1. 개인정보의 중요성 인식
- 개인정보는 전자상거래, 고객관리, 금융거래 등 사회 구서으 유지, 발전을 위한 필수적 요소
- 데이터 경제에서 개인정보와 같은 데이터는 기업 및 기관의 입장에서도 부가가치를 창출할 수 있는 자산적 가치
- 개인정보 가치 사승
> 개인정보 수집 및 이용 동기와 효과
① 고객 확보: 마케팅 - 고객 확보
② 고객 유지: 개인적 욕구 만족 및 차별화 - 맞춤화 서비스로 고객 충성도 상승
③ 수요 파악: 트렌트 파악으로 제품 공급 관리 - 매출, 이익 증가 / 비용 절감
> 개인정보 영역 확대
① 4차 산업혁명의 시데로 발전함에 따라 개인정보의 범위와 영역이 확장
2. 개인정보보호 조직 구성 및 운영
- 기업의 사회적 책임(CSR: Corporate Social Responsibility)
> 기업활동에 의해 영향을 받거나 주는 직간접적인 이해관계자들에 대하여 발생 가능한 제반 이슈들에 대한 법적, 경제적, 윤리적 책임
> 기업의 리스크를 줄이고 기회를 포착하여 중장기적 기업가치를 제고할 수 있도록 추진하는 '이해관계자 기반 경영활동'
> 단계: 자선적 책임 > 윤리적 책임 > 법률적 책임 > 경제적 책임
> 개인정보보호 중심의 CSR은 고객의 긍정적 이미지를 더욱 효과적으로 형성 가능함
- 정보보호 조직 및 정보보호 거버넌스
> 정보보호 업무: 정보보호 조직과 비정보보호 조직이 협업하여 수행하는 전사 업무
> 정보보호 업무는 최고경영층이 관심을 갖고 전사적으로 지휘, 통제해 나가야하는 업무
- (개인)정보보호 조직 구성
> 최고경영층은 조직과 인력, 예산에서 최종 의사결정자로, CISO 조직의 업무에 걸맞은 조직과 인력을 구성해야 함
> 최고경영층의 (개인)정보보호 역할
| 최고경영층의 (개인)정보보호 역할 | 주요 활동 |
| (개인)정보보호 조직 구성과 권한 부여 | - (임원급) CISO, CPO 임명과 권한 부여 - (개인)정보보호 조직 구성 및 인력 지원 |
| (개인)정보보호 사업계획 및 투자 승인, 지원 | - 회사와 사업의 보안위험 완화 - 경영목표와 연관된 보안위험 이해 |
| 전사 조직들과의 소통과 협업 지원 | - (개인)정보보호 조직과 라인조직의 협업 지원 - 주기적인 전사 보안위험 커뮤니케이션 |
> 조직의 구성, 운영 방향
| 조직 구성 | 운영 방향 |
| 법무조직 산하 | - 개인정보보호 Compliance 초점 - 해외 국가 법률적 적문지식 필요 |
| CTO 산하 | - 개인정보의 기술적 보호와 유노출 예방 - 네트워크 보안, 데이터베이스 관리, 접근통제, 암호화 |
| 2개이상 기능조직의 가상조직(CISO 위시) | - 정책과 기술의 조화를 원하는 기업 |
> 개인정보보호 조직의 역할
| 역할 | 설명 |
| CISO 또는 CSO를 보좌하여 개인정보보호 합리적 보장 |
- CEO의 의지를 CISO, CSO를 통해 확인하고, 실무부서에 전파, 통제하는 중간자 역할 |
| 개인정보보호 관련 법규제 준수 담보 | - 개보법, 정통망법 등 관련 법률 준수 - PIA, HIPPA, The Sarbanes-Oxley Act(SOA) 준수 |
| 개인정보보호 인식 향상 | - 개인정보보호 인식 향상 교육, 워크숍, 포스터, 뉴스레터, Tabel Top Exercise(경영진 대상) |
| 기타 개인정보보호 정책 수립 대외 활동 | - 개인정보보호 세미나 참석, 관련 기관 동향 분석 - 통신비밀보호업무 관련 형사소송법, 통신비밀보호법, 전기통신사업법 등 숙지 및 관련 수사기관 등 요청 응대 - ISO 27001, ISMS-P 등 국내외 인증 취득 |
3. 개인정보보호 관련 국제표준
- ISO 27701은 최초의 글로벌 개인정보보호 경영시스템 표준
> PIMS(Privacy Information Management System: 개인정보보호 경영시스템) 구축 요구사항, 목표 및 관리 수단이 포함 됨
> 개인정보보호를 위한 중요한 단계로, 조직에 데이터 및 개인정보보호 행동 방법에 대한 실제 지침을 제공해 기존의 규정을 충족
> ISO/IEC 27701:2019는 국제 정보보호 표준 세트로, Information technology - Security techniques - Information security management system - Requirements로 구성
- 정보보호 및 개인정보보호 관련 인증
| 표준 | 구분 | 국제표준 | 인증명 |
| ISO/IEC 27701 (개인정보보호관리체계) |
ISO/IEC 27552 (개인정보보호) |
ISO 27001 | ISMS(정보보호 관리체계) |
| ISO 27002 | 가이드라인 | ||
| 개인정보보호 | ISO 27017 | 클라우드 내 PII(개인식별정보) | |
| ISO/IEC 29100 | 개인정보보호 프레임워크 | ||
| ISO/IEC 29151 | PII(개인식별정보) 보호 | ||
| ISO/IEC 29134 | PIA(개인정보 영향평가) | ||
| GDPR | EU 내 개인정보보호 규정 | ||
| 사고관리 | ISO/IEC 27035 | 사고 관리(Incident Management) |
'개인정보보호(법) > CPPG' 카테고리의 다른 글
| Part 2. 개인정보보호의 제도_개인정보보호 원칙과 의무 (0) | 2023.04.13 |
|---|---|
| Part 2. 개인정보보호의 제도_개인정보보호 관련 법률 체계 (0) | 2023.04.13 |
| Part 1. 개인정보보호의 이해_개인정보보호의 중요성 (0) | 2023.04.10 |
| Part 1. 개인정보보호의 이해_개인정보의 개요 #2 (0) | 2023.04.09 |
| Part 1. 개인정보보호의 이해_개인정보의 개요 (0) | 2023.04.09 |