1. 개인 정보 보호 전략 수립하기
1-1. 개인 정보 보호 환경 분석
1) 개인 정보 보호 원칙
국내 개인정보보호법은 국제적으로 통용되고 있는 8가지 원칙을 반영하고 있다. 개인정보보호 처리자는 이러한 원칙에 따라 개인 정보를 취급하여야 한다.
| 조항 | 내용 | OECD 원칙 |
| 제1항 | 개인 정보 처리자는 개인 정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인 정보만을 적법하고 정당하게 수집하여야 한다. | 수집 제한의 원칙 |
| 제2항 | 개인 정보 처리자는 개인 정보의 처리 목적에 필요한 범위에서 적합하게 개인 정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다. | 목적 명확화의 원칙 |
| 제3항 | 개인 정보 처리자는 개인 정보의 처리 목적에 필요한 범위에서 개인 정보의 정확성, 안전성 및 최신성이 보장되도록 하여야 한다. | 데이터 품질의 원칙 |
| 제4항 | 개인 정보 처리자는 개인 정보의 처리 방법 및 종류 등에 따라 정보 주체의 권리가 침해 받을 가능성과 위험 정도를 고려하여 안전하게 관리하여야 한다. | 안전성 확보의 원칙 |
| 제5항 | 개인 정보 처리자는 개인 정보 처리 방침 등 개인 정보의 처리에 관한 사항을 공개하여야 하며, 열람 청구권 등 정보 주체의 권리를 보장하여야 한다. | 공개의 원칙 개인 참여의 원칙 |
| 제6항 | 개인 정보 처리자는 정보 주체의 사생활 침해를 최소화 하는 방법으로 개인 정보를 처리하여야 한다. | 이용 제한의 원칙 |
| 제7항 | 개인 정보 처리자는 개인 정보의 익명 처리가 가능한 경우에는 익명에 의하여 처리될 수 있도록 하여야 한다. | 안전성 확보의 원칙 |
| 제8항 | 개인 정보 처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보 주체의 신뢰를 얻기 위하여 노력한다. | 책임성의 원칙 |
2) 개인 정보 보호 정의
| 용어 | 내용 | 관련 법률 |
| 개인 정보 | - 살아 있는 개인에 관한 정보 - 성명, 주민 등록 번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 |
개인 정보 보호법 제 2조 |
| 고유 식별 정보 |
- 주민 등록 번호 - 여권 번호 - 면허 번호 - 외국인 등록 번호 |
개인 정보 보호 시행령 제 23조 |
| 민감 정보 | - 사상 ·신념, 노동 조합 | 개인 정보 보호법 제 23조 |
| - 유전 정보 - 범죄 경력 자료에 해당하는 정보 |
개인 정보 보호법 제 23조 시행령 제 22조 |
|
| 신용정보 | - 특정 신용 정보 주체를 식별할 수 있는 정보 - 신용 정보 주체의 거래 내용을 판단할 수 있는 정보 - 신용 정보 주체의 신용도를 판단 할 수 있는 정보 |
신용정보법 제 2조 |
3) 개인 정보 보호법
| 구분 | 주요 내용 | |
| 제1장 | 총칙 | - 개인 정보 보호법 목적, 용어 정의 - 개인 정보 보호 원칙 - 정보 주체 권리, 책무, 법률과의 관계 |
| 제2장 | 개인 정보 보호 정책의 수립 등 | - 개인 정보 보호 위원회 및 기본 계획, 시행 계획 - 개인 정보 보호 지침 및 자율 규제의 촉진, 지원 |
| 제3장 | 개인 정보의 처리 | - 개인 정보 수집 이용 제공 파기 등 - 민감 정보 및 고유 식별 정보 처리 제한 - 영상 정보, 업무 위탁, 영업 양도, 개인 정보 취급자 감독 |
| 제4장 | 개인 정보의 안전한 관리 | - 기술적, 관리적, 물리적 조치 - 처리 방침 수립, 책임자 지정 - 개인 정보 영향 평가, 유출 통지 등 |
| 제5장 | 정보 주체의 권리 보장 | - 개인 정보 열람 - 개인 정보 정정 · 삭제 · 처리 정지 등 - 권리 행사 방법 및 절차, 손해배상 책임 |
| 제6장 | 개인 정보 분쟁 위원회 | - 설치 및 구성 - 분쟁 조정 신청 및 효력, 집단 분쟁 조정 |
| 제7장 | 개인 정보 단체 소송 | - 단체 소송 대상 및 관할 - 단체 소송 허가 신청 및 허가 요건 등 - 단체 소송 절차(민사소송법 준용) |
| 제8장 | 보칙 | - 적용 일부 제외 및 금지 행위, 비밀 유지 - 의견 제시, 개선 권고, 시정 조치, 고발, 징계 권고 - 권한의 위임 · 위탁, 벌칙 적용시의 공무원 의제 |
| 제9장 | 벌칙 | - 벌칙, 양벌 규정, 과태료 |
4) 개인 정보 생명주기(모델)
개인정보 대책, 개인정보 영향 평가, 개인정보 관리 체계 인증 등을 수행하기 위하여 개인정보 생명 주기 모델이 활용되고 있다. 개인정보는 개인정보가 수집되고 파기되는 생명 주기 전반에 걸쳐 관리되어야 한다.
- 수집
서비스 이용 단계에서 정보 주체의 개인 정보를 수집하는 단계
- 저장 · 관리
개인 정보를 DB에 저장하고 인가된 사용자에게만 접근을 허용하는 단계
- 이용・제공
서비스를 이용하거나 제3자 제공 및 위탁하는 단계
- 파기
개인 정보 보유 기간 또는 목적 종료 후 파기하는 단계
5) 개인정보보호 관리체계 프레임워크
인정보보호 관리 체계(PIMS: Personal Information Management System) 개인정보보호 관리 체계는 체계적이고 지속적인 개인정보보호 수행을 위하여 필요한 관리 과정, 구체적인 관리적・기술적・물리적 보호 조치, 생명 주기 3개 분야로 구분되어있다. 통제 항목은 총 86개이며 관리 과정 16개, 보호 조치 50개, 생명 주기 20개로 총 86개로 구성되어 있다.
6) 개인정보보호 관련 법률
| 분야 | 개인 정보 보호 관련 법률 |
| 개인 정보 보호 일반 | 개인 정보 보호법 |
| 정보 통신 분야 | 정보 통신망 이용 촉진 및 정보 보호 등에 관한 법률 |
| 개인 위치 정보 분야 | 위치 정보의 보호 및 이용 등에 관한 법률 |
| 금융 ・ 신용 거래 분야 | 신용 정보의 이용 및 보호에 관한 법률 |
| 교육 분야 | 교육 기본법 |
| 보건 ・ 의료 분야 | 보건 의료 기본법, 생명윤리 및 안전에 관한 법 |
7) 개인 정보 보호 거버넌스 목표
| 목표 | 활동 |
| 책임성 | 최고 경영진을 포함한 모든 조직 구성원이 개인 정보 보호에 대한 책임과 역할을 가지고 통제 활동을 수행한다. |
| 비즈니스 연계성 | 개인 정보 보호 전략이 비즈니스 전략과 연계되어야 한다. |
| 준거성 | 개인 정보 보호법 규제뿐만 아니라 기업 내부 정책 ・ 지침 등에 대한 준거 여부를 상시 모니터링하고 개인 정보 보호 활동을 지속 실행 ・ 개선 할 수 있는 개인 정보 보호 관리 체계를 구축한다. |
8) 개인 정보 보호 거버넌스 프레임 워크
개인정보보호 거버넌스 프레임워크를 활용하여 전사적 개인정보보호를 위한 의사결정에 필요한 사항을 도출한다.
① 개인정보보호 전략 및 리스크 관리
ⓐ 의사 결정구조
개인정보보호 전략과 위험 관리를 수행하는 조직과 프로세스를 의미한다. 개인 정보 책임자(CPO)와 개인정보보호위원회가 보통 이에 해당한다.
ⓑ 의사소통 구조
의사 결정을 지원하는 조직과 프로세스를 의미한다. 개인정보보호 조직, 정보 보호 조직, 법률 부서, 전 임직원이 이에 해당한다.
ⓒ 개인정보보호 교육
개인정보보호에 대한 인식을 제고하기 위하여 교육 프로그램을 기획・개발하고 모범 사례를 발굴하여 전파한다
② 개인정보보호 개발과 서비스 관리
ⓐ 개인정보보호 정책 및 절차
개인정보보호 전략에 맞는 정책, 프로세스, 아키텍처 등 전사 개인정보보호 표준을 수립하고 통제한다.
ⓑ 개인정보보호 개발 및 운영 표준
개인정보보호를 준수할 수 있는 개발 표준 수립, ITIL 표준에 기반한 시스템 운영을 통하여 개인정보보호 체계를 성공적으로 운영 및 관리한다.
ⓒ 개인정보보호 품질 관리
개인정보보호 개발 및 운영에 대한 보안 품질을 보증한다.
ⓓ 유틸리티 서비스
개인정보보호 거버넌스를 효율적으로 운영하기 위한 도구를 제공한다.
③ 개인정보보호 컴플라이언스 관리
개인정보보호 법률・규제 등에 대하여 컴플라이언스 보증 활동을 수행한다.
④ 개인정보보호 성과 관리
개인정보보호 성과를 측정하고 모범 사례・개선 사항을 도출하여 전략에 반영될 수 있도록 한다.
9) 개인정보보호 관련 자격증
| 구분 | 설명 | 비고 |
| CPPG | - Certified Privacy Protection General - 개인 정보 보호 관리사 - 개인 정보 보호 정책 및 대처 방법론에 대한 지식 및 능력 평가 |
- 등록 민간 자격 - (사)한국CPO포럼 |
| CPPF | - Certified Privacy Protection Foundation - 개인 정보 취급사 - 개인 정보 보호 법률 및 정책에 대한 소양 지식을 갖추고 개인 정보 취급 직무 수행 능력을 평가 |
- 등록 민간 자격 - (사)한국CPO포럼 |
| PIP | - Personal Information Protector - 개인 정보 보호사 - 개인 정보 취급자로서 개인 정보를 적정하게 취급할 수 있는 능력을 평가 |
- 등록 민간 자격 - (사)벤처기업협회 |
| PIMS 심사 | - Personal Information Management System 심사원 - 인증 제도, 인증 기준, 개인 정보 생명 주기, 개인 정보 보호 이론 및 기술, 관련 법률 지식 및 심사 능력을 평 |
- 인증 심사원 - 한국인터넷진흥 |
10) 개인정보보호 자원 계획 수립
① 개인정보보호 자원 계획 수립을 위하여 필요한 자원을 준비한다.
- 개인정보보호 자원 규모를 추정한다.
개인정보보호 로드맵을 추진하기 위하여 필요한 소프트웨어, 하드웨어, 인적 자원에대한 규모와 비용을 추정한다.
- 개인정보보호 자원 보유 현황을 분석한다.
현재 보유하고 있는 소프트웨어, 하드웨어, 인적 자원 현황을 조사하여 과제 수행시 활용 가능한 자원 현황을 파악한다.
② 개인정보보호 조직 구성 및 책임과 역할을 명세화한다.
개인정보보호 거버넌스가 효과적으로 운영되고 개인정보보호 로드맵에 따라 세부 과제가 올바르게 계획이 수립되고 수행될 수 있도록 관리하고 소통하기 위한 개인정보보호 조직을 구성하고 각 조직과 담당자의 책임과 역할을 정의한다.
ⓐ 개인 정보 보호 책임자 –임원・부서장
* 개인 정보 보호 계획의 수립 및 시행
* 개인 정보 처리 실태 및 관행의 정기적인 조사 및 시행
* 개인 정보 처리와 관련한 불만의 처리 및 피해 구제
* 개인 정보 유출 및 오・남용 방지를 위한 내부 통제 시스템 구축
* 개인 정보 보호 교육 계획의 수립 및 시행
* 개인 정보 파일의 보호 및 관리・감독
* 개인 정보 처리 방침의 수립・변경・시행
* 처리 목적이 달성되거나 보유 기간이 지난 개인 정보의 파기
* 개인 정보 처리 위탁 업체를 대상으로 한 개인 정보 관리 현황 조사 및 개선
ⓑ 개인정보보호 담당자 - 개인 정보 보호 책임자가 임명
* 개인 정보 보호 책임자의 위임 업무 수행
* 개인 정보 보호 부서별/기능별 책임자 관리・감독
* 개인 정보 보호 거버넌스 운영 실태 관리・감독
* 개인 정보 보호 업무 수행 담당 업무 분장
ⓒ 개인 정보 보호 부서별/기능별 책임자 –부서장/기능장
* 개인 정보 취급자의 개인정보보호 업무 지도・감독
* 개인 정보 처리 시스템 안전성 확보 조치
* 개인 정보 열람, 정정, 이용・제공 등 처리 관리
* 개인 정보 보유 파일(대장) 등록・변경・파기 관리
* 기타 개인정보보호를 위하여 필요한 사항 등
ⓓ 개인정보 보호 부서별/기능별 담당자 –개인 정보 보호 부서별/기능별 책임자가 임명
* 개인 정보 보호 기술적・관리적 보호 수행
* 개인 정보 보호 법적 서식 및 대장 작성・관리
* 개인 정보 보호 실태 자체 점검 수행
ⓔ 개인 정보 취급자
* 개인 정보 보호 활동 참여
* 개인 정보 기술적・관리적 보호 조치 준수
* 개인 정보 열람, 정정, 이용, 제공 등 처리 관리
* 개인 정보 보유 파일(대장) 등록・변경・파기 운영
* 개인 정보 열람・정정・이용・제공 등 운영
ⓕ 개인 정보 보호 위원회
* 개인 정보 보호 관련 주요 사업・이슈에 대한 심의
'민간 자격증 > 정보보호관리사' 카테고리의 다른 글
| 3. 정보 보호 정책 기획 (0) | 2024.07.04 |
|---|---|
| 1. 정보 보호 거버넌스 구현 (0) | 2024.07.01 |
댓글