[CPPG] 개인정보 관리사 1단원 요약

● 개인정보의 개요

▶ 개인 정보의 정의 및 개념
▷ 개념
→ 개인정보란 본인의 의사에 반하거나 본인이 알지 못하는 상태에서 이용될 경우 정보주체의 안녕과 이해관계에 영향을 미칠 수 있는 “개인과 관련된 모든 정보”로 폭넓게 해석될 수 있다.
→ 개인정보는 인격을 이루는 요소이면서 표현의 자유 등 헌법상 인정되는 다양한 기본권과 밀접한 관련이 있는 정보로서 오ㆍ남용될 경우 개인의 인격적ㆍ재산적 권익을 손상시킬 우려가 있기 때문에 모든 개인정보는 개인의 인격존중 이념에 따라 신중히 취급되어야 한다.

▷ 정의 - "개인정보보호법 제 2조"
→ 개인정보는 ‘해당 정보만으로 또는 다른 정보와 결합하여 개인을 식별,접촉하거나, 개인의 위치를 식별할 수 있는 정보’로 개인정보를 통해서 특정 개인의 존재를 누구인지, 어떠한 사람인지 식별할 수 있다면 개인정보이다. 우리가 흔하게 사용하는 주민등록번호ㆍ휴대전화번호ㆍ사진ㆍ동영상ㆍ지문 등은 개인을 식별할 수 있는 정보에 해당한다. 나아가, 특정 개인을 식별할 수 없는 개인정보라 할지라도 다른 정보와 결합하거나 조합하여 조건에 따라 특정 개인을 식별할 수 있는 정보도 개인정보에 해당한다.

▷ 개인정보

㉠‘살아 있는’개인에 관한 정보이어야 한다.
㉡‘개인에 관한’ 정보이어야 한다
㉢‘정보’의 내용·형태 등은 제한이 없다
㉣성명, 주민등록번호 및 영상 등을 통하여 개인을‘알아볼 수 있는’정보이어야 한다.
㉤해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 ‘쉽게 결합’하여 알아볼 수 있는 정보도 포함된다
→ 법률에 의하면, 어떠한 정보가 개인정보로 되기 위해서는 ①살아있는 ②개인에 관한 정보로서 ③특정 개인을 식별하거나 식별이 가능한 정보이어야 한다.
※ 개인정보의 주체는 자연인(自然人)이어야 하며, 법인 또는 단체의 정보는 해당되지 않는다. 따라서 법인의 정보는 법률에서 정하는 개인정보의 범위에 해당하지 않는다.
※ 사망한 것으로 간주되는 자에 대한 정보는 개인정보에 해당하지 않는다. 다만, 사망한 자의 정보일지라도 생존하는 유족 등 후손과 관련된 정보인 경우에는 그 유족의 명예훼손 등 법적 적용 대상이 될 여지가 있으므로 유의하여야 한다.
※ 타인이 특정인에 대해 가지고 있는 의견ㆍ견해ㆍ평가 등과 같은 주관적인 정보 (예: 신용평가정보 등)도 개인정보로 인정될 수 있는 조건을 갖추고 있다.
→ 다른 정보와 ‘용이하게’ 결합한다는 의미에 대해서는 그 해석에 대한 신중한 접근이 요구된다. 2가지 이상의 정보항목을 결합하여야만 개인을 식별할 수 있는 경우라도 각각의 정보항목을 별도의 DB에 저장하고, 해당 DB에 대한 오너십(Ownership)을 분리한 후 일정 수준 이상의 접근통제 및 해당 정보항목에 대한 매칭(Matching) 여부를 법률적으로 제한하는 등의 조치가 마련된다면, 이를 ‘용이하게’ 결합할 수 있는 경우로 보기 어려울 것이다. 즉 어느 정도의 결합이 법률에서 규정하는 ‘쉽게’임을 의미하는 것인지는 결합이 가능한 환경, 맥락 등을 종합적으로 고려해서 판단해야 할 것이다

▶ 프라이버시와 개인정보
▷ 프라이버시의 개념
→ 프라이버시(Privacy) 또는 프라이버시권(Right of Privacy)이라는 용어는 미국의 법적 개념이지만, 우리나라에서도 법학 또는 비 법학 등 여러 분야에서 널리 사용되고 있다. 미국에서 프라이버시라는 개념은 “타인의 방해를 받지 않고 개인의 사적 영역(Personal Space)을 유지하고자 하는 이익 또는 권리”를 통칭하는 개념으로서, 이것은 단일의 이익이 아니고 여러 차원의 이익을 나타내는 개념이다.
→ 미국연방대법원은 헌법상의 프라이버시권이 두 가지 중요한 내용의 보호법익을 가지는 것으로 인정하고 있다.
① “사적인 사항이 공개되지 않는 이익”이며, ② “자신이 중요한 문제에 대하여 자율적이고 독자적으로 결정을 내리고자 하는 이익”이다.

▷ 프라이버시 개념의 변화
→ 프라이버시의 개념은 이미 단순히 간섭받지 않을 권리를 벗어나 자신의 사생활을 자신이 통제할 것을 요구하는 적극적인 의미의 권리로 인정받기 시작하였다. 1980년대 이후 컴퓨터 등 정보통신기술의 발달에 따라 개인정보가 타인에 의해 전자적 형태로 무한히 축적ㆍ처리되기 시작함에 따라, 개인정보에 대한 정보주체의 자기결정권을 나타내기 위해 “정보프라이버시”(information privacy)라는 개념이 나타나기 시작하였고, 국가적 차원에서 보호하여야 할 중요한 권리로 인정되기 시작하였다. 

※ Information Privacy
- Information Privacy란 “개인정보가 요구되고, 공개되고 사용되어지는 정보에 관한 통제권을 주장할 수 있는 권리이다”
→ 이와 같이, 정보프라이버시란 “개인정보가 요구ㆍ공개ㆍ사용되어지는 정보에 관한 통제권을 주장할 수 있는 권리”를 의미한다. 우리나라도 2005년 헌법재판소에서 이러한 권리를 “개인정보자기결정권”이라 하여 보호되어야하는 중요한 기본권임을 명시하였다

▷ 프라이버시와 개인정보의 관계
→ 프라이버시는 사생활에 관한 이익을 총칭하는 개념으로 가장 넓은 개념으로 우리 헌법이 상정하고 있는 주거의 자유, 사생활의 비밀과 자유, 통신의 비밀 등은 모두 프라이버시 개념에 포함된다. 개인정보는 프라이버시 영역에 속하는 정보프라이버시의 보호대상에 포함된다. 이와는 달리 통신 내용을 감청하거나 개인의 사적 비밀을 들추어내어 이를 공표하는 행위는 개인정보보호의 문제와는 구별되는 별개의 프라이버시 침해 행위라고 할 수 있다. 따라서 사생활 비밀을 보호하기 위한 형법 및 여러 법률상의 비밀보호 규정과 「통신비밀보호법」은 엄밀히 말하면「개인정보보호법」의 범주에 속하지 않는다.

▶ 개인정보의 유형 및 종류
▷ 개인정보의 유형
→ 개인정보는 개인의 성명이나 주민등록번호 등 인적 사항에서부터 개인의 성향ㆍ사상ㆍ신조에 이르기까지 그 범위가 매우 넓을 뿐만 아니라 종류가 다양하다.
① 인적사항 ② 신체적 정보 ③ 정신적 정보 ④ 재산적 정보 ⑤ 사회적 정보 ⑥ 기타

▷ 개인정보의 제공과 생성에 따른 구분
→ 개인정보는 일반적으로 제공정보와 생성정보로 분류된다.
① 제공정보
   - 제공정보란 이용자가 ‘직접 회원가입이나 서비스 등록을 위해 사업자에게 제공하는 정보’로 정의된다.
② 생성정보
   - 생성정보란 ‘사업자가 서비스를 제공하는 과정에서 생성되는 이용자에 관한 정보’라고 정의된다.
   - 이용자가 회원서비스 가입 등을 통해 직접 제공하는 정보가 아니라, 서비스 이용과정에서 기술적 방법에 의해 자동으로 생성ㆍ수집ㆍ저장되는 특성을 갖는다.
※ 생성정보는 그 자체로서 개인정보로 인정되기 어려운 경우가 많으며, 이용자가 제공한 ‘제공정보’ 등과 결합하여 개인 식별이 가능한 경우에 한하여 개인정보로 인정될 수 있다.

▶ 개인정보 가치산정 
→ 개인정보는 이용자와 이용자로부터 해당 개인정보를 수집 받아 활용하는 주체에 따라 동일한 개인정보항목에 대해서도 그 가치를 다르게 산정할 수 있는 편향성을 내재하고 있다.
→ 정보주체는 자신의 개인정보에 대한 가치를 과평가, 처리자는 가치를 저평가 하는 경향이 있음 그렇기에 개인정보 유ㆍ노출 사고 발생 시 그 피해액, 손해배상액을 산정하는 등 개인정보의 가치를 확인할 필요가 있을 때에는 객관적으로 증명된 가치산정 방식에 기초해야 할 필요가 있다.

▷ DelPhi 기법( 전문가 판단 ) 기법
→ 일반적인 사회학적 방법으로 전문가들의 의견수립, 중재, 타협의 방식으로 반복적인 피드백을 통한 하향식 의견 도출 방법을 통해 개인정보의 가치를 산정할 수 있다.

▷ 가상가치산정법(CVM, Contingent Valuation Method)
→ 설문조사에 기초한 가치 산정방식으로써, 주로 비시장(Non-Market) 자원에 대한 가치를 산정하는 경제학적 방식이다. 이러한 자원들은 사람들에게 효용을 제공하는 반면에 그러한 자원에 내재된 속성 때문에 시장 가치를 가지지 않는 경우에 해당된다.
→ 통상 설문조사를 통해 사람들이 ‘어느 정도의 금액을 지불할 의사(WTP, Willingness To Pay)’가 존재하는가를 확인한다.예를 들면, 100명의 설문조사 대상자들에게 “A회사에서 여러분들로부터 수집하는 개인정보에 대해 ‘완벽한 수준’의 개인정보보호 대책을 수립ㆍ운영하여, 개인정보의 유ㆍ노출 사고가 발생하지 않을 것을 100% 담보한다고 가정할 때, 여러분들은 1년간 어느 만큼의 금액을 지불할 의사가 있으신가요?”라는 내용의 설문을 진행한 후에, 설문조사 결과로 확인된 값을 평균 내었을 때의 값이 CVM에 의해 산정된 개인정보의 가치가 된다.

▷소송가액에 기초한 개인정보 가치 역산정
→ 개인정보가 유출된 다양한 상황을 가정하고 해당 상황 , 별로 유출 가능한 개인정보 항목을 분석하여 각 항목의 중요도 및 유출되는 항목의 개수를 매트릭스화 하여 ‘손해배상액’의 총 합을 기업에서 보유하고 있는 개인정보의 가치로 활용할 수 있다. 이 방법의장점은 개인정보의 가치 산정이 편리하고, 다양한 시나리오를 개발하여 실제 상황에 대응할 수 있을 뿐 아니라, Worst Case ~ Best Case의 범위(Range)를 확인할 수 있다. 또한, 이러한 방식에 근거하여 산정된 손해배상액을 근거로 위험 전가 (Risk Transferring) 통제를 구현할 수도 있다

▶ 해외 개인정보보호 제도 소개
▷주요 국가 개인정보 보호법에서의 “개인정보”의 정의
→ 개인정보 보호법을 제정하여 시행하고 있는 각국은 거의 대부분 공통적으로 “개인을 식별할 수 있거나 식별가능한 개인에 관한 정보”라고 규정하고 있다.
ex) OECD - 식별되거나 식별될 수 있는 개인에 관한 모든 정보
      EU - 자연인의 신원이 확인되었거나, 확인할 수 있는 것과 관련한 정보
            - ‘신원을 확인할 수 있는 자’는 직접 혹은 간접적으로 특히 신원증명번호 혹은
              신체적ㆍ생리적ㆍ정신적ㆍ경제적ㆍ문화적ㆍ사회적 동일성에 관한 하나 혹은
               그 이상의 요인을 참조하여 그 신원을 알 수 있는 사람
      미국 - 개인에 관한 정보로 개인의 성명 또는 신분번호, 기호, 지문, 사진 등 개인에게
                 배정된 신분의 식별을 위한 특기사항

▷ 주요 국가에서 보호되는 “개인정보”의 범위
→ 대부분의 국가에서는 보호되는 개인정보의 범위를 “전산화하여 처리된 개인정보”(디지털 상태의 정보, DB화 정보 등) 뿐만 아니라 수기(手技)에 의한 개인정보도 포함시키고 있다.

▷ 유럽과 미국의 “개인정보 보호”에 대한 차이점
→ 유럽과 미국은 경제ㆍ문화적 차이로 인하여 개인정보보호 규제에서 상이한 접근방식을 보여주고 있다. 이러한 세계 경제의 양대 축인 유럽과 미국의 보호방식의 차이는 전자상거래 등 글로벌 경제에서 갈등의 원인이 되고 있다.
→ 유럽(EU)은 나치의 개인정보 오ㆍ남용으로 인한 유태인 학살경험 이후 개인정보를 인권적 차원에서 엄격하게 보호하며, 이행이 강제되지 않는 자율규제는 비효과적으로 보고 법률에 의한 규제를 선호한다.
→ 미국은 개인정보를 잘 활용함으로써 고객에게 보다 큰 편익을 줄 수 있다고 보고, 개인정보 관련 규제를 최소화하는 경향을 보이며, 개인정보보호를 위한 지나친 정부 관여는 정보기술의 발전과 기업체들의 자유로운 경제활동을 저해할 가능성이 크다고 판단하고 있다.
※ 우리나라는 EU와 비슷한 OPT-IN 방식으로 개인정보보호법이 제정되어 있음

▷ EU GDPR(일반 개인정보보호법)
→ 2016년 5월, 유럽연합은 디지털 단일 시장에서 EU 회원국간 개인정보의 자유로운 이동을 보장하는 동시에 정보주체의 개인정보 보호 권리를 강화하는 내용의「일반 개인정보 보호법 (이하 ”GDPR“)」을 제정함에 따라, 2018년 5월 25일부터는 GDPR이 기존에 EU 개인정보 보호의 기준을 제시하였던 「1995년 개인정보보호 지침(이하 “Directive”)」을 대체한다
→ 제정 목적
 GDPR은 자연인에 관한 개인정보 보호권을 보호하고, EU 역내에서의 개인정보의 자유로운 이동을 보장하는 것을 그 목적으로 하며, 종래의 Directive가 아니라 Regulation이라는 법 형식으로 규율되어 법적 구속력을 가지며 모든 EU 회원국들에게 직접적으로 적용된다. GDPR 일부 규정에 대해서는 회원국의 별도 입법이 요구되므로, 기업들은 GDPR 이외에 각 회원국의 개인정보 보호 관련 입법 동향에 대해 지속적으로 모니터링할 필요가 있다.
☞ GDPR의 제정을 통해 보다 강력하고 통일적인 개인정보 보호 규제가 가능하게 되었다.
https://gdpr.kisa.or.kr/gdpr/static/whatIsGdpr.do

 

● 개인정보보호의 중요성

▶ 정보사회와 개인정보등 사생활 노출
→ 사람들은 언제ㆍ어디서나 시공을 초월하여 네트워크에 접속할 수 있게 되었다. 언제든지 실시간 으로 자신이 필요한 정보를 찾아내고, 정보를 주고받으며 의견을 교환하기도 한다. 이제는 프라이버시 영역이 미디어 기업과 시장이 제공하는 편익을 제공받기 위하여 스스로 자기의 정체성을 드러낼 수도 있고, 또 사람들과의 사회적 관계를 형성하기 위하여 자기노출도 자연스럽게 여길 수 있는 개인들의 적극적인 선택의 영역으로 변화하고 있는 것이다. 이는 사적 영역이 무조건 보호받는 영역이 아닌 개인이 스스로 그 공개범위를 선택할 수 있고, 그에 따른 사생활 침해의 위험성을 본인이 감수하여야 하는 또 다른 사회적 영역임을 의미한다. 즉, 어디서부터가 개인정보의 침해인지 그 보편적 기준을 정하기가 더욱 어려워지고 있다.

▷정보사회와 개인정보의 유ㆍ노출
→ 정보기술의 비약적인 발전은 더욱더 정보수집과 처리를 용이토록 지원하지만 개인에 대한 감시ㆍ사생활 침해ㆍ개인정보침해 등 더욱 그 정보화에 따른 역기능의 위험성이 커지면서 개인정보 침해도 매우 다양한 모습으로 나타나고 있다

▶ 개인정보 침해유형

▷ 개인정보 피해의 결과
→ 자신의 동의 없이 개인정보가 사업자의 부당이득을 위하여 제3자에게 제공될 경우 끊임없는 텔레마케팅ㆍ광고성 문자ㆍ이메일 수신 등 원치 않는 광고를 수신하게 된다. 또한, 타인에게 알리고 싶지 않은 개인정보의 공개로 인격권 훼손 등 심각한 프라이버시 침해를 입으며, 주민등록번호ㆍ계좌번호ㆍ비밀번호 등의 도용은 커다란 재산적 피해도 야기할 수 있다.

▷ 개인정보 침해의 원인
→ 개인정보 침해의 주된 원인은 무엇보다도 기업 등 개인정보처리자의 사회적 책임이 부족한데에서 기인한다. 사업자의 개인정보보호 인식 부족은 개인정보보호를 위한 기술적ㆍ관리적 조치를 제대로 취하지 않아 내부자에 의한 개인정보 유출 또는 해킹 등과 같은 사고의 원인이 되고 있다. 특히, 대량의 개인정보를 취급하고 있는 통신사업자, 금융기관, 포탈사업자, P2P서비스제공자 등은 개인정보보호를 위한 선도적 역할을 담당하여야 하지만, 여전히 이들 사업자에 의한 대량 개인정보 유출사고가 끊이지 않고 있다. 
→ 한편, 정보주체인 이용자는 기업 등에 비해 상대적으로 개인정보 관련 권리가 미흡하다. 기업 등은 주민등록번호나 주소 등 개인정보를 요구하지만, 이용자들도 별로 문제의식을 느끼지 못하거나 알면서도 어쩔 수 없이 개인정보를 제공하는 경우가 많다.

▶개인정보보호의 필요성
▷ 개인의 입장
→ 개인이 개인정보 침해를 당한 경우, 인격권의 침해에 따른 정신적 피해와, 보이스피싱ㆍ명의도용 등으로 재산적 피해를 입을 수 있으며, 유괴ㆍ스토킹 등 범죄에 노출될 우려가 있다. 온라인 상에서 개인정보 유출로 인한 피해가 발생한 경우 회복이 어려울 뿐만 아니라, 2차 피해가 ‘실시간’으로 발생할 수 있다는 특성이 있으며 피해 발생 시 개인정보 유ㆍ노출의 근원(Source)을 확인하는데 많은 자원이 소요되기도 한다.
▷ 기업의 입장
→ 기업들은 이용자들의 개인정보를 활용하여 다양한 맞춤형 서비스를 제공할 뿐만 아니라, 이를 통해 가치를 창출하고 있다. 즉, 이용자들의 개인정보는 정보제공자 개인에게 귀속되며, 정보주체의 동의에 처리할 수 있으므로 기업은 고객의 개인정보에 대한 ‘선량한 관리자’로서의 역할을 다해야 하는 것이다. 또한 개인정보에 대한 이용자의 Ownership은 점차 강화되어가고 있으며, 개인정보 유ㆍ노출 사례에 대한 손해배상청구액 역시 점차 증가하고 있으므로 기업은 개인정보 유ㆍ노출에 대한 대비가 필요하다.
▷ 정부의 입장
→ 국가는 국가기능 및 경쟁력 강화로 체제를 유지한다 국민의 개인정보는 전자정부에 추진에 있어 필수적이고, 개인정보 보호를 소홀히 하면 정부 신뢰성과 국가 브랜드 이미지가 하락하고 전자정부 추진 자체가 불가능해진다. 나아가 정부는 법률과 제도의 정비 및 감독을 하고 있기에 개인정보의 보호와 관리는 기업이나 개인에 비해 더 높은 비난 가능성을 내포한다.

● 기업의 사회적 책임

▶ 개인정보의 중요성 인식
▷ 기업과 개인정보
→ 기업은 경제체계를 구성하는 하나의 주된 축을 이루고 있으며, 주주의 이익을 극대화하기 위해 이윤을 창출하는 것을 목표로 하고 있다. 따라서 기업은 지속적이며 발전적 방향의 고객관계를 설정하는 한편, 그들의 욕구에 부흥하기 위한 노력하고 있다. 이러한 노력은 CRM, 이용자 맞춤 서비스 제공 및 Target Marketing 등의 활동으로 표출되고 있으며, 이러한 활동의 기초가 되는 것이 바로 이용자(고객)의 개인정보인 것이다
→ 즉, 개인정보는 고객의 욕구를 파악, 충족하기 위한 맞춤형 서비스 제공 등의 핵심 Resource이며, 개인정보 활용을 통해 다각적 사업모델이 만들어지고 있다.

▷ 기업의 "개인정보보호 인식"의 필요성
→ 경영 이익을 추구를 중요시하는 기업이 그에 상응하는 개인정보보호 인식을 갖추지 못하기에 현재의 복잡하고 다양한 개인정보 문제가 발생하는 것이다.

▷ 기업의 사회적 책임(CSR)
→ 기업의 사회적 책임(CSR, Corporate Social Responsibility)이라 함은 비즈니스 모델에 통합된 기업의 자기 규제적 형태를 의미하며, CSR 정책은 사업자가 법률, 윤리적 기준 및 국제적 규범에 부합하는 활동을 하고 있는지를 모니터링 및 확인하는 내용으로 구성되고 있으며, 주로 환경ㆍ소비자ㆍ임직원ㆍ지역사회 등에 초점을 둠
→ CSR은 기업의 의사결정과정에 공공의 이익을 포함하는 개념이며, 사람ㆍ지구ㆍ이익이라는 3P(People, Planet, Profit)를 중요시하게 된다. 개인정보보호를 바라보는 새로운 시각의 하나인 기업의 사회적 책임의 개념은, 기업의 고객인 이용자의 개인정보를 소중하게 보호함으로써 위험관리(Risk management)체계를 한 단계 성숙시킬 수 있는 기회를 창출할 뿐만 아니라, 브랜드 차별화를 구현할 수 있고, 규제의 간섭으로부터 어느 정도 자유로워질 수 있는 권리를 갖게 되는 것이다

▶ 개인정보 조직 구성, 운영
▷ 개인정보보호 조직의 조건
→ 개인정보보호 조직은 일반적인 정보보호조직의 구성과 마찬가지로 다양한 요소가 존재한다. 외부적으로는 개인정보보호 의지의 천명에 대한 필요에서부터 내부적으로는 개인정보보호 업무를 수행할 수 있는 역량 있는 직원의 존재여부가 존재한다.
→ 기업들이 개인정보보호를 시작할 때는 먼저 오너십을 가질 수 있는 개인정보보호 담담자와 조직부터 마련하는 게 중요하다. 이후 내부 개인정보 흐름을 파악하고 통제 방안을 도출해야하는데 이때 담당자와 조직이 필요하다. 또한, 이 조직은 조직 전체의 정책을 수립하고 수행하기 때문에 개인정보 최고책임자( 사장 또는 임원 ) 직속 부서에 위치하는 것이 옳다.

▷ 조직의 구성, 운영 방법
→ 개인정보보호에 있어 Compliance에 초점이 맞추어진 기업이라고 한다면, 법무조직 내에 개인정보보호 조직을 구성할 수도 있을 것이다. 특히 업무 영역이 2개 국가 이상의 경우에는 해외 현지 법률에 대한 전문적 지식 및 Privacy에 대한 현재 국가의 수준, 인식 등에 대한 배경지식을 가지고 있는 인력을 확보하는 것이 중요하다. 개인정보보호 조직의 구성 및 조직 내의 포지셔닝은 다양한 요소가 복합적으로 작용하며, 기업이 처한 환경과 최고경영자의 의지에 의해 결정될 가능성이 높다.

▶ 개인정보 조직의 역할 
→ 개인정보보호 조직이 수행해야 하는 업무는「개인정보보호법」과「정보통신망 이용촉진 및 정보보호 등에 관한 법률」등에 의해 일반적으로 규율되어 있기 때문에 어느 정도 일반화가 가능하다.
→ 「개인정보보호법」등의 개인정보보호 정책과 규정은 기업의 개인정보보호 활동에 대한 방향성을 제시하고 의사 결정의 기준이 되는 가이드라인이므로, 개인정보보호에 대한 목표 설정과 추진, 관리지표 수립 및 평가를 통해 개인정보보호 체계를 정립하고 실행력을 강화해야 한다. 또한, 개인정보 유출에 대한 예방 및 사고 발생 시 즉각적인 조치로 피해 발생을 최소화하고 점검 및 운영하는 것이다. 개인정보 유출 시 통지ㆍ신고제도, 집단분쟁조정제도, 권리침해 중지를 구하는 단체소송, 개인정보보호 활동과 유출 시 대응 업무를 전담한다

▷ CISO 보좌 및 개인정보보호에 대한 합리적 보장 제공
→ 조직의 특성상 모든 기업이 개인정보보호의 R&R (Role & Responsibility)을 담당하고 있는 부서가 법무 또는 기업체의 대표 직속으로 위치하고 있을 수도 있다. 일반적으로 정보보호에 대한 Role은 CISO에게 기대되는 역할의 일부로서, 개인정보보호조직은 CEO의 의지를 CISO를 통하여 확인하고, 이를 실무부서에 침투(Permeation)할 수 있는 중간자적 역할이 기대된다.
→ CEO의 기업운영에 있어 개인정보가 적정히 관리되고 있다는 합리적 보장을 제공할 수 있는 정책ㆍ기준ㆍ절차의 수립은 물론 이러한 것들의 반복적 수행 증거를 보여야 한다.

▷ 개인정보보호와 Compliance
→ 개인정보보호 의무의 준수에 있어「개인정보보호법」,「정보통신망 이용 촉진및 정보보호 등에 관한 법률」의 규정은 최소한의 준수 의무로서 이해되어야 하며, ISO27001, COBIT 등 다양한 정보보호 관련 Framework에서 설명하고 있는 정보보호의 틀까지 고려되어야 한다. 또한, 정책적ㆍ기술적 개인정보보호 방안 가운데 그 어느 것이 더 중요하다는 주장으로 특정 분야에만 관심을 쏟을 수 없으므로, 양자의 적절한 조화를 통한 기술적ㆍ관리적 보호대책을 수립ㆍ운영하는 것이 중요하다.

▷ 개인정보보호 인식 향상
→ 개인정보보호 조직의 주요한 업무의 하나는 개인정보보호와 직ㆍ간접적으로 관련된 Stakeholder의 개인정보보호 인식을 향상시킬 수 있는 다양한 시책을 시행하는 것이다. 구체적인 실행방식으로는 교육(온ㆍ오프라인), 워크숍, 포스터, 뉴스레터 등 다양한 방법이 있다.