안녕하세요. 개인정보보호 파트너 캐치시큐입니다.
최근 개인정보보호위원회가 지속적으로 개인정보 관리실태 점검을 진행하며 ‘미흡’ 사항이 뜬 기업에는 과태료를 부과하고 있습니다. 이처럼 개인정보 관련 규제가 나날이 강화됨에 따라, 개인정보의 안전성 확보조치 기준을 준수하는 것이 매우 중요해지고 있어요.
개인정보를 안전하게 지키기 위하여 반드시 준수해야 하는 8가지 사항 중, ‘개인정보 내부 관리계획 수립’도 포함되어 있습니다.
오늘은 많은 분들이 놓치고 있는 개인정보 내부 관리계획 수립에 대해 알아보도록 하겠습니다.
Check!
- 개인정보 내부 관리계획이란?
- 개인정보 내부 관리계획 수립 대상
- 개인정보 내부 관리계획 구성 항목
- 위반 사례 및 벌칙
- 마치며
1. 개인정보 내부 관리계획이란?
“개인정보 내부 관리계획”이란 개인정보처리자가 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 사항 등을 규정한 계획, 규정, 지침 등을 말합니다.
개인정보 보호법 제29조(안전조치의무)에 의하면,
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다고 나와 있습니다.
그렇다면, 모든 기업에 동일한 내부 관리계획이 적용되는 것일까요? 함께 알아보도록 하겠습니다.
2. 개인정보 내부 관리계획 수립 대상
개인정보 내부 관리계획 수립 대상의 경우, 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립·시행)에 따라 유형별로 내부 관리계획 수립 여부가 다르게 적용됩니다.
유형1(완화)
소상공인, 개인, 단체에 속하고 보유하고 있는 개인정보가 1만 명 미만인 경우, 유형1(완화)에 속합니다.
유형1(완화)에 해당하는 개인정보처리자는 내부 관리계획을 수립하지 않아도 됩니다.
유형2(표준)
다음으로 공공기관, 대기업, 중견기업에 속하고 보유하고 있는 개인정보가 10만 명 미만인 경우,
중소기업에 속해 있고 보유하고 있는 개인정보가 100만 명 미만인 경우,
소상공인, 개인에 속하고 보유하고 있는 개인정보가 1만 명 이상인 경우,
단체에 속해 있으며 보유하고 있는 개인정보가 1만 명 이상, 100만 명 미만인 경우 유형2(표준)에 속합니다.
유형3(강화)
또한, 공공기관, 대기업, 중견기업에 속하고 보유하고 있는 개인정보가 10만 명 이상인 경우,
중소기업에 속해 있고 보유하고 있는 개인정보가 100만 명 이상인 경우,
단체에 속해 속하고 보유하고 있는 개인정보가 100만 명 이상인 경우 유형3(강화)에 속합니다.
유형2(표준)와 유형3(강화)에 해당하는 개인정보처리자는 내부 관리계획을 수립해야 합니다.
여기서 잠깐, 꼭 짚고 넘어가야 할 사항이 있는데요.
정보통신서비스를 제공하는 사업자의 경우, 개인정보처리자 유형과 관계없이 필수적으로 내부 관리계획을 수립해야 하니, 주의하시기 바랍니다.
3. 개인정보 내부 관리계획 구성 항목
그렇다면, 개인정보 내부 관리계획 구성 항목에는 무엇이 있을까요?
개인정보 내부 관리계획 구성 항목은 개인정보의 안전성 확보조치 기준 제4조(내부 관리계획의 수립・시행)에 따라 유형별로 내부 관리계획 구성 항목이 다르게 적용됩니다.
유형2(표준)에 해당하는 개인정보처리자는 아래의 구성 항목의 제12,13,14호를 내부 관리계획에 포함하지 않아도 됩니다.
다만, 유형3(강화)에 해당하는 개인정보처리자는 아래의 구성 항목을 모두 포함하여야 합니다.
4. 위반 사례 및 벌칙
그렇다면 KISA 한국인터넷진흥원이 공개한 실례 중, 개인정보 내부 관리계획을 수립하지 않아 과태료를 부과받은 사례를 함께 살펴보겠습니다.
업무 처리를 위하여 30만 건이 넘는 환자의 개인정보를 수집하고 있던 한 병원이 개인정보 관리를 위하여 개인정보처리시스템을 도입하여 운용하고 있었는데요. 민감정보로 분류되는 의료 정보와 의무 기록 등의 안전한 관리를 위하여 ‘개인정보보호를 위한 내부 관리계획 및 관련 문서’를 작성하여 관리하기도 했습니다.
그러나 현장점검을 통해 세부 항목을 살펴본 결과, 해당 병원은 개인정보 내부 관리계획을 수립하여 관리하고 있었지만 의무 업무와 관련된 내용만 관리계획에 담겨 있다는 문제가 발견되었습니다.
명칭은 ‘개인정보보호 내부 관리계획’ 문서였지만, 개인정보 보호법에 따른 필수 항목이 반영되지 않았고, 앞서 살펴봤던 개인정보처리자 유형에 따라 지정된 필수 사항을 모두 반영하여 계획을 수립하지 않아 ‘내부 관리계획 미수립’으로 판단되어, 개인정보 보호법 제29조(안전조치 의무) 위반에 포함됩니다.
이렇게 개인정보 보호법 제29조(안전조치 의무)를 위반할 경우, 동일 법 제75조제2항제6호에 의해 3천만 원 이하의 과태료를 부과받게 되며, 개인정보 내부 관리계획 수립 및 이행에 대한 시정조치 처분을 받게 됩니다.
해당 시정조치를 이행하기 위해서는 개인정보처리자가 개인정보의 분실・도난・유출・위조・변조 또는 훼손되지 않도록 내부 의사 결정 절차를 통하여 내부 관리계획을 수립・시행하고, 필수 사항을 모두 포함하여야 합니다.
5. 마치며
오늘은 개인정보 내부 관리계획 작성 방안에 대해 알아보았는데요.
우리 기관, 기업의 상황을 모두 반영하여 작성하기가 쉽지 않습니다.
저희 캐치시큐에서는 전문가 분들이 각 기업의 개인정보 보유 상황, 제공하는 서비스 현황 등을 모두 파악하여 개인정보 내부 관리계획 작성을 도와드리는 서비스도 제공하고 있습니다.
관련하여 궁금한 사항이 있으시다면, 개인정보보호 전문가와의 무료상담을 통해 궁금증을 해결하시기 바랍니다.
개인정보 내부 관리계획도, 캐치시큐와 함께 하세요!
감사합니다.