개인정보보호 포털 서브

좌측 메뉴알림마당

사업자

사업자(일반)

기업의 개인정보 보호의 중요성

기업에서 개인정보 유출 사고가 발생하면 고객의 신뢰 상실은 물론 기업의 이미지 저하와 소송 등 송무 비용이나 손해배상금 등이 발생하여 기업 자산의 손실을 가져오게 됩니다. 따라서 기업은 고객의 개인정보에 대한 ‘선량한 관리자’로서의 역할을 다해야 하는 것입니다.

사업자 개인정보 보호 수칙
  • 1
    접근권한 관리

    - 고객의 개인정보를 처리하는 개인정보처리자는 업무목적에 따라 개인정보처리시스템에 대한 접근 권한을 최소화하고, 인가되지 않은 담당자의 접근을 차단합니다.

  • 2
    비밀번호 관리

    - 고객정보가 위험에 노출되지 않도록 개인정보처리시스템 등에 대한 비밀번호를 안전하게 설정해야 합니다.
    비밀번호는 문자, 숫자의 조합 및 구성에 따라 최소 8자리 이상(알파벳 대소문자, 특수문자, 숫자 등 두 종류 이상의 문자를 이용) 또는 10자리 이상(하나의 문자종류로 구성)의 길이로 구성해야 안전합니다.

  • 3
    접근통제 시스템 설치 및 운영

    - 네트워크를 통한 개인정보처리시스템의 불법적인 접근 및 침해사고 방지를 위해 비인가자의 접근을 차단할 수 있는 접근통제 시스템을 설치 및 운영해야 합니다.

  • 4
    암호화 등의 보호 조치

    - 개인정보취급자의 실수 또는 해커의 공격 등으로 인해 개인정보가 비인가자에게 유·노출되더라도 주요내용을 확인할 수 없도록 암호화하여 관리해야 합니다.

  • 5
    접속기록 보관 및 관리

    - 개인정보처리시스템에 대한 불법적인 접근 또는 행동을 확인할 수 있도록 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역을 보관 및 관리해야 합니다.

  • 6
    보안 프로그램 설치 및 운영

    - 악성프로그램 등을 통한 고객정보의 손상, 유출을 방지하기 위해 백신과 같은 보안 프로그램을 설치하고 주기적으로 점검해야 합니다.

  • 7
    개인정보 수집, 이용 동의 획득

    - 고객의 개인정보를 수집 및 이용하고자 할 때에는 수집하는 항목, 이용 기간 및 목적 등 법령에서 정한 사항을 알리고 동의 받아야 합니다. 다만, 주민번호 등은 법령에서 구체적으로 처리를 허용하는 경우가 아니면 원칙적으로 수집이 금지되므로 대체수단을 활용하여 고객 본인확인을 해야합니다.

  • 8
    개인정보처리방침 작성 및 공개

    - 개인정보처리자는 개인정보의 처리 목적, 처리 및 보유 기간, 제3자 제공 사항, 파기절차 및 방법, 위탁 사항, 정보주체의 권리 행사 방법 등에 대한 개인정보처리방침을 마련하고, 정보주체가 쉽게 확인할 수 있도록 홈페이지 등에 공개해야 합니다.

  • 9
    불필요한 개인정보 파기

    - 고객의 개인정보는 보유기간이 경과하거나 처리 목적 달성 등 개인정보가 불필요하게 되었을 때 지체 없기 파기해야 합니다. 개인정보를 파기할 때는 복구 또는 재생되지 않도록 해야 합니다.

  • 10
    위탁업체 관리 감독

    - 서비스 제공을 위해 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 수탁자가 위탁업무 목적 외에는 개인정보를 처리할 수 없도록 하는 금지에 관한 사항, 개인정보의 기술적 및 관리적 보호조치에 관한 사항을 문서에 포함하여야 합니다. 또 개인정보가 분실・도난・유출・위조・변조 또는 훼손되지 않도록 수탁자를 교육 및 관리 감독해야 합니다.

정보통신 서비스제공자

정보통신망에서 개인정보 보호의 중요성

정보통신기술이 발전함에 따라 우리생활의 다양한 서비스 및 산업 분야가 IT 기술을 기반으로 작동하고 있습니다.
특히 4차 산업혁명 시대에는 대량의 정보를 분석하여 개인 맞춤형 서비스를 제공함에 따라 개인정보와 같은 데이터가 실시간으로 정보통신망을 통해 전송되고 있습니다.

만약 이러한 정보통신망의 보호 조치 미흡 등으로 인해 개인정보 유출 사고가 발생한다면 피해는 기하급수적으로 증가할 있으며, 온라인과 오프라인의 경계가 모호해지며 융・복합되는 상황에서 온라인의 피해는 오프라인으로까지 확대될 수 있을 것입니다.

따라서 정보통신서비스제공자 등도 개인정보 보호를 위해 필요한 조치를 이행해야 할 것입니다.

정보통신서비스 제공자등의 개인정보 처리에 관한 특례 규정 신설
  • 2020년 8월 개정 「개인정보 보호법」이 시행됨에 따라 정보통신서비스 제공자와 이용자 간의 관계에서 적용되는 정보통신망법의 개인정보 보호 관련 규정이 「개인정보 보호법」으로 통합되었습니다.
  • 기존 정보통신망법의 개인정보 보호 관련 규정이 삭제되고, 국외 이전 시 보호 조치, 국내대리인, 손해배상 보험 등 기존 「개인정보 보호법」과 상이하거나 정보통신망법에만 있는 규정이 「개인정보 보호법」 상 특례로 신설되었습니다.
  • 이에 따라 정보통신서비스 제공자는 개인정보처리자와 마찬가지로 「개인정보 보호법」의 적용을 받으며, 제6장(정보통신서비스 제공자 등의 개인정보 처리 등 특례)에 해당되는 경우에는 제6장(정보통신서비스 제공자 등의 개인정보 처리 등 특례)을 적용 받습니다.
개인정보 보호 규정
정보통신서비스제공자 관련 개인정보 보호 규정 주요내용
  • 1
    개인정보 수집·이용 동의 등에 대한 특례
    • 개인정보를 수집하여 이용하려면 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유 및 이용기간 등을 충분히 알리고 이용자의 동의를 얻어야 합니다.

      ※ 만 14세 미만의 아동의 개인정보를 수집하려면 법정대리인의 동의를 받아야 하고, 법정대리인이 동의하였는지를 확인하여야 합니다.

    • 다음에 해당하는 경우에는 이용자의 동의 없이 개인정보를 수집·이용할 수 있습니다.
      • - 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적ㆍ기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
      • - 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
      • - 다른 법률에 특별한 규정이 있는 경우
    • 공개된 개인정보(전화번호부, 공개된 게시판 등)라 할지라도 공개 목적 이외에는 이용하지 않는 것이 바람직합니다.
    • 정보통신서비스 제공자는 이용자가 필요한 최소한의 개인정보 이외의 개인정보를 제공하지 아니한다는 이유로 서비스의 제공을 거부해서는 안 됩니다.
      • - 이 경우 필요한 최소한의 개인정보는 해당 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 정보를 말합니다.
    • 정보통신서비스 제공자는 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항의 고지 등을 하는 때에는 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어를 사용하여야 합니다.
  • 2
    개인정보 유출등의 통지ㆍ신고에 대한 특례
    • 정보통신서비스 제공자등은 유출 규모와는 관계없이 개인정보의 분실ㆍ도난ㆍ유출사실을 안 때에는 지체 없이 다음의 사항을 해당 이용자에게 알리고 보호위원회 또는 한국인터넷진흥원에 신고하여야 합니다.
    • ① 유출등이 된 개인정보 항목
    • ② 유출등이 발생한 시점
    • ③ 이용자가 취할 수 있는 조치
    • ④ 정보통신서비스 제공자등의 대응 조치
    • ⑤ 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
  • 3
    개인정보의 보호조치에 대한 특례
    • 정보통신서비스 제공자등은 이용자의 개인정보를 처리하는 자를 최소한으로 제한하여야 합니다.
    • 정보통신서비스 제공자등도 개인정보처리자에 해당하므로, 개인정보 보호법 제29조에 따라 대통령령에서 위임한 ‘개인정보의 기술적·관리적 보호조치 기준’을 준수하여야 합니다.
  • 4
    개인정보의 파기에 대한 특례
    • 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 개인정보의 파기 또는 다른 이용자의 개인정보와 분리하여 별도로 저장·관리하는 등 필요한 조치를 취하여야 합니다.
      • - 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따릅니다.
    • 이 경우, 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 등을 전자우편 등의 방법으로 이용자에게 알려야 합니다.
  • 5
    이용자의 권리 등에 대한 특례
    • 정보통신서비스 제공자등은 이용자의 동의철회권, 개인정보 열람·정정요구권의 요구방법을 개인정보의 수집방법 보다 쉽게 하여야 합니다.
    • 정보통신서비스 제공자등은 이용자가 동의를 철회하면 지체 없이 수집된 개인정보를 복구ㆍ재생할 수 없도록 파기하는 등 필요한 조치를 하여야 합니다.
  • 6
    개인정보 이용내역의 통지
    • 전년도말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만 명 이상이거나 전년도 정보통신서비스 부문 매출액이 100억 원 이상인 정보통신서비스 제공자등에 해당하는 경우,
      • ①개인정보의 수집·이용 목적 및 수집한 개인정보의 항목 및
      • ②개인정보를 제공받은 자, 그 제공 목적 및 제공한 개인정보의 항목을 서면 등의 방법으로 연 1회 이상 주기적으로 이용자에게 통지하여야 합니다.
  • 7
    노출된 개인정보의 삭제·차단
    • 정보통신서비스 제공자등은 주민등록번호, 계좌정보, 신용카드정보 등 이용자의 개인정보가 정보통신망을 통하여 공중에 노출되지 아니하도록 하여야 합니다.
    • 공중에 노출된 개인정보에 대하여는 보호위원회 또는 한국인터넷진흥원의 요청이 있는 경우 정보통신서비스 제공자등은 삭제ㆍ차단 등 필요한 조치를 취하여야 합니다.
  • 8
    국외 이전 개인정보의 보호
    • 정보통신서비스 제공자 등은 이용자의 개인정보에 관하여 개인정보 보호법을 위반하는 사항을 내용으로 하는 국제계약을 체결해서는 안 됩니다.
    • 정보통신서비스 제공자등이 이용자의 개인정보를 국외에 이전할 때에는 다음 각 호의 사항을 이용자에게 고지한 후 동의를 받아야 합니다.
      <국외 이전 동의 획득 시 고지 사항 >
      • ① 이전되는 개인정보 항목
      • ② 개인정보가 이전되는 국가, 이전일시 및 이전방법
      • ③ 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처)
      • ④ 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간
    • 정보통신서비스 제공자등은 이용자의 개인정보를 국외로 이전하는 경우 다음의 보호조치를 취해야 하고, 개인정보를 국외에서 이전받는 자와 미리 협의 후 이를 계약내용 등에 반영하여야 합니다.
      <국외 이전에 관한 보호조치 사항 >
      • ① 영 제30조제2항에 따른 개인정보 보호를 위한 안전성 확보조치
      • ② 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 사항
      • ③ 그 밖에 이용자의 개인정보보호를 위하여 필요한 조치
  • 9
    상호주의
    • 개인정보의 국외 이전을 제한하는 국가의 정보통신서비스 제공자등에 대하여는 해당 국가의 수준에 상응하는 제한을 할 수 있습니다.
    • 단, 조약 또는 그 밖의 국제협정의 이행에 필요한 경우에는 상호주의 적용이 배제됩니다.
  • 10
    방송사업자등에 대한 특례
    • 방송사업자등이 시청자의 개인정보를 처리하는 경우에도 정보통신서비스 제공자에게 적용되는 이용자의 개인정보 처리에 관한 규정들이 준용됩니다.
  • 11
    과징금의 부과 등에 관한 특례
    • 정보통신서비스 제공자등은 다음의 경우 과징금을 부과 받습니다.
      • ① 제17조제1항ㆍ제2항(개인정보의 제공), 제18조제1항ㆍ제2항(개인정보의 목적 외 이용ㆍ제공) 및 제19조(개인정보를 제공받은 자의 이용ㆍ제공 제한)를 위반하여 개인정보를 이용ㆍ제공한 경우
        - 대표적으로 이용자의 동의 없는 개인정보의 제3자제공, 목적 외 이용ㆍ제공 등
      • ② 법정대리인의 동의 없이 아동의 개인정보를 수집하는 경우
      • ③ 이용자 동의 없이 민감정보를 수집한 경우
      • ④ 개인정보 처리업무 위탁시 특레 수탁자에 대한 관리ㆍ감독 또는 교육을 소홀히 하여 특례 수탁자가 이 법의 규정을 위반한 경우
      • ⑤ 개인정보를 분실·도난·누출 변조 또는 훼손한 경우로서 제29조의 기술적·관리적ㆍ물리적 보호조치(내부 관리계획 수립 제외)를 하지 않은 경우
      • ⑥ 이용자의 동의 없이 개인정보를 국외에 제공한 경우