를 식별할 수 있는 정보는 대통령령으로 정하는 바에 따라 암호화 등의 보호 조치를 하여 야 한다. 4. 위반행위로 신용정보를 분실·도난 ·유출· 변조 또는 훼손 당한 경우 제17조 ④ (수집조사 및 처리 위탁) 제19조 ①② (신용정보 전산시스템의 안전보호) ① 신용정보회사등은 신용정보전산시스템 (제25조제6항에 따른 신용정보공동전산망을 포함한다. 이하 같다)에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 대통령령으로 정하는 바에 따라 <기술적ㆍ물리적ㆍ관리적 보안대책>을 수립ㆍ시행하여야 한다. ② 신용정보제공ㆍ이용자가 다른 신용정보제공ㆍ이용자 또는 신용조회회사와 서로 이 법에 따라 신용정보를 제공하는 경우에는 금융위원회가 정하여 고시하는 바에 따라 <신용정보 보안관리 대책>을 포함한 계약을 체결하여야 한다. 신용조회회사는 제32조 ② (개별적 동의) 에도 불구하고 제9조제1항에 따른 지배주주 및 「독점규제 및 공정거래에 관한 법률」 제2조제3호에 따른 계열회사에 개인신용정보를 제공할 수 없다. [예외] 1. 신용조회회사가 제4조제1항제1호에 따른 업무수행을 위하여 제공하는 경우 (1. 신용조회업: 신용조회업무 및 다음 각 목의 업무 가. 본인인증 및 신용정보주체의 식별확인업무로서 금융위 원회가 승인한 업무 나. 신용평가모형 및 위험관리모형의 개발 및 판매 업무) 2. 제32조제6항제4호에 따라 제공하는 경우 4. 채권추심(추심채권을 추심하는 경우만 해당한다), 인가ㆍ허가의 목적, 기업의 신용도 판단, 유가증권의 양수 등 대통령령으로 정하는 목적으로 사용하는 자에게 제공하는 경우 6. 업무와 무관하게 계열회사 등에 개인신용 정보를 제공 제22조의3 (계열회사 등에 대한 개인신용정보 제공금지 8. 업무상 알게된 개인비밀을 타인에게 누설 제42조 ① ③ ④ (업무 목적 외 누설금지 등) ① 신용정보회사등과 제17조 ② 에 따라 신용정보의 처리를 위탁받은 자의 임직원이거나 임직원이었던 자 (이하 “신용정보업관련자”라 한다)는 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀 (이하 “개인비밀”이라 한다)을 업무 목적 외에 누설하거나 이용하여서는 아니 된다. ③ 제1항을 위반하여 누설된 개인비밀을 취득한 자(그로부터 누설된 개인비밀을 다시 취득한 자를 포함 한다)는 그 개인비밀이 제1항을 위반하여 누설된 것임을 알게 된 경우 그 개인비밀을 타인에게 제공하거나 이용하여서는 아니 된다. ④ 신용정보회사등과 신용정보업관련자로부터 개인신용정보를 제공받은 자는 그 개인신용정보를 타인에게 제공하여서는 아니 된다. 다만, 이 법 또는 다른 법률에 따라 제공이 허용되는 경우에는 그러하지 아니하다.

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2017.03.03- 신보법고시 <기술적·물리적·관리적 보안대책>위반시 처벌②

목록

신용정보법고시 <기술적·물리적·관리적보안대책>위반시 처벌 ②형사처벌-직원(외주사포함)이 유출시 회사도 벌금형 5천 Privacy Report 2017.02 고시의 <기술적·물리적·관리적보안대책>은 편의상 <기술적 보안대책>으로 표기함 분실·도난·누출·변조 또는 훼손은 편의상 유출로 표기함 <신용정보회사 등>은 이법의 적용대상자인 <신용정보회사>, <신용정보제공ㆍ이용자>, <신용정보집중기관> 모두를 의미함 직원(외주사포함)이 <기술적 보안대책>을 위반·유출시 양벌규정을 적용하여 회사. 기관도 벌금형 5천만원 신용정보회사 등 고의 및 중대한 과실로 개인신용정보 유출시 <징벌적손해배상> 피해액의 3배, <법정 손해배상> 인당 3백만원 개인비밀 = (업무상 알게 된 타인의) 신용정보+ 사생활정보 <기술적 보안대책> 위반 (모집업무수탁자의 위반포함) 으로 개인비밀 유출시 징벌적 과징금 50억원 or 매출액의 3% 법19조① (신용정보전산시스템안전보호) <신용정보회사 등>은 신용정보전산시스템 (제25조제6항에 따른 신용정보공동전산망을 포함) 에 대한 제3자의 불법적인 접근, 입력된 정보의 변 경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 대통령령으로 정하는 바에 따라 <기술적 보안대책> 을 수립ㆍ시행해야 한다 법 50조(형사처벌) 법 19조①을 위반하여 비권한자로써 신용정보전산시스템의 정보를 변경·삭제, 그 밖의 방법으로 이용할 수 없게 하거나 신용정보를 검색·복제하거나 그 밖의 방법으로 이용한 자 ⇢형사처벌 5년 징역 5천 벌금대상 법 51조(양벌규정) 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제50조의 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 <기술적 보안대책> 위반 적발시 과태료 4천만원 게을리하지 아니한 경우에는 그러하지 아니하다. 고의·과실이 없었음을 입증 or 개인 신용 정보 유출 사고 발생 <피해액의 3배내> 에서 배상액 산정 법원 <300만원 내> 에서 배상액 산정 신용정보주체 피해입증이 어려울 경우 <법정손해배상> 청구 피해입증이 가능시 <징벌적손해배상> 청구 <기술적 보안대책>는 가장 구체적, 실제적 법규정으로 위반시 고의·중대한 과실 로 판단됨 입 증 못 하 면 위반시 내부직원의 위반으로 보는 모집업무수탁자 1. 신용카드회원모집인 2.가맹점모집인 3.보험설계사 4. 보험대리점 5. 투자권유대행인 6. 대출모집인 수탁자 위임직채권추심인이 유출시에도 연대하여 손해배상책임을짐 법 17조 ② 수탁자에게 개인신용정보 제공시 개인식별번호 암호화 기술적 보안대책 3의 ⑥ 규정 과태료 2천4백 기술적 보안대책 위반으로 유출시 6개월 업무정지 3년내 업무정지2회의 경우 인허가취소 법 19조 ② 신용정보제공ㆍ이용자가 다른 신용정보제공ㆍ이용자 또는 신용조회회사와 서로 이 법에 따라 신용정보를 제공시 기술적 보안대책을 포함한 계약을 체결 법 19조 ① 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 기술적ㆍ물리적ㆍ관리적 보안대책을 수립ㆍ시행 위반시 과태 신용정보법고시 기술적·물리적·관리적보안대책위반시 처벌 ②형사처벌-직원(외주사포함)이 유출시 회사도 벌금형 5천 Privacy Report 2017.02 고시의 기술적·물리적·관리적보안대책은 편의상 기술적 보안대책으로 표기함 분실·도난·누출·변조 또는 훼손은 편의상 유출로 표기함 신용정보회사 등은 이법의 적용대상자인 신용정보회사, 신용정보제공ㆍ이용자, 신용정보집중기관 모두를 의미함 직원(외주사포함)이 <기술적 보안대책>을 위반·유출시 양벌규정을 적용하여 회사. 기관도 벌금형 5천만원 신용정보회사 등 고의 및 중대한 과실로 개인신용정보 유출시 <징벌적손해배상> 피해액의 3배, <법정 손해배상> 인당 3백만원 개인비밀 = (업무상 알게 된 타인의) 신용정보+ 사생활정보 <기술적 보안대책> 위반 (모집업무수탁자의 위반포함) 으로 개인비밀 유출시 징벌적 과징금 50억원 or 매출액의 3% 법19조① (신용정보전산시스템안전보호) <신용정보회사 등>은 신용정보전산시스템 (제25조제6항에 따른 신용정보공동전산망을 포함) 에 대한 제3자의 불법적인 접근, 입력된 정보의 변 경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 대통령령으로 정하는 바에 따라 <기술적 보안대책> 을 수립ㆍ시행해야 한다 법 50조(형사처벌) 법 19조①을 위반하여 비권한자로써 신용정보전산시스템의 정보를 변경·삭제, 그 밖의 방법으로 이용할 수 없게 하거나 신용정보를 검색·복제하거나 그 밖의 방법으로 이용한 자 ⇢형사처벌 5년 징역 5천 벌금대상 법 51조(양벌규정) 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제50조의 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 <기술적 보안대책> 위반 적발시 과태료 4천만원 게을리하지 아니한 경우에는 그러하지 아니하다. 고의·과실이 없었음을 입증 or 개인 신용 정보 유출 사고 발생 <피해액의 3배내> 에서 배상액 산정 법원 <300만원 내> 에서 배상액 산정 신용정보주체 피해입증이 어려울 경우 <법정손해배상> 청구 피해입증이 가능시 <징벌적손해배상> 청구 <기술적 보안대책>는 가장 구체적, 실제적 법규정으로 위반시 고의·중대한 과실 로 판단됨 입 증 못 하 면 위반시 내부직원의 위반으로 보는 <모집업무수탁자> 1. 신용카드회원모집인 2.가맹점모집인 3.보험설계사 4. 보험대리점 5. 투자권유대행인 6. 대출모집인 <수탁자><위임직채권추심인>이 유출시에도 연대하여 손해배상책임을짐 법 17조 ② 수탁자에게 <개인신용정보> 제공시 <개인식별번호> 암호화 <기술적 보안대책> 3의 ⑥ 규정 과태료 2천4백 <기술적 보안대책> 위반으로 유출시 6개월 업무정지 3년내 업무정지2회의 경우 인허가취소 법 19조 ② <신용정보제공ㆍ이용자>가 다른 <신용정보제공ㆍ이용자> 또는 <신용조회회사>와 서로 이 법에 따라 <신용정보>를 제공시 <기술적 보안대책>을 포함한 계약을 체결 법 19조 ① 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 <기술적ㆍ물리적ㆍ관리적 보안대책>을 수립ㆍ시행 위반시 과태

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2017.03.03- 신보법고시 <기술적·물리적·관리적 보안대책>위반시 처벌①

목록

신용정보법고시 <기술적·물리적·관리적보안대책>위반시 처벌 ① 과징금 50억, 손해배상, 과태료 고시의 <기술적·물리적·관리적보안대책>은 편의상 <기술적 보안대책>으로 표기함 분실·도난·누출·변조 또는 훼손은 편의상 유출로 표기함 <신용정보회사 등>은 이법의 적용대상자인 <신용정보회사>, <신용정보제공ㆍ이용자>, <신용정보집중기관> 모두를 의미함 직원(외주사포함)이 <기술적 보안대책>을 위반·유출시 양벌규정을 적용하여 회사. 기관도 벌금형 5천만원 2017.02 신용정보회사 등 고의 및 중대한 과실로 개인신용정보 유출시 <징벌적손해배상> 피해액의 3배, <법정 손해배상> 인당 3백만원 개인비밀 = (업무상 알게 된 타인의) 신용정보+ 사생활정보 <기술적 보안대책> 위반 (모집업무수탁자의 위반포함) 으로 개인비밀 유출시 징벌적 과징금 50억원 or 매출액의 3% 법 50조(형사처벌) 법 19조①을 위반하여 비권한자로써 신용정보전산시스템의 정보를 변경·삭제, 그 밖의 방법으로 이용할 수 없게 하거나 신용정보를 검색·복제하거나 그 밖의 방법으로 이용한 자 ⇢형사처벌 5년 징역 5천 벌금대상 법 51조(양벌규정) 법인의 대표자나 법인 또는 개인의 대리인, 사용인, 그 밖의 종업원이 그 법인 또는 개인의 업무에 관하여 제50조의 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인에게도 해당 조문의 벌금형을 과(科)한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다. 법19조① (신용정보전산시스템안전보호) <신용정보회사 등>은 신용정보전산시스템 (제25조제6항에 따른 신용정보공동전산망을 포함) 에 대한 제3자의 불법적인 접근, 입력된 정보의 변 경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 대통령령으로 정하는 바에 따라 <기술적 보안대책> <기술적 보안대책> 위반 적발시 과태료 4천만원 을 수립ㆍ시행해야 한다 고의·과실이 없었음을 입증 or 개인 신용 정보 유출 사고 발생 <피해액의 3배내> 에서 배상액 산정 법원 <300만원 내> 에서 배상액 산정 신용정보주체 피해입증이 어려울 경우 <법정손해배상> 청구 피해입증이 가능시 <징벌적손해배상> 청구 <기술적 보안대책>는 가장 구체적, 실제적 법규정으로 위반시 고의·중대한 과실 로 판단됨 입 증 못 하 면 위반시 내부직원의 위반으로 보는 <모집업무수탁자> 1. 신용카드회원모집인 2.가맹점모집인 3.보험설계사 4. 보험대리점 5. 투자권유대행인 6. 대출모집인 <수탁자><위임직채권추심인>이 유출시에도 연대하여 손해배상책임을짐 법 17조 ② 수탁자에게 <개인신용정보> 제공시 <개인식별번호> 암호화 <기술적 보안대책> 3의 ⑥ 규정 과태료 2천4백 <기술적 보안대책> 위반으로 유출시 6개월 업무정지 3년내 업무정지2회의 경우 인허가취소 법 19조 ② <신용정보제공ㆍ이용자>가 다른 <신용정보제공ㆍ이용자> 또는 <신용조회회사>와 서로 이 법에 따라 <신용정보>를 제공시 <기술적 보안대책>을 포함한 계약을 체결 법 19조 ① 신용정보전산시스템에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 <기술적ㆍ물리적ㆍ관리적 보안대책>을 수립ㆍ시행 위반시 과태료 4천 신용정보회사 (신용조사, 신용조회,채권추심업)에 추가적으로 적용되는 규정 + + 과징금 상세규정 법조항 과징금 과징금에 해당하는 위반행위 위반규정 42조의2 ① 50억이하 or 매출액의 3% 1. <기술적 보안대책> 미수립ㆍ미시행으로 개인비밀을 분실· 도난·누출·변조 또는 훼손당한 경우 42조의2 ⑧에 따라서 <신용정보제공·이용자>와 위탁계약관계인 <모집업무수탁자>가 과징금 에 해당하는 위반행위를 했 을 경우 <신용정보제공· 이용자>의 직원으로 본다 <모집업무수탁자> 1. 신용카드회원모집인 2. 가맹점모집인 3. 보험설계사 4. 보험대리점 5. 투자권유대행인 6. 대출모집인 예외 <신용정보제공·이용 자>가 <모집업무수탁자>의 위반행위를 방지하기 위하여 상당한 주의와 감독을 다한 경우 법19조 ① 신용정보 전산시 스템 안전보호 ① 신용정보회사 등은 신용정보전산시스템 (제25조제6항에 따른 신용정보공동전산망을 포함)에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 대통령령으로 정하는 바에 따라 <기술적ㆍ물리적ㆍ관리적 보안대책>을 수립ㆍ 시행하여야 한다. 매출액의 3% 2. 개인비밀을 업무목적 외에 누설 및 이용한 경우 42조 ① 목적외 누설금지 ① 업무상 알게 된 타인의 신용정보 및 사생활 등 개인적 비밀(이하 “개인비밀”이라 한다)을 업무 목적 외에 누설하거나 이용하여서는 아니 된다. 3. 불법 누설된 개인비밀임을 알고 있음에도 그 개인비밀 을 타인에게 제공 42조 ③ 목적외 누설금지 ③ 그 개인비밀이 ①을 위반하여 누설된 것임을 알게 된 경우 그 개인비밀을 타인에게 제공하거나 이용하여서는 아니 된다. 과징금 부과 및 산정기준 (법 42조의2 및 영 35조의 3 ① ②) 부과고려기준 위반행위의 내용 및 정도 위반행위의 기간 및 횟수 위반행위로 인하여 취득한 이익의 규모 산정기준 위반행위와 관련된 개인신용정보를 이용한 사업부문의 직전 3개 사업연도의 연평균 매출액 기타 -해당 사업연도 첫날을 기준으로 사업을 개시한지 3년이 되지 아니한 경우: 그 사업개시 후 직전 사업연도 말일까지의 매출액을 연평균 매출액으로 환산한 금액 -매출액 산정자료의 제출을 거부 또는 거짓자료 제공 시 비슷한 규모의 회사의 재무 등의 자료에 근거하여 추정 -매출액이 없거나 매출액의 산정이 곤란한 경우: 최대 200억원 이하의 과징금 부과 법조항 손해배상 손해배상에 해당하는 위반행위 43조 (손해 배상의 책임) 징벌적 손해배상 손해액의 3배 내에서 배상 ② 고의 or 중대한 과실로 개인신용정보가 분실/도난/유출/위조/변조 or 훼손되어 신용정보주체에게 손해가 발생한 때 <신용정보회사 등>은 그 손해액의 3배를 넘지 아니하는 범위에서 배상할 책임이 있다. * 예외: 고의 or 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 43조④, ⑦에 따라서 <채권추심회사>의 <위임직채권추심인>이 고의 or 중대한 과실로 개인신용정보 유출시 <채권추심회사>는 <위임직채권추심인> 과 연대하여 손해배상책임을 진다 43조⑥에 따라서 신용정보의 처리를 위탁받은 자가 고의 or 중대한 과실로 개인신용정보 유출시 위탁자는 수탁자와 연대하여 손해배상책임을 진다. 43조 의 2 (법정 손해 배상의 청구) 법정 손해배상 300만원 내에서 배상 신용정보주체는 43조에 따른 손해배상을 청구하는 대신 300만원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있다. 1. <신용정보회사 등>이나 그 밖의 신용정보 이용자가 고의 또는 과실로 이 법의 규정을 위반한 경우 2. 개인신용정보가 분실·도난·누출·변조 또는 훼손된 경우 * 예외: 고의 or 중대한 과실이 없음을 증명한 경우에는 그러하지 아니하다 법원의 배상액 산정시 고려사항 위반행위로 인한 혹은 위반행위의 피해 규모 <신용정보회사 등 및 이용자>가 취득한 경제적 이익 벌금 및 과징금 기간·횟수 등 <신용정보회사 등 및 이용자> 의 재산상태 고의 or 손해발생의 우려를 인식한 정도 <서비스 제공자>가 개인정보 분실·도난·유출 후 해당 개인정보 회수를 위해 노력한 정도 이용자의 피해구제에 노력한 정도 상세규정 손해배상을 위한 보험 or 공제 가입 의무화(43조의 3) 43조의3 (법정손해 배상의 보장) 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 취하여야 함 신용정보업 감독규정 43조의7 ④ (손해배상책임의 이행을 위한 보험 등 가입 기준) 보험 or 공제 가입시 최소 가입금액 신용정보집중기관,신용조회회사, 은행·지주 : 20억원 지방은행, 외국은행의 국내지점, 보험, 여신전문금융 등 : 10억원 기타 : 5억원 전자금융법에 따른 배상책임보험에 가입한 경우 위 금액에서 가입보험금액을 뺌. 손해배상 과태료 부과 기준 이중 과태료 부과 시 하나의 위반행위가 둘 이상의 과태료 부과기준에 해당하는 경우 그 중 금액이 큰 과태료 부과기준을 적용 *(과태료 체납자 제외) 과태료 인상기준 (부과 금액 1/2의 범위 내) 위반의 내용ㆍ정도가 중대하여 신용정보주체 등에 미치는 영향이 크다고 인정 될때 법 위반상태의 기간이 6개월 이상인 경우 그 밖에 위반행위의 정도, 동기와 그 결과 등을 고려하여 금액 상향 과태료 인하기준 위반행위가 사소한 부주의나 오류로 인한 것으로 인정 될때 위반행위자의 법 위반상태를 시정·해소하기 위한 노력이 인정 될때 위반행위자가 기초생활수급자, 한부모가족 보호대상자, 장애인, 국가유공자일 경우 그 밖에 위반행위의 정도, 동기와 그 결과 등을 고려하여 그 금액을 줄일 필요가 있다고 인정 될때 법조항 과태료 과태료에 해당하는 위반행위 위반규정 시행령 별표4 <위반행위 별 과태료 부과기준> 과태료 4천만원 <기술적ㆍ물리적ㆍ 관리적 보안대책>을 수립하지 않거나 시행하지 않은 경우 19조 ① 신용정보 전산시스템 안전보호 ① 신용정보회사 등은 신용정보전산시스템(제25조제6항에 따른 신용정보공동전산망을 포함)에 대한 제3자의 불법적인 접근, 입력된 정보의 변경ㆍ훼손 및 파괴, 그 밖의 위험에 대하여 대통령령으로 정하는 바에 따라 <기술적ㆍ물리적ㆍ관리적 보안대책>을 수립ㆍ시행하여야 한다. 과태료 4천만원 신용정보 제공시 <기술적ㆍ물리적ㆍ관리적 보안 대책>을 포함한 계약을 체결하지 않은 경우 19조 ② 신용정보 전산시스템 안전보호 ② 신용정보제공ㆍ이용자가 다른 신용정보제공ㆍ이용자 또는 신용조회회사와 서로 이 법에 따라 신용정보를 제공하는 경우에는 금융위원회가 정하여 고시하는 바에 따라 신용정보 보안관리 대책을 포함한 계약을 체결하여야 한다. 과태료 2천4백 만원 수탁자에게 개인신용정보를 제공시 개인식별정보를 암호화하지 않은 경우 제17조 ④ 수집조사 및 처리의 위탁 ④ 신용정보회사 등은 ② 에 따라 신용정보의 처리를 위탁하기 위하여 수탁자에게 개인신용정보를 제공하는 경우 특정 신용정보주체를 식별할 수 있는 정보는 대통령령으로 정하는 바에 따라 암호화 등의 보호 조치를 하여야 한다. 과태료 상세규정 신용정보법③ <개인정보보호법고시 개인정보의 안전성확보조치 기준>에 해당하는 신용정보법 규정은? 이전 리포트 보기 신용정보법① 신용정보법 적용대상은 어디인가? 신용정보법② 신용정보법의 신용정보는 무엇인가? 이전 리포트 보기 이전 리포트 보기 2016.09.30일 시행 신용정보법 원문보기 2017.01.10일 시행 신용정보법 시행령 원문보기 2016.10.20일 시행 신용정보업감독규정 원문보기 2016.10.20일 시행 <기술적·물리적· 관리적보안대책 마련 기준> 원문보기

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2017.01.26 – 신용정보법③개인정보고시에 해당하는 신용정보법 규정

목록

Privacy Report
신용정보법③
<
개인정보보호법고시
개인정보의 안전성확보조치 기준>
에 해당하는 신용정보법 규정은 ?
2017.01
신용정보법①
신용정보법 적용대상은 어디인가?
신용정보법②
신용정보법의 신용정보는 무엇인가?
이전 리포트 보기
이전 리포트 보기
개인신용정보
• 접속기록 규정 및 이상과다
조회점검규정
• 전송 및 PC저장시 암호화
• (네트워크,프린트,매체를 통한)
유출통제보호조치
개인식별정보는
업무상 제공시 암호화
신용정보집중기관과
신용조회회사간 제공시
상용암호화SW or
안전한 알고리즘으로 암호화
처리위탁시 수탁자에게
암호화하여 제공
이외 신용정보
신용정보법고시 <신용정보업감독규정>의 별표3
<기술적·물리적·관리적보안대책 마련 기준>
주로 관리적보호대책임
2016.09.30일 시행
신용정보법 원문보기
2017.01.10일 시행
신용정보법 시행령 원문보기
2016.10.20일 시행
신용정보업감독규정 원문보기
2016.10.20일 시행 <기술적·물리적·관리적보안대책 마련 기준> 원문보기
3법 중 가장 강력한
보안대책 적용
신용정보법④
신용정보법고시 <기술적·물리적·관리적보안대책 마련 기준> 위반시 처벌은 무엇인가?
I
. 목적
신용정보법 시행령 16조①에서 정하는
신용정보의 기술적
·
물리적
·
관리적 보안대책과 관련된 구체적인 기준을 정함
II. 기술적
·
물리적 보안대책
내용
3법비교
보호조치
1
접근
통제
① 개인신용정보처리시스템 접근권한을 최소한의 인원에게만 부여
접근통제솔루션
[DB] DB-i
[WAS] WAS-i
[SAP] App-i
② 인사이동으로 개인신용정보취급자 변경시 지체없이 개인신용정보처리시스
템 접근권한을 변경 or 말소
③ 권한부여, 변경 or 말소내역
(①,②에 따른)
을 기록, 그 기록을 최소 3년 보관
④ 개인신용정보처리시스템에 침입차단시스템과 침입탐지시스템을 설치
⑤ 개인신용정보주체 및 개인신용정보취급자가 추측쉬운 숫자(생일, 주민번호,
전화번호 등)를 비밀번호로 이용하지 않도록 비밀번호 작성규칙 수립 &이행
⑥ 인터넷 홈페이지, P2P, 공유설정 등을 통하여 개인신용정보가 비권한자에게
공개되지 않도록 개인신용정보처리시스템 및 PC를 설정
[Network DLP]
Mail-i
[Endpoint DLP]
Privacy-i
⑦ (개인신용정보처리시스템, 신용평가모형 or 위험관리모형을)
제휴, 위탁, 외부주문으로 개발시 업무장소 및 전산설비를 (내부업무용과) 분리설
치·운영
프라이버시
컨설팅
⑧ 외부자에게 개인신용정보처리시스템 접근권한 부여는 업무상 불가피한 경우
로 한정, 권한부여기록 3년 이상 보관
접근통제솔루션
[DB] DB-i
[WAS] WAS-i
[SAP] App-i
2
접속
기록
위변조
방지
① 개인신용정보취급자가 개인신용정보처리시스템에 접속, 개인신용정보를
처리한 경우 접속기록(처리일시, 처리내역 등)저장
→월 1회 이상 접속기록 확인·감독
【개】 반기1회
【정】 월 1회
② 개인신용정보처리시스템
접속기록을 위·변조되지 않도록 별도저장장치에 1년 이상 백업 보관
【개】 【정】
6개월 보관
신용정보법고시
<기술적·물리적·관리적보안대책 마련 기준>
상세규정 보기
【신】신용정보법고시 <기술적·물리적·관리적보안대책 마련 기준>
【개】개인정보보호법고시 <개인정보의 안전성 확보조치 기준>
【정】정보통신망법고시 <개인정보의 기술적 관리적 보호조치 기준>
파른색 TEXT : 【신】에만 존재하는 규정
접속기록 점검주기 및 보관기간이 3법 중 가장 강력
내용
3법비교
보호조치
3
① 인증정보(비밀번호, 바이오정보 등)는 조회할 수 없도록 암호화저장
불가피하게 인증정보 조회시 조회사유·내용 등을 기록·관리
[DB]DB암호화
[서버]Server-i
[PC, 매체]
Privacy-i
[DRM]
[보안서버
(SSL 외)]
② 정보통신망을 통해
개인신용정보
및 인증정보를 송·수신시 보안서버 등으로
암호화 보안서버는 다음 중 하나의 기능을 갖추어야 한다:
1. 웹서버에 SSL인증서를 설치하여 개인신용정보를 암호화하여 송·수신
2.
웹서버에 암호화 응용프로그램을 설치하여 개인신용정보를 암호화하여 송·수신
【개】
【정】
은 암호화
대상이
고유식별
번호
③ 개인신용정보 PC저장시 암호화
1. 정보통신망을 통하여 송수신 or 보조저장매체로 전달시 암호화
【개】 【정】
에 따라
주민번호는
무조건 암호화
수준으로
개정예상
2. 인터넷구간 및 DMZ구간(인터넷과 내부망의 중간지점) 저장시 암호화
3. 내부망
저장시 암호
화 여부, 범위
가. 영향평가대상인 공공기관 ; 영향평가결과
나. 그외 : <개인신용정보처리시스템에 적용된 보호수단>과
<유출시 신용정보주체의 권익을 해할 가능성 및 위험도>
분석결과
4. PC or 모바일 저장시 상용암호화SW or 안전한 알고리즘으로 암호화
⑤ 신용정보집중기관과 신용조회회사 간에 <개인식별번호> 제공시
상용암호화SW or 안전한 알고리즘으로 암호화
<개인식별
번호>는
<개인식별
정보>로
용어변경
예상
⑥ 개인신용정보 처리위탁시 <개인식별번호>를 암호화하여 수탁자에게 제공
4
컴퓨터
바이러
스방지
① 개인신용정보처리시스템 및 정보처리기기(취급자가 개인신용정보처리에
이용하는)에 악성프로그램(컴퓨터바이러스, 스파이웨어 등) 침투여부를 항시
점검·치료하도록 백신 설치
백신
[악성코드
접속차단]
웹키퍼
② 백신은
월 1회
이상 주기적으로 갱신·점검,
바이러스경보 발령 및 업데이트 공지시 즉시 최신
SW로
갱신·점검
【개】
【정】
기준으로
일 1회로
개정예상
5
출력
·
복사시
보호
조치
① 개인신용정보처리시스템에서 개인신용정보 출력시(인쇄, 화면표시, 파일생성
등) 용도특정 및 용도에 따라 출력 항목 최소화.
【정】
에 존재
[Endpoint DLP]
Privacy-i
출력, 보조저장
매체시 저장,
차단, 결재,
기록관리,
출력물 워터마크
[Network DLP]
Mail-i
이메일 등
네트워크로
전송시차단,
결재, 기록관리
개인신용정보 조회(활용)시 조회자신원, 일시, 대상정보, 목적, 용도 등
기록관리
개인신용정보를 이메일 or 보조매체저장으로 외부전송시 관리책임자의
사전승인
(①, ② 준수에 필요한) 내부시스템 구축
사전승인시 승인신청자에게 관련 법령 준수의무 주지
정보통신망전송 및 PC저장시 암호화대상이 개인신용정보(개인식별정보포함)임
네트워크, 프린트, 매체를 통한 유출통제보호조치가 3법중 가장 강력
III. 관리적 보안대책
내용
3법비교
보호조치
1
신용
정보
관리·
보호인
신용정보관리보호인은
다음 각 호의 업무를 담당한다.
【개】
【정】
에는
내부관리
계획이
별도조항
으로 있음
전사적
개인신용정보
검출, 현황분석,
파기, 암호화
Privacy-i
개인신용정보유출시
차단 기록
[Endpoint DLP]
Privacy-i
[Network DLP]
Mail-i
1.
신용정보의
수집·이용
제공·폐기
등에 대한
관리 및 보호계획의 수립 및 시행
2.
관리 및 보호 실태와 관행에 대한 정기적인 조사 및 개선
3.
신용정보 열람 및 정정청구 등 신용정보주체의 권리행사 및 피해구제
4.
신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영
5. 임직원 및
전속모집인
등에 대한
신용정보보호 교육계획의 수립 및 시행
6.
신용정보보호 관련법령 및 규정 준수 여부 점검
② 업무처리기록
(①에 따른)
3년보존, 점검결과 경영진보고, 업무처리절차에 반영
2.
개인
신용
정보
조회
권한
구분
개인신용정보
조회기록의
적정성 여부를
주기적 점검
점검결과를
업무에 반영
1. <개인신용정보취급자의 개인신용정보취급상황>
확인수단정비
<확인수단>의 점검·감사체제 정비
2. 개인신용정보
이상과다 조회부서
및 직원 수시점검
가. 권한초과하여 일정횟수 이상
조회시도한 직원 통제장치 마련
개인신용정보
과다조회통제
[DB] DB-i
[WAS] WAS-i
[SAP] App-i
전사적
개인신용정보 검출
Privacy-i
나. 영업점 및 신용정보관리부서의
조회건수를 정기점검, 평소보다 급
증한 부서 및 직원을 샘플링점검
③ 신용정보 관리·보호인은 신용조회기록의 정확성
(ex. 개인신용정보취급자가 입력하는 조회사유의 정확성 등) 점검
3
개인
신용
정보
이용
제한
신용평가모형 or
위험관리모형을
① 위탁개발시 실제 개인신용정보를 제공할 수 없다.
(불가피한 경우) 변환제공한 후 개발완료 즉시 삭제
개인신용정보제공시
차단 기록
[Endpoint DLP]
Privacy-i
[Network DLP]
Mail-i
② 신용조회회사가 개발시 실제 개인신용정보를 사용할 수
없다 (불가피한 경우 제외)
4
제재
기준
마련
<개인신용정보> 오·남용에 대한 자체 제재기준 마련