단계

설명

1

·         데이터 수집, 처리, 저장과 관련된 법규와 특수 사항을 포함한 조치를 이행합니다.

2

·         모든 것을 문서화합니다.

·         데이터 검색을 이행해 데이터의 연구, 발견, 결정, 행동, 위험에 대한 모든 것을 문서화합니다.

3

·         수집 혹은 사용하고자 하는 데이터가 규제되거나 특별사항에 포함되는지 미리 알아봅니다.

·         해당 되는 데이터와 다른 유형의 데이터를 분류하고, 데이터 접속 권한 보유자, 데이터 공유사용자, 해당 데이터 처리 애플리케이션들을 따로 분류합니다.

4

·         모든 개인 데이터들의 위험을 평가하고 정책과 절차를 검토합니다.

·         핵심 자산에 포함되는 생산 데이터에 보안 조치를 적용하고, 해당 조치들을 백업과 기타 보안 저장소로 확장합니다.

5

·         이전의 평가에 포함되지 않았거나, 신생된 데이터에 대한 다른 위험들을 조사하고 보안에 만전을 기합니다.

6

·         1단계~5단계를 반복합니다.

·         보안을 철저히 유지하는 것에 게을리하지 않습니다.

구분

설명

재식별화

데이터 비교, 연계 결합등을 통해 특정 개인을 알아볼 수 있도록 하는 조치

비식별화

다른 정보와 쉽게 결합하지 못하도록 하여 특정 개인을 알아볼 수 없도록 하는 일련의 조치

https://codedragon.tistory.com/8165

개인정보

특정 개인을 직접 또는 다른 정보와 결합을 통해 알아 볼 수 있는 정보

https://codedragon.tistory.com/8411

익명화된 정보

개인을 더 이상 식별할 수 없는 상태의 정보

·         소비자, 컴퓨터 또는 다른 장치와 결합할 수 있는 개인정보는 반드시 비식별화되어야 합니다.

·         공개된 정보에 대해서는 재식별화를 시도하지 않아야 합니다.

·         타 기업 등에 비식별화된 데이터 제공 시 데이터를 재식별화하지 않도록 계약상 명 문화하도록 해야 합니다.

구분

설명

개인정보 보호권리

·         개인 정보 보호와 보안에 대한 위험을 평가하고 완화해야 합니다.

·         완전한 위험 평가를 실시해야 합니다.

·         컴플라이언스를 보장하고 입증하는 조치를 이행해야 합니다.

·         데이터를 완전히 제어한다는 것을 입증해야 합니다.

·         개인정보 침해 시 72시간 내에 당국에 통보해야 합니다.

데이터 보안

·         데이터 제어와 함께 대상의 프라이버시 보호를 위한 조치입니다.

·         추가 처리를 위해 데이터 보관을 위한 보호장치를 두어야 합니다.

·         데이터 보호 조치를 기본적으로 갖추어야 합니다.

·         위험 평가와 암호화를 기반으로 한 계약 요구 사항으로서의 보안을 시행해야 합니다.

데이터 제어

·         개인정보 보호를 위한 조치입니다.

·         승인된 용도로만 데이터를 처리해야 합니다.

·         데이터 정확성과 무결성을 보장해야 합니다.

·         대상의 정체성 노출을 최소화해야 합니다.

·         데이터 보안 수단을 이행해야 합니다.

핵심정보

·         경영/기획 정보

·         재무/회계 정보

·         인사 정보

·         고객 정보

·         대외 공개 정보

·         R&D 정보

·         등

수집(생성)

·         사전동의 불이행 (매출액 1/100, 5천 만원 이하 벌금, 5년 이하 징역)

·         취급방침 공개 불이행(2천 만원 이하 벌금)

저장

·         개인정보의 무단 이전 (2천 만원 이하 벌금)

·         기술적, 관리적 미조치 (3천 만원 이하 벌금)

·         기술적, 관리적 미조치에 따른 유출 발생(1천만원이하 벌금, 2년 이하 징역)

이용

·         사전 동의 부정 사용(5천 만원 이하 벌금, 5년 이하 징역)

·         본인 정보 제공 불이행(3천만원 이하 벌금)

·         정보 정정 요구 불이행(3천만원 이하 벌금)

·         목적과 다른 정보 이용(5천 만원 이하 벌금, 5년 이하 징역)

제공

·         사전 동의 불이행(매출액 1/100, 5천 만원 이하 벌금, 5년이하 징역)

·         동의 없이 제 3자 위탁(매출액 1/100, 5천 만원 이하 벌금, 5년 이하 징역)

·         위탁 사실 미 고지(2천 만원 이하 벌금)

폐기

·         개인 정보의 미파기(3천만원 이하 벌금)

·         파이 요청에 대한 불이행(3천만원 이하 벌금)

원칙

설명

수집 제한의 법칙

·         Collection Limitation Principle

·         개인 정보는 적법하고 공정한 방법을 통해 수집되어야 합니다.

정보 정확성의 원칙

·         Data Quality Principle

·         이용 목적상 필요한 범위 내에서 개인정보의 정확성, 완전성, 최신성이 확보되어야 합니다.

목적 명시의 원칙

·         Purpose Specification Principle

·         개인정보는 수집 과정에서 수집 목적을 명시하고 명시된 목적 적합하게 이용되어야 합니다.

이용 제한의 원칙

·         Use Limitation Principle

·         정보 주체의 동의가 있거나 법규정이 있는 경우를 제외하고 목적 외에 이용되거나 공개될 수 없습니다.

안전성 확보의 원칙

·         Security Safeguard Principle

·         개인정보의 침해, 누설, 도용 등을 방지하기 위한 물리적, 기술적, 조직적 안전 조치를 확보해야 합니다.

공개의 원칙

·         Openness Principle

·         개인정보의 처리 및 보호를 위한 정책 및 관리자에 대한 정보는 공개되어야 합니다.

개인 참가의 원칙

·         Individual Participation Principle

·         정보 주체의 개인정보 열람∙정정∙삭제 청구권이 보장되어야 합니다.

책임의 원칙

·         Accountability Principle

·         개인정보 관리자에게 원칙 준수 의무 및 책임을 부과해야 합니다.