전체 글 65

[자료] 개인정보의 안전성 확보조치 기준 안내서(2024.10.)

개인정보의 안전성 확보조치 기준(이하 '고시') 안내서 개정본이 공개되었다. 개정된 고시가 시행된지 1년이 넘었기 때문에 나를 포함한 많은 사람들이 안내서를 많이 기다렸었고 드디어 고시 해설을 읽어볼 수 있게 되었다. https://www.privacy.go.kr/front/bbs/bbsView.do?bbsNo=BBSMSTR_000000000049&bbscttNo=20767 개인정보 포털개인정보보호위원회는 개인정보의 처리와 보호에 관한 사안을 독립적으로 수행하기 위해 설립된 합의제 중앙행정기관입니다.www.privacy.go.kr 안내서를 살펴보고 참고해야 할 내용을 정리해보면 다음과 같다. 1. (27페이지) 개인정보처리시스템의 정의를 조금 더 넓게 해석데이터베이스와 연동되어 개인정보의 생성, 기록, ..

클라우드 서비스 보안인증(CSAP) 신규 평가원 교육 후기

휴일이 많아 어수선했던 한주의 마지막인 토/일 이틀간 클라우드 서비스 보안인증 교육을 듣고 왔다. 주중 근무시간에는 시간을 내기 어려운 관계로 야간이나 주말 교육을 선호하는지라 이번 교육을 주말에 진행함이 개인적으로는 마음에 들었다.(주중에 했다면 참여하지 못했을 가능성이 높다.) 교육 제목은 다소 거창해 보일 수도 있지만 신규 평가원 인력 Pool을 선정하는 교육이 아니라 CSAP 평가 수행 경력이 없는 사람들이 동일한 관점에서 CSAP 평가를 할 수 있도록 또한 더 잘할 수 있도록 가르침을 주는 교육이었다.(CSAP 평가 경험이 있으신 분들을 대상으로는 별도로 교육을 진행하고 있다고 함) CSAP 서면/현장 평가는 ISMS-P 인증심사원 자격을 보유하고 심사일수가 40일 이상되는 분들은 참여가 가능하..

메모&낙서장 2024.10.06

2024년 가명정보 전문가 풀 과정 교육 (간단)후기

개인정보보호위원회의 1기 가명정보 전문가 풀에 선정되지 않아 많은 아쉬움이 있었으나, 다행히도 2기에 선발되었고 어제부터 이틀간 한국인터넷진흥원 서울청사 3층 대강당에서 진행된 제2차 가명정보 전문가 풀 과정 교육을 수강하고 왔다. 모집공고에 가명정보 전문가 풀 위촉기간 동안에는 매년 전문가풀 교육과정을 이수해야 한다는 조건이 있었기 때문에 사실상 반드시 들어야 하는 일종의 의무 교육으로 봐야한다. 개인적으론 주말에 참여할 수 있는 11월 교육이 더 끌리긴 했으나, 빨리 교육을 들어야 적정성 검토나 반출심사에 참여할 수 있는 기회가 조금이나마 더 생길 가능성이 높다는 판단하에 8월 교육에 참여했다.(같은 생각을 가진 분들이 많은지 교육이 빠르게 마감된 걸로 알고 있다.) o 커리큘럼적정성 검토 교육반출심..

메모&낙서장 2024.08.27

리콜 관련 법적근거 정리

소비자기본법 제48조, 49조, 50조식품위생법 제45조식품안전기본법 제19조건강기능식품에 관한 법률 제30조자동차관리법 제31조대기환경보전법 제51조(결함확인검사 및 결함의 시정) 4항약사법 제39조(위해의약품등의 회수)축산물위생관리법 제31조의2제품안전기본법 제10조 제11조, 제13조전기생활용품안전법 40조먹는물관리법 제47조, 47조의3의료기기법 제34조생활화학제품 및 살생물제의 안전관리에 관한 법률 37조어린이제품법 제9조, 제10조환경보건법 제24조화장품법 제5조의2생활주변방사선 안전관리법 16조석면안전관리법 제8조, 11조 참고 : https://easylaw.go.kr/CSP/CnpClsMainBtr.laf?popMenu=ov&csmSeq=1651&ccfNo=3&cciNo=1&cnpClsN..

메모&낙서장 2024.07.07

[자료] 개인정보 보호법 해석 사례집 1.0

개인정보보호위원회에서 개인정보 보호법 해석 사례집 1.0을 공개했다. 기존에 공개한 표준 해석례와 겹치는 내용도 있고, 지금은 공개되지 않지만 과거에 연도별로 공개했던 개인정보보호 상담 사례집과 유사한 느낌도 난다. 개인적으로 참고할 만한 내용을 정리해 보면 다음과 같다.1. 경찰이 습득물 신고를 접수 받을 때 유실물법 시행령 제1조 제1항에 근거해 사용하는 양식인 습득물 신고서 양식에 주민등록 번호 작성란이 포함되어 있기 때문에, 경찰은 유실물 습득자의 주민등록번호를 수집할 수 있다고 한다.(37페이지) 2. 민간은 물건 판매 또는 서비스 제공 등 고객과 체결한 계약의 이행을 위해 필요한 경우 정보주체의 동의 없이 개인정보를 이용한 만족도 조사를 할 수 있으며, 공공기관은 공공기관의 운영에 관한 법률 ..

[지식] 휴면정책 폐지시 고려사항

개인정보 보호법 개정에 근거해 휴면정책 폐지 시 사업자가 해야 할 일을 요약해보면 다음과 같다.  1) 휴면해제  - 휴면정책 개편 예정(휴면정책 폐지로 휴면해제)임을 사전에 안내(적어도 14일 전에는 보내는 것이 좋겠단 생각이며, 마케팅 관련 내용 포함 불가) - 이의제기 방법(문의처, 원하지 않을 경우 탈퇴 방법 등), 휴면해제 이유, 휴면해제 일 등을 안내문에 포함- 휴면해제 후 최초 로그인 시점에 sms 또는 메일 인증 중 택일하여 추가 본인여부 확인  인증을 통과하지 못할 경우 휴면상태를 유지시키거나 계정을 잠그는 것이 가장 바람직한 방향.- 휴면해제 후 최초 로그인 시점에 재동의 절차 구현(기존에 동의를 받았던 동의문과 내용이 변경된 경우에 한해 적용) 2) 개인정보처리방침 수정휴면처리와 관련..

[자료] 2023년 개인정보 분쟁조정 사례집

2023년 개인정보 분쟁조정 사례집이 공개되었다. 향후 참고할 가능성이 높은 내용을 요약해보면 다음과 같다. 1. 개인정보처리방침에 공개한 CPO 메일로 광고를 보낸 경우업무용으로 발급된 이메일로서 원칙적으로 회사 업무를 목적으로 활용된다고 봐야 함(37페이지)회사 이메일은 대내외적인 회사의 업무용으로도 처리될 수 있다고 보는 것이 타당신청인이 소속된 회사와의 협력과 이를 위한 미팅을 제안하는 이메일은 일반적인 광고성 이메일과 다소 상이한 특성이 있음회사 이메일 주소는 통상 업무용으로 사용되는 것이 일반적이지만 다른 한편 개인정보로서 개인의 사적 목적으로도 함께 활용되는 등 개인의 사적 영역일 여지도 없지 않기 때문에 설사 업무용 목적으로 회사 이메일주소를 이용하여 이메일을 전송하는 경우에도 개인의 자유..

[자료] 해외사업자의 개인정보 보호법 적용 안내서(24.4.)

얼마전 해외사업자의 개인정보 보호법 적용 안내서가 공개되었다. 가뭄에 콩 나듯 발생하긴 하나 해외 사업자와 개인정보 보호법 간에 관계에 대해 판단이 필요할 때가 있었고 그럴 때마다 네이버 프라이버시 백서(개인정보 보호법의 적용 범위에 관한 연구)를 열어봤던지라 그간 개인정보 보호 업무를 하면서 가장 기다렸던 자료이기도 하다. 해외 사업자에게 개인정보 보호법이 적용되는 경우1) 한국 정보주체를 대상으로 재화 또는 서비스를 제공하는 경우- 한국 정보주체를 대상으로 재화 또는 서비스를 제공한다고 명시적으로 밝히는 경우- 웹 사이트를 운영하면서 도메인 주소에 한국 국가 도메인 또는 한국 대상 별도 도메인을 사용하는 경우- 앱 마켓에 한국을 대상으로 서비스를 출시하는 경우- 한국어로만 서비스를 제공하는 경우- 재..