정보보안 자격증/CPPG

CPPG 22. 노출된 개인정보

rinaisme 2024. 7. 21. 04:09

1. 공중에 노출된 개인정보에 대한 삭제, 차단 등 필요한 조치 의무

  • 관리자 부주의
    • 마스킹 및 삭제
    • 관리자 페이지에 대한 안전한 접속 수단 혹은 인증수단 적용
    • 노출된 개인정보에 대한 접근 제어
  • 이용자 부주의
    • 마스킹 및 삭제
    • 개인정보를 입력하지 않도록 안내
    • 게시판 운영을 비공개로 전환
  • 설계 및 개발 오류
    • 마스킹 및 삭제 조치
    • 홈페이지 설계 변경, 디렉터리 설정 변경 등 조치
  • 검색엔진 등을 통한 노출
    • 마스킹 및 삭제 조치
    • 당해 검색엔진에 캐시 페이지 삭제 등 요청
    • 노출된 개인정보에 로봇배제 규칙을 적용하여 외부 검색엔진의 접근 자체를 차단
    • 시스템의 계정, 로그 등 점검 후 분석 결과에 따른 경로 차단 조치

2. 개인정보 처리 위험 및 대책

  • 개인정보 미파기로 인한 관리 소홀 (개인정보 유출 위험)
    • 개인정보 파기, 파기기록 보관 및 검토
  • 개인정보 분리보관 미흡 (개인정보 오남용 위험)
    • 법적 보존하여야 할 개인정보 분리 보관 및 접근권한 제한
  • 목적 상실 개인정보 이용 (홍보 마케팅 권유 또는 광고 전송 등)
    • 홍보 마케팅, 광고 전송 시 대상자 및 수신 동의 여부 확인
  • 휴면 이용자 개인정보 파기 프로세스 미흡
    • 휴면 이용자 개인정보 파기 프로세스 수립
  • 보유기간 초과로 인한 법 위반 소지 (파기 관련 법적 준거성 미준수)
    • 개인정보 파기, 주기적 검토
  • 법령상 보존 의무 개인정보 처리 기록 남기지 않음
    • 법령에 의한 기록 보존 의무 대상 정보 조사 및 보관

3. 개인정보 제공

  • 제 3자의 의미
    • 정보주체 (개인정보의 소유자)
      • 제삼자 해당 여부: 미해당
      • 비고: 본인의 개인정보 자기 결정권리 행사
      • 사례: 개인정보 수집을 허용
    • 개인정보 처리자 (개인정보를 처리하는 자)
      • 제삼자 해당 여부: 미해당
      • 비고: 수집 목적이 다를 시 목적 외 이용
      • 사례: 공공기관, 일반사업자, 개인, 단체 등
    • 영업 양수자 (영업을 양도받은 자)
      • 제삼자 해당 여부: 해당
      • 비고: 수집 목적이 같고 처리 주체만 다름
      • 사례: 개인정보가 포함된 사업 인수, 합병, 분할 등
    • 수탁자 (업무를 위탁받은 자)
      • 제삼자 해당 여부: 해당
      • 비고: 위탁자의 이익을 위해 개인정보 처리
      • 사례: 배송업체, 콜센터 등
    • 제삼자 제공받은 자 (수집 목적과 달리 개인정보를 제공받은 자)
      • 제삼자 해당 여부: 해당
      • 비고: 위탁, 제삼자 제공 모두 해당할 수 있음
      • 사례: 해외 지사, 글로벌 해외 소재 회사
  • 제공의 의미
    • 저장매체를 통한 전달 (물리적, 사물)
      • 디스크, 테이프, 외장하드, USB, CD, 출력물 전달
    • 네트워크를 통한 전송 (논리적, 네트워크)
      • 파일 업로드, 파일 다운로드, FTP 등을 통한 파일 전송
    • DB 제자 접근권한 부여 (논리적, 데이터베이스)
      • 개인정보 DB 제3자 열람, 복사 등 권한 부여
    • 개인정보처리시스템 접근권한 부여 (논리적, 응용프로그램)
      • 종류 다양
  • 제3자 제공, 처리위탁, 영업양도 시 개인정보 이전의 차이점
    • 제삼자 제공
      • 제공받는 자(제삼자)의 목적, 이익을 위해 개인정보 이전
      • 개인정보 이전 후에는 제공받는 자 (제삼자)의 관리 범위에 속함
      • 정보주체 고지, 동의 또는 법률의 규정 등
      • 형사벌금 (5년 이하 징역 또는 5천 만원 이하 벌금)
      • 기업 간 이벤트 또는 업무 제휴 등을 통한 개인정보 제공
    • 처리 위탁
      • 제공하는 자의 목적, 이익을 위해 개인정보 이전
      • 개인정보 이전 후에도 원칙적으로 제공하는 자의 관리 범위에 속함
      • 처리위탁사실 공개
      • 과태료 (2천만원 이하)
      • 콜센터, A/S센터 등의 외부 위탁
    • 양도 개인정보 이전
      • 개인정보 처리목적은 유지되고 단지 개인정보의 보유, 관리 주체만 변경
      • 영업양도 합병 후에는 양수자의 관리범위에 속함
      • 정보주체에 통지
      • 과태료 (1천만원 이하)
      • 기업 간 양도, 합병

'정보보안 자격증 > CPPG' 카테고리의 다른 글

CPPG 24. 위탁 증가와 위험  (0) 2024.07.21
CPPG 23. 개인정보 국외 제공  (0) 2024.07.21
CPPG21. 개인정보 저장, 관리  (0) 2024.07.21
CPPG 예상문제 6  (0) 2024.07.18
CPPG 20. 개인정보 수집 및 이용 시 주의사항  (0) 2024.07.18

'정보보안 자격증/CPPG'의 다른글

  • 현재글CPPG 22. 노출된 개인정보

관련글

티스토리툴바