ISMS-P 인증 (관리체계) 1.4.1 법적 요구사항 준수 검토

1.4. 관리체계 점검 및 개선 분야의 경우 총 3가지의 항목으로 이루어져 있습니다. 그중 첫 번째 항목인 1.4.1 법적 요구사항 준수 검토 항목에 대하여 상세 내용과 핵심키워드 (굵게 + 밑줄 + 색상)를 알아보도록 하겠습니다. 법적 요구사항 준수에 대한 부분이므로 중요하게 챙겨야 하는 부분은 정보보호공시 및 손해배상책임보험 가입에 대한 부분이 있습니다. 

※ 관련법규

• 「개인정보 보호법」 제29조(안전조치의무)
• 「 개인정보의 안전성 확보조치 기준 」 제4조(내부 관리계획의 수립·시행 및 점검)

항목		상세내용	주요 확인사항
1.4.1	법적 요구사항 준수 검토	조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.	조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가?
			법적 요구사항의 준수여부를 연 1회 이상 정기적으로 검토하고 있는가?

 

※ 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법규 예시

• 정보통신망 이용촉진 및 정보보호 등에 관한 법률
• 개인정보 보호법
• 신용정보의 이용 및 보호에 관한 법률
• 위치정보의 보호 및 이용 등에 관한 법률
• 전자금융거래법
• 전자상거래 등에서의 소비자보호에 관한 법률
• 저작권법
• 정보통신기반 보호법
• 전자서명법
• 부정경쟁방지 및 영업비밀보호에 관한 법률
• 정보보호산업의 진흥에 관한 법률
• 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률
• 통신비밀보호법
• 전기통신사업법
• 특정 금융거래정보의 보고 및 이용 등에 관한 법률
• 가상자산 이용자 보호 등에 관한 법률 등

 

※ [참고] 정보보호 공시 제도

• 근거 : 정보보호산업법 제13조(정보보호 공시) 및 동법 시행령 제8조
  ① 정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조 제1항 제2호에 따른 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 투자 및 인력 현황, 정보보호 관련 인증 등 정보보호 현황을 대통령령으로 정하는 바에 따라 공개할 수 있다. 이 경우 「자본시장과 금융투자업에 관한 법률」 제159조에 따른 사업보고서 제출대상 법인은 같은 법 제391조에 따라 정보보호 준비도 평가 결과 등 정보보호 관련 인증 현황을 포함하여 공시할 수 있다.
  ② 제1항에도 불구하고 정보통신서비스를 이용하는 자의 안전한 인터넷이용을 위하여 정보보호 공시를 도입할 필요성이 있는 자로서 사업 분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제1항에 따른 정보보호 현황을 공시하여야 한다. 다만, 다른 법률의 규정에 따라 정보보호 현황을 공시하는 자는 제외한다. 
  ③ 제1항에 따라 정보보호 현황을 공개한 자가 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조제1항에 따른 정보보호 관리체계 인증을 받고자 하는 경우에는 납부하여야 할 수수료의 100분의 30에 해당하는 금액을 할인받을 수 있다. 
  ④ 과학기술정보통신부장관은 제1항 또는 제2항에 따른 공시 내용을 검증하고 공시 내용이 사실과 다른 경우 수정을 요청할 수 있다.  
  ⑤ 제4항에 따른 공시 내용에 대한 검증 방법 및 절차 등 세부사항은 과학기술정보통신부령으로 정한다. 
• 공시내용
  : ▲정보보호 투자 현황, ▲정보보호 인력 현황, ▲정보보호 관련 인증·평가·점검 등에 관한 사항, ▲정보보호 활동을 정보보호 현황 서식에 작성
• 공시기한 : 매년 6월 30일까지 정보보호 현황 제출(자율·의무공시)
• 정보보호 공시 의무대상 기준(다만 공공기관, 소기업, 금융회사, 일부 전자금융업자는 예외)

 

 

 

※ [참고] 개인정보보호 손해배상책임보험
근거 : 개인정보보호법 제39조의7(손해배상의 보장)및 동법 시행령 제제48조의7
① 개인정보처리자로서 매출액, 개인정보의 보유 규모 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자는 제39조 및 제39조의 2에 따른 손해배상책임의 이행을 위하여 보험 또는 공제에 가입하거나 준비금을 적립하는 등 필요한 조치를 하여야 한다.
② 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 조치를 하지 아니할 수 있다. 
1. 대통령령으로 정하는 공공기관, 비영리법인 및 단체
2. 「소상공인기본법」 제2조 제1항에 따른 소상공인으로서 대통령령으로 정하는 자에게 개인정보 처리를 위탁한 자
3. 다른 법률에 따라 제39조 및 제39조의 2에 따른 손해배상책임의 이행을 보장하는 보험 또는 공제에 가입하거나 준비금을 적립한 개인정보처리자
③ 제1항 및 제2항에 따른 개인정보처리자의 손해배상책임 이행 기준 등에 필요한 사항은 대통령령으로 정한다. 

손해배상책임의 이행을 위한 최저가입금액(최소적립금액)의 기준(제48조의 7 제4항 관련)

손해배상책임의 이행을 위한 최저가입금액(최소적립금액)의 기준(제48조의7제4항 관련)

 

※ 증거자료 예시 

• 법적 준거성 검토 내역
• 정보보호 및 개인정보보호 정책·지침 검토 및 개정이력
• 정책·지침 신구대조표
• 법 개정사항 내부공유 자료
• 개인정보 손해배상 책임보장 입증 자료(사이버보험 약정서 등)
• 정보보호 공시 내역

 

※ 결함사례 참고

• 사례 1
   : 정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서·시행문서 및 법적준거성 체크리스트 등에도 해당 내용을 반영하지 않아 정책서·시행문서 및 법적준거성 체크리스트 등의 내용이 법령 내용과 일치하지 않은 경우
• 사례 2
   : 조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 장기간 수행하지 않은 경우
• 사례 3
  : 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우
• 사례 4
  : 개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우
• 사례 5
   : 정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우
• 사례 6
  : 모바일앱을 통해 위치정보사업자로부터 이용자의 개인위치정보를 전송받아 서비스에 이용하고 있으나, 위치기반서비스사업 신고를 하지 않은 경우
• 사례 7
   : 국내에 주소 또는 영업소가 없는 개인정보처리자로서 전년도 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 국내 정보주체의 수가 일일평균 100만 명 이상인 자에 해당되어 국내대리인 지정의무에 해당됨에도 불구하고, 국내대리인을 문서로 지정하지 않은 경우