개인정보보호 자율점검 가이드라인(개인정보처리자용) (2015.06)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호] 개인정보보호 자율점검 가이드라인(개인정보처리자용) (2015.06) 입니다.

업무에 참고하시기 바랍니다.

---

[개요]

□ 추진배경

① 본 가이드라인은 '개인정보보호법'에 따라 자율점검을 수행하는 개인정보처리자용으로 작성되었습니다.

• *개인정보보호법 법률 제12844호(시행 2014.11.19), 행정자치부고시 제2014-7호(시행 2014.12.30)를 기준으로 작성됨

② 자율점검표와 항목 선정 기준은 다음과 같습니다.

• 벌칙 및 과태료(제71조, 제72조, 제73조, 제75조)가 있는 조항을 기준으로 선정
• 상기 기준으로 선정된 항목 중 제19조, 제20조, 제25조, 제34조, 제35조, 제36조, 제37조, 제59조, 제60조, 제63조, 제64조, 기타 유출과 관련된 조항은 제외

③ 본 자율점검 가이드라인과 개인정보보호법 현장검사 및 행정처분은 무관하며, 세부적인 벌칙 과태료는 개인정보보호법 참고하시길 바랍니다.

④ 본 문서를 자율점검 외의 목적으로 사용하는 것을 금지하며, 부득이하게 사용할 경우 반드시 출처를 고지해주시기 바랍니다.

---

개인정보보호 자율점검 가이드라인(2015.06).pdf

1.47MB

개인정보보호 자율점검 가이드라인(개인정보처리자용)(2015.06) : 행정안전부

---

□ 적용 대상

[개인정보 업무 및 업무 담당자]

1. 개인정보 업무 및 업무 담당자 파악

• 개인정보 자율점검표 작성에 앞서, 개인정보처리자가 처리하는 개인정보와 관련된 모든 업무 및 담당자(개인정보취급자)를 파악

2. 개인정보 현황 파악

• 앞서 파악한 업무 담당자를 통해 개인정보파일, 개인정보처리시스템 현황을 파악하여 엑셀파일 '2.현황' 시트를 작성

3. 자율점검 표(엑셀) 작성

• 개인정보 파일별로 작성하는 것이 원칙임
• 다만, 일부 항목의 경우 개인정보처리자*, 개인정보처리시스템*별로 작성함(세부 내용은 엑셀 '1.항목표' 작성단위 컬럼 참조)
• *제26조, 제29조(내부관리계획, 물리적접근통제), 제30조, 제31조
• *제29조(접근권한, 암호화, 접속기록, 보안프로그램)

---

[자율점검 개요]

• 개인정보 처리 업무 및 업무 담당자 파악
• 개인정보 현황(개인정보 파일, 개인정보처리시스템) 파악
• 자율점검표 작성

---

[관련 법령]

• 개인정보보호법 제15조(개인정보의 수집·이용 동의)
• 개인정보보호법 제16조(최소 수집 및 서비스 제공 거부)
• 개인정보보호법 제17조(개인정보의 제공)
• 개인정보보호법 제18조(개인정보의 이용·제공 제한)
• 개인정보보호법 제21조(개인정보의 파기)
• 개인정보보호법 제22조(동의를 받는 방법)
• 개인정보보호법 제23조(민감정보의 처리 제한)
• 개인정보보호법 제24조(고유식별정보의 처리 제한)
• 개인정보보호법 제26조(업무위탁에 따른 처리 제한)
• 개인정보보호법 제29조(안전조치의무)
• 개인정보보호법 제30조(개인정보처리방침의 수립·공개)
• 개인정보보호법 제31조(개인정보 보호책임자의 지정)

---

[목차]

Ⅰ. 자율점검표 작성 개요

1. 용어의 정의
2. 자율점검표 작성법

Ⅱ. 세부항목별 점검 방법 및 평가 기준

1. 개인정보의 수집·이용 동의(법 제15조)
2. 최소 수집 및 서비스 제공 거부(법 제16조)
3. 개인정보의 제공(법 제17조)
4. 개인정보의 이용·제공 제한(법 제18조)
5. 개인정보의 파기(법 제21조)
6. 동의를 받는 방법(법 제22조)
7. 민감정보의 처리 제한(법 제23조)
8. 고유식별정보의 처리 제한(법 제24조)
9. 주민등록번호의 처리 제한(법 제24조의2)
10. 업무위탁에 따른 처리 제한(법 제26조)
11. 안전조치의무(법 제29조)
12. 개인정보처리방침의 수립·공개(법 제30조)
13. 개인정보 보호책임자의 지정(법 제31조)

[붙임1] 네트워크 전송 구간 암호화 여부 검사 방법(Wireshark 사용법)

---

※ 해당 가이드라인은 개인정보보호위원회 홈페이지에서 확인할 수 있습니다.