the World of TheNine

개인적으로도 그렇고,
회사 업무적으로도 개인정보보호에 대해 관심이 많습니다.
작년에 몇몇 회사의 노력(?) 덕분에 관련 법률이 강화되었고,
최근 방통위에서도 개인정보의 기술적 관리적 보호조치 기준을 고시를 하고,
행안부에서는 준용사업자 포함에서 개인정보 보호 관리실태를 점검하기 시작했다고 합니다.

그래서인지, 아님 우연찮게 붙잡혔는지는 모르겠으나,
모 포인트 적립회사에서 개인정보가 대거 유출되었습니다.
웃긴건 일반인 2만명 개인정보 유출 보다 톱스타/연예인 개인정보 유출로 많이 매스컴에 보도되고 있다는 것이며,
피의자에게 적용된 협의가 전자상거래법상 위반 혐의라는 것입니다.
타이틀은 개인정보 유출인데, 전자상거래법 위반이라니,

어제는 행안부와 KISA가 준비한 개인정보보호 전문교육을 다녀왔는데,
작년 노력을 해준 업체도 있었고,
준용사업자로 추가된 자동차 렌탈회사, 결혼정보 회사 등도 많이 왔었습니다.

이번 교육에 한정되지 않고 정부 기관에서 개인정보 보호 관련해서 받은 느낌은
1. 행안부,통신위에서 개인정보 보호 관련 법집행을 보다 강하게 하려고 하는 의지가 있고
2. 관련 홍보, 교육 등을 통해, 법집행에 따른 명분을 쌓겠다는 것을 느낄수 있었습니다.

담당하시는 분은 미리미리 준비하시기 바랍니다.
어느 개인정보 보호 전문 변호사님이 하신 말씀이 기억에 납니다.
"무지도 처벌 대상입니다."

기분이 울적해서, 소주 한잔했습니다.
이번 시즌은, 공수에 걸쳐서 참 힘겹게 시즌을 보낸거 같네요.
젊은 선수의 성장을 보면서 나름 위로를 합니다.
아픈 선수들 몸 건강히 돌아와서 내년부터 선전을 기원합니다.
마지막으로, PS 진출한 4팀 축하합니다.

포인트 적립회사 직원으로 일하면서 고객정보 2만여건 빼돌린뒤 도용하는 사건이 발생했다.
피의자는 포인트를 잘 사용하지 않거나 이미 고인이 된 연예인의 명의만을 골라 사용했다고 하는데,

최근 개정된 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'을 보면,

제2조 (정의) 6. "개인정보"란 생존하는 개인에 관한 정보로서 성명ㆍ주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.
라고, 명시되어 있다.

즉, 개인정보의 성립요건은
1. 생존하는 개인에 관한 정보
  사망자에 대한 정보는 대상이 아니며,
  사망자와 유족간의 관계를 나타내는 정보는 유족에 대한 식별이 가능함으로 인정
2. 개인을 식별할 수 있는 정보
  다른 정보와 결합하여 개인을 식별할 수 있는 정보도 개인정보임
  주소+성명 : 어디에 사는 누구

여기서 생존하는 개인에 관한 정보에 한정해서 살펴보면,
사망자의 정보는 보호받지 못하게 되는 것인가?

판례에 따르면, - 사망자 정보의 보호(대법원 2007. 6. 14. 선고 2007도2162 판결)
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제49조는 “누구든지 정보통신망에 의하여 처리·보관 또는 전송되는 타인의 정보를 훼손하거나 타인의 비밀을 침해·도용 또는 누설하여서는 아니 된다”고 규정을 하고 있는데,
대법원은 사망자 정보의 보호법익을 개인정보의 보호가 아닌 정보통신망의 안정성 및 정보의 신뢰성에서 찾고 있다. 즉 이미 사망한 자의 정보나 비밀이라고 하더라도 그것이 정보통신망에 의하여 처리·보관 또는 전송되는 중 다른 사람에 의하여 함부로 훼손되거나 침해·도용·누설되는 경우에는 정보통신망의 안정성 및 정보의 신뢰성을 해칠 우려가 있는 점 등에 비추어 볼 때, 위 법 소정 ‘타인’에는 생존하는 개인뿐만 아니라 이미 사망한 자도 포함된다는 것이다.

출처 : 인터넷 법률신문

이번달 A3Security 행사도 다녀오고, ISEC 2009 컨퍼런스도 다녀와서,
CPE를 좀 과하게 입력했더니,
ISEC 2009 (Day2)로 입력한 부분에 Audit을 맞았습니다.(9/10)

얼마전 연간 유지 수수료도 지불했건만, Audit을 하다니.
ISEC 2009 사무국으로 확인서도 요청했지만, 행사가 끝난뒤라 응답이 없어서,
Audit 안내메일에 나온대로,
Evidence of the CPE Credit You Submitted과 A Description of the CPE Activity을 준비하기로 했습니다.

출입증, 자료집 사진찍어 첨부하고,
참석한 프로그램(세션)들 쭉 나열하고 각 세션 별로 나왔던 내용만 요약해서 만들어서 발송했습니다(9/13)

오늘 메일을 확인해보니,
CPE Audit pass라고 한다.

CPE Audit이라고 해서 너무 부담갖지 말고,
참석한 세미나,컨퍼런스 등을 요약 정리해서 제출하면 쉽게 pass할 수 있을거 같습니다.

7월23일 통합된 한국인터넷진흥원을 비롯해 여러 기관들이 통합되었네요.

"범 정부적 추진체계 정비와 함께 각 부처의 기능이관에 맞춰
해당부처의 산하기관간 기능이 이관되고 유사한 기능은 통합/정비되었다."

출처 : 2009국가정보화백서, 한국정보화진흥원