[ISMS-P] 개인정보 처리 단계별 요구사항 (3.1 개인정보 수집 시 보호조치)

#개인정보 처리 단계별 요구사항 기준

3.1 개인정보 수집 시 보호조치

3.1.1 개인정보 수집 제한

인증기준 : 개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다.

 

확인사항

- 개인정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위하여 필요한 범위 내에서 최소한의 정보만을 수집하고 있는가?

- 수집 목적에 필요한 최소한의 정보 외의 개인정보를 수집하는 경우 정보주체(이용자)가 해당 개인정보의 제공 여부를 선택할 수 있도록 하고 있는가?
- 정보주체(이용자)가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가?

 

관련 법규

- 개인정보 보호법 제16조(개인정보의 수집제한)

 

증거자료

- 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 화면 등)

- 오프라인 개인정보 수집 양식(멤버십 가입신청서 등)

- 개인정보 처리방침

 

결함사례

1) 회원가입 시 서비스 제공을 위하여 필요한 최소한의 정보 외의 기타 정보를 수집하면서 필수항목과 선택항목으로 구분하지 않고 일괄로 동의를 받는 경우

2) 회원가입 양식에서 필수정보와 선택정보로 나눠서 동의를 받고 있으나, 필수정보에 포함된 개인정보 항목에 서비스 제공을 위하여 필요한 최소한의 정보 외의 과도한 개인정보 항목이 포함되어 있는 경우

3) 회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택 정보에 대하여 동의하지 않아도 회원가입 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우(개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등)

4) 홈페이지 회원가입 화면에서 선택사항에 대하여 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우

---

3.1.2 개인정보의 수집 동의

인증기준 : 개인정보는 정보주체(이용자)의 동의를 받거나 관계법령에 따라 적법하게 수집하여야 하며, 만 14세 미만 아동의 개인정보를 수집하려는 경우에는 법정대리인의 동의를 받아야 한다.

 

확인사항

- 개인정보 수집 시 법령에 특별히 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가?
- 정보주체(이용자)에게 동의를 받는 방법 및 시점은 적절하게 되어 있는가?
- 정보주체(이용자)에게 동의를 서면(전자문서 포함)으로 받는 경우 법령에서 정한 중요한 내용에 대하여 명확히 표시하여 알아보기 쉽게 하고 있는가?

- 만 14세 미만 아동의 개인정보에 대하여 수집, 이용, 제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가?
- 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가?
- 정보주체(이용자) 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가?

 

관련법규

- 개인정보 보호법 제15조(개인정보의 수집/이용), 제22조(동의를 받는 방법), 제39조의3(개인정보의 수집/이용 동의 등에 대한 특례)

 

증거자료

- 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일 회원가입 화면, 이벤트 참여 등)

- 오프라인 개인정보 수집 양식(회원가입신청서 등)

- 개인정보 수집 동의 기록(회원 데이터베이스 등)

- 법정대리인 동의 기록

- 개인정보 처리방침

 

결함사례

1) 개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 '동의 거부 권리 및 동의 거부에 따른 불이익 내용'을 누락한 경우

2) 개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 '~등'과 같이 포괄적으로 안내하는 경우

3) 쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제, 배송 정보를 미리 필수 항목으로 수집하는 경우

4) Q&A, 게시판을 통하여 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 도의 절차를 거치지 않은 경우

5) 만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우

6) 만 14세 미만 아동에 대하여 서비스를 제공하고 있지 않지만, 회원가입 단계에서 입력받는 생년월일을 통하여 나이 체크를 하지 않아 법정대리인의 동의 없이 가입된 만 14세 미만 아동 회원이 존재한 경우

7) 법정대리인의 진위 여부를 확인하는 절차가 미흡하여 미성년자 등 아동의 법정대리인으로 보기 어려운데도 법정대리인 동의가 가능한 경우

8) 만 14세 미만 아동으로부터 법정대리인의 동의를 받는 목적으로 법정대리인의 개인정보(이름, 휴대폰번호)를 수집한 이후 법정대리인의 동의가 장기간 확인되지 않았음에도 이를 파기하지 않고 계속 보유하고 있는 경우

9) 법정대리인 동의에 근거하여 만 14세 미만 아동의 개인정보를 수집하였으나 관련 기록을 보존하지 않아 법정대리인 동의와 관련된 사항(법정대리인 이름, 동의 일시 등)을 확인할 수 없는 경우

---

3.1.3 주민등록번호 처리제한

인증기준 : 주민등록번호는 법적 근거가 있는 경우를 제외하고는 수집/이용 등 처리할 수 없으며 주민등록번호의 처리가 허용된 경우라 하더라도 인터넷 홈페이지 등에서 대체수단을 제공하여야 한다.

 

확인사항

- 주민등록번호는 명확한 법적 근거가 있는 경우에만 처리하고 있는가?

- 주민등록번호의 수집 근거가 되는 법조항을 구체적으로 식별하고 있는가?

- 법적 근거에 따라 정보주체(이용자)의 주민등록번호 수집이 가능한 경우에도 아이핀, 휴대폰 인증 등 주민등록번호를 대체하는 수단을 제공하고 있는가?

 

관련 법규

- 개인정보 보호법 제24조의2(주민등록번호 처리의 제한)

- 정보통신망법 제23조의2(주민등록번호의 사용 제한)

 

증거자료

- 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 등)
- 온라인 개인정보 수집 양식(본인확인 등 대체수단 제공 화면)

- 오프라인 개인정보 수집 양식(회원가입신청서 등)

- 개인정보 처리방침

 

결함사례

1) 홈페이지 가입과 관련하여 실명확인, 단순 회원관리 목적을 위하여 정보주체(이용자)의 동의에 근거하여 주민등록번호를 수집한 경우

2) 정보주체의 주민등록번호를 시행규칙이나 지방자치단체의 조례에 근거하여 수집한 경우

3) 비밀번호 분실 시 본인확인 등의 목적으로 주민등록번호 뒤 6자리를 수집하지만, 관련된 법적 근거가 없는 경우

4) 채용전형 진행단계에서 법적 근거 없이 입사지원자의 주민등록번호를 수집한 경우

5) 콜센터에 상품, 서비스 관련 문의 시 본인확인을 위하여 주민등록번호를 수집한 경우

6) 주민등록번호 수집 법정주의 시행 이전에 수집하여 저장하고 있던 주민등록번호를 현재 법적 근거가 없음에도 파기하지 않고 보관하고 있는 경우

7) 주민등록번호 수집의 법적 근거가 있다는 사유로 홈페이지 회원가입 단계에서 대체수단을 제공하지 않고 주민등록번호를 입력받는 본인확인 및 회원가입 방법만을 제공한 경우

---

3.1.4 민감정보 및 고유식별정보의 처리 제한

인증기준 : 민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체(이용자)의 별도의 동의를 받아야 한다.

 

확인사항

- 민감정보는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가?

- 고유식별정보(주민등록번호 제외)는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가?

 

관련법규

- 개인정보 보호법 제23조(민감정보의 처리제한), 제24조(고유식별정보의 처리 제한)

 

증거자료

- 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 등)

- 오프라인 개인정보 수집 양식(회원가입 신청서 등)

- 개인정보 처리방침

 

결함사례

1) 장애인에 대한 요금감면 등 혜택 부여를 위하여 장애 여부 등 건강에 관한 민감정보를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우

2) 회원가입 시 외국인에 한하여 외국인등록번호를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우

3) 민감정보 또는 고유식별정보에 대하여 별도의 동의를 받으면서 고지하여야 할 4가지 사항 중에 일부를 누락하거나 잘못된 내용으로 고지하는 경우(동의 거부 권리 및 동의 거부에 따른 불이익 사항을 고지하지 않은 경우 등)

---

3.1.5 간접수집 보호조치

인증기준 : 정보주체(이용자) 이외로부터 개인정보를 수집하거나 제공받는 경우에는 업무에 필요한 최소한의 개인정보만 수집, 이용하여야 하고 법령에 근거하거나 정보주체(이용자)의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다.

 

확인사항

- 정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의 획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통하여 명시하고 있는가?

- 공개된 매체 및 장소에서 개인정보를 수집하는 경우 정보주체(이용자)의 공개 목적, 범위 및 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 수집, 이용하는가?

- 서비스 계약 이행을 위하여 필요한 경우로서 사업자가 서비스 제공 과정에서 자동 수집장치 등에 의하여 수집, 생성하는 개인정보(이용내역 등)의 경우에도 최소수집 원칙을 적용하고 있는가?

- 정보주체(이용자) 이외로부터 수집하는 개인정보에 대하여 정보주체(이용자)의 요구가 있는 경우 즉시 필요한 사항을 정보주체(이용자)에게 알리고 있는가?

- 정보주체(이용자) 이외로부터 수집한 개인정보를 처리하는 경우 개인정보의 종류, 규모 등이 법적 요건에 해당하는 경우 필요한 사항을 정보주체(이용자)에게 알리고 있는가?

- 정보주체(이용자)에게 수집출처에 대하여 알린 기록을 해당 개인정보의 파기 시까지 보관, 관리하고 있는가?

 

관련법규

- 개인정보 보호법 제16조(개인정보의 수집 제한), 제19조(개인정보를 제공받은 자의 이용, 제공 제한), 제20조(정보주체 이외로부터 수집한 개인정보의 개인정보 수집 출처 등 고지)

 

증거자료

- 개인정보 제공 관련 계약서(제공하는 자와의 계약 사항)

- 개인정보 수집출처에 대한 정보주체(이용자) 통지 내역

- 개인정보 처리방침

 

결함사례

1) 인터넷 홈페이지, SNS에 공개된 개인정보를 수집하고 있는 상태에서 정보주체(이용자)의 수집출처 요구에 대한 처리절차가 존재하지 않은 경우

2) 개인정보 보호법 제17조제1항제1호에 따라 다른 사업자로부터 개인정보 제공동의를 근거로 개인정보를 제공받았으나 이에 대하여 해당 정보주체에게 3개월 내에 통지하지 않은 경우

3) 서비스 제공과 직접 관련이 없는 타깃 마케팅 목적으로 쿠키에 포함된 개인정보를 동의받지 않고 수집하는 경우

---

3.1.6 영상정보처리기기 설치/운영

인증기준 : 영상정보처리기기를 공개된 장소에 설치, 운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항(안내판 설치등)을 준수하고 적절한 보호대책을 수립/이행하여야 한다.

 

확인사항

- 공개된 장소에 영상정보처리기기를 설치, 운영할 경우 법적으로 허용한 장소 및 목적인지 검토하고 있는가?

- 공공기관이 공개된 장소에 영상정보처리기기를 설치, 운영하려는 경우 공청회, 설명회 개최 등의 법령에 따른 절차를 거처 관계 전문가 및 이해관계자의 의견을 수렴하고 있는가?

- 영상정보처리기기 설치, 운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하고 있는가?

- 영상정보처리기기 및 영상정보의 아전한 관리를 위한 영상정보처리기기 운영, 관리 방침을 마련하여 시행하고 있는가?

- 영상정보의 보관 기간을 정하고 있으며 보관 기간 만료 시 지체 없이 삭제하고 있는가?

- 영상정보처리기기 설치, 운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가?

 

관련법규

- 개인정보 보호법 제25조(영상정보처리기기의 설치/운영 제한)

 

증거자료

- 영상정보처리기기 운영 현황

- 영상정보처리기기 안내판

- 영상정보처리기기 운영/관리방침

- 영상정보처리기기 관리화면(계정/권한 내역, 영상정보 보존기간 등)

- 영상정보처리기기 운영 수탁자와의 계약서 및 점검 이력

 

결함사례

1) 영상정보처리기기 안내판의 고지 문구가 일부 누락되어 운영되고 있거나 영상정보처리기기 운영/관리 방침을 수립/운영하고 있지 않은 경우

2) 영상정보처리기기 운영/관리 방침을 수립 운영하고 있으나 방침 내용과 달리 보관기간을 준수하지 않고 운영되고너, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술사항이 준수되지 않는 등 관리가 미흡한 경우

3) 영상정보치리기기의 설치/운영 사무에 외부 업체에 위탁을 주고 있으나 영상정보의 관리 현황 점검에 관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구하는 내용을 영상정보 처리기기 업무 위탁 계약서에 명시하지 않은 경우

4) 영상정보처리기기의 설치, 운영 사무를 외부업체에 위탁을 주고 있으나 영상정보처리기기 안내판에 수탁자의 명칭과 연락처를 누락하여 고지한 경우

---

3.1.7 홍보 및 마케팅 목적 활용 시 조치

인증기준 : 재화나 서비스의 홍보, 판매 권유, 광고성 정보전송 등 마케팅 목적으로 개인정보를 수집/이용하는 경우에는 그 목적을 정보주체(이용자)가 명확하게 인지할 수 있도록 고지하고 동의를 받아야 한다.

 

확인사항

- 정보주체(이용자)에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보 처리에 대한 동의를 받는 경우 정보주체(이용자)가 이를 명확하게 인지할 수 있도록 알리고 별도의 동의를 받고 있는가?

- 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수신자의 명시적인 사전 동의를 받고 있으며, 2년마다 정기적으로 수신자의 수신동의 여부를 확인하고 있는가?

- 전자적 전송매체를 이용한 영리목적의 광고성 정보 전송에 대하여 수신자가 수신 거부의사를 표시하거나 사전 동의를 철회한 경우 영리목적의 광고성 정보 전송을 중단하도록 하고 있는가?

- 영리목적의 광고성 정보를 전송하는 경우 전송자의 명칭, 수신거부 방법 등을 구체적으로 밝히고 있으며 야간시간에는 전송하지 않도록 하고 있는가?

 

관련법규

- 개인정보 보호법 제22조(동의를 받는 방법)

- 정보통신망법 제50조(광고성 정보 전송 제한)

 

증거자료

- 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일 회원가입 화면, 이벤트 참여 등)

- 오프라인 개인정보 수집 양식(회원가입신청서 등)

- 마케팅 동의 기록

- 광고성 정보전송 수신동의 기록 및 수신동의 의사확인 기록

- 광고성 정보 발송 시스템 관리자 화면(메일, SMS, 앱 푸시 등)

- 광고성 정보 발송 문구

- 개인정보 처리방침

 

결함사례

1) 홍보 및 마케팅 목적으로 개인정보를 수집하면서 부가서비스 제공 등과 같이 목적이 모호하게 안내하는 경우 또는 다른 목적으로 수집하는 개인정보와 구분하지 않고 포괄 동의를 받는 경우

2) 모바일 앱에서 광고성 정보전송(앱 푸시)에 대하여 거부 의사를 밝혔으나, 프로그램 오류 등의 이유로 광고성 앱 푸시가 이루어지는 경우

3) 온라인 회원가입 화면에서 문자, 이메일에 의한 광고성 정보 전송에 대하여 디폴트로 체크되어 있는 경우

4) 광고성 정보 수신동의 여부에 대하여 2년마다 확인하지 않은 경우