APEC CBPR, 개인정보보호법 매핑

 

 

* 현행 개인정보보호법 대비 강화 규정 

* 현행 개인정보보호법 대비 완화 규정

 

APEC CBPR		개인정보보호법	ISMS-P
1.1 정책 수립	1.1.1 CBPR 근거 규정	제29조(안전조치 의무)	1.1.5(정책 수립) 1.4.1(법적 요구사항 검토)
1.2 책임자 지정	1.2.1 개인정보보호책임자 지정	제31조(개인정보보호 책임자의 지정)	1.1.2(최고책임자의 지정)
2.1 최소 수집	2.1.1. 개인정보 수집 경로	-	1.2.2(현황 및 흐름분석)
	2.1.2. 개인정보 최소 수집
	2.1.3. 합법적 수집	제3조(개인정보 보호 원칙)	3.1.1(개인정보 수집 제한)
2.2 개인정보 처리방침	2.2.1  개인정보처리방침 공개	제30조(개인정보 처리방침의 수립 및 공개)	3.5.1(개인정보 처리방침 공개)
2.3 수집 시 고지	2.3.1 수집 고지_수집항목	제15조(개인정보의 수집, 이용) 제39조의 3(개인정보의 수집, 이용 등에 대한 특례)	3.1.2(개인정보의 수집 동의)
	2.3.2 수집 고지_수집목적
	2.3.3 수집 고지_위탁/제공
	2.3.4 선택권 고지_눈에 띄게 표시	제15조(개인정보의 수집, 이용) 제17조(개인정보의 제공) 제22조(동의를 받는 방법)	3.1.2(개인정보의 수집 동의) 3.3.1(개인정보의 제3자 제공) 3.5.2(정보주체 권리보장)
	2.3.5 선택권 고지_쉽게 설명
3.1 이용	3.1.1. 목적 내 이용
	3.1.2 목적 외 이용	제18조(개인정보의 목적 외 이용, 제공 제한)	3.2.5(개인정보의 목적 외 이용 및 제공)
3.2 제공/위탁	3.2.1 제공 여부
	3.2.2 위탁 여부
	3.2.3 목적 내 제공/위탁
	3.2.4 목적 외 제공/위탁
3.3 자료 제출 요구 대응	3.3.1 자료 제출 요구 대응	제17조(개인정보의 제공) 제18조(개인정보의 목적 외 이용, 제공 제한)	3.2.5(개인정보의 목적 외 이용 및 제공) 3.3.1(개인정보 제3자 제공)
4.1 열람권	4.1.1 개인정보 보유 여부 확인권	제20조(정보주체 이외로부터 수집한 개인정보의 수집출처 등 고지) 제35조(개인정보의 열람) 제38조(권리행사의 방법 및 절차) 제39조의7(이용자의 권리 등에 대한 특례)	3.5.2(정보주체 권리보장)
	4.1.2 열람권
4.2 정정, 삭제권	4.2.1 정정,완성,삭제권
4.3 선택권	4.3.1 수집 제한	제22조(동의를 받는 방법) 제37조(개인정보의 처리정지 등) 제39조의7(이용자의 권리 등에 대한 특례)	3.1.1(개인정보 수집 제한) 3.5.2(정보주체 권리보장)
	4.3.2 이용 제한
	4.3.3 제3자 제공 제한
	4.3.4 선택권 행사
	4.3.5 선택권 조치	제37조(개인정보의 처리정지 등) 제38조(권리행사의 방법 및 절차) 제39조의 7(이용자의 권리 등에 대한 특례)	3.5.2(정보주체 권리보장)
4.4 민원제기	4.4.1 민원 처리 절차
	4.4.2 민원 처리 기한
	4.4.3 민원 처리
5.1 최신성 유지	5.1.1 최신성 검증
	5.1.2 최신화		3.2.2 (개인정보 품질보장)
5.2 최신정보 공유	5.2.1 수탁사에 통지		3.2.2 (개인정보 품질보장)
	5.2.2 제3자에 통지
	5.2.3 수탁사로부터 통지		3.2.2 (개인정보 품질보장)
6.1 보호대책 수립/이행	6.1.1 보호대책 수립
	6.1.2 보호대책 구현
	6.1.3 비례적 보호대책
	6.1.4 보호대책 이행
	6.1.5 보호대책 요구사항
6.2 보호대책 평가/개선	6.2.1 보호대책 평가
	6.2.2 보호대책 개선
6.3 수탁사의 보호대책	6.3.1 수탁사 보호체계
	6.3.2 수탁사 보호대책
	6.3.3 수탁사 보호조치 요구사항	제26조(업무위탁에 따른 개인정보 처리 제한)	2.3.1(외부자 현황관리) 2.3.2(외부자 계약 시 보안) 2.3.3(외부자 보안 이행관리) 2.3.4(외부자 계약 변경 및 만료시 보안)
	6.3.4 수탁사 관리,감독(자체점검)
	6.3.5 수탁사 관리,감독(현장점검)
6.4 제3자의 보호대책	6.4.1 제3자의 보호조치	제18조(개인정보 목적 외 이용, 제공 제한) 제19조(개인정보를 제공받은 자의 이용, 제공 제한)	3.1.1(개인정보 제3자제공)
6.5 파기	6.5.1 파기	제21조(개인정보의 파기)	3.4.1(개인정보의 파기)
6.6 임직원 인식제고	6.6.1 임직원 인식제고	제28조(개인정보취급자에 대한 감독)	2.2.3(보안서약) 2.2.4(인식제고 및 교육훈련)
	6.6.2 임직원 교육

5.1.1 최신성 검증

5.1.2 최신화

APEC CBPR 인증기준(2021, 개인정보보호위원회) p75~76

 

5.2.2 제3자에 통지

---

국내 법에서는 제3자 제공된 경우, 개인정보의 지배, 관리권이 이전되는 것을 의미한다고 '개인정보 보호 법령 및 지치 고시 해설서'에 명시되어있다. 이미 관리권이 이전된 개인정보에 대해 CBPR에서는 최선의 개인정보보호 및 처리를 위해 자발적 책임성이 요구된다고 하고 있어 CBPR 취득기관에서는 '최신화'를 위하여 제3자 업체에 통지하는 것이 목적 내 제공으로 판단해야하는지, 위법소지는 없는지 모호한 현실이다.

---

APEC CBPR 인증기준(2021, 개인정보보호위원회) p79

개인정보보호 법령 및 지침 고시 해설(2020.12_개인정보보호위원회 p106)

 

 

5.2.3 수탁사로부터 통지

APEC CBPR 인증기준(2021, 개인정보보호위원회) p78

 

6.2.1 보호대책 평가

6.2.2 보호대책 개선

APEC CBPR 인증기준(2021, 개인정보보호위원회) p87

 

6.4.1 제3자의 보호조치

APEC CBPR 인증기준(2021, 개인정보보호위원회) p94