개인정보보호 학습자료 정리
본 포스트는 상시 업데이트할 예정
- 누락되거나 오래된 자료 발견 시 계속 업데이트
정리하는데 꽤 애먹었다;; 대한민국 안에서는 이 포스트 이상으로 전체 자료 개요 정리한 글은 없을것같다…;; (2024. 12. 17.)
정리
최신 개정 사항 안내서
- 개인정보 보호법 및 시행령 개정사항 안내 (2023-12)
- 2023년 09월 전면 개정된 개인정보 보호법 내용 설명 자료
- 개인정보 보호법 및 시행령 2차 개정사항 안내 (2024-03)
- 개정 사항 현장 설명 PPT 자료
법, 시행령, 고시
“개인정보의 기술적ㆍ관리적 보호조치 기준”은 2023-09월 폐지, “개인정보의 안전성 확보조치 기준”에 통합되었고, 통합된 고시 기준 해설서가 2024-10월 발간
세부 기준 명시 근거
- 개인정보 보호책임자 경력 인정에 관한 고시, 2024-04 제정
- 개인정보 보호법 위반에 대한 과징금 부과기준, 2023-09 제정
- 법률과 시행령이 개정될 때 “형사벌 제재”에서 “경제벌 제재”로 전환되면서 과징금 부과기준 고시 제정
주민등록번호 유출 등에 대한 과징금 부과기준은 2023-09월에 폐지
- 개인정보 보호위원회의 조사 및 처분에 관한 규정
- 조사국이 피조사기관에 자료를 “공문으로 요청”하는 절차가 명문화됨
- 제3장 등 적지 않은 부분이 수정되었음
훈령
국외 이전 (국외로의, 한국으로의)
평가, PIA, 인증
- 개인정보 보호수준 평가에 관한 고시, 2024-03 제정
- 공공기관만 해당되니 민간 기업 관계자는 보지 않아도 됨
- 개인정보 처리방침 평가에 관한 고시, 2024-02 제정
- 최근에 제정, 시행한 제도고 민간 기업도 평가대상에 포함됨
- 개인정보 영향평가에 관한 고시
- 아직까지는 개인정보 영향평가(PIA)는 공공기관만 의무사항이니 당분간은 민간 기업 관계자는 반드시는 확인해야할 내용은 아니지만,
- 몇몇 영향평가 기준은 이행하는 것이 권장되는 내용이 많으니 참고하면 도움은 될것임
- 아직까지는 개인정보 영향평가(PIA)는 공공기관만 의무사항이니 당분간은 민간 기업 관계자는 반드시는 확인해야할 내용은 아니지만,
- 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
- ISMS(-P)에 관한 기준 고시
가명정보
- 가명정보의 결합 및 반출 등에 관한 고시
- “공공기관의 가명정보 결합 및 반출 등에 관한 고시”는 폐지되었음
AI(자동화된 결정)
- 자동화된 결정에 대한 개인정보처리자의 조치 기준, 2024-09 제정
사전적정성 검토제
- 개인정보보호위원회 사전적정성 검토제 운영규정, 2024-04 제정
자율규제단체 지정
마이데이터(전송요구권)
- 개인정보 전송 방법 및 개인정보관리 전문기관 지정 등에 관한 고시 / 제정예정
- 관련해서 개인정보 보호법 시행령도 개정 진행 중
- 보건의료 분야 정보전송자 및 전송 요구 정보에 관한 고시 / 제정예정
위원회 운영
- 개인정보 보호위원회 운영규칙
- 위원회 심의, 의결 등 절차를 규정하고 있는 규칙
- 각 기업의 개인정보 보호책임자나 보호담당자가 깊게 볼 필요는 없음
기타
해설자료
제도 설명
- 개인정보 보호 법령 및 지침·고시 해설서 (2020-12)
- 법률, 시행령, 고시를 제대로 이해하기 위해서 필수로 해설서를 읽어야함
- 2023년 9월 법률과 시행령이 전면 개정되며 그에 맞게 개정된 해설서도 나오기를 기다리는 상황…
해석례, 판례, 결정안
- 개인정보 보호법 해석 사례집 1.0 (2024-06)
- 2023년 개인정보 법령해석 사례 30선 (2023-12)
- 사례 중심으로 이해하기 아주 좋은 자료
- 2022년 개인정보 법령해석 사례 30선 (2022-12)
- 사례 중심으로 이해하기 아주 좋은 자료 2
- 개인정보 보호법 표준 해석례(2023) (2023-07)
- 사례 중심으로 이해하기 아주 좋은 자료 2
- [개인정보 보호법 표준 해석례(2022) (2022-10)]
- 사례 중심으로 이해하기 아주 좋은 자료 3
- 2023년 법령해석 심의·의결안건 결정문 모음집
- 2022년 법령해석 심의·의결안건 결정문 모음집
- 2023년 개인정보 분쟁조정 사례집
- 2022년 개인정보 분쟁조정 사례집
- 2021년 개인정보 분쟁조정 사례집
- 2020년 개인정보 분쟁조정 사례집
- 사례 중심 개인정보 보호법령 해석 실무 교재 (2021-11)
- 제목 그대로 사례 중심으로 이해하기 아주 좋은 자료 3
- 다만 법률 및 시행령 전면개정 전에 나온 것이므로 영상정보처리기기 등이 현행과 다르다는 것 유의
- 제목 그대로 사례 중심으로 이해하기 아주 좋은 자료 3
- 개인정보보호 판례집 (2022-03)
- 전반적으로 참고 가능하지만, 개인정보 갈등 특성상 케이스 바이 케이스 성격이 강해서 전후사정 잘 확인하는게 좋겠음
안전성 조치
- 개인정보의 안전성 확보조치 기준 안내서 (2024-10)
개인정보의 기술적ㆍ관리적 보호조치 기준
법 제29조, 시행령 제30조를 세부적으로 명문화한 고시가 “개인정보의 안전성 확보조치 기준”. 과거에는 “개인정보의 기술적ㆍ관리적 보호조치 기준” 고시가 별도로 있었으나, 이는 2023-09월 폐지되고, “개인정보의 안전성 확보조치 기준”에 통합됨, 통합된 고시 기준 해설서가 2024-10월 발간되었음. 즉, 2024-10월 전까지는 과거 기준의 두 고시 해설서를 참고해야했으나, 10월부터는 통합된 해설서만 확인하면 된다.
- 생체정보 보호 가이드라인 (2021-09)
- 개인정보의 암호화 조치 안내서 (2020-12)
- 오래된 안내서긴한데, 안전한 암호화 알고리즘 종류 확인 가능
- 개인정보 위험도 분석 기준 및 해설서 (2020-12)
- 개인정보의 안전성 확보조치 기준 제7조(암호화) 중 예외적인 경우에 대한 설명서
- 위험도 분석을 하면 예외적으로 고유식별정보를 암호화하지 않을 수 있는데… 이거 사용하는 경우는 굉장히 드물고, 정석대로 암호화 하는 것이 권장됨
분야별 가이드라인
- 개인정보보호 가이드라인(공공기관 편) (2023-12)
- 감사(감사원), 수사(경찰), 공직선거, 행정조사 등 업무 수행 시 준수해야할 개인정보 최소 수집 원칙 위주의 가이드라인
- 개인정보 보호 가이드라인(온라인 경품행사편) (2023-05)
- 당첨자 공지할때 마스킹 사례 등이 설명되어있음
- 응모단계, 당첨자발표단계, 발표후파기 단계 별로 설명
- 개인정보 보호 가이드라인(인사·노무편) (2023-01)
- 근로계약을 체결, 이행하는 과정에서의 개인정보 이슈 설명
- 채용 과정에서 단계별 개인정보 최소 수집 원칙 설명
- 최종합격자에게서만 필요한 정보를 채용 시작단계부터 수집하면 안됨
- 합격이 확정되지도 않은 지원자에게서 회사 근무에 필요한 정보를 수집하면 안됨
- 개인정보보호 가이드라인(통계작성편) (2023-11)
- 2023년 개인정보 보호법 개정되면서 통계작성을 위한 목적이 보호법 적용 범위에 포함되었음; 이후 통계청이 개인정보위와 함께 가이드라인 발간
- 개인정보보호 가이드라인(아동·청소년) (2022-07)
- 개인정보보호 가이드라인(학원·교습소) (2020-12)
- 개인정보보호 가이드라인(사회복지시설) (2020-12)
- 개인정보보호 가이드라인(약국) (2020-12)
- 개인정보보호 가이드라인(의료기관) (2020-12)
- 긴급 상황 시 개인정보 처리 및 보호수칙 (2021-10)
- 급박한 상황에서 정보주체의 동의 없이 수집할 수 있는 경우 설명
개인정보 처리 업무 위탁/수탁
- 개인정보 처리 위수탁 안내서 (2020-12)
- 2024년이 끝나도록 개정본이 나오지 않았음
- 2020-12 제정본 기준으로 법률 조항 번호가 현행법과 조금씩 다르니 주의할 것
2021년쯤에 공공기관 담당자들 대상으로 ‘개인정보 관리수준 진단’ 실무 안내서가 배포되었는데 그 안에 위수탁 업무에 관한 표준계약서 등이 같이 포함되어 업무에 크게 도움이 되었음. 해당 자료는 외부 공개자료가 아니기 때문에 검색해도 나오지 않음. 현재로서는 주변 회사/기관에서 쓰는 양식을 참고해서 법률/시행령과 2020년도 해설서에서 요구하는 의무사항을 다 담아야 한다.
개인정보 수집이용제공 동의서 및 개인정보 처리방침
개인정보 수집이용제공 동의서
- 알기쉬운 개인정보 처리 동의 안내서 (2022-03)
- 개인정보 처리/수집 동의서 작성에 관한 설명 자료
- 동의서 서식 템플릿 등이 있어서 참고하기 아주 좋은 자료
개인정보 처리방침
- 개인정보 처리방침 작성지침 (2024-04)
- 모바일 기기에서의 접근성 관한 규정, 자동화된 결정(AI) 쪽이 추가 개정 포함되어있음
- 개인정보 처리방침 작성지침 (2022-03)
- 구판이긴한데, 일반/공공기관/의료기관 등 업무별로 정리되어 있어 세부내용 확인할때 보면 좋을 자료
개인정보 처리방침 작성 가이드라인 (2020-12)- 너무 오래되어서 활용성 낮음
홈페이지 운영
유출 등 사고대응
- 개인정보 유출 등 사고대응 매뉴얼 (2023-09)
- 최근 개정으로 5일 이내에서 72시간 이내로 신고시간이 더 신속하게 바뀌어서 주의해야함
개인정보 유출 대응 매뉴얼 (2020-12)- 구판이라 굳이 확인할 필요 없음
개인정보 침해신고
국내외 제도
가명처리, 가명정보 처리
- 가명정보 처리 가이드라인 (2024-02)
- 가명정보 처리 가이드라인 (2022-04)
- 공공분야 가명정보 제공 실무안내서 (2021-01)
- 개인정보 비식별 조치 가이드라인 (2016, 행정자치부)
- 이 가이드라인은 더 이상 적용되지 않음
- 행정안전부 시절도 아닌 행정자치부 개인정보보호정책과에서 발간했던 안내서
- 과거 행자부 보도자료
세부 분야별 가명처리 등
- 교육분야 가명·익명정보 처리 가이드라인 (2024-08)
- 보건의료 데이터 활용 가이드라인 (2020-09)
- 보건의료 쪽 가명처리, 가명정보처리 시 참고할 사항
가명정보 활용 우수사례집
합성데이터
AI 등 자동화된 결정
- 자동화된 결정에 대한 정보주체의 권리 안내서 (2024-09)
- 인공지능(AI) 개발·서비스를 위한 공개된 개인정보 처리 안내서 (2024-07)
- 인공지능(AI) 개인정보보호 자율점검표(개발자·운영자용) 영문판 (2021-07)
- 인공지능(AI) 개인정보보호 자율점검표 (2021-05)
- 이루다(AI) 개인정보 유출 피해 사태(2021-01) 터진 후 개인정보위에서 발간한 자율점검표
- 자동처리되는 개인정보 보호 가이드라인 (2020-12)
- ‘자동화된 결정’ 개념이 정의된 것은 2023-09월 법률 개정이었음
- 이 가이드라인은 자동화된 결정 개념 정의도 전에 작성됨
- AI 외에도 IoT 등에 대해서도 다루고 있음
ISMS(-P)
개인정보 영향평가
- 개인정보 영향평가 대가산정 가이드 (2024-10)
- 개인정보 영향평가 수행안내서 (2024-04)
- 개인정보 영향평가 수행안내서 (2020-12)
- 개인정보 영향평가 대가산정 가이드 및 계산기 (2022-12)
영상정보처리기기
고정형(CCTV 등)
- 공공·민간 고정형 영상정보처리기기 설치·운영 가이드라인 (2024-01)
- 공공·민간 영상정보처리기기 설치·운영 가이드라인 (2021-04)
- 이 가이드라인은 ‘고정형 영상정보처리기기’ 정의 개정(2023-09월) 전 법률 기준임에 유의
이동형(드론, 액션캠 등)
마이데이터(개인정보전송요구권)
손해배상책임 보장
- 개인정보 손해배상책임 보상제도 안내서 (2024-03)
- 개인정보 손해배상책임 보장제도 안내서 (2020-11)
- 손해배상책임 보장 보험 금액 기준이 2023-09월 법률 및 시행령 개정으로 바뀐점 주의
- 구 가이드라인 기준으로는 ‘매출액 5천만원 이상’인데 개정되면서 ‘매출액 10억원 이상’으로 바뀌었음
- 개정된 기준이 더 합리적이다. ‘매출액’ 5천만원 안되는 사업자가 거의 없을텐데, 사업 업체 거의 전부 보험 의무대상인것은 이해하기 어려웠음
자율규제
- 자율규제단체 회원사를 위한 개인정보 처리가이드(공인중개사업) (2020-12)
- 자율규제단체 참여사를 위한 업종별 개인정보 처리 가이드 (2020-12)
- 업종별 : 여행업, 렌터카업, 대중골프장업, 학원업, 호텔업
그 외 가이드라인
- 공동주택 개인정보보호 상담사례집 (2022-01)
오래된(2021년 전) 참고 자료
전체적인 제도 핸드북, 교육자료 등
핸드북 자료
교육자료
한국인터넷진흥원 개인정보 포털에서 교육자료 목록 확인 가능
개인적으로 보기에 난이도 초급이 진짜 초급만 다루는게 아님… 오히려 초급일수록 내용이 더 압축되어서 더 어려웠고 자세한 고급과정 교육자료를 보는게 입문자에게 더 쉬울 것 같음
- (23년) 개인정보보호 수준별 교육_ 초급과정 교육 교재
- (23년) 개인정보보호 수준별 교육_ 중급과정 교육 교재
- (23년) 개인정보보호 수준별 교육_ 고급과정 교육 교재
- (23년) 개인정보보호 수준별 교육_ 공공기관 과정 교육 교재
- (23년) 개인정보보호 수준별 교육_중소기업·스타트업 보호조치 과정 교육 교재
오래된(2023년 법 개정 전) 자료
- 소상공인을 위한 개인정보보호 핸드북 / 2021-12
- 스타트업 등 소형사업자가 꼭 봐야할 필수내용 위주긴한데
- 법률 및 시행령 개정 전 내용이 꽤 있음에 유의
개인정보 보호법 관련 법, 특별법
개인정보 보호법과 다른 행정법은 일반법-특별법 관계
- 일반적인 개인정보 처리 과정에서는 개인정보 보호법을 준수해야하지만
- 신용정보, 위치정보 등 다른 행정법에서 관리하는 정보를 다를때는 해당 법률을 준수해야함
데이터 3법(개인정보 보호법, 정보통신망법, 신용정보법)에 포함되는 정보통신망법과 신용정보법은 기억해두는 것이 좋음
정보통신서비스
- 정보통신망법
- 보호법에 자주 등장하는 ‘정보통신서비스제공자’ 라는 개념이 정의된 법률
신용정보
- 신용정보법 : 개인정보 중 신용정보는 신용정보법 및 금융위의 제도를 따라야함
위치정보
- 위치정보법
- 법 제15조, 주어가 ‘누구든지’이다. 위치정보 수집하려면 누구든지 정보주체로부터 동의를 의무적으로 받아야함
- 위치정보의 관리적·기술적 보호조치
- 위치정보의 보호 및 이용 등에 관한 법률 해설서(2022-06)
주민등록번호 수집
- 소득세법
- 수당, 상금, 상품등 제공할때 금액기준에 따라서 주민등록번호를 의무적으로 수집해야할때가 있고 아닐때가 있음
공공기관
- 공공기록물 관리에 관한 법률
- 개인정보의 파기 의무랑 공공기록물 보존 의무랑 충돌되어서 공공기관 종사자라면 이 법률도 확인 필요
- 공공기록물 파기에 관한 절차만 알아두면 충분해보임
- 공공기록물 등으로 지정되면 파기할 수 없고, 분리 보관해야함
- 개인정보의 파기 의무랑 공공기록물 보존 의무랑 충돌되어서 공공기관 종사자라면 이 법률도 확인 필요
- 공공기관의 정보공개에 관한 법률
- 정보보안 등 비공개 내용 주의해야 함
- 개인정보 영향평가 요약본 공개할때 비공개할 내용 제외해야함
- 전자정부법
- 감사원법
- 행정조사 기본법
그 외 특별법
- 전자금융거래법
- 공동주택관리법
- 아파트 등 관리사무소에서 개인 세대 관련 개인정보 다룰때 확인해야함
- 주민등록법 : 주민등록번호에 관한 법률
- 금융실명법
- 전자상거래법
- 전기통신사업법
- 통신비밀보호법
- 의료법 : 병원 등에서 개인정보를 처리할때 의료법이 특별법으로 효력
출처
This post is licensed under CC BY 4.0 by the author.