(개인)정보보호 지식 (8) 썸네일형 리스트형 [지식] 개인정보 마스킹 근거, 필요성 (예전에는 마스킹 대신 표시제한 이란 용어도 많이 썼었지만, 본 글에서는 마스킹으로 표기한다.) 마스킹은 쉽게 말해 개인정보의 전부 또는 일부를 임의의 문자로 대체해 출력하는 것을 의미한다. (예를 들어보면 홍길동을 홍*동으로 표기) 개인정보 보호의 중요성이 많이 알려진바 마스킹에 대한 거부감이 높지 않은 편이다. 10년 전만 해도 내부 시스템이 아닌 대고객 서비스 영역의 My page에서 내 정보를 조회하는 화면에 왜 마스킹을 적용해야 하는지를 설득하기 어려웠고 타사 사례를 찾아보기 어려웠던 게 사실이지만, 요즘 내가 즐겨쓰는 대부분의 앱들은 이미 내가 알고 있는 내 정보 전문을 잘 노출시키지 않는다. 예나 지금이나 개인정보를 마스킹을 해야만 한다는 구체적인 언급을 포함한 법적 근거는 없지만 가장 많이.. [지식] Clean Desk(클린데스크) Clean Desk는 업무 환경에서 데이터 유출이 발생하지 않도록 깔끔하게 책상, 회사 시스템 및 문서를 관리함으로써 업무환경의 안전성을 유지·관리하는 활동을 의미한다. Clean Desk를 유지해야 하는 가장 큰 이유는 개인정보 보호법, ISMS 인증기준 준수를 위해 필요하기 때문이다. 개인정보보호법 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다.동법 시행령 제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 해야 한다 ③ 제1항에 따른 안전성 확보 조치.. [지식] MS 제품군 EOS(서비스 지원 종료) 정보보호 담당자는 소속 회사에서 사용 중인 소프트웨어의 EOS 시기 및 여부에 대해 숙지해야 한다. 본 포스팅의 EOS는 End of Service의 약어로 제조사에서 소프트웨어의 지원을 종료하는 시점을 의미한다. 간혹 End of Life의 약어인 EOL을 동일한 의미로 사용하는 분도 계신데, EOL은 수명 종료(단종)의 의미이기 때문에 EOS와는 다소 차이가 있으나 뜻만 통하면 되는법이라 개의치 않는다. 쉽게 얘기하면 EOL이 조금 더 강력한 의미라고 할 수 있겠으나, EOS와 EOL 모두 보안 패치가 지원되지 않는건 같기 때문에 정보보호 담당자 관점에서 명확한 차이가 와닿지 않는 게 사실이다. EOS는 End of Sale이란 의미로 쓰이기도 하는데 이는 판매 종료의 의미이기 때문에 서비스 지원 종.. [지식] Meta 데이터 엑세스 갱신 Meta의 데이터 액세스 갱신(Data acccess renewal)은 이용자(개발자)가 개인정보 보호 규정을 준수하고 있는지 매년 확인받는 절차를 의미한다. 소유하고 있는 사이트에서 Facebook 로그인 기능을 운영 중이라면 매년 통과가 필요하다. 데이터 액세스 갱신은 '데이터 처리'에 관한 항목들도 포함을 하고 있어 개인정보 보호 부서에게도 협조 요청이 오는 경우가 있기 때문에 데이터 처리 질문에 대해 간략히 살펴본다. processor-0Do you have data processors or service providers, including your own companies, that will have access to the Platform Data that you obtain form Met.. [지식] 개인정보처리방침 평가제 개인정보 처리 기준 및 운영 중인 보호조치 등 개인정보 처리 현황 전반을 정보주체가 언제든지 확인할 수 있도록 공개한 문서인 개인정보처리방침을 평가하는 제도인 개인정보 처리방침 평가제에 대해 정리해본다. 1. 개인정보 처리방침 평가제란?개인정보 처리방침이 법적 기준에 부합하고 구체적인지(적정성), 읽기 쉬운지(가독성), 쉽게 접근할 수 있는지(접근성) 등을 평가함으로써 개인정보 보호 수준을 개선하고 기업의 책임을 강화하기 위해 2024년부터 시행된 제도다. 평가 대상은 개인정보처리자의 유형 및 매출액, 개인정보 유형, 개인정보 처리 근거 및 방식, 법 위반 이력 , 정보주체 특성 등을 종합 고려해 선정하고 평가 결과가 미흡한 개인정보처리자에게 개선 권고, 우수한 개인정보처리자는 우수 사례로 공개, 개인정.. [지식] 고객센터와 계약 체결 전 보안 고려사항 고객센터 운영업체와 계약 체결을 고민할 때 계약 상대방이 기본적인 보안 수준은 갖추고 있는지 확인해야 할 경우가 있다. 후보업체 선정 시 사전 질의서 형태로 확인해야 할 기본적인 내용들을 정리해 보면 다음과 같다. - 개인정보를 안전하게 처리하기 위해 법적 요구사항을 포함한 내부관리계획을 수립∙시행하고 있는가?- 개인정보 보호를 위해 개인정보 보호책임자 및 담당자를 지정하고 있는가?- 상담원을 대상으로 '개인정보 보호 서약서'를 징구하고 관리하고 있는가?- 상담원을 대상으로 연 1회 이상 개인정보보호 교육을 실시하고 증빙을 관리하고 있는가?- 우리회사 양식으로 개인정보 처리위탁 계약 체결이 가능한가?- 상담원들의 입사, 보직이동, 퇴사에 대한 현황을 문서화해 관리하고 있는가?- 업무 관련 서류 보관을 위.. [지식] 휴면정책 폐지시 고려사항 개인정보 보호법 개정에 근거해 휴면정책 폐지 시 사업자가 해야 할 일을 요약해보면 다음과 같다. 1) 휴면해제 - 휴면정책 개편 예정(휴면정책 폐지로 휴면해제)임을 사전에 안내(적어도 14일 전에는 보내는 것이 좋겠단 생각이며, 마케팅 관련 내용 포함 불가) - 이의제기 방법(문의처, 원하지 않을 경우 탈퇴 방법 등), 휴면해제 이유, 휴면해제 일 등을 안내문에 포함- 휴면해제 후 최초 로그인 시점에 sms 또는 메일 인증 중 택일하여 추가 본인여부 확인 인증을 통과하지 못할 경우 휴면상태를 유지시키거나 계정을 잠그는 것이 가장 바람직한 방향.- 휴면해제 후 최초 로그인 시점에 재동의 절차 구현(기존에 동의를 받았던 동의문과 내용이 변경된 경우에 한해 적용) 2) 개인정보처리방침 수정휴면처리와 관련.. [지식] 정보활용 동의등급제 금융권에서 개인(신용)정보 처리에 관한 동의를 할 때 심심치 않게 아래와 같은 화면을 볼 수 있는데, 해당 화면은 2021년 부터 금융위원회에서 시행한 '정보활용 동의등급제'를 준수하기 위해 필요한 내용이다. 1. 정보활용 동의등급제란? 신용정보제공 · 이용자가 신용정보를 수집·이용·제공하기 위해 사용하는 선택적 정보활용 동의서에 대해 사생활의 비밀과 자유를 침해할 위험, 이익이나 혜택, 동의 내용의 명확성 등을 금융위원회(한국신용정보원에 위탁)에서 평가해 등급을 산정하고, 평가된 등급을 신용정보주체로부터 동의를 받을 때 알려주는 제도다. 금융위원회에 따르면 가전제품의 에너지효율표를 벤치마킹해 신용정보주체 입장에서 동의 필요 여부를 판단하기 어려운 현실을 타개하기 위해 전문기관에서 등급을 정해줘 판단을 .. 이전 1 다음
