개인정보 내부관리계획 수립 방법 — 중소기업 필수 문서 작성 가이드

개인정보 처리방침은 외부에 공개하는 문서입니다. 반면 내부관리계획은 기업 내부에서 개인정보를 어떻게 관리할지 정한 내부 규정입니다. 두 문서 모두 개인정보보호법상 의무이지만, 내부관리계획을 빠뜨리는 기업이 훨씬 많습니다.

내부관리계획이란?

개인정보보호법 제29조 및 시행령 제30조에 따라 개인정보처리자는 개인정보의 안전한 처리를 위한 내부관리계획을 수립·시행해야 합니다.

처리방침 vs 내부관리계획 차이

| 구분 | 개인정보 처리방침 | 내부관리계획 | |------|---------------|------------| | 성격 | 외부 공개 문서 | 내부 관리 문서 | | 대상 | 정보주체(고객) | 임직원 | | 내용 | 수집·이용·제공 방법 | 보안 조치·관리 절차 | | 공개 여부 | 홈페이지 공개 필수 | 비공개 (내부 보관) | | 법적 근거 | 제30조 | 제29조, 시행령 제30조 |

의무 대상

개인정보를 처리하는 모든 기업이 대상입니다. 직원 수나 매출 규모와 무관합니다.

1인 사업자도 이메일 뉴스레터 구독자 DB가 있다면 내부관리계획을 수립해야 합니다.

내부관리계획 필수 기재 항목 (시행령 제30조)

1. 개인정보 보호책임자 지정

개인정보 보호책임자: [이름]
직책: [직책]
연락처: [이메일/전화]
지정일: [날짜]

개인정보 보호책임자(CPO)는 개인정보보호법 제31조에 따라 별도로 지정해야 합니다. 소기업은 대표이사가 겸임 가능합니다.

2. 개인정보 취급 직원의 범위와 교육

개인정보 취급 직원 목록:
- [부서명] [직책] [이름]
- ...

교육 계획:
- 교육 주기: 연 1회 이상
- 교육 내용: 개인정보보호법 기본 교육, 위반 사례 학습
- 교육 기록 보관: 3년

3. 개인정보의 기술적·관리적 보호 조치

접근 통제

개인정보 DB 접근 권한 부여 기준
퇴직자 즉시 접근 권한 회수 절차
비밀번호 관리 정책 (최소 8자, 분기별 변경 등)

암호화

저장 시 암호화 대상: 비밀번호, 주민등록번호, 계좌번호, 신용카드번호
전송 시 암호화: HTTPS 적용 여부

접속 기록 관리

개인정보 처리 시스템 접속 기록 보관 (최소 6개월)
이상 접속 모니터링 방법

보안 프로그램 운용

악성 프로그램 방지 소프트웨어 설치·운영 여부

4. 개인정보 처리 현황

처리하는 개인정보의 종류, 보유 기간, 이용 목적을 내부 문서로 정리합니다.

개인정보 처리 현황표:
| 처리 목적 | 수집 항목 | 보유 기간 | 시스템명 |
|---------|---------|--------|--------|
| 회원 가입 | 이름, 이메일, 전화번호 | 탈퇴 후 즉시 | 회원 DB |
| 주문 처리 | 이름, 주소, 결제 정보 | 5년 (전자상거래법) | 주문 DB |

5. 개인정보 유출 사고 대응 절차

유출 사고 대응 절차:
1. 발견 즉시 → 개인정보 보호책임자에게 보고
2. 2시간 이내 → 유출 범위 파악 착수
3. 24시간 이내 → 대응팀 소집, 차단 조치
4. 72시간 이내 → PIPC 신고 (개인정보보호위원회)
5. 신고 완료 후 → 피해 정보주체 개별 통지

6. 처리 위탁 현황

외부 업체에 개인정보 처리를 위탁하는 경우 위탁 현황을 내부 관리 문서로 유지합니다.

처리 위탁 현황:
| 수탁사 | 위탁 업무 | 계약일 | 계약 만료일 | DPA 체결 |
|--------|---------|-------|-----------|--------|
| AWS | 서버 인프라 | 2025.01.01 | 계속 | 완료 |
| Stibee | 이메일 마케팅 | 2025.03.01 | 2026.03.01 | 완료 |

중소기업용 내부관리계획 템플릿

소규모 기업에서 바로 사용할 수 있는 간소화된 템플릿:

[회사명] 개인정보 내부관리계획

제정일: YYYY-MM-DD
개정일: YYYY-MM-DD
버전: 1.0

1. 목적
본 계획은 [회사명]이 처리하는 개인정보의 안전한 관리를 위해
필요한 사항을 정함을 목적으로 한다.

2. 적용 범위
[회사명]의 전 임직원 및 개인정보 처리 업무 수탁자

3. 개인정보 보호책임자
성명: [이름]  직책: [직책]  연락처: [이메일]

4. 개인정보 취급 직원
[부서/성명 목록]

5. 교육 계획
- 연 1회 이상 전 직원 개인정보 교육 실시
- 신규 입사자 30일 이내 교육

6. 기술적·관리적 보호 조치
- 접근 권한: 업무 필요 최소 인원에게만 부여
- 암호화: 개인정보 DB 암호화, HTTPS 적용
- 접속 기록: 6개월 이상 보관
- 보안 소프트웨어: [제품명] 설치 운영

7. 유출 사고 대응
- 발견 즉시 보호책임자 보고
- 72시간 이내 PIPC 신고

8. 검토·갱신
- 연 1회 이상 검토, 법령 변경 시 즉시 개정

갱신 주기와 보관

갱신해야 하는 경우

연 1회: 정기 검토 및 교육 계획 업데이트
법령 개정 시: 개정 내용 반영 즉시
조직 변경 시: 보호책임자 또는 취급 직원 변경
시스템 변경 시: 신규 개인정보 수집 항목 추가 시

보관 방법

버전 관리 필수 (제정일, 개정일, 버전 명시)
보관 기간: 최소 3년 (전 버전 포함)
보관 위치: 내부 문서 시스템 또는 사내 서버 (외부 공개 불필요)

내부관리계획 미수립 시 처분

| 위반 내용 | 처분 | |---------|-----| | 내부관리계획 미수립 | 과태료 최대 1,000만 원 | | 내부관리계획 미시행 | 시정명령 + 과태료 | | 기록 미보관 | 과태료 500만 원 |

PIPC 현장 조사 시 내부관리계획 제출을 요구합니다. 파일이 없으면 미수립으로 간주합니다.

PipaGuard로 내부관리계획 점검

PipaGuard 무료 진단에서 내부관리계획 필수 항목 충족 여부를 점검할 수 있습니다.

무료 PIPA 진단 →

내부관리계획이란?

개인정보보호법 제29조 및 시행령 제30조에 따라 개인정보처리자는 개인정보의 안전한 처리를 위한 내부관리계획을 수립·시행해야 합니다.

처리방침 vs 내부관리계획 차이

의무 대상

개인정보를 처리하는 모든 기업이 대상입니다. 직원 수나 매출 규모와 무관합니다.

1인 사업자도 이메일 뉴스레터 구독자 DB가 있다면 내부관리계획을 수립해야 합니다.

내부관리계획 필수 기재 항목 (시행령 제30조)

1. 개인정보 보호책임자 지정

개인정보 보호책임자: [이름]
직책: [직책]
연락처: [이메일/전화]
지정일: [날짜]

개인정보 보호책임자(CPO)는 개인정보보호법 제31조에 따라 별도로 지정해야 합니다. 소기업은 대표이사가 겸임 가능합니다.

2. 개인정보 취급 직원의 범위와 교육

개인정보 취급 직원 목록:
- [부서명] [직책] [이름]
- ...

교육 계획:
- 교육 주기: 연 1회 이상
- 교육 내용: 개인정보보호법 기본 교육, 위반 사례 학습
- 교육 기록 보관: 3년

3. 개인정보의 기술적·관리적 보호 조치

접근 통제

개인정보 DB 접근 권한 부여 기준
퇴직자 즉시 접근 권한 회수 절차
비밀번호 관리 정책 (최소 8자, 분기별 변경 등)

암호화

저장 시 암호화 대상: 비밀번호, 주민등록번호, 계좌번호, 신용카드번호
전송 시 암호화: HTTPS 적용 여부

접속 기록 관리

개인정보 처리 시스템 접속 기록 보관 (최소 6개월)
이상 접속 모니터링 방법

보안 프로그램 운용

악성 프로그램 방지 소프트웨어 설치·운영 여부

4. 개인정보 처리 현황

처리하는 개인정보의 종류, 보유 기간, 이용 목적을 내부 문서로 정리합니다.

개인정보 처리 현황표:
| 처리 목적 | 수집 항목 | 보유 기간 | 시스템명 |
|---------|---------|--------|--------|
| 회원 가입 | 이름, 이메일, 전화번호 | 탈퇴 후 즉시 | 회원 DB |
| 주문 처리 | 이름, 주소, 결제 정보 | 5년 (전자상거래법) | 주문 DB |

5. 개인정보 유출 사고 대응 절차

유출 사고 대응 절차:
1. 발견 즉시 → 개인정보 보호책임자에게 보고
2. 2시간 이내 → 유출 범위 파악 착수
3. 24시간 이내 → 대응팀 소집, 차단 조치
4. 72시간 이내 → PIPC 신고 (개인정보보호위원회)
5. 신고 완료 후 → 피해 정보주체 개별 통지

6. 처리 위탁 현황

외부 업체에 개인정보 처리를 위탁하는 경우 위탁 현황을 내부 관리 문서로 유지합니다.

처리 위탁 현황:
| 수탁사 | 위탁 업무 | 계약일 | 계약 만료일 | DPA 체결 |
|--------|---------|-------|-----------|--------|
| AWS | 서버 인프라 | 2025.01.01 | 계속 | 완료 |
| Stibee | 이메일 마케팅 | 2025.03.01 | 2026.03.01 | 완료 |

중소기업용 내부관리계획 템플릿

소규모 기업에서 바로 사용할 수 있는 간소화된 템플릿:

[회사명] 개인정보 내부관리계획

제정일: YYYY-MM-DD
개정일: YYYY-MM-DD
버전: 1.0

1. 목적
본 계획은 [회사명]이 처리하는 개인정보의 안전한 관리를 위해
필요한 사항을 정함을 목적으로 한다.

2. 적용 범위
[회사명]의 전 임직원 및 개인정보 처리 업무 수탁자

3. 개인정보 보호책임자
성명: [이름]  직책: [직책]  연락처: [이메일]

4. 개인정보 취급 직원
[부서/성명 목록]

5. 교육 계획
- 연 1회 이상 전 직원 개인정보 교육 실시
- 신규 입사자 30일 이내 교육

6. 기술적·관리적 보호 조치
- 접근 권한: 업무 필요 최소 인원에게만 부여
- 암호화: 개인정보 DB 암호화, HTTPS 적용
- 접속 기록: 6개월 이상 보관
- 보안 소프트웨어: [제품명] 설치 운영

7. 유출 사고 대응
- 발견 즉시 보호책임자 보고
- 72시간 이내 PIPC 신고

8. 검토·갱신
- 연 1회 이상 검토, 법령 변경 시 즉시 개정

갱신 주기와 보관

갱신해야 하는 경우

연 1회: 정기 검토 및 교육 계획 업데이트
법령 개정 시: 개정 내용 반영 즉시
조직 변경 시: 보호책임자 또는 취급 직원 변경
시스템 변경 시: 신규 개인정보 수집 항목 추가 시

보관 방법

버전 관리 필수 (제정일, 개정일, 버전 명시)
보관 기간: 최소 3년 (전 버전 포함)
보관 위치: 내부 문서 시스템 또는 사내 서버 (외부 공개 불필요)

내부관리계획 미수립 시 처분

PIPC 현장 조사 시 내부관리계획 제출을 요구합니다. 파일이 없으면 미수립으로 간주합니다.

PipaGuard로 내부관리계획 점검

PipaGuard 무료 진단에서 내부관리계획 필수 항목 충족 여부를 점검할 수 있습니다.

무료 PIPA 진단 →

개인정보 내부관리계획 수립 방법 — 중소기업 필수 문서 작성 가이드

내부관리계획이란?

의무 대상

내부관리계획 필수 기재 항목 (시행령 제30조)

1. 개인정보 보호책임자 지정

2. 개인정보 취급 직원의 범위와 교육

3. 개인정보의 기술적·관리적 보호 조치

4. 개인정보 처리 현황

5. 개인정보 유출 사고 대응 절차

6. 처리 위탁 현황

중소기업용 내부관리계획 템플릿

갱신 주기와 보관

갱신해야 하는 경우

보관 방법

내부관리계획 미수립 시 처분

PipaGuard로 내부관리계획 점검

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

개인정보 내부관리계획 수립 방법 — 중소기업 필수 문서 작성 가이드

내부관리계획이란?

의무 대상

내부관리계획 필수 기재 항목 (시행령 제30조)

1. 개인정보 보호책임자 지정

2. 개인정보 취급 직원의 범위와 교육

3. 개인정보의 기술적·관리적 보호 조치

4. 개인정보 처리 현황

5. 개인정보 유출 사고 대응 절차

6. 처리 위탁 현황

중소기업용 내부관리계획 템플릿

갱신 주기와 보관

갱신해야 하는 경우

보관 방법

내부관리계획 미수립 시 처분

PipaGuard로 내부관리계획 점검

지금 바로 PIPA 컴플라이언스 점검하기

관련 글