[isms-p 정리] 1.4.1.법적 요구사항 준수 검토

조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.

※ 내용정리
조직이 정보보호 및 개인정보 보호와 관련된 법률, 규정, 계약상의 요구사항을 식별하고, 이를 지속적으로 준수하고 있는지 검토.
즉 "어떤 법을 지켜야 하는지", 실제로 잘 수행하고 있는지 문서화하고 점검하는 항목.

- 적용대상 법률 및 규정 식별
 > 조직이 준수해야 할 관련 법적·규제 요건을 식별
  : 개인정보보호법
  : 정보통신망법
  : 전자금융거래법 등등등
  
- 법적 요구사항 목록화 및 문서화
 > 해당 법률/규제에 따라 조직이 따라야 할 주요 조항, 의무사항 정리
 > 이름 법적 요구사항 검토 목록표, 매트릭스, 내부 규정 비교표 등의 형태로 문서화

- 내부 정책·절차와 법적 요건의 정합성 검토
 > 내부 보안 정책, 업무 프로세스가 법적 요건과 충돌하지 않는지 검토

- 정기적 검토 및 업데이트
 > 관련 법령이 개정되거나 조직환경이 변경되었을 경우 이를 반영하여 문서화 갱신
 > 법무팀, 외부 자문 등을 통해 최신 법규 준수 여부 점검
 
- 위반 소지 발견 시 개선 조치
 > 준수 미흡사항 발견 시 정책 개선, 교육 강화, 기술적 조치등 보안활동 수행
 
결함사례

- 관련 법률 식별 미이행
D사는 정보보호 및 개인정보 보호관련 활동을 수행하고 있었지만, 자신들이 어떤 법을 준수해야 하는지 식별조차 하지 않음
 > 개인정보 보호법 외에 적용 대상인 정보통신망법, 위치정보법 등은 인지하지 못하고 있음.
 > 정보처리 위탁 계약서에 보안조항이 있어야 함에도 법적 검토 없이 작성
 
영향
> 조직 특성과 산업군에 맞는 법률을 반영하지 못해 법적 리스크 증가.
> isms-p 심사에서 "법적 요구사항 식별 미흡"으로 결함 판정
 
- 법령 개정사항 미반영
D사는 법적 요구사항을 검토한 이력이 있으나, 최근 개정된 개인정보 보호법 내용을 내부 정책에 반영하지 않음.
 > 데이터 보관 기간 단축, 정보주체 권리 강화 등의 변경사항 미반영
 > 법률 개정 이후에도 내부 정책은 수년째 동일하게 유지됨
 
영향
> 현행 법령과 내부 정책 불일치, 실제 위반 가능성 발생
> 심사 시 "법령 최신화 반영 미흡"으로 결함 지적 및 시정조치 요구

- 법적 요구사항 목록 문서화 누락
D사는 개인정보 보호법과 정보보호 관련 법률들을 인지하고 있다고 했지만, 이에 대한 목록이나 문서화된 자료 부재
 
 영향
> 심사 및 감사 시 입증 불가능, 문서화 기준 미달로 인한 인증 요건 미충족
> "법적 요구사항 검토 결과 미정리"로 결함

 - 법적 요구사항과 내부 정책간 불일치
 D사의 개인정보 보유 정책은 5년으로 되어 있었지만, 관련 법령에서는 3년 초과 보관이 금지되는 정보였음
  > 개인정보 파기 주기도 법적으로는 30일 이내이나, 내부정책에는 '필요 시 파기'로 표현
  > 내부 규정이 법률보다 느슨하여 위반 소지 존재
 
 영향
 > 실제 법 위반 가능성 발생 → 감독기관 지적 시 과태료 또는 행정처분 위험
 > isms-p 심사에서 "내부 정책의 법적 기준 미충족"으로 결함
 
- 협력업체 계약서에 법적 보안 요구사항 누락
D사는 개인정보 처리 위탁 계약을 체결하면서, 관련 법률에서 요구하는 보안조치 및 위탁관리 조항을 누락
 > 개인정보 보호법 제26조의 '수탁자의 관리·감독'의무 미이행
 > 위탁계약서에 보안 준수 항목 없음, 정기점검 및 통보 절차도 부재
 
영향
> 개인정보 유출 시 위탁사 잘못이라 하더라도 법적 책임이 위탁자(본사)에 있음
> 심사에서 "위탁계약 내 법적 요구사항 미반영"으로 결함 판정