국내외 개인정보보호 관리체계들을 알아보자

본 포스터는 CPO포럼의 39회 기준 CPPG 가이드북의 내용을 담고있습니다.

국내외 개인정보보호 관리체계

개인정보보호 마크제드

미국의 BBBOnline 마크제도(미국 경영개선협회)

신뢰성(Reliability)마크와 프라이버시(Privacy)마크 등 두 가지 마크로 구성되어 있으며, 프라이버시마크는 BBB회원사의 개인정보보호방침(Privacy Policy)을 온라인으로 심사하여 마크를 부여한다.

BBBOnline(Privacy)는 조직내 엄격한 수준의 개인정보보호 원칙을 준수하고 공신력있는 기관으로부터 정기점검을 받으며, 소비자 불만처리 절차를 갖추고 있음을 표시하도록 한다.

유효기간은 1년으로 심사내용은 다음과 같다.

  • 범위 및 이행
  • 정보수집
  • 접속 및 수정
  • 정보의 통합
  • 예측정보
  • 정보 접근 제한
  • 민감정보
  • 사업영역
  • 정보공유
  • 어린이 보호

일본의 프라이버시 마크제도

일본정부의 개인정보보호 지침을 민간에게 확신시키기 위한 목적으로 정부가 주도하여 1998년에 도입하였으며, 기업에서 구축, 운영하는 개인정보보호 체계를 평가하여 기업에 인증을 부여하는 제도이다.

사업자로 하여금 개인정보보호에 관한 신뢰획득의 계기를 주어 개인정보보호시스템의 확립을 촉진하도록 하고, 소비자에게는 사업자의 개인정보 취급의 적절성을 쉽게 판단할 수 있도록 마크를 제공한다.

일본정보처리개발협회(JIPDEC)가 인정 및 인증기관의 역할을 병행하며, JIPDEC에서 지정한 다수의 인증기관이 활동 중이다.

오프라인으로 신청하며 서류심사와 현지조사를 받는다.

유효기간은 2년으로 심사내용은 다음과 같다.

  • 개인정보보호방침의 제정여부
  • 개인정보의 특정
  • 내부규정의 정비여부
    • 부문별 개인정보보호체제, 권한, 책임에 관한 규정
    • 개인정보 수집, 이용, 제공 및 관리에 관한 규정
    • 정보주체로부터 개인정보에 관한 개시, 정정, 삭제에 관한 규정
    • 개인정보교육에 관한 규정
    • 개인정보보호 감사에 관한 규정
    • 내부규정의 위반에 관한 처벌 규정
  • 내부규정의 준수에 필요한 계획
    • 교육계획
    • 감사계획

국내외 개인정보보호 관리체계 인증제도

ISMS-P 인증제도

인증의무 대상자는 다음과 같다

  • 정보통신망법 제47조제2항의 어느 한가지 이상의 기준에 해당할 경우, 인증 의무대상자가 된다.
  • 인증 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 관리체계를 구축, 운영하는 기업은 자율신청기업으로 분류되며, 자율신청기업이 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있다.

ISP 제공자와 IDC 사업자는 매출액 및 방문자 수에 관계없이 인증의무대상자에 해당하며, 정보통신서비스 부문 전년도 매출액이 100억원 이상인자 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 또는 연간 매출액 또는 세입이 1500억원 이상인 자 중에서 다음에 해당되는 경우

  • 의료법 제3조의4에 따른 상급종합병원
  • 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 고등교육법 제2조에 따른 학교

인증심사는 문서심사와 현장심사로 이루어지며, 인증 유효기간은 3년으로 인증 취득 후 연1회 이상 사후 관리 심사를 받아야 한다.

ISMS-P의 자세한 인증기준과 인증제도는 다른 포스트에서 다루도록 한다.

글로벌 정보보호경영관리시스템 인증제도 (ISO 27001)

ISO27001(정보보안경영시스템 인증)은 조직의 경영시스템 중 정보보호관리체계 시스템을 심사하고 인증하는 제도로 ISO와 IEC가 2005년 제정한 국제표준이다. 각 나라별로 인정기관 및 인증기관을 지정하여 운영하고 있으며, 인증기관 내 인증위원회에서 인증결과를 심의하고 의결하고 있다.

  • ISO27001에서는 보안정책, 자산분류, 위험관리 등 11개 영역, 133개 통제항목에 대한 규격을 만족하는 기업이 엄격한 심사를 통과함으로써 획득할 수 있는 표준이다.
  • 인증심사는 문서심사와 현장심사로 이루어지며, 인증 유효기간은 3년으로 인증취득 후 연1회 이상 사후관리를 받아야 한다.

새로 개정된 ISO 27001:2022는 다른 포스트에서 다루도록 한다.

해외 개인정보보호관리체계 (BS 10012) 인증제도

BS 10012는 회사에 중대한 영향을 미칠 수 있는 개인정보 관련 사고의 발생가능성을 감소시키고, 개인정보를 다루는 조직 내외의 모든 활동에 대해서 검증을 거칠 수 있는 프레임워크를 제공하는 글로벌 개인정보경영시스템 표준이다.

개인정보보호 원칙으로 OECD 가이드라인과 유럽 및 영국 법규에 기초한 표준으로 글로벌수준의 개인정보경영시스템(PIMS)을 PDCA 주기를 기반으로 조직에 구현할 수 있도록 한다.

공공기관의 개인정보보호 평가제도

개인정보 영향평가(PIA: Privacy Impact Assessment)

개인정보영향평가 제도는 사전예방의 원칙 하에 정보시스템의 도입 또는 개인정보를 수집, 이용하는 정보시스템에 중대한 변경이 발생할 경우 개인정보 수집, 이용, 저장, 제공, 파기의 라이프사이클을 분석하고 부정적 영향을 미리 조사, 예측한 후 예방하는 제도이다.

이와 관련하여 미국은 전자정부법, 캐나다는 프리어빗 영향평가 지침 고시 등에서 영향평가 제도를 규정하고 있으며, 우리나라는 2011년 개인정보보호법에 의해 규정하게 되었다.

개인정보보호 수준진단

공공기관의 개인정보보호 관리수준에 대하여 객관적으로 평가하고 미비점 보완 및 개선 유도로 개인정보 수준 향상에 목적을 가진다.

공공기관 개인정보보호 수준진단 지표는 개인정보보호 법령, 지침 등 관련 규정 상의 준수사항으로 구성되어 있다.