안녕하세요.
개인정보 마스킹 필요 여부 관련하여 예시로 질문드립니다.
개인정보처리시스템 : A
개인정보처리시스템 개발사 : B
개인정보처시스템을 사용하는 고객사 : C
C 고객사는 개인정보 처리시스템을 이용할 수 있는 인원이 10명입니다.
C 고객사의 담당자 중 한명이 개인정보처리시스템을 로그인 할 경우 다른 9명에 대한 개인정보를 볼 수 있습니다(성명, 이메일)
개인정보처리시스템을 사용하는 인원이 개인정보취급자라는 가정하에 상기 언급된 개인정보(성명, 이메일)를 데이터마스킹 처리 하여야 하나요?
개보법에 명확히 명시되지 않은 것 같아 개인정보처리시스템 운영하시는 분들의 조언을 여쭙고자 질문드립니다.
5개의 답변이 있습니다.
개인정보는 민감한정보라 마스킹이 필수 인데 특정 인원에게 공개되면 안될듯합니다.
루블이 | 2년 이하 전
참고하겠습니다! 답변 감사합니다.
zero000 | 2년 이하 전
개인정보에 민감정보도 포함되는것이지 모든 개인정보가 민감정보는 아닐텐데요
민감정보는 신체적 특징이나, 전과기록 같이 개보법에 명시되어 있는 항목이 별도로 있는걸로 알고 있습니다.
마스킹은 불필요한 노출을 차단하는 것이 목적입니다
업무 담당자로 이름, 소속등을 확인해야 개인을 식별을 해서 업무처리가 가능하면 마스킹을 할 필요가 없죠
주민번호 같은 경우는 세금이나 특수목적이 아니면 전체 열람할 필요가 없으니 마스킹처리하는 것이 맞죠
그리고 주민번호와 다른 정보를 조합해서 외부로 유출시 2차 피해가 발생할 수 있어서 마스킹합니다
이름이나 이멜을 확인해야 하는 업무면 노마스킹
확인이 필요없는 업무는 마스킹
루블이 | 2년 이하 전
일단 개인정보 필요 여부부터 판단하는게 우선이라는 말씀 참고하겠습니다!
개인정보의 기술적 관리적 보호조치 기준에 다음과 같이 나와있네요
정보통신서비스 제공자등은 개인정보를 의무적으로 마스킹 처리하여야 합니까?
⇒ 고시 제10조 및 관련 해설 내용은 정보통신서비스 제공자등이 이용자의 개인정보 보호를 위해 개인정보를 마스킹 하여 표시하는 조치를 취할 때 마스킹 방식에관한 일관된 기준을 따를 수 있도록 권고하는 사항으로서 의무적으로 마스킹처리를 적용해야 하는 것은 아닙니다.
고객사가 정보통신서비스 제공자에 해당하는지 여부 확인이 먼저 일 것 같습니다
루블이 | 2년 이하 전
정보통신서비스 제공자가 맞습니다.
답변 참고하겠습니다!
개인 정보를 확인하고, 볼 수 있는 사람은 합당한 이유가 있고 그만한 권한이 있는 사람만이 가능해야 할 걸로 보이네요.
그리고, 접근에 대한 기록을 남기는게 맞겠고요.
그렇지만...
불특정 다수에게 공개되는 상황이라면 이름과 이메일이 민감할 수 있겠지만,
특정 소수에게 공개되는 상황인데...
이름과 이메일을 민감 정보로 분류해야 하는 걸까요..?
이름이나 이메일은 남에게 알려 주기 위해 있는 것 아닌가요?
동명이인도 많이 있고, 이메일은 필요하다면 다른 걸로 변경할 수도 있는 것이고...
주민 번호나 여권 번호 같은 경우에는 일부 번호를 필수적으로 마스킹 처리해야 할 것 같고,
확인이 필요할 경우에 해당 권한을 가진사람이 확인이 필요한 사유를 입력해서 마스킹을 해제한 후에 확인하도록 만들어야 하겠지만...
이름과 이메일까지 그렇게해야 할 필요까지 있을까 싶어 보이네요.
루블이 | 2년 이하 전
해당 시스템 개발자보단 고객 운영자가 타 운영자의 개인정보를 봐도 되는가 안되는가가 개보법상 명시되어있지 않아서 애매했습니다.
답변 참고하겠습니다!
저도 초보자라 정확히는 모르지만 조심스레 한마디 남겨보자면 법상에 마스킹 의무에 관한 내용이 없으므로 안해도 상관 없지 않을까요?
루블이 | 2년 이하 전
예 그 부분이 명시가 확실하게 되어있지 않아서 너무 애매한 상황입니다 ㅎㅎ.
답변 감사합니다.