이 체크리스트는 언제 사용하나요?

  • 개인정보를 수집하거나 활용하는 업무를 시작하기 전
  • 신규 시스템, 서비스, 설문, 이벤트를 기획할 때
  • 위탁, 제공, 외주, 협력사 연계가 발생할 때
  • 개인정보 점검, 감사, 내부 통제 점검 시

본 체크리스트는 개인정보처리자(회사) 입장에서
법 위반 리스크를 사전에 점검하기 위한 실무용 자료입니다.

1. 개인정보 해당 여부 판단

다음 중 하나라도 해당하면 개인정보에 해당할 가능성이 있습니다.

  • 이름, 연락처, 이메일, 사번 등 개인을 식별할 수 있다
  • 단독으로는 식별이 어렵지만 다른 정보와 결합 가능하다
  • 사내 시스템이나 DB를 통해 개인을 알아볼 수 있다
  • 가명처리 되었으나 재식별 가능성이 있다
  • 영상, 음성, 로그 기록 등 개인과 연결될 수 있다

2. 수집 목적 및 최소 수집 원칙

개인정보 수집 전에 반드시 점검합니다.

  • 개인정보 수집 목적이 구체적이고 명확하다
  • 업무 수행에 필요한 최소한의 정보만 수집한다
  • 수집 목적과 무관한 정보는 포함되어 있지 않다
  • 동의 거부 시 불이익 여부를 검토하였다
  • 목적 변경 가능성을 사전에 검토하였다

3. 수집·이용의 적법 근거 확인

다음 중 하나 이상의 적법 근거가 존재해야 합니다.

  • 정보주체의 적법한 동의를 받았다
  • 계약 체결 또는 이행에 필요한 범위이다
  • 법령상 의무 이행을 위해 불가피하다
  • 정보주체 또는 제3자의 급박한 이익 보호를 위해 필요하다
  • 정당한 이익이 정보주체 권리보다 명백히 우선한다

참고: 동의 없이 처리 가능한 경우에도 근거와 판단 기록이 필요합니다.

4. 동의 절차 점검 (동의에 근거하는 경우)

동의를 받는 경우 다음 사항을 모두 확인합니다.

  • 수집·이용 목적을 명확히 고지하였다
  • 수집 항목을 구체적으로 고지하였다
  • 보유 및 이용 기간을 명확히 안내하였다
  • 동의 거부권 및 불이익 여부를 안내하였다
  • 자유로운 의사에 따라 동의할 수 있는 구조이다

5. 개인정보 이용 및 제공 관리

개인정보 이용 또는 제공 시 점검합니다.

  • 수집 목적 범위 내에서만 이용하고 있다
  • 목적 외 이용 또는 제공 여부를 검토하였다
  • 제3자 제공 시 법적 요건을 충족한다
  • 추가 이용 또는 제공에 대한 판단 기록이 있다
  • 제공 대상자 및 제공 항목을 관리하고 있다

6. 업무 위탁 및 외부 처리 점검

개인정보 처리 업무를 위탁하는 경우 확인합니다.

  • 위탁 계약서에 개인정보 보호 조항이 포함되어 있다
  • 위탁 업무 범위가 명확하다
  • 재위탁 제한 여부를 명시하였다
  • 수탁자에 대한 관리·감독 체계를 갖추고 있다
  • 위탁 사실을 개인정보 처리방침에 공개하였다

7. 보유 기간 및 파기 관리

개인정보 보유 및 파기 단계에서 점검합니다.

  • 개인정보 보유 기간이 명확히 설정되어 있다
  • 목적 달성 시 지체 없이 파기하고 있다
  • 전자파일과 출력물 모두 파기 대상에 포함된다
  • 파기 방법이 안전하게 이루어진다
  • 파기 이력 및 기록을 관리하고 있다

8. 안전성 확보 조치

기술적·관리적 보호조치를 점검합니다.

  • 접근 권한이 최소한으로 부여되어 있다
  • 비밀번호 및 인증 수단이 적절하다
  • 개인정보 저장 매체를 안전하게 관리한다
  • 접속 기록을 보관·점검한다
  • 개인정보 유출 대응 절차가 마련되어 있다

9. 정보주체 권리 보장

정보주체 권리 보장 체계를 점검합니다.

  • 개인정보 처리방침을 공개하고 있다
  • 열람, 정정, 삭제 요청 절차가 있다
  • 동의 철회 방법을 안내하고 있다
  • 권리 행사 요청에 대한 처리 기록이 있다
  • 불합리한 제한이나 지연이 없다

10. 사고 대응 및 사후 관리

개인정보 침해 사고 발생 시 대비합니다.

  • 유출 사고 대응 절차가 마련되어 있다
  • 사고 발생 시 신고 및 통지 기준을 숙지하고 있다
  • 재발 방지 대책을 수립하고 있다
  • 관련 교육 및 점검을 정기적으로 실시한다
  • 내부 관리 계획을 지속적으로 개선한다

유의사항

본 체크리스트는 개인정보 보호법 및
개인정보보호위원회 「개인정보 처리 통합 안내서」를 바탕으로 한
일반적인 점검용 자료입니다.

개별 업무나 시스템의 특성에 따라
추가적인 법률 검토가 필요할 수 있습니다.

참고 기준

  • 개인정보 보호법
  • 개인정보보호위원회 「개인정보 처리 통합 안내서」(2025.7)