-
IT·보안
내부회계관리제도 적용 기업의 ITGC 대응 방안 (상)
「주식회사의 외부감사에 관한 법률」 즉, 외감법은 외부감사를 받는 회사의 회계처리와 회계의 투명성, 외부감사의 신뢰성제고를 목적으로 제정된 법입니다. 2018년 11월부터 새롭게 시행된 ‘신(新)외감법’이라 불리는 「주식회사 등의 외부감사에 관한 법률」에서는 상장회사의 내부회계관리제도에 대해서도 외부감사를 받도록 하였습니다. 신외감법의 대표적인 항목들은 다음과 같습니다. 1. 외부감사 대상 확대 신외감법 이전에는 자산·부채·종업원수를 기준으로 외부감사가 이루어졌으나, 신외감법에서는 외부감사 기준에 기업의 매출액을 포함시켜 기업의 규모와 재무상황을 고려하고자 했습니다. 주식회사 등의 외부감사에 관한 법률 시행령 제5조(외부감사의 대상) 다음 각 호의 어느 하나에 해당하는 회사는 외부감사 대상이 된다. <개정 2020.10.13> 1. 직전 사업연도 말의 자산총액이 500억원 이상인 회사 2. 직접 사업연도의 매출액이 500억원 이상인 회사 3. 다음 각 목의 사항 중 2개이상에 해당하는 회사 가. 직전 사업연도 말의 자산총액이 120억원 이상 나.직전 사업연도 말의 부채총액이 70억원 이상 다. 직전 사업연도의 매출액이 100억원 이상라. 직전 사업연도 말의 종업원이 100명 이상2. 내부회계관리제도 실효성 강화 내부회계관리제도는 신뢰성 있는 회계정보의 작성과 공시를 위해 회사가 갖추고 지켜야할 재무보고에 대한 내부통제제도를 의미합니다. 신외감법에서는 내부회계관리제도에 대해서도 ‘검토’가 아닌 ‘감사’를 받도록 하여 외부감사인의 감사를 의무화하였고, 기존에는 회계감사인이 내부회계관리제도에 대한 감사의견을 소극적으로 표명했다면, 신외감법 이후에는 적극적으로 표명하게 되었습니다. 내부회계관리 제도 감사 대상은 상장기업의 자산 총액을 기준으로 2019년부터 순차적으로 적용하고 있으며, 2023년에는 모든 상장기업이 내부회계관리제도의 대상이 됩니다.개별기준 외부 감사 적용 시점 연결기준 외부 감사 적용 시점 *연결재무제표: 모회사와 자회사의 사업실적포함3.
-
- 22.01.28
-
신시스토리
신시웨이 창립 17주년 & 1월 생일파티
1월 21일은 신시웨이의 17번째 생일! 지난 1월 20일 창립 17주년을 맞이하여 창립 기념일 행사 및 임직원 생일 파티를 마스크 착용과 방역 지침을 준수한 가운데 약식으로 진행하였습니다. 행사는 영업기획·마케팅팀과 경영관리팀에서 준비하였습니다. 짧은 시간 안에 행사를 준비해야 하는 부담감이 있었지만, 다른 팀원 분들이 바쁜 와중에도 도움을 주셔 시간내에 행사 준비를 무사히 마칠 수 있었습니다. 이번 창립기념일에는 신시웨이 CI와 자물쇠를 새긴 케이크를 제작하여 보안회사임을 나타냄과 동시에 생일파티에 특별함을 더했습니다. 과거에는 다 함께 음식을 먹으며 이야기를 나누는 시간을 가졌지만, 이번 행사에서는 방역지침 준수를 위해 스낵랩, 컵 과일, 컵케이크 등 각자 자리에서 즐길 수 있는 먹거리를 준비하였습니다. 임직원 중 창립기념일과 같은 달에 생일을 맞이한 「정재훈 대표이사, 장윤호 대리, 좌성훈 부장, 김민정 사원, 윤건 대리, 박건욱 대리, 김민영 과장, 정종찬 대리, 김영국 사원」의 생일 축하파티를 진행하였습니다. 아쉽게도 영업2팀 김민영 과장, 고객지원팀 정종찬 대리, 김영국 사원은 고객지원 업무를 위한 외근으로 인해 참석하지 못하였습니다. 생일파티에 이어 정재훈 대표이사님의 창립기념일 축사가 있었습니다. 대표이사님께서는 “2021년 매출 부문에서 뛰어난 성과가 있었는데 공정한 업무 평가를 통해 직원들과 함께 이를 나눌 것이며, 이번 성과가 앞으로도 이어지길 바란다”는 말씀을 전하셨고, 코로나로 힘든 상황 속에서도 다방면으로 고생한 임직원들에게 감사를 표하셨습니다. 또한, 약 15년간 임직원들이 깨끗하고 쾌적한 환경에서 일할 수 있도록 해주신 권경자 여사님께 임직원을 대표해 정재훈 대표이사님께서 감사의 선물을 전달하셨습니다. 권경자 여사님께서는 “사장님을 비롯한 신시웨이의 모든 직원분들이 가족처럼 편하게 대해주신 덕분에 항상 기쁜 마음으로 내집처럼 청소하고있다” 라며 소감을 전하셨습니다. 창립 17주년 축하파티 덕분에 오랜만에 임직원분들과 함께 보낸 뜻깊은 시간이었습니다. 신시웨이가 17주년을 맞이할 수 있게 각각의 팀에서 노력해주신 모든 임직원분들께 감사드리며, 앞으로도 더 발전된 모습으로 함께할 수 있기를 기대합니다.
-
- 22.01.24
-
이벤트
2022 신년 목표/다짐 댓글 이벤트
당첨자 발표김*경(9126) / 김*수(4249) / 정*원(3866) / 임*환(2612) / 박*연(4194)김*정(7882) / 박*빈(0507) / 차*환(8984) / 강*현(5365) / 서*민(6260)
-
- 22.01.10
-
인터뷰
2022' 신시웨이 공채 2기를 소개합니다.
-
- 22.01.06
-
IT·보안
정보보호 및 개인정보보호 관리체계(ISMS-P)인증제도
ISMS-P란? ISMS-P는 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 증명하는 제도로, 국내 최고 권위의 정보보호 및 개인정보보호 관리체계 통합 인증 제도입니다. 2018년 11월 복수의 인증제도에 따른 혼란을 해소하고, 인증에 소요되는 비용, 행정, 인력 등의 부담을 절감하고자 ISMS인증과 PIMS인증의 행정 및 인증심사 절차가 통합되었습니다. 통합된 인증은 ISMS와 ISMS-P로 이루어지며, ‘ISMS 인증’은 정보보호 중심의 인증, ISMS-P인증은 개인정보의 흐름과 정보보호 영역을 모두 인증하고 있습니다. ISMS 인증은 정보보호관리체계 수립 및 운영 16개 항목과 보호대책 요구사항 64개 항목과 개인정보 처리 단계별 요구사항 22개 항목까지 총 102개 항목을 모두 갖춰야 취득할 수 있습니다. 최초 심사를 통해 인증을 취득하면 3년의 유효기간이 부여되며, 인증 유효기간 중 매년 1회 이상 사후 심사가 시행됩니다. ISMS-P의 목적 및 기대효과 -일회성 정보보호 대책에서 벗어나 체계적, 종합적인 정보보호 관리체계를 구현함으로써 기업의 정보보호 및 개인정보보호 관리수준을 향상시킬 수 있습니다. -기업은 지속적이고 체계적인 ISMS-P 구축을 통해 해킹, DDoS 등의 침해사고 및 개인정보 유출사고 발생 시 신속하게 대응할 수 있으며, 피해 및 손실을 최소화할 수 있습니다. -기업 경영진이 직접 정보보호 의사결정에 참여함으로써 정보보호 및 개인정보보호 업무에 대한 책임성과 신뢰성을 향상시킬 수 있습니다. -ISMS-P 인증을 취득한 기관은 정보보호 및 개인정보보호에 대한 신뢰성을 높여 대외 이미지를 제고할 수 있습니다. -ISMS-P 인증을 취득한 기관은 공공부문 사업 입찰 시 가산점 부여 등의 인센티브를 얻을 수 있습니다. ISMS-P인증대상 <임의신청자> ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있습니다. 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 및 개인정보보호 관리체계를 구축·운영하는 기업·기관은 임의신청자로 분류되며, 임의신청자가 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있습니다. 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자와 동일합니다. <의무대상자> ①정보통신망서비스를 제공하는 자(ISP) ②집적정보통신시설사업자(IDC) ③연간매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문의 전년도 매출액이 100억원이상 또는 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자 *정보통신망 「전기통신사업법」 제6조 제1항에 따라 과학기술정보통신부장관에게 등록을 하고 인터넷 서비스, 인터넷전화 서비스, 이동통신 서비스 등 정보통신망 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자를 말합니다. *집적정보통신시설사업자 정보통신망법 제46조 제1항의 규정에 따라 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영·관리하는 사업자를 말합니다.출처: 개인정보보호 위원회 정보보호 및 개인정보보호 관리체계 인증제도 안내서 (2021.7)ISMS-P 인증절차 ISMS-P의 인증심사 절차는 다음과 같이 1) 준비 및 신청단계, 2) 심사단계, 3) 인증단계로 나눌 수 있으며 사후관리를 위해서는 4) 사후심사 및 갱신심사를 시행해야 합니다.출처: 개인정보보호 위원회 정보보호 및 개인정보보호 관리체계 인증제도 안내서 (2021.7)1) 준비 및 신청단계에서는 인증심사 신청 전 취득하고자 하는 인증의 종류에 따라 ISMS 혹은 ISMS-P 관리체계를 구축하고 최소 2개월 이상 운영한 증거자료를 준비해야 합니다. 인증심사 신청 시 취득하고자 하는 인증에 따라 ISMS 단일 인증, ISMS-P 단일 인증, 다수 인증 중 하나를 정하여 신청할 수 있습니다.신청기관은 안내된 심사계획에 따라 심사장소, 심사대응 담당자 지정 및 심사 대응 협조 등을 사전에 준비해야 합니다. 2)심사단계에서는 관리체계 수립 및 운영, 보호대책 요구사항 및 개인정보 처리단계별 요구사항의 인증항목에 맞는 체계를 구축하고 적절하게 운영하고 있는지 확인합니다.인증준비 미흡 또는 인증심사팀 요청사항(추가자료 요청, 현장실사 및 인터뷰 요청 등) 대응이 미흡한 경우, 심사의 신뢰성을 확보할 수 없기 때문에 인증심사 중단 및 심사팀 철수가 이루어질 수 있다는 점에 유의하여야 합니다. 3)인증단계에서는 인증위원회에서 심사결과를 심의·의결하며, ISMS-P인증기준에 적합한 경우 인증서를 발급하며, 신청기관은 이의신청을 할 수 있습니다.4)ISMS-P 사후관리 단계는 사후심사와 갱신심사로 나뉩니다.사후심사는 인증취득기관이 수립하여 운영 중인 정보보호 및 개인정보보호 관리체계가 인증기준에 적합한 수준으로 유지되는지 확인하기 위해 인증 유효기간 중 매년 1회 이상 시행하는 인증심사를 말합니다. 인증발급일 기준으로 매 1년 이전에 심사를 완료해야 하며, 인증유효기간 내 사후심사를 받지 않을 경우 인증이 취소됩니다.ISMS-P 인증의 유효기간은 3년이며 인증 유효기간이 만료될 때 유효기간 연장을 위해서는 갱신심사를 시행해야 합니다.갱신심사는 유효기간(인증발급일 기준) 만료 전에 심사를 받아야 하며, 인증유효기간 내 심사를 받지 않을 경우 인증은 효력을 상실합니다. 갱신심사를 통해 연장되는 인증 유효기간은 3년이며, 최초심사와 마찬가지로 인증위원회에서 인증 유효기간 연장에 대한 심의·의결을 받아야 합니다. ISMS-P인증제도에 대한 자세한 정보는 개인정보보호위원회(https://www.privacy.go.kr/)와 한국인터넷진흥원(https://isms.kisa.or.kr/main/)의 정보보호 및 개인정보보호 관리체계(ISMS-P)인증제도 안내서(2021.7)에서 확인하실 수 있습니다. 출처 및 참고자료개인정보보호위원회(https://www.privacy.go.kr/) KISA 한국 인터넷 진흥원(https://isms.kisa.or.kr/main/) 정보보호 및 개인정보보호 관리체계(ISMS-P)인증제도 안내서(2021.7)
-
- 21.12.31
-
IT·보안
본인이 가입한 모든 사이트를 알고 계신가요?
온라인 쇼핑, 비대면 금융서비스..요즘 웹이나 모바일로 서비스되지 않는 것이 없을 정도로 인터넷은 우리의 삶에 깊숙하게 자리하고 있습니다. 다만, 편리함만큼이나 개인정보 유출이 염려되기도 합니다. 나에 대한 신상정보를 아는 듯한 사람에게서 보이스피싱 전화를 받은 경험, 모르는 사이트에서 온 광고 문자를 받은 경험 모두 한번쯤 있으실 것입니다. 또한 모두가 알만한 기업에서 개인정보 유•노출 사고가 발생하기도 합니다.이렇듯 기술의 발전과 함께 내 개인정보가 어디까지 흘러갔는지에 대한 불안감도 갖게 됩니다. 개인정보를 보호하는 가장 기본적인 방법은 개개인의 보안의식을 강화하고 개인정보의 보호•관리에 대한 중요성을 상기할 필요가 있습니다. 개인정보를 제공할 시 동의 약관을 꼼꼼히 살피고, 비밀번호를 주기적으로 변경하며, 반드시 필요한 사이트만 가입하는 등 개인정보에 대한 철저한 사전 관리가 이루어져야 합니다. 개인정보보호위원회와 한국인터넷 진흥원(KISA)에서는 개인정보의 보호를 위해 프라이버시 클린서비스’를 무료로 제공하고 있습니다. 개인정보를 보호하고 명의도용, 사생활침해 등의 피해를 예방하기 위해 2010년부터 시작된 e프라이버시 클린서비스는 가입했던 사이트들을 확인하고, 사용하지 않는 사이트는 탈퇴할 수 있도록 도와줍니다. 또한 개인정보 수정, 삭제, 처리, 정지 등을 요청할 수도 있습니다. 이를 통해 불필요한 서비스에서 탈퇴하여 개인정보를 보호할 수 있으며, 개인정보 유출 피해를 막을 수 있습니다. e프라이버시 클린서비스는 본인확인이 이루어진 웹사이트를 조회하기 때문에, 직접 회원가입을 하지 않았던 사이트도 조회될 수 있습니다.e프라이버시 클린서비스에서 제공하는 서비스는 다음과 같습니다.1. 본인확인 내역 조회2. 웹사이트 회원 탈퇴3. 개인정보 열람 등 신청본인확인 내역 조회 서비스는 인터넷에서 회원가입, 연령확인(성인인증), 실명인증 등을 위해 실시한 본인확인 내역을 제공합니다.웹사이트 회원탈퇴 서비스는 본인인증을 했던 웹사이트 중 명의도용이 의심되거나 더 이상 이용을 원하지 않는 불필요한 웹사이트에 대해 회원탈퇴처리를 진행합니다.개인정보 열람 등 신청 서비스는 웹사이트에서 수집된 개인정보를 열람하고, 해당 개인정보 정정/삭제/파기 등의 처리를 대행해줍니다.각각의 서비스 이용를 이용하기 위해서는 개인정보 수집·이용에 대한 동의를 위해 개인정보 수집·이용 목적 및 수집 항목, 보유·이용기간 등에 대한 내용을 확인합니다. 이후 본인확인을 위해 본인명의로 발급·가입된 ①디지털 원패스, ②공동인증서, ③아이핀, ④휴대폰, ⑤신용카드 중 하나를 선택하여 본인확인 절차 후 실명인증을 진행합니다. 우리나라는 개인정보 보호법 제4조에서 정보주체의 개인정보 처리에 관한 권한을 명시하고 있습니다. 나아가 개인정보 보호법 제35조(개인정보의 열람) 1항에서 정보 주체의 개인정보에 대한 열람 요구권한을 명시하고 있으며, 36조와 37조에서 개인정보의 정정·삭제에 대한 권한, 개인정보의 처리정지에 대한 요구권한 38조에서는 이에 대한 권리행사의 방법 및 절차에 대해 명시하고 있습니다. 개인정보 보호법 제4조(정보주체의 권리) ① 개인정보의 처리에 관한 정보를 제공받을 권리② 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리③ 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리④ 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리⑤ 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리 개인정보 보호법 제35조(개인정보의 열람) ① 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다. ② 제1항에도 불구하고 정보주체가 자신의 개인정보에 대한 열람을 공공기관에 요구하고자 할 때에는 공공기관에 직접 열람을 요구하거나 대통령령으로 정하는 바에 따라 행정안전부장관을 통하여 열람을 요구할 수 있다. <개정 2013.3.23, 2014.11.19, 2017.7.26> ③ 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는 기간 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야 한다. 이 경우 해당 기간 내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체 없이 열람하게 하여야 한다. ④ 개인정보처리자는 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체에게 그 사유를 알리고 열람을 제한하거나 거절할 수 있다. 1. 법률에 따라 열람이 금지되거나 제한되는 경우 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우 개인정보 보호법 제36조(개인정보의 정정ㆍ삭제) ① 제35조에 따라 자신의 개인정보를 열람한 정보주체는 개인정보처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다. ② 개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 다른 법령에 특별한 절차가 규정되어 있는 경우를 제외하고는 지체 없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정ㆍ삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다. ③ 개인정보처리자가 제2항에 따라 개인정보를 삭제할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다. ④ 개인정보처리자는 정보주체의 요구가 제1항 단서에 해당될 때에는 지체 없이 그 내용을 정보주체에게 알려야 한다. ⑤ 개인정보처리자는 제2항에 따른 조사를 할 때 필요하면 해당 정보주체에게 정정ㆍ삭제 요구사항의 확인에 필요한 증거자료를 제출하게 할 수 있다. 개인정보 보호법 제37조(개인정보의 처리정지 등) ① 정보주체는 개인정보처리자에 대하여 자신의 개인정보 처리의 정지를 요구할 수 있다. 이 경우 공공기관에 대하여는 제32조에 따라 등록 대상이 되는 개인정보파일 중 자신의 개인정보에 대한 처리의 정지를 요구할 수 있다. ② 개인정보처리자는 제1항에 따른 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다. 1. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 2. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우 4. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우 ③ 개인정보처리자는 제2항 단서에 따라 처리정지 요구를 거절하였을 때에는 정보주체에게 지체 없이 그 사유를 알려야 한다. ④ 개인정보처리자는 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여 지체 없이 해당 개인정보의 파기 등 필요한 조치를 하여야 한다. 개인정보 보호법 제38조(권리행사의 방법 및 절차) ① 정보주체는 제35조에 따른 열람, 제36조에 따른 정정ㆍ삭제, 제37조에 따른 처리정지 등의 요구(이하 "열람등요구"라 한다)를 문서 등 대통령령으로 정하는 방법ㆍ절차에 따라 대리인에게 하게 할 수 있다. ② 만 14세 미만 아동의 법정대리인은 개인정보처리자에게 그 아동의 개인정보 열람등요구를 할 수 있다. ③ 개인정보처리자는 열람등요구를 하는 자에게 대통령령으로 정하는 바에 따라 수수료와 우송료(사본의 우송을 청구하는 경우에 한한다)를 청구할 수 있다. ④ 개인정보처리자는 정보주체가 열람등요구를 할 수 있는 구체적인 방법과 절차를 마련하고, 이를 정보주체가 알 수 있도록 공개하여야 한다. e프라이버시 클린서비스를 통해 불필요한 사이트를 탈퇴하여 개인정보의 유출을 막고 명의도용, 사생활침해 등의 피해 또한 예방할 수 있을 것입니다. 소중한 내 개인정보, 조금 더 신중하게 다뤄주면 어떨까요? 출처 및 참고자료개인정보 보호법 e프라이버시 클린서비스 https://www.eprivacy.go.kr/main.do
-
- 21.12.23
-
IT·보안
유럽 내 개인정보 및 공공데이터 자유롭게 국외이전 가능해졌다.
#유럽에 지사를 둔 한국 기업 A는 유럽 소비자를 대상으로 한국 상품 쇼핑 대행업을 하고 있다. 선호 예상 상품을 선정하기 위해 소비자 정보를 분석하는데 어려움이 있어 한국 본사에 분석을 의뢰했다. 그러나, 유럽 소비자 정보를 한국으로 이전하기 위해서는 표준계약조항(SCC)을 활용할 수밖에 없으며, 현지 법을 위반할 경우 전체 매출의 4%까지 부과되는 과징금 때문에 시간과 비용 측면에서 부담을 느낄 수밖에 없었다. 2017년 1월 GDPR적정성 협의가 시작된 이후, 약 5년여만에 한국에 대한 유럽연합(EU)의 GDPR적정성 결정이 통과되면서 A와 같은 기업들이 유럽의 고객정보를 수월하게 가져올 수 있게 되었습니다. 2021.12.17(금) 오후 6시(한국시간) 한국에 대한 유럽연합(EU) 일반 개인정보보호법(GDPR) 상의 적정성 결정이 채택되었습니다. 이는 EU가 한국의 개인정보보호 정책이 GDPR과 동등한 수준임을 인정한 것입니다. 이에 따라 앞으로 우리나라 기업은 EU회원국에 준하는 지위를 부여받게 됩니다. 표준 계약 등 기존의 까다로운 절차가 면제되고, EU시민의 개인정보를 추가적인 인증이나 절차 없이 자유롭게 국내로 이전 처리할 수 있게 되었습니다.GDPR(General Data Protection Regulation) 은 2018년 5월 25일부터 시행된 EU연합의 개인정보보호법으로 EU를 대상으로 비즈니스를 진행하는 모든 곳에 적용됩니다. GDPR은 DPO(개인정보보호책임자)지정, 영향평가 등을 추가하여 기업의 책임성을 강화했다는 특징이 있습니다. 처리제한권, 정보이동권, 삭제권, 프로파일링 거부권 등을 신설·강화하여 정보주체 권리 또한 강화하였습니다. 또한 모든 회원국을 대상으로 전체매출액 4%의 과징금을 부과하도록 하는 등 강력한 처벌조항을 통해 개인정보를 보호하고 있습니다.GDPR적정성 결정은 EU역외 국가가 EU와 동등한 수준의 개인정보보호 제도를 운영하고 있는지 확인하는 제도입니다. EU와 동등한 수준의 개인정보 보호 조치를 갖췄는지를 평가하여 적정성 결정 국가로 지정하고 있으며, 지정된 국가는 EU회원국처럼 자유롭게 EU 시민의 개인정보 이전이 허용됩니다.2017년 1월 우리나라에 대한 GDPR적정성 검토가 시작되었으나 핵심 요건인 '개인정보 감독기구의 독립성' 미충족으로 협의가 2차례 중단되었습니다. 그러나 지난해 데이터 3법 개정으로 개인정보보호위원회가 독립감독기구로 확대·출범함에 따라 논의가 재개되며 협의가 급진전 되었습니다. 한국과 EU는 5년여간 비대면 회의를 포함한 총 60회 이상 회의를 통해 한국의 개인정보보호법 등 관련 법제 및 정부기관별 소관업무 등에 대한 심층 검토를 거쳐 한국의 개인정보보호 법체계가 'EU 일반개인정보보호법(EU GDPR)과 동등한 수준임을 확인하였습니다. 그 결과, 유럽정보보호이사회(EDPB)는 한·EU 법제 간 차이를 조정하기 위한 개인정보위의 고시 제·개정 등 한국정부의 노력을 높이 평가하며 한국 법제의 우수성을 언급하였으며, EU집행위의 회원국 승인절차(커미톨로지)에서 만장일치로 한국 적정성 결정을 승인하였습니다.EU적정성 진행절차- EU집행위(사법총국)가 초기결정, 의견수렴, 최종결정의 3단계를 진행합니다.윤종인 개인정보보호위원회 위원장과 디디에 레인더스 EU집행위 사법총국 커미셔너는 “한국과 EU간의 높은 수준의 정보보호에 대한 공유된 의지와 한국의 우수한 개인정보보호법제가 이번 적정성 결정의 토대” 임을 밝혔습니다. 나아가 개인정보위는 이번 결정이 “개인정보보호 강화가 국제무역 활성화에 기여할 수 있음을 보여주는 사례로서, 한-EU 자유무역협정(FTA)을 보완하여 디지털분야의 양측 간 협력을 강화”할 것이라고 평가하였습니다.그간 EU진출 한국 기업들은 GDPR과 현지 국가 법제를 면밀히 검토하고 실사 및 행정절차를 거쳐 SCC를 체결해야 유럽 시민 정보를 국내로 이전할 수 있었습니다. 이런 과정에서 3개월 이상의 시간과 3천만원~1억원 상당의 비용이 소요될 뿐만 아니라, 규정 위반에 따른 과징금부과 등에 대해 기업들은 큰 부담을 안고 있었습니다. 또한 중소기업은 표준계약절차 자체가 어려워 EU 진출을 포기하기도 했습니다.GDPR 적정성 결정으로 개인정보 국외이전에 있어 한국은 EU회원국에 준하는 지위를 부여받게 되며, 기존의 까다로운 절차가 면제됩니다. 이에 따른 국내 기업들의 활발한 EU진출이 예상되는 가운데, 특히 국내 데이터 분석 회사들의 넓어질 것으로 예측됩니다. 개인정보위 보도자료에 소개된 독일 기업 ㄱ사의 사례를 보면, 마케팅 전략 수립을 위해 한국의 전문 업체에 자사 고객 개인정보 분석을 의뢰하려 했으나 현지 당국의 개인정보 이전 승인을 받는 과정이 복잡해 제한적인 연구만 맡겼습니다. 그러나 적정성 결정 이후에는 ㄱ사가 표준계약 등의 절차 없이 한국 회사에 데이터를 보낼 수 있기에 보다 수월한 마케팅 전략을 세울 수 있을 것입니다.다만, 역외이전 관련 의무 부담만 경감되므로 EU 시민의 개인정보를 직접 수집하고 처리하는 사업자의 전반적인 GDPR 준수 의무가 없어지는 것은 아니라는 점은 꼼꼼히 상기해야 할 것 같습니다. 또한 개인정보위는 한-EU 기업 간 데이터 교류·협력 강화로 국내 데이터 경제가 보다 활성화될 것이라고 전망하였습니다. 민간데이터 이전에 국한되었던 일본에 대한 적정성 결정과는 달리, 이번 적정성 결정은 공공데이터 이전에도 적용됨으로써 한국-EU 정부간의 공공분야 협력도 강화될 것으로 전망하였습니다. 개인정보위는 EU 외 국가 국민의 개인정보를 한국으로 이전할 수 있도록 추가 국제 협상을 추진할 계획이며, 영국을 우선 대상으로 선정하였습니다. 기업의 GDPR 적용대상 여부- EU내에 사업장을 운영하며, 개인정보 처리- EU거주자에게 재화나 서비스를 제공- EU거주자의 EU내 행동을 모니터링*GDPR적용대상은 ‘국적’이 아닌 ‘EU거주자’에 해당하는지 고려-> 따라서 EU 국적자의 개인정보가 한국에서 수집∙처리되는 경우, GDPR이 적용되지 않을 수 있지만,한국인의 정보가 EU 역내에서 수집∙처리되면 EU 거주자에 해당되며 GDPR이 적용될 수는 있음.* ‘명백히’ EU 시장을 염두에 두고 있을때 적용되며, 단순 접근 가능성은 GDPR 적용의 근거가 되지 않음-> 기업이 재화나 서비스를 유로화로 유통하거나 프랑스어∙독일어 등으로 홈페이지를 구성할 경우명백한 타겟팅의 근거가 되지만, 영어 및 달러화만을 활용할 경우 GDPR의 규제대상이 되지 않을 수 있음출처 및 참고문헌개인정보보호위원회 보도자료, 한국 EU 「개인정보보호 적정성 결정」 최종 통과KISA GDPR대응지원 센터, https://gdpr.kisa.or.kr/
-
- 21.12.23
-
IT·보안
클라우드 컴퓨팅법 개정안, 2023년 1월부터 시행
클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률(약칭: 클라우드 컴퓨팅법)‘클라우드 컴퓨팅’이란 ICT자원을 소유하지 않고 인터넷에 접속해서 빌려쓰는 서비스 방식으로, 4차산업혁명의 핵심기술이자 다른 기술의 근간이 되는 기술입니다.「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」은 클라우드 컴퓨팅법은 클라우드 컴퓨팅의 발전 및 이용을 촉진하고 클라우드컴퓨팅 서비스를 안전하게 이용할 수 있는 환경을 조성하는 것을 목적으로 제정되었습니다.클라우드 컴퓨팅법의 히스토리2009년 행정안전부, 지식경제부, 방송통신위원회의 합동으로 범정부 클라우드컴퓨팅 활성화 종합계획의 수립·시행으로 준비되어 2012년 입법예고 및 공청회 등을 통해 이해관계자의 의견을 수렴하여 입법예고안을 수정하였습니다. 각계 의견을 반영한 정부안은 2013년 10월 국회에 제출되었으며, 2015년 3월 3일 국회 본회의를 통과하여 3월 27일 공포되었으며 2015년 9월에 시행되었습니다. 클라우드컴퓨팅법에서의 용어제2조에서는 클라우드컴퓨팅법에서 사용하는 용어들을 다음과 같이 정의하고 있습니다.클라우드 컴퓨팅법과 다른 법률과의 관계제4조에서는 다른 법률간의 관계에 대해 다루고 있습니다. 다른 법률과 중복되거나 충돌될 가능성이 높기 때문에 관련법률 사이에 우선 적용 순서를 정해 혼란을 최소화하기 위한 조항입니다. 클라우드 컴퓨팅법 제4조에서는 개인정보 관련 사항은 「개인정보보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」등 관련 법에서 정하는 바에 따르도록 하고 있습니다.제4조(다른 법률과의 관계) 이 법은 클라우드 컴퓨팅의 발전과 이용 촉진 및 이용자보호에 관하여 다른 법률에 우선하여 적용하여야 한다. 다만, 개인정보보호에 관하여는 「개인정보보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 에서 정하는 바에 따른다. 정보보호에 관한 기준 명시제23조 2항에서는 클라우드 컴퓨팅 서비스의 안전성 및 신뢰성 향상을 위해 정보보호에 관한 기준을 정하여 고시할 것을 명시하고 있습니다.제23조 ② 과학기술정보통신부장관은 클라우드컴퓨팅 서비스의 품질·성능에 관한 기준 및 정보보호에 관한 기준을 정하여 고시하고, 클라우드컴퓨팅 서비스 제공자에게 그 기준을 지킬 것을 권고할 수 있다. 이에 과학기술정보통신부, 한국인터넷진흥원에서는 공공기관에 검증된 클라우드 서비스를 공급하고 이용자의 보안 우려를 해소하기 위해 클라우드 보안 인증제도를 운영하고 있습니다.클라우드 컴퓨팅 서비스 정보보호에 관한 기준클라우드 컴퓨팅 서비스 정보보호에 관한 기준은 2017년 8월 24일 시행되었으며 「클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률」 23조 2항에서 명시된 클라우드 컴퓨팅 서비스의 안전성 및 신뢰성 향상을 위해 정보보호에 관한 기준을 정해야 하는 규정에 따라 마련된 행정규칙입니다.제23조 ② 과학기술정보통신부장관은 클라우드컴퓨팅 서비스의 품질·성능에 관한 기준 및 정보보호에 관한 기준(관리적·물리적·기술적 보호조치를 포함한다)을 정하여 고시하고, 클라우드컴퓨팅 서비스 제공자에게 그 기준을 지킬 것을 권고할 수 있다.2023년 1월, 클라우드 컴퓨팅법 개정안 시행과학기술정보통신부에서는 ‘클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률’을 2022년 1월 개정하여 2023년 1월 시행 예정임을 밝혔습니다. 개정 사항에서는 클라우드 보안인증 제도 관련 사항을 법률로 상향입법 하였으며, 이번 고시 개정의 주요내용은 다음과 같습니다.제3조(국가 등의 책무) ① 국가와 지방자치단체는 클라우드컴퓨팅의 발전 및 이용 촉진, 클라우드컴퓨팅서비스 이용 활성화, 클라우드컴퓨팅 서비스의 안전한 이용환경 조성 등에 필요한 시책을 마련하여야 한다.② 클라우드컴퓨팅서비스 제공자는 이용자 정보를 보호하고 신뢰할 수 있는 클라우드컴퓨팅서비스를 제공하도록 노력하여야 한다.제20조(국가기관등의 클라우드컴퓨팅 서비스 이용 촉진) ② 국가기관등은 제1항에 따른 클라우드 컴퓨팅서비스 이용에 있어 제23조의2 제1항에 따른 보안인증을 받은 클라우드컴퓨팅 서비스를 우선적으로 고려하여야 한다.제37조 (과태료) ① 다음 각 호의 어느 하나에 해당하는 자에게는 1천만원 이하의 과태료를 부과한다 (중략)출처 및 참고문헌클라우드컴퓨팅 주요법령 해설서, 과학기술정보통신부·정보통신산업진흥원클라우드컴퓨팅법 해설서, 정보통신산업진흥원
-
- 21.11.25
-
신시스토리
신시웨이, 인재육성형 중소기업 지정
신시웨이는 임직원들이 전문지식과 소양을 폭넓게 갖출 수 있도록 직무에 필요한 AWS, Cloud, Docker, Python 등 다채로운 내부 교육 프로그램과 외부 교육 프로그램을 지원하고 있습니다. 또한 제품, 인프라, 프로그래밍 등 4개월간의 신입사원 직무 교육을 통해 사회초년생들이 업무에 빠르게 적응하고 개인 역량을 발휘할 수 있도록 체계적인 교육 프로그램을 운영하여 고객에게 수준 높은 서비스를 제공하고 있으며 고객만족도 또한 증가하는 추세 입니다.신시웨이는 체계적인 인재 육성과 임직원의 적극적인 참여로 지난 6월 30일 중소벤처기업부에서 주관하는 “인재육성형 중소기업”(2021.06.30 ~ 2024.06.29)에 선정되었습니다.인재육성형 중소기업 지정 사업은 인재에 대한 투자를 통해 생산성과 수익성을 향상하고 직원들에게 보상함으로써, 기업과 근로자가 함께 성장해 나아가는 우수 기업을 선정하는 중소벤처기업부 주관 사업으로 신시웨이는 자율적인 교육 여건을 보장하기 위해 업무시간의 교육, 학습을 근로시간으로 인정하고, 매년 개인별 성과분석시 교육 참여에 대한 성과를 별도로 측정하여 효과적인 동기를 부여하고 있습니다.
-
- 21.09.06
-
IT·보안
개정위, 바이오정보의 용어 및 개념, 적용범위 개정(안) 행정예고
지난 8월 31일 개인정보보호위원회는 현행 고시 상 바이오정보의 용어, 개념, 적용범위를 명확하게 하기 위해「개인정보의 기술적·관리적 보호조치 기준 일부개정(안) 행정예고(공고 제2021-33호)」와 「개인정보의 안전성 확보조치 기준 일부개정(안) 행정예고(공고 제2021-34호)」를 공지 하였습니다. 이번 개정(안)은 현행 고시 상 ’바이오정보‘가 생명공학 전체분야를 포함하는 정보로 인식되는 경우가 있고, 다른 법령에서도 ’생체정보‘ 용어가 사용되고 있는 점 등을 고려하여 기존 ’바이오정보‘를 ’생체정보‘로 용어를 변경 하고, 현행 고시에서 해석되고 있는 ‘바이오정보’는 개인을 인증, 식별하기 위한 목적으로 기술적으로 처리되는 정보로 한정하여 해석하고 있기 때문에 이를 ‘생체인식정보’로 명확히 정의하여 인증·식별 목적이 아닌 일반적인 ‘생체정보’와 구분하기 위해 ‘생체인식정보’ 용어를 신설 하여 용어 및 개념을 명확히 하였습니다.(「개인정보의 기술적·관리적 보호조치 기준 일부개정(안) 제2조 제8호」, 「개인정보의 안전성 확보조치 기준 일부개정(안) 제2조 제16호, 제16의2호」) 또한 암호화 대상이 되는 정보는 ‘생체인식정보’ 임을 명확히 하여 생체정보 중 규제 대상이 되는 정보의 범위를 명확화 하였습니다. (「개인정보의 기술적·관리적 보호조치 기준 일부개정(안) 제6조 제2항」, 「개인정보의 안전성 확보조치 기준 일부개정(안) 제7조 제1항·제2항」) 개인정보보호위원회 「행정절차법」제46조의 규정에 의하여 법령을 개정함에 있어 국민에게 미리 알려 이에 대한 의견을 청취하기 위해 개정 이유와 주요 내용을 사전에 공고 하고 있습니다. 의견이 있는 기관·단체 또는 개인은 이메일, 우편을 통해 개인정보위원회에 의견을 제출할 수 있으며, 자세한 내용은 개인정보위원회 홈페이지>알림 · 소식>새소식>공지사항에서 확인하실 수 있습니다. 「개인정보의 기술적·관리적 보호조치 기준 일부개정(안)」 신‧구조문 대비표「개인정보의 안전성 확보조치 기준 일부개정(안)」 신‧구조문 대비표출처 및 참고자료개인정보보호위원회(http://www.pipc.go.kr)
-
- 21.09.01