정보통신망법 제28조에 의해 사업자는 개인정보보호 내부 관리계획을 수립하여야 합니다.
내부 관리계획이란 무엇일까요?
내부관리계획이란 이용자의 개인정보보호를 위하여 마련하여야 하는 내부 규정 지침을 의미합니다. 즉, 우리는 고객의 개인정보를 어떻게 관리하고 보호하겠다는 회사 내부적으로 작성된 규정을 말합니다.
내부관리계획 수립은 체계적이고 전사적(全社的)인 개인정보보호 활동이 그 목적이며, 이를 위해서는 해당 기업 경영진의 적극적인 참여와 지원이 필수적입니다.
<벌칙>
정보통신망법 제28조에 의해 사업자는 개인정보보호 내부 관리계획을 수립하여야 합니다.
내부 관리계획이란 무엇일까요?
내부관리계획이란 이용자의 개인정보보호를 위하여 마련하여야 하는 내부 규정 지침을 의미합니다. 즉, 우리는 고객의 개인정보를 어떻게 관리하고 보호하겠다는 회사 내부적으로 작성된 규정을 말합니다.
내부관리계획 수립은 체계적이고 전사적(全社的)인 개인정보보호 활동이 그 목적이며, 이를 위해서는 해당 기업 경영진의 적극적인 참여와 지원이 필수적입니다.
<벌칙>
사업자가 내부관리계획을 수립하지 않은 경우에는 3천만원 이하의 과태료가 부과됩니다.
<관련 위반 사례>
○○호텔은 멤버십 회원 등 다량의 개인정보를 수집∙취급하고 있음에도 불구하고, 정보통신망을 통한 침해사고 대응을 위한‘정보보안지침’만을 운영하고 있고 법령에 따라 반드시 수립하도록 되어 있는 개인정보보호를 위한 내부관리계획은 전혀 수립하지 않음
그럼 내부관리계획은 어떻게 작성할까요?
내부관리계획에는 개인정보관리책임자의 의무∙책임에 관한 사항, 개인정보 처리 단계별 기술적∙관리적 보호조치에 관한 사항, 정기적 자체감사에 관한 사항, 개인 정보취급자에 대한 교육 등 개인정보보호를 위해 필요한 사항이 반드시 포함 되어야 합니다.
<관련 위반 사례>
○○호텔은 멤버십 회원 등 다량의 개인정보를 수집∙취급하고 있음에도 불구하고, 정보통신망을 통한 침해사고 대응을 위한‘정보보안지침’만을 운영하고 있고 법령에 따라 반드시 수립하도록 되어 있는 개인정보보호를 위한 내부관리계획은 전혀 수립하지 않음
그럼 내부관리계획은 어떻게 작성할까요?
내부관리계획에는 개인정보관리책임자의 의무∙책임에 관한 사항, 개인정보 처리 단계별 기술적∙관리적 보호조치에 관한 사항, 정기적 자체감사에 관한 사항, 개인 정보취급자에 대한 교육 등 개인정보보호를 위해 필요한 사항이 반드시 포함 되어야 합니다.
내부관리계획은 해당 사업자의 의사결정자(CEO, CPO 등)에 대한 보고 및 승인∙결재를 거쳐 시행하여야 합니다.또한 내부관리계획은 개인정보보호 관련 법∙제도의 변경 사항, 기업의 개인정보 관련 사업내용 변경사항 등을 즉시 반영 하여야 하며, 해당 사업자의 전 직원 및 수탁∙용역업체도 교육∙열람되어야 합니다.
정보통신망법 시행령 제15조, 기술적관리적 보호조치 기준 고시(행안부 고시) 제4조에서는 내부관리계획에 포함되어야 할 사항으로 아래와 같이 규정하고 있습니다.
<정보통신망법 시행령 제15조>
제15조(개인정보의 보호조치) ① 법 제28조제1항제1호에 따라 정보통신서비스 제공자 등은 개인정보의 안전한 취급을 위하여 다음 각 호의 내용을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다.
1. 개인정보관리책임자의 지정 등 개인정보보호 조직의 구성ㆍ운영에 관한 사항
2. 개인정보취급자의 교육에 관한 사항
3. 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항
<개인정보 기술적 관리적 보호조치 기준 제3조>
<내부관리계획 작성 예시>
제1장 총칙
제1조(목적)
제2조(적용범위)
제3조(용어 정의)
제2장 내부관리계획의 수립 및 시행
제4조(내부관리계획의 수립 및 승인)
제5조(내부관리계획의 공표)
제4장 개인정보의 처리단계별 기술적∙관리적 보호조치
제5장 정기적인 자체감사
제6장 개인정보보호 교육
정보통신망법 시행령 제15조, 기술적관리적 보호조치 기준 고시(행안부 고시) 제4조에서는 내부관리계획에 포함되어야 할 사항으로 아래와 같이 규정하고 있습니다.
<정보통신망법 시행령 제15조>
제15조(개인정보의 보호조치) ① 법 제28조제1항제1호에 따라 정보통신서비스 제공자 등은 개인정보의 안전한 취급을 위하여 다음 각 호의 내용을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다.
1. 개인정보관리책임자의 지정 등 개인정보보호 조직의 구성ㆍ운영에 관한 사항
2. 개인정보취급자의 교육에 관한 사항
3. 제2항부터 제5항까지의 규정에 따른 보호조치를 이행하기 위하여 필요한 세부 사항
<개인정보 기술적 관리적 보호조치 기준 제3조>
제3조(내부관리계획의 수립․시행) ① 개인정보 보호 조직의 구성 및 운영은 다음 각 호의 사항을 포함하여야 한다.
1. 개인정보관리책임자의 자격요건 및 지정에 관한 사항
2. 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항
4. 개인정보의 기술적․관리적 보호조치 이행 여부의 내부 점검에 관한 사항
5. 그 밖에 개인정보보호를 위해 필요한 사항
사업자의 업종, 사업 규모, 영업 특성 등에 따라서 다양한 개인정보 수집∙취급 형태가 있을 수 있으므로, 각각의 사업자는 자사의 개별적인 특성을 반영하여 내부관리계획을 작성하여야 합니다.
그럼 위 법령에서 규정된 사항을 반영한 내부관리계획 작성 예시를 보면 다음과 같습니다.<내부관리계획 작성 예시>
제1장 총칙
제1조(목적)
제2조(적용범위)
제3조(용어 정의)
제2장 내부관리계획의 수립 및 시행
제4조(내부관리계획의 수립 및 승인)
제5조(내부관리계획의 공표)
제3장 개인정보관리책임자의 의무와 책임
제6조(개인정보관리책임자의 지정)
제7조(개인정보관리책임자의 의무와 책임)
제8조(개인정보취급자의 범위 및 의무와 책임)
제4장 개인정보의 처리단계별 기술적∙관리적 보호조치
제9조(물리적 접근제한)
제10조(출력 복사시 보호조치)
제11조(개인정보취급자 접근 권한 관리 및 인증)
제12조(개인정보의 암호화)
제13조(접근통제)
제14조(접근기록의 위변조 방지)
제15조(보안프로그램의 설치 및 운영)
제5장 정기적인 자체감사
제16조(자체감사 주기 및 절차)
제17조(자체감사 결과 반영)
제6장 개인정보보호 교육
제18조(개인정보보호 교육 계획의 수립)
제19조(개인정보보호 교육의 실시)
※ 상기 내부관리계획 작성양식은 하나의 예시로서, 이를 기반으로 내부실정에 맞게 내부관리계획을 수립하여야 함
개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)
※ 상기 내부관리계획 작성양식은 하나의 예시로서, 이를 기반으로 내부실정에 맞게 내부관리계획을 수립하여야 함
개인정보 안심 진단 서비스 시큐어플러스 - 케이핌(www.kpim.co.kr)
'개인정보 보호방법 알아보기' 카테고리의 다른 글
| 개인정보관리책임자에 관한 몇가지 Q&A (1) | 2011.06.15 |
|---|---|
| 우리 회사의 개인정보관리책임자는 누가 되어야 할까? (0) | 2011.06.14 |
| 본인 동의 없이 성형 얼굴사진을 게재한 개인정보 목적 외 이용 분쟁조정 사례 (0) | 2011.06.02 |
| 회원탈퇴와 광고 발송의 관리에 따른 개인정보보호 문제 (0) | 2011.06.01 |
| 목적이 달성된 개인정보는 지체없이 파기하세요 (0) | 2011.05.30 |
