가이드 안내 -...

3

과거에는 단순한 정보에 지나지 않았던 개인정보가

정보 통신 기술의 발전으로 인하여 경제적·자산적

가치가 높게 평가되고 있고 또 이에 대한 역기능으로

많은 피해가 발생하고 있습니다.

이에 본 가이드는 다량의 고객 개인정보를 이용하고

다루는 판매자들을 대상으로 개인정보에 대한

인식 수준을 높이고 보다 안전한 개인정보관리를

위하여 다음과 같은 내용을 담아 가이드를 발간하게

되었습니다.

1장에서는 개인정보보호에 대한 필요성, 반드시

알아야 할 개인정보 관련 기본 개념에 대한 내용,

개인정보의 전반적인 흐름의 이해를 돕고자

내용을 구성하였습니다. 반드시 숙지하여 개인

정보란 무엇인지 확인하시기 바랍니다.

2장에서는 개인정보 관련 업무를 진행할 때,

하지 말아야 할 대표사항 6가지를 기재하였습니다.

개인정보 업무 시 반드시 해당사항을 유념하여

진행해주시기 바랍니다.

3장에서는 개인정보 업무를 할 때, 반드시 지켜야

할 사항을 정리하였습니다.

마찬가지로 개인정보를 취급할 때에는 반드시

해당 사항을 상기하여 준수하시기 바랍니다.

부록에서는 개인정보 법률 및 처벌, 정부기관 실태

점검 때 참고할 수 있는 개인정보 자가진단표를

수록하였습니다.

이 밖에 가이드에 안내되어 있지 않거나, 개인정보

관련하여 궁금한 사항은 가이드 후면에 있는 이메일

을 이용하시기 바랍니다.

가이드 안내

본 가이드는 정보통신망법과 개인정보보호법에서

제시하고 있는 법규사항을 준수할 수 있도록

도움 드리는 역할을 하고 있습니다.

단, 본 가이드의 일부 내용은 각 사업자의 상황에

따라 그대로 적용되지 않을 수 있으므로,

본 가이드에서 제시하는 내용의 적절성 여부에

대해서는 먼저 자사 고유의 환경에 맞는지 확인해야

합니다. 또한 가이드에서 안내하고 있는 항목은

중요사항에 대한 안내이며, 이 밖에도 다양한 법률적

요구사항이 존재하고 있으므로 상세한 사항은

해당 법률을 참고하여 보완하시기 바랍니다.

판매자 별 적용 환경의 상이함으로 인하여 발생할

수 있는 피해에 대해서는 이베이코리아에서 책임

지지 않습니다.

주의사항

목차

1. 구매자의 정보를 다른 목적으로 사용하지 않습니다

2. 구매자의 개인정보를 별도로 수집하지 않습니다

3. 구매자의 정보를 다른 사람(회사)에게 전달하지 않습니다

4. 계정을 공유하지 마세요

5. P2P 를 사용하지 마세요

6. 배송과 CS 가 종료된 구매고객 정보를 보관하지 마세요

16

17

18

19

20

21

2장. 이렇게 하지 마세요!

(개인정보 주의사항)

1. 개인정보, 왜 보호해야 할까요?

2. 개인정보의 정의

3. 오픈마켓에서의 개인정보 흐름

10

11

13

1장. 개인정보보호란?

1. PC에 반드시 암호를 설정해 주세요

2. 개인정보 파일은 암호를 설정해서 보관하세요

3. 반드시 백신을 사용하세요

4. 사람 관리가 개인정보보호의 반!

5. 개인정보보호 교육 실시

6. 모든 문은 꼭꼭 닫아주세요

24

25

26

27

28

29

3장. 꼭 지켜주세요!

(개인정보 준수사항)

부록 Appendix 부록 1. 개인정보 누출 통지 신고

부록 2. 개인정보 출력 시 보호방안

부록 3. 개인정보보호 자가진단표

부록 4. 관련법률안내 및 처벌안내

부록 5. 용어정의

32

33

35

37

40

이베이코리아 개인정보보호 가이드북

판매자





10

11

13

1110

● 개인정보는 특정 개인을 다른 사람과 구분하거나 구별할 수 있는 있는 정보입니다.

예시) 주민번호 : 정확히 한명의 개인을 지칭하는 식별 정보

● 주소, 이름과 같은 정보가 결합하여 특정 개인을 알아볼 수 있다면 개인정보입니다.

예시) 주소 + 이름 + 핸드폰 번호 : 특정 개인 확인 가능

● ESM+에서의 개인정보

예시) ID, 구매자 ID, 구매자명, 수령인명, 수령인 휴대폰, 수령인 전화번호,

우편번호, 주소, 구매자 휴대폰, 구매자 전화번호 등

개인정보란 무엇일까요?우리는 왜 개인정보를 보호 해야 할까요?



1) 나의 정보라고 생각해 봅시다.

명의도용으로 인한 대포폰 개설, 신용카드 발급, 인터넷상 명예훼손 등 발생

2) 나의 가족의 정보라고 생각해 봅시다.

우리 가족의 정보를 이용하여 협박 또는 사칭하는 범죄 발생

3) 우리 회사의 일이라고 생각해 봅시다.

개인정보 유출 시 대규모 소송으로 인한 손해 배상 등으로 기업 경영에 큰 타격


1312


● 수집 : 고객의 개인정보를 수집하는 활동

이베이코리아로부터 고객의 개인정보를 전달 받습니다.

● 이용·제공 : 수집한 개인정보를 이용하거나 다른 업체에 제공하는 활동

택배사에 고객의 주소정보를 전달하여 물품을 배송합니다.

※ 단, 이베이코리아로부터 받은 개인정보는 필수 업무 목적 외에는 타사에

절대 제공하지 않습니다.

● 저장·관리 : 개인정보를 안전하게 보관하기 위한 수탁사의 활동

고객의 개인정보를 보관 시에는 암호화하여 안전하게 관리합니다.

● 파기 : 서비스 종료 후 활동

배송 및 CS 등 모든 업무가 종료된 후에는 개인정보를 지체없이 완전히

삭제합니다.


수집 이용·제공 저장·관리 파기

Q. 구매에 대한 정보도 개인정보인가요?

네, 맞습니다. 구매자의 개인정보는 이름,

주소, 연락처 등의 정보 외에도 고객이 구매한

상품 정보, 구매 이력, 선호하는 스타일 등의

정보도 고객의 이름, 연락처 등의 정보와

결합하면 고객의 취향 등을 알 수 있으므로

개인정보에 해당됩니다.

※ 참고자료 : 일반적인 개인정보의 예시

일반 정보 이름, 주민등록번호, 주소, 전화번호, 생년월일, 출생지,

이메일 주소, ID/PW, 가족관계 및 가족 구성원의 정보, IP주소 등

신체(의료)정보 얼굴, 지문, 홍채, 음성, 유전자정보, 키, 몸무게

기호(성향)정보 물품구매내역, 인터넷 웹사이트 검색내역,

도서&비디오 대여기록, 여행 등 활동내역

금융(재산)정보 신용카드번호, 통장계좌번호, 저축내역, 부동산, 소득정보,

신용카드정보, 대출, 소득정보

기타정보 GPS 위치정보, CCTV 영상정보, 법적정보, 근로정보, 교육정보,

통신정보 등

2장. 이렇게 하지 마세요!(개인정보 주의사항)

1. 구매자의 정보를 다른 목적으로 사용하지 않습니다

2. 구매자의 개인정보를 별도로 수집하지 않습니다

3. 구매자의 정보를 다른사람(회사)에게 전달하지 않습니다

4. 계정을 공유하지 마세요

5. P2P를 사용하지 마세요

6. 배송와 CS가 종료된 구매고객 정보를 보관하지 마세요

16

17

18

19

20

21

1716

2장. 이렇게 하지 마세요! (개인정보 주의사항)

2. 구매자의 개인정보를 별도로 수집하지 않습니다.1. 구매자의 정보를 다른 목적으로 사용하지 않습니다.

판매자는 일반적으로 물품배송 및 고객응대 업무를 위하여 구매자의 개인정보를

이용할 수 있습니다.

그러나 이러한 목적 이외에 신상품 안내 및 세일 등 마케팅 목적으로 개인정보를 이용

한다면 법률적 처벌이 발생할 수 있습니다.

● 개인정보를 다른 목적으로 사용하는 잘못된 예

- 홍보용 SMS 또는 이메일 발송

원칙적으로 판매자는 구매자의 개인정보를 별도로 수집할 수 없습니다.

개인정보를 동의 없이 별도로 수집하는 경우 정보통신망 법 제22조에 의해 5년

이하의 징역 또는 5천만원 이하의 벌금을 받을 수 있으니 주의하세요.

● 추가 개인정보를 수집하는 잘못된 예

주문 단에서 옵션정보를 이용하여 동의 없이 개인정보를 수집하는 행위

신상품이 출시됐으니

구매했던 고객에게 광고해볼까?

1918


4. 계정을 공유하지 마세요.3. 구매자의 정보를 다른 사람(회사)에게 전달하지 않습니다.

고객에게 동의 없이 무단으로 제 3자에게 개인정보를 제공하면 최대 5년 이하 징역

또는 5천만원 이하 벌금과 매출액 100분의 1 금액 이하의 과징금에 처할 수 있습니다.

● 개인정보 무단 제공 사례

1. 유아 보험사에서 기저귀와 육아용품 파워셀러 판매자에게 구매자 정보 요청

2. 판매자는 개인정보 한 건당 10원, 보험 체결 시 건당 10만원 판매

3. 보험사는 텔레마케팅 활용

● 배송때문에 고객정보를 택배사에 제공해야 할때에는?

배송의 이유로 재위탁이 필요할 경우 먼저 법률에 위반되지 않도록 위탁 계약서를

작성하여 보관해야 합니다. 판매자가 업무를 위탁할 때에는 수탁사(예 : 배송사)를

관리·감독할 책임을 지게 되므로 개인정보를 위탁할 때에는 신중한

선택이 필요합니다.

개인정보처리시스템(ESM+, 판매자 관리 툴, PC 등)의 계정(ID/PW)은 1인 1계정을

원칙으로 하여 공용 계정으로 인한 개인정보 침해 사고 위험을 최소화하여야 합니다.

해당 계정은 실제 개인정보처리 업무를 수행하는 직원에게만 한정하여 부여하고,

필요할 때에만 책임자가 승인하여 관리하도록 해야 합니다.

● 계정 공유로 인한 피해 사례

“개인정보를 위탁할 때도

신경 쓸 것이 많구나!”

1) 각호의 업무 예시 : 고객만족도 조사 업무, 회원가입 및 운영 업무, 사은품 배송을 위한 이름, 주소, 연락처 처리 등

갑

○○시 ○○구 ○○동 ○○번지

성 명 : (인)

을

○○시 ○○구 ○○동 ○○번지

성 명 : (인)

2) 「개인정보 안전성 확보조치 기준 고시」(행정안전부 고시 제2011-43호) 에 따라 개인정보처리자 및 취급자는 1년에 1회 이상 개인정보보호에 관한 교육을 의무적으로 시행하여야 한다.

2120


6. 배송과 CS가 종료된 구매고객 정보를 보관하지 마세요5. P2P를 사용하지 마세요

P2P(Peer to peer) 서비스는 인터넷에 연결된 모든 개인 PC로부터 직접 정보를

제공받고 검색은 물론 내려받기까지 할 수 있는 서비스로 웹사이트에 한정되어 있던

정보 추출 경로를 개인, 회사가 운영하는 DB까지 확대할 수 있습니다. 개인정보가

자칫 P2P 공유 폴더에 저장되면 개인정보 노출이 발생할 수 있으니 개인정보를

다루는 임직원의 PC에는 반드시 P2P 서비스를 사용하지 마시기 바랍니다.

● P2P 공유폴더 설정 실수로 인한 피해사례

판매 완료 후 CS까지 모두 종료되었다면 고객의 정보는 지체없이 삭제하십시오.

목적이 달성되었음에도 불구하고 고객의 정보를 정당한 사유없이 보관하는 것은

법규위반 행위입니다.

● 어떤 것을 파기하면 되나요?

개인정보가 있는 파일, 문서, 영상, 사진 등이 모두 파기 대상입니다. PC나 시스템 상에

전자적 형태로 있는 파일의 삭제뿐만 아니라 업무를 위해 별도로 출력해 놓은 문서 등의

경우에도 반드시 파쇄기를 통해 파기하거나, 소각하는 등의 방법으로 파기하여야 합니다.

● 고객정보를 삭제했는데 또 CS가 들어오면 어떻게 하나요?

해당 거래 기록은 이베이코리아 시스템 내 안전하게 보관하고 있으므로 판매자께서

보유하신 개인정보는 삭제하고, 필요시 이베이코리아에 요청하여 확인하시기

바랍니다.

● 어떻게 파기하는 것이 안전한가요?

종이(서면)에 작성·출력된 개인정보 : 가입 신청서, 이벤트 참가 신청서 등 개인정보가

기재된 서면의 경우에는 분쇄 등 재생할 수 없는 방법으로 폐기해야 합니다.

전자적 방법으로 저장된 파일 : 휴지통에서도 보이지 않는 삭제를 위해서 Shift 키를

누르신 상태에서 Delete 키를 눌러 삭제하기 바랍니다.

3장. 꼭 지켜주세요!(개인정보 준수사항)



3. 반드시 백신을 사용하세요


5. 개인정보보호 교육 실시

6. 모든 문은 꼭꼭 닫아주세요.

24

25

26

27

28

29

2524

1234, ㅂㅈㄷㄱ, qwer와 같은 암호를 사용하고 있는 것은 아닌가요? 개인정보에 있어

가장 중요하고, 손쉬운 방법은 안전한 비밀번호를 사용하는 것입니다.

다양한 문자가 조합된 안전한 비밀번호를 사용하세요.

● 안전한 비밀번호 조합

영대문자 , 영소문자 , 특수문자 , 숫자 등 2 종류 이상의 조합으로 최소 10 자리 또는

3종류 이상의 이상의 조합으로 8자리 이상 구성하여야 합니다 .

2종류 이상 조합 : 10자리 이상 예시) ebaykoea02

3종류 이상 조합 : 8자리 이상 예시) ebayk@02

● 주기적인 비밀번호 변경

최소 6개월에 1회 갱신하여야 합니다.

● 비밀번호 쉽게 쉽게 만들기!

Step 1. 해당 사이트의 비밀번호 기준을 확인한다.

Step 2. 비밀번호 바꾸는 달을 적용해본다.

Step 3. 비슷한 특수문자로 대체하여 넣는다.

Step 4. 사이트의 약자를 추가해본다.

● ERS+ 비밀번호 변경

ESM+ 또는 다른 판매툴을 이용할 때에도 PC와 마찬가지 입니다. 개인정보를

직접 처리하고 다루는 중요한 곳인만큼 PC 못지 않은 철저한 비밀번호 관리가 필요합니다.

※ 비밀번호 설정관련 참고자료 : 방송통신위원회의

개인정보보호 포털 (http://www.i-privacy.kr) ⇒ [자료실]

⇒ [가이드라인] 중 7번 <개인정보의 기술적관리적

보호조치 기준 해설서>의 “접근통제” 항목 참조


구매고객의 개인정보가 기록되어 있는 파일은 반드시 암호를 설정하여

저장해주세요. 파일별 암호설정 방법은 아래 그림을 참고하세요.

● 엑셀, 워드 등 MS 오피스 2010 : 메뉴 ⇒ 준비 ⇒ 문서 암호화

엑셀, 워드, 파워포인트에서

[ 파일▶정보▶통합문서 보호▶암호 설정 ]

순서로 파일을 암호화한 후에 파일을

저장한 다음 사용합니다.

● 한글 2007 : 메뉴 ⇒ 파일 ⇒ 문서 암호화 (최소 6개월에 1회 갱신하여야 합니다.)

[보안(R)▶암호설정]후 저장하여 사용합니다.

● 노트 패드 : 파일 압축을 이용하여 암호 설정 압축하기 ⇒ 암호

파일압축을 이용하여 암호를 설정합니다.

● 폴더 암호설정 방법 : 암호걸기 프로그램(무료)을 다운받아 암호걸기와 비밀번호를 설정


※ 본 화면은 예시 화면으로 다른 폴더 암호 설정 프로그램을 다운로드하시어 이용하셔도 무방합니다.

3장. 꼭 지켜주세요! (개인정보 준수사항)

내가 쓰는 비번은 “ebaykorea”

1월이니까 01을 넣어볼까? “ebaykorea01”

A랑 비슷한 특수문자 @로 바꿔보자! “eb@ykore@01”

G마켓은 비번은 “gmkeb@ykore@01” 이렇게~!

옥션 비번 “Auceb@ykore@01”은 이렇게 사용해야겠다!

2726


악성 프로그램 설치로 인한 개인정보 유출방지를 위하여 개인정보가 저장된 PC에는

반드시 백신 소프트웨어를 설치해야 합니다. 이미 백신 소프트웨어를 사용 중이라면,

최신 버전 확인 후 주기적 업데이트를 실시합니다. 마지막으로 옵션 정보를 확인하여

업데이트 및 정기적 점검이 자동으로 진행될 수 있도록 합니다.

● 백신 다운로드 방법

한국인터넷진흥원의 보호나라(http://www.boho.or.kr)를 통해 무료 또는

유료로 다운 받을 수 있습니다.

[다운로드]를 눌러 업무 성격에 맞는 백신 소프트웨어 다운 받으세요.

※ 단, 백신은 여러 개를 이용할 경우 오류가 발생할 수 있으니 주의하세요.

3. 반드시 백신 소프트웨어를 사용하세요

“PC 암호 설정, 백신 사용! 완벽해!”라고 생각하고 있는 건 아닌가요?

개인정보는 사람이 이용하는 것! 인적 관리에 보다 많은 관심을 가져주세요.

● 권한의 최소화

개인정보의 열람 및 처리 범위를 업무상 필요한 한도 내에서 최소한으로 제한해야

합니다. 예를 들어 포장을 담당하는 직원에게 CS 업무 시 이용하는 개인정보 접속

권한이 있다면 바르지 못한 사례입니다. 업무별 특성에 맞도록 권한을 최소화하여

관리하세요.

● 개인정보를 다루는 사람은 누구? (개인정보 취급자 관리)

개인정보를 볼 수 있거나, 이용할 수 있다면 누구나 개인정보 취급자에 해당됩니다.

개인정보 취급자는 반드시 관리되어야 하며 이를 위하여 개인정보관리 취급대장을 만들

어 변동사항을 기재하고, 개인정보 취급자가 가지고 있는 권한을 관리해야 합니다.

● “보안서약서”는 반드시!

개인정보를 다루는 사람에게는 ① 개인정보에 대한 중요성을 안내하고 ② 그에 대한

책임을 안내하기 위하여, 개인정보를 다루는 그 순간부터 반드시 '보안서약서'를

작성하도록 합니다.


2928

6. 모든 문은 꼭꼭 닫아주세요. 5. 개인정보보호 교육 실시

정보통신망법 시행령 제 15조와 방통위 개인정보 기술적·관리적 보호조치 기준

제3조에 따라 모든 사업자는 정기적으로(연 2회 이상 의무) 개인정보 취급자에게

개인정보보호 교육을 실시하여야 하며, 자체 교육이 불가능한 경우에는 온라인 교육

수강 등으로 대체 할 수 있습니다. 교육 후에는 참석자 확인, 수료증 등의 증적자료를

보관하시기 바랍니다.

● 개인정보보호 무료 온라인 교육 사이트

● 증적 형태

잠깐! 사무실 문이 활짝 열려 있는건 아닌가요?

열려 있는 캐비넷은 단지 선반용도 인가요?

개인정보를 보관하고 있는 곳이라면 사무실 문도, 캐비닛도 꼭꼭 문을 닫고

시건장치를 달아주세요.

● 물리적 보안 방법

- 카드키, 지문인식, 도어락 등 건물·사무실에 외부인 출입 통제 장치를 설치하거나

없을 경우 방문자의 출입 기록을 남기세요.

- 전산실은 사무실 출입 통제와 별도로 지문인식 장치, 카드키 장치, 번호키 장치 등의

추가적인 통제장치를 마련하세요.

- 개인정보가 포함된 출력물 또는 FAX 문서는 잠금장치가 있는 캐비닛 등에 보관하세요.

개인정보가 있는 곳이라면

어디든 Lock!

안전행정부 개인정보보호 종합지원 포털(http://www.privacy.go.kr)

방송통신위원회 개인정보보호 포털(http://www.i-privacy.go.kr)

한국인터넷진흥원 정보보호기술 온라인 학습장(http://sis.or.kr)


이름 팀명 일자 서명

개인정보보호교육 참석확인서

Appendix

부록 1. 개인정보 누출 통지 신고

부록 2. 개인정보 출력 시 보호방안




32

33

35

37

40

3332

Appendix

부록 2. 개인정보 출력 시 보호방안부록 1. 개인정보 누출 통지 신고

방송통신위원회에 신고는 어떻게 하나요?

저장해 두었던 고객 개인정보가 누출되었어요! 어떻게 해야하죠?

판매자는 고객의 개인정보가 분실·도난·누출 등 침해 상황이 발생했을 때에는 지체

없이 이에 대응해야합니다. 우선 정보주체인 고객에게 침해와 관련된 사실을 모두

알린 뒤, 방송통신위원회에 신고해야 합니다.

● 고객에게 개인정보의 누출 사실을 어떻게 알려야 할까요?

우선 고객에게 어떠한 경로로 인해 정보가 누출되었는지 알려야 합니다.

또한, 누출이 발생한 시점과 현재 대응하고 있는 상황 및 조치에 대해 알려야 합니다.

이용자가 취할 수 있는 조치와 상담 등을 접수할 수 있는 부서 및 연락처에 대해서도

자세히 안내해야 합니다. 통지는 전자우편이나 종이우편 배송, 모사전송, 전화 등의

방법을 통해 이루어질 수 있습니다.

● 방송통신위원회에 신고는 어떻게 하나요?

방송통신위원회(http://www.kcc.go.kr) 또는 개인정보보호포털(www.i-privacy.kr)에

접속하여 개인정보누출신고서를 다운로드 받은 뒤 제출하면 됩니다. 정보통신서비스

제공자 등은 누출 등의 사실을 인지한 시점에서 합리적인 이유와 근거가 없는 한 즉시

신고해야 할 의무가 있습니다. 신고를 한 후에도 추가 확인 사항은 확인되자마자 바로

신고해야 합니다. 전화나 팩스, 이메일, 우편접수를 통해 신고했을 경우 반드시

전화로 접수여부에 대해 확인을 해야 합니다.

개인정보를 표시할 때에는 최소한의 정보로!

개인정보처리시스템에서 고객 정보를 출력할 때에는, 용도에 따라 특정 항목만 최소한

으로 제한하여 출력해야 합니다. 고객의 정보를 화면이나 인쇄물로 출력할 때에는

일부정보를 마스킹 처리가 되도록 보호조치를 취해주세요.

※ 개인정보 마스킹 처리 예시

성명 성명 중 이름의 첫 번째 글자 [예시 : 홍＊동]

주민(외국인)

등록번호

생년월일 + 성별 정보인 최초 7자리를 제외한

나머지 6자리 번호 이상 [예시 : 800112-1******]

운전면허번호 지역 (서울/경기 등)과 앞 4자리 번호를 제외한

나머지 6자리 번호 이상 [예시 : 경기 01-06****-**]

신용카드번호 카드유형 (VISA/MASTER 등)과 앞 6자리 번호를 제외한

나머지 10자리 번호 이상 [예시 : 5021-23**-****-****]

계좌번호 은행명(국민/우리 등)과 앞 3자리 번호를 제외한

최소 5자리 번호 이상 [예시 : 국민 714***-**-123123]

전화번호 또는

휴대폰 번호의 국번[예시 : 010-****-1234 / 02-***-7433]

주소 읍/면/동 이후의 번지 정보를 masking

IP Address C 클래스의 경우는 17~24bit 영역 [예시 : 192.168.***.100]

B 클래스의 경우는 9~16bit 영역 [예시 : 128.***.1.100]

혹은 Real IP를 숨기고 Vitual IP사용

35

Appendix


O X

본 체크리스트는 반드시 준수되어야 할 항목을 기재해 놓은 것으로 미 준수 시 관련 법령에

따라 과징금 또는 과태료 처벌을 받을 수 있으니 반드시 준수하시기 바랍니다.

순번

점검내용관련 법률 및 관련 페이지

검사항목

이행여부 참고

페이지O x

1

개인정보의

암호화

정통망법

제28조

고객의 개인정보를 송신하거나 보조

저장매체에 저장하는 경우 암호화하는가?p.22~23

2고객 정보가 담긴 엑셀파일에 암호를

설정하였는가?p.20

3개인정보의

이용 제한

동법

제24조

홈쇼핑 등에서 제공받은 고객정보를

배송 목적으로만 사용하는가?p.16

4개인정보의

제공동의 등

동법

제24조의 2

제휴사 또는 다른 판매자에게 고객정보

제공시 고객에게 충분한 설명 후 동의를

받았는가?

※ 제 3자에게의 고객정보 제공은 원칙적으로 하지

않아야 하며, 불가피한 경우에만 조건적으로 가능

p.37

5

개인정보의

취급위탁

동법

제25조

재위탁이 꼭 필요한 경우, 수탁자 및

위탁항목 등 모든 사항을 게시하거나

이용자에게 통지하였는가?

※ 수탁사로의 고객정보 제공은 원칙적으로 하지

않아야 하며, 불가피한 경우에만 조건적으로 가능

p.18

6

재위탁시 수탁자에 대한 관리감독 책임을

인지하고 있으며, 위탁계약서에 그 내용을

명시하였는가?

p.18

7

개인정보의

파기

동법

제29조

배송 목적이 달성되거나 별도의 보관기간이

정해지지 않은 경우, 고객정보를 안전한

방법으로 즉시 파기하였는가?

p.21

8

목적 달성 후 고객정보를 정당하게

보존해야 하는 경우, 해당 정보를 다른

고객정보와 분리저장하고 있는가?

p.21

9

접근 권한

최소화

동법

제28조

개인정보처리시스템에 대한 접근 권한을

필요한 최소인원에게만 부여하였는가?p.19

10

개인정보처리시스템에 접속 시 개별

계정을 부여하고 ID나 PW를 공유 또는

유출되지 않도록 하였는가?

p.19

11고객정보 관리자의 변경 및 퇴사 등

인사이동 시 지체없이 이를 반영하였는가?p.27

3736

Appendix


< 정보통신망법 >

개인정보 수집·이용 목적 외 이용 금지 (가이드 16page 참조)

법 규

제24조(개인정보의 이용 제한) 정보 통신 서비스 제공자는 제22조 및

제23조 제1항 단서에 따라 수집한 개인정보를 이용자로부터 동의

받은 목적이나 제22조 제2항 각 호에서 정한 목적과 다른 목적으로

이용하여서는 아니 된다.

처 벌▶ 최대 5년 이하 징역 또는 5천만원 이하 벌금 /

매출액 100분의 1금액 이하의 과징

개인정보 제 3자 제공 금지 (가이드 18page 참조)

법 규

제24조의 2 (개인정보의 제공 동의 등) ① 정보통신서비스 제공자는

이용자의 개인정보를 제 3자에게 제공하려면 제22조 제2항 제2호 및

제3호에 해당하는 경우 외에는 다음 각 호의 모든 사항을 이용자에게

알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이라도

변경된 경우에도 또한 같다.

1. 개인정보를 제공받는자

2. 개인정보를 제공받는 자의 개인정보 이용 목적

3. 제공하는 개인정보의 항목

4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 시간

② 제1항에 따라 정보통신서비스 제공자로부터 이용자의 개인정보를

제공받은 자는 그 이용자의 동의가 있거나 다른 법률에 특별한

규정이 있는 경우 외에는 개인정보를 제 3자에게 제공하거나

제공 받은 목적 외의 용도로 이용하여서는 아니된다.

③ 제25조 제1항에 따른 정보통신서비스 제공자등은 제1항에 따른

제공에 대한 동의와 제25제 1항에 따른 개인정보 취급 위탁에 대한

동의를 받을 때에는 제22조에 따른 개인정보의 수집·이용에 대한

동의와 구분하여 받아야 하고, 이에 동의하지 아니한다는 이유로

서비스 제공을 거부하여서는 아니 된다.

처 벌

▶ 최대 5년 이하 징역 또는 5천만원 이하 벌금 /

매출액 100분의 1금액 이하의 과징

▶ 미동의 사실 인지 후 제공받을 시, 5년 이하 징역 또는

5천만원 이하 벌금

순번

점검 내용관련 법률 및 관련 페이지

검사항목

이행여부 참고

페이지O x

12

비밀번호

관리

동법

제28조

고객정보가 저장된 PC나 개인정보

처리시스템에 대한 비밀번호 작성 규칙을

수립하고 이를 이행하고 있는가?

p.24

13

개인정보처리시스템에 접속하는

취급자의 비밀번호를 설정하고 주기적으로

변경하고 있는가?

p.24

14

고객정보 취급 PC가 영문 대·소문자,

숫자, 특수문자 중 2종류 이상을 조합하여

최소 10자리, 3종류 이상을 조합하여

8자리 이상의 비밀번호로 설정되어있는가?

p.24

15악성

프로그램

방지

고객정보가 저장된 PC에 악성 프로그램을

방지하는 백신프로그램이 설치되어 있는가? p.26

16최신 백신프로그램으로 업데이트하고

월 1회 이상 주기적으로 점검하는가?p.26

17

출력물

보호조치

개인정보처리시스템에서 고객정보 출력 시

용도를 특정하여 용도에 따라 출력항목을

최소로 제한하였는가?

-

18

고객정보 일부를 마스킹 처리하여 출력하고,

안전한 장소에 보관하는 등 필요한

보호조치를 갖추었는가?

p.29

19배송 목적 달성 후 출력된 개인정보파일은

즉시 파쇄 또는 소각하였는가?p.21

20개인정보

교육

홈쇼핑 등에서 제공받은 고객정보를

처리하는 자에게 연 2회 이상의

개인정보보호 교육을 실행하고 있는가?

p.28

● 출처 : 방송통신위원회, <2012 안전한 쇼핑 및 물품 배송을 위한 개인정보보호 수칙>

3938

Appendix


개인정보의 기술적·관리적 보호조치 (가이드 24~27page 참조)

법 규

제28조(개인정보의 보호조치) ① 정보통신서비스제공자등이

개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조

또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라

다음 각 호의 기술적·관리적 조치를 하여야 한다.

1. 개인정보를 안전하게 취급하기 위한 내부관리 계획의 수립·시행

2. 개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단 시스템 등

통제장치의 설치·운영

3. 접속기록의 위조·변조 방지를 위한 조치

4. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술 등을

이용한 보안조치

5. 백신 소프트웨어의 설치·운영 등 컴퓨터바이러스에 의한 침해 방지조치

6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 보호조치

② 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를

최소한으로 제한하여야 한다.

처 벌

▶ 3천만원 이하 과태료

▶ 미조치로 인해 개인정보 침해될 시, 2년 이하 징역 또는

1천만원 이하 벌금/1억원 이하 과징금

법 규

제25조(개인정보의 취급위탁) ① 정보통신서비스 제공자와 그로부터

제24조의 제1항에 따라 이용자의 개인정보를 제공받은 자 (이하

“정보통신서비스 제공자 등”이라 한다)는 제 3자에게 이용자의

개인정보를 수집·보관·처리·이용·제공·관리·파기 등 (이하

“취급”이라 한다)을 할 수 있도록 업무를 위탁(이하 “개인정보

취급위탁”이라 한다)하는 경우에는 다음 각 호의 사항 모두를

이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의

사항이 변경되는 경우에도 또한 같다.

1. 개인정보 취급위탁을 받는 자(이하 “수탁자”라 한다)

2. 개인정보 취급위탁을 하는 업무의 내용 시간

④ 정보통신서비스 제공자등은 수탁자가 이 장의 규정을 위반하지

아니하도록 관리·감독하여야 한다.

처 벌

▶ 최대 5년 이하 징역 또는 5천만원 이하 벌금/

매출액 100분의 1금액 이하의 과징금

▶ 위탁사항 미고지시, 2천만원 이하 과태료

개인정보의 파기 단계 (가이드 21page 참조)

법 규

제29조(개인정보의 파기) ① 정보통신서비스 제공자등은 다음 각

호의 어느 하나에 해당하는 경우에는 해당 개인정보를 지체 없이

파기하여야 한다. 다만, 다른 법률에 따라 개인정보를 보존하여야

하는 경우에는 그러하지 아니하다.

1. 제22조 제1항, 제23조 제1항 단서 또는 제24조의 2 제1항·제2항에 따라 동의를

받은 개인정보의 수집·이용 목적이나 제22조 제2항 각 호에서 정한 해당

목적을 달성한 경우

2. 제22조 제1항, 제23조 제1항 단서 또는 제24조의 제1항·제2항에 따라

동의를 받은 개인정보의 보유 및 이용 기간이 끝난 경우

3. 제22조 제2항에 따라 이용자의 동의를 받지 아니하고 수집·이용한 경우에는

제27조의 제2항 제3호에 따른 개인정보의 보유 및 이용 기간이 끝난 경우

4. 사업을 폐업하는 경우

처 벌 ▶ 3천만원 이하 과태료

개인정보 누출 통지신고 (부록 1. 참조)

법 규

제27조(개인정보의 누출등의 통지신고) ① 정보통신서비스 제공자

등은 개인정보의 분실·도난·누출(이하“누출등”이라 한다) 사실을

안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게

알리고 방송통신위원회에 신고하여야 한다. 다만, 이용자의

연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로

정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.

1. 누출 등이 된 개인정보 항목

2. 누출 등이 발생한 시점

3. 이용자가 취할 수 있는 조치

4. 정보 통신 서비스 제공자 등의 대응 조치

5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처

처 벌 ▶ 3천만원 이하 과태료

4140

Appendix


개인정보취급자 정보주체의 개인정보취급자는 사업자등 개인정보 처리자의

지휘·감독을 받아 개인정보처리 업무를 담당하는 자를

의미합니다. 업무상 개인정보를 처리하는 모든 행위가 개인정보

취급자의 역할에 포함이 됩니다.

개인정보 관리 책임자 (CPO)

정보주체가 제공한 개인정보를 보호하고 관리하는 책임을 가진

자로서, 개인정보의 수집ㆍ이용ㆍ제공 및 관리에 관한 업무를

총괄하는 자입니다.

개인정보 처리 시스템

개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스

시스템을 말합니다.

개인정보

제 3자 제공 개인정보처리자 외의 제 3자의 이익이나 사업목적 달성을 위하여

제 3자에게 개인정보를 제공하는 경우를 말합니다.

개인정보

위탁/위탁사 개인정보처리자의 사업목적을 달성하기 위해 제 3자에게 개인정보

업무를 위임한 것으로 업무를 맡긴자가 위탁사가 됩니다.

개인정보

수탁/수탁사 위탁하는 업무의 내용과 개인정보 처리업무를 위탁 받아 처리하는

것으로, 업무를 받은 자가 수탁사가 됩니다.

이용자 (정보주체)

“정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서

그 정보의 주체가 되는 사람을 말합니다.

가이드의 내용 중 오류를 발견하였거나 관련 부분에 의견이 있을 시에는

[email protected] 또는 [email protected]으로 해당 내용을

보내주시기 바랍니다.

발행일 : 2014년 2월 초판

서울시 강남구 역삼동 737번지 강남파이낸스센터

가이드 안내 -...

Documents

Transcript of 가이드 안내 -...