[보안맨] 개인 정보 처리 방침 초안

안녕하세요,

 기고글에서는 필자가 개인정보 처리방침을 작성한 경험을 공유 하고 싶습니다.

 

국내 중소회사 재직 당시내부 일정 상 급하게 개인정보 처리방침을 작성/게시해야 했습니다당시 개인정보보호 관련 업무를 처음 맡아 시행착오가 있었지만, ISMS-P 인증 기준 및 관련 가이드 등을 참고해 세부 추진 계획을 수립했었습니다크게 아래 4가지 포인트로 생각했습니다.

 

  • 1.개인정보 관리체계 범위 설정/정의 (핵심 서비스, 조직(임직원), 시설, 위치 )

  • 2.개인정보 업무 현황 파악 (흐름표 위주)

  • 3.개인정보처리방침 초안 마련

  • 4.내부 보고/법무팀 협업  최종 게시

 

ISMS-P 인증 내 관련 기준 (3.5.1 개인정보처리방침 공개)은 다음과 같습니다. “개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다.”

 

개인정보 처리방침 작성 업무를 하면서 어려웠던 점또는 중요하게 생각한 포인트 등을 위주로 정리 하겠습니다. ※ 회사 기밀 내용 등이 포함될 수 있으므로 세부적인 부분을 공유드리지 못하는 점은 미리 양해 부탁 드립니다.

 

  • 1.개인정보 관리체계 범위 설정/정의 (핵심 서비스조직(임직원), 시설위치 등당시 회사 내 뚜렷한 개인정보 처리 흐름도 및 관련 업무에 대해 문서화가 되어 있지

않았었습니다또한 개인정보처리자 현황도 목록화되어 관리되고 있지 않았습니다따라서최대한 개인정보 처리방침 작성을 위한 범위를 구체화해야 했습니다. 재직 중인 보안 담당자 및 유관 부서 등을 통해 를 아래와 같은 정보를 수집 했습니다.

  • -오프라인 (수집 동의서) 통해서만 개인정보 수집

  • -특정 마케팅, 세일즈 부서에서 고객 개인정보 처리

  • -3 제공  위탁은 없음

  • -서비스 특성   14 미만 동의는 해당 되지 않음

 

 

  • 2.개인정보 업무 현황 파악 (흐름표 위주)

 

업무상 제일 까다롭다고 생각하는 부분이 업무 현황 파악이라고 생각합니다정보보호 및 개인정보보호 관리체계가 갖추어져 있지 않은 환경에서 개인정보의 수집/이용/제공/파기 전 과정이 일목요연하게 문서화 되거나 또는 체계적으로 시스템화 되어 있지 않기 때문입니다보통 업무상 필요에 의해 사용하고 파편화되어 관리되기 때문입니다.

유관 부서에게 효율적인 업무 요청을 위해일차적으로 ISMS-P 인증 기준 가이드라인개인정보 영향평가 가이드라인 등을 참고해 마케팅세일즈 부서에 현황파악을 위한 흐름표를 아래와 같이 작성했습니다.


No.

업무명

수집항목

수집경로

수집대상

수집주기

수집 담당자

수집 근거

예시

회원 가입

필수:

성명생년월일

홈페이지

이용자

수시

홈페이지 담당자

이용자 동의

 

 

, 성별

선택이메일

 

 

 

 

 

1

 

 

 

 

 

 

 

2

 

 

 

 

 

 

 

Figure 1. 개인정보 수집 흐름표 (예시)

 

 

 

FM대로라면최종 개인정보 흐름도 작성  그에 따른 개인정보 Life-Cycle 기반의 관리를 위한 개인정보 이용 흐름표’, ‘개인정보 파기 흐름표’ 등을 작성 후 유관 부서와 확인해야 했지만업무 순서 상 개인정보 처리방침 작성을 위해 추후 과업으로 미루어야 했습니다보완 사항으로 개인정보 수집을 위한 이용자 동의서” 및 각 개인정보 수집 관련 업무에 따른 파기에 대한 이행 내역을 확인했습니다관련 부서 담당자와의 인터뷰 및 관련 증빙/이행 내역을 중점적으로 파악했으나파기의 경우증빙이 제대로 갖춰져 있지 않았습니다.

현업 부서와의 미팅 및 메일 커뮤니케이션 관련 고충도 있었습니다세일즈 부서의 경우개인정보 및 정보보호 업무를 보조적인 일로 치부했습니다업무 협조 메일에 대해 회신을 하지 않거나, 관련 미팅에 급작스럽게 참석하지 못하는 경우도 종종 있었습니다정보보호 및 개인정보보호 업무의 경우경영진의 의지 및 임직원의 적극적인 동참이 없이 업무 추진이 쉽지 않다고 생각합니다.

 

 

  • 3.개인정보처리방침 초안 마련

 

현업 부서의 지원으로 현황파악이 어느정도 이루어진 후 개인정보 처리방침 초안을 작성했습니다오프라인 형태로 고객 정보를 수집했기 때문에 정보통신서비스 제공자’ 수준의 추가 확인사항 (e.g. 자동수집장치)에 대한 부담은 덜 수 있었습니다.

아래와 같이 체크리스트를 만들고 회사가 의무적으로 기재해야 할 사항을 위주로 리스트 업 했습니다.

 

 

 

No.

기재 사항

구분

1

제목  서문

의무

2

개인정보의 처리 목적

3

개인정보의 처리 및 보유 기간

4

처리하는 개인정보의 항목


5

개인정보의 파기절차  파기 방법

 

6

정보주체와 법정대리인의 권리/의무 및 그 행사방법에 관한 사항

7

개인정보의 안전성 확보조치에 관한 사항

8

개인정보 보호책임자에 관한 사항

9

개인정보의 열람청구를 접수/처리하는 부서

10

정보주체의 권익침해에 대한 구제방법

11

개인정보 처리방침의 변경에 관한 사항

Figure 2. 개인정보 처리방침 목차 (예시)

 

개인정보 처리방침 작성 시안의 본문을 신규 작성하진 않았습니다동종 업계/타 회사의 개인정보 처리방침 및 한국인터넷진흥원(KISA) 에서 발간한 개인정보 처리방침 작성지침” 가이드라인 내 예시를 참고해 작성했습니다.

 

 

  • 4.내부 보고  법무팀 협업  최종 게시

 

내부 보고 및 법무팀 협업은 다른 업무에 비해 비교적 순조롭게 진행되었습니다

다만내부 위험평가에 따라 추가 보완이 필요한 영역이 존재 했습니다바로 파기” 영역 입니다

개인정보 처리방침 초안을 작성 후 업무를 마무리해 가는 시점에회사 외부에 파기 되어야 할 이용자의 개인정보가 보관되어 있다는 사실을 알게 되었습니다

법적 리스크가 존재하는 상황이라 위험 수용의 전략도 불가능한 상황이었습니다

개인정보 최고책임자 및 경영진에게 보고 후 최대한 빠른 시일 내에 파기하는 것을 목표로 업무 일정을 수립했습니다

추가 전략으로홈페이지 내 개인정보 처리방침 본문에 시행일/공고일을 다르게 두어일단 일정  공고는 하되개인정보 처리방침 시행일 도래하기  외부에 있는 개인정보가 파기될 수 있도록 진행했습니다.

1개의 댓글이 있습니다.

약 2달 전

자료 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입