CPPG 개인정보관리사 - 요약 정리
1. 개인정보의 개요 (1)

 

 

[1] 개인정보의 정의

 

개인정보란 : 개인의 신체, 재산, 사회적 지위, 신분 등에 관한 사실, 판단, 평가 등을 나타내는 일체의 모든 정보

  • 과거 : 개인정보보호법 + 정보통신망법
  • 현재(2020년 2월) : 개인정보보호법에서만 유일하게 정의하고 있음
  • +) 개인정보보호법 제2조 (정의) 참고

 

 

 

개인정보 종류

  • 신분관계 : 성명, 주민등록번호, 주소, 본적, 가족관계, 본관 등
  • 내면의 비밀 : 사상, 신조, 종교, 가치관, 정치적 성향 등
  • 심신의 상태 : 건강 상태, 신장, 체중 등 신체적 특징, 병력, 장애정도 등
  • 사회 경력 : 학력, 직업, 자격, 전과 여부 등
  • 경제 관계 : 소득규모, 재산보유상황, 거래내역, 신용정보, 채권체무관계 등
  • 새로운 유형 : 생체인식정보 (지문, 홍채, DNA), 위치정보

 

개인정보 정의

  • 살아있는 개인에 대한 정보 : 사망으로 간주하면 개인정보라 볼 수 없음
  • 개인에 관한 정보 : 개인정보 주체는 자연인 → 법인 또는 단체, 개인사업자 정보 불가
  • 정보의 내용 및 형태 등은 제한없음 : 디지털 형태, 수기, 자동 처리, 수동 처리 등 관계없이 모두 개인정보 해당 / 그 사람에 대한 제3자의 주관적 의견 모두 개인정보로 가능
  • 개인을 알아볼 수 있는 정보 : ‘처리하는 자‘의 입장에서 개인을 알아볼 수 있다면 개인정보 (예정된 자 포함)
  • 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정도 : 입수 가능성 (합법만 가능) / 결합 가능성 (기술 수준)
  • 가명정보 : 원래의 상태로 복원하기 위한 추가 정보의 사용 없이는 특정 개인을 알아볼 수 없는 정보

 

개인정보 해당 여부

  • 사망자의 정보로 유족과의 관계를 알 수 있는 정보
  • 특정 건물 또는 아파트의 소유자가 자연인인 경우, 해당 주소
  • SNS에 올린 단체사진
  • 의사가 특정 아동의 심리치료를 위해 진료 기록을 작성하면서 아동의 부모 행태를 작성한 기록
  • 공적 생활에서 형성되었거나 이미 공개된 개인정보
  • 거래내역 등 개인의 상거래정보
  • 대표자 포함 임원진 담당자 이름, 주민등록번호, 자택주소, 개인 연락처, 사진 (취급 가능성 O)

 

개인정보와 구별해야 하는 개념

  • 개인정보 : 개인을 알아볼 수 있는 정보
  • 가명정보 : 추가정보의 사용 및 결합 없이는 특정 개인을 알아볼 수 없는 정보
  • 익명정보 : 특정 개인을 알아볼 수 없는 정보
  • 추가정보 : 개인정보 복원할 수 있는 정보
  • 결합정보 : 두 개 이상의 개인정보 결합
  • 개인영상 정보
  • 개인신용정보
  • 개인위치정보

 

 

 

[2] 프라이버시와 개인정보

1997년 미국연방대법원 판례에 의해 사적인 사항이 공개되지 않는 이익에 대해서 개인정보보호 권리의 기원이 완성되었다.

 

 

정보주체의 권리 두가지 : 프라이버시 vs 개인정보 자기결정권

구분 프라이버시 개인정보 자기결정권
성격 소극적 권리 적극적 권리
목적 사생활의 비밀과 자유 보장 개인정보 보호
개념 사생활에 관한 이익을 총칭하는 개념으로 헌법이 상정하고 있는 주거의 자유, 사생활의 비밀과 자유, 통신의 비밀등을 포함 자신에 관한 정보가 언제 누구에게 어느 범위까지 알려지고 또 이용되도록 할 것인지를 그 정보주체가 스스로 결정할 수 있는 권리
사례 - 다른 사람의 개인정보 접근을 제한하는 선택권
- 비밀, 또는 다른 사람들에게 어떤 정보를 숨기는 선택권
- 사적인 관계의 보장		 - 개인정보를 대상으로 한 조사, 수집, 보관, 처리, 이용 등의 행위

 

 

 

프라이버시 범주

  공간 프라이버시 개인 프라이버시 정보 프라이버시
개념 한 개인이 다른 개인의 환경에 침입하는 것에 대해 제한하는 것 개인의 신체적, 물리적 존재와 관련되는 것을 제한하는 것 컴퓨터 등 정보통신 기술의 전자적 형태로 수집되는 것을 제한
사례 가정, 직장 등 CCTV 감시를 하고 ID 체크 침해를 방해하는 것 (신체) 유전자, 마약, 체강 검사로부터 제한
(통신) 우편, 전화대화, 이메일 통신 보호		 정보주체의 자기결정권

 

 

 

 

 

 

[3] 개인정보의 유형 및 종류

개인정보보호 특성에 따른 유형

  • 인적 사항
    • 일반 정보 : 성명, 주민등록번호, 주소, 연락처, 생년월일, 출생지, 성별 등
    • 가족 정보 : 가족관계 및 가족구성원 정보 등
  • 신체적 정보
    • 신체 정보 : 얼굴, 홍채, 음성, 유전자 정보, 지문, 키, 몸무게 등
    • 의료 및 건강 정보 : 건강상태, 진료기록, 신체장애, 장애등급, 병력, 혈액형, IQ, 약물테스트 등의 신체검사 정보 등
  • 정신적 정보
    • 기호 및 성향 정보 : 도서 및 비디오 대여기록, 잡지구독정보, 물품구매내역, 웹사이트 검색 내역 등
    • 내면의 비밀 정보 : 사상, 신조, 종교, 가치관, 정당 및 노조 가입여부 및 활동 내역 등
  • 사회적 정보
    • 교육 정보 : 학력, 성적, 출석 상황, 기술 자격증 및 전문 면허증 보유내역, 상벌기록, 생활기록부, 건강기록부 등
    • 병역정보
    • 근로정보 : 직장, 고용주, 근무처, 근로경력, 상벌기록, 직무평가기록 등
    • 법적정보 : 전과 및 범죄 기록, 재판 기록, 과태료 납부내역 등
  • 재산적 정보
    • 소득정보
    • 신용정보
    • 부동산정보
    • 기타수익정보
  • 기타 정보
    • 통신정보 : E-Mail 주소,
    • 위치정보 : GPS 및 휴대폰에 의한 개인 위치정보
    • 습관 및 취미정보 : 흡연여부, 음주량, 선호하는 스포츠, 여가활동, 도박성향 등

 

개인정보 제공과 생성에 따른 유형

  개념 사례
제공정보 이용자가 직접 회원가입이나 서비스 등록을 위해서 사업자에게 제공하는 정보 - 온라인 서비스를 이용하기 위한 회원가입 과정에서 제공하는 신상정보
- 서비스 이용과정에서 문제점을 해소하기 위해서 본인확인 과정에서 제공하는 정보
생성정보 사업자가 서비스를 제공하는 과정에서 생성되는 이용자에 관한 정보 - 서비스를 이용하는 과정에서 이용자의 서비스 이용기록이나 접속로그 쿠키

 

 

 

 

 

[4] 개인정보의 특성

식별성에 대한 평가기준

  • Single Out : 보유하고 있는 개인정보 항목 중 특정 개인 1인만을 따로 분리할 수 있는 정보인지 여부
  • Linkability : 하나의 개인 또는 동일한 속성을 공유하는 집단에 관한 2개 이상의 데이터를 연결할 수 있는지 여부
  • Inference : 2개 이상의 정보가 서로 정확하게 연결되어 있지 않더라도, 추론에 의해서 연결 가능한지 여부
    • 회사 내 직급 서열 + 급여 → 2개를 합리적으로 추론하여 → 개인이 식별될 수 있음

식별성에 따른 개인정보 분류

  • 개인식별정보 : 그 자체로 구분할 수 있는 정보 (성명, 주민등록번호)
  • 개인식별정보와 결합되어 있는 상태의 개인식별가능정보 (온라인 쇼핑몰 전화번호, 주소, 이메일 주소, 결제 관련 정보, 구매 이력)
  • 개인식별정보와 결합되어 있지 않은 상태의 개인식별가능정보 (뉴스레터 수신 희망 이메일 주소, 로그인하지 않은 상태에서 검색한 기록 등 행태정보)

수집출처 따른 개인정보 분류

  1. 이용자로부터 수집한 정보 : 서비스 회원 가입 시 제공한 개인정보, 입력한 검색어 개인정보
  2. 사업자가 생성한 정보
    1. 생성정보 : 쿠키정보, 로그정보, 고객위치정보
    2. 생산정보 : 근무평가, 신용평가, 인사기록, 진료차트, 고객성향
  3. 공개된 정보를 수집한 정보 : 공개된 정보의 경우, 타인이 본인의 의사에 반하여 임의로 공개한 정보 제외하고 본인이 최초 목적과 범위를 적극적으로 인지한 상태에서 공개한 정보

 

 

 

[5] 개인정보 가치산정

개인정보는 이용자 관점에서 가치를 과평가하는 경향이 있는 반면, 활용하는 기업에서는 저평가하는 경향이 있다.

가치산정법으로는 델파이보다는 가상가치산정법(CVM)을 이용할 수 있다.

 

 

<개인의 가치산정 방식>

가치산정방법  판단주체 내용
1. 델파이 전문가의 판단 전문가의 판단에 의한 사회학적 산정 방식
2. 가상가치산정법 (CVM) - 가장 대표적인 개인정보 가치산정 방법론
- 비시장자원의 가치를 산정하는데 활용되는 경제학적 방식
  • 설문조사에 기초한 가치 산정방식
  • WTP의 존재 여부 확인
  • 피조사자들의 답변 간 평균치를 산정

 

 

<손해배상액 산정>

  • 개인정보가 유출된 상황을 가정하여, 유출 시 예측되는 손해배상액을 해당 개인정보의 가치로 간주
  • 가치 산정이 간편하고 다양한 시나리오 개발을 통해 실제 상황에 대응 가능
  • 산정된 손해배상액을 근거로 위험 전가 통제 구현 가능
  • 상황별 유출 가능한 개인정보 항목을 식별할 수 있고, 항목별 중요도 및 개수 매트릭스화 가능
  • 예상 손해배상액의 총합 산정 가능

 

 

<CVM의 가치산정 단계>

1단계 : 설문조사 대상 및 질의로 대상 식별

2단계 : 개인정보의 가치를 투영할 수 있는 대상 구별

3단계 : 1,2 단계를 통해 확인된 개별 개인정보 항목의 가치를 취합하여 평균값으로 계산

 

 

 

<개인정보 유출 배상 사례>

  • 엔씨 소프트
  • 국민은행
  • LG 전자
  • 하나로텔레콤

 

 

 

 

+ Recent posts

티스토리툴바