개인정보란? 개인을 식별할 수 있는 정보
- PII
- 개인식별 정보의 예
- 성명, 이메일 주소, 전화번호, 주소 등
- 개인식별 정보의 다른 예
- 몇가지 조합으로 개인을 식별할 수 있는 경우 (준 식별자)
- 나이, 사는 도시, 직장
- 몇가지 조합으로 개인을 식별할 수 있는 경우 (준 식별자)
개인식별 정보의 정의 - 대한민국
- 개인정보보호법 제2조 1항
- "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다
- 정보통신망법 제2조 6항
- "개인정보"란 생존하는 개인에 관한 정보로서 성명ᆞ주민등록번호등에 의하여 특정한 개인을 알아볼 수 있는 부호ᆞ문자ᆞ 음성ᆞ음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다
개인식별 정보의 정의 - 미국 (CCPA)
미국은 타 나라와는 다르게 하기 성질을 띔
- 개인을 특정하는 뿐만 아니라 가구, 가정으로 단위를 확장함.인터넷검색, 브라우저 기록 등 도 개인정보로 포괄함
개인정보 보호란?
- 개인의 정보를 적절한 동의없이 저장하고 사용하지 않는 것
- 개인의 정보를 적절한 동의없이 노출하거나 배포하지 않는 것
- 보호를 위한 다양한 법률이 전세계적으로 만들어지고 있음
- 해당 법률 준수가 데이터 카탈로그/거버넌스 도입의 가장 큰 이유
- 개인의 정보주체권이 중요시되는 추세
- 광고매칭 등 개인 정보를 활용해서 돈을 벌게되었을때 정말 기업에게만 수익이 돌아가야 될까? 개인과 공유가 되어야 되는가?
- 공유를 해야 된다는 권리를 Data as a Property Right 라고 부름
개인정보 보호법 종류
- 국내
- 개인정보 보호법, 통신사업자 대상의 정보통신망법
- 클라우드 컴퓨팅법
- 미국
- CCPA → CPRA(CCPA개정판)
- HIPAA(의료정보보호)
- ePHI and EHR
- PHI : 보관시스템 별로 관리되는 시스템
- 유럽연합
- GDPR
- 개인정보 보호의 선두주자가 됨.
- GDPR
개인정보 관련 법률 요약
- 개인정보 보호 관련 법령 통합 해설서
- 특정 개인을 알아보기 어려운 정보는 개인정보가 아님
- 아래 의무 수행시 클라우드에도 개인정보 적재 및 처리 가능
- 개인정보 수집방법, 내용, 목적, 사전고지 및 동의를 구했을 경우
- 개인정보 위탁(AWS,GCP등) 에 대한 사전고지
- 개인정보를 어디에 저장하는지 고지해야 됨.
- 데이터 해외 이전시 추가고지
- 국내리전 사용시 불필요
- 저장 및 전송시 암호화 필요 정보
- 비밀번호, 바이오 정보, 주민번호, 신용카드번호
- 계좌정보, 여권번호, 외국인 등록번호
개인정보의 불필요한 노출의 이유
- 내부 사람들의 단순한 실수에서 비롯된 Data Leak
- 기관에 따라 14%~37%로 예측
- 예) 구글 문서 공유 세팅 실수
- 외부 위협의 예
- 해커, 랜섬웨어
- 사이버 범죄조직, 국가 후원조직
앞으로 데이터 관리직을 수행하면서 하기와 같은 질문을 끊임없이 던져야 된다.
- 보호가 필요한 중요 정보가 무엇인가?
- 이런 정보들이 정말 우리에게 필요한 정보인가?
- 이 정보에 대한 접근이 정말로 필요한 사람은 누구인가?
- 이 사람들이 정말로 해당 정보가 필요할 때 접근을 하는가?
- 이런 접근들이 모두 기록이 되는가?
- 기록을 주기적으로 감사하는가?
LV. 1