개인정보보호 업무를 처음 맡으면 한 번쯤 고민하게 되는 부분이 있습니다.
개인정보처리방침도 있고, 개인정보보호지침도 있고, 내부관리계획도 있다.
그런데 결국 다 개인정보를 보호하자는 이야기 아닌가?
실제로 문서를 열어보면 더 헷갈립니다.
개인정보 수집.
개인정보 파기.
접근권한 관리.
위탁 관리.
유출 대응.
어떤 문서를 봐도 비슷한 내용이 반복해서 등장합니다.
"같은 내용을 여러 문서에 나눠서 적어놓은 것 아닌가?"
무엇을 놓치고 있는 것일까요?
우리는 문서를 볼 때 항상 내용부터 비교합니다.
하지만 내용보다 먼저 봐야 하는 것은,
"이 문서는 누구에게 말하고 있는가?"
이 질문 하나만으로 개인정보처리방침, 개인정보보호지침, 내부관리계획의 차이가 정리됩니다.
같은 내용을 담고 있는데 왜 다른 문서일까?
예를 들어 "접근권한 관리"를 생각해 보겠습니다. 같은 주제가 개인정보처리방침에도, 개인정보보호지침에도, 내부관리계획에도 등장합니다.
그런데 세 문서가 실제로 같은 역할을 하고 있을까요?
아닙니다. 세 문서는 서로 다른 사람에게 말을 걸고 있습니다.
개인정보처리방침은 고객에게 하는 이야기
고객이 궁금한 것은 단순합니다.
내 개인정보를 왜 수집하는가?
얼마나 보관하는가?
누구에게 제공하는가?
어떻게 보호하는가?
즉,
"내 개인정보는 어떻게 처리되는가?"
그래서 개인정보처리방침은 고객에게 회사의 개인정보 처리 현황을 설명하는 문서입니다.
여기서 고객은 회사의 세부 운영 절차까지 확인하기를 기대하지는 않습니다.
예를 들어,
접근권한 승인 담당자가 누구인지
계정 점검을 누가 수행하는지
점검 주기가 몇 개월인지
와 같은 내용은 개인정보처리방침에 상세하게 작성되지 않습니다.
따라서 개인정보처리방침은 개인정보를 어떻게 처리하는지 설명하는 데 초점을 두고, 내부 운영 기준이나 관리 절차까지 상세히 담지는 않습니다.
고객에게 필요한 정보가 아니기 때문입니다.
이번에는 직원 입장에서 생각해 보겠습니다.
퇴직자가 발생했습니다.
담당자는 무엇을 해야 할까요?
개인정보가 포함된 파일은 어떻게 처리해야 할까요?
접근권한은 언제 삭제해야 할까요?
이 질문에 개인정보처리방침은 답을 주지 않습니다.
애초에 고객에게 설명하기 위해 만든 문서이기 때문입니다.
이때 필요한 것이 개인정보보호지침입니다.
개인정보보호지침은 임직원이 개인정보를 처리할 때 따라야 하는 업무 기준입니다.
예를 들어,
- 퇴직 또는 부서 이동 시 접근권한을 즉시 변경 또는 말소한다.
- 개인정보는 업무상 필요한 범위 내에서만 처리한다.
와 같은 내용이 포함됩니다.
개인정보처리방침이 고객에게 설명하는 문서라면, 개인정보보호지침은 직원에게 행동 기준을 제공하는 문서입니다.
이번에는 회사 입장에서 생각해 보겠습니다.
접근권한 관리는 누가 책임질까요?
정기 점검은 누가 수행할까요?
개인정보보호 교육은 누가 계획할까요?
유출사고가 발생하면 어떤 절차로 대응할까요?
직원의 행동 기준만으로는 해결되지 않는 질문들입니다.
그래서 내부관리계획이 필요합니다.
내부관리계획은 회사가 개인정보보호를 어떤 체계로 관리할 것인지를 정의하는 문서입니다.
예를 들어,
책임자 지정
역할 및 책임 정의
정기 점검 계획
교육 계획 수립
사고 대응 절차
등이 포함됩니다.
즉,
개인정보보호지침이 "직원은 무엇을 해야 하는가?" 를 설명한다면,
내부관리계획은 "회사는 개인정보보호를 어떻게 관리할 것인가?" 를 설명합니다.
다시 처음 질문으로 돌아가서, "접근권한 관리"라는 하나의 주제를 예로 들어보겠습니다.
개인정보처리방침
회사는 개인정보의 안전성 확보를 위해 접근권한을 관리합니다.
고객에게 개인정보가 안전하게 관리되고 있음을 설명합니다.
개인정보보호지침
접근권한은 업무상 필요한 인원에게만 부여한다.
임직원이 따라야 하는 업무 기준을 정의합니다.
내부관리계획
접근권한 관리 책임자를 지정하고 정기적으로 권한 적정성을 점검한다.
회사의 관리체계와 운영 방식을 정의합니다.
세 문서 모두 접근권한 관리를 이야기합니다. 하지만 같은 내용을 반복하는 것은 아닙니다.
고객에게는 개인정보 처리 현황을 설명하고,
임직원에게는 업무 수행 기준을 안내하며,
회사에는 관리체계를 운영하기 위한 기준을 제시합니다.
즉, 같은 주제를 다루더라도 문서의 목적과 대상이 다르기 때문에 내용의 역할도 달라집니다.
그런데 많은 담당자들이 문서를 정리하면서 한 번쯤 이런 고민을 합니다.
"비슷한 내용인데 하나로 합치면 안 될까?"
실제로 최근에는 개인정보보호지침과 내부관리계획을 별도 문서로 운영하기보다, 하나의 문서로 통합하여 관리하는 기업이 늘어나고 있습니다.
특히 조직 규모가 크지 않거나 개인정보 처리 업무가 비교적 단순한 경우에는 문서 간 중복을 줄이고 관리 효율성을 높이기 위해 통합 운영하는 방식이 실무적으로 더 효과적인 경우도 많습니다.
하지만 문서를 통합한다고 해서 역할까지 통합되는 것은 아니며, 중요한 것은 다음 세 가지 역할이 모두 존재해야 한다는 점입니다.
문서의 개수는 기업마다 다를 수 있습니다.
중요한 것은 문서의 수가 아니라 문서가 수행하는 역할입니다.
개인정보처리방침, 개인정보보호지침, 내부관리계획.
처음에는 모두 비슷한 문서처럼 보입니다.
실제로 다루는 주제도 상당 부분 겹칩니다.
그래서 같은 내용을 여러 번 작성하는 것처럼 느껴질 수도 있습니다.
하지만 차이는 내용이 아니라 목적에 있습니다.
개인정보처리방침은 정보주체에게 설명하는 문서
개인정보보호지침은 임직원에게 안내하는 문서
내부관리계획은 조직의 관리체계를 정의하는 문서
결국 개인정보보호 문서를 이해하는 가장 쉬운 방법은 문서의 제목이 아니라, 그 문서가 누구에게 무엇을 전달하기 위해 존재하는지를 살펴보는 것입니다.
만약 지금 개인정보 관련 문서를 검토하고 있다면, 문서를 펼치기 전에 먼저 이 질문을 던져보시기 바랍니다.
"이 문서는 누구에게 말하고 있는가?"
아마 그 순간부터 비슷해 보이던 문서들이 조금 다르게 보이기 시작할 것입니다.
 [신하린] | [shr@cela.kr] |
개인정보보호 업무를 처음 맡으면 한 번쯤 고민하게 되는 부분이 있습니다.
개인정보처리방침도 있고, 개인정보보호지침도 있고, 내부관리계획도 있다.
그런데 결국 다 개인정보를 보호하자는 이야기 아닌가?
실제로 문서를 열어보면 더 헷갈립니다.
개인정보 수집.
개인정보 파기.
접근권한 관리.
위탁 관리.
유출 대응.
어떤 문서를 봐도 비슷한 내용이 반복해서 등장합니다.
"같은 내용을 여러 문서에 나눠서 적어놓은 것 아닌가?"
무엇을 놓치고 있는 것일까요?
우리는 문서를 볼 때 항상 내용부터 비교합니다.
하지만 내용보다 먼저 봐야 하는 것은,
"이 문서는 누구에게 말하고 있는가?"
이 질문 하나만으로 개인정보처리방침, 개인정보보호지침, 내부관리계획의 차이가 정리됩니다.
같은 내용을 담고 있는데 왜 다른 문서일까?
예를 들어 "접근권한 관리"를 생각해 보겠습니다. 같은 주제가 개인정보처리방침에도, 개인정보보호지침에도, 내부관리계획에도 등장합니다.
그런데 세 문서가 실제로 같은 역할을 하고 있을까요?
아닙니다. 세 문서는 서로 다른 사람에게 말을 걸고 있습니다.
개인정보처리방침은 고객에게 하는 이야기
고객이 궁금한 것은 단순합니다.
내 개인정보를 왜 수집하는가?
얼마나 보관하는가?
누구에게 제공하는가?
어떻게 보호하는가?
즉,
"내 개인정보는 어떻게 처리되는가?"
그래서 개인정보처리방침은 고객에게 회사의 개인정보 처리 현황을 설명하는 문서입니다.
여기서 고객은 회사의 세부 운영 절차까지 확인하기를 기대하지는 않습니다.
예를 들어,
접근권한 승인 담당자가 누구인지
계정 점검을 누가 수행하는지
점검 주기가 몇 개월인지
와 같은 내용은 개인정보처리방침에 상세하게 작성되지 않습니다.
따라서 개인정보처리방침은 개인정보를 어떻게 처리하는지 설명하는 데 초점을 두고, 내부 운영 기준이나 관리 절차까지 상세히 담지는 않습니다.
고객에게 필요한 정보가 아니기 때문입니다.
이번에는 직원 입장에서 생각해 보겠습니다.
퇴직자가 발생했습니다.
담당자는 무엇을 해야 할까요?
개인정보가 포함된 파일은 어떻게 처리해야 할까요?
접근권한은 언제 삭제해야 할까요?
이 질문에 개인정보처리방침은 답을 주지 않습니다.
애초에 고객에게 설명하기 위해 만든 문서이기 때문입니다.
이때 필요한 것이 개인정보보호지침입니다.
개인정보보호지침은 임직원이 개인정보를 처리할 때 따라야 하는 업무 기준입니다.
예를 들어,
와 같은 내용이 포함됩니다.
개인정보처리방침이 고객에게 설명하는 문서라면, 개인정보보호지침은 직원에게 행동 기준을 제공하는 문서입니다.
이번에는 회사 입장에서 생각해 보겠습니다.
접근권한 관리는 누가 책임질까요?
정기 점검은 누가 수행할까요?
개인정보보호 교육은 누가 계획할까요?
유출사고가 발생하면 어떤 절차로 대응할까요?
직원의 행동 기준만으로는 해결되지 않는 질문들입니다.
그래서 내부관리계획이 필요합니다.
내부관리계획은 회사가 개인정보보호를 어떤 체계로 관리할 것인지를 정의하는 문서입니다.
예를 들어,
책임자 지정
역할 및 책임 정의
정기 점검 계획
교육 계획 수립
사고 대응 절차
등이 포함됩니다.
즉,
개인정보보호지침이 "직원은 무엇을 해야 하는가?" 를 설명한다면,
내부관리계획은 "회사는 개인정보보호를 어떻게 관리할 것인가?" 를 설명합니다.
다시 처음 질문으로 돌아가서, "접근권한 관리"라는 하나의 주제를 예로 들어보겠습니다.
개인정보처리방침
회사는 개인정보의 안전성 확보를 위해 접근권한을 관리합니다.
고객에게 개인정보가 안전하게 관리되고 있음을 설명합니다.
개인정보보호지침
접근권한은 업무상 필요한 인원에게만 부여한다.
임직원이 따라야 하는 업무 기준을 정의합니다.
내부관리계획
접근권한 관리 책임자를 지정하고 정기적으로 권한 적정성을 점검한다.
회사의 관리체계와 운영 방식을 정의합니다.
세 문서 모두 접근권한 관리를 이야기합니다. 하지만 같은 내용을 반복하는 것은 아닙니다.
고객에게는 개인정보 처리 현황을 설명하고,
임직원에게는 업무 수행 기준을 안내하며,
회사에는 관리체계를 운영하기 위한 기준을 제시합니다.
즉, 같은 주제를 다루더라도 문서의 목적과 대상이 다르기 때문에 내용의 역할도 달라집니다.
그런데 많은 담당자들이 문서를 정리하면서 한 번쯤 이런 고민을 합니다.
"비슷한 내용인데 하나로 합치면 안 될까?"
실제로 최근에는 개인정보보호지침과 내부관리계획을 별도 문서로 운영하기보다, 하나의 문서로 통합하여 관리하는 기업이 늘어나고 있습니다.
특히 조직 규모가 크지 않거나 개인정보 처리 업무가 비교적 단순한 경우에는 문서 간 중복을 줄이고 관리 효율성을 높이기 위해 통합 운영하는 방식이 실무적으로 더 효과적인 경우도 많습니다.
하지만 문서를 통합한다고 해서 역할까지 통합되는 것은 아니며, 중요한 것은 다음 세 가지 역할이 모두 존재해야 한다는 점입니다.
정보주체에게 개인정보 처리 현황을 설명하는 역할
임직원에게 업무 수행 기준을 제공하는 역할
조직의 관리체계를 정의하는 역할
문서의 개수는 기업마다 다를 수 있습니다.
중요한 것은 문서의 수가 아니라 문서가 수행하는 역할입니다.
개인정보처리방침, 개인정보보호지침, 내부관리계획.
처음에는 모두 비슷한 문서처럼 보입니다.
실제로 다루는 주제도 상당 부분 겹칩니다.
그래서 같은 내용을 여러 번 작성하는 것처럼 느껴질 수도 있습니다.
하지만 차이는 내용이 아니라 목적에 있습니다.
결국 개인정보보호 문서를 이해하는 가장 쉬운 방법은 문서의 제목이 아니라, 그 문서가 누구에게 무엇을 전달하기 위해 존재하는지를 살펴보는 것입니다.
만약 지금 개인정보 관련 문서를 검토하고 있다면, 문서를 펼치기 전에 먼저 이 질문을 던져보시기 바랍니다.
"이 문서는 누구에게 말하고 있는가?"
아마 그 순간부터 비슷해 보이던 문서들이 조금 다르게 보이기 시작할 것입니다.
[신하린] | [shr@cela.kr]