프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2016.11.06 – 행자부, 11.25일까지 1,865개 공공기관 11,028개 개인정보처리시스템 일제점검

목록

행정자치부, 11.25일까지
1,865개 공공기관
11,028개
개인정보처리시스템 일제점검
·점검대상
1,865개 공공기관의 11,028개 개인정보처리시스템
*국가행정(345개), 지자체(529개), 교육(685개), 공사/공단(306개)
개인정보처리시스템의 정의
행자부 공문, [붙임1] 개인정보 처리시스템 자율점검표 발췌
개인정보를 처리할 수 있도록 체계적으로 구성한
데이터베이스시스템과
연결되어 업무에 이용되는 시스템
개인정보처리시스템
개인정보처리시스템 일제점검 원문보기
행정자치부
1,865개 공공기관에
<개인정보처리시스템 자율점검표>
배포
1,865개 공공기관
11.4일까지 <개인정보처리시스템 자율점검표> 28개 항목으로
11,028개 개인정보처리시스템 자체점검 실시 및
결과 <결과등록 시스템(intra.privacy.go.kr>에 등록
중앙행정기관,
광역자치단체
11월, 산하기관
확인점검
행정자치부
11.8~25일, 개인정보 반복/대량노출
및 개인정보 대량보유기관 현장점검
행정자치부
위반사항 적발시
과태료 부과
·점검일정
점검
항목
조항
세부점검내용
양호
개선
필요
해당
없음
개선
기한
대응책
1
26조
업무 위탁 계약문서에 필수 반영사항(7개)이 포함되었는지 여부
프라이버시
컨설팅
2
29조
내부관리계획수립/시행여부
3
30조
개인정보처리방침의 공개 및 필수 사항 포함 여부
4
32조
개인정보파일을 운용하는 경우
개인정보보호 종합지원시스템(intra.privacy.go.kr)에 등록여부
개인정보처리자 (공통항목)
<개인정보처리시스템 자율점검표>
개선이
필요하다면?
점검
항목
조항
세부점검내용
양호
개선
필요
해당
없음
개선
기한
대응책
5
15조
개인정보 수집시 정보주체의 동의 여부
6
개인정보 수집에 따른 정보주체의 동의 여부 및 동의를 받을 때
필수 사항(4개) 고지 및 내용의 적정성 여부
7
22조
만 14세 미만 아동의 개인정보 처리 시 법정대리인(부모 등)의 동의 여부
[만 14세 미만
아동의 주민번호
보유여부 검색]
Privacy-i
Server-i
8
17조
제3자에게 개인정보 제공시 법률 근거 여부, 정보주체의 동의 여부 및
동의를 받을 때 필수 사항(5개) 고지 및 내용의 적정성 여부
9
23조
24조
민감정보, 고유식별정보 수집에 따른 법령 근거 유무
또는 별도의 동의를 받고 있는지 여부
[민감정보,
주민번호
보유여부 검색]
Privacy-i
Server-i
10
24조의2
법령에 근거하지 않고 주민등록번호를 수집 및 처리하고 있는지 여부
11
21조
보유기간 경과, 처리 목적(제공받은 경우 제공받은 목적) 달성 후
지체 없이 영구 삭제하고 있는지 여부
[탈퇴회원정보
보유여부 검색]
Privacy-i
Server-i
개인정보처리시스템
개선이
필요하다면?
개인정보처리시스템
(개인정보보호법고시 반영 항목)
점검
항목
조항
고시
조항
세부점검내용
양호
개선
필요
해당
없음
개선
기한
대응책
12
29
5조
①항
④항
시스템에 대한 접근권한 부여시 필요 최소한의 범위로
업무 담당자에 따라 (1인 1계정) 차등 부여하는지 여부
[DB]
DB-i
[WAS]
WAS-i
[SAP]
APP-i
13
5조
③항
접근권한의 부여/변경/말소 내역을 기록 및 관리하고,
최소 3년간 보관하는지 여부
14
5조
⑤항
안전한 비밀번호 작성규칙을 수립 및 적용 하는지 여부
15
5조
⑥항
계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우
개인정보처리시스템에 대한 접근을 제한하는 등의 기술적 조치 여부
16
6조
①항
개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하거나
접속한 IP주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응 여부
17
6조
③항
고유식별정보를 처리하는 경우 인터넷 홈페이지를 통해
고유식별정보가 유출/변조/훼손되지 않도록
연 1회 이상 취약점 점검여부
18
6조
⑤항
개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는
자동으로 시스템 접속이 차단되도록 하는지 여부
DB-i
19
7조
①항
고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나,
보조저장매체 등을 통하여 전달하거나, 저장하는 경우
안전한 암호알고리즘으로 암호화 적용 여부
[DB] DB암호화
[서버] Server-i
[PC/매체]
Privacy-i
[DRM]
[보안서버(SSL)외]
20
7조
②항
비밀번호 암호화 저장 시 일방향 암호화(해쉬함수) 알고리즘 적용 여부
21
7조
③항
고유식별정보를 인터넷과 내부망의 중간지점(DMZ) 및
내부망에 저장하는 경우 암호화 조치 적용 여부
[DMZ 서버내
고유식별정보
검색/삭제/암호화
]
Server-i
[DB] DB암호화
22
7조
⑥항
안전한 키 생성, 이용, 보관, 배포 및 파기 등에 관한
절차의 수립/시행 여부
※10만명 이상의 개인정보를 보유한 공공기관(강화유형)만 해당
23
8조
①항
개인정보취급자의 접속기록을 최소 6개월 이상 보관 및 관리하고,
도난 및 분실되지 않도록 안전하게 보관 및 관리하는지 여부
[DB]
DB-i
[WAS]
WAS-i
[SAP]
APP-i
24
개인정보취급자의 접속이력 기록 시 필수 항목(4개)을
기록하고 있는지 여부
25
9조
보안 프로그램(백신)을 자동 업데이트 또는
1일 1회 이상 업데이트 하여 최신의 상태로 유지하고 있는지 여부
[바이러스 백신]
26
10조
관리용 단말기에 대한 안전조치 여부
[Endpoint DLP:
USB, 출력물,
인터넷전송을 통한
개인정보 유출통제]
Privacy-i
[바이러스 백신]
27
12조
①항
재해/재난 발생 시 개인정보처리시스템 보호를 위한
위기대응 매뉴얼 등 대응절차 마련·점검 여부
※10만명 이상의 개인정보를 보유한 공공기관(강화유형)만 해당
프라이버시
컨설팅
28
12조
②항
재해·재난 발생 시 개인정보처리시스템 백업 및
복구를 위한 계획 마련 여부
※10만명 이상의 개인정보를 보유한 공공기관(강화유형)만 해당
2016.9.1일 시행, 개인정보보호법고시
<개인정보의 안전성 확보조치 기준> 조항 모두 반영
개인정보보호법고시 개정안 Privacy Report 보
개선이
필요하다면?