OECD 가이드라인

■ OECD 가이드라인

  - 경제협력기구인 OECD에서는 국가 간 경제협력을 위한 기반의 하나로, 개인정보 보안과 관련한 사항에 대한 기준을 권고하고 있다

  - 대한민국의 모든 법안과 법령도 이에 준하여 제정되고 있다

 

■ OECD 개인정보 보안 8원칙

  ① 수집 제한의 법칙 (Collection Limitation Principle) : 개인정보는 적법하고 공정한 방법을 통해 수집되어야 한다

  ② 정보 정확성의 원칙 (Data Quality Principle) : 이용 목적상 필요한 범위 내에서 개인정보의 정확성, 완전성, 최신성이 확보되어야 한다

  ③ 목적 명시의 원칙 (Purpose Specification Principle) : 개인정보는 수집 과정에서 수집 목적을 명시하고, 명시된 목적에 적합하게 이용되어야 한다

  ④ 이용 제한의 원칙 (Use Limitation Principle) : 정보 주체의 동의가 있거나, 법규정이 있는 경우를 제외하고 목적 외 이용되거나 공개될 수 없다

  ⑤ 안전성 확보의 원칙 (Security Safeguard Principle) : 개인정보의 침해, 누설, 도용 등을 방지하기 위한 물리적, 조직적, 기술적 안전 조치를 확보해야 한다

  ⑥ 공개의 원칙 (Openness Principle) : 개인정보의 처리 및 보호를 위한 정책 및 관리자에 대한 정보는 공개되어야 한다

  ⑦ 개인 참가의 원칙 (Individual Participation Principle) : 정보 주체의 개인정보 열람/정정/삭제 청구권은 보장되어야 한다

  ⑧ 책임의 원칙 (Accountability Principle) : 개인정보 관리자에게 원칙 준수 의무 및 책임을 부과해야 한다

 

■ 정보시스템과 네트워크의 보호를 위한 OECD 가이드라인 (2002)

 ① 인식 (Awareness)

   - 참여자들은 정보시스템과 네트워크 보안의 필요성과 그 안전성을 향상하기 위하여 할 수 있는 사항을 알고 있어야 한다

 ② 책임 (Responsibility)

   - 모든 참여자들은 정보시스템 및 네트워크 보호에 책임이 있다

 ③ 대응 (Response)

   - 참여자들은 보안 사고를 예방하거나 탐지하고 대응하는 데 있어서 시기적절하고 협조적인 방법으로 행동해야 한다

 ④ 윤리 (Ethics)

   - 참여자들은 타인의 정당한 이해관계를 존중해야 한다

 ⑤ 민주주의 (Democracy)

   - 정보시스템과 네트워크의 보안은 민주사회의 기본가치에 부합해야 한다

 ⑥ 위험분석 (Risk Assessment)

   - 참여자들은 위험분석을 수행해야 한다

 ⑦ 보안설계 및 시행 (Security Design and Implementation)

   - 참여자들은 보안을 정보시스템 및 네트워크의 핵심요소로 수용해야 한다

 ⑧ 보안관리 (Security Management)

   - 참여자들은 보안관리를 위한 종합적인 접근 방식을 채택해야 한다

 ⑨ 재평가 (Reassessment)

   - 참여자들은 정보시스템 및 네트워크의 보안을 검토하고 재평가하여 보안에 관한 정책, 관행, 수단, 절차에 대해 적정한 수정을 해야 한다