·         소비자, 컴퓨터 또는 다른 장치와 결합할 수 있는 개인정보는 반드시 비식별화되어야 합니다.

·         공개된 정보에 대해서는 재식별화를 시도하지 않아야 합니다.

·         타 기업 등에 비식별화된 데이터 제공 시 데이터를 재식별화하지 않도록 계약상 명 문화하도록 해야 합니다.

구분

설명

개인정보 보호권리

·         개인 정보 보호와 보안에 대한 위험을 평가하고 완화해야 합니다.

·         완전한 위험 평가를 실시해야 합니다.

·         컴플라이언스를 보장하고 입증하는 조치를 이행해야 합니다.

·         데이터를 완전히 제어한다는 것을 입증해야 합니다.

·         개인정보 침해 시 72시간 내에 당국에 통보해야 합니다.

데이터 보안

·         데이터 제어와 함께 대상의 프라이버시 보호를 위한 조치입니다.

·         추가 처리를 위해 데이터 보관을 위한 보호장치를 두어야 합니다.

·         데이터 보호 조치를 기본적으로 갖추어야 합니다.

·         위험 평가와 암호화를 기반으로 한 계약 요구 사항으로서의 보안을 시행해야 합니다.

데이터 제어

·         개인정보 보호를 위한 조치입니다.

·         승인된 용도로만 데이터를 처리해야 합니다.

·         데이터 정확성과 무결성을 보장해야 합니다.

·         대상의 정체성 노출을 최소화해야 합니다.

·         데이터 보안 수단을 이행해야 합니다.

핵심정보

·         경영/기획 정보

·         재무/회계 정보

·         인사 정보

·         고객 정보

·         대외 공개 정보

·         R&D 정보

·         등

수집(생성)

·         사전동의 불이행 (매출액 1/100, 5천 만원 이하 벌금, 5년 이하 징역)

·         취급방침 공개 불이행(2천 만원 이하 벌금)

저장

·         개인정보의 무단 이전 (2천 만원 이하 벌금)

·         기술적, 관리적 미조치 (3천 만원 이하 벌금)

·         기술적, 관리적 미조치에 따른 유출 발생(1천만원이하 벌금, 2년 이하 징역)

이용

·         사전 동의 부정 사용(5천 만원 이하 벌금, 5년 이하 징역)

·         본인 정보 제공 불이행(3천만원 이하 벌금)

·         정보 정정 요구 불이행(3천만원 이하 벌금)

·         목적과 다른 정보 이용(5천 만원 이하 벌금, 5년 이하 징역)

제공

·         사전 동의 불이행(매출액 1/100, 5천 만원 이하 벌금, 5년이하 징역)

·         동의 없이 제 3자 위탁(매출액 1/100, 5천 만원 이하 벌금, 5년 이하 징역)

·         위탁 사실 미 고지(2천 만원 이하 벌금)

폐기

·         개인 정보의 미파기(3천만원 이하 벌금)

·         파이 요청에 대한 불이행(3천만원 이하 벌금)

원칙

설명

수집 제한의 법칙

·         Collection Limitation Principle

·         개인 정보는 적법하고 공정한 방법을 통해 수집되어야 합니다.

정보 정확성의 원칙

·         Data Quality Principle

·         이용 목적상 필요한 범위 내에서 개인정보의 정확성, 완전성, 최신성이 확보되어야 합니다.

목적 명시의 원칙

·         Purpose Specification Principle

·         개인정보는 수집 과정에서 수집 목적을 명시하고 명시된 목적 적합하게 이용되어야 합니다.

이용 제한의 원칙

·         Use Limitation Principle

·         정보 주체의 동의가 있거나 법규정이 있는 경우를 제외하고 목적 외에 이용되거나 공개될 수 없습니다.

안전성 확보의 원칙

·         Security Safeguard Principle

·         개인정보의 침해, 누설, 도용 등을 방지하기 위한 물리적, 기술적, 조직적 안전 조치를 확보해야 합니다.

공개의 원칙

·         Openness Principle

·         개인정보의 처리 및 보호를 위한 정책 및 관리자에 대한 정보는 공개되어야 합니다.

개인 참가의 원칙

·         Individual Participation Principle

·         정보 주체의 개인정보 열람∙정정∙삭제 청구권이 보장되어야 합니다.

책임의 원칙

·         Accountability Principle

·         개인정보 관리자에게 원칙 준수 의무 및 책임을 부과해야 합니다.

발생기업

발생원인

피해규모

유출정보

제재조치

KT

해킹

1170만건

·         주민번호

·         유심카드번호 등

·         과징금 7천만원

·         과태료 1천5백만원

·         시정조치 명령

·         2만 8천여명에게 10만원 배상

KT

해킹

870만건

·         주민번호

·         휴대폰번호

·         요금제 등

·         과징금 7억 5천만원

·         시정조치 명령

카드 3사

(KB, Lotte, NH)

위탁업체 유출

8799만건

·         주민번호

·         신용가트번호

·         결제계좌 등

·         3개월 영업정비 및 각 사에 과태료 600만원 부과

삼성카드

내부 유출

80만명

·         주민번호 앞자리 2개 등

·         기관주의 및 유출직원 면직

SK커뮤니케이션즈

해킹

3500만명

·         암호화된 주민번호

·         비밀번호 등

·         없음

신세몰 등 25개 업체

해킹

2000만명

·         주민번호

·         ID

·         비밀번호 등

·         업체별 유출수준에 따라 과태료 부과

미국

Sarbanes-Oxley 법안(미국, 2002년)

연방정보 보안관리법(FISMA, Federal Information Security Management Act, 미국, 2002년)

호주

개인정보 보호법 (Privacy Act, 1988년)

네델란드

개인정보 보호법 (The Personal data Protection Act od 2000, 2001년)