CPPG 개인정보 관리사 - 주요 내용 정리

2023. 3. 9. 17:26Security/CPPG

1. 개인정보 : 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
                     다른 정보와 쉽게 결합하여 특정 개인을 알아볼 수 있는 정보

2. 가명정보 : 일부를 삭제하거나 일부또는 전부를 대체하는 등의 방법으로 추가 정보없이는 특정인 식별 불가한 정보

3. 추가 정보 : 가명 정보와 비교·대조 등을 통해 삭제 또는 대체된 개인정보를 "복원"할 수 있는 정보

4. 익명 정보 : 다른 정보를 사용하여도 특정 개인을 알아볼 수 없는 정보 [ 개보법 적용 예외 ]

5. 결합 정보 : 두개 이상의 정보를 쉽게 결합하여 특정 개인을 알아볼 수 "있는" 정보

6. 정보 주체 : 처리되는 정보에 의하여 알아볼 수 있는 살아있는  사람으로서 그 정보의 주체가 되는 사람

7. 개인정보파일 : 개인정보를 쉽게 검색하도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물

8. 민감 정보 :
→ 유전자 검사등의 결과로 얻어진 유전 정보
→ 범죄 경력자료에 해당하는 정보
→ 개인의 신체적 생리적 행동적 특징 정보로 기술적 수단을 통해 생성한 정보
→ 인종이나 민족,  사상·신념,  정치적 견해, 노동조합·정당의 가입 및 탈퇴 정보, 건강 , 성생활 등
→ 그밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보

9. 고유 식별정보 : "법령에 의해 개인에게 부여된 것"
→ 주민등록번호, 여건번호, 운전면허의 면허번호, 외국인 등록번호

10. 개인정보 수집시 동의를 위한 의무 고지사항
1) 수집·이용 목적 2) 수집 항목 3) 보유·이용기간 4) 동의 거부권 및 거부시 불이익 내용

11. 개인정보 수집·이용의 정당한 사유
→ 정보주체의 동의를 받은경우
→ 법률에 특별한 규정이 있거나, 법령상 의무 준수를 위해 불가피한 경우
→ 공공기관등이 법령 등에서 정하는 소관업무 수행을 위해 불가피한 경우
→ 정보주체와의 계약 체결 및 이행을 위해 불가피하게 필요한 경우
→ 정보주체의 사전동의를 받을수 없는 경우로 정보주체 또는 제 3자의 급박한 생명,신체, 재산의 이익을 위해 필요한 경우
→ 개인정보처리자의 정당한 이익들성을 위해 필요한 경우로 명백히 정보주체의 권리보다 우선하는 경우

12. 개인정보 이용 범위 확대시 관련성 판단의 고려 요소
→ 당초 수집목적과 관련성이 있는지 여부
→  개인정보 수집 정황상 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
→ 정보주체의 이익을 부당하게 침해하는지의 여부
→ 가명처리 또는 암호화 등 안전성 확보에 필요한 조치 수행여부

13. 필요 최소한의 개인정보 수집
→ 목적에 필요한 최소한의 개인정보를 수집해야하며, 이에대한 입증 책임은 개인정보처리자의 부담
→ 필요 최소한의 정보외에는 동의거부가 가능함을 고지
→ 필요 최소한의 정보가 아닌 개인정보 수집에 미동의 함을 이유로 재화 등 제공 거부 금지

14. 동의의 구체적인 방법
 1) 각각 동의  : 일괄 동의가 아니라 개별적인 동의가 필요
    → 수집·이용 동의
    → 제3자 제공 동의
    → 국외 제 3자 제공 동의
    → 마케팅 목적 처리 동의
    → 법정대리인의 동의
2) 별도 동의 : 이미 동의를 받은 정보일지라도 당초 동의와 구분되는 별도의 동의가 필요
    → 목적 외 이용·제공 동의
    → 개인정보를 제공받는자의 이용·제공 제한
    → 민감정보 처리 동의
    → 고유식별정보 처리 동의

15. 동의서에 특히 명확히 표시해야하는 항목
 재화나 서비스의 홍보 및 판매 권유, 기타 이와 관련 목적으로 개인정보를 이용해 정보주체에게 연락할 수 있단 사실
 민감정보, 고유식별정보
 개인정보의 보유 및 이용기간
 개인정보 제공받는 자 및 제공받는 자의 이용 목적

16. 개인정보 제 3자 제공의 개념
 개인정보를 물리적 이전 또는 전송, 접근권한 부여, 개인정보 공동 이용 상태를 초래하는 모든 행위

17. 업무 위탁 : 개인정보처리자의 업무를 처리할 목적으로 개인정보가 제 3자에게 이전함
※ '제공'은 제공받는자의 업무를 처리할 목적 및 이익을 위해서 개인정보가 이전되며, 업무 위탁의 경우 위탁자로부터 업무를 위탁받은 '수탁자'는 제 3자에 해당하지 않으므로 개인정보의 제공이 아님.

18. 영업의 양도·합병 : 개인정보 처리형태가 변하는 것이 아니라 관리주체만 변한다는점에서 '제공'과 차이 발생

19. 제 3자 제공에 관한 동의를 받을 때 의무 고지사항
 1) 개인정보를 제공 받는자의 성명
 2) 제공받는 자의 개인정보 이용 목적
 3) 제공하는 개인정보의 항목
 4) 제공받는 자의 개인정보 보유 및 이용 기간
 5) 동의 거부권 및 거부에 따른 불이익의 내용

20. 개인정보 제 3자 제공이 가능한 경우
 정보주체의 동의를 받은 경우
 법률에 제 3자 제공에 관한 특별 규정이 있는 경우
 법령상 의무를 준수하기 위한 경우
 공공기관이 법령등에서 정하는 소관업무를 수행하기위해 불가피한 경우로써 수집 목적 내에서 제공하는 경우
 급박한 생명,신체,재산상 이익을 위하여 필요한 경우

21. 개인정보 목적 외 이용·제공이 가능한 경우
 정보주체로부터 별도의 동의를 받은 경우
 다른법률에 특별 규정이 있는 경우
 급박한 생명,신체,재산상 이익을 위하여 필요한 경우
 개인정보를 목적 외의 용도로 이용하거나 이를 제 3자에게 제공하지 아니하면 다른 법률에서 정한 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우
 조약, 그밖의 국제협정 이행을 위해 외국 정부 또는 국제기구에 제공하기 위해 필요한 경우
 범죄 수사와 공소의 제기 및 유지를 위하여 필요한 경우
 법원의 재판 업무 수행을 위해 필요한 경우
 형 및 감호, 보호 처분의 집행을 위하여 필요한 경우

22. 목적 외 이용 동의 획득시 고지사항
1) 개인정보의 이용 목적 
2) 이용하는 개인정보의 항목
3) 개인정보의 보유 및 이용기간
4) 동의 거부권 및 거부시 불이익에 관한 내용

23. 목적 외 제공 동의 획득시 고지사항
1)개인정보를 제공받는 자의 성명
2) 개인정보의 이용 목적 
3) 이용하는 개인정보의 항목
4) 개인정보의 보유 및 이용기간
5) 동의 거부권 및 거부시 불이익에 관한 내용

24. 정보주체의 권리보호
1) 개인정보의 열람 
 - " 열람" 이란 개인정보 보호법에 따라 그열람이 호용되는 개인정보를 해당 개인정보 처리자로부터 제공받아 그 내용을 확인하면서 보는 것을 말하며 사본을 포함함
 - 개인정보 열람 요구서 접수를 한 날 부터 10일(근무일 기준) 이내에 열람에 대한 결과를 통지해야함
 - 열람의 대상 : 정보주체는 개인저옵 처리자가 처리하는 자신의 개인정보의 열람을 요구할 수 있음.( 직접 제공한 개인정보는 물론 제3자 또는 공개된 정보원으로부터 수집한 개인정보, 처리자가 생산한 정보 등을 포함)
25. 개인정보 열람 요구 사항
1) 개인정보의 항목 및 내용
2) 개인정보의 수집 이용의 목적
3) 개인정보 보유 및 이용기간
4) 개인정보의 제 3자 제공 현황
5) 개인정보 처리에 동의한 사실 및 내용

26. 개인정보 정정·삭제 요구 대상
 - 개인정보 정정·삭제의 요구 대상이 되는 개인정보는 정보주체가 열람할 수 있는 개인정보에 한정. 따라서 개인정보 처리자가 열람을 제한하거나 거절 할 수있는 개인 정보는 정정 삭제 요구권이 인정되지 않음

27. 개인정보 정정·삭제 요구에 대한 대응
 1) 증거자료의 조사 등 : 정정 삭제에 관한 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 요구에 따라 조치 후 결과통지서로 정보주체에게 알려야함. 처리자는 정보주체에게 정정·삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있음
 2) 삭제 거부의 통지 : 삭제를 요구한 개인정보가 다른 법령에 의해 수집대상으로 명시된 경우는 개인정보를 보존하여야 하며, 정정·삭제 요구를 받은 날부터 10일 이내에 삭제 요구에 따르지 않기로한 사실, 그이유와 이의제기 방법을 "개인정보 정정·삭제 요구에 대한 결과 통지서"로 해당 정보주체에게 알려야함.

28. 개인정보 처리정지 요구권
 - 개인정보 처리 정지를 요구할 수 있으며, 요구 이유를 구체적으로 설명할 필요 없음
 - 공공기관에 대한 처리 정지를 요구할 시 개인정보 보호위원회에 등록한 개인정보 파일만을 대상으로 함

29. 처리정지 요구권과 동의권 철회의 차이!
처리정지 요구권 = 정보주체 동의 여부 관계 없이 개인정보 처리자가 처리하고 있는 정보주체에 관한 모든 개인정보
동의권 철회 = 처리에 동의를 한 개인정보

30. 수수료 및 우송료 청구.
 - 개인정보 처리자는 열람등의 요구를 하는 사람에게 수수료와 우송료를 청구할 수 있음. (실비 범위 내)
 - 다만, 정보주체가 열람등의 요구를 하게된 사유가 처리자에게 있는 경우 청구할 수 없음.
 1) 국가기관에게 내는 경우 : 수입인지
 2) 지방자치단체에게 내는 경우 : 수입증지

31. 개인정보의 안전성 확보조치 
 - 개인정보의 분실·도난·유출·위조·변조 또는 훼손으로 인한 피해 예방을 위해 처리자에게 안전성 확보조치 의무를 부과

관리적 조치 [ 내부관리계획의 수립·시행  , 접근 권한의 관리 ]
기술적 조치 [ 접근통제 , 암호화, 접속기록의 보관 및 점검, 악성프로그램 방지, 관리용 단말기의 안전조치 ]
물리적 조치 [ 물리적 안전조치 ]

32. 개인정보 처리시스템
 - DB 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말함 ( 업무용 PC도 DB 응용 프로그램이 설치·운영되어 다수의 개인정보 취급자가 개인정보를 처리하는 경우에는 개인정보처리시스템에 해당 될 수 있음! 다만, DB 응용프로그램이 설치·운영되지 않는 PC, 노트북과 같은 컴퓨터는 개인정보처리시스템에서 제외)
- 개인정보처리시스템의 DB에 대한 직접 접근은 DB 운영·관리자에 한정하는 등의 안전조치를 적용할 필요성이 있음

→ 개인정보처리자는 접근권한의 부여, 변경 또는 말소에 대한 내역을 기록하고, 3년간 보관해야 함
  ( 신청자 정보, 신청일시, 승인자 및 발급자 정보, 신청 및 발급 사유 등 발급 과정과 이력 관리를 위해 필요한 정보 보관)
→ 처리자는 처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인별 계정을 발급하고, 취급자간 공유되지 않도록 하여야하며, 책임 추적성을 확보하여야 함

33. 책임추적성 = 개인정보 취급에 따른 문제 발생시 사용자 계정을 기반으로 책임소재를 파악하는 것

34. 안전한 비밀번호 작성 규칙
→ 비밀번호는 문자, 숫자의 조합·구성에 따라 최소 8자리 또는 10자리 이상의 길이로 구성
 - 최소 8자리 이상:  두 종류 이상의 문자를 이용하여 구성한 경우
 - 최소 10자리 이상 : 하나의 문자 종류로 구성한 경우

35. 접근통제
→ 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 접근통제시스템을 설치 운영해야함.
→ 개인정보 처리시스템에 접속한 이상 행위 대응, 로그훼손 방지 등 적절한 운영 관리 필요

36. 접근통제 시스템
→ 침입차단 기능 : 접속 권한을 IP 주소 , 포트 , MAC 주소등으로 제한하여 인가받지 않은 접근을 제한
→ 침입탐지 기능 : 처리시스템에 접속한 IP 주소, 포트, MAC주소등을 분석해 유출시도 탐지, 접근제한·차단 등 조치 진행
→ 개인정보 처리자는 외부에서 개인정보 처리시스템에 접속하려는 경우 가상사설망(VPN) 또는 전용선 등 안전한 접속 수단을 적용하거나 안전한 인증수단(인증서,보안토큰, 일회용 비밀번호 등)을 적용하여야함
→ 인증수단만을 적용하는 경우에는 통신보안을 위한 암호화 기술의 추가 적용이 필요할 수 있고, 보안성 강화를 위하여 안전한 접속수단을 권고

37. 접속의 차단
→  개인정보 처리시스템에 접속하는 업무용 컴퓨터 등에서 해당 개인정보처리 시스템에 대한 접속을 차단하는 것
→  시스템에 대한 불법적 접근 및 침해사고 방지를 위해 일정시간 업무처리를 하지 않는 경우 자동으로 접속이 차단되도록 해야하며, 화면보호기 등은 접속차단에 해당하지 않음
→ 개인정보 취급자가 일정시간 업무처리를 하지않아 차단된 후, 재 접속하는 경우에도 최초 로그인과 동일한 방법으로 접속하여야 함
→ 업무용 모바일기기는 분실,도난 등의 사유로 개인정보가 유출되지 않도록 비밀번호 설정드의 보호조치 필요

38. 생체정보
→  지문,얼굴,홍채,정맥,음성,필적 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정개인을 인증·식별하거나 개인에 관한 특징을 알아보기위해 일정한 기술적 수단을 통해 처리되는 정보를 말함

39. 보조저장매체
→ 이동형 하드디스크, USB메모리, CD, DVD 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 쉽게 연결·분리할 수 있는 저장매체를 말함

40. 비밀번호, 생체정보의 암호화
→ 비밀번호를 저장하는 경우에는 복호화되지 않도록 일방향 암호화하여 저장
→ 생체정보 식별 및 인증 등의 업무에 활용하기 위하여 수집·이용하는 경우에는 암호화 조치를 하여야 하며 복호화가 가능한 양방향 암호화 저장을 할 수 있음

41. 위험도 분석
→ 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말함

42. 국내외 권고 암호 알고리즘
→  미국 / 대칭키 : AES-128 이상, 3TDEA  / 공개키 : RSA / 일방향 : SHA-224 이상 - NIST
→  일본 / 대칭키 : AES-128 이상, Camellia-128 이상  / 공개키 : RSAS-OAEP / 일방향 : SHA-256 이상 - CRYPTREC
→  유럽 / 대칭키 : AES-128 이상, Camellia-128 이상  / 공개키 : RSAS-OAEP  / 일방향 : SHA-224이상, Whirlpool - ECRYPT
→  국내 / 대칭키 : SEED, HIGHT, ARIA -128 이상, LEA -128 DLTKD  / 공개키 : RSAES / 일방향 : SHA-224이상

43. 암호키 관리 단계
 1) 준비단계 : 암호키가 사용되기 이전 단계
    - 암호키 생성, 분배
 2) 운영단계 : 암호키가 암호 알고리즘 및 연산에 사용되는 단계
    - 암호키의 유효기간동안 사용되는 키 자료들은 장비모듈이나 별도의 저장매체에 보관 등으로 저장
    - 암호키의 가용성 보장을 위해 키 백업 및 복구 등이 가능해야 함
 3) 정지단계 : 암호키가 더이상 사용되지 않지만, 암호키에 접근은 가능한 단계
    - 암호키 보관 및 복구
 4) 폐기단계 : 암호키가 더이상 사용될 수 없는 단계
    - 일반적으로 키 자료에 대한 모든 기록은 삭제 ( 일부 기관은 감사 목적으로 특정 키속성 유지 필요 )

44. 접속기록의 보관 및 점검
→ 접속이란 처리시스템과 연결되어 데이터 송수신이 가능한 상태
→ 접속기록이란 처리시스템에 접속하여 수행한 업무내역에 대하여 계정,접속일시,접속지 정보, 처리한 정보주체의 정보, 수행업무 등을 전자적으로 기록한 것
→ 접속기록은 1년이상 위·변조 및 도난,분실되지 않도록 안전하게 보관·관리 필요 다만, 5만명 이상의 정보주체의 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보 처리시스템의 경우 2년 이상 보관·관리 필요

45. 접속기록 내 비정상 행위
계정 : 접근권한이 부여되지 않은 계정으로 접속
접속일시 : 출근시간 전, 퇴근시간 후, 새벽, 휴무 등 업무시간 외 접속
접속지 정보 : 인가되지 않은 단말 또는 지역에서 접속
처리한 정보주체의 정보 : 특정 정보주체에 대하여 과도하게 조회, 다운로드 등의 행위 시도
수행업무 : 대량의 개인정보에 대한 조회, 정정, 다운로드, 삭제등의 행위
  그밖에 짧은 시간에 하나의 꼐정으로 여러 지역 OR IP에서 접속한 행위 등

46. 다운로드 사유확인이 필요한 기준 책정!
다운로드 정보주체의 수
일정기간 내 다운로드 횟수
업무시간 외 다운로드 수행 등 
사유 확인이 필요한 기준을 세우고 기준 위반 발견시 사유 확인과 오남용시 개인정보 파일 회수와 파기 진행 필요

47. 접속기록의 안전한 보관·관리 방법
상시적으로 접속기록 백업을 수행하여 개인정보처리시스템 이외의 별도의 보조저장매체나 별도의 저장장치에 보관
접속기록 위변조 방지를 위해 CD-ROM,  DVD-R, WORM 등 덮어쓰기 방지매체 사용
접속기록 수정가능한 매체에 백업하는 경우 무결성보장을 위해 위변조 여부를 확인할 수 있는 정보를 별도의 장비에 보관및 관리 ( 접속기록을 HDD에 보관하고 그 정보의 MAC값 등은 별도의 HDD 또는 관리대장에 보관)

48. 보안프로그램 설치 운영시 준수사항
자동업데이트 OR 일 1회 이상 업데이트로 최신상태 유지
악성프로그램 관련 경보 발령시 즉시 업데이트  실시
  발견된 악성프로그램 등에 대해 삭제 등 대응조치

49. 관리용 단말기
개인정보처리시스템에 관리, 운영, 개발, 보안 등의 목적으로 직접 접속하는 단말기

50. 고의·과실 및 책임능력의 존재
"고의"란 위반을 알면서도 위법행위를 하는 것으로, 미필적 고의도 포함됨
"과실"이란 신의칙상 요구되는 정도의 주의를 다하지 않아 위반을 인식하지 못한 것, 즉 주의 의무를 다하지 아니함
손해배상 책임을 지기위해서는 위법 행위에 대한 고의 또는 과실은 물론 책임 능력이 있어야 함.

51. 징벌적 손해배상의 입증책임
1) 개인정보처리자의 고의 또는 중대한 과실
2) 개인정보의 분실 등 발생
3) 손해의 발생
4) 개인정보의 분실 등과 손해 발생 사이의 인과관계
5) 실손해액의 증명

52. 법정손해배상
정보주체가 개인정보의 분실 등으로 인한 구체적 손해액을 증명하지 않고, 법률에 규정된 손해액의 규정에 근거하여 손해배상을 받도록 하는 제도
1) 고의 또는 과실로 인한 개인정보의 분실
2) 300만원 이하의 범위에서 상당한 금액을 손해액으로 배상청구
3) 개인정보의 분실·도난·유출·위조·변조 또는 훼손으로 인한 손해 사이의 인과관계 존재

53. 고의 또는 과실에 대한 입증 책임의 전환
법정손해배상청구에서는 고의 또는 과실이 없다는 입증책임은 개인정보 처리자에게 있음.

54. OECD의 개인정보 8원칙 [ 수정목이 안공참책 ]
집 제한의 원칙 : 목적에 필요한 최소한의 범위안에서 적법하고, 정당하게 수집한다.
보 정확성의 원칙 : 처리 목적 범위 안에서 정확성, 완전성, 최신성을 보장한다.
적 명확화의 원칙 : 처리 목적을 명확하게 한다.
용 제한의 원칙 : 필요한 목적 범위 안에서 적법하게 처리하고, 목적이외의 활용을 금지
전성 보호의 원칙 : 정보주체의 권리 침해 위험성 등을 고려하고, 안전성을 확보한다.
개의 원칙 : 개인정보의 처리사항을 공개한다.
개인 가의 원칙 : 열람 청구권 등 정보 주체의 권리를 보장한다.
임의 원칙 : 개인 정보 처리자의 책임 준수, 실천, 신뢰성 확보에 노력한다.
※ 공개의 원칙과 개인 참가의 원칙이 주로 헷갈리니 구분 필요, "공개 = 처리자가 공개, 개인 참가 = 정보주체의 요구"

55. 개인정보 유출 통지의무
통지의무의 발생 : 유출된 개인정보 수량, 종류, 시기는 따지지 않기 때문에 단 1건의 개인정보가 유출되더라도 해당 정보주체에게 그 사실을 통지 해야하며, 유출된 개인정보의 암호화 여부로 예외해주지 않음.
통지의무 발생 시기 : 개인정보의 유출 사실을 '알게 되었을 때' 로부터 5일 이내
통지 사항 : 개인정보의 항목, 시점과 경위, 정보주체가 유출에 대응할 수 있는 방법, 개인정보처리자의 대응조치 및 피해 구제 절차, 정보주체에게 피해 발생시 신고등을 접수할 수 있는 담당부서 및 연락처

56. SAFE-HARBOR 7원칙
 

 

 
 이터무결성
 

 

=====================================================================================
1. 동의
정보주체가 개인정보의 처리에 대해 허락・승낙하겠다는 의사표시 (명시적 의사표시를 의미함)
※ (규정예시) 개인정보 수집・이용(제15조), 제3자 제공(제17조), 목적외이용 또는 제3자 제공(제18조), 민감정보 또는 고유식별정보 처리(제23조 또는 제24조) 등


2. 고지
개인정보 처리에 대한 동의를 받는 경우, 처리목적 등에 관한 사항을 동의서 등에 명시하거나 구두로 정보주체에게 알려주는 행위
※ (규정예시) 개인정보 수집・이용(제15조), 제3자 제공(제17조), 목적외이용 또는 제3자 제공(제18조), 민감정보 또는 고유식별정보 처리(제23조 또는 제24조) 등
 
3. 통지
개인정보 보호법이 정하는 일정 사항을 정보주체 개개인에게 도달되도록 알리는 행위 (서면, e-mail, 팩스, 전화, 문자전송 등)
※ 개인정보보호법에서는 “정보주체에게 알려야 한다”는 표현도 사용하고 있음
※ (규정예시) 홍보・판매권유 위탁 통지(제26조제3항), 영업양도 통지(제27조제1항), 개인정보 유출통지(제34조), 정정・삭제 및 처리정지 결과 통지(제36조, 제37조) 등
※ 수집출처 고지의무(제20조)는 ‘고지’라는 표현을 사용하고 있으나 해석상 ‘통지’에 보다 가까움
 
4. 공개
개인정보 보호법이 정하는 일정 사항을 정보주체 누구나 용이하게 열람・확인 가능한 상태로 두는 것
※ (규정예시) 처리위탁 공개(제26조제2항), 개인정보 처리방침 공개(제30조), 영상정보처리기기 운영관리방침 공개(시행령 제25조), 개인정보 보호책임자 공개(표준지침 제23조), 개인정보파일 공개(제32조) 등