목록개인정보 (6)

MACE's life blog

개인정보의 암호화 적용 기준

개인정보 암호화 조치 안내서(가이드)가 2017년 개정되었다. 암호화 적용 기준은 시스템 구축시 꼭 검토할 필요가 있다. 비밀번호를 취급하는 회원제 서비스의 경우, 비밀번호 암호화(일방향/해시)는 필수/의무일 뿐만 아니라,ID/PW 등 로그인 정보에 대한 송수신 구간도 적절한 암호화 조치를 적용해야 한다. 나머지는 수집하는 개인정보의 항목에 따라 상이하다. ※ 민간/공공모두 공통사항임. 암호화 적용 기준(요약)구분 암호화기준 정보통신망 보조저장매체를 통한 송신시 비밀번호, 바이오정보, 고유식별번호 암호화 송신 개인정보처리 시스템에 저장시 비밀번호 일방향(해시함수) 암호화 저장 바이오정보 암호화 저장 고유식별번호 주민등록번호 암호화 저장 ※2017.12.31까지 암호화 저장: 100만명 이상 정보주체 ※2..
비즈니스&IT 2017. 5. 4. 08:36
여기어때 - 고객 91만명 정보유출

얼마전 숙박 예약 앱으로 유명한 '여기어때'가 중국발 해킹을 당했다는 보도가 나왔다. 해킹 당한 것을 인지한 것도 해커가 고객들에게 낯뜨거운 문자를 보내고 나서인 듯한데, 고객의 이메일, 연락처, 이름, 숙박업소 예약 내역 등이 모두 털린 듯하다. 일단 현재까지 파악되기로는 고객 91만명의 이용자명, 휴대전화번호, 숙박 이용정보 323만건이 해커에 의해 침해된 것으로 확인됐고(3/30 기준), 해커가 사용자에게 문자메시지를 전송한 수는 지난 3월 23일까지 총 4,000여 건이며 이후 추가 피해는 접수되지 않았다고 한다. 그리고 아래 5대 보안 강화 정책을 함께 발표했다. 5대 보안 강화 정책 (1) 회원정보와 숙박 예약정보 분리 및 암호화 관리 (2) 예약 고객정보 제휴점 전송 시 닉네임과 가상번호로 ..
비즈니스&IT 2017. 4. 1. 08:50
미이용/휴면회원의 개인정보 파기는 1년마다 해야 하는가? - 개인정보 일몰제

근래 받는 메일의 상당수는 '서비스 미이용에 따른 회원(계정)의 개인정보 파기 안내 혹은 휴면 전환'에 대한 내용이다. 그런데 유사한 서비스임에도 불구하고 어떤 곳은 개인정보를 파기한다고 하고, 어떤 곳은 휴면 상태로 전환을 한다고 한다. 어떤 곳이 적법한 서비스를 하는것인가? 결론부터 말하면 둘다 옳다. 정보통신망법 저촉 대상인 온라인 사업자 기준으로 설명을 하면, 법에 둘다 명문화된 규정이 있기 때문이다. 다만 사용자경험 및 비즈니스 관점에서 어떤 방식이 더 유리한지 고민하고 적용해야 한다. 정보통신망법 시행령의 16조는 "개인정보의 파기"에 대하여 정의하고 있다. 16조 2항에 보면 "법 제29조제2항의 기간 동안 이용하지 아니하는 경우에는 이용자의 개인정보를 해당 기간 경과 후 즉시 파기하거나 다..
비즈니스&IT 2017. 3. 29. 13:02
AWS/클라우드 적용시 개인정보 데이터 이슈 - 국외이전으로 봐야 하는가?

근래 AWS와 같은 클라우드에 대한 이슈가 많다. 대형 인프라를 갖고 있는 기업/기관들은 여러이유로 클라우드로 서비스를 이관하고 있는데, 공공기관의 경우 행자부의 G클라우드를 이용하거나, 자체적인 데이터센터에서 프라이빗 클라우드로 이관하는 추세지만, 기업의 경우 AWS 등으로 이관하고 있다. 비용대비 효율적이고 보다 민첩한 개발 등의 필요성이 커지기 때문이다. 이 때, 인프라 전체를 아예 클라우드로 옮긴다면, 고객의 개인정보 데이터까지 이관하는 격이 되는데, 한가지 이슈가 있다면 글로벌 클라우드 서비스의 경우 개인정보의 국외이전으로 해석해야하는지 여부가 논쟁의 대상이 될 수 있다. 글로벌 클라우드 서비스, 특히 AWS는 서울 리전을 제공하고 있으나 DR 혹은 백업 등등의 목적으로 다른 리전에 데이터가 위..
비즈니스&IT 2017. 3. 23. 13:07
공공정보 개방 공유에 따른 개인정보 보호 지침

근래 공공정보 개방 및 빅데이터가 뜨거운 감자로 부상하고 있다. 오픈하는 것은 바람직하지만 언제나 그렇듯. 개인정보 침해에 대한 우려가 커지는 것도 사실이다.특히나 민감정보 등이 없는 개인정보라 할지라도 대용량 데이터속의 '조회'와 '참조', '매칭'을 통하여 원본에서는 개인을 식별할 수 없었으나 분석과정에서 개인을 식별할 수 있는 개인정보가 되기도 한다. 이러한 관점에서 안행부에서 지침이 나온게 본 첨부 지침이다. 공공기관에 대한 내용이지만 전반적인 사항을 체크해보는 것도 좋을 듯하다. [원문 : http://www.privacy.go.kr/nns/ntc/selectBoardArticle.do?nttId=4935 ]
비즈니스&IT 2013. 9. 5. 08:24
개인정보 영향평가기관 지정 공고

http://www.mopas.go.kr/gpms/ns/mogaha/user/userlayout/bulletin/userBtView.action?userBtBean.bbsSeq=1012509&userBtBean.ctxCd=1001&userBtBean.ctxType=21010006&currentPage=11&searchCat= 행정안전부 공고 제 2011-416 호 개인정보 영향평가기관 지정 공고 「개인정보 보호법」 제33조(개인정보 영향평가) 및 동법시행령 제37조·제38조에 따라 개인정보 영향평가기관을 다음과 같이 지정하였음을 공고합니다. 2011년 12 월 23 일 행 정 안 전 부 장 관 1. 지정목적 : 공공기관 개인정보 영향평가업무를 효율적으로 추진하기 위함 2. 지정요건 : 「개인정보 보호법 ..
비즈니스&IT 2012. 1. 17. 13:50
Prev 1 Next