---
## 1. 글로벌 표준: OECD 8원칙과 법적 권리
국내 개인정보 보호법은 하늘에서 갑자기 떨어진 것이 아니라, 1980년대부터 정립된 **OECD 8원칙**을 계승하고 있습니다.
* **핵심 원칙:** 수집 제한, 정보 정확성, 목적 명확화, 이용 제한, 안전성 확보, 공개, 개인 참여, 책임의 원칙.
* **정보주체의 권리:** 단순히 '보호받는 대상'을 넘어, 내 정보가 어떻게 쓰이는지 **'알 권리'**와 스스로 결정하는 **'자기결정권'**이 핵심입니다.
---
## 2. 국내 법 체계와 '안전성 확보조치 기준'
진단 실무자에게 가장 중요한 것은 **법-시행령-고시**로 이어지는 수직적 구조를 파악하는 것입니다.
* **개인정보 보호법(법):** 선언적 의미와 주요 금지/허용 사항 규정.
* **시행령(령):** 법에서 위임한 구체적인 범위와 절차 규정.
* **안전성 확보조치 기준(고시):** 진단 시 체크리스트의 직접적인 기준이 되는 **'기술적·관리적·물리적'** 최소 기준.
| 구분 | 주요 내용 (고시 기준) | 진단 시 포인트 |
| --- | --- | --- |
| **관리적** | 내부관리계획 수립, 정기 교육 | 계획이 최신 법규를 반영하고 결재를 득했는가? |
| **기술적** | 접근 권한/통제, 암호화, 접속기록 | **접속기록**을 월 1회 이상 점검하고 1~2년 보관하는가? |
| **물리적** | 전산실 출입 통제, 서류 잠금장치 | 외부인의 물리적 접근이 차단되는 구조인가? |
---
## 3. 실무 진단 사례 분석 (Case Study)
교육 자료에서 다룬 사례들은 진단 시 자주 마주하는 '애매한 상황'들에 대한 가이드라인을 제시합니다.
* **주민등록번호 수집:** 가족수당 지급 시 **근로자 본인은 가능하지만 가족은 불가** (법령 근거 부족). 생년월일로 대체 권고.
* **CCTV 목적 외 이용:** 방호 목적 CCTV를 **자체 감사(비위 확인) 목적으로 이용 가능** (공공감사법 등 다른 법률 근거 활용).
* **익명 정보의 판단:** 회원 탈퇴 시 식별 정보는 파기하되, 통계용 회원번호만 남기는 것은 **익명화**되었다면 적법.
---
## 💡 실무자를 위한 핵심 팁: '안전성 확보조치' 개정안(23.9.15)
최근 고시 개정으로 인해 **'이용자(고객)'와 '정보주체(일반인/직원)'의 기준이 통합**되는 등 변화가 있었습니다. 진단 시 과거 기준을 적용하지 않도록 주의해야 합니다. 특히 **100만 명 이상**의 개인정보를 보유한 대규모 처리자에 대한 **인터넷망 차단 조치** 등 강화된 기준을 반드시 확인해야 합니다.
---
