[ISMS-P] 개인정보 처리 단계별 요구사항 (3.2 개인정보 보유 및 이용 시 보호조치)

#개인정보 처리 단계별 요구사항 기준

3.2 개인정보 보유 및 이용 시 보호조치

3.2.1 개인정보 현황 관리

인증기준 : 수집/보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관게기관의 장에게 등록하여야 한다.

 

확인사항

- 수집/보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가?

- 공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하고 있는가?
- 공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하고 있는가?

 

관련법규

- 개인정보 보호법 제32조(개인정보파일의 등록 및 공개)

 

증거자료

- 개인정보 현황표, 개인정보 흐름표/흐름도

- 개인정보파일 등록 현황

- 개인정보파일 관리대장

- 개인정보 처리방침

 

결함사례

1) 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우

2) 신규 개인정보파일을 구축한 지 2개월이 경과하였으나 해당 개인정보파일을 개인정보보호위원회에 등록하지 않은 경우

3) 개인정보위원회에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는 개인정보 파일 현황과 상이한 경우

---

3.2.2 개인정보 품질보장

인증기준 : 수집된 개인정보는 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성, 최신성이 보장되도록 정보주체(이용자)에게 관리절차를 제공하여야 한다.

 

확인사항

- 수집된 개인정보는 내부 절차에 따라 안전하게 처리하도록 관리하며 최신의 상태로 정확하게 유지하고 있는가?

- 정보주체(이용자)가 개인정보의 정확성, 완전성 및 최신성을 유지할 수 있는 방법을 제공하고 있는가?

관련법규

- 개인정보 보호법 제3조(개인정보 보호 원칙)

 

증거자료

- 정보주체(이용자) 개인정보 변경 양식(온라인, 오프라인)

 

결함사례

1) 인터넷 홈페이지를 통하여 회원정보를 변경할 때는 본인확인 절차를 거치고 있으나, 고객센터 상담원과의 통화를 통한 회원 정보 변경 시에는 본인확인 절차가 미흡하여 회원정보의 불법적인 변경이 가능한 경우

2) 온라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있으나, 오프라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있지 않은 경우

---

3.2.3 개인정보 표시제한 및 이용 시 보호조치

인증기준 : 개인정보의 조회 및 출력(인쇄, 화면표시, 파일생성 등) 시 용도를 특정하고 용도에 따라 출력 항목 최소화, 개인정보 표시제한, 출력물 보호조치 등을 수행하여야 한다. 또한 빅데이터 분석, 테스트 등 데이터 처리과정에서 개인정보가 과도하게 이용되지 않도록 업무상 반드시 필요하지 않은 개인정보는 삭제하거나 또는 식별할 수 없도록 조치하여야 한다.

 

확인사항

- 개인정보의 조회 및 출력(인쇄, 화면표시, 파일생성 등) 시 용도를 특정하고 용도에 따라 출력항목을 최소화하고 있는가?

- 개인정보 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가?

- 개인정보가 포함된 종이 인쇄물 등 개인정보의 출력/복사물을 안전하게 관리하기 위하여 필요한 보호조치를 하고 있는가?

- 개인정보가 포함된 종이 인쇄물 등 개인정보의 출력/복사물을 안전하게 관리하기 위하여 필요한 보호조치를 하고 있는가?

- 개인정보 검색 시 불필요하거나 과도한 정보가 조회되지 않도록 일치검색 또는 두가지 항목 이상의 검색조건을 요구하고 있는가?

- 개인정보를 가명처리하여 이용,제공 시 추가 정보의 사용, 결합 없이 개인이 알아볼 수 없도록 적절한 방법으로 가명처리를 수행하고 있으며 이에 대한 적정성을 평가하고 있는가? 또한, 다른 개인정보처리자 간의 가명정보 결합은 국가에서 지정한 전문기관을 통하고 있는가?
- 가명정보를 처리하는 경우 추가 정보를 삭제 또는 별도로 분리하여 보관/관리하는 등 안전성 확보에 필요한 기술적/관리적 및 물리적 조치를 하고 있는가? 또한, 가명정보의 처리내용을 관리하기 위하여 관련 기록을 작성/보관하고 있는가?

 

관련법규

- 개인정보 보호법 제3조(개인정보 보호 원칙), 제28조의2(가명정보의 처리 등), 제28조의3(가명정보의 결합 제한), 제28조의4(가명정보에 대한 안전조치의무 등), 제28조의5(가명정보 처리 시 금지의무 등), 제28조의6(가명정보 처리에 관한 과징금 부과 등), 제28조의7(적용범위), 제29조(안전조치의무), 제58조의2(적용제외)

- 개인정보 기술적/관리적 보호지치 기준 제9조(출력/복사 시 보호조치, 제10조(개인정보 표시 제한 보호조치)

 

증거자료

- 개인정보처리시스템의 개인정보 조회, 검색화면

- 개인정보 마스킹 표준

- 출력/복사물 보호조치 현황

- 가명처리/익명처리 적정성 평가 절차 및 결과

- 가명정보 처리 기록

- 개인정보처리방침(가명정보 이용/제공에 관한 사항) 등

 

결함사례

1) 개인정보 표시제한 조치 기준이 마련되어 있지 않거나 이를 준수하지 않는 등의 사유로 동일한 개인정보 항목에 대하여 개인정보처리시스템 화면별로 서로 다른 마스킹 기준이 적용된 경우

2) 개인정보처리시스템의 화면상에는 개인정보가 마스킹되어 표시되어 있으나, 웹브라우저 소스보기를 통하여 마스킹되지 않은 전체 개인정보가 노출되는 경우

3) 개인정보 검색 화면에서 전체적으로 like 검색이 허용되어 성씨만으로도 불필요하게 과도한 개인정보가 조회되는 경우

4) 통계작성 및 과학적 연구를 위하여 정보주체 동의 없이 가명정보를 처리하면서 가명정보 처리에 관한 기록을 남기고 있지 않거나, 또는 개인정보 처리방침에 관련 사항을 공개하지 않은 경우

5) 가명정보와 동일한 데이터베이스 내에 추가 정보를 분리하지 않고 보관하고 있거나 또는 가명정보와 추가 정보에 대한 접근권한이 적절히 분리되지 않은 경우

6) 개인정보를 가명처리하여 활용하고 있으나 적정한 수준의 가명처리가 수행되지 않아 추가 정보의 사용 없이도 다른 정보와의 결합 등을 통하여 특정 개인을 알아볼 수 있는 가능성이 존재하는 경우

7) 테스트 데이터 생성, 외부 공개 등을 위하여 개인정보를 익명처리하였으나 특이치 등으로 인하여 특정 개인에 대한 식별가능성이 존재하는 등 익명처리가 적정하게 수행되었다고 보기 어려운 경우

---

3.2.4 이용자 단말기 접근 보호

인증기준 : 정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근이 필요한 경우 이를 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받아야 한다.

 

확인사항

- 정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한이 필요한 경우 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받고 있는가?

- 이동통신단말장치 내에서 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우, 정보주체(이용자)가 동의하지 않아도 서비스 제공을 거부하지 않도록 하고 있는가?

- 이동통신단말장치 내에서 해당 접근권한에 대한 정보주체(이용자)의 동의 및 철회 방법을 마련하고 있는가?

 

관련법규

- 정보통신망법 제22조의2(접근권한에 대한 동의)

 

증거자료

- 앱 접근권한 동의 화면

- 앱 접근권한 설정 화면

 

결합사례

1) 스마트폰 앱에서 서비스에 불필요함에도 불구하고 주소록, 사진, 문자 등 스마트폰 내 개인정보 영역에 접근할 수 있는 권한을 과도하게 설정한 경우

2) 정보통신서비스 제공자의 스마트폰 앱에서 스마트폰 내에 저장되어 있는 정보 및 설치된 기능에 접근하면서 접근권한에 대한 고지 및 동의를 받지 않고 있는 경우

3) 스마트폰 앱의 접근권한에 대한 동의를 받으면서 선택사항에 해당하는 권한을 필수권한으로 고지하여 동의를 받는 경우

4) 접근권한에 대한 개별동의가 불가능한 안드로이드 6.0 미만 버전을 지원하는 스마트폰 앱을 배포하면서 선택적 접근권한을 함께 설정하여 선택적 접근권한에 대하여 거부할 수 없도록 하고 있는 경우

---

3.2.5 개인정보 목적 외 이용 및 제공

인증기준 : 개인정보는 수집 시의 정보주체(이용자)에게 고지/동의를 받은 목적 또는 법령에 근거한 범위 내에서만 이용 또는 제공하여야 하며, 이를 초과하여 이용/제공하려는 때에는 정보주체(이용자)의 추가 동의를 받거나 관계 법령에 따른 적접한 경우인지 확인하고 적절한 보호대책을 수립/이행하여야 한다.

 

확인사항

- 개인정보는 최최 수집 시 정보주체(이용자)로부터 동의받은 목적 또는 법령에 근거한 범위 내에서만 이용/제공하고 있는가?

- 개인정보를 수집 목적 또는 범위를 초과하여 이용하거나 제공하는 경우 정보주체(이용자)로부터 별도의 동의를 받거나 법적 근거가 있는 경우로 제한하고 있는가?

- 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우 제공받는 자에게 이용목적, 방법 등을 제한하거나 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하고 있는가?

- 공공기관이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 관보 또는 인터넷 홈페이지 등에 게재하고 있는가?

- 공공기관이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 목적 외 이용 및 제3자 제공대장에 기록/관리하고 있는가?

 

관련법규

- 개인정보 보호법 제18조(개인정보의 목적 외 이용/제공 제한)

 

증거자료

- 개인정보 목적 외 이용 및 제3자 제공 내역(요청서 등 관련 증적 포함)

- 개인정보 목적 외 이용 및 제3자 제공 대장(공공기관인 경우)

- 홈페이지 또는 관보 게재 내역(공공기관인 경우)

 

결함사례

1) 상품배송을 목적으로 수집한 개인정보를 사전에 동의받지 않은 자사 상품의 통신판매 광고에 이용한 경우

2) 고객 만족도 조사, 경품 행사에 응모하기 위하여 수집한 개인정보를 자사의 할인판매행사 안내용 광고 발송에 이용한 경우

3) 공공기관이 다른 법률에 근거하여 민원인의 개인정보를 목적 외로 타 기관에 제공하면서 관련 사항을 관보 또는 인터넷 홈페이지에 게시하지 않은 경우

4) 공공기관이 범죄 수사의 목적으로 경찰서에 개인정보를 제공하면서 '개인정보 목적 외 이용 및 제3자 제공 대장

'에 관련 사항을 기록하지 않은 경우