바로가기 메뉴
본문 바로가기
주메뉴 바로가기
정보통신망 침해행위의 방지에 관한 사항과 시스템 및 네트워크의 운영·보완·관리에 관한 사항 2편
제목 정보통신망 침해행위의 방지에 관한 사항과 시스템 및 네트워크의 운영·보완·관리에 관한 사항 2편
본인확인기관 지정정기심사
1장 물리적·기술적·관리적 조치계획
정보통신망 침해행위의 방지에 관한 사항과 시스템 및 네트워크의 운영·보안·관리에 관한 사항 편

안녕하세요.
이번 차시에는 본인확인업무를 위한 내부규정의 수립 및 시행에 관한 사항, 적정성을 심사하는 기준에 대해 알아보도록 하겠습니다.

-심사대상-
먼저, 개인정보관리책임자의 지정 등 개인정보보호 조직의 구성·운영에 관한 적정성을 심사하는 항목으로,
개인정보보호 관련 책임자와 담당자 지정 여부,
개인정보보호 관련 책임자의 역할 및 책임,
개인정보보호 관련 책임자와 담당자의 활동에 대한 평가 체계,
개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통 체계 등이 심사대상입니다.

해당 심사영역에서는
첫째, 개인정보보호 업무를 수행하는 조직을 구성하여 운영하고 있는지 심사합니다.
둘째, 개인정보보호 업무 관련 책임자와 담당자를 지정하고 있는지 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
개인정보보호 관련 책임자와 담당자 지정 현황,
개인정보보호 관련 책임자의 역할 및 책임 기술서,
개인정보보호 관련 활동 평가 체계,
개인정보보호 관련 의사소통을 위한 협의체 등 운영현황 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 현장점검을 통해 진행이 되는데요,
대상 담당자는 개인정보보호 책임자 및 담당자가 있습니다.
인터뷰에서는 담당자에게 역할 및 책임 관련 설명, 개인정보보호 관련 활동 평가 체계 설명,
개인정보보호 관련 의사소통 체계 및 절차 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.

-현장실사 증적자료-
현장실사에서는 개인정보보호 조직의 구성과 운영이 적절하게 이루어지고 있는지 심사하기 위해서
개인정보보호 관련 책임자와 담당자를 지정하고 있는지 여부,
개인정보보호 관련 책임자와 담당자의 역할과 책임을 명확히 정의하고 있는지 여부,
개인정보보호 관련 책임자와 담당자의 활동의 평가할 수 있는 체계를 마련하여 주기적으로 평가하고 있는지 여부,
개인정보보호 관련 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계 및 절차를 운영하고 있는지 여부 등의 사항을 확인합니다.

심사과정에서 확인한 미흡사례 2가지를 짚어보고 넘어가도록 하겠습니다.
첫번째 미흡사례로는,
개인정보보호 책임자가 지정되어 있지만 관련 법령에서 요구하는 역할 및 책임이
내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 문제점이 확인된 사례가 있습니다.
두번째 미흡사례로는,
개인정보보호 관련 책임자 및 담당자의 활동을 주기적으로 평가할 수 있는 기준, 지표 등의 체계가
마련되어 있지 않은 문제점이 확인된 사례가 있습니다.

-심사대상-
다음은 개인정보를 처리하는 직원에 대한 교육의 적정성을 심사하는 항목으로
연간 개인정보보호 교육 수립 및 경영진 승인 여부
개인정보보호 교육 시행의 적절성
개인정보보호 교육에 대한 적절성 및 효과성 측정 등 평가 체계 등이 심사대상이 되겠습니다.
해당 심사영역에서는

-연간 개인정보보호 교육 계획-
첫째, 연간 개인정보보호 교육 계획을 수립하고 경영진의 승인을 받았는지 심사합니다.

-수탁자 및 파견된 직원의 교육-
둘째, 교육대상은 본인확인업무와 관련된 임직원, 임시직원, 외주용역업체 직원 등 모든 인력을 포함하여 수행되고 있는지 심사합니다.

-교육 시행 후-
셋째, 교육 시행 후 교육 공지, 교육 자료, 출석부 등과 같은 기록을 보관하고 있는지 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
연간 개인정보보호 교육 계획,
연간 교육계획에 대한 경영진의 승인 증적,
연간 교육계획에 따른 교육 시행 관련 증적,
개인정보보호 교육에 대한 효과 측정 등 평가 관련자료 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행되는데요,
대상 담당자는 개인정보보호 책임자 및 담당자가 있습니다.
인터뷰에서는 담당자에게
연간 개인정보보호 교육 계획 설명,
교육 시행 현황 및 추가 교육 방안 설명,
개인정보보호 교육 평가를 위한 설문과 같은 평가체계 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.

-현장실사-
현장실사에서는 연간 개인정보보호 교육 계획을 수립하고 경영진의 승인을 받았는지 여부,
교육 대상에 본인확인업무 관련 임직원 및 외부자가 누락없이 모두 포함되었는지 여부,
교육 시행에 따른 교육 효과와 적정성을 평가하고 개선사항을 도출하여
차기 교육 계획에 반영하고 있는지 여부 등의 사항을 확인합니다.

심사과정에서 확인한 미흡 사례 3가지를 짚어보고 넘어가도록 하겠습니다.
첫번째 미흡사례로는 타당한 사유 없이 연간 개인정보보호 교육 계획을 수립하지 않은 문제점이 확인된 사례가 있습니다.
두번째 미흡사례로는 교육계획에 본인확인업무 관련 일부 임직원이 포함되어 있지 않은 문제점이 확인된 사례가 있습니다.
세번째 미흡사례로는 교육 미이수자를 파악하지 않고 있거나, 해당 미이수자에 대한 추가 교육방법을 수립, 이행하고 있지 않은 문제점이 확인된 사례가 있습니다.

-심사대상-
다음은 이용자의 개인정보를 취급하는 자를 최소한으로 제한하고 있는지에 대한 적정성을 심사하는 항목으로개인정보 및 중요정보 취급 등 주요 직무 기준 정의, 개인정보취급자에 대한 감독 등 관리방안 수립・이행 현황이 심사대상입니다.
해당 심사영역에서는
첫째, 업무상 반드시 필요한 경우에 한하여 적절한 승인절차를 통해 처리 권한이 신청・부여될 수 있도록 관리하고 있는지 심사합니다.
둘째, 부여된 개인정보 처리 권한에 대하여 주기적으로 검토하고 있는지도 심사합니다.

-현장실사 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
개인정보 및 중요정보 취급 등 주요 직무 기준 정의서,
주요 직무자 및 개인정보취급자 지정 현황,
주요 직무자 및 개인정보취급자 권한 신청 및 부여에 대한 승인 절차,
주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안 관련 증적 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행이 되는데요,
대상 담당자는 개인정보보호 책임자 또는 담당자가 해당됩니다.
인터뷰에서는 담당자에게 개인정보취급자 지정 절차 및 지정 현황 설명,
주요 직무자 및 개인정보취급자 권한 신청 절차 설명,
주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안 설명 등을 요청할 수 있으므로,
미리 확인하고 준비하는 것이 좋겠습니다.

-현장실사 증적자료-
현장실사에서는
개인정보 및 중요정보 취급 등 주요 직무 기준을 명확히 정의하고 있는지 여부,
업무상 반드시 필요한 경우에 한하여 주요 직무자 및 개인정보취급자로 지정하고 있는지 여부,
주요 직무자 및 개인정보취급자에 대한 관리 및 통제방안이 적절한지 여부 등의 사항을 확인합니다.

심사과정에서 확인한 미흡사례 3가지만 짚어보고 넘어가도록 하겠습니다.
첫번째 미흡사례로는,
본인확인기관 사업장에 상주하면서 본인확인업무 내 정보시스템 개발・운영・보안 등 업무를 수행하는 협력사 직원에 대해 주요 직무자 및 개인정보취급자가 누락된 문제점이 확인된 사례가 있습니다.
두번째 미흡사례로는,
부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 문제점이 확인된 사례가 있습니다.
세번째 미흡사례로는,
주요 직무자 및 개인정보취급자 목록을 관리하고 있지만, 퇴사한 임직원이 포함되어 있고 최근 투입된 인력이 포함되어 있지 않는 등 현행화가 되어 있지 않은 문제점이 확인된 사례가 있습니다.

-심사대상-
다음은 본인확인업무의 안전성・신뢰성 보장 및 이용자의 개인정보 보호조치를 이행하기 위해 필요한 세부사항을 심사하는 항목으로 개인정보보호 정책과 정책시행문서 내용 및 관리 현황,
개인정보보호 정책・시행문서 제・개정 절차 및 방법,
내부 관리계획 내용 및 승인 현황 등이 심사대상입니다.
해당 심사영역에서는
첫째, 개인정보를 보호하기 위한 내부지침 등을 마련하였는지 심사합니다.
둘째, 개인정보보호 정책에 명시된 사항을 시행하기 위해서 필요한 세부 방법, 절차, 주기, 수행주체 등을규정하는 지침, 절차를 수립하고 있는지 심사합니다.
셋째, 개인정보보호 정책・시행문서 제・개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받았는지 심사합니다.
넷째, 관련 법규에서 요구하는 개인정보 보호조치가 준수되고 있는지 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는 개인정보보호 정책 및 시행문서,
개인정보보호 정책・시행문서 제・개정 시 최고경영자의 승인 증적, 내부 관리계획 최신본 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행이 되는데요,
대상 담당자는 개인정보보호 책임자 및 담당자가 해당되겠습니다.
인터뷰에서는 담당자에게 개인정보보호 정책 수립 및 관리 현황 설명,
정책 시행문서 수립 및 관리 현황 설명, 개인정보보호 정책・시행문서 제・개정 절차 및 CEO 승인 여부 설명,
내부 관리계획 수립 및 관리 현황 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋겠습니다.

-현장실사 증적자료-
현장실사에서는 개인정보를 위한 정책수립 및 보호조치가 적절하게 운영되고 있는지를 심사하기 위해
개인정보보호 활동의 근거를 포함하는 개인정보보호 정책을 수립하고 있는지 여부,
개인정보보호 정책에 명시된 사항을 시행하기 위하여 필요한 세부 방법, 절차, 주기, 수행주체 등을
규정하는 지침, 절차 등을 수립하고 있는지 여부,
내부 관리계획이 관련 법규에서 요구하는 사항을 모두 포함하고 있는지 여부,
개인정보보호 정책・시행문서 제・개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의
승인을 받는지 여부 등의 사항을 확인합니다.

심사과정에서 확인한 미흡사례 1가지만 짚어보고 넘어가도록 하겠습니다.
미흡사례로는, 개인정보보호 정책 및 지침서가 최근 개정되었지만
해당 사항이 관련 부서 및 임직원에게 공유・전달되지 않아서,
일부 부서에서는 구 버전의 지침서를 기준으로 업무를 수행하고 있는 문제점이 확인된 사례가 있습니다.

이번 차시는 본인확인업무를 위한 내부규정의 수립 및 시행에 관한 사항 적정성을 심사하는 기준에 대해 알아봤습니다.

감사합니다.

-한국인터넷진흥원-