| ① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인·개인·단체의 경우에는 생략할 수 있다. 1. 개인정보 보호 조직의 구성 및 운영에 관한 사항 2. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항 3. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항 4. 개인정보취급자에 대한 관리·감독 및 교육에 관한 사항 5. 접근 권한의 관리에 관한 사항 6. 접근 통제에 관한 사항 7. 개인정보의 암호화 조치에 관한 사항 8. 접속기록 보관 및 점검에 관한 사항 9. 악성프로그램 등 방지에 관한 사항 10. 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항 11. 물리적 안전조치에 관한 사항 12. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항 13. 위험 분석 및 관리에 관한 사항 14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 15. 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항 16. 그 밖에 개인정보 보호를 위하여 필요한 사항 ② 개인정보처리자는 다음 각 호의 사항을 정하여 개인정보 보호책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수, 업무성격 등에 따라 차등화하여 필요한 교육을 정기적으로 실시하여야 한다. 1. 교육목적 및 대상 2. 교육 내용 3. 교육 일정 및 방법 ③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다. ④ 개인정보 보호책임자는 접근 권한 관리, 접속기록 보관 및 점검, 암호화 조치 등 내부 관리계획의 이행 실태를 연1회 이상 점검·관리 하여야 한다. |
안전조치 기준 제4조의 요지는 개인정보 보호와 관련된 내부 관리계획의 수립 및 점검, 그리고 정기 교육이 필요하다는 것입니다.
내부 관리계획
개인정보 보호 내부 관리계획(이하 ‘내부 관리계획’)은 조직 전체에 적용되는 규정으로, 별도 문서로 작성하거나 관련 내용을 단체 내규 등에 포함시키는 형태로 작성할 수 있습니다. 대표자, 임원 등 의사결정권을 가진 당사자의 승인을 통해 수립합니다.
1만명 미만의 개인정보를 처리하는 단체의 경우 내부 관리계획을 별도로 수립하지 않아도 됩니다. 이 가이드를 읽는 단체 중 상당수가 여기 해당할 것입니다. 하지만 법적 의무가 없어도 내부 관리계획을 수립하는 것이 유용할 수 있습니다. 내부 관리계획은 안전조치 기준에서 제시하는 각종 의무 조치를 어떻게 이행할지 문서화하는 성격을 가지므로, 각 조치를 빼먹지 않고 실행하는 데 도움이 되는 일종의 체크리스트 역할을 할 뿐만 아니라 실질적인 보안을 강화하는 데도 도움이 될 수 있습니다.
가이드 뒷편에 있는 <개인정보 내부관리 계획 예시> 문서를 참고하여 내부 관리계획을 수립할 수 있습니다.
수정 이력 관리
내부 관리계획을 변경할 경우에는 변경사항을 즉시 반영하는 것에 더해, 수정 이력을 관리하기도 해야 합니다. 수정, 변경 사항을 각 개인정보 취급자에게 전달하여 준수할 수 있도록 하고, 내부 관리계획에 시행일자를 기록하는 등의 방식으로 기존 문서와 신규 문서를 모두 보관하도록 합니다.
이행 실태 점검 및 관리
개인정보 보호책임자는 연 1회 이상 내부 관리계획의 이행실태를 점검하여, 점검 결과를 문서로 작성합니다. 만약 점검에서 중요한 문제나 큰 영향을 끼칠 수 있는 사안을 발견할 경우, 대표/임원 등과 공유하여 대책을 마련해야 합니다. 이 가이드를 참고하는 비영리단체의 경우 상당수는 보호책임자가 곧 대표일테니, 대표나 전체 조직 차원에서 챙겨야 하는 사안이라고 볼 수 있습니다.
교육
개인정보 보호책임자와 개인정보취급자는 개인정보 보호 관련 교육을 정기적으로 이수해야 합니다. 교육은 내부 관리계획 문서의 유무와 상관없이 꼭 진행합니다. ‘정기적’은 통상적으로 ‘연 1회 이상’을 말합니다.
단체는 내부적으로 연간 개인정보보호 교육계획을 수립해야 합니다. 교육계획은 교육 목적, 교육 대상, 교육 내용(프로그램 등 포함), 교육 일정 및 방법 등을 포함하여 자유 형식으로 작성하면 됩니다. 내부 관리계획의 일부로 포함시켜도 되고, “○○년 개인정보보호 교육 계획(안)”과 같은 별도 문서로 작성할 수도 있습니다. 내부 관리계획과 교육 계획은 모든 내부 구성원이 볼 수 있도록 공지/게시해둡니다.
가이드 뒷편에 있는 <개인정보보호 교육계획 예시>를 참고하여 개인정보보호 교육계획을 세울 수 있습니다.
교육 내용은 개인정보취급자의 지위·직책, 담당 업무의 내용, 업무 숙련도 등에 적합한 것으로 선정합니다. 단체의 규모나 개인정보 보유량을 고려하여 개인정보 보호 전반에 관련된 내용부터 구체적, 실무적 역할 수행에 관련된 내용까지를 다룰 수 있도록 하면 좋습니다. 교육 대상자의 역할에 따라 각기 다른 교육 내용을 배정하는 것도 가능하고, 교육 계획에 자원을 많이 투입하기 어려운 작은 조직에서는 필요한 교육을 하나 선정하여 구성원이 공통으로 수강하는 방법도 있습니다.
교육 이행 증빙을 위해 내부적으로 결과 자료(ex. 교육내용, 이수증 등이 포함된 교육 결과보고서)를 만들어 놓도록 합니다.
교육방식이 법으로 정해져 있지는 않습니다. 온라인 교육 수강, 자체 교육 진행, 강사 초빙 등 어떻게 진행해도 무방합니다. 비영리단체 입장에서는 온라인 교육을 수강하는 것이 예산이나 시간 운용 측면에서 적절할 수 있을 텐데요. 의무 수강시간 역시 법으로 정해진 것은 아니니 1~2개의 강의를 수강하면 됩니다.
개인정보보호위원회에서 운영하고 온/오프라인 교육을 제공하는 ‘개인정보배움터’를 예로 들어보겠습니다.
온라인 교육의 예. 개인정보배움터 웹사이트 갈무리
- [개인정보배움터 > 온라인교육(개인수강) > 사업자 교육과정]에서 교육을 수강할 수 있습니다. (작성일 기준)
- 개인정보 관련 기초 정보와 실무상 유의사항을 다루는 ‘기본과정’을 수강합니다.
- 각 교육 대상자가 회원 가입/로그인 후 수강신청을 합니다. 동영상과 퀴즈로 구성된 교육을 수강 완료한 뒤 수료증을 발급받습니다.
- 발급한 수료증은 보호책임자가 수합하여 결과 자료 작성에 활용합니다.
개인정보배움터 교육에서 미처 다루지 못하는, 비영리단체의 사정에 맞는 개인정보 보호 방법에 관해서는 진보네트워크센터나 정보인권연구소 등 시민사회 관련 디지털 전문성이 있는 단체에 문의하는 것도 좋습니다.