회사가 온라인 쇼핑몰 업체다보니 개인정보 위탁 업체가 여럿 있습니다
그러다보니 위탁 업체에 대한 개인정보 관리/감독이 필요한데,
회사에 수행 인력이 정보보호담당자+개인정보보호담당자(겸임)인 저 혼자라서...실제로는 관리가 전혀 되지 않고 있는 실정입니다.
매번 보고서는 위-수탁사 자체 관리, 자체 교육으로만 진행했지만 (물론 보고서도 가라 보고서 입니다..),
KISA에서 '개인정보보호 의무조치 실태점검서' 제출하라해서 작성하고 제출했더니
역시 이 부분에 대해서 지적사항이 나왔습니다
당장 다음달엔 ISMS 심사가 있기 때문에 올해까지는 직접 나갈 수 없기에 올해도 역시 가라 보고서로 만들고
내년부터 실사 나가서 인터뷰를 할 예정입니다. (올해는 코로나라는 변명거리가 있네요)
한가지 문제는 개인정보 위탁으로 개발이나 운영 업무로 계약된 업체야 쉽지만,
온라인 쇼핑몰이다보니 '통합택배' 로 계약된 업체가 문제입니다.
대한통운, 한진택배, 우체국택배, 롯데택배, 로젠택배 등... 이 업체들 중 한 곳과 계약이 되어있습니다
(회사 정보이기 때문에 콕 찝어 말씀 못드리네요)
택배다보니 고객의 이름, 전화번호, 주소 등 개인정보가 부착되서 나가기 때문에 제일 중요한데,
이런 택배사의 경우 '어디로' 가서 관리/감독을 해야하는지 난감합니다.
이걸 물류가 모이는 허브(옥천HUB 같은)로 가야하는건지...
택배사에 대한 개인정보 위탁 관리/감독/교육은 어떻게 실사 나가는지 궁금합니다.
5개의 답변이 있습니다.
와, 혹시 저희 회사 직원 아니에요?
우리와 상당히 비슷한 환경 과 고민을 하시네요.
실사까지는 나갈 필요는 없을 것 같습니다.
그쪽 회사에서도 개인정보 관련 의무 교육을 진행 하고 있을거고 점검을 하고 있을겁니다. 그 증빙을 전달 받으시면 되지 않을까요?
혹시 영세 업체여서 그런것들이 진행되지 않는다고하면 교육자료 보내주고 교육 권고 하시고 (교육을 실행 했는지 않았는지는 그쪽 업체 사정이고), 보안 점검 같은경우 체크리스트 같은거 만들어서 이런것들 점검 되었냐? (백신 설치, 패치 설치, 방화벽 구축 등) 체크리스트에 작성 요청 (1년에 1~2회) 증빙 달라고 하면 될 것 같습니다.
혼자 업무 하시는데 실사까지 하면 업무 못합니다. 안그래도 일 엄청 많을텐데...
너무 공감이 가네요. 나중에 이런저런 정보 공유 했으면 좋겠습니다.
파이어inthewall | 3년 이상 전
실효성이 있는 점검인지는 모르겠지만...
저는 년 1회마다 연초에 제가 만든 체크리스트 수탁사에게 보내주고 담당자 서명 받아서 보관하고 있습니다.
체크리스트 + 요청공문 해서 보내고 있구요. 아무것도 안하는것보다 이렇게 증빙자료라도 있으면나중에 도움이 되지 않을까 합니다... ㅎㅎ
안녕하세요 저와 같은 업무를 하시는 분이 계시네요. ^_^
쇼핑몰 + 정보보호담당자 + 개인정보보호담당자 + ISMS 인증
저희는 isms 항목만 심사를 받아서 수탁사 점검은 크게 신경을 쓰지 않고 있습니다. 현장방문도 어려울 뿐더러 슈퍼을에게 대항할 지식도 마땅히 없어서 ㅜㅜ
쇼핑몰에서 업무를 혼자 하고 계시다면 중소기업일 확률이 크겠군요. 택배사 현장 점검은 택배회사의 ISMS-P 인증서로 대체해도 되지 않을까요?
본문에 나온 대부분의 물류업체들이 ISMS-P 인증심사를 수행하고 유지 중인걸로 나오네요.
2020년도 인증서 발급현황: https://isms.kisa.or.kr/main/ispims/issue/?certificationMode=list
수탁사 점검 면제 뉴스: https://www.edaily.co.kr/news/read?newsId=01600646625961456&mediaCodeNo=257
뉴스와 관련해서 KISA에 문의하여 정확히 언제 적용되는건지, 아직 논의중인건지 확인하려고 문의도 넣어놨습니다. 답변이 오래걸리겠지만 받게되면 공유해드릴게요,
한그루 | 3년 이상 전
와~ 저도~ ㅎㅎㅎ
모임이라도 하나 만들어야하나... ㅎㅎㅎ
ISMS 심사를 받지 않다 보니...
엄격하게 서류를 준비하거나 하지는 않고 있네요.
단지, 위/수탁 계약서와 해당 업체들에서 매년 보내 오는 교육 수료증 자료만 챙기고 있고요.
제대로 관리 감독하려면 불시에 직접 방문해서 관련 서류들을 확인하거나,
정기적으로 근거 서류들을 보내달라해서 확인해야 할 것 같아 보이고...
근거 서류들은
신규 계약시, 업무 시작전에 개인 정보 보호 교육 시행 여부에 대한 서류,
교육 자료, 교육 방법( 온라인, 집체 교육, 자체 교육 등), 출석 여부에 대한 서류,...
가 있을 것 같고...
교육 효과, 적정성 평가의 증적 여부, 차년도 교육 계획에 반영된 전년도 교육에 대한 점검을 해 봐야 하지 않을까 싶네요~
한그루 | 3년 이상 전
부럽습니다.
저의 소망이 하나 있다면 다음에 이직하게 되면 ISMS-P 심사 대상이 아닌 회사로 이직하는 겁니다.
택배는 위탁보다는 제3자 제공으로 안하나요?
옥션이나 11번가에서 제3자 제공동의 받는 것으로 기억합니다
제3자 제공이면 개인정보 주체에게 3자 제공동의를 받고 넘겨주시면 됩니다
관리 및 교육은 해당업체에서 책임으로 알고 있습니다
위탁은 보통 교육받은 수료증과 보안서약서 정도 받는 것을 봤습니다
redhairadol | 3년 이상 전
옥션이랑 11번가 개인정보 처리방침 봤는데
택배업체는 위탁으로 되어있더군요...
거대업체라 역시 리스트가 너무 길어서 보는데 눈 뽑히는줄 알았네요
혹시나해서 G마켓도 봤는데 역시나 거기도 위탁
한그루 | 3년 이상 전
3자제공 과 위탁의 차이점이 궁금하네요. 좀 찾아봐야겠어요.
한그루 | 3년 이상 전
3자 제공은 : 제공 받는 업체의 업무 (이득) 을 위해 제공 하는 것
위탁은 : 제공 하는 업체의 업무 (이득)을 위해 제공 하는 것 이군요.
택배가 조금 애매하긴 하네요.
택배 활동은 택배사의 이득을 위한 업무 이기도 하지만 제공하는 회사의 업무를 위한 위탁 이기도하구요...
조금 더 공부를 해봐야 겠네요.