마이데이터란 무엇인가....

 현재 핀테크업계에 다니는 보안, 인프라 담당자인 저는 앞으로 회사의 비즈니스를 위해 마이데이터 인증을 진행하여야 합니다. 하여 마이데이터란 무엇인가? 마이데이터는 왜 나왔을까를 간단하게 정리하여 작성하도록 하겠습니다.

최근뿐만아니라 앞으로도 개인정보나 개인데이터들이 여기저기 떠돌아 다니는 것을 우리는 쉽게 볼 수 있습니다. 그러한 데이터를 잘 활용하여 많은 기업들이 비즈니스 활동을 했었는데, 최근 기술의 변화가 생기면서 개인정보, 개인데이터 즉 개인이 자기정보결정권을 강화하여 보다 적극적으로 데이터를 활용 하기 위해 만들어졌습니다.

 저는 금융서비스를 제공하는 업체에 있으므로 금융거래에 관련한 모든 것에 대한 다양한 서비스를 이용하면서 생성되는 개인데이터에 대하여 개인들이 접근하고, 저장하고, 활용할 수 있는 환경을 제공하는 서비스를 제공하는것이 마이데이터의사업이라는 배경이라고 생각합니다.

 마이데이터 관련해서 개인정보 현행법 상 개인정보 범위를 말씀드리자면

개인정보보호법 제2조

"개인정보란"란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 의미

정보통신망법 제2조

"개인정보"란 생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호,문자,음성,음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 의미

신용정보법 제2조

"개인신용정보"는 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보로서 특정 신용정보 주체를 식별할 수 있는 정보, 신용정보 주체의 거래내용을 판단 할 수 있는 정보, 신용정보 주체의 신용도를 판단할 수 있는 정보, 신용정보주체의 신용거래능력을 판단할 수 있는 정보, 그 외 유사 정보로 구분

GDPR 제4조 - 이 부분은 저도 아직 잘 모르는 분야지만 관련 법이므로 작성하겠습니다.

"개인정보"는 식별되거나 식별 가능한 데이터 주체와 관련된 일체의 정보를 의미한다. 식별 가능한 데이터 주체는 이름, 식별번호, 위치데이터, 온라인 식별자 뿐 아니라 신체적, 생리학적, 정신적, 유전적, 감정적, 경제적, 문화적 또는 사회적 정체성 중 하나 이상의 요소를 참조하여 직간접적으로 식별 가능한 사람을 뜻함

 

하여 마이데이터를 활용하기 위하여서는 동의하는 부분이 중요하다고 볼 수 있습니다.

 

마이데이터를 활용해도 좋다는 승인의사를 받아야하며, 개인 중심의 개인데이터 활용에 대한 허가를 받는 것이 가장 필수적인 절차입니다.

- 개인정보보호법 등에서도 개인데이터 수집, 이용, 제공 시 개인의 동의를 기반으로 하도록 명시

- GDPR은 개정 전보다 강화된 동의조건을 제시하여 개인의 통제권과 선택권 보장

개인의 통제권을 보장하면서 개인데이터 활용의 허가서로 통용될 수 있는 동의필요

동일한 의미인 동의는 서비스 간 개인데이터 공유 시 상호호환 가능한 형태로 관리되어야합니다.

- 특히, 제3자가 개인데이터 활용 동의를 받은 경우 개인데이터 보유자는 개인 본인의 제시한 동의가 맞는지 확인 할 수    있어야 제3자의 개인데이터 접근을 허용받아야 데이터를 활용 할 수 있습니다.

 동의란?

정보주체가 진술하거나 적극적인 행동을 통해 자신의 개인정보처리에 대한 긍정적인 의사를 표현하는 것

 유효한 동의의 조건

- 자유롭게 부여된 동의

정보주체에게 강압이나 불이익에 대한 두려움이 없는 상태로 동의에 대한 선택권이 주어져야하며, 컨트롤러는 정보주체가 불이익 없이 동의를 거부하거나 철회할 수 있다는 것을 입증하여야함

- 개별적으로 특정한 동의

개인정보 처리 목적을 사전에 명확하게 정의하고, 여러 개의 목적에 대해 각각에 대한 정보를 분리하여 제공한 뒤 개별적으로 동의를 받아야함

- 사전 정보가 제공된 동의

정보주체의 의사결정에 도움을 줄 수 있도록 동의의 의미, 영향에 대한 정보를 제공해야 하며, 정보제공 시 일반인이 이해할 수 있고 누구나 쉽게 접근 가능한 형태로 제시하여야 함.

- 정보주체의 명확한 의사표시

동의는 개인정보 처리 전 획득되어야 하며 다음과같은 명확한 긍정적인 행위가 있어야 함

(불인정 사례: 사전에 선택된 체크박스 제시, 암묵적 동의, 이용약관에 포괄적 수용 의사표시 등)

명시적 동의

- 정보주체가 서면진술, 동의 의사가 표명된 이메일 발송, 정보주체의 서명이 포함된 문서의 스캔본업로드, 전자서명, 동의에 대한 2단계 검증을 통해 명확한 의사 표시를 하는 것

- 민감정보처리, 역외 이전 시 특정 상황에 대한 예외조항, 프로파일링을 포함한 자동화된 의사결정 등에 해당하는 경우명시적 동의 필요

 동의철회

컨트롤러는 정보주체가 동의를 획득한 행위와 동일한 방식으로 언제든지 동의를 철회할 수 있어야 함.

 참고문헌

http://www.law.go.kr/

https://www.kdata.or.kr/info/info_02.html

댓글

댓글 쓰기

이 블로그의 인기 게시물

AWS 용어

  1.Region AWS에서 사용하는 일종의 IDC의 집합으로서 거의 모든 클라우드 서비스가 탑재되는 곳으로 다수의 Availability Zone으로 구성 한 곳의 AZ가 기능마비되더라도 다른 AZ가 기능을 수행 전세계 주요 대도시에 분포 AWS 사용자는 각 Region마다 별도의 클라우드망을 구성   2.Availability Zone 가용 영역이라 불리우며 IDC, 즉 데이터센터의 역할 보통 3~4개의 AZ가 각 Region마다 존재 하나가 파괴더라도 다른 AZ가 기능을 수행 네트워크 구성에서 하나의 서브넷은 하나의 AZ를 의미   3. On-premise 클라우드 방식이 아닌 자체적으로 보유한 전산실과 같은 인프라를 의미 Edge Location CDN 서비스인 Cloudfront가 사용하는 캐시서버 전세계에 분포되어있으며 Edge Location끼리 데이터를 공유   4. 탄력성(Elasticity)과 확장성(Scalability) 탄력성은 AWS의 상징과도 같은 서비스인 Autoscaling처럼 단시간에 갑작스러운 요구에 따라 사용량을 늘리거나 줄이는 것을 의미(Scale out) 확장성은 장기적인 관점, 즉 아키텍쳐적인 관점에서 예상치를 충분히 감당할 수 있는 리소스를 보유하는 것을 의미(Scale up)   5. Elastic Compute Cloud 가상 서버를 제공하는 서비스 실제 물리서버와 똑같은 형태의 서비스를 제공하며 Linux나 Window 같은 기본 운영체제가 설치 SSH로 원격 연결이 가능(공인 IP가 있는 경우 직접 연결 가능) 기본 동작으로는 시작, 중지,종료,재부팅이 있다. 중지가 가능한 디스크 기반 인스턴스인 EBS 기반 인스턴스와 임시 스토리지를 제공하여 중지가 불가능한 Instance Store 기반 EC2로 나누어진다. 재부팅의 경우 EBS 기반 EC2와 인스턴스 스토어 기반 EC2 모두 사용 가능하나 중지는 EBS기반 EC2만 가능(예: efs, ecs 등은 안됩니다.) 인스턴스 유형으로는 범용, 컴퓨팅 최적화, 메
자세한 내용 보기

AML 체계란 무엇인가?

이미지
  오늘글은 AML 체계에 관련되서 글을 쓰려고 합니다. 최근 오픈뱅킹관련해서 회의를 진행하다 보니 기존의 은행들은 어떻게 운영되고 있었으며, AML 체계란 무엇인지 정리하고자 글을 작성하게 되었습니다. ㅁ 국제 AML  체계에 관하여   [FATF - Financial Action Task Force on Money Laundering] Anti-Money Laundering의 경우 국가 단위로 자금세탁을 방지하기 어려움이 있어 왔습니다. 따라서, 국가간 상호 협력을 통해 자금세탁을 방지하고자 하는 노력으로 G7정상회담에서 1989년 FATF(Financial Action Task Force on Money Laundering )라고 불리우는 국제기구를 설립하게 되었습니다.  설립당시  16 개국에서   시작하여   지금은  37 개   회원국   및   연합과   준회원   및   옵저버를   포함하여  190 여개국에   영향력을   행사하는   단체입니다 .  이단체에서는 자금세탁 방지 및 테러자금 방지를 위한 권고사항을 제공하고 있으며, 정기적으로 회원들 간의 상호 평가를 통하여 자금세탁 방지에대한 노력을 평가하고 준수하지 않는 국가에 대한 금융거래에 패널티를 부여하는 등의 활동을 하고 있습니다. 현재도 우리가 금융을 사용하는데 있어서 많은 피해를 당하지 않는 이유는 이런 세계적인 제도가 있어서 어느정도 완화 되었다고 볼 수 있습니다.  [회원국] 유럽 주요국가(독일, 스위스, 룩셈부르크, 그리스, 등 19개국)은 FATF 정회원 가입국으로 FATF 권고사항을 준수하며, 정기적으로 상호 평가를 수행하도록 하고 있습니다. 그외 유럽국가들은 EU-council 산하의 MoneyVal 프로그램에 가입되어 있으며, 해당 내용은 아래의 그림을 참조하시기 바랍니다. MoneyVal은 FATF의 지역기구로 인정받아 FATF의 권고사항을 준수하고 상호 평가를 수행하고 있습니다. 따라서, 대부분의 국가는 FATF 권고사항을 따르고 있으며, FATF 권고사항에 맞추어
자세한 내용 보기

Cisco 명령어 정리

  오늘은 Cisco 명령을 정리해보려고 합니다. 제가 다니는 회사는 현재 L3에 대한 유지보수를 맺지 않아 장애가 터졌을 시 확인 해야 할 부분을 대비하기 위한 정리입니다. 앞으로는 다른 형식으로 유지보수로 업무기안을 올린 상태지만 우리같은 담당자들은... 대비를 해야합니다. 그런 의미로 정리를 하였습니다.   Cisco router 명령어 정리  1. 라우터 이름 설정   borisrouter#conf t  borisrouter(config)#hostname boris 2. 관리 비밀번호 설정 borisrouter(config)#enable secret (원하는 패스워드  boris )                           enable password  (원하는 패스워드  boris )   3. 텔넷 비밀번호 설정 borisrouter(config)#line vty 0 4 borisrouter(config-line)#login borisrouter(config-line)#password cisco   4. 텔넷 연결 세션 보기 borisrouter#show session   5. 세션 종료 borisrouter#disconnect   6. 라우터 IP 설정 borisrouter#conf t borisrouter(config)#interface fa 0/0 borisrouter(config-if)#ip address 100.100.100.254 255.255.255.0   7. 포트 동작 시키기 borisrouter(config-if)#no shutdown   8. VLAN 1 및 IP 설정 borisrouter(config)interface fastEthernet 0/0.1 borisrouter(config-subif)encapsulation dot1Q 1 native borisrouter(config-subif)ip address 200.2000.200.254 255.255.255.0   9. IPX 동작 시키기 borisrouter#conf t
자세한 내용 보기