제 글을 읽는 분 중에서 다른 업무를 하시다 개인정보보호 업무를 담당하시게 된 분도 계실 거고, 학생 분들도 계실 거라 생각합니다. 그래서 이번 포스팅에서는 개인정보보호 담당자의 직무내용에 대해 다뤄보겠습니다. 물론 회사마다 그리고 산업군마다 상세 업무는 달라질 수 있습니다.
[주요 업무]
1. 개인정보보호 관리체계, 정책 수립 및 이행
2. 국내외 규제 변경에 따른 대응 전략 수립
3. 서비스에 대한 개인정보 보안성 검토 및 개선안 도출
4. 개인정보보호 교육, 정책, 지침 전사 가이드
5. 수탁사 개인정보 관리체계 점검 및 교육
6. 인증심사 준비 및 대응 (ISMS-P, ISO/IEC 27001 등)
줄인다고 줄였는데 그래도 참 많네요.
제가 생각하는 개인정보보호 업무의 첫 번째는, 어떤 규제가 회사에 영향을 미치는지 도출하는 것입니다. 핀테크 회사에 재직 중이라고 가정한다면 적용되는 기본 법률은 개인정보보호법, 정보통신망법, 전자금융거래법이 됩니다. 그리고 페이(간편 결제) 산업을 한다면 선불 전자지급수단 발행을 위해 전자금융업자로 등록해야 하고, 전자금융업 등록 요건을 모두 만족해야 합니다.
1. 개인정보보호 관리체계, 정책 수립 및 이행
1) 개인정보보호 관리체계 기반 마련어떤 규제를 준수해야 하는지 도출한 후, 비즈니스의 규모와 특성을 고려해서 관리체계 기반을 마련하셔야 합니다. 여기에는 조직을 구성하고 정책을 수립하는 등 관리체계 기반을 마련하는 일이 필요합니다.
2) 정책 수립 및 이행
개인정보보호 정책을 수립해서 조직의 방향을 제시하고, 실무적인 시행을 위해서 필요한 세부적인 방법과 절차, 주기 등 How에 대해 임직원들을 교육하고 이해시켜야 합니다.
중요한 포인트는 두 가지입니다.
Point 1. 비즈니스를 위해 수립하신 관리체계와 정책이 왜 필요한지를 여러분의 윗선과 이해관계자를 합리적으로 설득
2. 국내외 규제 변경에 따른 대응 전략 수립
안타깝게도 규제는 시시각 변화합니다. 새로운 기술이 출현되고 사회문제가 발생하면 구성원들을 보호하기 위해 규제는 변경됩니다. 해외 사업을 하는 분이라면 특히 더 해외 규제 동향에 대해 주시하고 변경된 규제가 우리 비즈니스에 어떤 영향을 미칠지 예측하시고 변경될 규제에 대해 유관부서에게 전파하셔서 사전에 대비책을 마련하셔야 합니다.
3. 서비스에 대한 개인정보 보안성 검토 및 개선안 도출
개인정보 흐름 분석을 바탕으로 서비스에 적용되는/적용될 수 있는 법규 및 세부 조항을 파악하고 이를 준수하는 역할입니다. 서비스에 개인정보 생명주기(개인정보 수집, 보유 및 이용, 제공, 파기)에 따른 보호조치가 반영되었는 지 확인하고, 적절한 기술적/관리적 보호조치를 수행합니다.
법규를 준수하는 것이 무엇보다 중요하지만 일을 하다 보면 적격과 비적격을 구분하기 모호한 영역이 있습니다. Gray Area를 잘 판단하고 비즈니스를 위한 최선의 선택을 하는 것이 개인정보보호 담당자의 역할일 것 같습니다.
4. 개인정보보호 교육, 정책, 지침 전사 가이드
2020년 7월, 유명인(오마바 전 대통령, 빌 게이츠 등)의 트위터에 '내 비트코인 주소로 보내는 돈의 2배를 돌려주겠다'는 글이 게재되기 시작했습니다.[2] 이 '비트코인 사기'는 트위터 내부 직원에 기기에 악성 프로그램을 설치해 발생한 해킹 피해였습니다. 내부 직원과 외부자에게 개인정보보호를 위해 무엇을 하고, 무엇을 하지 말아야 하는지에 대한 인식교육과 함께, 조직의 관리체계와 정책에 대한 교육을 수행해야 합니다. 이를 통해 개인정보 사고위험을 낮추고 관리체계와 정책에 대한 이해도를 높일 수 있습니다.
5. 수탁사 개인정보 관리체계 점검 및 교육
개인정보보호는 임직원에게 국한되지 않습니다. 업무의 일부를 외부에 위탁하거나 외부의 시설 혹은 서비스를 이용하는 경우 그 현황을 식별하고 발생 가능한 위험을 파악하여 적절한 보호대책을 마련해야 합니다. 따라서 업무 위탁 및 외부 시설 이용현황을 명확히 식별하고 지속적인 현행화를 관리해야 합니다.
6. 인증심사 준비 및 대응 (ISMS-P, ISO/IEC 27001 등)
운전을 하기 위해 운전면허증이 필요하듯이 비즈니스를 하기 위해서 필요한 다양한 정보보안 인증이 있습니다. 비즈니스를 하기 위해 필요한 정보보안 인증을 획득하고 연간 심사에 대응하는 것도 개인정보보호 담당자의 업무입니다.
'개인정보보호 담당자의 하루'라는 제목으로 개인정보보호 주요 업무에 대해 다루어보았습니다. 개인정보보호 업무, 어떠세요? 할 만하신가요? 국내외 다양한 법제에 대해 끊임없이 공부하고 소통해야 하는 유관부서도 참 많습니다. 그래도 개인정보보호 업무는 보람이 큰 업무라고 생각합니다. 어떻게 하면 회사를, 그리고 이용자를 지킬지에 대해 고민하는 업무라 회사의 방패가 되는 역할이라고 생각합니다. 차근차근 하나씩 하면 어렵지 않을 거예요.
-----
[1] ISMS-P 인증기준 안내서(2019.1.18) (한국인터넷 진흥원)
https://isms.kisa.or.kr/main/ispims/notice/?boardId=bbs_0000000000000014&mode=view&cntId=9
[2] 트위터 셀럽 계정 무더기 해킹… 내부자의 '보안 열쇠' 훔쳤다 (한국일보)
https://www.hankookilbo.com/News/Read/A2020071609540004472
2) 정책 수립 및 이행
개인정보보호 정책을 수립해서 조직의 방향을 제시하고, 실무적인 시행을 위해서 필요한 세부적인 방법과 절차, 주기 등 How에 대해 임직원들을 교육하고 이해시켜야 합니다.
개인정보보호 관리체계 및 정책을 만든다는 것은 개인정보보호의 책임과 역할 그리고 무엇을 보호할 것인지에 대해 대상과 범위를 수립하는 과정입니다. 이는 모든 개인정보보호 활동의 근거가 됩니다. 관리체계를 운영하는 동안 Plan, Do, Check, Act 사이클에 따라 지속적인 개선을 하며 반복적으로 실행해야 합니다.
Point 1. 비즈니스를 위해 수립하신 관리체계와 정책이 왜 필요한지를 여러분의 윗선과 이해관계자를 합리적으로 설득
Point 2. 실제로 수립한 정책이 워킹하도록 돕고 지속적인 개선 수행
2. 국내외 규제 변경에 따른 대응 전략 수립
안타깝게도 규제는 시시각 변화합니다. 새로운 기술이 출현되고 사회문제가 발생하면 구성원들을 보호하기 위해 규제는 변경됩니다. 해외 사업을 하는 분이라면 특히 더 해외 규제 동향에 대해 주시하고 변경된 규제가 우리 비즈니스에 어떤 영향을 미칠지 예측하시고 변경될 규제에 대해 유관부서에게 전파하셔서 사전에 대비책을 마련하셔야 합니다.
3. 서비스에 대한 개인정보 보안성 검토 및 개선안 도출
개인정보 흐름 분석을 바탕으로 서비스에 적용되는/적용될 수 있는 법규 및 세부 조항을 파악하고 이를 준수하는 역할입니다. 서비스에 개인정보 생명주기(개인정보 수집, 보유 및 이용, 제공, 파기)에 따른 보호조치가 반영되었는 지 확인하고, 적절한 기술적/관리적 보호조치를 수행합니다.
법규를 준수하는 것이 무엇보다 중요하지만 일을 하다 보면 적격과 비적격을 구분하기 모호한 영역이 있습니다. Gray Area를 잘 판단하고 비즈니스를 위한 최선의 선택을 하는 것이 개인정보보호 담당자의 역할일 것 같습니다.
4. 개인정보보호 교육, 정책, 지침 전사 가이드
2020년 7월, 유명인(오마바 전 대통령, 빌 게이츠 등)의 트위터에 '내 비트코인 주소로 보내는 돈의 2배를 돌려주겠다'는 글이 게재되기 시작했습니다.[2] 이 '비트코인 사기'는 트위터 내부 직원에 기기에 악성 프로그램을 설치해 발생한 해킹 피해였습니다. 내부 직원과 외부자에게 개인정보보호를 위해 무엇을 하고, 무엇을 하지 말아야 하는지에 대한 인식교육과 함께, 조직의 관리체계와 정책에 대한 교육을 수행해야 합니다. 이를 통해 개인정보 사고위험을 낮추고 관리체계와 정책에 대한 이해도를 높일 수 있습니다.
5. 수탁사 개인정보 관리체계 점검 및 교육
개인정보보호는 임직원에게 국한되지 않습니다. 업무의 일부를 외부에 위탁하거나 외부의 시설 혹은 서비스를 이용하는 경우 그 현황을 식별하고 발생 가능한 위험을 파악하여 적절한 보호대책을 마련해야 합니다. 따라서 업무 위탁 및 외부 시설 이용현황을 명확히 식별하고 지속적인 현행화를 관리해야 합니다.
6. 인증심사 준비 및 대응 (ISMS-P, ISO/IEC 27001 등)
운전을 하기 위해 운전면허증이 필요하듯이 비즈니스를 하기 위해서 필요한 다양한 정보보안 인증이 있습니다. 비즈니스를 하기 위해 필요한 정보보안 인증을 획득하고 연간 심사에 대응하는 것도 개인정보보호 담당자의 업무입니다.
'개인정보보호 담당자의 하루'라는 제목으로 개인정보보호 주요 업무에 대해 다루어보았습니다. 개인정보보호 업무, 어떠세요? 할 만하신가요? 국내외 다양한 법제에 대해 끊임없이 공부하고 소통해야 하는 유관부서도 참 많습니다. 그래도 개인정보보호 업무는 보람이 큰 업무라고 생각합니다. 어떻게 하면 회사를, 그리고 이용자를 지킬지에 대해 고민하는 업무라 회사의 방패가 되는 역할이라고 생각합니다. 차근차근 하나씩 하면 어렵지 않을 거예요.
-----
[1] ISMS-P 인증기준 안내서(2019.1.18) (한국인터넷 진흥원)
https://isms.kisa.or.kr/main/ispims/notice/?boardId=bbs_0000000000000014&mode=view&cntId=9
[2] 트위터 셀럽 계정 무더기 해킹… 내부자의 '보안 열쇠' 훔쳤다 (한국일보)
https://www.hankookilbo.com/News/Read/A2020071609540004472