개인정보 내부관리계획 작성 가이드: 의무 대상·필수 항목·템플릿

개인정보 내부관리계획은 개인정보보호법 제29조 및 개인정보의 안전성 확보조치 기준 고시에 따라 일정 규모 이상의 개인정보처리자가 반드시 수립해야 하는 문서입니다. 실무에서 가장 많이 빠뜨리는 의무 중 하나이며, 개보위 점검 시 미비 시 과태료 부과 대상이 됩니다.

내부관리계획 수립 의무 대상

의무 대상 기준 (안전성 확보조치 기준 고시)

| 구분 | 기준 | 주요 의무 | |------|------|----------| | 소규모 처리자 | 1만 명 미만 | 내부관리계획 수립 의무 없음 | | 일반 처리자 | 1만 명 이상 | 내부관리계획 수립·시행 | | 중규모 처리자 | 10만 명 이상 | 내부관리계획 + 추가 보안 조치 | | 대규모 처리자 | 100만 명 이상 | 내부관리계획 + 강화 보안 조치 |

"1만 명"은 전체 보유 정보주체 수 기준입니다. 회원 수, 구매 이력 보유 고객 수 등을 합산하여 산정합니다.

민감정보·고유식별정보(주민번호 등)를 처리하는 경우: 규모에 관계없이 내부관리계획 수립 의무가 발생합니다.

내부관리계획 필수 포함 항목 (고시 제4조)

1. 개인정보 보호책임자(CPO) 지정

1. 개인정보 보호책임자

지정: [이름], [직책]
연락처: [이메일], [전화번호]
담당 업무:
  - 개인정보 처리 방침 수립·시행 관리
  - 개인정보 처리 현황 점검 및 감독
  - 개인정보 침해 신고·신청 접수 처리
  - 직원 교육 총괄

2. 개인정보 처리 부서 및 담당자

부서별 처리 현황과 각 담당자를 지정합니다.

2. 개인정보 취급자 현황

마케팅팀: 고객 연락처, 구매 이력 → 담당: [이름]
개발팀: 회원 DB 접근 → 담당: [이름]
고객지원팀: 문의 이력, 결제 정보 → 담당: [이름]

3. 교육 계획

3. 개인정보 보호 교육 계획

정기 교육: 연 1회 이상 (전 직원 대상)
  - 교육 시간: 2시간 이상
  - 교육 내용: 개인정보 처리 원칙, 유출 예방, 권리 행사 대응

신입 교육: 입사 후 1개월 이내
특별 교육: 대규모 유출 사고 발생 시 즉시

4. 접근 권한 관리

4. 개인정보 시스템 접근 권한 관리

부여 원칙: 업무 수행에 필요한 최소 권한만 부여
부여 절차: 부서장 승인 → IT팀 권한 설정
변경: 직무 변경 시 즉시 갱신
말소: 퇴직·계약 종료 시 즉시 말소 (퇴직 당일)

권한 검토: 분기 1회 접근 권한 현황 검토

5. 접근 통제

5. 개인정보 처리 시스템 접근 통제

외부 접근: VPN 또는 허가된 IP만 접근 허용
비밀번호 정책:
  - 최소 8자 이상, 영문+숫자+특수문자 조합
  - 90일마다 변경
  - 타인과 공유 금지
세션 관리: 30분 미사용 시 자동 로그아웃

6. 개인정보 암호화

6. 개인정보 암호화

저장 암호화:
  - 주민등록번호, 비밀번호, 계좌번호: 일방향 해시 또는 AES-256 암호화
  - 신용카드 번호: 저장 금지 (PG사 처리)

전송 암호화:
  - 웹사이트: HTTPS(TLS 1.2 이상) 적용
  - 내부 전송: 암호화된 채널 사용

7. 접속 기록 보관 및 점검

7. 개인정보 처리 시스템 접속 기록

보관 기간: 6개월 이상 (대규모 처리자: 1년 이상)
보관 항목: 접속 계정, 접속 시간, 처리 내용
점검 주기: 월 1회 이상 이상 접속 여부 확인
담당자: [이름]

8. 악성 프로그램 방지

8. 악성 프로그램 예방

백신 프로그램: [사용 소프트웨어명] — 자동 업데이트 설정
운영체제 패치: 보안 패치 발표 후 30일 이내 적용
다운로드 제한: 미승인 소프트웨어 설치 금지

9. 물리적 보안 (해당 시)

9. 물리적 보안 조치

출입 통제: 서버실 출입 권한자 제한 및 기록 유지
문서 보안: 개인정보 포함 서류 잠금 보관
파기: 종이 서류 — 파쇄기 / 전자 파일 — 복구 불가 삭제

10. 위탁 관리

10. 개인정보 처리 위탁 관리

수탁자 현황: [처리방침 수탁자 목록과 동일]
관리 방법:
  - 계약 시 위탁 계약서 DPA 체결
  - 연 1회 이상 수탁자 관리 실태 확인
  - 수탁자 변경 시 처리방침 즉시 업데이트

중소기업 간소화 버전 구성

10명 미만 소기업의 경우 다음 4개 항목으로 간소화된 버전을 작성할 수 있습니다.

[간소화 내부관리계획]

1. 개인정보 보호책임자: [이름/직책]
2. 교육: 연 1회, [월]에 실시
3. 접근 권한: 담당자 [이름]만 개인정보 DB 접근
4. 비밀번호 정책: 90일마다 변경

내부관리계획 수립 후 해야 할 것

1. 문서화 및 보관

대표이사 또는 CPO 서명 날인
버전 관리 (개정 이력 기록)
최소 3년 이상 보관

2. 직원 배포 및 교육

전 직원에게 배포 (이메일, 사내 포털)
교육 실시 및 기록 보관

3. 연간 검토 및 개정

연 1회 이상 현황 점검 후 개정
법 개정, 조직 변경 시 즉시 개정

개보위 점검 시 내부관리계획 제출

개보위 현장 조사 시 내부관리계획 제출을 요구합니다.

제출 불가 또는 미비 시:

300만 원 이하 과태료 부과 가능 (개인정보보호법 제75조)
전반적 컴플라이언스 미비로 추가 조사 확대

PIPAGuard로 내부관리계획 이행 여부 점검하기

처리방침 수탁자 기재, 접근 권한 정책 공개 여부, CPO 지정 현황을 자동으로 점검할 수 있습니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

내부관리계획 수립 의무 대상

의무 대상 기준 (안전성 확보조치 기준 고시)

"1만 명"은 전체 보유 정보주체 수 기준입니다. 회원 수, 구매 이력 보유 고객 수 등을 합산하여 산정합니다.

민감정보·고유식별정보(주민번호 등)를 처리하는 경우: 규모에 관계없이 내부관리계획 수립 의무가 발생합니다.

내부관리계획 필수 포함 항목 (고시 제4조)

1. 개인정보 보호책임자(CPO) 지정

1. 개인정보 보호책임자

지정: [이름], [직책]
연락처: [이메일], [전화번호]
담당 업무:
  - 개인정보 처리 방침 수립·시행 관리
  - 개인정보 처리 현황 점검 및 감독
  - 개인정보 침해 신고·신청 접수 처리
  - 직원 교육 총괄

2. 개인정보 처리 부서 및 담당자

부서별 처리 현황과 각 담당자를 지정합니다.

2. 개인정보 취급자 현황

마케팅팀: 고객 연락처, 구매 이력 → 담당: [이름]
개발팀: 회원 DB 접근 → 담당: [이름]
고객지원팀: 문의 이력, 결제 정보 → 담당: [이름]

3. 교육 계획

3. 개인정보 보호 교육 계획

정기 교육: 연 1회 이상 (전 직원 대상)
  - 교육 시간: 2시간 이상
  - 교육 내용: 개인정보 처리 원칙, 유출 예방, 권리 행사 대응

신입 교육: 입사 후 1개월 이내
특별 교육: 대규모 유출 사고 발생 시 즉시

4. 접근 권한 관리

4. 개인정보 시스템 접근 권한 관리

부여 원칙: 업무 수행에 필요한 최소 권한만 부여
부여 절차: 부서장 승인 → IT팀 권한 설정
변경: 직무 변경 시 즉시 갱신
말소: 퇴직·계약 종료 시 즉시 말소 (퇴직 당일)

권한 검토: 분기 1회 접근 권한 현황 검토

5. 접근 통제

5. 개인정보 처리 시스템 접근 통제

외부 접근: VPN 또는 허가된 IP만 접근 허용
비밀번호 정책:
  - 최소 8자 이상, 영문+숫자+특수문자 조합
  - 90일마다 변경
  - 타인과 공유 금지
세션 관리: 30분 미사용 시 자동 로그아웃

6. 개인정보 암호화

6. 개인정보 암호화

저장 암호화:
  - 주민등록번호, 비밀번호, 계좌번호: 일방향 해시 또는 AES-256 암호화
  - 신용카드 번호: 저장 금지 (PG사 처리)

전송 암호화:
  - 웹사이트: HTTPS(TLS 1.2 이상) 적용
  - 내부 전송: 암호화된 채널 사용

7. 접속 기록 보관 및 점검

7. 개인정보 처리 시스템 접속 기록

보관 기간: 6개월 이상 (대규모 처리자: 1년 이상)
보관 항목: 접속 계정, 접속 시간, 처리 내용
점검 주기: 월 1회 이상 이상 접속 여부 확인
담당자: [이름]

8. 악성 프로그램 방지

8. 악성 프로그램 예방

백신 프로그램: [사용 소프트웨어명] — 자동 업데이트 설정
운영체제 패치: 보안 패치 발표 후 30일 이내 적용
다운로드 제한: 미승인 소프트웨어 설치 금지

9. 물리적 보안 (해당 시)

9. 물리적 보안 조치

출입 통제: 서버실 출입 권한자 제한 및 기록 유지
문서 보안: 개인정보 포함 서류 잠금 보관
파기: 종이 서류 — 파쇄기 / 전자 파일 — 복구 불가 삭제

10. 위탁 관리

10. 개인정보 처리 위탁 관리

수탁자 현황: [처리방침 수탁자 목록과 동일]
관리 방법:
  - 계약 시 위탁 계약서 DPA 체결
  - 연 1회 이상 수탁자 관리 실태 확인
  - 수탁자 변경 시 처리방침 즉시 업데이트

중소기업 간소화 버전 구성

10명 미만 소기업의 경우 다음 4개 항목으로 간소화된 버전을 작성할 수 있습니다.

[간소화 내부관리계획]

1. 개인정보 보호책임자: [이름/직책]
2. 교육: 연 1회, [월]에 실시
3. 접근 권한: 담당자 [이름]만 개인정보 DB 접근
4. 비밀번호 정책: 90일마다 변경

내부관리계획 수립 후 해야 할 것

1. 문서화 및 보관

대표이사 또는 CPO 서명 날인
버전 관리 (개정 이력 기록)
최소 3년 이상 보관

2. 직원 배포 및 교육

전 직원에게 배포 (이메일, 사내 포털)
교육 실시 및 기록 보관

3. 연간 검토 및 개정

연 1회 이상 현황 점검 후 개정
법 개정, 조직 변경 시 즉시 개정

개보위 점검 시 내부관리계획 제출

개보위 현장 조사 시 내부관리계획 제출을 요구합니다.

제출 불가 또는 미비 시:

300만 원 이하 과태료 부과 가능 (개인정보보호법 제75조)
전반적 컴플라이언스 미비로 추가 조사 확대

PIPAGuard로 내부관리계획 이행 여부 점검하기

처리방침 수탁자 기재, 접근 권한 정책 공개 여부, CPO 지정 현황을 자동으로 점검할 수 있습니다.

무료 PIPA 컴플라이언스 진단 시작하기 →

개인정보 내부관리계획 작성 가이드: 의무 대상·필수 항목·템플릿

내부관리계획 수립 의무 대상

의무 대상 기준 (안전성 확보조치 기준 고시)

내부관리계획 필수 포함 항목 (고시 제4조)

1. 개인정보 보호책임자(CPO) 지정

2. 개인정보 처리 부서 및 담당자

3. 교육 계획

4. 접근 권한 관리

5. 접근 통제

6. 개인정보 암호화

7. 접속 기록 보관 및 점검

8. 악성 프로그램 방지

9. 물리적 보안 (해당 시)

10. 위탁 관리

중소기업 간소화 버전 구성

내부관리계획 수립 후 해야 할 것

1. 문서화 및 보관

2. 직원 배포 및 교육

3. 연간 검토 및 개정

개보위 점검 시 내부관리계획 제출

PIPAGuard로 내부관리계획 이행 여부 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

개인정보 내부관리계획 작성 가이드: 의무 대상·필수 항목·템플릿

내부관리계획 수립 의무 대상

의무 대상 기준 (안전성 확보조치 기준 고시)

내부관리계획 필수 포함 항목 (고시 제4조)

1. 개인정보 보호책임자(CPO) 지정

2. 개인정보 처리 부서 및 담당자

3. 교육 계획

4. 접근 권한 관리

5. 접근 통제

6. 개인정보 암호화

7. 접속 기록 보관 및 점검

8. 악성 프로그램 방지

9. 물리적 보안 (해당 시)

10. 위탁 관리

중소기업 간소화 버전 구성

내부관리계획 수립 후 해야 할 것

1. 문서화 및 보관

2. 직원 배포 및 교육

3. 연간 검토 및 개정

개보위 점검 시 내부관리계획 제출

PIPAGuard로 내부관리계획 이행 여부 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글