전체 제목 내용

검색

• 
  IT·보안

  클라우드 서비스 보안인증제도(CSAP)란?

  국내 공공기관 클라우드 공급에의 필수 관문이라 불리는 클라우드 서비스 보안 인증제도란 무엇일까요?클라우드 보안 인증제도 CSAP는 Cloud Security Assurance Program의 약자로 한국인터넷진흥원(KISA)에서 주관하는 클라우드 서비스 보안 인증 제도입니다. CSAP는 국가·공공기관에게 안전성 및 신뢰성이 검증된 민간 클라우드 서비스를 공급하고 이용자에게 안전한 클라우드 서비스를 제공하기 위한 목적으로 시행되었습니다.클라우드 서비스 보안인증을 받은 경우 다음과 같은 인증 마크를 문서ㆍ송장ㆍ광고 등에 표시할 수 있으며 보안인증을 받은 사업자의 클라우드 서비스가 100%안전한 것은 아니지만, 클라우드 서비스를 이용하기 위한 최소한의 정보보호 요건을 충족했음을 의미합니다.법령에서 규정하고 있는 클라우드 서비스 보안인증제도「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」 제4장에서는 클라우드 서비스의 신뢰성 향상과 이용자 보호를 위한 법령을 규정하고 있으며, 클라우드 컴퓨팅 서비스의 보안인증에 관해서는 23조의 2항에서 자세히 규정하고 있습니다.제23조의 2(클라우드컴퓨팅서비스의 보안인증)① 과학기술정보통신부장관은 정보보호 수준의 향상 및 보장을 위하여 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 대통령령으로 정하는 바에 따라 인증을 할 수 있다.② 보안인증의 유효기간은 인증 서비스 등을 고려하여 대통령령으로 정하는 5년 내의 범위로 하고, 보안인증의 유효기간을 연장받으려는 자는 대통령령으로 정하는 바에 따라 유효기간의 갱신을 신청하여야 한다.③ 클라우드컴퓨팅서비스 제공자는 보안인증을 받은 클라우드컴퓨팅서비스에 대하여 보안인증을 표시할 수 있다.④ 누구든지 보안인증을 받지 아니한 클라우드컴퓨팅서비스에 대하여 보안인증 표시 또는 이와 유사한 표시를 하여서는 아니 된다.⑤ 과학기술정보통신부장관은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조에 따른 한국인터넷진흥원 또는 대통령령에 따라 과학기술정보통신부장관이 지정한 기관으로 하여금 보안인증에 관한 업무로서 다음 각 호의 업무를 수행하게 할 수 있다.1. 보안인증기준에 적합한지 여부를 확인하기 위한 평가(이하 “인증평가”라 한다)2. 인증평가 결과의 심의3. 보안인증서의 발급ㆍ관리4. 보안인증의 사후관리5. 보안인증평가원의 양성 및 자격관리6. 그 밖에 보안인증에 관한 업무클라우드 서비스 보안인증제도의 종류클라우드 서비스 보안인증제도의 인증 유형은 laaS, SaaS, DaaS이며, 인증 등급은 상ㆍ중ㆍ하로 구분됩니다.평가의 종류에는 최초평가, 사후평가, 갱신평가가 있습니다. 최초 평가는 처음으로 인증을 신청하거나, 인증범위에 중요한 변경이 있어 다시 인증을 신청한 때에 실시하는 평가입니다. 사후평가는 보안인증을 취득한 이후 지속적으로 보안인증기준을 준수하고 있는지 확인하기 위한 평가이며, 인증 유효기간(5년)안에 매년 시행해야 합니다. 갱신평가는 보안인증 유효기간(5년)이 만료되기 전 보안인증의 유효기간 연장을 원하는 경우에 실시하는 평가입니다.클라우드서비스 보안인증 대상클라우드 서비스 보안인증 대상은 클라우드 기술을 이용하여 정보시스템의 인프라, 응용프로그램, 개발환경 중 어느 하나 이상을 제공하는 클라우드 서비스에 해당하며 클라우드 컴퓨팅법에서는 다음과같이 보안인증 대상을 정의하고 있습니다.제3조(클라우드컴퓨팅서비스) 법 제2조제3호에서 “대통령령으로 정하는 것”이란 다음 각 호의 어느 하나에 해당하는 서비스를 말한다.1. 서버, 저장장치, 네트워크 등을 제공하는 서비스2. 응용프로그램 등 소프트웨어를 제공하는 서비스3. 응용프로그램 등 소프트웨어의 개발·배포·운영·관리 등을 위한 환경을 제공하는 서비스4. 그 밖에 제1호부터 제3호까지의 서비스를 둘 이상 복합하는 서비스제20조(국가기관등의 클라우드컴퓨팅서비스 이용 촉진)①국가기관등은 업무를 위하여 클라우드컴퓨팅서비스를 이용할 수 있도록 노력하여야 한다.② 국가기관등은 제1항에 따른 클라우드컴퓨팅서비스 이용에 있어서 제23조의2제1항에 따른 보안인증을 받은 클라우드컴퓨팅서비스를 우선적으로 고려하여야 한다.인증제도 실시를 통한 기대효과는?공공기관은 행정업무를 다루는 만큼 민감정보를 많이 보유하고 있어 클라우드를 도입할 때 가장 우려되는 것이 보안입니다. KISA는 정보보호 기준 준수 여부 확인을 위한 인증 제도를 만들어, 공공기관에서 해당 인증 심사를 통과한 클라우드 서비스만 사용하도록 하고 있습니다.이를 통해 클라우드 서비스 이용자(공공기관)은 인증받은 클라우드 서비스를 이용함으로써 보안 우려를 해소하고, 안전한 클라우드서비스 구축 및 이용 활성화를 기대할 수 있습니다.또한 클라우드 서비스 제공자(민간 사업자)는 객관적이고 공정한 클라우드 서비스 보안인증을 통해 이용자 신뢰도 향상 및 클라우드 서비스 제공자의 정보보호 수준 향상을 기대할 수 있습니다. 지난1월 과학기술정보통신부에서는 공공부문에의 클라우드 시장 전반을 활성화하기 위해 보안인증 체계를 개선하여 상·중·하 등급제를 도입하였습니다.클라우드를 이용하고자 하는 공공기관은 시스템 중요도 분류 기준 및 절차에 따라 시스템을 상·중·하등급으로 분류하여 하등급은 개인정보를 포함하지 않고 공개된 공공 데이터를 운영하는 시스템, 상등급은 민감정보를 포함하거나 행정 내부업무 운영 시스템으로 분류할 예정입니다. 클라우드 사업자에 대한 보안인증 평가기준은 등급별로 차등화하여 기존 평가항목 기준으로 상등급 평가기준은 보완, 강화하고 하등급 평가기준은 합리적으로 완화합니다. 특히 국내 서비스형 소프트웨어(SaaS) 사업자가 공공 시장에 신규진입할 수 있도록 기존의 민간·공공 영역간 물리적 분리 요건을 완화합니다. 과학기술정보통신부에서의 보도자료에 따르면 구체적인 세부 내용등은 디지털플랫폼정부위원회와 관계부처의 공동 실증, 검증을 통해 평가기준을 보완하여 2023년 이내로 시행할 예정임을 밝혔습니다.출처 및 참고자료대한민국정책브리핑, 클라우드 보안인증 등급제 고시 개정안 행정예고「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」KISA-클라우드 보안인증제 KISA, 클라우드 컴퓨팅 보안인증제도 안내서

  

  23.05.17

• 
  IT·보안

  보안 담당자라면 알아야 할 개인정보보호법 개정안 총정리

  개인정보보호법은 정보주체를 보호하고, 개인정보 처리자가 개인정보 보호의 책임을 질 수 있도록 제정된 법령입니다. 2011년 개인정보보호법이 제정된 이후 개인정보 침해로 인한 피해로부터 정보주체를 보호해왔습니다.개인정보보호위원회는 2021년 9월 정부안을 국회에 제출하였고, 그 이후에 관계 부처, 학계, 산업계, 시민단체 등 국내외 여러 이해관계자들과 소통을 통해 이견을 조정하였으며, 2년여에 걸친 심도 있는 논의 끝에 국회를 통과하였습니다. 개정법은 2023.03.14에 공포되어 6개월 후인 2023.09.15부터 시행될 예정입니다.개인정보보호법 개정 추진 배경2020년 8월 시행된 데이터 3법(개인정보보호법, 정보통신망법, 신용정보법)의 개정은 주로 개인정보보호 컨트롤 타워 구축 및 데이터 경제 활성화에 초점을 두었지만, 이후 변화하는 데이터 환경에서 국민의 권리 강화가 필요하다는 논의가 있었습니다.따라서 이번 개인정보보호법 2차 개정안은 개인정보보호법 제정 이래 관계 부처, 학계, 산업계, 시민단체 등의 의견을 반영한 첫번째 정부안으로, 정보주체의 권리보호를 강화하고 글로벌 규범과의 상호운용성을 확보하려는 취지에 따라 실질적인 전면개정이라는 점에서 의미가 있습니다.23년 개인정보 보호법 개정안에서 달라지는 것정보주체의 권리 확대이번 개인정보 보호법 개정안에서는 정보주체의 권리 확대를 위해 개인정보의 전송 요구권이 신설되었습니다. 개인정보의 전송요구권 신설로 정보 주체는 본인 정보를 본인 또는 제3자(다른 개인정보처리자 또는 개인정보관리 전문기관)에게 전송요구할 수 있게 되었습니다. 개인정보 전송요구권의 신설로 한정되었던 마이데이터 서비스가 확장될 수 있는 근거가 마련되었습니다.개인정보보호법 제35조의 2(개인정보의 전송 요구)① 정보주체는 개인정보 처리 능력 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자에 대하여 다음 각 호의 요건을 모두 충족하는 개인정보를 자신에게로 전송할 것을 요구할 수 있다. [본조신설 2023.3.14]또한 자동화된 결정에 대한 설명요구권 및 거부권 신설로 자동화된 시스템으로 개인정보를 처리하여 이루어지는 결정이 정보주체의 권리 또는 의무에 중대한 영향을 미치는 경우, 해당 결정에 대한 거부 및 설명을 요구할 수 있는 조항이 신설되었습니다.개인정보보호법 제37조의 2(자동화된 결정에 대한 정보주체의 권리 등)① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. 이 경우 공공기관에 대해서는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구하거나 개인정보 처리에 대한 동의를 철회할 수 있다. <개정 2023. 3. 14.>② 개인정보처리자는 제1항에 따른 처리정지 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. <개정 2023. 3. 14.>불합리한 동의제도 완화기존에는 개인정보 처리자가 계약 체결 및 이행을 위하여 불가피하게 필요한 경우에는 정보주체의 동의없이 개인정보를 수집할 수 있었습니다. 그러나 개정안에서는 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우에 수집·이용이 가능한 것으로 개정되었습니다.개인정보보호법 제15조(개인정보의 수집·이용)<개정 2023.3.14>① 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 수집할 수 있으며 그 수집 목적의 범위에서 이용할 수 있다.4. 정보주체와 체결한 계약을 이행하거나 계약을 체결하는 과정에서 정보주체의 요청에 따른 조치를 이행하기 위하여 필요한 경우정보통신서비스 제공자에 대한 특례규정 삭제기존에는 동의없이 개인정보를 수집한 경우, 오프라인 기업은 5천만원 이하의 과태료를, 온라인 기업은 관련 매출액의 3%이하 과징금을 부과할 수 있었습니다.그러나 개정된 법에서는 온·오프라인에 관계없이 모든 개인정보처리자를 대상으로 동일행위-동일규제 원칙을 적용하였습니다.또한 ‘개인정보처리자’와 ‘정보통신서비스제공자’로 이원화 되어있던 현행 체계를 일원화하고, 개인정보 수집·이용 동의, 14세미만 아동의 개인정보 수집, 개인정보 유출 시 통지신고 등 일반 규정과 유사·중복되는 특례 규정은 일반 규정으로 통합·정비하여 모든 분야로 확대 적용하였습니다.이동형 영상정보처리기기 운영 기준 마련CCTV, 드론, 자율주행 자동차 등 다양한 이동형 영상정보처리기기의 사용이 증가함에 따라 이에관련한 법령이 신설되었습니다. 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 공개된 장소에서 사람 또는 그 사람과 관련된 사물의 영상 촬영에 대해 일정한 요건을 갖춘 경우에만 허용하도록 하였습니다.개인정보보호법 제25조의 2(이동형 영상정보처리기기의 운영 제한)① 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 다음 각 호의 경우를 제외하고는 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하여서는 아니 된다.형벌 중심의 제재에서 경제제재 중심으로개정법에서는 개인에 대한 형벌을 기업에 대한 경제제재 중심으로 전환하여 과도한 형벌 규정은 정비하고 과징금 상한 및 대상을 확대하였습니다.위반행위의 심각성에 비례하여 과징금을 부과하기 위해 과징금 산정 기준을 전체 매출액에서 위반행위와 관련 없는 매출액을 제외한 매출액으로 규정하였습니다.또한 기존 과징금은 위반행위 관련 매출액의 3%이하였으나 개정안에서는 연간 총 매출액의 3%이하 과징금으로 개정되어 더욱 강력한 경제제재로 변경되었습니다.개인정보보호법 제64조의 2(과징금의 부과)① 보호위원회는 다음 각 호의 어느 하나에 해당하는 경우에는 해당 개인정보처리자에게 전체 매출액의 100분의 3을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다. 다만, 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 20억원을 초과하지 아니하는 범위에서 과징금을 부과할 수 있다.② 보호위원회는 제1항에 따른 과징금을 부과하려는 경우 전체 매출액에서 위반행위와 관련 없는 매출액을 제외한 매출액을 기준으로 과징금을 산정한다.[본조신설: 2023.3.14]개인정보의 국외 이전 및 국외 이전 중지 명령 이전에는 정보주체의 별도 동의가 있는 경우에만 개인정보를 국외로 이전할 수 있었습니다. 그러나 개정된 법에서는 개인정보가 이전되는 국가가 동등한 수준의 보호 수준을 갖추었다고 인정되는 곳에는 별도 동의가 없어도 개인정보를 국외로 이전 가능하도록 하였습니다. 개인정보의 국외 이전으로 정보주체에게 피해가 발생할 우려가 있는 경우에는 국외이전을 중지할 것을 명할 수 있도록 하였습니다.개인정보보호법 제4절 개인정보의 국외 이전<신설 2023.3.14>제28조의 8(개인정보의 국외 이전)① 개인정보처리자는 개인정보를 국외로 제공·처리위탁·보관하여서는 아니된다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보를 국외로 이전할 수 있다.제28조의 9(개인정보의 국외 이전 중지 명령)① 보호위원회는 개인정보의 국외 이전이 계속되고 있거나 추가적인 국외 이전이 예상되는 경우로서 다음 각 호의 어느 하나에 해당하는 경우에는 개인정보처리자에게 개인정보의 국외 이전을 중지할 것을 명할 수 있다.이번 개인정보보호법 개정을 통해 디지털 전환이 빨라지는 환경 속에서 국민의 권리를 실질적으로 보장하고 합리적인 규제 정비로 법적 불확실성을 해소하여 데이터 산업과 기업이 성장할 수 있는 발판이 될 것으로 개인정보보호위원회에서는 전달하였습니다.

  

  23.06.01

• 
  주간 보안알리미

  5월 4주차 보안 알리미

  “아태지역, 금융사 앱·API 공격 2.5배 늘어” 지난해 아시아 태평양 지역 금융사에 대한 애플리케이션과 API 공격이 전년대비 2.5배 늘었으며 하루 평균 1000만건 발생하고 있는 것으로 나타났습니다. 특히 공격을 많이 받은 상위 3개 산업은 금융 서비스, 커머스, 디지털 미디어 순으로 금융 서비스는 20억건의 공격을 받았습니다. “아태지역, 금융사 앱·API 공격 2.5배 늘어”, DATA NET, 2023-05-22 국정원, 北해킹공격 대국민 주의보…“네이버·다음 사칭 메일 유포” 북한 해킹조직이 대한민국 국민을 대상으로 무차별, 지속적 해킹공격을 진행하고 있습니다. 국정원이 공개한 최근 3년간 북한 해킹조직의 사이버 공격 및 피해통계에 따르면, 이메일을 악용한 해킹공격이 74%를 차지했는데요, 메일 발송자명을 네이버, 다음 등 국내 포털사이트를 주로 사칭한다고 합니다. 국정원, 北해킹공격 대국민 주의보…“네이버·다음 사칭 메일 유포”, 전자신문, 2023-05-25 개인정보 수집·이용, 국민이 동의여부 선택할 수 있게 개선 개인정보보호위원회는 개인정보보호법 시행령 개정안을 다음달 28일까지 입법예고한다고 밝혔습니다. 시행령 개정안은 정보주체인 국민이 스스로 자신의 개인정보에 대한 권리를 행사할 수 있도록 구체화하고, 공공시스템 운영기관에 대한 안전조치 특례를 신설하였습니다. 개인정보 수집·이용, 국민이 동의여부 선택할 수 있게 개선, 데일리팝, 2023-05-22

  

  23.05.26

• 
  인터뷰

  2023 신시웨이 신입사원 숏-터뷰

  2023년 1월부터 4월까지 신시웨이에 입사한 신입사원들을 소개해드립니다. 연초부터 신시웨이 각 부서에서는 바쁘게 신입사원들을 채용하였습니다. 소속 팀은 다르지만 새로운 시작의 설렘과 열정만큼은 동일했는데요, 김현구, 허찬우, 박찬 선임매니져의 입사 동기부터 포부까지 3인 3색 인터뷰를 지금 바로 만나보겠습니다.Q. 안녕하세요, 간단한 자기소개 부탁드립니다. 안녕하세요 신시웨이 스마트 플렛폼 팀 김현구입니다. 현재 스마트플랫폼팀 프론트앤드 개발자로 일하고 있고, DID(Decentralized Identity) 기반 공유 플렛폼을 만들고 있습니다. Q. 본인을 한 단어로 표현한다면? 이유도 함께 적어주세요 “직진” 제 모토는 직진 입니다. 모든 일에 있어 진심을 담아 행동하고, 부족하더라도 열심히 하려고 합니다.Q. 스마트플랫폼 팀으로 지원하신 특별한 계기나 동기가 있으신가요? 블록체인을 공부하다보니 DID를 활용한 새로운 신원관리 모델에 관심이 가게 되었고, 스마트 플랫폼팀에서 진행하는 프로젝트가 제가 원하던 프로젝트여서 지원하게 되었습니다. Q. 평일에 주요 하루 일과는 어떻게 보내시나요? 출근 전 런닝을 간단히 한 후 출근하면 오늘 할 일을 계획하고 업무에 집중합니다. 퇴근 후에도 운동을 하고있는데, 7월부턴 복싱을 배울 예정입니다. Q. 입사 이후 신시웨이에서 근무한 소감과 우리회사만의 자랑거리는 무엇인가요? 우선 팀원들과 소통이 수평적인 회사라고 생각합니다. 팀 회의를 진행할 때에 팀원들도 적극적으로 의견을 내는 등 수평적 소통으로 함께 해결해나갑니다. 또 사내 분위기가 입사 전 생각했던 것보다 훨씬 자유로운 분위기입니다. 본인 업무만 잘하면 크게 터치하지 않아서 개발에 몰두할 수 있습니다. 또 자율출퇴근제 시행으로 개인이 자유롭게 출퇴근시간을 조절할 수 있다는 점이 가장 좋은 것 같습니다. Q. 앞으로의 각오와 신시웨이에서 이루고 싶은 포부가 있다면? 우선 현재 하고있는 Web3 프론트앤드 개발에 최선을 다할 예정이고, 이후에는 UI/UX 디자인까지 공부하여 Web3 프론트앤드를 겸하는 UI/UX 디자이너가 되고싶습니다.Q. 안녕하세요, 간단한 자기소개 부탁드립니다.안녕하세요 저는 인재교육팀에서 근무하고 있는 허찬우입니다. 인재교육팀에서 회사의 HRD, 직업능력개발훈련, 연간 교육훈련 계획 및 수립, 교육분야 사업 기획 및 운영 업무를 담당하고 있습니다.Q. 본인을 한 단어로 표현한다면? 이유도 함께 적어주세요“호수” 저는 외부 환경이 어떨지라도 평정심을 잘 유지하는 성격이라 호수라고 표현하고 싶습니다.Q. 인재교육팀으로 지원하신 특별한 동기나 계기가 있으신가요?어떤 분야라도 산업 및 직무를 이해하기 위한 교육 업무는 반드시 필요하다고 생각합니다. 교육분야 사업을 기획하고 관리하는 업무를 하고 싶어 지원하게 되었습니다. Q. 평일에 주요 하루 일과는 어떻게 보내시나요?회사를 다니다보니 체력을 늘려야겠다는 생각이 많이 들어 최근 운동을 시작했습니다. 퇴근 후 헬스장을 가는 것이 주요 일과입니다. Q. 입사 이후 신시웨이에서 근무한 소감과 우리회사만의 자랑거리는 무엇인가요?교육 관련 다양한 사업을 진행하면서 처음에는 복잡하고 낯설었지만, 팀장님과 동기들이 많이 챙겨주셔서 금방 적응하고 배울 수 있었습니다.신시웨이는 복지가 정말 다양한데, 그중 제주도에 위치한 사택과 차량을 이용할 수 있다는 점이 가장 좋은 것 같습니다.아직 이용해본적은 없지만 나중에 제주도 여행을 가게되면 미리 예약하여 이용해볼 생각입니다.Q. 앞으로의 각오와 신시웨이에서 이루고 싶은 포부가 있다면?신시웨이만의 교육센터를 설립하고 싶습니다. 또한 많이 부족하지만, 성실하고 적극적인 자세로 큰 성과를 내는 직원이 되겠습니다. 감사합니다. Q. 안녕하세요, 간단한 자기소개 부탁드립니다.안녕하세요 클라우드 사업팀에서 근무하고 있는 박찬 입니다.현재 클라우드 사업팀 엔지니어로서 고객사에 PETRA제품 설치 및 점검을 진행하며, 가이드 문서를 제작하는 업무를 하고 있습니다.Q. 본인을 한 단어로 표현한다면? 이유도 함께 적어주세요“야구선출”입사 전 야구선수를 하면서 터득한 성실함, 책임감, 파이팅, 끈기 등 모든 노하우를 쏟아부어 회사의 성장에 보탬이 되는 사원이 되겠습니다.Q. 클라우드사업팀으로 지원하신 특별한 동기나 계기가 있으신가요?앞으로 점점 온프레미스 환경에서 클라우드 환경으로 점점 전환됨에 따라 클라우드사업팀의 미래가 밝다고 생각하여 지원하게 되었습니다.Q. 평일에 주요 하루 일과는 어떻게 보내시나요? 출근해서 설치/점검 업무가 있으면 해당 업무를 하고 다른 시간에는 가이드 문서 제작을 하면서 하루 일과를 보내고 있습니다.Q. 입사 이후 신시웨이에서 근무한 소감과 우리회사만의 자랑거리는 무엇인가요? 팀원 분들이 너무 잘 챙겨 주셔서 회사에 적응을 빠르게 잘 할 수 있던 것 같습니다. 업무에 관해서는 아직 부족한 점이 많기 때문에 선임분들에게 많이 물어보며 배워나가는 중입니다.전반적으로 회사 분위기와 복지가 다양한 점이 좋지만 특히 회사에서 다양한 동호회활동을 즐길 수 있는 점이 좋은 것 같습니다. 평소에 해보고 싶었던 취미활동을 회사 동호회를 통해 즐길 수 있습니다.Q. 앞으로의 각오와 신시웨이에서 이루고 싶은 포부가 있다면? 앞으로 실력을 많이 쌓아 신시웨이에 없어서는 안 될 필수불가결한 존재가 되겠습니다!!

  

  23.05.25

• 
  IT·보안

  수집한 개인정보, 올바르게 파기하는 방법은?

  이벤트 혹은 경품 응모를 위해 제공했었던 개인정보는 모두 파기되었을까요? 개인정보 처리자는 개인정보의 수집, 이용, 제공, 처리위탁, 파기까지 모든 과정에서 각 단계별로 법적 요구사항들을 준수해야 합니다. 모든 단계가 중요하지만, 수집된 개인정보의 이용 목적이 달성되고, 처리기간이 경과되었을 때 올바른 방법으로 파기하는 것은 어떤 단계보다도 중요합니다. 개인정보 파기 의무 개인정보보호법 제21조(개인정보의 파기)에 맞게 개인정보를 파기하지 않을 시 제75조에서는 3천만원 이하의 과태료를 명시하고 있습니다. 개인정보보호법 제21조(개인정보의 파기) ① 개인정보처리자는 보유기간의 경과, 개인정보의 처리 목적 달성, 가명정보의 처리 기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 지체 없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다. <개정 2023. 3. 14.> ② 개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. ③ 개인정보처리자가 제1항 단서에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다. 개인정보보호법 제39조의6에서는 정보통신서비스 제공자에 대한 개인정보 파기에 대해 안내하고 있습니다. 정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자는 1년의 기간 동안 정보통신서비스를 이용하지 않는 경우 이용자의 정보를 즉시 파기하거나 개인정보를 분리하여 별도로 저장ㆍ관리해야 합니다. 제39조의6(개인정보의 파기에 대한 특례)① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다. 다만 다른 법령에 따라 이용자의 개인정보를 보존해야 하는 경우에는 다른 법령에서 정한 보존기간이 경과할 때까지 다른 이용자의 개인정보와 분리하여 별도로 저장ㆍ관리해야 합니다 개인정보 파기 사실의 고지 또한 개인정보 처리자는 개인정보 처리 기간 만료 30일 전까지 다음의 사실을 이용자에게 알려야 합니다.개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목다른 이용자의 개인정보와 분리하여 개인정보를 저장ㆍ관리하는 경우: 개인정보가 분리되어 저장ㆍ관리되는 사실, 기간 만료일 및 분리ㆍ저장되어 관리되는 개인정보의 항목 위반 시 제재 개인정보의 파기 및 파기 사실 고지 의무를 위반하여 필요한 조치를 하지 않은 자는 3천만원 이하의 과태료를 부과받습니다. 제75조(과태료) ② 다음 각 호의 어느 하나에 해당하는 자에게는 3천만원 이하의 과태료를 부과한다. 4. 제21조제1항ㆍ제39조의6(제39조의14에 따라 준용되는 경우를 포함한다)을 위반하여 개인정보의 파기 등 필요한 조치를 하지 아니한 자 올바른 파기 방법은? 개인정보처리자가 개인정보를 파기할 때에는 복구 또는 재생되지 않도록 조치해야 합니다. 개인정보보호법 제16조 1항에서는 전자적 파일의 경우 영구삭제 영구삭제가 불가능한 경우에는 별도의 법령으로 규정하고 있습니다. 전자적 파일 이외의 기록물, 인쇄물 등은 파쇄 또는 소각하여야 합니다. 제16조(개인정보의 파기방법) ①개인정보처리자는 법 제21조에 따라 개인정보를 파기할 때에는 다음 각 호의 구분에 따른 방법으로 해야 한다. 1. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제. 다만, 기술적 특성으로 영구 삭제가 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치해야 한다. 2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각 ② 제1항에 따른 개인정보의 안전한 파기에 관한 세부 사항은 보호위원회가 정하여 고시한다. 파기 위반사례 개인정보보호위원회에서는 개인정보를 알맞게 파기하지 않은 기업에 대해 과태료 부과 및 시정조치를 취하고 있습니다. 개인정보 파기를 위반하는 경우는 크게 다음 4가지로 나눌 수 있습니다. 01. 법적 보유기간이 지난 개인정보 파기 미이행개인정보 처리자는 보유기간의 경과, 처리 목적 달성 등 해당 개인정보가 불필요하게 되었을때에는 지체없이 개인정보를 파기해야 합니다.02. 탈퇴 회원 개인정보 파기 미이행정보주체자의 자발적인 회원 탈퇴는 개인정보 수집·이용 및 보관 등에 대한 동의 소멸을 의미하므로 탈퇴처리와 함께 지체없이 파기해야 합니다.03. 보유기간이 지난 개인정보 파기 미이행정보주체의 명시적인 동의 없이 5년 이상 지난 개인정보는 파기해야 합니다.04. 목적이 달성된 개인정보 파기 또는 분리 보관 미수행목적이 달성된 개인정보는 파기해야 하고, 다른 법령에 의해 보존해야 하는 경우에는 다른 개인정보와 분리하여 저장ㆍ관리해야 합니다. 지금까지 개인정보 파기 관련 법령과 파기 방법 등에 대해 알아보았습니다. 개인정보를 안전하게 저장하고 이용하는 것도 중요하지만 알맞게 파기하는 것 또한 중요합니다. 개인정보 처리자는 개인정보보호법에 맞게 수집된 개인정보를 파기해야 하며, 개인정보 제공자 또한 소중한 내 개인정보 관리에 관심을 갖고 알아나가는 것이 중요하지 않을까요? 출처 및 참고자료 개인정보 실태 점검 및 행정 처분 사례집 찾기 쉬운 생활법령정보Q&A

  

  23.05.24

  21 22 23