1.4.1 법적 요구사항 준수 검토

인증 기준

조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.

주요 확인사항

• 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가?

• 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하고 있는가?

관련 법규

• 🔗개인정보 보호법 🔗제29조(안전조치의무)

• 🔗개인정보의 안전성 확보조치 기준 🔗제4조(내부관리계획의 수립·시행)

• 🔗개인정보의 기술적·관리적 보호조치 기준 🔗제3조(내부관리계획의 수립·시행)

세부 설명

• 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하여야 한다.

  • 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법규 파악

    ※ 정보보호 및 개인정보보호 관련 법률(예시)

    • 🔗정보통신망 이용촉진 및 정보보호 등에 관한 법률
    • 🔗개인정보 보호법
    • 🔗신용정보의 이용 및 보호에 관한 법률
    • 🔗위치정보의 보호 및 이용 등에 관한 법률
    • 🔗전자금융거래법
    • 🔗전자상거래 등에서의 소비자보호에 관한 법률
    • 🔗저작권법
    • 🔗정보통신기반 보호법
    • 🔗전자서명법
    • 🔗산업기술의 유출방지 및 보호에 관한 법률
    • 🔗부정경쟁방지 및 영업비밀보호에 관한 법률
    • 🔗정보보호산업의 진흥에 관한 법률
    • 🔗클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률
    • 🔗전자정부법
    • 🔗소프트웨어 진흥법
    • 🔗통신비밀보호법
    • 🔗전기통신사업법 등

  • 관련 법규의 제·개정 현황을 지속적으로 모니터링하여 제·개정이 이루어질 경우 조직에 미치는 영향을 분석하고 필요시 내부 정책·지침 및 체크리스트 등에 반영하여 최신성 유지

  • [참고] 개인정보 손해배상 책임보장 제도

    • 근거 : 🔗개인정보 보호법 🔗제39조의9(손해배상의 보장) 및 🔗동법 시행령 🔗제48조의7
    • 적용 대상 : 정보통신서비스제공자 및 그로부터 개인정보를 제공받는 자(정보통신서비스 제공자 등)
    • 보험 또는 공제 최저가입금액(또는 준비금 최소적립금액)

    적용 대상 사업자의 가입금액 산정요소
    이용자 수(전년도 말 기준 직전 3개월간 일일평균 저장·관리)	매출액(직전 사업연도)	최저 가입금액(최소 적립금액)
    100만 명 이상	800억 원 초과	10억 원
    100만 명 이상	50억 원 초과 ~ 800억 원 이하	10억 원
    100만 명 이상	5천만 원 이상 ~ 50억 원 이하	2억 원
    10만 명 이상 ~ 100만 명 미만	800억 원 초과	5억 원
    10만 명 이상 ~ 100만 명 미만	50억 원 초과 ~ 800억 원 이하	2억 원
    10만 명 이상 ~ 100만 명 미만	5천만 원 이상 ~ 50억 원 이하	1억 원
    1천 명 이상 ~ 10만 명 미만	800억 원 초과	2억 원
    1천 명 이상 ~ 10만 명 미만	50억 원 초과 ~ 800억 원 이하	1억 원
    1천 명 이상 ~ 10만 명 미만	5천만 원 이상 ~ 50억 원 이하	5천만 원

  • [참고] 정보보호 공시 제도

    • 근거 : 🔗정보보호산업법 🔗제13조(정보보호 공시) 및 🔗동법 시행령 🔗제8조
    • 공시내용 : 정보보호 투자 현황, 정보보호 인력 현황, 정보보호 관련 인증·평가·점검 등에 관한 사항, 정보보호 활동을 정보보호 현황 서식에 작성
    • 공시기한 : 매년 6월 30일까지 정보보호 현황 제출(자율·의무공시)
    • 정보보호 공시 의무대상 기준(다만 공공기관, 소기업, 금융회사, 일부 전자금융업자는 예외)
      • 사업분야
        • 회선설비 보유 기간통신사업자(ISP) ※🔗전기통신사업법 🔗제6조제1항
        • 집적정보통신시설 사업자(IDC) ※🔗정보통신망법 🔗제46조
        • 상급종합병원 ※🔗의료법 🔗제3조의4
        • 클라우드컴퓨팅 서비스제공자 ※🔗클라우드컴퓨팅법 시행령 🔗제3조제1호
      • 매출액
        • 정보보호 최고책임자 지정·신고 상장법인 중 매출액 3,000억 원 이상
      • 이용자 수
        • 정보통신서비스 일일평균 이용자 수 100만 명 이상(전년도 말 직전 3개월간)

• 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하여야 한다.

  • 법적 요구사항의 준수 여부를 정기적으로 검토할 수 있는 절차 수립(검토 주기, 대상, 담당자, 방법 등) 및 이행

  • 법적 요구사항 준수 검토 결과 발견된 문제점에 대하여 신속하게 개선조치

증거자료

예시

• 법적 준거성 검토 내역

• 정보보호 및 개인정보보호 정책/지침 검토 및 개정이력

• 정책/지침 신구대조표

• 법 개정사항 내부공유 자료

• 개인정보 손해배상 책임보장 입증 자료(사이버보험 약정서 등)

• 정보보호 공시 내역

결함사례

• 사례 1 : 🔗정보통신망법 및 🔗개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서 내용이 법령 내용과 일치하지 않은 경우

• 사례 2 : 조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우

• 사례 3 : 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 🔗개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우

• 사례 4 : 🔗개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나, 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우

• 사례 5 : 정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우