1. 개인정보 관리체계 개요

1. 개인정보 관리체계의 개념

1.1 개인정보보호 관리체계의 배경

- 고객정보는 비지니스 이익 창출을 위한 원동력이자 기업 생존에 영향을 미치는 주요 위험요소로 인식

- 개인정보침해사고 발생 시 집단소송 등 적극적 배상요청이 보편화됨

- 개인정보침해사고의 목적이 해킹 실력 과시에서 금전적 이익으로 변화하는 경향

- 기존 기밀정보 보호중심의 보호체계로는 전사적 차원에서의 개인정보보호가 어려움

- 정보주체는 개인정보를 기업에게 안심하고 맡길 수 있는 객관적 판단기준 필요

- 기업은 개인정보보호 노력을 객관적으로 증빙할수 있는 방법 필요

1.2 개인정보보호 관리체계의 정의

- 기업이 정보주체의 개인정보를 보호할수 있도록 보호대책들을 구현하고 지속적으로 관리·운영하는 체계

- 개인정보보호 관리체계 수립을 위한 고려사항

1. 조직이 보호해야 하는 고객의 개인정보가 무엇이며, 왜 중요한가?

2. 고개그이 개인정보는 어떻게 수집되어 이용·전달·저장·파기되는가?

3. 고객의 개인정보는 어떤 수준으로 관리하고 보호해야 하는가?

4. 고객의 개인정보를 보호하기 위해 어떤 방법을 도입하여 수행하는가?

- 개인정보보호 관리체계에서 관리해야 하는 위험

1. 개인정보자산이 허가되지 않은 사람에게 노출되는가? - 기밀성

2. 허가되지 않은 사람에 의하여 변경되거나 훼손되는가? - 무결성

3. 개인정보보호조치가 법에 규정된 사항을 지키지 못하는가? - 준법성

- 개인정보보호 관리체계의 단계

1. 명확한 목표를 정하고 전략을 세우는 계획수립단계

2. 수립된 계획을 실행하는 단계

3. 수립 결과를 계획에 대비하여 검토하는 단계

4. 검토 결과는 차기 계획에 반영하는 단계

1.3 개인정보보호 관리체계 수립의 이점

- 개인정보생명주기를 지속적으로 관리함으로써 적절한 법률적 대응이 이루어질 수 있음

- 개인정보 관리수준을 목표수준으로 제고하고 지속적으로 유지

- 사고로인한 피해나, 사고를 막기위한 투자비용의 남용을 막고 균형을 맞출 수 있음

- 개인정보취급자로 하여금 보호정책을 이해하고 협조하게 함으로써 보안성 인식제고

- 정보보호관련 기술 및 노하우 축적

2. 국내외 개인정보보호 관리체계의 유형 및 현황 

2.1 개인정보보호 마크제도

개인정보보호를 위해 일정 수준 이상 갖추였다는 것을 공신력 있는 제3의 기관이 평가하고 정보주체들이 볼 수 있도록 마크 부여

2.1.1 미국의 BBBOnline 마크제도

- 인증기관 : 미국 경영개선협회

- Reliability 마크와 Privacy 마크 2가지로 구성됨

- 마크 유효기간 1년

2.1.2 일본의 Privacy Mark 마크제도

- 인증기관 : 일본정보처리개발협회(JIPDEC) 및 JIPDEC가 정한 다수의 인증기관

- 인증심사는 서류심사를 중심으로 하고 현장심사는 최소화

- 마크 유효기간은 2년으로, 별도의 사후관리 심사 없음

2.1.3 대한민국의 ePRIVACY 마크제도

- 인증기관 : 개인정보보호협회(OPA)

- 서류심사 및 현장심사 진행

- 마크 유효기간은 1년으로, 사후관리 모니터링을 반기별로 수행(사무관리 심사는 없음)

2.2 국내외 개인정보보호 관리체계 인증제도

2.2.1 국내 정보보호관리체계(ISMS) 인증제도

- 법적 근거 : 정보통신망법 제27조 및 동법 시행령 제50조, 정보보호관리체계인증 등에 관한 고시

- 인증기관 : 과학기술정보통신부가 지정한 기관으로 KISA, TTA, 금융보안원 등

- 인증의무대상자 : 정보통신망법 제47조 2항의 어느 한가지 이상 해당될 경우(해당되지 않더라도 자율신청 가능)

 1. 정보통신망서비스를 제공하는 자(ISP)

 2. 집적정보통신시설 사업자(IDC)

   - 집적정보통신시설의 일부를 임대하여 재판매하는 사업자(VIDC)는 매출액 100억원 이상인 경우만

 3. 연간매출액 또는 세입이 1,500억원 이상인 상급종합병원

 4. 연간매출액 또는 세입이 1,500억원 이상인 학생수 1만명 이상의 학교

 5. 정보통신서비스 전년도 매출액 100억원 이상인 자

 6. 전년도 말 기준 직전 3개월간 일평균 이용자수 100만명 이상인 자

정보통신망법 제47조(정보보호 관리체계의 인증) ① 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계(이하 "정보보호 관리체계"라 한다)를 수립ㆍ운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다.  <개정 2012.2.17, 2013.3.23, 2015.12.1, 2017.7.26>

   ② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.  <신설 2012.2.17, 2015.12.1>

1. 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자

2. 집적정보통신시설 사업자

3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) ① 법 제47조제2항제1호에서 "대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자"란 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자를 말한다.

   ② 법 제47조제2항제3호에서 "대통령령으로 정하는 기준에 해당하는 자"란 다음 각 호의 어느 하나에 해당하는 자를 말한다.  <개정 2016.5.31>

1. 연간 매출액 또는 세입이 1,500억원 이상인 자로서 다음 각 목의 어느 하나에 해당하는 자

가. 「의료법」 제3조의4에 따른 상급종합병원

나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교

2. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.

3. 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자. 다만, 「전자금융거래법」 제2조제3호에 따른 금융회사는 제외한다.

정보보호 관리체계 인증 등에 관한 고시 제14조(인증 의무대상자 범위) ① 인증 의무대상자란 법 제47조제2항, 영 제49조에 따라 정보보호 관리체계 인증을 받아야 하는 자를 말한다.

② 법 제47조제2항제2호에 따라 정보보호 관리체계 인증을 받아야 하는 자 중 집적정보통신시설 사업자가 마련한 시설의 일부를 임대하여 집적정보통신시설 사업을 하는 자에 대하여는 영 제49조제2항의 기준을 준용한다.

③ 인증 의무대상자는 매년 1월1일부터 12월31일까지 인증을 받아야 한다.

- 인증범위 : 정보통신서비스를 기준으로 해당서비스 관련 자산, 조직을 모두 포함한다. 클라우드 서비스 이용 시 클라우드 서비스 측 인프라는 포함하지 않는다. 

- 인증신청 : 인증 신청 전 정보보호 관리체계를 구축하여 2개월 이상 운영해야 하며, 인증신청시 증적을 포함한 신청서류를 제출하여야 한다.

2.2.2 글로벌 정보보호경영관리시스템(ISO 27001) 인증제도

- 경영시스템 중 정보보호관리체계 시스템을 심사·인증하는 ISO와 IEC가 2005년 제정한 국제 표준

- 심사는 서면심사와 현장심사 모두 실시

- 인증 유효기간은 3년, 연 1회이상 사후관리 실시

2.2.3 해외 개인정보보호 관리체계(BS 10012) 인증제도

- 영국왕립표준협회(BSI)에서 제정한 개인정보경영시스템(PIMS) 표준

- 6개 분야 49개 요구사항을 충족 하여야 한다.

- PDCA(Plan-Do-Check-Act) Framework를 기준으로 심사한다.

- 인증 유효기간은 3년, 연 1회이상 사후관리를 받고 유효기간 만료시점에 갱신심사를 받아 연장할 수 있다.