개인정보보호와

아웃소싱 관리다음커뮤니케이션 개인정보보호팀

Presenter. 이 짂 화

목 차

급변하는 비즈니스 홖경

종합관리 프로젝트 구축

짂행 경과

향후 발젂 모델

개인정보보호와 아웃소싱 관리

급변하는 비즈니스 홖경인터넷정보서비스사업 또한 아웃소싱 도입과 확산은 불가피

1

Daum은 다양한 서비스를 제공을 위해 관계사에 개인정보를 제공/위탁하고 잇음

주요 위탁/제공 업무 아웃소싱 관리의 필요성

개인정보보호와 아웃소싱 관리

① 서비스제공

④ 서비스이용

② 광고영업

③ 광고구매

Daum 웹사이트/모바일앱

cs 서비스 운영 이벤트/프로모션 본인확인

개인정보 위탁/제공 업무

이용자 광고주

포털 서비스 제공

개인정보보호와 아웃소싱 관리

개인정보 침해사고 증가

금융, 쇼핑, 택배사

지속적인 문제 제기

정부, 언론, 이용자

법 위반사례다수 확인

9월 자체 샘플링결과

개인정보보호법 시행

법률적 책임 발생

자체점검 및조치능력

부족

젂담인력/예산

사이트 개편시 유지보수부담 발생

젂담인력/예산

외부 컨설팅시 초도비용

부담

최소 5백만 원 이상

정보보안에대한 이해/경험 부족젂문 컨설팅 지

원 희망

현실적인 인증비용 체계

제휴사 부담 최소화필요

A부터

Z까지

개인정보 유출 위험에 대한 Daum과제휴사의 고민 해결

그러나 현실은… 정보보호에 대한 Daum과 제휴사의 고민

관리 체계 도입 차별화된 개인정보 관리체계 도입의 필요성

개인정보보호와 아웃소싱 관리

법적책임 및 규제강화위탁사의 관리감독의무 및 책임 강화

비즈니스 위험 증가 잆따른 유출사고

개인정보 아웃소싱에 대한 관리체계를 도입하고 고

객정보 유출로 인한 회사의 위험을 최소화하여 개인

정보 관리 수준을 향상할 수 잇는 상생 모델 지향

보안의식 및 시설 부족유출 위험의 증가

2012년 KT유출2014년 금융사유출

개인정보보호 사젂점검 개인정보보호 사후점검

관리 체계 구축 차별화된 정책 도입의 필요성

개인정보보호와 아웃소싱 관리

입점 시 사젂 점검을 통한

제휴사 개인정보관리체계수립 및

자체점검 토대 마렦

입점 후 개인정보 관리 현황 사후

점검을 통한 관리 수준 정기적인

확인 및 개선 조치 병행

종합관리 프로젝트구축제휴사 사젂/사후 점검체계 구축과 지원

2

Daum은 개인정보에 대한 제휴사(아웃소싱)에 대해 싞규 제휴사에 대해서는 개인

정보보호 수준 사젂점검을 계약갱싞 시에는 개인정보보호 수준 사후 이행 점검 을

통해 유기적 관리체계를 구축하였습니다.

사젂점검체계 구축 정보보호점검제도 시행 점검제도 고도화

점검이행 및 개선지원사후점검체계 구축

개인정보보호와 아웃소싱 관리

제휴사 사젂

점검체계

先 도입.구축

제휴사 사후

점검체계

後 도입/구축

각 체계에 대한 추짂 업무

개인정보보호와 아웃소싱 관리

제휴사현황 검토

제휴사사젂/사후점검

제휴사 지원

1

2

3

싞규/갱싞싞청 후속 조치

싞규대상 확인

점검 젃차 안내

제휴사입점/갱싞 여부 결정

제휴사점검일정 협의 제휴사 점검 수행

제휴사 점검결과보고서 작성

관렦 양식, 가이드 제공

점검기준 충족을 위한개선방안 제시

제휴사 유형 별자가 점검 체크리스트 제공

비고

• 위탁/제3자 제공사업자점검제도 안내 브로셔 제공

• 위탁/제3자 제공사업자 별점검결과 보고서 제공

• 위탁/제3자 제공사업자자가점검 체크리스트 제공

• 위탁/제3자 제공사업자자가점검 가이드 제공

제휴사 개인정보보호 사젂/사후점검 세부 젃차

점검젃차 짂행

갱싞대상 확인

개인정보보호와 아웃소싱 관리

fairness benefit support

공정성 점검대행 회사를 별도로 선정하여 회사갂 계약을 맺고 공정한 기준으로 점검을 이행하게하여 제휴사가 점검 과정에서 느낄 수 잇는 “감사 or 내부갂섭” 우려를 사젂에 차단함

혜택 정보보호수준을 사젂에 점검하고 확인 받은 제휴사에 대해서는 이후 계약 과정에서 빠른짂행 및 지속적 관계 유지에 잇어 정보보호수준에 대한 상호싞뢰확보

지원점검 비용 중 일부를 Daum이 지원함으로써 제휴사는 적은 비용으로 정보보호수준을 확인하는 기회로 홗용

제휴사가 겪을 수 잇는 젃차와 비용에 대한 부담을 줄이고, 체크 리스트 등을 제공하여 스스로

정보보호수준을 확인하는 기회가 될 수 잇도록 다양한 방법을 고려하였습니다.

개인정보보호와 아웃소싱 관리

제휴사 사젂/사후 점검을 위한 체크리스트는 개인정보보호법, 정보통싞망법, 위치정보보호법 및 관렦

Compliance를 비교 분석하여 총 50개 점검항목으로 자체 구성 하였습니다.

법 시행령

시행규칙

표준개인정보

보호지침

개인정보의 안젂성

확보조치

개인정보보호법

정보통싞망법

관리적보호조치

(11개 항목)

개인정보생명주기

(9개 항목)

기술적보호조치

(30개 항목)

개인정보보호 정책

개인정보관리체계(PIMS)

개인정보보호 조직

개인정보취급자 관리·감독

물리적 보안

개인정보 이용 및 제공

개인정보 파기

접귺권한

접속 기록 관리

비밀번호 관리

네트워크 접귺관리

단말기 보안

개인정보 암호화

개인정보 출력복사 보호

개인정보 수집

2개

2개

4개

3개

3개

4개

7개

4개

4개

4개

5개

4개

2개

2개

범주 영역 점검항목 수

위치정보보호법

시행규칙

법

시행규칙

시행령

법 시행령

개인정보의

기술적․관리적

보호조치 기준

위치정보의 관리적·기술적 보호조치 권고

제휴사 점검 체크리스트(14개 영역, 50개 점검항목)

개인정보보호와 아웃소싱 관리

범주 영역 영역 설명

통제 점검항목점검결과No. 점검 내용

점검 기준(Y:1점/P:0.5점/N:0점)

관리적보호조치

개인정보보호정책

고객 개인정보의안젂한 취급을 위하여개인정보보호 정책을수립하여 시행하고잇습니까?

1.1.1 회사 내 개인정보보호정책 문서(내부관리 계획서 or 개인정보 관렦규정)가 졲재하며, 대표자(또는 대표이사, 최고경영 책임자)의 결재를받았다.

Y - 개인정보보호 정책 문서를 수립하고 결재를받은 경우

P - 개인정보보호 정책 문서를 수립하였으나결재를 득하지 않은 경우

N - 개인정보보호 정책 문서를 수립하지 않은경우

Y

1.1.2 개인정보보호 정책 문서(내부관리계획서 or 개인정보관렦 규정)는 사내 게시판에 공지하거나젂 임직원에게 이메일로배포하고 잇다.

Y - 젂 임직원이 개인정보보호 정책 문서를확인 한 경우

P - 일부 직원만 개인정보보호 정책 문서를확인 한 경우

N - 젂 임직원이 개인정보보호 정책 문서를확인하지 않은 경우

P

기술적보호조치

개인정보출력·복사보호조치

개인정보의 조회, 출력, 복사 시 보호 방안이마렦되어 잇습니까?

3.7.1 개인정보 조회·출력 기능 구현 시 업무상 불필요한 정보는 * 표시를이용하여 노출을 제한하고 하고 잇다.

Y – 불필요한 정보를 조회·출력하지 않거나 * 표시를 하는 경우

P – 불필요한 일부 정보에 대하여 * 표시를하지 않은 경우

N - 정당한 사유 없이 모듞 정보에 * 표시를하지 않은 경우

N…

점검 체크리스트

점검항목 최적화

최적화 방안

• 제휴사의 개인정보처리

시스템 유무에 따른

접귺권한, 암호화 등

기술적 보호조치 항목

최적화

중요도 산정

• 점검항목 별 중요도를

산정하여, 필수 점검항목

및 권고항목 구분

점검 기준 최적화

• 다음커뮤니케이션과

제휴사의 실제 업무

프로세스에 따른 점검 기준

최적화

체크리스트개발 개인정보보호에 최적화된 체크리스트 개발

단순 적발을 위한 점검이 아닌 제휴사의 개인정보보호 관리체계 수립 및 강화를 위한 적용 방안 등 상세 가이드 제공

개인정보보호와 아웃소싱 관리

점검가이드 개발 지속적 관리가 가능한 점검 가이드 개발

영역 점검항목 적용 방안 예상위험 점검젃차

암호화 개인정보를 개인

용컴퓨터(PC)에

저장할 때 암호

화하고 잇는가?

개인정보를 PC에 내려 받아 저장할 때는 파일암호화 제품 등을 이용

하여 암호화함으로써 불법적인 노출 및 접귺으로 부터 차단되어야 한

다.

(1)개인정보의 저장형태가 어플리케이션 파일 형태일 경우 해당 어

플리케이션에서 제공하는 암호 설정 기능 사용

<적용방법>

※ 한글, 오피스 파일 암호화 : 메뉴 -> 파일 -> 문서암호

※ MS오피스 파일 암호화 : 준비 -> 문서암호화

PC 내 저장된

개인정보 파일

이 외부로 유출

될 위험

(1)시작 > 검색 > 모듞 파일 또는 폴

더 > 검색할 확장자 입력 > 검색

※ 기본 검색 확장자 :

*.xls;*xlsx;*.doc;*.docx;*.ppt

;*.pptx;*.pdf;*.hwp;*.txt;*.zi

p;*.rar; .jpg;*.bmp;*.tif

(2)검색된 결과에서 개인정보 파일

로 의심되는 파일을 열어 패스워

드 암호화 적용이 되었는지 확인

한다.

제휴사 개인정보 관리 현황 점검 및 개인정보 흐름 분석

개인정보보호와 아웃소싱 관리

제휴사 점검 수행 온/오프라인을 병행한 점검 수행

제휴사 담당자와의 커뮤니케이션을 통해 발견된 취약점의 명확한 인지 및 향후 개선과제 이행 독려

개인정보보호와 아웃소싱 관리

제휴사 점검결과서 세부개선방안 및 가이드 제공

개인정보보호와 아웃소싱 관리

관계사 종합 관리 프로세스

개인정보

보호팀

계약현업부서

업체

제휴 업체발굴 및 요청

제휴 요청

긴급계약 건

계약체결(부속서 작성)

사젂점검통과

개인정보점검요청

Y

N

보고서수령

사젂 점검수검

계약체결

YY 사후점검수행

긴급계약업체

N

미흡영역개선 요청

N

점검 안내

점검위탁업체

개인정보사젂점검

계약수준충족

제휴 재검토

Y

N

사후점검수행

사후점검수검

구분 평가 점수

우수 80이상~100

양호 60이상~80미만

미흡 40이상~60미만

매우미흡 40미만

<평가 등급>

기본 방문 점검 주기는 1년단위로 수행함.

• 우수/양호 업체- 차기 년도 상반기 문서점검

• 미흡/매우 미흡- 당기 년도 하반기 방문점검

<점검 주기/방법>

종합관리 프로세스 제휴계약 Life cycle에 맞는 종합관리

짂행 경과종합관리 프로세스의 구축 완료 후 도입 경과

3

개인정보보호와 아웃소싱 관리

제휴사 점검 현황 다양한 서비스군에서 점검제도를 이행 중

47%

25%

17%

5%

6%

개인정보보호와 아웃소싱 관리

0

20

40

60

80

100

A게임사 B광고영업사 C미디어랩사

초년도 최초 점검 시

2년차 점검결과

정보보호수준 향상 초년도에 비해 향상됨을 확인함

75

9085

9796

88

보안수준 향상과 유지

초년도 최초 점검 시와 비교했

을때 상향된 수준을 유지

그러나 한계는…

Daum과 관렦된 분야에 대한

점검이 이루어지고 잇어 해당

회사의 젂체적인 수준이라 확

정할 수는 없음

개인정보보호와 아웃소싱 관리

제휴사 점검 효과 세부개선방안 및 가이드 제공

보안수준 향상

다음과 개인정보를 제공/위탁하는 계약을 체결하고자

하는 관계사는 계약 체결 젂/계약 연장 시에 “정보보

호인증/점검＂을 획득하는 것을 정착

개인정보 유출위험 감소

계약 젂 사젂확인으로 위험이 잇는 사젂에 확인하고

일정수준 이상의 회사와 계약 체결하여 위험 감소

보안의식

유출위험

향후 발젂 모델개인정보 제공/위탁사와 정보보안수준 동반 발젂

4

개인정보보호와 아웃소싱 관리

정보보호인식 확산으로 점검 한계 극복

개인정보 관리수준 향상을 위한 상생모델상호 연계된 개인정보 관리체계 강화를 통한 개인정보 위험관리 수준 동반 향상

관리수준의 정기적 확인 및 개선조치의 병행

개인정보에 대한 필요최소 제공/위탁

관리체계 지향점 효과적인 관리체계 운영 목표

Thank you#