본문 바로가기
개인정보보호

[개인정보] 내부관리계획 수립 시 필수 포함 항목 (개인정보의 안전성 확보조치 기준 제4조)

by jangThang 2024. 12. 14.
반응형

 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검)에 의거하여, 내부 관리계획에 필수적으로 포함되야 하는 항목을 알아봅니다.
 

[ Contents ]

     
     

    1. 내부 관리계획이란?

    개인정보보호법 제29조(안전조치의무)
     개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.

     
     개인정보보호법 제29조(안전조치의무)에 따르면, 내부 관리계획을 수립하여 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하도록 명시했습니다. 내부 관리계획은 개인정보보호 업무에 있어 내부 규정 및 지침서 역할을 하는 문서입니다.
     기관 내 개인정보보호 업무에 대한 내부 지침은 필수사항이 아니지만, 내부 관리계획은 필수로 수립하여 시행 및 이행 점검까지 하도록 되어있습니다.

     
     

    2. 내부 관리계획 필수 항목

    1. 개인정보 보호 조직의 구성 및 운영
    2. 개인정보 보호책임자(CPO)의 자격요건 및 지정
    3. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임
    4. 개인정보취급자에 대한 관리·감독 및 교육
    5. 접근 권한 관리
    6. 접근 통제
    7. 개인정보 암호화
    8. 접속기록 보관 및 점검
    9. 악성프로그램 등 방지
    10. 개인정보 유출, 도난 방지 등을 위한 취약점 점검
    11. 물리적 안전조치
    12. 개인정보 유출사고 대응 계획 수립·시행
    13. 위험 분석 및 관리
    14. (위탁 시) 수탁자 관리·감독
    15. 내부 관리계획 수립, 변경 및 승인
    16. 그 밖에 개인정보 보호를 위해 필요한 사항

     
     개인정보처리방침과 동일하게 수립 시 필수 항목에 대한 사항을 '개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행 및 점검)'에서 명시했습니다.
     개인정보보호법에서 직접 다룬 개인정보 처리방침과 달리, 내부 관리계획의 조항은 개인정보보호위원회 고시에서 제시했습니다. 아무래도 내부 관리계획은 내부 문건에 가깝기 때문에, 고시 수준에서 정한 듯합니다.
     하지만 고시도 행정 규칙의 일종이므로 준수해야할 사항임은 똑같습니다.
     

    반응형

     

    3. 내부 관리계획 목차 예시

    제1장 총칙
     제1조(목적)
     제2조(용어정의)
     제3조(적용범위)

    제2장 내부 관리계획의 수립·시행 및 점검
     제4조(내부 관리계획의 수립, 변경 및 승인)
     제5조(내부 관리계획의 공표)
     제6조(내부 관리계획의 이행 실태 점검)

    제3장 개인정보 보호 조직의 구성 및 운영
     제7조(개인정보 보호 조직)
     제8조(개인정보 보호책임자의 자격요건)
     제9조(개인정보 보호책임자의 지정)
     제10조(개인정보 보호책임자의 역할 및 책임)
     제11조(개인정보취급자의 역할 및 책임)
     제12조(개인정보취급자에 대한 관리 및 감독)

    제4장 개인정보 보호 교육 계획 수립 및 시행
     제13조(개인정보 보호책임자 교육)
     제14조(개인정보취급자 교육)

    제5장 기술적 안전조치
     제15조(접근 권한의 관리)
     제16조(접근통제)
     제17조(개인정보의 암호화)
     제18조(접근기록의 보관 및 점검)
     제19조(악성프로그램 등 방지)
     제20조(개인정보 유출 방지 취약점 점검)

    제6장 관리적 안전조치
     제21조(개인정보 유출사고 대응 계획 수립 및 시행)
     제22조(위험 분석 및 관리)
     제23조(수탁자에 대한 관리 및 감독)
     제24조(개인정보의 파기)

    제7장 물리적 안전조치
     제25조(물리적 안전조치)
     제26조(재해 및 재난 대비 안전조치)
     제27조(출력 및 복사시 보호조치)

    제8장 그 밖에 개인정보 보호를 위하여 필요한 사항

     
     2024년 10월, 개인정보보호위원회와 한국인터넷진흥원에서 배포한 '개인정보의 안전성 확보조치 기준 안내서'에 실린 예시입니다. 적어도 위처럼 내부 관리계획을 구성하면 법에 저촉되진 않는다는 의미이죠.

     최근에는 내부 관리계획을 내규처럼 쓰는 기관이 많이 늘면서, 위 목차에서 세부적인 항목을 많이 덧붙이는 추세입니다. 개인정보보호법에 명시된 '동의를 받는 방법', '개인정보 수집 이용 및 제공', '개인정보 위수탁 사항', '가명정보 사항' 등을 넣기도 합니다.

     내부 문서이지만 개인정보보호위원회 및 상급기관 평가에 핵심 자료 역할을 하므로, 앞으로도 중요성은 점점 높아질 것으로 예상됩니다.
     
     

    star가 되고나서 Tistory
    반응형

    '개인정보보호' 카테고리의 다른 글

    [개인정보] 공공시스템 운영기관 등의 개인정보 안전성 확보조치  (0) 2024.12.13
    [개인정보] 개인정보의 안전성 확보조치 : 고시 목적, 기준 법령, 주요 내용 알아보기  (2) 2024.12.07
    [개인정보] 법률 적용의 원칙: 상위법 우선의 원칙, 특별법 우선의 원칙, 신법 우선의 원칙  (0) 2024.09.11
    [개인정보] 법령의 종류, 상위법과 하위법: 헌법, 법률, 명령, 조례, 규칙  (2) 2024.09.11
    [보안] 개인정보 목적 외 이용 및 제3자 제공: 개념과 사례, 목적 내 제3자 제공과의 차이점  (0) 2024.05.26

    관련글

    댓글

    티스토리툴바