보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
개인정보보호법 시행! 최종 점검 가이드
2011년 9월 30일부터 개인정보보호법이 시행되었습니다.이 전까지는 공공기관이나 신용정보 제공자 처럼 각 활동 분야에 개인정보의 취급을 규제하는 개별 법이 존재하는 경우에 한해서만 개인정보보호에 관한 법규제가 적용되어 왔습니다.그러나 이제부터 개인정보와 관련된 여러 개별 법들이 통합된 ‘개인정보보호법’이 시행됨에 따라 개인정보를 취급하는 거의 모든 영리-비영리단체들이 개인정보보호법을 엄격히 준수해야 합니다.새로운 개인정보보호법은 종이문서의 개인정보, 영상정보처리기기, 텔레마케팅, 정보유출의 통지의무, 분쟁과 소송에 관한 내용까지 많은 내용을 포괄하고 있습니다.
그 중, 개인정보보호담당자들이 가장 많이 필요로 하는 내용인 웹사이트 운영과 관계된 개인정보보호 의무조치들을 알약-알툴즈 통합 사이트를 예로 들어 하나씩 점검해 보겠습니다.우리회사의 고객 개인정보가 안전하게 보호되고 있는지 다시 한번 점검해 보시기 바랍니다.
개인정보를 취급하는 모든 기업의 필수 체크리스트
1.'개인정보 취급방침' 수립하고 이용자에게 공개하기
[개인정보 취급방침]을 수립하여 웹사이트 첫 화면에 게시해야 하며, 개인정보 취급방침에는 아래의 내용이 빠짐 없이 포함되어야 합니다.
아래는 알약-알툴즈 홈페이지에 게시된 개인정보 취급방침입니다.제목은 조금씩 다르지만 위에 표시된 항목들이 빠짐없이 안내되어 있음을 확인할 수 있습니다.
<알툴즈 개인정보 취급방침>
2. 이용약관과는 별도로 분리된 ‘개인정보 수집 및 이용 동의’ 구하기
웹회원 가입 등으로 사유로 이용자의 개인정보를 수집하고자 할 경우, 개인정보 입력하기 전 단계에서 개인정보 수집/이용 목적, 수집하는 개인정보의 항목, 개인정보의 보유/이용 기간을 아래 그림 처럼 별도로 고지하고 동의 여부를 이용자가 선택할 수 있도록 버튼을 제공하여 동의를 얻어야 합니다.
<알툴즈 개인정보 수집 및 이용안내>
해당 서비스와 관계없는 과다한 개인정보를 요구하고 있지는 않은지도 점검해야 합니다.
3. 개인정보를 제3자에게 제공할 경우 이용자 동의 구하기
수집한 개인정보를 제3자에게 제공하거나 개인정보 취급 업무를 위탁해서 처리하는 경우에는 아래 처럼 내용을 고지하고 사전에 이용자의 동의를 얻어야 합니다.
<알툴즈 개인정보 수집 및 이용안내>
위와 같이 버튼을 통해 안내 페이지가 사용자의 의사를 정확히 반영하는지 확인!
4. 회원탈퇴 메뉴 제공하고 개인정보 삭제하기
언제든지 이용자의 의사에 따라 개인정보 수집 이용에 대한 이용자 동의를 철회하거나 회원탈퇴가 가능하도록 회원탈퇴 메뉴를 제공해야 합니다.또 탈퇴 신청된 이용자의 개인정보를 지체 없이 삭제하고 삭제하였음을 이용자에게 알려야 합니다.
<알툴즈 개인정보 수집 및 이용안내>
5. 개인정보 안전하게 전송하기
회원가입, 로그인 등 이용자와 서버 사이에서 개인정보를 전송할 때에는 해커가 중간에 데이터를 가로채도 암호화 되어있어 개인정보가 노출되지 않도록, 개인정보 데이터를 암호화해 안전하게 전송해야 합니다.
<알툴즈 홈페이지 데이터 암호화 전송>
데이터 전송시 암호화를 적용하는 서버의 구현방법은 아래 KISA ‘보안서버’ 페이지를 통해 자세히 확인할 수 있습니다.
6. 개인정보 안전하게 보관하기
이용자의 개인정보를 문서, 파일, 데이터베이스로 보관할 경우에는 개인정보가 분실되지 않도록 관리 계획을 세우고 시스템에 대한 접속기록 보관하는 등, 안전성 확보를 위한 기술적, 관리적, 물리적인 충분한 조치를 해야 합니다.예를 들어, 개인정보를 보관하는 컴퓨터의 접근권한을 엄격히 제한하거나, 주민등록번호 또는 비밀번호와 같은 민감한 개인정보들은 암호화 마친 뒤 보관하는 등의 조치들이 이루어져야 합니다.
‘개인정보보호’ 이제 시작입니다 ! 알약도 고객 여러분의 개인정보 보호를 위해 최선을 다하겠습니다.
※ 이 칼럼은 개인정보보호법 및 KISA 웹사이트의 개인정보 보호조치 안내를 참고하여 작성되었습니다.규제 준수에 관하여 가이드된 내용에 대한 법적 책임을 지지 않습니다.