책 소개
▣ 출판사서평
우리는 왜 이렇게 반복적으로 당하고만 있어야 하는가?
개인정보 유·노출은 어제오늘의 일이 아니다. 정보 인프라가 잘 갖추어진 대한민국은 이제 해킹의 테스트 베드가 된다는 이야기까지 들린다. 글로벌 환경이 더욱 복잡해지고 인터넷이라는 도구는 생활에 더 가깝고 깊게 자리 잡고 있다. 우리는 왜 이렇게 반복적으로 당하고만 있어야 하는가? 해킹의 주범인 공격자가 있지만, 피해자인 개인정보 처리자나 정보통신 서비스 제공자가 오히려 가해자가 되어 버리는 경우가 발생한다. 반복적인 개인정보 유·노출과 맞물려 ‘개인정보 자기결정권’이라는 정보주체의 권리도 강화되고 있다.
필자는 지난 20년간 필드에서 정보보안 기술과 실무를 익히고 관리하였으며, 개인정보보호법이 제정되던 2011년부터 개인정보 보호에 대한 관련 법령과 인증제도를 연구하며 공부하고 있다. 지금까지 행정자치부 개인정보 보호 전문 강사로 활동하면서 기업과 기관에서 300여 회가 넘은 개인정보 보호 강의를 진행하였다.
이렇게 수많은 현장을 누비면서 실무 담당자로부터 많은 질문과 이메일 그리고 개인정보 보호 자문을 하면서 실무 현장에 맞는 지식을 차곡차곡 쌓은 덕에, 이제 막 시작하는 개인정보 담당자에게 전달해 주고 싶은 마음으로 그 눈높이를 맞추려 최대한 쉽고 간결하게 쓰려고 하였다.
▣ 작가 소개
저자 : 전주현
현 경성대학교 컴퓨터공학과 부교수(산학협력)
현 행자자치부 개인정보 보호 전문 강사(2011~현재)
현 부산대학교 정보보호 교육센터 개인정보 보호 담당(2013~현재)
현 부산 상공회의소 개인정보 보호 전문 강사
현 ISMS, PIPL, PIMS 인증심사원, PIA, CISSP, 정보보안기사
현 보안인닷컴 대표 운영자
전 국가공인 정보보호전문가 자격증 문제출제 검수위원
전 사)한국CISSP협회 이사/영남지부장
전 동서대, 동명대, 경성대 겸임교수, 시간강사
전 K통신사 데이터센터 근무
주요 활동
제1차 개인정보 보호 기본계획(2012~2014) 참여
제3권역 부산대 정보보호 교육센터(개인정보 보호 담당)
부산, 울산 상공회의소 개인정보 보호 순회 교육 진행
KBS 방송출연 ‘금융사기 대응방법은 없나?’ 전문가 토론 참여
KNN 뉴스, CBS라디오 방송 인터뷰 3회
공공기관, 지자체, 금융기관, 교육기관, 의료기관, 복지기관 등 350여 곳 이상 개인정보 보호 교육 진행
자문 및 콘텐츠 개발
도서관 개인정보 보호 업무 질의 사례집 발간 자문
임직원, 판매자, 구매자 개인정보 교육 콘텐츠개발(이베이코리아)
김책임 개인정보 따라잡기 온라인 콘텐츠 개발 참여(... KISA)
공공기관에 관한 개인정보 보호법률 교육교재 개발 참여(NIA)
상장 및 포상
제71회 경찰의날 경찰청장 감사장 수여(2016)
2009년 인터넷 미디어대전 우수상 수상(2009)
기타
보안인닷컴 커뮤니티 운영자(cafe.naver.com/nsis)
엔시스 정보보호(보안) 따라잡기(sis.pe.kr)
개인정보 길라잡이(cafe.naver.com/privacyguide)
페이스북 페이지(facebook.com/jeonjuhyun)
페이스북 클럽(facebook.com/groups/boanin)
▣ 주요 목차
1부 개인정보처리자
I. 개인정보 보호의 이해
1 개인정보 보호의 필요성
1. 정보화 사회의 개인정보 가치 증대
2. 정보화 사회와 서비스 발전
3. 정보화 사회의 문제점
2 개인정보란 무엇인가?
1. 개인정보의 개념
2. 개인정보의 유형(분류)
3. 개인정보 관련 용어
3 개인정보 보호 원칙
4 다른 법률과의 관계
1. 법률의 적용기준
2. 법률의 적용대상
II. 개인정보 처리 단계별 조치사항
1 라이프 사이클에 따른 관리
1. 개인정보 보호법 법률체계
2. 개인정보 보호법(제29조) 개인정보 안전조치 의무 안전성 확보조치 기준 고시 체계
3. 개인정보 보호법 주요 개정 현황
2 수집·이용 단계에서의 관리
1. 개인정보 수집·이용(법 15조)
3 민감정보·고유식별 정보 처리 단계에서의 관리
1. 민감정보처리(법 23조)
2. 고유식별 정보처리(법 24조)
4 제공·위탁 단계에서의 관리
1. 개인정보의 제공(법 17조)
2. 개인정보의 이용·제공 제한(법 18조)
3. 개인정보를 제공 받은 자의 이용·제공 제한(법 19조)
4. 업무 위탁에 따른 개인정보 처리 제한(법 26조)
5. 영업양도 등에 따른 개인정보의 이전 제한(법 27조)
6. 개인정보취급자에 대한 감독(법 28조)
5 파기 단계에서의 관리
1. 개인정보의 파기(법 21조)
III. 개인정보의 안전한 관리
1 개인정보 관리적 보호조치
1. 개인정보 처리방침의 수립 및 공개(법 30조)
2. 개인정보 보호책임자의 지정(법 31조)
3. 개인정보파일의 등록 및 공개(법 32조)
4. 개인정보 유출 통지(법 34조)
2 개인정보 안전성 확보 조치 기준(고시)
1. 안전조치 의무(법 29조)
3 영상정보처리기기 설치·운영
1. 영상정보처리기기 설치·운영 제한(법 25조)
4 개인정보 영향평가
1. 개인정보 영향평가(법 33조)
5 개인정보 관리체계
1. 개인정보 보호 인증(법 32조2)
2부 정보주체의 권리 강화
I. 정보주체의 권리 보장
1. 개인정보의 열람(법 35조)
2. 개인정보의 정정·삭제(법 36조)
3. 개인정보의 처리정지 등(법 37조)
4. 권리행사의 방법 및 절차(법 38조)
5. 손해배상 책임(법 39조)
3부 현장에서 실무 사례 및 판례
I. 현장에서 사용하는 개인정보 동의 서식 사례
1 개인정보 수집·이용 시 점검 사항
1. 개인정보 수집·이용 정보주체의 동의
2. 동의 받을 때 고지사항
3. 필수정보와 선택정보를 분리하여 동의
4. 고유식별 정보의 처리 제한
5. 민감정보 처리 제한
2 개인정보 제공 시 점검 사항
1. 제3자 제공 동의
3 홍보, 마케팅, 이벤트 시 점검 사항
4 공공기관 민원 만족도 조사 사례
II. 개인정보 지침, 처리방침, 내부관리계획 실무 사례
1 개인정보 보호 지침 사례
2 개인정보 처리방침 사례
1. 수집하는 개인정보의 항목 및 수집방법
2. 개인정보의 수집 및 이용 목적
3. 개인정보의 보유 및 이용 기간
4. 개인정보의 파기절차 및 파기방법
5. 개인정보 제공 및 공유(해당하는 경우만)
6. 수집한 개인정보의 취급위탁(해당하는 경우만)
7. 이용자 및 법정대리인의 권리와 그 행사 방법
8. 동의철회·회원탈퇴 방법
9. 개인정보 자동 수집 장치의 설치/운영 및 그 거부에 관한 사항
10. 개인정보 보호책임자
11. 개인정보의 안전성 확보조치
12. 정책 변경에 따른 공지의무
3 내부관리계획 수립 사례
1. 총칙
2. 내부관리계획 수립 및 시행
3. 개인정보 조직 구성·운영
4. 개인정보 관리적·기술적·물리적 보호조치
5. 개인정보 교육 수행
6. 개인정보 침해대응 및 피해 구제
4 개인정보 유출 시 고객응대 사례
1. 고객 응대관련 스크립트
2. 개인정보 유출 시 필수 조치 요령
3. 개인정보 유출 통지문안 사례
4. 홈페이지, 우편을 통한 통지문 사례
5. SMS를 이용한 통지문 사례
III. 현장 분야별 실무 사례
1 공공 분야
2 금융 분야
3 의료 분야
4 교육 분야
5 복지 분야
6 개인정보 보호 위원회 질의·의결 사례
IV. 최근 이슈가 된 개인정보 보호 관련 판례
1. 공개된 개인정보를 영리목적으로 수집, 제공한 행위에 대한 손해배상청구 사건
2. 인터넷 사이트에서 개인정보를 수집하면서 적법한 동의를 받았는지가 문제된 사건
3. 제3자의 해킹으로 정보통신서비스 제공자가 보유하고 있던 개인정보가 유출된 사건과 관련하여, 정보통신서비스 제공자가 이용자의 개인정보가 도난·누출되지 않도록 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지를 판단하는 기준
4. 정보통신망 이용촉진 및 정보보호 등에 관한 법률로 보호되는 개인정보 누출의 개념
4부 개인정보 업무 필수 서식
I. 개인정보 업무 필수 서식
별지 1호. 개인정보파일 신청서
별지 2호. 개인정보파일 파기요청서
별지 3호. 개인정보파일 파기 관리대장
별지 4호. 개인정보의 목적 외 이용 및 제3자 제공 대장
별지 5호. 개인영상정보 관리대장
별지 6호. 개인정보 유출신고서
별지 7호. 개인정보 취급위탁(제공) 계약 보안 서약서
별지 8호. 개인정보 보호 서약서
별지 9호. 위임장
별지 10호. 개인정보 보호교육 이수확인서
별표 1. 전문인력의 자격기준(제37조제1항제2호 관련) 〈개정 2014. 11. 19〉
별표 1의 2. 과징금의 부과기준(제40조의2제1항 관련) 〈신설 2014. 8. 6〉
별표 2. 과태료의 부과기준(제63조 관련) 〈개정 2016. 9. 29〉
별표 3. 개인정보파일 보유기간 책정 기준표
별표 4. 위반 시 벌칙사항
우리는 왜 이렇게 반복적으로 당하고만 있어야 하는가?
개인정보 유·노출은 어제오늘의 일이 아니다. 정보 인프라가 잘 갖추어진 대한민국은 이제 해킹의 테스트 베드가 된다는 이야기까지 들린다. 글로벌 환경이 더욱 복잡해지고 인터넷이라는 도구는 생활에 더 가깝고 깊게 자리 잡고 있다. 우리는 왜 이렇게 반복적으로 당하고만 있어야 하는가? 해킹의 주범인 공격자가 있지만, 피해자인 개인정보 처리자나 정보통신 서비스 제공자가 오히려 가해자가 되어 버리는 경우가 발생한다. 반복적인 개인정보 유·노출과 맞물려 ‘개인정보 자기결정권’이라는 정보주체의 권리도 강화되고 있다.
필자는 지난 20년간 필드에서 정보보안 기술과 실무를 익히고 관리하였으며, 개인정보보호법이 제정되던 2011년부터 개인정보 보호에 대한 관련 법령과 인증제도를 연구하며 공부하고 있다. 지금까지 행정자치부 개인정보 보호 전문 강사로 활동하면서 기업과 기관에서 300여 회가 넘은 개인정보 보호 강의를 진행하였다.
이렇게 수많은 현장을 누비면서 실무 담당자로부터 많은 질문과 이메일 그리고 개인정보 보호 자문을 하면서 실무 현장에 맞는 지식을 차곡차곡 쌓은 덕에, 이제 막 시작하는 개인정보 담당자에게 전달해 주고 싶은 마음으로 그 눈높이를 맞추려 최대한 쉽고 간결하게 쓰려고 하였다.
▣ 작가 소개
저자 : 전주현
현 경성대학교 컴퓨터공학과 부교수(산학협력)
현 행자자치부 개인정보 보호 전문 강사(2011~현재)
현 부산대학교 정보보호 교육센터 개인정보 보호 담당(2013~현재)
현 부산 상공회의소 개인정보 보호 전문 강사
현 ISMS, PIPL, PIMS 인증심사원, PIA, CISSP, 정보보안기사
현 보안인닷컴 대표 운영자
전 국가공인 정보보호전문가 자격증 문제출제 검수위원
전 사)한국CISSP협회 이사/영남지부장
전 동서대, 동명대, 경성대 겸임교수, 시간강사
전 K통신사 데이터센터 근무
주요 활동
제1차 개인정보 보호 기본계획(2012~2014) 참여
제3권역 부산대 정보보호 교육센터(개인정보 보호 담당)
부산, 울산 상공회의소 개인정보 보호 순회 교육 진행
KBS 방송출연 ‘금융사기 대응방법은 없나?’ 전문가 토론 참여
KNN 뉴스, CBS라디오 방송 인터뷰 3회
공공기관, 지자체, 금융기관, 교육기관, 의료기관, 복지기관 등 350여 곳 이상 개인정보 보호 교육 진행
자문 및 콘텐츠 개발
도서관 개인정보 보호 업무 질의 사례집 발간 자문
임직원, 판매자, 구매자 개인정보 교육 콘텐츠개발(이베이코리아)
김책임 개인정보 따라잡기 온라인 콘텐츠 개발 참여(... KISA)
공공기관에 관한 개인정보 보호법률 교육교재 개발 참여(NIA)
상장 및 포상
제71회 경찰의날 경찰청장 감사장 수여(2016)
2009년 인터넷 미디어대전 우수상 수상(2009)
기타
보안인닷컴 커뮤니티 운영자(cafe.naver.com/nsis)
엔시스 정보보호(보안) 따라잡기(sis.pe.kr)
개인정보 길라잡이(cafe.naver.com/privacyguide)
페이스북 페이지(facebook.com/jeonjuhyun)
페이스북 클럽(facebook.com/groups/boanin)
▣ 주요 목차
1부 개인정보처리자
I. 개인정보 보호의 이해
1 개인정보 보호의 필요성
1. 정보화 사회의 개인정보 가치 증대
2. 정보화 사회와 서비스 발전
3. 정보화 사회의 문제점
2 개인정보란 무엇인가?
1. 개인정보의 개념
2. 개인정보의 유형(분류)
3. 개인정보 관련 용어
3 개인정보 보호 원칙
4 다른 법률과의 관계
1. 법률의 적용기준
2. 법률의 적용대상
II. 개인정보 처리 단계별 조치사항
1 라이프 사이클에 따른 관리
1. 개인정보 보호법 법률체계
2. 개인정보 보호법(제29조) 개인정보 안전조치 의무 안전성 확보조치 기준 고시 체계
3. 개인정보 보호법 주요 개정 현황
2 수집·이용 단계에서의 관리
1. 개인정보 수집·이용(법 15조)
3 민감정보·고유식별 정보 처리 단계에서의 관리
1. 민감정보처리(법 23조)
2. 고유식별 정보처리(법 24조)
4 제공·위탁 단계에서의 관리
1. 개인정보의 제공(법 17조)
2. 개인정보의 이용·제공 제한(법 18조)
3. 개인정보를 제공 받은 자의 이용·제공 제한(법 19조)
4. 업무 위탁에 따른 개인정보 처리 제한(법 26조)
5. 영업양도 등에 따른 개인정보의 이전 제한(법 27조)
6. 개인정보취급자에 대한 감독(법 28조)
5 파기 단계에서의 관리
1. 개인정보의 파기(법 21조)
III. 개인정보의 안전한 관리
1 개인정보 관리적 보호조치
1. 개인정보 처리방침의 수립 및 공개(법 30조)
2. 개인정보 보호책임자의 지정(법 31조)
3. 개인정보파일의 등록 및 공개(법 32조)
4. 개인정보 유출 통지(법 34조)
2 개인정보 안전성 확보 조치 기준(고시)
1. 안전조치 의무(법 29조)
3 영상정보처리기기 설치·운영
1. 영상정보처리기기 설치·운영 제한(법 25조)
4 개인정보 영향평가
1. 개인정보 영향평가(법 33조)
5 개인정보 관리체계
1. 개인정보 보호 인증(법 32조2)
2부 정보주체의 권리 강화
I. 정보주체의 권리 보장
1. 개인정보의 열람(법 35조)
2. 개인정보의 정정·삭제(법 36조)
3. 개인정보의 처리정지 등(법 37조)
4. 권리행사의 방법 및 절차(법 38조)
5. 손해배상 책임(법 39조)
3부 현장에서 실무 사례 및 판례
I. 현장에서 사용하는 개인정보 동의 서식 사례
1 개인정보 수집·이용 시 점검 사항
1. 개인정보 수집·이용 정보주체의 동의
2. 동의 받을 때 고지사항
3. 필수정보와 선택정보를 분리하여 동의
4. 고유식별 정보의 처리 제한
5. 민감정보 처리 제한
2 개인정보 제공 시 점검 사항
1. 제3자 제공 동의
3 홍보, 마케팅, 이벤트 시 점검 사항
4 공공기관 민원 만족도 조사 사례
II. 개인정보 지침, 처리방침, 내부관리계획 실무 사례
1 개인정보 보호 지침 사례
2 개인정보 처리방침 사례
1. 수집하는 개인정보의 항목 및 수집방법
2. 개인정보의 수집 및 이용 목적
3. 개인정보의 보유 및 이용 기간
4. 개인정보의 파기절차 및 파기방법
5. 개인정보 제공 및 공유(해당하는 경우만)
6. 수집한 개인정보의 취급위탁(해당하는 경우만)
7. 이용자 및 법정대리인의 권리와 그 행사 방법
8. 동의철회·회원탈퇴 방법
9. 개인정보 자동 수집 장치의 설치/운영 및 그 거부에 관한 사항
10. 개인정보 보호책임자
11. 개인정보의 안전성 확보조치
12. 정책 변경에 따른 공지의무
3 내부관리계획 수립 사례
1. 총칙
2. 내부관리계획 수립 및 시행
3. 개인정보 조직 구성·운영
4. 개인정보 관리적·기술적·물리적 보호조치
5. 개인정보 교육 수행
6. 개인정보 침해대응 및 피해 구제
4 개인정보 유출 시 고객응대 사례
1. 고객 응대관련 스크립트
2. 개인정보 유출 시 필수 조치 요령
3. 개인정보 유출 통지문안 사례
4. 홈페이지, 우편을 통한 통지문 사례
5. SMS를 이용한 통지문 사례
III. 현장 분야별 실무 사례
1 공공 분야
2 금융 분야
3 의료 분야
4 교육 분야
5 복지 분야
6 개인정보 보호 위원회 질의·의결 사례
IV. 최근 이슈가 된 개인정보 보호 관련 판례
1. 공개된 개인정보를 영리목적으로 수집, 제공한 행위에 대한 손해배상청구 사건
2. 인터넷 사이트에서 개인정보를 수집하면서 적법한 동의를 받았는지가 문제된 사건
3. 제3자의 해킹으로 정보통신서비스 제공자가 보유하고 있던 개인정보가 유출된 사건과 관련하여, 정보통신서비스 제공자가 이용자의 개인정보가 도난·누출되지 않도록 안전성 확보에 필요한 보호조치를 취하여야 할 법률상 또는 계약상 의무를 위반하였는지를 판단하는 기준
4. 정보통신망 이용촉진 및 정보보호 등에 관한 법률로 보호되는 개인정보 누출의 개념
4부 개인정보 업무 필수 서식
I. 개인정보 업무 필수 서식
별지 1호. 개인정보파일 신청서
별지 2호. 개인정보파일 파기요청서
별지 3호. 개인정보파일 파기 관리대장
별지 4호. 개인정보의 목적 외 이용 및 제3자 제공 대장
별지 5호. 개인영상정보 관리대장
별지 6호. 개인정보 유출신고서
별지 7호. 개인정보 취급위탁(제공) 계약 보안 서약서
별지 8호. 개인정보 보호 서약서
별지 9호. 위임장
별지 10호. 개인정보 보호교육 이수확인서
별표 1. 전문인력의 자격기준(제37조제1항제2호 관련) 〈개정 2014. 11. 19〉
별표 1의 2. 과징금의 부과기준(제40조의2제1항 관련) 〈신설 2014. 8. 6〉
별표 2. 과태료의 부과기준(제63조 관련) 〈개정 2016. 9. 29〉
별표 3. 개인정보파일 보유기간 책정 기준표
별표 4. 위반 시 벌칙사항
01. 반품기한
- 단순 변심인 경우 : 상품 수령 후 7일 이내 신청
- 상품 불량/오배송인 경우 : 상품 수령 후 3개월 이내, 혹은 그 사실을 알게 된 이후 30일 이내 반품 신청 가능
02. 반품 배송비
반품사유 | 반품 배송비 부담자 |
---|---|
단순변심 | 고객 부담이며, 최초 배송비를 포함해 왕복 배송비가 발생합니다. 또한, 도서/산간지역이거나 설치 상품을 반품하는 경우에는 배송비가 추가될 수 있습니다. |
고객 부담이 아닙니다. |
03. 배송상태에 따른 환불안내
진행 상태 | 결제완료 | 상품준비중 | 배송지시/배송중/배송완료 |
---|---|---|---|
어떤 상태 | 주문 내역 확인 전 | 상품 발송 준비 중 | 상품이 택배사로 이미 발송 됨 |
환불 | 즉시환불 | 구매취소 의사전달 → 발송중지 → 환불 | 반품회수 → 반품상품 확인 → 환불 |
04. 취소방법
- 결제완료 또는 배송상품은 1:1 문의에 취소신청해 주셔야 합니다.
- 특정 상품의 경우 취소 수수료가 부과될 수 있습니다.
05. 환불시점
결제수단 | 환불시점 | 환불방법 |
---|---|---|
신용카드 | 취소완료 후, 3~5일 내 카드사 승인취소(영업일 기준) | 신용카드 승인취소 |
계좌이체 |
실시간 계좌이체 또는 무통장입금 취소완료 후, 입력하신 환불계좌로 1~2일 내 환불금액 입금(영업일 기준) |
계좌입금 |
휴대폰 결제 |
당일 구매내역 취소시 취소 완료 후, 6시간 이내 승인취소 전월 구매내역 취소시 취소 완료 후, 1~2일 내 환불계좌로 입금(영업일 기준) |
당일취소 : 휴대폰 결제 승인취소 익월취소 : 계좌입금 |
포인트 | 취소 완료 후, 당일 포인트 적립 | 환불 포인트 적립 |
06. 취소반품 불가 사유
- 단순변심으로 인한 반품 시, 배송 완료 후 7일이 지나면 취소/반품 신청이 접수되지 않습니다.
- 주문/제작 상품의 경우, 상품의 제작이 이미 진행된 경우에는 취소가 불가합니다.
- 구성품을 분실하였거나 취급 부주의로 인한 파손/고장/오염된 경우에는 취소/반품이 제한됩니다.
- 제조사의 사정 (신모델 출시 등) 및 부품 가격변동 등에 의해 가격이 변동될 수 있으며, 이로 인한 반품 및 가격보상은 불가합니다.
- 뷰티 상품 이용 시 트러블(알러지, 붉은 반점, 가려움, 따가움)이 발생하는 경우 진료 확인서 및 소견서 등을 증빙하면 환불이 가능하지만 이 경우, 제반 비용은 고객님께서 부담하셔야 합니다.
- 각 상품별로 아래와 같은 사유로 취소/반품이 제한 될 수 있습니다.
상품군 | 취소/반품 불가사유 |
---|---|
의류/잡화/수입명품 | 상품의 택(TAG) 제거/라벨 및 상품 훼손으로 상품의 가치가 현저히 감소된 경우 |
계절상품/식품/화장품 | 고객님의 사용, 시간경과, 일부 소비에 의하여 상품의 가치가 현저히 감소한 경우 |
가전/설치상품 | 전자제품 특성 상, 정품 스티커가 제거되었거나 설치 또는 사용 이후에 단순변심인 경우, 액정화면이 부착된 상품의 전원을 켠 경우 (상품불량으로 인한 교환/반품은 AS센터의 불량 판정을 받아야 합니다.) |
자동차용품 | 상품을 개봉하여 장착한 이후 단순변심의 경우 |
CD/DVD/GAME/BOOK등 | 복제가 가능한 상품의 포장 등을 훼손한 경우 |
상품의 시리얼 넘버 유출로 내장된 소프트웨어의 가치가 감소한 경우 | |
노트북, 테스크탑 PC 등 | 홀로그램 등을 분리, 분실, 훼손하여 상품의 가치가 현저히 감소하여 재판매가 불가할 경우 |