정보보호 및 개인정보 관리체계(ISMS-P)

hoegon kim·2023년 5월 2일
0

정보보안교육

목록 보기
20/22
post-thumbnail

9 개인정보 처리단계별 요구사항(2)

3.2 개인정보 보유 및 이용 시 보호조치

정보주체(이용자)에게 동의 받은 목적에 따라 수집 개인정보 이용

표시제한 적용

  • 업무처리시 과도한 개인정보 이용 방지

수집 시 동의 받은 목적 또는 법령 근거 범위 초과 이용 제공 금지

  • 목적 외 이용 제공 시 별도 동의 또는 법적 요건 준수

3.2.1 개인정보 현황관리

< 인증기준 >

수집 보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다.

< 주요확인사항 >

  • 수집 보유하고 있는 개인정보의 항목, 보유량, 처리목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가

  • 공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하고 있는가

  • 공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하고 있는가

3.2.2 개인정보 품질 보장

< 인증기준 >

수집된 개인정보는 처리 목적에 필요한 범위에서 개인정보의 정확성 완전성 최신성이 보장되로록 정보주체(이용자)에게 관리 절차를 제공하여야 한다.

< 주요확인사항 >

  • 수집된 개인정보는 내부 절차에 따라 안전하게 처리하도록 관리하며 최신의 상태로 정확하게 유지하고 있는가

  • 정보주체(이용자)가 개인정보의 정확성 완전성 및 최신성을 유지할 수 있는 방법을 제공하고 있는가

3.2.3 개인정보 표시제한 및 이용 시 보호조치

< 인증기준 >

개인정보의 조치 및 출력(인쇄, 화면표시, 파일생성 등)시 용도를 특정하고 용도에 따라 출력항목 최소화, 개인정보 표시제한, 출력물 보호조치 등을 수행하여야 한다. 또한 빅데이터 분석, 테스트 등 데이터 처리과정에서 개인정보가 과도하게 이용되지 않도록 업무상 반드시 필요하지 않은 개인정보는 삭제하거나 또는 식별할 수 없도록 조치하여야 한다.

< 주요확인사항 >

  • 개인정보의 조치 및 출력시 용도를 특정하고 용도에 따라 출력항목을 최소화 하고 있는가

  • 개인정보 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가

  • 개인정보가 표함된 종이 인쇄물 등 개인정보의 출력 복사물을 안전하게 관리하기 위해 피룡한 보호조치를 하고 있는가

  • 개인정보 검색 시 불필요하거나 과도한 정보가 조회되지 않도록 일치검색 또는 두 가지 항목 이상의 검색조건을 요구하고 있는가

  • 개인정보를 비식별화하여 이용 제공 시 재식별화의 위험을 최소화할 수 있도록 적절한 방법으로 비식별 조치를 수행하고 이에 대한 적정성을 평가하고 있는가

  • 개인정보를 비식별화하여 이용 제공시 안전조치를 적용하고 재식별 가능성을 모니터링 하고 있는가

3.2.4 이용자 단말기 접근 보호

< 인증기준 >

정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근이 필요한 경우 이를 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받아야한다.

< 주요확인사항 >

  • 정보주체 이용자의 이동통신단말 장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한이 필요한 경우 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받고 있는가

  • 이동통신단말장치 내에서 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌경우, 정보주체(이용자)가 동의하지 않아도 서비스 제공을 거부하지 않도록 하고 있는가

  • 이동통신단말장치 내에서 해당 접근권한에 대한 정보주체(이용자)의 동의 및 철회 방법을 마련하고 있는가

< 서비스 이용 위한 필수 기능이 아닌 경우 >

  • 동의하지 않아도 서비스 이용 가능함을 안내

  • 접근권한 동의 철회하고자 하는 경우 방법 안내

  • 동의와 유사 노력으로 동의 철회 가능하도록 기능 제공

3.2.5 개인정보 목적 외 이용 및 제공

< 인증기준 >

개인정보는 수집시의 정보주체(이용자)에게 고지 동의를 받은 목적 또는 법령에 근거한 범위내에서만 이용 또는 제공하여야 하며, 이를 초과하여 이용 제공하려는 때에는 정보주체(이용자)의 추가 동의를 받거나 관계 법령에 따른 적법한 경우인지 확인하고 적절한 보호대책을 수립 이행하여야 한다.

< 주요확인사항 >

  • 개인정보는 최초 수집 시 정보주체 이용자로 부터 동의 받은 목적 또는 법령에 근거한 범위 내에서만 이용 제공하고 있는가 ?

  • 개인정보를 수집 목적 또는 범위를 초과하여 이용하거나 제공하는 경우 정보주체(이용자)로부터 별도의 동의를 받거나 법적 근거가 있는 경우로 제한하고 있는가

  • 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우 제공받는 자에게 이용목적 방법 등을 제한하거나 안전성 확보를 위해 필요한 조치를 마련하도록 요청하고 있는가

  • 공공기관이 개인정보를 목적 외의 용도록 이요하거나 제3자에게 제공하는 경우 그 이용 또는 제공의 법적근거 목적 및 범위 등에 관하여 필요한 사항을 관보 또는 인터넷 홈페이지 등에 게재하고 있는가

  • 공공기관이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 목적 외 이용 및 제3자 제공대장에 기록 관리하고 있는가

3.3 개인정보 제공 시 보호조치

3.3.1 개인정보 제3자 제공

< 인증 기준 >

개인정보 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)에게 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립 이행하여야 한다.

< 주요확인사항 >

  • 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가

  • 개인정보의 제3자 제공 동의는 수집 이용에 대한 동의와 구분하여 받고 이에 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않도록 하고 있는가

  • 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가

  • 개인정보를 제3자에게 제공하는 경우 안전한 절차와 방법을 통해 제공하고 제공 내역을 기록하여 보관하고 있는가

  • 제3자에게 개읹어보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가

개인정보 제3자 제공

  • 송소신 구간 암호화 등 안전한 절차 및 방법 사용

  • 정보 제공 내역 기록

  • 개인정보처리방침 통해 제공내역 공개

  • 제3자에게 개인정보 접근 허용 시 보호대책 적용

3.3.2 업무 위탁에 따른 정보주체 고지

< 인증기준 >

개인정보 처리업무를 제3자게에 위탁하는 경우 위탁하는 업무의 내용과 수탁자 등 관련사항을 정보주체에게 알려야 하며, 필요한 경우 동의를 받아야 한다.

< 주요확인사항 >

  • 개인정보 처리업무를 제3자에게 위탁하는 경우 인터넷 홈페이지 등에 위탁하는 업무의 내용과 수탁작를 현행화하여 공개하고 있는가

  • 개인정보 처리 위탁에 대한 동의가 필요한 경우 처리 위탁을 받은 자와 위탁하는 업무의 내용을 알리고 동의를 받고 있는가

  • 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 문자전송 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알리고 있는가

  • 수탁자 또는 위탁하는 업무의 내용이 변경된 경우 해당 내용을 알리거나 필요한 경우 동의를 받고 있는가

  • 수탁자가 위탁받은 업무를 제3자에게 재위탁하려는 경우 위탁자의 사전 동의를 받도록 하고 있는가

3.3.3 영업의 양수 등에 따른 개인정보의 이전

< 인증기준 >

영업의 양도 합병 등으로 개인정보를 이전하거나 이전받는 경우 정보주체(이용자) 통지 등 적절한 보호조치를 수립 이행하여야 한다.

< 주요확인사항 >

  • 영업의 전부 또는 일부의 양도 합병 등으로 개인정보를 다른 사람에게 이전하는 경우 필요한 사항을 사전에 정보주체(이용자)에게 알리고 있는가

  • 영업 양수자 등은 법적 통지 요건에 해당될 경우 개인정보를 이전받은 사실을 정보주체(이용자)에게 지체 없이 알리고 있는가

  • 개인정보를 이전받는 자는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자게에게 제공하고 있는가

3.3.4 개인정보의 국외이전

< 인증기준 >

개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립 이행하여야 한다.

< 주요확인사항 >

  • 개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받고 있는가

  • 정보통신 서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 이용자의 개인정보를 국외에 처리위탁 또는 보관하는 경우에는 동의에 갈음하여 관련사항을 이용자에게 알리고 있는가

  • 개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가

  • 개인정보를 국외로 이전하는 경우 개인정보 보호를 위해 필요한 조치를 취하고 있는가

profile
hoegon kim
이전 포스트

정보보호 및 개인정보 관리체계(ISMS-P)

다음 포스트

정보보호 및 개인정보 관리체계(ISMS-P)

0개의 댓글