SharedIT | 묻고 답하기(AMP)

개인정보가 다른 시스템으로 이동 및 저장되는 경우

zero000
2022.07.19 () | 0 추천 | 6개의 답변

A시스템에 있는 개인정보를

B시스템에서 단순히 끌어다가 사용하는 시스템이라면

B시스템도 개인정보처리시스템으로 봐야 하나요? 


추가 질문으로

위 상황에서 끌어오는 정보가 한정적이어서 그 정보만으로는 B시스템 내에서

개인을 식별할 수 없다면 개인정보처리시스템이 아닌것으로 볼 수 있을까요?

A시스템에 대한 권한도 있는 B시스템 운영자라면 개인정보취급자가 될 거 같은데.

반면 A시스템에 대한 권한이 없다면 B시스템 내에선 개인을 식별할 수 없으니 문제가 없을거 같구요




Tags : 태그가 없습니다.

6개의 답변이 있습니다.

명동쓰레빠
  0 추천 | 2년 이하 전

당연히 B시스템도 개인정보 보호 처리시스템이 되어야 합니다.

시스템이 뭐든간에 개인정보를 보유 하고 안하고의 차이 입니다.

'

zero000 | 2년 이하 전

정확히 얘기하면 api로 끌어와서 화면상으로 출력만 해주고 있습니다.

이거도 보유로 봐야 할까요?

Genghis Khan
  0 추천 | 2년 이하 전

기업에서

개인정보 식별 관리 부분에 있어

A서버,B서버 권한에 문제가 아닌

개인정보 식별 검출이 되고

감사 받을때 문제가 된다, 안된다 기준으로 가는게

더 적절해 보입니다

wansoo
  0 추천 | 2년 이하 전

단순히 끌어오건, 어떻게 하건... 개인 정보를 처리하기 위해 사용하는 시스템이라면 개인 정보 처리 시스템이라 해야 하지 않을까요..

단순히 본다는 개념도 실제 구현된 방법에 큰 차이가 있을 수도 있습니다.

예를 들어 인터넷 상에 있는 문서를 단순히 열어 본다는 개념일 경우에도 일반 사용자 입장에서는 웹 상에 있는 문서를 그냥 보기만 했다라고 할 수 있지만, 실제 구현 관점에서 본다면 인터넷 상에 있는 문서를 다운 받아 내 컴퓨터 디스크에 저장한 후에 뷰어로 열어 보는 방식으로 처리되는 경우가 대부분이기 때문에 캐시 형태의 임시 파일로 인터넷 상에 있는 문서가 내 컴퓨터에 저장되어 남아 있게 되겠고요.

경우에 따라서는 임시 파일로 저장했다 지우는 경우도 있지만, 지워진 파일을 복구하는 툴을 이용해서 임시 저장되었던 파일을 살려 낼 수도 있기 때문에 그냥 보기만 했다는게 아니라 인터넷 상에 있는 문서를 내 컴퓨터에 저장했다라는 의미가 되기도 하고요.


그리고... 개인정보와 무관한 내용만 볼 수 있는 경우라면...

개인 정보가 있는 저장소를 B 컴퓨터가 접속해서 B 컴퓨터에서 작동하고 있는 시스템에 의해 정보를 걸러 가져와서 표시하는 경우와 개인 정보가 완전히 걸러진 내용이 저장된 저장소에 B 컴퓨터가 접속해서 정보를 표시하는 경우를 구분해서 따져 보아야 하지 않을까 하는 생각도 드네요.

Simon.Park
  0 추천 | 2년 이하 전

개인정보는 "해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와

쉽게 결합하여 알아볼 수 있는 정보"를 말합니다.

이 말이 광범위 해서 해석하기 나름일때가 많을꺼에요.

정말 작은 정보라도 어렵게 어렵게 유추해서 개인을 알아 볼 수 있다면 개인정보이니,

그런 정보가 저장되어 처리 되는 장비라면 개인정보처리시스템이라고 봐야겠죠.

빨간신발
  0 추천 | 2년 이하 전

개인정보는 사번도 개인정보이고, 전화번호, 주소 등으로도 개인정보가 될 수 있습니다.

입사일자, 진급일자, 급여액, 건보료, 가족수당 등도 개인정보가 될 수 있습니다.

보통 개발된 시스템을 보면 B에서 A에 접근해서 개인정보를 열람하고..

B는 사용자에게 개인식별할 수 있는 부분은 제거하고 보여주면..

B는 개인정보처리 시스템인가 아닌가?

B는 개인정보처리 시스템이라고 봐야하지 않을까요?

B가 개인정보에 접근이 가능하고 단지 사용자한테 필터해서 보여주는 것 아닌가요?

예로 개인식별번호를 열람하면 사유 등을 기재하는 시스템이 있는데..

평소에는 주민번호를 다 볼 필요가 없으니 뒷자리를 *로 마스킹하고 앞에 생년월일만 보여줍니다.

전체 주민번호를 열람하려면 사유를 입력하면 열람이 되는 시스템인데...

실제로 사용자 화면에는 *로 마스킹처리 되어 있는데 F12로 개발자모드에 가면 주민번호가 전체가 보이는 경우가 많습니다.

이건 점검오면 100%로 걸리죠.

사용자가 일반적으로 안보인다고 실제 데이터가 안가는 것은 아닐 수 있습니다.

B시스템도 데이터는 끌고 오지만 사용자한테만 필터가 걸리는 것이고, 

필터도 필요에 따라서 조정이 가능하다면 개인정보처리시스템으로 보는 것이 맞을 것으로 생각됩니다.

반대로 A시스템에서 개인정보로 연결될만한 것들을 모두 제외하고 나머지만 B시스템에 접근할 수 있도록 제어가 되고 있다면 B시스템은 개인정보처리시스템은 아닐 것 같습니다.

미생
  0 추천 | 2년 이하 전

A에서 B로 가지고 올 때 데이터를 평문전송할건지 암호화 전송을 할건지

B에 접근하는 사용자가 A의 권한과 동일한지 아니면 
A에는 접근을 못하지만 B만 가능한 이용자가 더 있는지

조합된 정보로 개인을 식별할 수 없다면 B시스템은 개인정보 시스템이라고 볼 수 없다고 볼 수도 있을듯 합니다.

임금명세서 관련으로 비슷한 고민을 하고 있는데, 생각해볼 문제가 많네요.


원본 페이지 보기