OECD 정보보호 가이드라인, OECD 개인정보 보호 8원칙

▶ OECD 정보보호 가이드라인

정보시스템과 네트워크의 보호를 위한 OECD 가이드라인(2002)에서 제시한 원리

 

 

<가이드라인의 9대 원칙>

① 인식(Awareness)

참여자들은 정보시스템 및 네트워크의 보안 필요성과 보안을 강화하기 위해 자신이 할 수 있는 일이 무엇인지 인식하고 있어야 함

② 책임(Responsibility)

모든 참여자들은 정보시스템 및 네트워크의 보안에 대해 책임을 짐

③ 대응(Response)

참여자들은 보안사고를 예방하거나 탐지하고 대응하는데 있어서 시기 적절하고 협조적인 방법으로 행동하여야 함

④ 윤리(Ethics)

참여자들은 타인의 정당한 이해관계를 존중해야 함

⑤ 민주주의(Democracy)

정보시스템과 네트워크의 보안은 민주사회의 기본가치에 걸맞아야 함

⑥ 위험분석(Risk assessment)

참여자들은 위험분석을 수행해야 함

⑦ 보안설계 및 시행(Security design and implementation)

참여자들은 보안을 정보시스템 및 네트워크의 필수적인 요소로 포함시켜야 함

⑧ 보안관리(Security management)

참여자들은 보안관리를 위한 종합적인 접근방식을 채택 해야 함

⑨ 재평가(Reassessment)

참여자들은 정보시스템 및 네트워크의 보안을 검토하고 재평가하여 보안에 관한 정책, 관행, 수단, 절차에 대해 적정한 수정을 하여야 함

 

 

▶  OECD 개인정보 보호 8원칙

1. 수집제한의 원칙(Collection Limitation Principle)

개인정보의 수집은 합법적이고 공정한 절차에 의하여 가능한 한 정보주체에게 알리거나 동의를 얻은 후에 수집되어야 한다.

2. 정보 정확성의 원칙(Data Quality Principle)

개인정보는 그 이용 목적에 부합하는 것이어야 하고, 이용 목적에 필요한 범위 내에서 정확하고 완전하며 최신의 상태로 유지해야 한다.

3. 목적의 명확화 원칙(Purpose Specification Principle)

개인정보는 수집 시 목적이 명확해야 하며, 이를 이용할 경우에도 수집 목적의 실현 또는 수집 목적과 양립되어야 하고 목적이 변경될 때마다 명확히 해야 한다.

4. 이용제한의 원칙(Use Limitation Principle)

개인정보는 정보주체의 동의가 있는 경우나 법률의 규정에 의한 경우를 제외하고는 명확화된 목적 이외의 용도로 공개되거나 이용되어서는 안 된다.

5. 안전성 확보의 원칙(Security Safeguards Principle)

개인정보의 분실, 불법적인 접근, 훼손, 사용, 변조, 공개 등의 위험에 대비하여 합리적인 안전보호장치를 마련해야 한다.

6. 공개의 원칙(Openness Principle)

개인정보의 처리와 정보처리장치의 설치, 활용 및 관련 정책은 일반에게 공개해야 한다.

7. 개인 참가의 원칙(Individual Participation Principle)

정보주체인 개인은 자신과 관련된 정보의 존재 확인, 열람 요구, 이의 제기 및 정정, 삭제, 보완 청구권을 가진다.

8. 책임의 원칙(Accountability Principle)

개인정보 관리자는 위에서 제시한 원칙들이 지켜지도록 필요한 제반조치를 취해야 한다.