Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
Tags
- 외주업무 수행 시
- 회사제공pc사용자
- Azure
- 기업보안담당자
- 프로젝트 시작 시
- 클라우드보안
- 휴대용컴퓨터사용자
- 금융보안
- ISO27001
- 보안가이드
- 보안서약서
- AI보안
- 위수탁
- 퇴직자
- 관리보안
- aws
- ISO인증심사
- 재직자용
- 클라우드 보안
- BYOD
- usb사용자
- 가이드라인
- GCP
- 보안체크리스트
- OT보안
- 스마트공장
- 비밀유지서약서
- 혼자쓰는보고서
- it성숙도모델
- 클라우드
Archives
- Today
- Total
정보보안핑(✌’ω’)✌
[가이드] 개인정보 위수탁 안내서(2020.12 개정) - 출처 : 개인정보보호위원회 본문
반응형
https://pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=G010030000&nttId=7040
개인정보보호위원회
해당 페이지의 만족도와 소중한 의견 남겨주세요.
pipc.go.kr
개인정보 처리 위·수탁 안내서 📋🔒✨
개인정보 처리 위·수탁 안내서는 개인정보 보호법에 따른 위탁자와 수탁자의 개인정보 처리 시의 주요 사항을 명확히 규정하여, 개인정보의 안전한 처리를 보장하기 위해 만들어졌습니다. 위·수탁 관계에서 개인정보를 안전하게 관리하고 보호하기 위한 단계별 절차와 주요 검토 기준을 살펴보겠습니다.
1. 개인정보 처리 위·수탁의 개념 📍🔍
- 개인정보 처리 위·수탁은 개인정보처리자(위탁자)가 개인정보 수집·이용 등 처리 업무를 제3자(수탁자)에게 맡기는 것을 말합니다. 이는 본래의 업무 목적을 위해 개인정보를 처리하는 것으로, 개인정보 제3자 제공과는 차이가 있습니다.
위·수탁 사례 📊
- 예시 1: 고객 관리 서비스
- 위탁자: A 보험회사
- 수탁자: B 고객센터 회사
- 위탁 내용: A 보험회사는 고객 상담 업무를 B 고객센터 회사에 위탁하여 고객의 개인정보를 처리합니다. B 회사는 위탁받은 개인정보를 상담 목적으로만 사용하며, A 보험회사의 지시에 따라 관리합니다.
- 예시 2: IT 시스템 유지보수
- 위탁자: C 금융기관
- 수탁자: D IT 서비스 제공업체
- 위탁 내용: C 금융기관은 IT 시스템의 유지보수 업무를 D IT 서비스 제공업체에 위탁하여 시스템 내 개인정보 접근이 필요한 작업을 수행합니다. D 업체는 시스템 유지보수 목적으로만 개인정보를 처리하며, 정해진 보안 정책을 준수해야 합니다.
- 예시 3: 마케팅 활동
- 위탁자: E 전자상거래 기업
- 수탁자: F 마케팅 대행사
- 위탁 내용: E 전자상거래 기업은 광고 및 프로모션 캠페인을 위해 F 마케팅 대행사에 개인정보를 위탁합니다. F 대행사는 고객 정보를 기반으로 타겟 광고를 진행하며, 개인정보 보호법에 따라 처리합니다.
- 위탁자: 개인정보를 수집하고, 이를 수탁자에게 위탁할 권리를 가진 자.
- 수탁자: 개인정보를 위탁받아 업무를 수행하는 자로, 위탁자의 지시에 따라 개인정보를 처리합니다.
2. 위·수탁 단계별 주요 조치사항 🚠🛠️
개인정보 처리 위·수탁은 크게 3단계로 구분됩니다:
- 개인정보 처리 위·수탁 전: 수탁자 선정 및 위·수탁 문서 작성 📄
- 개인정보 처리 위·수탁 업무 수행 중: 수탁자의 개인정보 처리 및 위탁자의 관리·감독
- 개인정보 처리 위·수탁 업무 종료 후: 개인정보 파기 또는 반환
각 단계별 보안성 검토 기준을 정리하여 표로 제공하겠습니다. 📊
| 단계 | 검토기준 | Best Practice | 주요 점검 포인트 | 담당 부서 |
| 개인정보 처리 위·수탁 전 | 위탁업무의 목적 및 범위 정의 📌 | 업무별 개인정보 처리 위험 평가 | 업무 위탁 여부 결정 전 위험 요소 점검 | 개인정보보호팀 및 법무팀 |
| 수탁자 선정 기준 수립 📝 | 수탁자의 개인정보 보호 인증 확인 | 개인정보 보호 역량 평가 및 보고서 작성 | 보안관리팀 | |
| 위·수탁 문서 작성 | 위·수탁 문서의 법적 요구사항 체크리스트 활용 | 필수 기재 사항 누락 여부 확인 | 법무팀 | |
| 데이터 처리 환경 확인 🖥️ | 수탁자의 보안 인프라 평가 및 인증 확인 | 수탁자의 물리적 보안 및 네트워크 보안 상태 점검 | 보안관리팀 | |
| 개인정보 처리 위·수탁 업무 수행 중 | 개인정보 관리 체계 감독 🔍 | 정기적인 현장 점검 및 원격 모니터링 도입 | 수탁자의 보호 조치 적절성 평가 | 보안관리팀 및 내부감사팀 |
| 수탁자 교육 📚 | 연 1회 이상의 개인정보 보호 교육 프로그램 진행 | 교육 이수 증빙자료 확인 | 인사팀 | |
| 접근 권한 관리 🔑 | 접근 최소화 및 접근 기록 모니터링 시스템 운영 | 접근 기록 점검 및 권한 남용 여부 확인 | 보안관리팀 | |
| 개인정보 처리 기록 유지 🗃️ | 개인정보 처리 로그의 정기적 검토 | 처리 기록의 무결성 및 이상 행위 탐지 | 내부감사팀 | |
| 개인정보 처리 위·수탁 업무 종료 후 | 개인정보 파기 또는 반환 절차 명확화 🚮 | 지체 없는 파기(5일 이내) 기준 적용 | 파기 방법 및 시기 확인, 파기 증명서 확보 | 개인정보보호팀 및 법무팀 |
| 파기 절차 감사 📋 | 제3자 검증을 통한 파기 절차의 투명성 확보 | 파기 과정의 문서화 및 검증 보고서 확인 | 내부감사팀 |
3. 개인정보 처리 위·수탁 절차 흐름도 🌐✨🗺️
개인정보 처리 위·수탁 절차를 시각적으로 쉽게 이해할 수 있도록 순차적으로 표현했습니다. 각 단계의 행위 주체를 명시하여 이해를 돕고자 합니다.
- A: 위탁자 - 업무 위탁 전 위험 요소를 평가하여 위탁 여부 결정
- B: 위탁자 - 개인정보 보호 역량을 평가하여 수탁자 선정
- C: 위탁자 - 개인정보 보호법에 명시된 사항을 준수하여 문서 작성
- D: 수탁자 - 위탁 업무 수행 시 개인정보의 처리 적절성 감독
- E: 위탁자 - 수탁자 관리 감독을 통해 개인정보 보호 조치 준수 확인
- F: 수탁자 - 업무 종료 후 지체 없이 개인정보 파기 또는 반환
- G: 위탁자 - 모든 절차 완료 후 기록 보관 및 최종 보고
4. 민감한 개인정보 처리 시 추가 고려사항 ⚠️🔒
민감한 개인정보(예: 건강정보, 금융정보 등)를 처리하는 경우, 더욱 강화된 보호 조치가 필요합니다:
- 암호화 저장 및 전송: 민감정보는 AES-256 방식으로 암호화하여 저장하며, SSL/TLS로 안전하게 전송합니다.
- 접근 통제 강화: 민감정보 접근 권한은 최소화하고, **다중 인증(MFA)**을 통해 접근 보안을 강화합니다.
- 정기적인 취약점 점검: 분기별 취약점 분석, 네트워크 취약점 점검, 웹 애플리케이션 보안 테스트 등을 통해 보안 취약점을 사전에 발견하고 조치합니다. 🔧을 통해 보안 취약점을 사전에 발견하고 조치합니다.
5. 위·수탁 관계에서의 책임 명확화 🧡👍📜
위탁자와 수탁자 모두 개인정보 보호법 및 관련 법령에 따라 각자의 책임을 분명히 해야 합니다. 각 책임은 개인정보 보호법뿐만 아니라 전자금융거래법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등에서 요구하는 다양한 조치와 절차에 따라 명확히 규정됩니다. 📑 해당 책임의 근거는 다음과 같습니다:
- 개인정보 보호법 제26조: 위·수탁 계약 체결 시 위탁자는 개인정보 처리에 대한 수탁자의 의무를 명확히 하고, 위탁자의 관리·감독 책임을 규정하고 있습니다.
- 전자금융거래법: 금융회사의 경우, 수탁자의 개인정보 보호 및 보안성을 보장하기 위해 위·수탁 계약 시 관련 보호 조치를 포함해야 합니다.
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률: 정보통신 서비스를 제공하는 사업자는 개인정보 처리 위·수탁 시 정보 보호와 보안 관리를 위한 명확한 조치를 명시해야 합니다.
위탁자와 수탁자의 책임은 다음과 같습니다:
- 위탁자: 수탁자의 개인정보 관리 체계를 감독하고, 위법 사항 발견 시 시정 명령을 내릴 책임이 있습니다.
- 수탁자: 위탁받은 개인정보를 적절히 처리하고, 개인정보 보호법을 준수하며, 손해배상 책임을 집니다.
6. 위·수탁 시 작성해야 하는 서류 📄📝🗂️
위·수탁 관계에서 개인정보의 안전한 처리를 보장하기 위해 작성해야 하는 주요 서류는 다음과 같습니다:
- 1. 위·수탁 계약서 📜: 개인정보 처리 위탁의 목적, 범위, 수탁자의 책임 및 의무, 개인정보의 보호 조치 등을 명시해야 합니다. 이는 위·수탁 관계의 법적 근거를 제공하는 핵심 문서입니다.
- 2. 보안성 검토 보고서 🔍: 수탁자의 개인정보 보호 역량과 보안 인프라를 평가한 결과를 문서화하여 보관합니다. 이를 통해 수탁자의 개인정보 처리 능력을 검토할 수 있습니다.
- 3. 개인정보 보호 교육 이수 증명서 🎓: 수탁자의 개인정보 처리 담당자가 개인정보 보호 교육을 이수했음을 증명하는 서류로, 연 1회 이상의 교육을 통해 개인정보 보호 의식을 고취합니다.
- 4. 파기 확인서 🗑️: 개인정보 처리 위·수탁 업무 종료 후 개인정보를 파기했음을 증명하는 문서로, 파기 방법 및 시기를 명확히 기재해야 합니다. 이는 파기의 투명성을 보장합니다.
결론 📌✨💡
이번 블로그 포스팅은 개인정보 처리 위·수탁 시의 보안성 검토 기준과 단계별 절차를 명확히 설명하여, 개인정보의 안전한 처리와 보호를 목표로 합니다. 각 단계별로 보안 조치를 철저히 이행하는 것은 정보주체의 권리를 보호하고, 개인정보 유출 위험을 최소화하는 중요한 방법입니다. 💪🔒✨
'개인정보보호' 카테고리의 다른 글
| 개인정보 위·수탁자 점검 체크리스트(출처: 개인정보 처리 위수탁 안내서, 개인정보보호위원회) (7) | 2024.10.24 |
|---|---|
| [가이드] 인공지능(AI) 개인정보보호 자율점검표(개발자·운영자용) (2021.5. 제정) - 출처 : 개인정보보호위원회(2021.05) (5) | 2024.10.10 |
'개인정보보호' Related Articles
more
