YesXYZ

아딸이 함께 만드는 세상

[CPPG] 개인정보보호 관련 평가·조사·인증의 종류

by · 2024년 08월 12일

개인정보보호 관련 평가·조사·인증의 종류, 근거, 목적 및 고려사항 등을 알아보겠습니다.

  1. 개인정보 침해요인 평가: 법 제8조의2(개인정보 침해요인 평가)
  2. 개인정보 보호수준 평가: 법 제11조의2(개인정보 보호수준 평가)
  3. 고유식별정보 안전조치 관리실태 조사: 법 제24조(고유식별정보의 처리 제한)
  4. 개인정보 처리방침 평가: 법 제30조의2(개인정보 처리방침의 평가 및 개선권고)
  5. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증: 법 제32조의2(개인정보 보호 인증)
  6. 개인정보 영향평가: 법 제33조(개인정보 영향평가)

개인정보 보호법 제8조의2(개인정보 침해요인 평가)중앙행정기관의 장은 소관 법령의 제정 또는 개정을 통하여 개인정보 처리를 수반하는 정책이나 제도를 도입ㆍ변경하는 경우에는 보호위원회에 개인정보 침해요인 평가를 요청하여야 한다.

개인정보 침해요인 평가 시 고려사항

  1. 개인정보 처리의 필요성
  2. 개인정보 주체의 권리보장의 적정성
  3. 개인정보 관리의 안전성
  4. 그 밖에 침해요인 평가에 필요한 사항

개인정보 보호법 제11조의2(개인정보 보호수준 평가) ① 보호위원회는 공공기관 중 중앙행정기관 및 그 소속기관, 지방자치단체, 그 밖에 대통령령으로 정하는 기관을 대상으로 매년 개인정보 보호 정책ㆍ업무의 수행 및 이 법에 따른 의무의 준수 여부 등을 평가(이하 “개인정보 보호수준 평가”라 한다)하여야 한다.

평가 대상(개인정보 보호수준 평가에 관한 고시 제2조)

  1. 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관
  2. 「지방공기업법」에 따른 지방공사와 지방공단
  3. 특별법에 의하여 설립된 특수법인과 「고등교육법」 제2조에 따른 학교 중에 다음 각 호의 사항을 종합적으로 고려하여 보호위원회가 고시하는 기준에 해당하는 기관(이 경우 최초 평가를 위한 준비기간을 고려하여 차년도부터 평가를 실시할 수 있으며, 이 경우 최초 평가를 실시한 연도를 포함하여 3년간 평가를 실시한다.)
    • 5만명 이상의 정보주체에 관한 법 제23조에 따른 민감정보 또는 법 제24조제1항에 따른 고유식별정보를 처리하는 경우
    • 100만명 이상의 정보주체에 관한 개인정보를 처리하는 경우
    • 최근 3년간 개인정보 유출 등 개인정보 침해사고가 2회 이상 발생하였거나, 보호위원회로부터 과징금 또는 과태료 처분 등을 1회 이상 받은 경우
    • 그 밖에 개인정보 처리 및 관리에 있어서 개인정보 침해 우려가 크다고 판단되는 경우

개인정보 보호수준 평가 기준(시행령 제13조의2 제2항)

  1. 개인정보 보호 정책ㆍ업무 수행실적 및 개선 정도
  2. 개인정보 관리체계의 적정성
  3. 정보주체의 권리보장을 위한 조치사항 및 이행 정도
  4. 개인정보 침해방지 조치사항 및 안전성 확보 조치 이행 정도
  5. 그 밖에 개인정보의 처리 및 안전한 관리를 위해 필요한 조치 사항의 준수 여부

개인정보 보호수준 평가 지표

개인정보 보호법 제24조(고유식별정보의 처리 제한) ④ 보호위원회는 처리하는 개인정보의 종류ㆍ규모, 종업원 수 및 매출액 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 개인정보처리자가 제3항에 따라 안전성 확보에 필요한 조치를 하였는지에 관하여 대통령령으로 정하는 바에 따라 정기적으로 조사(고유식별정보 안전조치 관리실태 조사)하여야 한다.(3년마다 1회 이상)

조사 대상(시행령 제21조 제2항)

  1. 1만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 공공기관
  2. 보호위원회가 법 위반 이력 및 내용ㆍ정도, 고유식별정보 처리의 위험성 등을 고려하여 법 제24조제4항에 따른 조사가 필요하다고 인정하는 공공기관
  3. 공공기관 외의 자로서 5만명 이상의 정보주체에 관하여 고유식별정보를 처리하는 자

개인정보 보호법 제30조의2(개인정보 처리방침의 평가 및 개선권고)① 보호위원회는 개인정보 처리방침에 관하여 다음 각 호의 사항을 평가하고, 평가 결과 개선이 필요하다고 인정하는 경우에는 개인정보처리자에게 제61조제2항에 따라 개선을 권고할 수 있다.

개인정보 처리방침 평가 사항(법 제30조의2 제1항)

  1. 이 법에 따라 개인정보 처리방침에 포함하여야 할 사항을 적정하게 정하고 있는지 여부
  2. 개인정보 처리방침을 알기 쉽게 작성하였는지 여부
  3. 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있는 방법으로 공개하고 있는지 여부

평가 대상(개인정보 처리방침 평가에 관한 고시 제4조)

  1. 전년도(법인의 경우에는 전 사업연도를 말하며, 이하 이 조에서 같다)의 매출액이 1,500억원 이상이면서 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 정보주체의 수가 일일평균 100만명 이상일 것
  2. 전년도 말 기준 직전 3개월간 법 제23조제1항에 따른 민감정보(이하 “민감정보”라 한다) 또는 법 제24조제1항에 따른 고유식별정보(이하 “고유식별정보”라 한다)가 저장ㆍ관리되고 있는 정보주체의 수가 일일평균 5만명(업무수행을 위해 처리되는 그에 소속된 임직원의 민감정보나 고유식별정보는 제외한다) 이상일 것
  3. 개인정보 처리방침에 법 제22조제3항에 따라 정보주체의 동의 없이 처리할 수 있는 개인정보의 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하고 있지 않을 것
  4. 법 제37조의2에 따라 완전히 자동화된 시스템(인공지능 기술을 적용한 시스템을 포함한다)으로 개인정보를 처리하거나, 그 밖에 새로운 기술을 이용한 개인정보 처리 방식으로 인하여 개인정보 침해 발생 우려가 있을 것
  5. 최근 3년 간 다음 각 목의 어느 하나에 해당할 것
    • 2회 이상 법 제34조에 따른 개인정보 유출등이 되었을 것
    • 법 제62조의2에 따른 과징금을 부과 받았을 것
    • 법 제75조에 따른 과태료를 부과 받았을 것
  6. 19세 미만 아동 또는 청소년을 주된 이용자로 하는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제2호에 따른 정보통신서비스를 운영할 것

개인정보 처리방침 평가기준(2024년도 개인정보 처리방침 평가 계획)

  1. 적정성
    1. 적합성:
      필수ㆍ권장 기재 사항 작성 여부, 기재 내용의 법령 부합성 및 개인정보 처리의 법적근거 및 항목, 보유·이용기간 등의 구체성·적정성 평가
    2. 권리보장:
      정보주체의 권리 보장을 위해 처리방침에 작성하도록 한 사항의 기재 여부, 실제 작동 여부 등 평가
    3. 안전성:
      개인정보를 안전하게 관리하도록 추가적인 의무를 부여한 항목에 대해 법령 부합성 및 구체성·적정성 평가
  2. 가독성:
    처리방침의 구성 방법(줄 간격, 목차 등), 문장·어휘의 적정성, 가독성 제고를 위해 사용하고 있는 방법 등 평가
  3. 접근성:
    정보주체가 처리방침을 쉽게 확인 및 접근할 수 있는지 공개 방식의 적정성·접근 용이성 평가(웹·앱 처리방침 모두 포함)
  4. 기타 고려사항(감정):
    정보주체에게 불이익한 내용을 기재하고 있는 경우
    개인정보 처리방침 상 법령 위반 사실이 확인되거나, 최신 법률 내용 등이 미반영되는 등 개인정보 처리방침이 미흡한 경우

2024년 개인정보 처리방침 평가기준표
2024년 개인정보 처리방침 평가기준표
2024년 개인정보 처리방침 평가기준표

개인정보 보호법 제32조의2(개인정보 보호 인증) ① 보호위원회는 개인정보처리자의 개인정보 처리 및 보호와 관련한 일련의 조치가 이 법에 부합하는지 등에 관하여 인증할 수 있다.

인증 제도 개요

  • 인증의 유효기간: 3년
  • 연 1회 이상 사후관리 실시

개인정보 보호법 제33조(개인정보 영향평가) ① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 보호위원회에 제출하여야 한다.

개인정보 영향평가 시 고려사항(법 제33조 제3항)(2024년 정보보안기사 2회 실기시험 출제)

  1. 처리하는 개인정보의 수
  2. 개인정보의 제3자 제공 여부
  3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
  4. 민감정보 또는 고유식별정보의 처리 여부
  5. 개인정보 보유기간

개인정보 영향평가 기준(시행령 제38조 제1항)

  1. 해당 개인정보파일에 포함되는 개인정보의 종류ㆍ성질, 정보주체의 수 및 그에 따른 개인정보 침해의 가능성
  2. 법 제23조제2항, 제24조제3항, 제24조의2제2항, 제25조제6항(제25조의2제4항에 따라 준용되는 경우를 포함한다) 및 제29조에 따른 안전성 확보 조치의 수준 및 이에 따른 개인정보 침해의 가능성
  3. 개인정보 침해의 위험요인별 조치 여부
  4. 그 밖에 법 및 이 영에 따라 필요한 조치 또는 의무 위반 요소에 관한 사항

개인정보 영향평가서 포함 사항(시행령 제38조 제2항)

  1. 영향평가의 대상 및 범위
  2. 평가 분야 및 항목
  3. 평가기준에 따른 개인정보 침해의 위험요인에 대한 분석ㆍ평가
  4. 제3호의 분석ㆍ평가 결과에 따라 조치한 내용 및 개선계획
  5. 영향평가의 결과
  6. 제1호부터 제5호까지의 사항에 대하여 요약한 내용

Tags:

You may also like...

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다