(3) 내부관리계획의 수립∙시행
이용자의 개인정보를 보호하기 위한 조치를 적절히 시행하기 위해서는 회사전체에 통용되는 내부규정이 필요하게 된다. 이를 기초로 세부 지침이나 안내서를 마련하여 사원 전원이 동일한 행동을 취할 수 있도록 할 필요가 있다.
정보통신서비스 제공자등은 취급하는 개인정보가 분실∙도난∙누출∙변조 또는 훼손 되지 아니하도록 안전성을 확보하기 위하여 개인정보보호 활동에 대한 조직 내부의 개인정보 관리계획을 수립하고, 최고경영층으로부터 승인을 받아 모든 임직원 및 관련자에게 알림으로써 이를 준수할 수 있도록 하여야 한다.
- 이와 같이 내부관리계획을 수립하도록 하는 이유는 개인정보보호 활동이 임기응변식이 아니라 체계적이고 전사적인 계획 내에서 수행될 수 있도록 하는데 목적이 있으며, 이를 위하여 경영층의 방향제시와 지원이 필수적이다.
제3조(내부관리계획의 수립∙시행) ① 개인정보 보호 조직의 구성 및 운영은 다음 각 호의 사항을 포함하여야 한다.
내부관리계획에는 개인정보 보호 조직의 구성 및 운영에 관한 다음과 같은 사항을 포함하여야 한다.
- 개인정보관리책임자의 자격요건 및 지정에 관한 사항
- 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보 내부관리계획의 수립 및 승인에 관한 사항
- 개인정보의 기술적∙관리적 보호조치 이행 여부의 내부 점검에 관한 사항
- 제4조 내지 제9조에 관한 세부사항
제4조(접근통제), 제5조(접속기록의 위∙변조 방지), 제6조(개인정보의 암호화), 제7조(악성프로그램 방지), 제8조(출력∙복사시 보호조치), 제9조(개인정보 표시제한 보호조치)
- 그 밖에 개인정보보호를 위해 필요한 사항
1. 개인정보관리책임자의 자격요건 및 지정에 관한 사항
개인정보관리책임자의 자격요건
- 원칙적으로 법 시행령 제13조에 따라 임원의 지위에 해당하는 개인정보관리책임자(CPO: Chief Privacy Officer) 직제를 신설하거나, 이용자의 개인정보 보호 업무를 위해 조직된 부서의 장 등을 지정할 수 있다.
- 또는, 정보통신서비스 제공자등의 사업 환경에 따라 이용자 개인정보를 주로 활용하는 업무를 수행하는 부서(고객 응대, 마케팅, 경영지원 등)나 정보보호 업무를 수행하는 부서에서 본연의 업무와 동시에 개인정보와 관련된 이용자의 고충처리를 담당하게 되는 경우 해당 부서의 장이 개인정보관리책임자에 지정될 수도 있다. 만약 본연의 사업(마케팅 등) 업무와 개인정보보호 업무 간에 충돌이 발생할 경우 개인정보관리 책임자는 우선적으로 개인정보보호에 무게를 두는 것이 바람직하다.
- 조직 내에 정보보호(Security) 업무를 총괄하는 정보보호책임자(Chief Security Officer)가 별도로 있는 경우에는 기술적 조치에 관하여 상호간의 업무를 분명하게 분장하여야 한다. 정보통신서비스 제공자등은 개인정보관리책임자와 정보보호 책임자로 동일인을 지정할 수도 있다.
- 개인정보관리책임자는 정보보안 관련 지식뿐만 아니라 개인정보 취급에 관한 법∙제도적인 측면 등의 다양한 지식을 습득할 필요가 있다.
관련 법규: 법 시행령 제13조 (개인정보관리책임자의 자격요건 등) ① 정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자(이하“정보통신서비스 제공자등”이라 한다.)가 법 제27조제1항 본문에 따라 지정하는 개인정보관리책임자는 다음 각 호의 어느 하나에 해당하는 지위에 있는 자로 하여야 한다. <개정 2009.1.28> 1. 임원 2. 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장 ② 법 제27조제1항 단서에서“대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자 등” 이란 상시 종업원 수가 5명 미만인 정보통신서비스 제공자등을 말한다. 다만, 인터넷으로 정보통신서비스를 제공하는 것을 주된 업으로 하는 정보통신서비스 제공자등의 경우에는 상시 종업원 수가 5명 미만으로서 전년도 말 기준으로 직전 3개월간의 일일평균이용자가 1천명 이하인 자를 말한다. <개정 2009.1.28> |
개인정보관리책임자의 지정
- 정보통신서비스 제공자등은 임원 또는 담당부서의 장 중 최소 1인을 개인정보관리 책임자로 지정하여야 한다. 개인정보관리책임자의 지정 시에는 인사발령 등을 통해 공식적으로 책임과 역할을 부여하는 것이 바람직하다.
- 다만, ① 상시종업원 수가 5명 미만이거나 ② 인터넷으로 정보통신서비스를 제공하는 것을 주된 업으로 하는 경우로서 상시종업원 수가 5명 미만이고 전년도 말 기준으로 직전 3개월간의 일일평균이용자가 1천명 이하인 자의 경우에는 개인정보관리책임자를 지정하지 않을 수 있는데 이 경우에는 사업주 또는 대표자가 개인정보관리 책임자가 된다.
관련 법규: 법 제27조 (개인정보 관리책임자의 지정) ① 정보통신서비스 제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보관리책임자를 지정하여야 한다. 다만 종업원 수, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자등의 경우에는 지정하지 아니할 수 있다. ② 제1항 단서에 따른 정보통신서비스 제공자등이 개인정보관리책임자를 지정하지 아니하는 경우에는 그 사업주 또는 대표자가 개인정보 관리책임자가 된다. ③ 개인정보관리책임자의 자격요건과 그 밖의 지정에 필요한 사항은 대통령령으로 정한다. [전문개정 2008.6.13] ※ 미이행 시 제76조제2항제3호에 따라 2천만원 이하의 과태료가 부과됨. |
2. 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보관리책임자는 사내의 개인정보보호에 관한 업무를 총괄하는 역할을 한다.
- 개인정보관리책임자는 개인정보와 관련된 내부지침을 준수하도록 충분한 기술적∙관리적 보호조치를 실시하여야 한다. 개인정보관리책임자는 내부규정의 정비, 기술적∙관리적 보호조치의 실시 등의 업무를 수행하게 된다.
- 또한, 이용자의 불만사항 접수 및 처리에 대한 책임을 지게 되며, 개인정보를 취급하는 직원에 대해 충분한 교육훈련을 실시하여야 한다. 개인정보를 취급하는 업무를 외부에 위탁하는 경우, 개인정보관리책임자는 해당 위탁받은 자의 개인정보관리 상황을 지속적으로 확인해야 한다.
개인정보관리책임자의 역할 및 책임 개인정보보호조직 구성∙운영의 총괄 내부관리계획의 수립 및 승인 개인정보의 기술적∙관리적 보호조치 기준 이행 총괄 소속 직원 또는 제3자에 의한 위법∙부당한 개인정보 침해행위에 대한 점검 정보주체로부터 제기되는 개인정보에 관한 고충이나 의견의 처리 및 감독 임직원, 개인정보취급자 및 수탁자, 대리점 등에 대한 교육 등 인식제고 그 밖에 정보주체의 개인정보보호에 필요한 사항 |
개인정보취급자의 역할 및 책임
- 개인정보취급자는 업무 상 또는 서비스 제공을 위해 개인정보처리시스템에 접속하여 이용자의 개인정보를 취급(수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등)하는 역할을 한다.
개인정보취급자의 역할 및 책임 개인정보보호 활동 참여 내부관리계획의 준수 및 이행 개인정보의 기술적∙관리적 보호조치 기준 이행 소속 직원 또는 제3자에 의한 위법∙부당한 개인정보 침해행위에 대한 점검 등 |
- 고객정보를 이용한 마케팅 또는 고객민원센터에서 고객상담 등 개인정보를 취급하는 것이 불가피한 업무를 맡은 자 및 개인정보보호의 기술적∙관리적 보호조치를 실제로 구현∙운영하는 업무를 맡은 자가 개인정보취급자에 해당되며, 정규직 이외에 임시직∙계약직원 등도 포함될 수 있다.
3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항
내부관리계획의 수립 및 승인
- 개인정보 내부관리계획의 수립은 개인정보취급자와 개인정보관리책임자가 이용자의 개인정보를 어떻게 관리할 것인지에 관한 규정 문서를 작성하는 과정이라 할 수 있다.
- 내부관리계획에는 일반적으로 아래와 같은 내용을 포함할 수 있다. (예시)
- 내부관리계획의 승인에 관한 내용과 이에 대한 주기적인 검토 방법에 관한 내용이 포함되어야 한다. 예를 들면 ‘내부관리계획은 ○○회사 개인정보관리책임자의 승인을 거쳐 ○○회사 전 임직원에게 공표한다’와 같이 규정한다.
- 내부관리계획의 주기적인 검토는 관련 법∙제도의 변경에 따라 회사 내에서 준수하여야 할 내용을 반영할 수 있는 방법을 마련하는 것이다. 예를 들면, ‘년 1회 이상 타당성 등을 검토하여 수정∙보완한다’와 같은 명시적 내용을 포함하여 주기적으로 관리한다.
4. 개인정보의 기술적∙관리적 보호조치 이행 여부의 내부 점검에 관한 사항
기술적∙관리적 보호조치 이행 여부의 내부 점검
- 개인정보취급자가 “내부관리계획”등에 따라 적절하게 개인정보 보호조치를 이행하고 있는 지를 파악할 수 있도록 정기적(최소 연 1회 권고)으로 점검한다. 그리고 “내부관리계획”을 위반한 사항을 발견한 때에는 곧바로 필요한 조치를 취하고 이러한 사실을 문서화하여 보관하는 것이 바람직하다.
- 정보통신서비스 제공자등은 개인정보의 기술적∙관리적 보호조치 이행 여부의 내부 점검 방법에 관하여 내부관리계획에‘점검방법, 점검반 구성, 점검절차 및 결과 자료 관리 등’의 내용을 포함하여야 한다.
- 점검방법에는 점검시기, 대상, 내용 등을 포함하고, 점검반에는 정보통신서비스 제공자등의 사업장 내에 개인정보보호관련 부서의 감사자 또는 유관 부서의 전문가로 구성할 수 있고, 점검절차에는 범위, 대상, 기간, 점검수행자 등의 내용과 점검 결과를 어떻게 처리할 것인지의 내용을 포함하여야 한다.
- 점검 결과 자료의 관리는 시스템 점검 결과 요약, 화면 덤프 내역, 시스템 로그 및 수집한 증거자료 등 점검 시 생성된 모든 자료와 결과보고서를 관리하는 것을 의미한다. 점검 결과 자료에 대한 접근은 점검반으로 제한하여 자료의 무결성을 보장하여야 한다.
5. 그 밖에 개인정보보호를 위해 필요한 사항
기타 개인정보보호를 위하여 필요한 사항으로는 보안서약서 작성, 개인정보보호 정책의 수립, 중고 PC 하드디스크 복구로 인한 개인정보 노출 대책 등이 있을 수 있다.
보안서약서 작성
- 조직에서 임직원들의 기밀정보 유출 위험을 최소화하고, 임직원에게 개인정보보호에 대한 책임을 명확히 주지시키기 위해 문서화한 보안서약서에 서명하도록 한다.
- 보안서약서의 서명은 개인정보보호를 위한 기본적인 절차 중 하나로 인식되고 이행될 필요가 있다. 이러한 절차는 일반적으로 신규 인력 채용 시 인력관리 부서에 의해 수행될 수 있다.
- 보안서약서에는 일반적으로‘고객 개인정보 보호, 회사 영업비밀 보호 등의 의무’에 관한 내용과 서명날짜, 서명자 정보 및 서명을 포함하여야 한다.
임직원 개인정보보호 인식제고
- 임직원들의 개인정보보호 인식제고를 위해 개인정보보호 관련 정보, 개인정보보호 실천수칙 등과 같은 관련 지침 및 규정을 배포하고 알림으로써 이를 준수할 수 있도록 한다.
- 개인정보보호 관련 지침 및 규정에 대한 수정∙보완이 필요한 경우에는 정해진 절차에 따라 변경관리가 이루어질 수 있도록 하며, 개정된 내용을 임직원들이 즉시 주지할 수 있도록 한다.
중고 PC 하드디스크 복구로 인한 개인정보 누출 대책
- 파일을 삭제하거나 하드디스크를 포맷한 후 중고 PC로 매매하는 경우가 종종 있으나, 파일 삭제 또는 하드디스크 포맷만으로는 데이터 영역이 완전하게 삭제되지 않고 복구될 수 있다. 만약 중고 PC에 전 이용자의 신용카드 번호, 주민등록번호 등 민감한 개인정보가 남아있을 경우, 중고 PC 이용자에 의한 개인정보 오∙남용의 위험성이 있으므로 이를 방지하기 위한 조치가 필요하다.
※ 관련 사례
- 컴퓨터 포렌식 회사 케슬러 인터내셔널은 eBay 웹사이트에서 100여대의 중고 하드디스크를 구입하여 조사한 결과 40%가 개인적이고 민감한 데이터를 그대로 담고 있었음. 이들 하드 디스크에서 발견된 데이터는 재무 정보가 포함된 개인 기밀문서(36%), 이메일(21%), 사진(13%), 기업 문서(11%), 웹서핑 기록(11%), DNS서버 정보(4%), 기타(4%)로 발표됨. (2009년 2월)
- 이와 관련하여 국가정보원이 저장매체 불용처리 지침을 마련한 바 있으며, 개인정보 등이 저장된 하드디스크에 대한 삭제 방법이 포함되어 있다.
정보시스템 저장매체∙자료별 삭제방법
㉮: 완전파괴(소각∙파쇄∙용해) - 비밀이 저장된 플로피디스켓∙광디스크 파쇄시에는 파쇄조각의 크기가 0.25mm 이하가 되도록 조치
㉯: 전용 소자(消磁)장비 이용 저장자료 삭제 - 소자장비는 반드시 저장매체의 자기력(磁氣力)보다 큰 자기력 보유
㉰: 완전포맷 3회 수행 - 저장매체 전체를 ‘난수’∙‘0’∙‘1’로 각각 중복 저장하는 방식으로 삭제
㉱: 완전포맷 1회 수행 - 저장매체 전체를‘난수’로 중복 저장하는 방식으로 삭제, 또한, 이를 지원해 주는 다수의 제품에 대해 검증을 실시하여 검증필 제품 정보를 제공하고 있다.
※ 국가정보원 IT보안인증사무국 홈페이지(www.kecs.go.kr/인증제품 검증필제품/저장자료완전삭제(제품군))에서 확인 가능하다.
② 정보통신서비스 제공자등은 다음 각 호의 사항을 포함하는 개인정보보호 교육 계획을
수립하여 개인정보관리책임자 및 개인정보취급자를 대상으로 매년 2회 이상 교육을 실시하여야
한다.
1. 교육목적 및 대상
2. 교육 내용
3. 교육 일정 및 방법
개인정보보호교육의목적은정보통신서비스제공자등의사업장내의개인정보취급자에게 개인정보보호에 대한 인식을 제고시키고 개인정보보호 대책의 필요성을 이해시키는 것이다. 구현된 기술적∙관리적 보호조치 기준에 대한 정확한 교육 및 훈련 프로그램을 수립하여 이행하여야 한다.
개인정보관리책임자 및 개인정보취급자를 대상으로 매년 정기적으로 2회 이상의 개인정보보호 교육을 실시하여야 한다. 특히, 개인정보취급자가 고객의 개인정보를 훼손∙침해∙누설할 경우에는 중벌에 처해지므로, 교육 시 이러한 점을 개인정보 취급자에게 인식시키기 위해 노력해야 한다.
관련 법규: 법 제28조2(개인정보의 누설금지) 및 제71조(벌칙)제5호 및 6호 (개인정보의 누설금지) ① 이용자의 개인정보를 취급하고 있거나 취급하였던 자는 직무상 알게 된 개인정보를 훼손ㆍ침해 또는 누설하여서는 아니 된다. ② 누구든지 그 개인정보가 누설된 사정을 알면서도 영리 또는 부정한 목적으로 개인정보를 제공받아서는 아니 된다. [전문개정 2008.6.13] (벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. 1. ~ 4. (생략) 5. 제28조의2제1항(제67조에 따라 준용되는 경우를 포함한다.)을 위반하여 이용자의 개인정보를 훼손ㆍ침해 또는 누설한 자 6. 제28조의2제2항을 위반하여 그 개인정보가 누설된 사정을 알면서도 영리 또는 부정한 목적 으로 개인정보를 제공받은 자 7. ~ 11. (생략) [전문개정 2008.6.13] |
개인정보보호 교육의 구체적인 사항에는 교육을 하는 목적, 교육 대상, 교육 내용(프로그램 등 포함), 교육 일정 및 방법 등을 포함하는 내부관리계획 또는 임직원의 결재를 얻은 “○○년 개인정보보호 교육 계획(안)”과 같이 관리하여야 한다.
교육 방법은 집체교육 뿐 아니라 조직의 환경을 고려하여 인터넷 교육, 그룹웨어 교육 등 다양한 방법을 활용하여 실시하도록 하고, 필요한 경우 외부 전문기관이나 전문요원에 위탁하여 교육을 실시할 수도 있다.
※ 한국인터넷진흥원(KISA)은 개인정보보호 온라인 학습공간(www.sis.or.kr)에서 개인정보보호 온라인 교육 과정을 마련하고 있고, 신청을 받아 강사를 지원하거나 무료 교육을 실시하고 있다. 교육신청은 [http://www.1336.or.kr] 참조
특히, 개인정보 침해 위험성이 높은 분야인 위탁받은 자와 대리점 등에 대한 교육은 더욱 필요하다.
- 개인정보의 임의 사용 등 사례가 위탁받은 자에게서 가장 많이 나타나고 있으며, 법에서도 위탁받은 자에 대한 관리∙감독 의무가 있을 뿐만 아니라 이러한 위탁받은 자가 이용자에게 손해를 입힌 경우에 위탁한 정보통신서비스 제공자등에게 도 손해배상 책임이 있음을 주지한다.
관련 법규: 법 제25조(개인정보의 취급위탁), 제64조의3(과징금의 부과 등), 제71조(벌칙) 및 제76조(과태료) (개인정보의 취급위탁) ① 정보통신서비스 제공자와 그로부터 제24조의2제1항에 따라 이용자의 개인정보를 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다.)는 제3자에게 이용자의 개인정보를 수집ㆍ보관ㆍ처리ㆍ이용ㆍ제공ㆍ관리ㆍ파기 등(이하 “취급”이라 한다.)을 할 수 있도록 업무를 위탁(이하 “개인정보 취급위탁”이라 한다.)하는 경우에는 다음 각 호의 사항 모두를 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. 1. 개인정보 취급위탁을 받는 자(이하 “수탁자”라 한다.) 2. 개인정보 취급위탁을 하는 업무의 내용 ② 정보통신서비스 제공자등은 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 경우로서 제1항 각 호의 사항 모두를 제27조의2제1항에 따라 공개하거나 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알린 경우에는 개인정보 취급위탁에 따른 제1항의 고지 절차와 동의절차를 거치지 아니할 수 있다. 제1항 각 호의 어느 하나의 사항이 변경되는 경우에도 또한 같다. ③ 정보통신서비스 제공자등은 개인정보 취급위탁을 하는 경우에는 수탁자가 이용자의 개인정보를 취급할 수 있는 목적을 미리 정하여야 하며, 수탁자는 이 목적을 벗어나서 이용자의 개인정보를 취급하여서는 아니 된다. ④ 정보통신서비스 제공자등은 수탁자가 이 장의 규정을 위반하지 아니하도록 관리ㆍ감독하여야 한다. ⑤ 수탁자가 개인정보 취급위탁을 받은 업무와 관련하여 이 장의 규정을 위반하여 이용자에게 손해를 발생시키면 그 수탁자를 손해배상책임에 있어서 정보통신서비스 제공자등의 소속 직원으로 본다.[전문개정 2008.6.13] (과징금의 부과 등) ① 방송통신위원회는 다음 각 호의 어느 하나에 해당하는 행위가 있는 경우에는 해당 전기통신사업자에게 위반행위와 관련한 매출액의 100분의 1 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 다만, 제6호에 해당하는 행위가 있는 경우에는 1억원 이하의 과징금을 부과할 수 있다. 1. ~ 4. (생략) 5. 제25조제1항을 위반하여 이용자의 동의를 받지 아니하고 개인정보 취급위탁을 한 경우 6. ~ 7. (생략) ② ~ ⑦ (생략) [본조신설 2008.6.13] (벌칙) 다음 각 호의 어느 하나에 해당하는 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다. 1. ~ 3. (생략) 4. 제25조제1항(제67조에 따라 준용되는 경우를 포함한다.)을 위반하여 이용자의 동의를 받지 아니하고 개인정보 취급위탁을 한 자 5. ~ 11. (생략)[전문개정 2008.6.13] (과태료) ① (생략) ② 다음 각 호의 어느 하나에 해당하는 자에게는 2천만원 이하의 과태료를 부과한다. 1. 제25조제2항(제67조에 따라 준용되는 경우를 포함한다.)을 위반하여 이용자에게 개인정보 취급위탁에 관한 사항을 공개하지 아니하거나 알리지 아니한 자 2. ~ 4. (생략) ③ ~ ⑦ (생략) [전문개정 2008.6.13] |
교육내용에는 해당 업무를 수행하기 위한 분야별 전문기술 교육뿐만 아니라 개인 정보보호 관련 법률 및 제도, 사내 규정 등 필히 알고 있어야 하는 기본적인 내용을 포함하여 교육을 실시하도록 한다. 교육내용에 포함될 수 있는 예시는 다음과 같은 사항들이 있다.
- 개인정보보호의 중요성 설명
- 위험 및 대책이 포함된 조직 보안 정책, 보안지침, 지시 사항, 위험관리 전략
- 개인정보시스템 하드웨어 및 소프트웨어를 포함한 시스템의 정확한 사용법
- 개인정보보호 위반을 보고해야 할 필요성
- 개인정보보호업무의 절차, 책임, 작업 설명
- 개인정보보호 관련자들의 금지 항목들
- 개인정보보호 준수검사 관련 절차 등
③ 정보통신서비스 제공자등은 제4조에서 제8조까지의 보호조치 이행을 위한 세부적인 추진 방안을 마련하여야 한다.
제4조(접근통제), 제5조(접속기록의 위∙변조 방지), 제6조(개인정보의 암호화), 제7조(악성프로그램 방지), 제8조(출력∙복사시 보호조치)는 본 해설서의 관련 부문 참조
[FAQ] [문] 개인정보관리책임자는 별도로 채용을 해야 하나요? [답] 반드시 그런 것은 아닙니다. 법 시행령 제13조는 개인정보관리책임자의 자격에 대해 임원 또는 이용자 고충처리 담당부서의 장으로 정하고 있습니다. 별도로 인력을 채용하여 위의 직위에 보하거나 기존에 위의 직위에 재직하고 있는 자에게 개인정보관리책임자의 임무를 부여하고 지정해도 됩니다. 그러나 개인정보관리책임자의 지정을 구두로 하는 경우에는 실효적인 업무수행이 곤란하고 책임 소재에도 문제가 있으므로, 문서 또는 회사내규 업무분장에 반영하는 것이 바람직합니다. [문] 개인정보관리자 및 취급자를 대상으로 매년 2회 이상 교육실시는 개인정보를 다루는 모든 사람에게 개별적으로 적용되는 것인가요? [답] 조직 내에서 개인정보를 다루는 개인정보관리자 및 취급자는 모두 회사에서 수립한 교육 계획에 따라 최소 연 2회 이상의 교육을 받아야 합니다. 만약 회사에서 연 2회 이상의 교육 기회를 제공하였으나 개인정보관리자 및 취급자가 개별적인 사정으로 교육을 실시하지 않았다면 별도로 교육을 받을 수 있는 기회를 제공하여야 합니다. [문] 정보보호 교육의 일부분으로 개인정보보호 교육이 포함되었다면 교육으로 인정되는 것인가요? [답] 정보보호 교육 내에 개인정보보호 교육이 들어 있다고 하더라도 회사 내부의 개인정보보호 교육 계획에 의해 실시되었다면 개인정보보호 교육으로 인정될 수 있다. 다만 이때에는 개인정보보호 교육 목적과 대상, 교육 내용, 교육 일정 및 방법이 개인정보보호 교육 계획과 부합되어야 하며 교육 실시에 대한 자료는 문서화하여 보관할 필요가 있다. |
(4) 접근통제
접근통제의 목적은 개인정보처리시스템에 대하여 인가되지 않는 접근을 차단하는 것으로, 인가되지 않는 접근은 개인정보의 불법 사용, 누출, 변조∙훼손 등을 야기할 수 있으므로 적절히 차단되어야 한다.
- 일반적으로 시스템 사용자는 식별과 인증이라는 보안정책[1]에 의해 구분되어 허용 여부가 결정된다. 식별과 인증은 시스템 자원을 보호하기 위한 가장 기본적인 접근통제 수단이다.
개인정보보호 책임은 인력의 채용부터 퇴직 시까지 지속되어야 하고, 해당 인력들의 고의 또는 실수로 인한 정보의 누출이나 변조∙훼손 등의 위험을 예방하고 대응하기 위해 기본적인 내부인력에 대한 접근통제 조치들이 필요하다.
제4조(접근통제) ① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다.
개인정보처리시스템에 대한 접근권한은 정보통신서비스 제공자등의 사업장 내에서 고객(이용자, 정보주체)을 대상으로 업무를 수행하는 개인정보관리책임자 및 개인정보취급자에게만 부여하여야 한다.
관련 법규: 법 제28조(개인정보의 보호조치)제2항 (개인정보의 보호조치) ① (생략) ② 정보통신서비스 제공자등은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하여야 한다. [전문개정 2008.6.13] |
즉, 정보가 유출되거나 무결성이 훼손되는 것을 방지하기 위하여 고객의 개인정보에 접근할 수 있는 자를 서비스 제공 또는 업무 수행 목적으로 개인정보가 이용하는 자(개인정보관리책임자, 개인정보취급자)로 한정하여 접근을 허용해야 하는 것이다.
② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.
③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.
관리자 계정을 가진 자는 개인정보처리시스템에 접근한 모든 행위에 대해 책임이 있다는 점을 인식하고, 개인정보취급자의 개인정보처리시스템 접근에 대한 권한을 통제하기 위한 절차를 수립하여 적용하여야 한다.
- 조직 내의 임직원 전보 또는 퇴직 등 인사이동을 통해 사용자 계정의 변경∙삭제가 필요한 경우에는 공식적인 사용자 계정 관리절차에 따라 통제될 수 있도록 한다.
- 내부 인력의 퇴직 시 해당 인력의 계정뿐 아니라 해당 인력이 알고 있는 공용계정에 대한 위험도 존재하게 된다. 따라서 내부 인력의 퇴직 시에는 해당 인력의 계정을 삭제하고 내부 인력들이 공용으로 사용하는 계정의 비밀번호를 즉시 변경하도록 지침에 반영하여 이행하도록 한다.
- 임직원의 퇴직 시 계정을 폐쇄하고 접근권한을 효과적으로 제거하기 위해서는 퇴직 점검표에 사용계정의 폐쇄항목을 반영하여, 계정의 폐쇄 여부에 대해 확인을 받는 것이 바람직하다.
정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경, 말소에 대한 내역을 기록하고 해당 기록을 최소한 5년간 보관하여야 한다.
- 정보통신서비스 제공자등은 개인정보취급자를 선정함에 있어 인사 명령 등을 통하여 이를 공식화하고 퇴직 등 인사명령 시 비밀유지의무 등에 대한 서약서를 받아야 한다.
④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리 시스템에 접속이 필요한 경우에는 공인인증서 등 안전한 인증 수단을 적용하여야 한다.
개인정보처리시스템은 이용자의 개인정보가 보관∙처리되는 중요시스템으로, 침입 차단과 침입탐지 기능을 갖는 시스템으로 보호하도록 하고 있으며 동일 시스템으로 보호되고 있는 내부 네트워크에서 접속하여 업무를 처리하여야 한다.
- 사업환경에 따라 지리적으로 떨어진 지사나 대리점 등에서 개인정보처리시스템에 접속할 경우 인터넷망을 이용하지 않고 전용회선이나 가상사설망(VPN: Virtual Private Network)을 이용하여 내부 네트워크처럼 구성하여 사용할 수 있다.
- 외부 침입자의 인터넷을 통한 접근 용이성을 고려할 때, 게이트웨이-to-게이트웨이 방식의 가상사설망을 구성하는 경우가 해당될 수 있으며, 게이트웨이-to-클라이언트 운영방식의 경우 아이디와 비밀번호 이외에 추가적인 인증수단을 적용하여 보안성을 높일 필요성이 있다.
외부에서 개인정보처리시스템 접속 시 단순히 아이디와 비밀번호만을 이용할 경우 키로깅 등에 의해 아이디와 비밀번호만 유출되어도 개인정보처리시스템이 위험에 노출되게 된다. 이러한 위험성을 감소시키기 위해 아이디와 비밀번호를 통한 개인 정보취급자 식별∙인증과 더불어 공인인증서 등을 활용한 추가적인 인증 수단의 적용이 필요하다.
- 공인인증서(그 사람이 가지고 있는 것: what you have)는 안전한 인증 수단으로 아이디와 비밀번호를 이용하는 인증(그 사람이 알고 있는 내용을 사용: what you know)과 다른 특성을 갖고 있어 효과적인 이중 인증을 구성할 수 있다. 공인인증서는 PC에 보관하는 것보다 이동식 저장매체에 보관하는 것이 안전하다.
- 아이디와 비밀번호를 이용하는 인증과 다른 특성을 갖는 인증 수단으로 보안토큰, 휴대폰 인증, 일회용 비밀번호(OTP: One Time Password), 바이오정보 등이 있으며 외부에서 접근하는 단말기 IP 인증도 고려될 수 있다.
⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치∙운영하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
정보통신망을 통해 개인정보처리시스템에 불법적으로 접근하는 행위를 방지∙차단하기 위해 아래와 같은 시스템 등을 설치∙운영함으로써 네트워크 보안을 강화하여야 한다.
- 네트워크로 들어오는 접속 권한을 IP 주소 등으로 제한하여 인가받지 않은 접근을 제한하는 기능(침입차단기능)을 갖는 시스템의 설치∙운영
- 개인정보처리시스템에 접속한 IP 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지하는 기능(침임탐지기능)을 갖는 시스템의 설치∙운영
침입차단 및 침입탐지 기능을 갖춘 설비의 설치 방법
- 일정 규모 이상의 개인정보처리시스템을 운영하고 있는 사업자는 전문기업이 제공하는 침입차단시스템 및 침입탐지시스템을 설치∙운영하거나, 침입차단 시스템과 침입탐지시스템이 동시에 구현된 침입방지시스템(IPS: Intrusion Prevention System), 웹방화벽 또는 보안 운영체제(Secure OS) 등을 도입할 수 있다.
※ 국내에서 인증 받은 시스템에 대한 정보는 국가정보원 IT보안인증사무국 웹사이트(www.kecs.go.kr)에서 확인할 수 있다.
∙침입차단시스템: 인증제품 - FW(제품유형) 검색
∙침입탐지시스템: 인증제품 - IDS(제품유형) 검색
∙침입방지시스템: 인증제품 - IPS(제품유형) 검색
∙웹방화벽: 인증품 - 웹방화벽(제품유형) 검색
∙보안운영체제: 인증제품 - 접근통제시스템(제품유형) 검색
- 또한, 스위치 등의 네트워크 장비에서 제공하는 ACL(Access Control List: 접근제어목록) 등 기능을 이용하여 IP 주소 등을 제한함으로써 침입차단 기능을 구현할 수 있다.
- 전문 침입차단시스템 및 침입탐지시스템의 설치 운영이 곤란한 SOHO 등 소기업의 경우 인터넷데이터센터(IDC) 등에서 제공하는 보안서비스(방화벽, 침입방지, 웹방화벽 등)를 활용함으로써 초기 투자비용 등을 줄일 수 있다.
공개용(무료) S/W를 사용하거나, 운영체제(OS)에서 제공하는 기능을 활용하여 해당 기능을 포함한 시스템을 설치∙운영할 수 있다. 다만, 공개용(무료) S/W를 사용하는 경우에는 적절한 보안이 이루어지는지를 사전에 점검할 필요가 있다.
※ 참고사이트
∙한국인터넷진흥원(KISA) 인터넷침해사고대응지원센터 - 공개용 웹방화벽을 이용한 홈페이지 보안(http://www.krcert.or.kr/firewall2/index.jsp)
∙Microsoft 고객지원 사이트 - TCP/IP 필터링을 구성하는 방법(http://support.microsoft.com/kb/309798/ko)
∙침입탐지시스템 Snort 다운로드 웹사이트(http://www.snort.org)
불법적인 접근 및 침해사고 방지를 위한 목적 달성을 위해서는 침입차단과 침입탐지 기능을 갖는 시스템 도입과 더불어 침입차단 정책 설정 및 침입탐지 로그 분석 등 적절한 운영∙관리가 중요하다.
⑥ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.
안전하지 못한 비밀번호를 사용할 경우 정보가 노출될 위험성이 있다. 안전한 비밀번호란 제3자가 쉽게 추측할 수 없으며 비밀번호 크래킹을 통해서도 비밀번호를 얻어낼 수 없거나 얻어내는데 많은 시간이 요구되는 것을 의미한다.
- 따라서 이용자가 생일, 전화번호 등 추측하기 쉬운 숫자나 문자 등을 비밀번호로 이용하지 않도록 비밀번호 작성규칙을 수립하고 이행하도록 하는 것이 필요하다.
※ 비밀번호 작성규칙 수립 시 KISA에서 발간한 패스워드 선택 및 이용 가이드를 참고(http://www.kisa.or.kr/주요사업/안전한 U-사회환경조성/암호이용활성화/가이드라인∙지침∙매뉴얼/PW가이드)
비밀번호 작성규칙을 수립한 경우 이용자의 비밀번호 설정 시 입력된 비밀번호의 보안강도를 알려주거나 일정 수준 이하의 비밀번호는 설정되지 못하도록 하는 시스템을 구성하는 것도 효과적인 이행을 위한 수단이 될 수 있다. 다만, 이용자가 사용하는 비밀번호에 대해서는 이용자의 편의성 등도 고려하여 사업자 자율적으로 적절한 수준을 설정하는 것이 필요하다.
※ 한국인터넷진흥원(KISA)은 비밀번호 안전성 검증 소프트웨어를 사업자들이 적용할 수 있도록 검증도구를 보급하고 있다.
- 검증도구 보급신청은 KISA 홈페이지(http://www.kisa.or.kr)의 [주요사업/안전한 U-사회환경조성/암호이용활성화/패스워드 안전성 검증/검증도구 보급신청]에서 참고
⑦ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고, 이를 적용∙운용하여야 한다.
1. 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
가. 영문 대문자(26개)
나. 영문 소문자(26개)
다. 숫자(10개)
라. 특수문자(32개)
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
정보통신서비스 제공자등은 개인정보취급자의 비밀번호 작성규칙을 수립하고 이를 개인정보처리시스템 및 접근통제시스템 등에 적용하여 운영하여야 한다.
- 비밀번호는 산업스파이, 침입자, 비인가자가 추측하기 어려운 문자와 숫자를 포함하도록 하거나, 전에 사용된 비밀번호를 다시 사용하지 않는 등의 다음과 같은 비밀번호 설정 원칙을 참고하여 생성하도록 한다.
비밀번호의 최소 길이: 비밀번호는 구성하는 문자의 종류에 따라 최소 10자리 또는 8자리 이상의 길이로 구성하여야 하며, 이는 이용자에 대한 비밀번호 작성 규칙과는 달리 반드시 준수하여야 한다.
※ 컴퓨터 관련 기술의 발달에 따라 비밀번호의 최소 길이는 늘어날 수 있고, 변경주기는 짧아질 수 있다.
최소 10자리 이상: 영대문자(A~Z, 26개), 영소문자(a~z, 26개), 숫자(0~9, 10개) 및 특수문자(32개) 중 2종류 이상으로 구성한 경우
최소 8자리 이상: 영대문자(A~Z, 26개), 영소문자(a~z, 26개), 숫자(0~9, 10개) 및 특수문자(32개) 중 3종류 이상으로 구성한 경우
※ 특수문자 32개 예시 - ~ ∙ ! @ # $ % ^ & * ( ) _ - + = { } [ ] | \ ; :‘ “ < > , . ? /
- 추측하기 어려운 비밀번호의 생성:
생성한 비밀번호에 12345678 등과 같은 일련번호, 전화번호 등과 같은 쉬운 문자열이 포함되지 않도록 한다.
love, happy 등과 같은 잘 알려진 단어 또는 키보드 상에서 나란히 있는 문자열도 포함되지 않도록 한다.
안전한 비밀번호 설정 방안 □ 예측이 어려운 문자구성의 비밀번호 설정방법 o 영문자(대/소문자), 숫자, 특수 기호들을 혼합한 구성으로 비밀번호 설정 - #3kLfN2x*S1$, 3$La#4dU7Ff% 등과 같은 구성의 비밀번호 설정 o 비밀번호의 길이를 증가시키기 위해서는 특정위치 외에 특수문자 및 숫자 등을 삽입하여 비밀번호 설정 ※특정위치는 알파벳 문자 앞뒤에 위치하는 것을 말함 o 알파벳 대소문자를 구별할 수 있을 경우, 대∙소문자를 혼합하여 비밀번호 설정 - 특정위치의 문자를 대문자변경하거나, 모음만을 대문자변경하여 비밀번호 설정 - “gkswjdqhwlsdnjs”는“gKsWjDqHwLsDnJs“로, “rnrqhghgmd”는“rNrQhGhGmD“로 활용하여 비밀번호 설정 □ 기억하기 쉬운 비밀번호 설정방법 o 특정명칭을 선택하여 예측이 어렵도록 가공하여 비밀번호 설정 - 특정명칭의 홀수∙짝수 번째의 문자를 구분하는 등의 가공방법을 통해 설정 - 국내 사용자는 한글 자판을 기준으로 특정명칭을 선택하고 가공하여 설정 ∙예를 들어‘한국인터넷진흥원’의 경우, 홀수 번째는“한인넷흥”이“gksdlssptgmd”로, 짝수 번째는“국터진원”이“rnrxjwlsdnjs”으로 비밀번호 설정 가능함 o 노래 제목이나 명언, 속담, 가훈 등을 이용∙가공하여 비밀번호 설정 - 영문사용의 경우, “This May Be One Way To Remember”를“TmB1w2R”이나 “Tmb1w>r~”로 활용가능 - 한글사용의 경우, “백설공주와 일곱 난쟁이”를“백설+7난장”로 구성하고“QorTjf+7SksWkd”등으로 활용가능 |
- 비밀번호의 주기적인 변경: 비밀번호에 유효기간을 설정하고 적어도 6개월마다 변경함으로써 동일한 비밀번호를 장기간 사용하지 않는다.
- 동일한 비밀번호 사용 제한: 2개의 비밀번호를 교대로 사용하지 않는다.
- 개인정보취급자는 자신의 비밀번호가 제3자에게 노출되지 않도록 주의해야 하며, 정보통신서비스 제공자등은 비밀번호 설정 원칙이 정상적으로 이행되고 있는지 정기적으로 점검할 필요가 있다. 비밀번호에 사용될 수 있는 최소길이 및 문자 혼합 정도, 비밀번호 만료 기간 등이 적용될 수 있도록 시스템을 구성하는 것도 효과적인 이행을 위한 수단이 될 수 있다.
비밀번호 설정 원칙은 아래 문서 등을 참조할 수 있다.
- 한국인터넷진흥원(KISA)의 패스워드 선택 및 이용 가이드(http://www.kisa.or.kr/주요사업/안전한 U-사회환경조성/암호이용활성화/PW가이드)
- 마이크로소프트의 비밀번호 설정 원칙
(http://www.microsoft.com/protect/yourself/password/create.mspx)
- 미국 NIST 전자인증 가이드라인 초안(’08.12, NIST Draft Special Publication 800-63-1 –
AppendixA) (http://csrc.nist.gov/publications/drafts/800-63-rev1/SP800-63- Rev1_Dec2008.pdf)
- SANS의 비밀번호 정책(http://www.sans.org/resources/policies/Password_Policy.pdf)
⑧ 정보통신서비스 제공자등은 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터에 조치를 취하여야 한다.
개인정보취급자의 부주의로 고객 개인정보가 인터넷 홈페이지 또는 P2P를 통해 게시되거나, 공유 설정된 PC 폴더에 고객명단 파일을 둠으로써 열람 권한이 없는 자에게 공개되는 사례가 많이 발견되고 있다.
과실로 인한 인터넷 홈페이지에서 노출 방지
- 인터넷 홈페이지 운영자 또는 자료게시 담당 직원의 실수로 게시판 등에 고객 주민등록번호 등이 포함된 파일을 게시하는 사례가 발생하고 있다.
- 이를 방지하기 위하여 다음과 같은 조치를 취하여야 한다.
웹사이트를 통해 고객의 개인정보를 수집∙관리하는 경우에는 ID 및 비밀번호를 통한 사용자 인증(login) 기능을 적용하여야 한다.
수시로 웹사이트 게시판 등에서의 주민번호 노출 여부 등을 점검하여 조치하도록 한다.
인터넷 홈페이지 취약점으로 인한 노출 방지
- 인터넷 홈페이지 개발시 보안기준을 따르지 않아 발생하는 취약점으로 인해 구글 등의 검색엔진을 통해 개인정보 DB가 노출되는 사례도 발생하므로 수시로 인터넷 홈페이지 취약점을 점검하여 조치하도록 한다.
※ 한국인터넷진흥원(KISA)은 웹 취약점 원격점검서비스(http://webcheck.krcert.or.kr)를 통해 중소기업 또는 비영리 단체를 대상으로 무료로 제공하고 있다.
- 회사 홈페이지를 개발할 때 한국인터넷진흥원(KISA)이 권고하는“홈페이지 개발 보안 가이드”(http://www.krcert.or.kr [웹보안 4종 가이드] 참조)를 따르도록 하여 취약점을 최소화하도록 한다
P2P 프로그램에서의 노출
- P2P 프로그램 사용 시 자료 공유를 위해 이용자 본인이 공유할 폴더를 선택할 수 있는데 부주의로 PC전체를 공유 폴더로 설정하거나, 공유 폴더에 엑셀 등으로 작성된 고객 개인정보 파일을 올려놓아 외부로 유출될 수 있다.
- 따라서, 개인정보취급자의 컴퓨터인 경우 원칙적으로 P2P 프로그램을 사용하지 않는 것이 바람직하나, 반드시 사용해야 할 경우 공유폴더에 개인정보 파일이 포함되지 않도록 정기적으로 점검하여 조치하도록 한다.
- P2P, 웹하드 등의 사용을 제한하는 경우에도 단순히 사용금지 조치를 취하는 것이 아니라 시스템 상에서 해당 포트를 차단하는 등 원천적인 조치를 취하는 것이 필요하다.
공유설정을 통한 노출
- 내 컴퓨터에 있는 파일들을 다른 사람과 손쉽게 공유하기 위해 공유폴더를 사용할 수 있는데 공유설정 부주의로 개인정보 파일이 권한없는 자에게 노출될 수 있다.
- 따라서, 공유폴더를 사용할 경우 드라이브 전체 또는 불필요한 폴더가 공유되지 않도록 조치하고, 공유폴더에 개인정보 파일이 포함되지 않도록 정기적으로 점검하여 조치하도록 한다.
※ 윈도우즈의 경우 시작 - 제어판 - 성능 및 유지관리 - 관리도구 - 컴퓨터 관리를 실행하여, 공유폴더 메뉴에서 확인 가능
최근 이메일, 메신저, 블로그, 소셜네트워킹서비스(SNS) 등을 통한 정보 누출 건수가 갈수록 늘어나고 있으며, 이메일이 기업의 기밀 정보를 외부로 유출하는 최대 경로로 악용되는것으로나타나고있다. (전자신문, ‘09.8.20)
- 이와 관련하여 이메일, 메신저, 블로그, 소셜네트워킹서비스(SNS) 등을 이용할 경우 개인정보취급자의 부주의 등으로 개인정보가 누출되지 않도록 교육 등이 필요하다.
[FAQ] [문] 현재 운영중인 침입방지나 침입차단시스템을 업데이트할 계획인데, 이 기준에서 이러한 시스템에 대한 특별한 규격을 정하고 있는지, 아니면 적합한 제품이라면 어떠한 것이든 상관없는지요? [답] 기준에서 침입차단시스템 등에 대해 특별히 규격을 정해 놓고 있지는 않습니다. 귀사의 시스템 규모를 감안하여 적절한 제품을 선택하시기 바랍니다. [문] 비밀번호 작성 규칙에서 저희의 경우 4자리로 해야 하나 8자리로 해야 하는지 결정하기 힘든 상황입니다. 그런데 반드시 8자리 또는 10자리로 해야 하는지 아니면 다른 조치가 있다면(예를 들어 3번 이상 비밀번호가 틀리면 중지) 자리 수는 상관없는지요? [답] 개인정보취급자에 대한 비밀번호 작성규칙은 법적 의무사항이므로 보호조치 기준에서 정의한 내용대로 이행하셔야 합니다. 비밀번호 선택 시 사용하는 문자의 종류에 따라 최소 10자리(2종류 이상) 또는 최소 8자리(3종류 이상) 이상으로 설정하고, 적어도 6개월마다 변경해야 합니다. |
[1] 보안정책이란 접근통제시스템의 설계 및 관리를 다루기 위한 지침으로서 대개 어떤 주체(who)가 언제(when), 어디(where)에서 어떤 객체(what)에 대해 행위(how)하는 것을 허용 또는 거부할 것인지 정의하는 것을 의미한다.
(3) 내부관리계획의 수립∙시행
이용자의 개인정보를 보호하기 위한 조치를 적절히 시행하기 위해서는 회사전체에 통용되는 내부규정이 필요하게 된다. 이를 기초로 세부 지침이나 안내서를 마련하여 사원 전원이 동일한 행동을 취할 수 있도록 할 필요가 있다.
정보통신서비스 제공자등은 취급하는 개인정보가 분실∙도난∙누출∙변조 또는 훼손 되지 아니하도록 안전성을 확보하기 위하여 개인정보보호 활동에 대한 조직 내부의 개인정보 관리계획을 수립하고, 최고경영층으로부터 승인을 받아 모든 임직원 및 관련자에게 알림으로써 이를 준수할 수 있도록 하여야 한다.
- 이와 같이 내부관리계획을 수립하도록 하는 이유는 개인정보보호 활동이 임기응변식이 아니라 체계적이고 전사적인 계획 내에서 수행될 수 있도록 하는데 목적이 있으며, 이를 위하여 경영층의 방향제시와 지원이 필수적이다.
제3조(내부관리계획의 수립∙시행) ① 개인정보 보호 조직의 구성 및 운영은 다음 각 호의 사항을 포함하여야 한다.
내부관리계획에는 개인정보 보호 조직의 구성 및 운영에 관한 다음과 같은 사항을 포함하여야 한다.
- 개인정보관리책임자의 자격요건 및 지정에 관한 사항
- 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보 내부관리계획의 수립 및 승인에 관한 사항
- 개인정보의 기술적∙관리적 보호조치 이행 여부의 내부 점검에 관한 사항
- 제4조 내지 제9조에 관한 세부사항
제4조(접근통제), 제5조(접속기록의 위∙변조 방지), 제6조(개인정보의 암호화), 제7조(악성프로그램 방지), 제8조(출력∙복사시 보호조치), 제9조(개인정보 표시제한 보호조치)
- 그 밖에 개인정보보호를 위해 필요한 사항
1. 개인정보관리책임자의 자격요건 및 지정에 관한 사항
개인정보관리책임자의 자격요건
- 원칙적으로 법 시행령 제13조에 따라 임원의 지위에 해당하는 개인정보관리책임자(CPO: Chief Privacy Officer) 직제를 신설하거나, 이용자의 개인정보 보호 업무를 위해 조직된 부서의 장 등을 지정할 수 있다.
- 또는, 정보통신서비스 제공자등의 사업 환경에 따라 이용자 개인정보를 주로 활용하는 업무를 수행하는 부서(고객 응대, 마케팅, 경영지원 등)나 정보보호 업무를 수행하는 부서에서 본연의 업무와 동시에 개인정보와 관련된 이용자의 고충처리를 담당하게 되는 경우 해당 부서의 장이 개인정보관리책임자에 지정될 수도 있다. 만약 본연의 사업(마케팅 등) 업무와 개인정보보호 업무 간에 충돌이 발생할 경우 개인정보관리 책임자는 우선적으로 개인정보보호에 무게를 두는 것이 바람직하다.
- 조직 내에 정보보호(Security) 업무를 총괄하는 정보보호책임자(Chief Security Officer)가 별도로 있는 경우에는 기술적 조치에 관하여 상호간의 업무를 분명하게 분장하여야 한다. 정보통신서비스 제공자등은 개인정보관리책임자와 정보보호 책임자로 동일인을 지정할 수도 있다.
- 개인정보관리책임자는 정보보안 관련 지식뿐만 아니라 개인정보 취급에 관한 법∙제도적인 측면 등의 다양한 지식을 습득할 필요가 있다.
관련 법규: 법 시행령 제13조 (개인정보관리책임자의 자격요건 등) ① 정보통신서비스 제공자와 그로부터 이용자의 개인정보를 제공받은 자(이하“정보통신서비스 제공자등”이라 한다.)가 법 제27조제1항 본문에 따라 지정하는 개인정보관리책임자는 다음 각 호의 어느 하나에 해당하는 지위에 있는 자로 하여야 한다. <개정 2009.1.28> 1. 임원 2. 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장 ② 법 제27조제1항 단서에서“대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자 등” 이란 상시 종업원 수가 5명 미만인 정보통신서비스 제공자등을 말한다. 다만, 인터넷으로 정보통신서비스를 제공하는 것을 주된 업으로 하는 정보통신서비스 제공자등의 경우에는 상시 종업원 수가 5명 미만으로서 전년도 말 기준으로 직전 3개월간의 일일평균이용자가 1천명 이하인 자를 말한다. <개정 2009.1.28> |
개인정보관리책임자의 지정
- 정보통신서비스 제공자등은 임원 또는 담당부서의 장 중 최소 1인을 개인정보관리 책임자로 지정하여야 한다. 개인정보관리책임자의 지정 시에는 인사발령 등을 통해 공식적으로 책임과 역할을 부여하는 것이 바람직하다.
- 다만, ① 상시종업원 수가 5명 미만이거나 ② 인터넷으로 정보통신서비스를 제공하는 것을 주된 업으로 하는 경우로서 상시종업원 수가 5명 미만이고 전년도 말 기준으로 직전 3개월간의 일일평균이용자가 1천명 이하인 자의 경우에는 개인정보관리책임자를 지정하지 않을 수 있는데 이 경우에는 사업주 또는 대표자가 개인정보관리 책임자가 된다.
관련 법규: 법 제27조 (개인정보 관리책임자의 지정) ① 정보통신서비스 제공자등은 이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 개인정보관리책임자를 지정하여야 한다. 다만 종업원 수, 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자등의 경우에는 지정하지 아니할 수 있다. ② 제1항 단서에 따른 정보통신서비스 제공자등이 개인정보관리책임자를 지정하지 아니하는 경우에는 그 사업주 또는 대표자가 개인정보 관리책임자가 된다. ③ 개인정보관리책임자의 자격요건과 그 밖의 지정에 필요한 사항은 대통령령으로 정한다. [전문개정 2008.6.13] ※ 미이행 시 제76조제2항제3호에 따라 2천만원 이하의 과태료가 부과됨. |
2. 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보관리책임자는 사내의 개인정보보호에 관한 업무를 총괄하는 역할을 한다.
- 개인정보관리책임자는 개인정보와 관련된 내부지침을 준수하도록 충분한 기술적∙관리적 보호조치를 실시하여야 한다. 개인정보관리책임자는 내부규정의 정비, 기술적∙관리적 보호조치의 실시 등의 업무를 수행하게 된다.
- 또한, 이용자의 불만사항 접수 및 처리에 대한 책임을 지게 되며, 개인정보를 취급하는 직원에 대해 충분한 교육훈련을 실시하여야 한다. 개인정보를 취급하는 업무를 외부에 위탁하는 경우, 개인정보관리책임자는 해당 위탁받은 자의 개인정보관리 상황을 지속적으로 확인해야 한다.
개인정보관리책임자의 역할 및 책임 개인정보보호조직 구성∙운영의 총괄 내부관리계획의 수립 및 승인 개인정보의 기술적∙관리적 보호조치 기준 이행 총괄 소속 직원 또는 제3자에 의한 위법∙부당한 개인정보 침해행위에 대한 점검 정보주체로부터 제기되는 개인정보에 관한 고충이나 의견의 처리 및 감독 임직원, 개인정보취급자 및 수탁자, 대리점 등에 대한 교육 등 인식제고 그 밖에 정보주체의 개인정보보호에 필요한 사항 |
개인정보취급자의 역할 및 책임
- 개인정보취급자는 업무 상 또는 서비스 제공을 위해 개인정보처리시스템에 접속하여 이용자의 개인정보를 취급(수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등)하는 역할을 한다.
개인정보취급자의 역할 및 책임 개인정보보호 활동 참여 내부관리계획의 준수 및 이행 개인정보의 기술적∙관리적 보호조치 기준 이행 소속 직원 또는 제3자에 의한 위법∙부당한 개인정보 침해행위에 대한 점검 등 |
- 고객정보를 이용한 마케팅 또는 고객민원센터에서 고객상담 등 개인정보를 취급하는 것이 불가피한 업무를 맡은 자 및 개인정보보호의 기술적∙관리적 보호조치를 실제로 구현∙운영하는 업무를 맡은 자가 개인정보취급자에 해당되며, 정규직 이외에 임시직∙계약직원 등도 포함될 수 있다.
'정보보호관리체계(ISMS-P) > 개인정보보호' 카테고리의 다른 글
개인정보의 기술적•관리적 보호조치 기준 및 해설(5) (0) | 2022.06.12 |
---|---|
개인정보의 기술적•관리적 보호조치 기준 및 해설(4) (0) | 2022.06.12 |
개인정보의 기술적•관리적 보호조치 기준 및 해설(2) (0) | 2022.06.12 |
개인정보의 기술적•관리적 보호조치 기준 및 해설(1) (0) | 2022.06.12 |
개인정보의 안전성 확보조치 기준 및 해설(3) (0) | 2022.06.12 |