최고경영책임자의 변화와 상시관리체계 시행

출처 및 인용 : 염흥렬 순천향대학교 교수, 개인정보보호 실천가이드 中

개인정보 보호법으로 변화되는 주요 사항(자료출처 : 행정안전부)

항목	AS-IS	개인정보 보호법 시행 이후
이전 법 규율	- 정보통신, 금융 등 분야별 개별   법에 의해 규율	- 공공 민간 통합 규율, 법적용 대상 확   대(헌법기관, 지방공사, 공공기관, 중   앙행정기관, 교육 기관 등)
보호 범위	- 전자적으로 처리되는 개인정보   파일	- 전자적으로 처리된 개인정보에 더해   종이문서까지 보호 범위 확대
수집 이용 및 제공 기준	- 분야별 개별법에 따른 처리 기준	- 공공과 민간을 망라한 일관성있고 표준   화된 개인정보처리 원칙 제시
고유식별번호 처리 제한	- 민간 사용을 제한하는 규정 없음	- 원칙적으로 처리를 금지했으나, 별도   동의나 법령의 근거가 있을 경우 예외   인정
영상정보처리기기 규제	- 공공기관이 설치 운영하는 CCT   V 에 한해 규율	- 민간까지 확대했으며 CCTV 외에    네트워크 카메라도 포함
유출통지	- 관련 제도 없음	- 의무화
집단분쟁조정	- 관련 제도 없음	- 집단분쟁조정 도입(재판상 화해 효력   부여)
단체소송	- 관련 제도 없음	- 단체소송 도입
위원회	- 국무총리 소속 공공기관개인정   보심의위원회(공공부문 정책   심의)	- 대통령 소속 개인정보보호위원회 설치   및 운영(공공 및 민간부문 개인정보보호   정책 심의 및 의결 기구)

기업의 개인정보안 전략의 변화

1. 최고경영책임자의 개인정보보호 인식 강화

- 고객의 집단소송 제기로 인한 피해배상 규모가 훨씬 더 크다는 것을 인식

- 개인정보보호 문제가 IT 부서 책임자 또는 최고보안책임자 만의 몫이 아니라 최고경영책임자

  의 몫이 되어야 함을 인식해야 함

- 조직의 개인정보보호 정책 수립, 보호해야 할 자산에 대한 위협 요인 분석, 위협 요인을 

  제거하기 위한 대응책 마련에 대한 관리체계가 지속적으로 유지되도록 직접 챙겨야 함

2. 최고경영책임자에 의한 예산의 확보와 조직 운영 지원

- 별도의 개인정보보호최고책임자 임명해 책임과 권한을 동시에 부여    

- IT 부서와 개인정보보호 부서와는 독립적으로 운영

- 조직의 개인정보보호 정책을 새로운 IT 위협환경에 적응하도록 지속적으로 업데이트

예를 들어 개인정보 DB 암호화, 임직원들의 문서 보안 정책 적용(DRM : Digital Rights

Management) 등

- IT 부서와 개인정보보호 부서 간의 정보 교류와 협력 채널도 원활하게 작동토록 지원

3. 개인정보관리체계와 개인정보보호영향평가의 상시적인 관리체계의 운영

- 개인정보보호영향평가((PIA : Privacy Impact Assessment) : 정보시스템 구축 시에 개인정보보호를

  위해 고려해야 하는 필수 사항을 정의하고 이를 반영하기 위한 것임

- 개인정보관리체계를 운영을 통해 개인정보보호 정책을 구현

- 상시적인 개인정보체계를 유지해야하며 이를 위한 전담 조직은 개인정보최고책임자 하부에 

  두어야 함

- 정보시스템 신규 구축 시 개인정보보호 파일을 구축해야 한다면 반드시 개인정보보호영향

  평가를 통해 먼저 개인정보보호 기능이 IT시스템 초기 설계 시에 반영 되도록 해야 함

개인정보보호영향평가는 공공에 한하므로 민간 기업은 금감원 규정과 같은 "보안성 심의

평가" 제도를 운영해야 함

- 자체 또는 제3자의 기관에 의한 사후 감사 기능의 활성화 필요(디지털 포렌식 툴의 설치/운영)

포렌식이라고 해서 거창한 것은 아니다.

당장 내부적으로 할 수 있는 것은 업무시스템에서 엑셀로 다운로드 받을 때 '파기일자', 

'다운로드 목적' 등을 사용자가 입력하게 하고 그 정보를 DB 에 저장해서 통제하면된다.

부가적으로 DRM 과 연동한다면 관제 시스템으로의 확대가 가능하다.