| [공공기관 개인정보보호] 실천 BEST 7-②개인정보 처리 | 2014.08.10 | ||||
관리계획 수립·문서화·공개·관리·감독·교육 등 실천 중요
개인정보 처리 업무위탁을 위하여 공공기관이 지켜야 할 절차는 아래와 같다. 계획수립 : 개인정보 처리 업무 위탁 시에는 이를 위한 관리계획 수립이 필요하다. 어떤 업무에 대해 위탁할 것이며, 위탁 시 문서화 방법이나 문서화시 포함해야 될 내용, 처리현황 파악 등 관리 및 감독방법, 수탁기관 개인정보취급자들에 대한 정기적인 교육방법 등이 종합적으로 계획되어야 한다. 또한 활동 결과의 처리방안에 대해서도 명시되어야 한다. 즉, 수탁기관의 개인정보 유출사고시 처리방안, 정기점검시 미흡사항 처리방안, 취급자 교육방법 등 수탁기관을 위탁기관의 한 소속기관으로 보고 관리계획을 수립 및 시행해야 한다. 문서화 : 개인정보 처리업무의 위탁 시에는 처리에 대한 사항 등 법 의무사항에 대해 문서화해야 한다. 문서화의 방법은 여러 가지가 있으나, 반드시 위·수탁업체의 인감·서명날인 등이 포함된 계약문서 형태여야 한다. 또한, 문서 내용에는 아래 7가지 항목이 반드시 포함되어야 한다. ① 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 ② 개인정보의 기술적·관리적 보호조치에 관한 사항 ③ 위탁업무의 목적 및 범위 ④ 재위탁 제한에 관한 사항 ⑤ 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 ⑥ 위탁업무와 관련해 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항 ⑦ 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등에 관한 사항 이 문서는 위탁 업무별로 작성해야 되며, 하나라도 미 작성시 법률위반으로 처리 될 수 있다. 이러한 위탁업무에 대해 엄격히 처리하는 이유는 수탁자의 실수로 인하여 개인정보 유출 등 정보주체에게 손해를 끼칠 경우, 해당 직원을 위탁자의 직원으로 간주해 처리하므로, 손해배상 책임은 개인정보 처리 업무 위탁기관인 공공기관에 있기 때문이다.
▲ 개인정보 처리 업무위탁 절차
관리·감독 : 문서가 준비되어 있고, 개인정보를 위탁자에게 제공하여 처리 중에 있다면, 그 다음으로는 수탁자가 개인정보를 안전하게 처리하는지에 대해 정기적으로 관리·감독을 실시해야 된다. 위탁업무별 또는 위탁업체별로 관리·감독해야 될 일반적인 점검항목은 다음과 같다. (1)개인정보보호책임자의 지정여부 (2)내부관리계획의 수립여부 (3)개인정보처리방침의 수립 및 공개 여부 (4)개인정보취급자의 개인정보보호 서약서 작성 여부 (5)개인정보취급자에 대한 개인정보보호 관련 교육 실시 여부 (6)개인정보의 암호화 보관 여부(PC 내 고유식별번호의 암호화, PC↔Web서버 구간암호화 등) (7)접근통제솔루션의 도입 및 적용 여부(침입차단시스템, 비인가 사이트 차단 등) (8)개인정보처리시스템에 대한 보안프로그램 설치 및 정기적 업데이트 수행 여부 (9)물리적 접근방지 (전산실, 문서고 등 출입통제 및 물리적 보안 조치) 여부 (10)개인정보처리시스템에 대한 접근권한 차등 부여 여부 (11)개인정보처리시스템에 대한 접근기록 보관 및 점검 여부 (12)개인정보 수집 목적 달성 시 파기 여부(전자파일 및 종이문서 등) (13)재 위탁(제3자 제공 포함) 금지 준수 여부 (14)위탁 업무에 대한 처리 목적 외 사용 여부 (15)개인정보 취급 업무용 PC의 안전성 확인 여부(패치, 백신 업데이트 등) (16)위탁업무처리를 위해 제공된 개인정보의 유·노출 사실 여부 (17)침해사고 대응절차 수립 및 전파 여부 (18)기타 법령 또는 계약사항 위반 여부 (19) 개인정보처리현황 및 실태 파악
▲ 대구도시공사 정환석 개인정보보호 담당 ※ 참고. 온라인 교육 : www.privacy.go.kr - 배움터 - 사이버교육
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
[보안뉴스=정환석 대구도시공사 개인정보보호담당] 
