3. 기업의 사회적 책임

1. 개인정보의 중요성 인식 

1.1 기업과 개인정보

 - 고객에 대한 성향 파악 -> 마케팅에 이용하기 위해 개인정보 필요

 - Amazon 등 고객에게 맞는 서비스 제공으로 사용자, 기업 모두에게 이익 도모

 - 단, 이를 위해 고지 범위를 초과하는 개인정보를 수집·이용하는 부작용 발생

1.2 기업의 개인정보보호 인식

 - 이익을 우선시 하여 기술/관리적 조치가 미흡한 경우가 많음

 - 강제성 있는 법률만 준수하고 실제로는 각종 규제만 회피 하려는 시도

 - 컴플라이언스 위주로만 이루어지다 보니 한국에선 법령 개정이 잦음

1.3 기업의 사회적 책임

 - Corporate Social Responsibility 

 - 환경, 소비자, 임직원, 지역사회 등에 대한 책임(3P : People, Planet, Profit)

 - 개인정보보호 또한 소비자의 권리를 보장하는 측면에서 CSR로 접근하는 경향이 있음

2. 개인정보 조직 구성, 운영 

2.1 개인정보보호 조직의 조건

 - 전사 대비책을 세우기 위해 전사 통제 권한 필요

 - 임원급의 개인정보최고 책임자 하부로 두는 것이 적절함

2.2 조직의 구성, 운영 방법

 - 컴플라이언스 측면으로 접근할 경우 법무조직 내에 구성 가능

 - 2개 국가 이상에서 업무가 이루어질 경우 해외 현지법 숙달이 필요함

 - IT보안 측면에서 접근할 경우 IT조직, 보안 조직 내에 구성 가능

 - 정책과 기술의 조화를 위해 2개 이상의 조직에 역할을 부여한 후 가상 조직으로 구성할 수도 있음

3. 개인정보 조직의 역할 

3.1 최고보안책임자 보좌

 - 보안책임자에 준법 등 컴플라이언스 제언

 - CEO, CSO(CISO)와 실무조직의 중간자 역할

 - CEO에 개인정보보호가 적절히 관리되고 있다는 합리적 보장 제시

3.2 컴플라이언스 지원

 - 국내의 개인정보보호는 법률 및 규정 준수에 집중되어 있음

 - 규정 준수 이상으로 ISO27001, COBIT 이상의 역량 강화 필요

 - 사업의 성격, 영역에 따른 Jurisdiction구분(망법, 신용정보법, 의료정보법 등)

3.3 개인정보보호 인식 향상

 - Stakeholder의 개인정보보호 인식 전환

 - 교육, 워크숍, 포스터, 뉴스레터 등 인식 향상 방안 기획·실행

3.4 기타

 - 개인정보보호 관련 세미나 참석. 동향 분석

 - 개인정보보호법률을 숙달하여 관련 정부기관, 수사기관 요청 대응

 - 브랜드 이미지 향상을 위한 ISO27001, ISMS, PIMS등 인증 획득

출처 : 위 내용은 CPPG 출제기준에는 있지만 법령에서 정의되는 부분은 아닙니다. 부득이하게 CPPG가이드북의 내용을 인용 하였음을 알려 드립니다. 문제가 된다면 방명록에 글 남겨 주시면 조치하겠습니다.