'개인정보처리방침'에 해당되는 글 4건

  1. 2015.02.12 2014년 개정 개인정보보호법 핵심 정리
  2. 2013.01.21 기업이 만들어야 할 개인정보보호 지침
  3. 2012.07.04 기업내 개인정보보호책임자의 전문성과 소양
2015.02.12 18:41

2014년 개정 개인정보보호법 핵심 정리


저무는 2014년은 보안 이슈가 풍성했습니다. 개인정보보호와 관련된 각종 사고의 규모도 커졌으며, 이에 대응하는 예방적 법 제도화도 활발히 이뤄졌습니다. 그중에서도 2014년 6월에 개정한 개인정보보호법이 주목을 받았습니다. 한 해를 마무리하며 개정 개인정보보호법의 핵심 내용을 간추려 봅니다.



△ 개인정보는 필수정보만 최소한으로 수집
→ 추가 정보를 수집할 경우 반드시 사용자(고객)의 동의를 받아야 합니다.


△ 주민등록번호와 건강 정보 등 민감정보 수집 금지
→ 범죄 등을 수사하기 위한 법령 등의 근거가 있는 경우가 아니라면 주민등록번호와 민감정보를 수집하거나 사용해선 안됩니다.


△ 수집한 목적과 다르게 사용하거나 제3자 제공 금지
→ 법령의 근거 없이 다른 용도로 사용하거나 외부로 유출하지 않도록 주의를 해야 합니다.


△ 개인정보를 처리할 경우 개인정보 처리방침 공개
→ 개인정보 위탁사실을 포함한 처리방침을 홈페이지나 사업장에 공개해야 합니다.


△ 내부관리계획, 방화벽, 백신, 접근통제 등 안전성 확보 조치
→ 개인정보가 해킹 등으로 유출되지 않도록 공개한 보호조치를 철저히 이행해야 합니다.


△ 개인정보의 이용이 끝난 후에는 반드시 파기
→ 서비스 기간 경과 등 수집한 목적이 달성된 경우 관련 개인정보는 즉시 파기해야 합니다.


△ 개인정보가 유출되었을 경우 즉시 정보주체에게 통보
→ 개인정보가 유출된 것을 인지하면 5일 이내에 서면, 전화, 이메일 등의 방법으로 통보를 해야 합니다.


△ CCTV를 운영할 경우 안내판을 설치
→ 설치목적, 장소, 촬영범위, 담당자 등을 안내하고 운영방침을 수립해 공개해야 합니다.




출처 : pr.mono.co.kr



Trackback 0 Comment 0
2013.01.21 18:35

기업이 만들어야 할 개인정보보호 지침

기업, 개인정보보호법 시행에 따라 법이 정한 지침 만들어야

개인정보처리방침, 개인정보 안전처리를 위한 내부관리계획 등


[보안뉴스= 법률사무소 민후 김경환 대표변호사] 개인정보보호법 시행으로 인하여 정보통신서비스제공자뿐만 아니라 개인정보를 다루는 기업이라면 중소기업도 개인정보보호법이 정한 지침을 만들어야 한다.

 

하지만 개인정보보호에 관한 지침을 만드는 것이 쉽지만은 않은데, 일단 종류를 설명하고 구체적인 내용을 다루어 보기로 한다.


개인정보보호에 관한 지침으로는 1) 개인정보처리방침(개인정보취급방침), 2) 개인정보 안전처리를 위한 내부관리계획, 3) 개인정보안전성확보지침이 있다.


1) 개인정보처리방침이란 기업이 개인정보 처리에 관한 자신의 내부 방침을 정하여 공개한 자율적 기준이다. 개인정보처리방침은 개인정보보호법 제30조, 시행령 제31조에 그 자세한 내용이 설명되어 있다. 다만, 정보통신서비스 제공자는 개인정보처리방침이라 하지 않고 개인정보취급방침이라고 칭한다(정보통신망법 제27조의2).


개인정보처리방침에는 다음과 같은 10가지 내용이 반드시 포함되어 있어야 한다(필수적 기재사항).


1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

5. 정보주체의 권리·의무 및 그 행사방법에 관한 사항

6. 처리하는 개인정보의 항목

7. 개인정보의 파기에 관한 사항

8. 개인정보보호책임자에 관한 사항

9. 개인정보처리방침의 변경에 관한 사항

10. 개인정보의 안전성 확보조치에 관한 사항


위 10가지 사항 이외에 아래 사항은 임의로 포함할 수 있다(임의적 기재사항).


11. 정보주체의 권익침해에 관한 구제방법

12. 개인정보의 열람청구를 접수·처리하는 부서


개인정보처리방침은 제정한 다음 이를 정보주체에게 공개해야 하고, 만일 변경하는 경우에도 정보주체에게 공개해야 한다. 이러한 개인정보처리방침은 ‘이용약관’은 아니므로 기업은 이용약관을 만들어 게재했다고 하여 개인정보처리방침을 생략해서는 아니 된다.


개인정보처리방침을 만들 때는 행정안전부가 제정한 ‘표준 개인정보 보호지침’를 참조하거나 또는 개인정보보호 종합지원포털(http://www.privacy.go.kr)에 방문하여 지원을 받을 수 있다.


2) 개인정보안전처리를 위한 내부관리계획(이하 ‘내부관리계획’이라 함)은 개인정보보호법 제29조, 시행령 제30조에 근거를 두고 있다. 내부관리계획이란 기업이 개인정보를 안전하게 처리하기 위하여 내부 의사결정절차를 통하여 수립·시행하는 내부 기준을 의미하는데, 개인정보의 안전성확보조치 중 관리적 보호조치로 분류된다.


내부관리계획은 개인정보 주체에 알리는 것이 아니라 개인정보를 다루는 내부 임직원 및 관련자에게 공지하고 강제하는 점에서 개인정보 주체에게 공개하는 개인정보처리방침과는 구분된다.


내부관리계획은 개인정보 보호조직의 구성 및 운영에 관한 사항이 포함되어 있어야 하는데, 구체적으로는 아래와 같다.


1. 개인정보 보호책임자의 지정에 관한 사항

2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항

3. 개인정보의 안전성 확보에 필요한 조치에 관한 사항

4. 개인정보취급자에 대한 교육에 관한 사항

5. 기타 개인정보 보호를 위하여 필요한 사항


내부관리계획은 경영진에 대한 보고, 경영진의 승인 및 결재를 거쳐 내부적으로 시행되어야 하며, 관련 법령이 변경되는 때에는 계획을 변경하여 즉시 반영해야 하고, 기업의 전 직원뿐만 아니라 개인정보의 수탁업체도 준수할 수 있게 공개·교육해야 한다.


3) 개인정보안전성확보지침은 개인정보의 안전성 확보를 위한 기술적인 기준을 의미하는데, 내부관리계획이 안전성확보조치 중 관리적 보호조치라면, 개인정보안전성확보지침은 기술적·물리적 보호조치라 할 수 있다.


개인정보안전성확보지침은 내부관리계획과 별도로 제정해도 되지만 내부관리계획에 포함해도 무방하다. 반대로 개인정보안전성확보지침에 내부관리계획을 포함해도 된다.


개인정보안전성확보지침에는 다음과 같은 사항이 포함되어 있어야 한다.


1. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 및 비밀번호 관리에 대한 사항

2. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치에 대한 사항

3. 개인정보 침해사고의 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치에 대한 사항

4. 개인정보에 대한 보안프로그램의 설치 및 갱신에 대한 사항

5. 물리적 접근방지에 관한 조치에 대한 사항


개인정보안전성확보지침을 만들 때에는 행정안전부가 제정한 ‘개인정보의 안전성 확보조치 기준 고시’나 방송통신위원회가 제정한 ‘개인정보의 기술적·관리적 보호조치 기준’을 참조하면 시간을 절약할 수 있다.

[글_ 법률사무소 민후 김 경 환 대표변호사(hi@minwho.kr)]



출처 : 보안뉴스


Trackback 0 Comment 0
2012.07.04 20:19

기업내 개인정보보호책임자의 전문성과 소양

정보서비스가 발달하는 만큼 해킹이나 개인정보 유출과 같은 침해에 대한 우려도 함께 증가하고 있다. 정유사, 백화점 등의 대규모 해킹사고 이후 작년에는 금융기관의 개인정보도 유출됐고 최근에는 방송사의 개인정보 유출사고까지 지속적으로 언론을 통해 알려지고 있다.


과거의 해킹이 보안담당자가 책임지고 방어하는 전문적인 영역으로 인식되었다면, 최근의 해킹은 개인정보 유출로 이어지면서 담당자의 부주의와 개인정보의 관리 소홀 등 다양한 원인과 연계되어 전사적인 대책을 요구하는 문제로 확대되고 있다.


더 이상 정보보안 영역만의 일이 아니다

특히, 개인정보 유출로 인한 기업의 피해도 이미지 손실로 인한 매출 감소뿐 아니라 대규모 피해보상 소송으로 인한 금전적인 부담으로 이어지면서 기업의 생존을 위협하는 수준으로 확대되었다.


이 때문에 기업의 개인정보보호를 책임지고 있는 개인정보보호책임자의 중요성이 점차 부각되고 있다. 개인정보보호법에서도 사업주, 대표자, 개인정보처리 관련부서의 장, 개인정보보호에 소양이 있는 사람 등으로 개인정보보호책임자의 자격을 지정하고 있다. 개인정보보호책임자가 기업의 개인정보 유출을 예방하기 위한 각종 조치들을 총괄하기 위해 개인정보보호에 대한 전문성과 소양을 갖춘 책임자의 최소한의 기준을 제시한 것이다.


개인정보보호책임자는 무엇을 해야 하나?

개인정보보호책임자는 개인정보보호법에 명시된 다음과 같은 임무수행을 통해 기관이나 기업의 개인정보처리 전반에 대한 감독과 관리를 책임진다.


1. 개인정보보호 계획의 수립과 시행

갈수록 다양화되고 지능화되는 해킹사고를 막기 위해서는 침해예방을 위한 정책도 보다 체계적으로 수행되어야 한다. 전사적인 개인정보보호 계획을 수립하여 시행하는 것은 체계적인 침해예방을 위한 가장 중요한 업무로 볼 수 있다. 개인정보보호 계획은 개인정보 취급자들의 자격과 권한, 업무처리절차, 보호조치 강화대책, 관리감독 및 교육 등을 포함하는 여러 가지 문서로 수립될 수 있다. 중앙부처에서는 개인정보보호 기본계획과 시행계획을 수립·시행해야 하며, 그 외의 기관이나 기업들도 내부관리계획, 개인정보처리방침, 개인정보취급자에 대한 교육계획 등을 수립·시행해야 한다.


특히, 내부관리계획은 개인정보를 안전하게 관리하고 처리하기 위한 각종 보호조치와 업무처리절차를 이행하기 위한 계획으로 상시근무자 5인 이상의 모든 기업에서 의무적으로 수립·시행해야 한다. 아울러 보유하고 있는 개인정보파일에 대한 처리목적, 항목, 보유기간, 처리방법 등을 정의한 개인정보처리방침도 반드시 수립·공개해야 하는 의무사항이다.


2. 개인정보 처리실태 조사 및 관리감독

개인정보를 이용하는 다양한 서비스들이 계속 개발·확산되고 있기 때문에 기관이나 기업에서 개인정보를 취급하는 부서나 담당자의 수와 역할도 점차 확대되고 있다. 이에 따라 개인정보보호책임자의 책임범위도 고객부서나 정보보호부서 뿐 아니라 전사적인 차원에서 모든 직원들을 관리·감독해야 하는 수준으로 확대됐다.


개인정보 취급자들이 정당한 절차 없이 개인정보를 열람하거나 임의로 개인 PC에 저장하여 다른 목적에 이용하는 것은 중요한 침해행위에 해당되므로 이를 예방하기 위해 개인정보보호책임자가 정기적으로 업무처리 실태를 점검하고 개인 PC에 저장된 자료들도 검사해야 한다. 또한, 개인정보를 삭제하는데 소극적인 기존의 관행을 개선하여 처리목적이 달성된 개인정보를 즉시 삭제하도록 개선하는 것도 개인정보보호책임자가 중점을 두어 관리해야 할 사항이다.


3. 개인정보 침해예방 및 민원처리

개인정보보호책임자는 개인정보가 유출되거나 오남용되지 않도록 내부통제 시스템을 갖추어야 한다. 내부 직원에 의한 개인정보 유출이나 목적외 이용은 개인정보 침해신고센터로 접수되는 대표적인 침해유형으로 이를 방지하기 위해서는 개인정보보호책임자가 취급자별로 권한을 제한하고 열람기록에 대한 정기적인 감사를 통해 불법적인 개인정보 열람을 방지해야 한다. 이외에도 개인정보처리시스템의 보호를 위해 방화벽, 백신, 접근통제 시스템을 구축하고 취급자별 시스템 접근 기록을 6개월 이상 보존하는 등 기술적인 조치도 점검해야 할 사항이다.


개인정보보호책임자에게는 침해예방뿐 아니라 정보주체의 권리를 보장하고 구제하는 책임도 부여되어 있다. 우선 정보주체의 열람·정정·삭제·처리정지 등의 요구를 이행하기 위해 담당자를 지정하고 관련서식 및 업무처리절차를 정립하는 등의 조치를 마련해야 한다. 또한, 개인정보보호법 시행으로 유출사고가 발생했음을 인지하면 2차 피해가 발생하지 않도록 즉시 정보주체에게 메일이나 전화 등으로 고지해야 하며, 1만건 이상의 정보가 유출되었을 때는 행정안전부나 전문기관에 신고도 해야 한다.


이렇게 침해사고가 발생했을 때 의무적으로 조치해야 할 사항들을 법에서 정한 기한 내에 이행하기 위해서는 개인정보보호책임자가 주관하여 침해대응절차를 마련하고 담당자들에 대한 교육을 실시할 필요가 있다.


지금까지 살펴본 개인정보보호책임자의 역할 중에서도 현장에서 특히 중점을 두고 확인해야 할 사항들을 뽑아보면 다음과 같다. 먼저, 조직 내에서 주민등록번호를 수집하여 처리하는 업무들에 대한 분석과 개인정보 수집서식의 검토를 통해 주민등록번호의 이용을 제한하고 개인정보의 수집을 최소한으로 줄여가는 노력을 계속해야 한다. 둘째, CCTV를 통해 촬영되는 영상정보도 개인정보이므로 CCTV의 설치목적을 점검하고 영상정보의 열람·보관에 대한 관리감독도 철저히 해야 한다.


마지막으로 개인정보 처리를 위탁하여 운영하는 과정에서 개인정보 침해가 발생할 경우 판례에 의해 수탁 받은 회사를 위탁한 회사의 개인정보 취급자로 보고 있으므로 위탁회사에 대한 관리감독을 강화해야 한다. 개인정보를 외부업체에 위탁할 때는 계약서에 처리절차와 책임을 명시하고 위탁업체 담당자에 대한 충분한 교육을 실시해야 하며, 위탁사실을 홈페이지 등을 통해 정보주체에게 알리는 것도 누락되지 않도록 주의해야 한다.


충분한 역량과 의지를 갖춘 사람을 개인정보보호책임자로 임명해야

개인정보보호책임자의 역할과 책임이 강화되고 중요해진 만큼 충분한 역량과 자세를 갖춘 사람을 개인정보보호책임자로 임명하는 것도 중요해졌다.


그동안은 개인정보보호책임자가 책임만 있는 형식적인 역할로 인식되어 기업의 임원들 간에 개인정보보호책임자가 되지 않기 위해 서로 미루는 모습을 보이기도 했다. 그러나 개인정보 유출이 발생한 기업들의 예에서 보면 개인정보보호가 기업의 이미지는 물론 경영성과에까지 영향을 미치고 있기 때문에 이제 개인정보보호책임자는 기업의 가장 중요한 역할을 수행하는 자리가 되었다.


이러한 개인정보보호책임자에게 필요한 역량으로 먼저 전사적인 개인정보보호 계획을 수립하여 추진할 수 있는 충분한 지식과 소양을 들 수 있다. 정보주체에 대한 권리를 우선시하는 개인정보보호의 취지와 원칙, 개인정보보호 관련법령의 주요내용, 조직 내의 개인정보 처리업무 현황, 조직의 업무 수행에 필요한 법률지식 등에 대한 소양과 잘못된 부분을 찾아내 개선할 수 있는 역량을 갖추어야 한다.


개인정보보호책임자에게 추가로 필요한 것은 조직의 개인정보보호 수준을 향상시키고자 하는 적극적인 자세와 의지다. 흔히 개인정보보호가 특정 시스템을 도입하거나 서식을 만드는 등의 조치만으로 완성된다고 오해하는 경우가 많다. 그러나 조직 내의 모든 개인정보 취급자들의 업무처리 형태를 분석하고 잘못된 관행을 개선하면서 다양화되고 전문화되는 해킹기술에 대응하여 각종 보호조치를 취하는 것은 여간 어려운 문제가 아니다. 이 때문에 개인정보보호책임자의 적극적인 관리감독과 전반적으로 보호 수준을 높여가겠다는 의지가 있어야만 현장에서 개인정보보호가 정착될 수 있다.


개인정보보호는 조직의 가장 큰 리스크를 관리하는 필수활동

대부분의 공공기관과 기업들이 고객을 가장 중요한 가치로 정의하고 고객만족을 위한 노력을 기울이고 있다. 특히, 고객들이 믿고 맡긴 개인정보를 안전하게 관리하는 것은 기업의 기본 책무이다.

개인정보보호가 제대로 이루어지지 않는다면 고객에 대한 기본 신뢰가 무너지는 것이고 조직 경영의 큰 리스크가 된다. 관리자가 가져야할 기본 책무로 리스크 매니지먼트를 꼽는다. 각각의 업무 프로세스, 비즈니스 서비스 단계별로 조직에서 고객 신뢰를 잃고 경영위기를 초래하는 리스크가 무엇인지 챙기는 노력이 절실하다.


그런 의미에서 개인정보보호는 조직의 가장 큰 리스크를 관리하는 중요한 활동으로 조직 경영의 필수요소라고 할 수 있다. 개인정보보호책임자는 조직에서 가장 필수적인 경영전략을 책임지고 있음을 스스로 인식하여 법에 의해 부여된 역할을 차질 없이 수행하고 조직의 개인정보보호 수준 향상을 위한 적극적인 노력을 기울여야 한다.


개인정보를 처리하는 공공기관과 사업자는 개인정보보호책임자의 역할을 존중하고 전사적인 개인정보보호 활동이 이루어질 수 있도록 지원을 아끼지 않아야 한다. 이와 함께 개인정보보호책임자들이 맡은 바 책임을 다함으로써 개인정보보호 문화의 확산과 개인정보보호법의 조기 정착이 이루어질 수 있을 것으로 기대한다.

[글 _ 한 순 기 행정안전부 개인정보보호과장(cool@korea.kr)]


출처 : 보안뉴스


Trackback 0 Comment 0