수달정보보호

사내 임직원의 생성형 AI 플랫폼을 통한 기밀 유출 방지 방안

물론 유료 버전의 Chat GPT나 Google Gemini도 상당히 자주 거짓말을 하긴 하지만, 그렇다 하더라도 생성형 AI를 쓰지 않는 것은 이미 상상할 수가 없다. 이미 생성형 AI는 우리의 '업무'와 특히나 긴밀한 관련을 맺고 있고, 그렇기에 이를 잘 쓰는 것이 중요하다. 보안 담당자 입장에서의 '잘'이란, 개인정보는 물론이고, 회사의 기밀을 생성형 AI에 입력하지 않도록 하는 것이다. 이를 위해 몇몇 대기업은 조직 내에서만 쓸 수 있는 그 조직만의 AI를 만든다고 하는데, 그건 대기업 중에서도 굴지의 기업이나 가능한 일이다. 그럼 그렇게 할 수 없는 기업에서 할 수 있는 방안은 무엇이 있을까? 1. 키워드를 통한 차단(DLP, 확장 모듈, 로깅 등 활용) 여기서의 핵심은 키워드를 사전에 정하고 ..

1-1. 개인정보 처리방침 작성 지침 내 해당 시 필수 사항을 포함하여, 권장 사항까지 모두 알리고 있는가? (총 10점)이곳의 개인정보 처리방침에는 총 14가지 항목이 존재한다. 1. 개인정보처리방침의 정의2. 개인정보의 처리 목적 3. 처리하는 개인정보의 항목 4. 만 14세 미만 아동의 개인정보 처리에 관한 사항 5. 개인정보의 처리 및 보유기간 6. 개인정보의 파기 절차 및 방법에 관한 사항 7. 개인정보의 제3자 제공에 관한 사항 8. 개인정보 처리업무의 위탁에 관한 사항 9. 개인정보의 안전성 확보조치에 관한 사항 10. 자동 수집 장치의 설치·운영 및 거부에 관한 사항 11. 이용자와 법정대리인의 권리·의무 및 행사방법에 관한 사항 12. 개인정보보호 책임자, 개인정보 업무 담당부서 및 고충..

1. 쟁점▶ 원고(개인정보 처리자)와 웹·앱사업자 간 타사 행태정보 수집의 개인정보보호법 위반 여부2. 내용이 사건은 SNS 제공자인 ‘원고’ A가 웹이나 앱에서 사용자들의 행동 정보를 어떻게 수집하고 있는지에 관한 문제이다. 특히, 원고가 이용자의 ‘타사 행태정보’, 즉 원고가 아닌 다른 웹사이트나 앱에서 이용자가 어떻게 행동했는지에 관한 정보를 수집하는 과정과 그 법적 책임이 쟁점이 된 것이다. 먼저, 원고가 만든 ‘비즈니스 도구’라는 게 있다. 이 도구를 웹·앱 사업자 B, C가 자기 사이트나 앱에 설치하면, 이용자 행동에 대한 정보가 원고 A 쪽으로 전송된다. 중요한 건 이 정보를 실제로 수집하고 처리하는 주체가 원고 A라는 점이다. B, C는 단순히 도구를 설치하는 역할만 할 뿐, 개인정보 처리..

법제처 2025. 5. 7.자 25-0134 쟁점: 구직자가 밝힌 정신질환을 확인하기 위한 의사소견서나 건강진단확인서가 채용절차법 제2조제6호에 따른 채용서류에 해당하는지? 단, 여기서의 정신질환은 이 사안에서 업무 수행과 직접적으로 관련되지 않고, 법령에서 해당 업무에 대해 필수적 고용요건으로 정신질환 관련 내용을 규정하고 있지 않은 경우를 전제한다. 그리고 결과적으로, 이 사안에서의 의사소견서, 건강진단확인서는 채용절차법에 따른 채용서류에 포함되지 않는다. 채용절차법 제2조제6호에서는 채용서류를 ① 기초심사자료 ② 입증자료 ③ 심층심사자료로 정의하면서, 같은 조 제3호에서 ① 기초심사자료를 ⑴ 응시원서 ⑵ 이력서 및 자기소개서라고 규정하고 있다. 여기서 ② 입증자료는 기초심사자료에 기재한 사항을 증명..

개인정보 관련 대표적인 업무 중 하나가 있다면 바로 위탁사 관리일 것이다. 수탁사 관리만 수행하는 데도 1명의 직원이 그것에만 몰두해야 할 정도로 수탁사가 많은 곳도 종종 있다. 이 과정에서 다양한 유형의 개인정보가 위탁업체로 제공되고, 처리되고, 폐기된다. 그리고 나도 컨설팅에 참여하며 여러 위수탁 계약서와 그에 의거한 위수탁 점검 보고서를 접했으나, 실효성 차원에서 부족함이 느껴지는 것은 어쩔 수 없다. 그러나 만일 실무의 현실적인 상황이 반영된 가이드라인이 생긴다면, 이는 위수탁 관리에 있어 개인정보담당자들의 노고를 덜어줄 수 있을 것이다. 수탁사를 대상으로 개인정보보호를 점검한다고 해서 특별한 기준을 적용할 필요까지는 없다. 우리에게 이미 친숙한 개념인 '개인정보 생애주기'가 있기 때문이다. 위탁..

1-1. 개인정보 처리방침 작성 지침 내 해당 시 필수 사항을 포함하여, 권장 사항까지 모두 알리고 있는가? (총 10점)1. 처리하는 개인정보 항목 및 처리 목적2. 개인정보의 처리 및 보유 기간3. 개인정보의 제3자 제공4. 개인정보처리의 위탁5. 개인정보의 파기6. 고객 및 법정대리인의 권리, 의무 및 그 행사방법7. 개인정보의 안전성 확보 조치8. 개인정보 자동수집 장치의 설치, 운영 및 그 거부에 관한 사항9. 개인정보 보호책임자에 관한 사항10. 개인정보 열람청구11. 권익침해 구제방법12. 개인정보 처리방침의 변경위와 같이 개인정보 처리방침이 12개로 구성되어 있다. 그런데 이곳은 특성상 14세 미만의 아동에 관한 개인정보가 다량으로 있을 가능성이 높은데도 14세 미만의 아동에 개인정보 처리..

기술인력의 자격 기준은 2017년 7월 26일 개정을 끝으로 무려 약 8년 간 변화가 없다. 그리고 이 기술인력이라 함은, 보안컨설팅 뿐만 아니라, 정보통신 혹은 정보보안 관련 인력을 모두 통틀어 포함한다. 그러다 보니, 너무 기준이 러프하고, 이걸 보안 컨설턴트에 적용하자니, 그 신뢰도가 많이 떨어진다. 컨설턴트의 등급에 대한 신뢰도가 떨어진다는 말은 곧 컨설팅 업계에 대한 신뢰도 저하로 이어질 수밖에 없다. 현행의 기술인력 기준은 다음과 같다.구분관련 자격 또는 관련 학력을 보유한 사람관련 자격 또는 관련 학력을 보유 하지 않은 사람초급1. 학사 이상의 학위, 기사 또는 지식정보보안 관련 국내외 자격을 취득한 사람2. 전문대학 졸업 또는 산업기사 자격을 취득한 후 2년 이상의 정보 통신 관련 경력이 ..

1-1. 개인정보 처리방침 작성 지침 내 해당 시 필수 사항을 포함하여, 권장 사항까지 모두 알리고 있는가? (총 10점) 위와 같이 개인정보 처리방침에서 목차를 최상단에 표기하고 있으며, 이를 통해 각 사항이 명시되었는지를 알기 쉽게 확인할 수 있음. 또한, 정보주체 입장에서 목차 내의 항목을 클릭하면 바로 해당 항목으로 이동하는 기능을 구현하여 더욱 정보를 획득하기 쉽다. S 기관은 필수사항은 물론, 14. 정보주체 권익침해에 대한 구제 방법과 그밖에 개인정보처리자가 개인정보 처리 기준 및 보호조치 등에 관하여 자율적으로 개인정보 처리방침에 포함하여 정한 사항(15, 16)이 포함되는 등 정보주체에게 내용을 제공함에 있어 성실하게 수행하고 있다. 결과: 10점 1-2. 개인정보 처리방침 상 기재된 내..

1-1. 개인정보 처리방침 작성 지침 내 해당 시 필수 사항을 포함하여, 권장 사항까지 모두 알리고 있는가? (총 10점)개인정보의 처리 목적, 처리하는 개인정보의 항목, 개인정보의 처리 및 보유 기간, 정보주체 권리·의무 및 그 행사방법에 관한 사항 등 필수사항을 모두 포함하여 알리고 있으나 추가적으로 K협회가 자율적으로 개인정보 처리방침에 포함하여 정한 사항은 없음 결과: 7점 1-2. 개인정보 처리방침 상 기재된 내용이 실제 서비스 이용 시 고지된 개인정보 처리 사항과 동일한가? (총 10점)이용약관에서는 개인정보와 관련된 내용을 다루고 있지 않으며, 처리방침에서는 실제 수집 화면의 내용과 일치하는 것을 확인할 수 있음 결과: 5점 1-3. 개인정보 처리방침에 개인정보의 필수 및 선택 수집 항목에 ..

개인정보보호위원회가 올해 평가대상 50개 서비스를 공개했다. 공개된 처리방침의 외형만 평가하는 것이 아닌 개인정보의 처리 목적, 수집하는 항목, 보유기간 등이 실제 처리현황과 일치 여부 및 적정성에 대한 평가를 통해 정보주체의 권리침해를 사전에 예방할 예정이다. 또한, 최근 개편된 동의제도 작성의 적정성을 판단하는 평가지표를 구체화하고, 자동 수집 장치를 통한 행태정보 수집 거부방법의 구체성·편의성을 확인하는 지표를 신설하는 등 정보주체 권리보장에 관한 평가도 개선했다. 평가 결과 처리방침이 우수한 개인정보처리자에 대해서는 개인정보위 위원장 표창과 ｢개인정보 보호법｣에 따른 과징금·과태료 부과 시 감경 혜택을부여하는 등의 특전(인센티브)을 제공한다. 반면, 미흡 기업은 개선권고및 ’26년도 재평가 ..