정보보안 자격증/CPPG

CPPG1. 개인정보의 이해 - 개인정보의 개요

rinaisme 2024. 7. 7. 20:17

1, 개인정보

  • 개인정보란 개인의 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단, 평가 등을 나타내는 일체의 모든 정보를 말함
  • 정보사회를 맞이해 사회 각 분야에서 인터넷과 정보통신기술이 일상화되면서, 개인정보는 과거의 단순한 신분정보에서 오늘날에는 전자상거래, 고객관리, 금융거래 등 사회의 구성, 유지, 발전을 위한 필수적인 요소로서 사용
  • 개인 정보의 종류
    • 1. 신분 관계: 성명, 주민등록번호, 주소, 본적, 가족관계, 본관 등
    • 2. 내면의 비밀: 사상, 신조, 종교, 가치관, 정치적 성향 등
    • 3. 심신의 상태: 건강상태, 신장, 체중 등 신체적 특징 병력, 장애 정도 등
    • 4. 사회 경력: 학력, 직업, 자격, 전과 여부 등
    • 5. 경제관계: 소득규모, 재산보유상황, 거래내역, 신용정보, 채권사무관계 등
    • 6. 새로운 유형: 생체인식정보(지문, 홍채, DNA 등), 위치정보 등
  • 개인정보 정의 분석
    • 과거에는 개인정보보호법과 정보통신망법에서 개인정보의 정의를 규정하였다. 그러나 2020년 2월에 정보통신망법에서의 개인정보의 정의가 삭제되어 이제는 개인정보보호법에서만 유일하게 정의하고 있다.
    • 개인정보보호법 제2조
      • 1. "개인정보"란 살아 있는 개인에 관한 정보로서 다음의 각 목의 어느 하나에 해당하는 정보를 말한다.
        • 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
        • 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보, 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는데 소요되는 시간, 비용, 기술 등을 합리적으로 고려해야 한다.
        • 다. 가목 또는 나목을 제1호의 2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 "가명정보"라고 한다._
      • 구분
        • 살아있는 개인에 관한 정보
          • 자연인에 관한 정보이므로 사망했거나 실종선고 등 관계 법령에 의해 사망한 것으로 간주되는 자에 관한 정보는 개인정보로 볼 수 없다. 사망자의 정보라 하더라도 유족과의 관계를 알 수 있는 정보는 유족의 개인정보에 해당한다.
        • 개인에 관한 정보
          • 개인정보의 주체는 자연인이어야 하며, 법인 또는 단체에 관한 정보는 개인정보에 해당하지 않는다. 따라서 법인 또는 단체의 이름, 소재지 주소, 대표 연락처(이메일 주소 또는 전화번호), 업무별 연락처, 영업실적 등은 개인정보에 해당하지 않는다. 또한, 개인사업자의 상호명, 사업장 주소, 전화번호, 사업자등록번호, 매출액, 납세액 등은 사업체의 운영과 관련한 정보로서 원칙적으로 개인정보에 해당하지 않는다.
        • 정보의 내용 형태 등은 제한 없음
          • 정보의 내용, 형태 등은 특별한 제한이 없어서 개인을 알아볼 수 있는 모든 정보가 개인정보가 될 수 있다. 즉, 디지털 형태나 수기 형태, 자동처리나 수동처리 등 그 형태 또는 처리방식과 관계없이 모두 개인정보에 해당할 수 있다.
          • 정보주체와 관련되어 있으면 키, 나이, 몸무게 등 '객관적 사실'에 관한 정보나 그 사람에 대한 제삼자의 의견 등 '주관적 평가'정보 모두 개인정보가 될 수 있다. 또한, 그 정보가 반드시 '사실'이거나 '증명된 것'이 아닌 부정확한 정보 또는 허위의 정보라도 특정한 개인에 관한 정보이면 개인정보가 될 수 있다.
        • 개인을 알아볼 수 있는 정보
          • '알아볼 수 있는'의 의미는 해당 정보를 '처리하는 자'의 입장에서 합리적으로 활용될 가능성이 있는 수단을 고려하여 개인을 알아볼 수 있다면 개인정보에 해당한다. 현재 처리하는 자 외에도 제공 등에 따라 향후 처리가 예정된 자도 포함된다. 여기서 '처리'란 개인정보보호법 제2조 제2호에 따른 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 복구, 이용, 제공, 공개, 파기 그 밖에 이와 유사한 행위를 말한다.
        • 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보
          • '쉽게 결합하여'의 의미는 결합 대상이 될 정보의 '입수 가능성'이 있어야 하고 '결합 가능성'이 높아야 함을 의미한다.
          • '입수 가능성'은 두 종 이상의 정보를 결합하기 위해서는 결합에 필요한 정보에 합법적으로 접근, 입수할 수 있어야 함을 의미하며, 이는 해킹 등 불법적인 방법으로 취득한 정보까지 포함한다고 볼 수는 없다.
          • '결합 가능성'은 현재의 기술 수준을 고려하여 비용이나 노력이 비합리적으로 수반되지 않아야 함을 의미하며 현재의 기술 수준에 비추어 결합이 사실상 불가능하거나 결합하는데 비합리적인 수준의 비용이나 노력이 수반된다면 이는 결합이 용이하다고 볼 수 없다.
        • 가명정보
          • 가명정보란 법 제2조 제1호가 목 또는 나목에 따른 개인정보를 제1호의 2에 따른 가명처리를 하여 원래의 상태를 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 '가명정보')로서 이러한 가명정보도 개인정보에 해당한다.
      • 개인정보 해당여부
        • 1. 사망자의 정보로 유족과의 관계를 알 수 있는 정보 (0) 유족의 개인정보에 해당
        • 2. 법인 또는 단체의 이름, 소재지 주소, 대표연락처(이메일 주소 또는 전화번호), 업무별 연락처, 영업실적 (X) -> 법인 또는 단체에 관한 정보는 개인정보
        • 3. 대표자를 포함한 임원진과 업무 담당자의 이름, 주민등록번호, 자택 주소 등 개인 연락처, 사진 (애매) -> 개인정보로 취급될 수 있음
        • 4. 특정 건물이나 아파트의 소유자가 자연인인 경우, 그 건물이나 아파트의 주소 (0) -> 특정 소유자를 알아보는데 이용되는 경우
        • 5. SNS에 올린 단체 사진 (0) -> 직, 간접적으로 2인 이상에 관한 정보
        • 6. 의사가 특정 아동의 심리치료를 위해 진료 기록을 작성하면서 아동의 부모 행태를 기록한 정보 (0) -> 아동과 부모 모두의 개인 정보
        • 7. 특정 개인에 관한 정보임을 알아볼 수 없도록 통계적으로 변환된 '00 기업 평균 연봉' '00 대학 졸업생 취업률' (X) -> 통계처리로 개인 식별 불가
        • 8. 결합 가능 정보가 일체 없이 오로지 휴대전화 번호 뒤 4자리 (X) -> 1/10,000로 개인 식별 가능성이 낮음
        • 9. 공적 생활에서 형성되었거나 이미 공개된 개인 정보 (0) ->개인 내밀한 영역에 속하는 정보에 국한되지 않음
        • 10. 생년월일 정보 (X) -> 1/365로 개인 식별 가능성 낮음
        • 11. 해킹, 절취 등 불법적인 방법으로 취득한 정보를 결합한 개인정보 (X) -> 입수 가능성 낮음 (불법적 입수)
        • 12. 초고가의 컴퓨터를 이용하여 결합한 개인정보 (X) -> 결합 가능성 낮음 (합리적 비용 초과)
        • 13. 거래내역 등 개인의 상거래 정보 (0) -> 거래 상대방 신용판단 정보에 해당하지 않는 정보
      • 개인정보와 구별해야 하는 개념
        • 개인정보와 구별해야 하는 개념으로 가명정보, 익명정보, 추가정보, 결합정보, 개인영상정보, 개인신용정보, 개인위치정보가 있음
        • 개인정보
          • "개인정보"란 살아있는 개인에 대한 정보로서 다음의 어느 하나에 해당하는 정보를 말함
            • 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
            • 나. 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 ( 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는데 소요되는 시간, 비용, 기술 등을 합리적으로 고려)
            • 다. 가목 또는 나목을 가명처리함으로 싸 원래의 상태를 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보
          • 가명정보
            • "가명정보"란 개인정보의 일부를 삭제하거나 일부 또는 전체를 대체하는 등의 방법으로 추가 정보 없이나 특정 개인을 알아볼 수 없도록 처리(가명처리)함으로써 원래의 상태를 복원하기 위한 추가 정보의 사용, 결합 없이는 특정 개인을 알아볼 수 없는 정보
          • 익명정보
            • "익명정보"란 더 이상 특정 개인인 정보주체를 알아볼 수 없도록 개인정보를 처리함으로써 다른 정보를 사용하더라도 특정 개인을 알아볼 수 없는 정보를 말함(이 경우 시간, 비용, 기술 등을 합리적으로 고려해야 함)
          • 추가정보
            • "추가정보"란 개인정보의 전부 또는 일부를 대체하는데 이용된 수단이나 방식(알고리즘 등), 가명정보와의 비교, 대조를 통해 삭제 또는 대체된 개인정보를 복원할 수 있는 정보 (매핑 테이블 정보, 가명처리에 사용된 개인정보 등) 등을 말함
          • 결합정보
            • "결합정보"란 합법적으로 접근하여 그 지배력을 확보할 수 있는 두 개 이상의 정보를 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보를 말함(이 경우 현재의 기술 수준이나 충분히 예견될 수 있는 기술 발전 등을 고려하여 시간이나 비용, 노력이 합리적으로 과다하게 수반되지 않아야 함)
          • 개인영상 정보
            • "개인영상정보"란 영상정보처리기기에 의하여 촬영, 처리되는 영상정보 중 개인의 초상, 행동 등과 관련된 영상으로서 해당 개인을 식별할 수 있는 정보를 말함
          • 개인신용정보
            • "개인신용정보"란 기업 및 법인에 관한 정보를 제외한 살아있는 개인에 관한 신용정보로서 다음 각 목이 어느 하나에 해당하는 정보를 말한다.
              • 가. 해당 정보의 성명, 주민등록번호 및 영상 등을 통하여 특정 개인을 알아볼 수 있는 정보
              • 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보
            • 개인위치정보
              • "개인위치정보"라 함은 특정 개인의 위치정보(위치정보만으로는 특정 개인의 위치를 알 수 없는 경우에도 다른 정보와 용이하게 결합하여 특정 개인의 위치를 알 수 있는 것을 포함한다.

'정보보안 자격증 > CPPG' 카테고리의 다른 글

CPPG5. 개인정보의 이해 - EU GDPR  (0) 2024.07.10
CPPG 예상문제 1  (0) 2024.07.07
CPPG4. 개인정보의 이해 - 해외 개인정보 보호 제도  (0) 2024.07.07
CPPG3. 개인정보의 이해 - 개인정보 가치산정  (0) 2024.07.07
CPPG2. 개인정보의 이해 - 프라이버시와 개인정보  (0) 2024.07.07

'정보보안 자격증/CPPG'의 다른글

  • 현재글CPPG1. 개인정보의 이해 - 개인정보의 개요

관련글

티스토리툴바