여성 개인정보보호 전문가 특강_토스

강사 박정은 (비바리퍼블리카(토스) 개인정보보호팀 매니저) 

개인정보보호 분야에서는 주로 경력직을 뽑음
개인정보보호 담당자로 실무를 하기 위해 갖출 것
- 어떤 업권의 취업을 희망하는지에 대한 결정 - 금융, 제조업 IT기업, 보안컨설팅
- 개인정보보호법을 포함한 데이터3법에 대한 이해 > 법의 취지와 맥락
- 데이터3법의 하위 법령, 고시에 해당하는 내용에 대한 이해
- 불법 스팸 컴플라이언스에 대한 이해
- 도움 받을 수 있는 것 : 법령 해석 가이드 

실무자로서 가장 기초가 되는 것:
- 법의 이해
- 기술적인 부분의 이해
- 유연한 사고 

개인정보란, 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보 (사망자 정보 x , 법인 정보 x)
- 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보
- 가명정보
개인신용정보란, 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보
- 개인 자산 정보, 부동산 정보, 월소득, 보험정보, 개인대출, 보증, 연체, 부도, 개인신용평점...

토스(금융권)에서 개인정보보호 담당자로 일하기

데이터3법 : 개인정보보호법, 정보통신망법, 신용정보보호법
- 전자금융업자로서의 - 전자금융거래법 및 시행령, 하위고시
- 마이데이터사업자(본인신용정보관리업)로서의 - 신용정보법 및 시행령, 하위 고시
- 정보통신망을 통해 서비스하는 IT회사로서의 - 정보통신망법
- 위 3가지 특별법에 플러스로 일반적으로 지켜야하는 - 개인정보보호법

개인정보보호법과 신용정보보호법의 관계
- 개인정보보호법 : 일반법
- 신용정보보호법 : 특별법
- 개인신용정보 처리 시에는 신용정보법 적용 -> 여기 없는 내용은 모두 개인정보보호법 적용 

토스앱의 서비스는 약 90개! 90%의 서비스가 개인(신용)정보가 처리됨! 
우선적으로 해야하는 일 ? -> PO (Product Owner) 검토, 개인정보 처리방침 업데이트
- 개인정보 수집.이용 동의서
- 동의서에 대한 내용을 개인정보 처리방침에 업데이트
- 실제로 이용하는 개인정보, DB 테이블 정합성 검증
- 데이터는 암호화 처리가 되는지?
- 서비스 중간의 변경이 없는지?
- 서비스 종료 시 파기해야하는 개인정보는 없는지? 

금융감독원 검사
- IT부문 검사, 마이데이터 부문 검사, 종합검사
- 전자금융감독규정, 신용정보업감독규정 -> '시험' ex) 망분리, 클라우드, 정보 폐기, 권한 설정 등 

토스에서 취득한 라이선스 및 보안인증
- 본인확인기관(PASS, TOSS, 카뱅, etc.), 전자서명인증사업자, 공인전자문서중계자, 마이데이터
- ISO 27001, 27701(개인정보), 27017(cloud)
- ISMS-P
- PCI-DSS (신용카드 비자 ..)
- (진행중) CBPR : 국경간 프라이버시보호규칙

인증 획득을 위한 작업:
- 자산 식별, 자산 평가, GAP 분석, 위험평가, 개인정보 흐름표 및 흐름도 작성, 통제항목에 대한 평가 등