Q&A개인정보 안전성 확보조치 기준에서 말하는 '내부관리계획' 이 명칭, 꼭 써야 하는건가요? 개인정보보호지침 이나 다른 명칭으로 사용하면 안되나요?

내부관리계획 명칭, 꼭 써야 하나요?
실무에서 자주 받는 질문 중 하나입니다. 

결론부터 말씀드리면 아닙니다.

개인정보보호위원회에서 발간한'개인정보 안전성 확보조치 기준 안내서(2024. 10.)를 확인해보면 다음과 같이 안내되어 있습니다. (38 Page)
(https://drive.google.com/file/d/1X71dndkf2x-8r2eHHqNtDLM-oxfqim26/view)

위 내용 처럼 꼭 '내부관리계획' 이란 명칭을 꼭 쓸필요는 없다는 얘기입니다.

그런데 현실은 좀 다릅니다.

몇 년간 기업 컨설팅을 진행하면서 느낀 점인데요. 실제로는 이런 상황들을 많이 마주하게 됩니다.

  - 수탁업체에서 점검할 때 '내부관리계획 문서는 어디 있나요?'

  - 감사나 점검에서 문서명이 다른경우 '이게 내부관리계획 맞나요?' 

결국 이런 일들 때문에 결국 별도로 '내부관리계획' 문서를 만드는 회사들이 늘고 있습니다.

문제는 여기서 시작됩니다. 많은 회사가 이미 '개인정보보호 지침'이나 비슷한 문서를 가지고 있습니다.

그런데 또 '내부관리계획'을 따로 만들면 다음과 같은 번거로움이 발생합니다.

  - 두 문서의 내용 중 개인정보 관련 내용이 동일한 경우 내용 동기화

  - 개별 관리로 인한 업무 부담 증가

  - 문서 버전 관리 및 교육 시행의 복잡성

솔직히 많이 번거롭습니다.

굳이 안 해도 될 일에 시간과 에너지를 쓰는 건 정말 비효율적입니다.

그래서 저희는 컨설팅 진행하면서 이런 경우를 마주치면 다음과 같이 문서명을 바꾸고 하나의 문서로 관리하는것을 권장 드립니다.

문서명: 개인정보보호지침(내부관리계획)

내부관리계획을 괄호 안에 넣어두는 방식입니다.

이렇게 하면

  - 평상시엔 '개인정보보호지침'으로 부르고

  - 점검이나 감사때는 '내부관리계획'이라고 말할 수 있고

  - 문서는 하나만 관리하면 되니까 편하고

사실 문서 제목보다 중요한 건 내용입니다.

개인정보를 제대로 보호할 수 있는 실질적인 조치들이 담겨있는지, 직원들이 실제로 지키고 있는지가 핵심입니다.

다만, 외부 대응도 원활하게 하면서 업무 효율성까지 챙길 수 있다면 더할 나위 없겠습니다. :)

김민수 | kms@cela.kr