[ISMS-P] 개인정보 처리 단계별 요구사항 (3.4 개인정보 파기 시 보호조치)

#개인정보 처리 단계별 요구사항 기준

3.4 개인정보 파기 시 보호조치

3.4.1 개인정보의 파기

인증기준 : 개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다.

 

확인사항

- 개인정보의 보유기간 및 파기와 관련된 내부 정책을 수립하고 있는가?

- 개인정보의 처리목적이 달성되거나 보유기간이 경과한 경우 지체 없이 해당 개인정보를 파기하고 있는가?

- 개인정보를 파기할 때에는 복구/재생되지 않도록 안전한 방법으로 파기하고 있는가?

- 개인정보 파기에 대한 기록을 남기고 관리하고 있는가?

 

관련법규

- 개인정보 보호법 제21조(개인정보의 파기)

- 개인정보의 안전성 확보조치 기준 제13조(개인정보의 파기)

 

증거자료

- 개인정보 보유기간 및 파기 관련 규정

- 개인정보 파기 결과(회원 데이터베이스 등)

- 개인정보 파기관리대장

 

결함사례

1) 회원 탈퇴 등 목적이 달성되거나 보유기간이 경과된 경우 회원 데이터베이스에서는 해당 개인정보를 파기하였으나, CRM/DW 등 연계된 개인정보처리시스템에 복제되어 저장되어 있는 개인정보를 파기하지 않은 경우

2) 특정 기간 동안 이벤트를 하면서 수집된 개인정보에 대하여 이벤트가 종료된 이후에도 파기 기준이 수립되어 있지 않거나 파기가 이루어지고 있지 않은 경우

3) 콜센터에서 수집되는 민원처리 관련 개인정보(상담이력, 녹취 등)를 전자상거래법을 근거로 3년가 보존하고 있으나 3년이 경과한 후에도 파기하지 않고 보관하고 있는 경우

---

3.4.2 처리목적 달성 후 보유 시 조치

인증기준 : 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장/관리하여야 한다.

 

확인사항

- 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가?

- 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장/관리하고 있는가?

- 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하고 있는가?

- 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?

 

관련법규

- 개인정보 보호법 제21조(개인정보의 파기)

 

증거자료

- 개인정보 보유기간 및 파기 관련 규정

- 분리 데이터베이스 현황(테이블 구조 등)

- 분리 데이터베이스 접근권한 현황

 

결함사례

1) 탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 일정기간 보관하면서 Flag값만 변경하여 다른 회원정보와 동일한 테이블에 보관하고 있는 경우

2) 전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록을 법적 의무보존 기간인 3년을 초과하여 5년간 보존하고 있는 경우

3) 분리 데이터베이스를 구성하였으나 접근권한을 별도로 설정하지 않아 업무상 접근이 불필요한 인원도 분리 데이터베이스에 자유롭게 접근이 가능한 경우

---

3.4.3 휴면 이용자 관리

인증기준 : 서비스를 일정기간 동안 이용하지 않는 휴면 이용자의 개인정보를 보호하기 위하여 관련 사항의 통지, 개인정보의 파기 또는 분리보관 등 적절한 보호조치를 이행하여야 한다.

 

확인사항

- 정보통신서비스 제공자 등은 법령에서 정한 기간 동안 이용하지 않는 휴면 이용자의 개인정보를 파기 또는 분리 보관하고 있는가?

- 휴면 이용자의 개인정보를 파기하거나 분리하여 저장/관리하려는 경우 이용자에게 알리고 있는가?

- 분리되어 저장/관리하는 휴면 이용자의 개인정보는 법령에 따른 보관 목적 또는 이용자의 요청에 대해서만 이용 및 제공하고 있는가?

- 분리되어 저장/관리하는 휴면 이용자의 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?

 

관련법규

- 개인정보 보호법 제39조의6(개인정보의 파기에 대한 특례)

 

증거자료

- 휴면 이용자 선정 기준

- 휴면 데이터베이스(분리 데이터베이스) 현황

- 휴면 이용자 대상 사전 통지 내역

 

결함사례

1) 개인정보 유효기간제를 적용받는 정보통신서비스 제공자가 1년 이상 서비스를 접속하지 않은 이용자의 개인정보를 지체 없이 파기 또는 분리 보관하지 않고 월 단위로 파기 또는 분리 보관하고 있는 경우

2) 1년간 홈페이지 로그인하지 않은 회원정보를 별도 데이터베이스에 분리 보관하였으나, 이때 분리된 회원데이터베이스에 접근 가능한 관리자를 최소인원으로 제한하지 않고 기존에 고객 데이터베이스의 조회 권한이 부여된 개발자, 운영자 모두가 분리된 회원 데이터베이스에서 고객정보 조회가 가능한 경우

3) 휴면 이용자의 재이용 요청에 대비하여 회원 데이터베이스에 일부 정보를 남겨 두면서 이름, 연락처 등 과도한 정보를 저장하고 있는 경우