정보보호 및 개인정보 관리체계(ISMS-P)

hoegon kim·2023년 5월 2일
0

정보보안교육

목록 보기
21/22
post-thumbnail

10 개인정보 처리단계별 요구사항(3)

3.4 개인정보 파기 시 보호조치

< 보유기간 만료된 개인정보 파기 >

개인정보를 재생 및 복구불가능한 형태

사회 통념상 현재 기술 수준에서 적절 비용 소요되는 방법

3.4.1 개인정보의 파기

< 인증기준 >

개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체없이 파기하여야 한다.

< 주요확인사항 >

  • 개인정보의 보유기간 및 파기와 관련된 내부 정책을 수립하고 있는가

  • 개인정보의 처리목적이 달성되거나 보유기간이 경과한 경우 지체없이 해당 개인정보를 파기하고 있는가

  • 개인정보를 파기할 때에는 복구 재생되지 않도록 안전한 방법으로 파기하고 있는가

  • 개인정보 파기에 대한 기록을 남기고 관리하고 있는가

< 개인정보 수집 목적 달성 >

이후 보관 시 개인정보 유출 및 오용 가능성 증대

개인정보를 파기하여야함.

5일 이내 개인정보 파기

정보주체(이용자)서비스 탈퇴 → 해당 서비스 폐지 → 사업종료

3.4.2 처리목적 달성 후 보유 시 조치

< 인증기준 >

개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장 관리하여야 한다.

< 주요확인사항 >

  • 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우, 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가

  • 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장 관리하고 있는가

  • 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하고 있는가

  • 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가

3.4.3 휴면 이용자 관리

< 인증기준 >

서비스를 일정기간 동안 이용하지 않는 휴면 이용자의 개인정보를 보호하기 위하여 관련 사항의 통지, 개읹어보의 파기 또는 분리 보관 등 적절한 보호조치를 이행하여야 한다.

< 주요확인사항 >

  • 정보통신서비스 제공자등은 법령에서 정한 기간 동안 이용하지 않는 휴면 이용자의 개인정보를 파기 또는 분리 보관하고 있는가

  • 휴면 이용자의 개인정보를 파기하거나 분리하여 저장 관리하려는 경우 이용자에게 알리고 있는가

  • 분리되어 저장 관리하는 휴면 이용자의 개인정보는 법령에 따른 보관 목적 또는 이용자의 요청에 대해서만 이용 및 제공하고 있는가

  • 분리되어 저장 관리하는 휴면 이용자의 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가

3.5 정보주체 권리 보호

개인정보 처리방침 수립

처리하는 개인정보의 모든 사실 포함 → 지속적 공개 → 연 1회이상 이용자에게 개인정보 처리 시설 개별 통지

3.5.1 개인정보처리방침 공개

< 인증기준 >

개인정보 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화 하여야 한다.

< 주요확인사항 >

  • 개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화 하여 공개하고 있는가

  • 개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하고 있는가

  • 개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체없이 공지하고 정보주체(이용자)가 언제든지 변견된 사항을 쉽게 알아 볼 수 있도록 조치하고 있는가

3.5.2 정보주체 권리보장

< 인증기준 >

정보주체(이용자)가 개인정보의 열람, 정정 삭제, 처리정지, 이의제기, 동의철회 요구를 수집 방법 절차보다 쉽게 할 수 있도록 권리행사 방법 및 절차를 수립 이행하고 정보주체(이용자)의 요구를 받은 경우 지체없이 처리하고 관련 기록을 남겨야 한다.

또한 정보주체(이용자)의 사생활 침해, 명예훼손 등 타인의 권리를 침해하는 정보가 유통되지 않도록 삭제 요청, 임시 조치등의 기준을 수립 이행하여야 한다.

< 주요확인사항 >

  • 정보주체(이용자) 또는 그 대리인이 개인정보에 대한 열람, 정정 삭제, 처리정지, 이의제게, 동의 철회(이하 열람 등)요구를 개인정보 수집방법 절차보다 쉽게 할 수 있도록 권리 행사 방법 및 절차를 마련하고 있는가

  • 정보주체(이용자) 또는 그 대리인이 개인정보 열람 요구를 하는 경우 규정된 기간 내에 열람 가능하도록 필요한 조치를 하고 있는가

  • 정보주체(이용자) 또는 그 대리인이 개인정보 정정 삭제 요구를 하는경우 규정된 기간 내에 정정 삭제 등 필요한 조치를 하고 있는가

  • 정보주체(이용자) 또는 그 대리인이 개인정보 처리정지 요구를 하는 경우 규정된 기간 내에 처리정지 등 필요한 조치를 하고 있는가

  • 정보주체(이용자)의 요구에 대한 조치에 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하여 안내하고 있는가

  • 정보주체(이용자) 또는 그 대리인이 개인정보 수집 이용 제공 등 동의를 철회하는 경우 지체없이 수집된 개인정보를 파기하는 등 필요한 조치를 취하고 있는가

  • 개인정보 열람 등의 요구 및 처리 결과에 대하여 기록을 남기고 있는가

  • 정보통신망에서 사생활 침해 또는 명예훼손 등 타인의 권리를 침해한 경우 침해를 받은 자가 정보통신서비스 제공자에게 정보의 삭제 요청 등을 할 수 있는 절차를 마련하여 시행하고 있는가

3.5.3 이용내역 통지

< 인증기준 >

개인정보의 이용내역 등 정보주체(이용자)에게 통지하여야 할 사항을 파악하여 그 내용을 주기적으로 통지하여야 한다.

< 주요확인사항 >

  • 법적 의무 대상자에 해당하는 경우 개인정보 이용내역을 주기적으로 정보주체(이용자)에게 통지하고 그 기록을 남기고 있는가

  • 개인정보 이용내역 통지 항목은 법적 요구항목을 모두 포함하고 있는가

수집한 개인정보의 이용내역을 연1회 이상 정보주체(이용자)에게 통지

개인정보 처리 위탁 포함

profile
hoegon kim
이전 포스트

정보보호 및 개인정보 관리체계(ISMS-P)

다음 포스트

정보보호 및 개인정보 관리체계(ISMS-P) - 교육 목차

0개의 댓글