ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3)

3. 개인정보 처리 단계별 요구사항 - 수보제파권
3.1 개인정보 수집 시 보호조치	수 - 제동 주민간 영홍	3.1.1 개인정보 수집제한 3.1.2 개인정보 수집동의 3.1.3 주민등록번호 처리제한 3.1.4 민감정보및고유식별정보처리제한 3.1.5 간접수집 시 보호조치 3.1.6 영상정보처리기기 설치.운영 3.1.7 홍보및 마케팅 목적 활용시 조치
3.2 개인정보 보유 및 이용시 보호조치	보 - 현품표 단목	3.2.1 개인정보 현황관리 3.2.2 개인정보 품질보장 3.2.3 개인정보 표시제한 및 이용시 보호조치 3.2.4 이용자 단말기 접근 보호 3.2.5 개인정보 목적외 이용 및 제공
3.3 개인정보 제공 시 보호조치	제 - 3위영국	3.3.1 개인정보 제3자 제공 3.3.2 업무위탁에 따른 정보주체 고지 3.3.3 영업의 양수에 따른 개인정보이전 3.3.4 개인정보의 국외이전
3.4 개인정보 파기 시 보호조치	파 - 파목휴	3.4.1 개인정보의 파기 3.4.2 처리목적 달성 후 보유 시 조치 3.4.3 휴면 이용자 관리
3.5 정보주체 권리보장	권 - 처권통	3.5.1 개인정보처리방침 공개 3.5.2 정보추제 권리보장 3.5.2 이용내역 통지

 

3.4 개인정보 파기 시 보호조치 (파목휴)

항목	설명 및 사례	keyword
3.4.1 개인정보의 파기	•1)처리목적이 달성되거나  2)보유기간이 경과,  3)처리목적 달성후, 3.4.2 처리목적 달성후 보유시 조치에 의해 저장    되었다가 법령에 따른 보존기관이 경과한경우 지체없이 개인정보를  파기하여야 한다. (5일 이내 파기) • 개인정보 수집및 이용목적을 달성한 경우    - 정보주체(이용자)가 웹사이트 회원에서 탈퇴한 경우    - 이용자가 초고속인터넷을 해지한 경우    - 정보주체(이용자)가 마일리지 회원에서 탈퇴를 요청한 경우    - 개인정보를 수집하는 이벤트가 종료된 경우    - 제3의 업체에게 텔레마케팅을 위해 정보를 제공한 후 해당 업체의      TM업무가 종료된 경우 • 단, [전자상거래 등에서의 소비자보호에 관한 법률및시행령]에서는   대금결재및 재화공급에관한 기록을 5년 간 보관하도록 하고 있으며  ,요금미납,A/S 등에 해당하는 경우에는 5년 간 보관이 가능  소비자불만및 분쟁처리에 관한 기록은 3년 •파기시 복구.재생되지 않도록 (현재의 기술수준에서 사회통념상 적정한 비용으로 파기한 정보의 복원이 불가능하도록 하는 방법)  - 완전파괴 : 소각, 파쇄  - 전용 소자방비 : 디가우저  - 초기화 또는 덮어쓰기 (매직으로 마스킹처리도 가능) •파기에 대한 대장관리 (하드디스크의 경우는 일련번호를 기록해야 한다.)	보유기간 및 파기 정책, 불필요 시 파기, 안전한 방법 파기, 파기 기록 관리
3.4.2 처리목적 달성후 보유 시 조치	•목적달성,보유기간경과후에도 법령에 따라 보존하는 경우 최소한의  기간과 최소한의 항목만 보존한다.  ( 위 [전자상거래..] 법률에 의해서 대금결재,재화공급,요금미납,A/S 등   때문에 5년간 보관이 허용되지만 대신 다른 개인정보와 분리해서   보관해야한다) •보관시 다른 개인정보와 논리적 또는 물리적으로 분리하여 보관한다. •분리보관된 개인정보의 접근권한 최소한 인원으로	불필요 시 최소 기간, 최소정보, 분리보관, 목적 범위 내 처리, 접근권한 최소인원 제한
3.4.3 휴면 이용자 관리 (정통망법에만 규정되어있음)	정보통신서비스 제공자(즉 정통망법) 등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 지체 없이 파기하거나 분리 보관해야 함(개인정보 유효기간제) •휴면이용자의 개인정보를 파기 또는 분리보관      (물리적까지 분리는 아니고. 테이블분리만)  - 1년동안 미이용시 파기하거나 분리보관 한다.    (개인정보 유효기간제로 시행주기는 5일 이내) -> 한달단위로 하는 건 안됨(X)  - 단순 광고이메일 클릭으로는 안되면 로그인 여부로 미이용여부를 판단 •이용자의 요청이 있는 경우 예외적으로 1년 이외의 서비스 미이용  기간을 정할 수 있음. (즉 이용자의 요청이 없는 한 1년 기준적용) •분리보관하는 항목은 최초 개인정보항목 뿐만 아니라 접속로그, 결제  기록 등 서비스이용시 생성되는 정보도 포함하여 분리보관한다. •이용자의 재이용 요청이 있는 경우를 대비하여 온라인 이용자의 편의  성을 높이기 위한 목적으로 ID 등 최소한의 연결값을 서비스 중인 DB  에 남겨두는 것은 가능함 (단 이름,연락처 등 과도한 개인정보를 남기  는 건 안된다.) •분리되어 저장․관리하는 휴면 이용자의 개인정보는 법령에 따른 보관  목적 또는 이용자의 요청에 대해서만 이용 및 제공하여야 한다. •통지항목(사만항)   - 파기되는 사실   - 기간 만료일   - 파기되는 개인정보 항목	파기 또는 분리보관, 알림, 보관목적 또는 이용자 요청 이용, 접근권한 최소인원 제한

 

3.5 정보주체 권리보장 (처권통)

항목	설명 및 사례	keyword
3.5.1 개인정보처리방침         공개	•개인정보 처리방침을 홈페이지등에 지속적으로 공개  - '개인정보 처리방침' 이라는 표준화된 명칭 사용  - 클자크기, 색상달리해서 쉽게 확인할수있도록  인사 간신 관계 - 인터넷홈페이지, 사업장, 간행물 ,신문, 관보, 계약서 •홈페이지 없는 경우  - 사업장 등의 보기쉬운 장소에 비치  - 관보,일간신문,인터넷신문  - 연2회 이상 발행하는 간행물,소식지,홍보지,청구서  - 계약서 •단 개인정보 처리방침에 등록이 면제되는 개인정보파일  (공공기관만 해당) - 국범조내비  1.국가,안전,외교상비밀에 관련된 개인정보파일  2.범죄의 수사,공소제기.형.감호,교정 집행,출입국관리  3.조세범처벌법, 관세법 에 따른 범칙행위 조사사항  4.공공기관의 내부적 업무처리용  5.법령에 따라 비밀로 분류된 파일 * 개인정보파일을 등록하지 않아도 되므로 개인정보 처리방침에 공개   안해도 된다 •개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체없이 공지하고 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다.   - 단, 변경 전.후를 비교할 수 있도록 공개하여야 한다. •개인정보 처리방침에 포함해야할 필수사항       개인정보보호법                              정통망법 목항기 3위권 부자파안 1.개인정보의 처리목적                         1.개인정보 수집.이용목적 2.개인정보의 처리 및 보유기간                 .수집하는 항목및 수집방법 3.제3자 제공에 관한사항                       2.제3자 제공하는 경우 4.위탁에 관한 사항                   :제공받는자의 성명,이용목적,제공항목 5.정보주체의 권리.의무 및 그 행사방법     6.개인정보 보호책임자의 성명 또는       3.보유 및 이용기간, 파기 절차    부서명과 그 연락처                         4.처리위탁을 하는 업무내용과 7.자동으로 수집하는 장치의 설치              수탁자   ,운영 거부에 관한                               5.이용자의 권리,행사방법 <시행령> 8.처리하는 개인정보 항목                      6.자동으로 수집하는 장치 9.파기에 관한 사항                                 설치,운영,거부 10.안정성 확보조치에 관한                    7.개인정보 보호책임자의                                                           성명, 부서명과 연락처 * 개보법이나 정통망법이나 거의 비슷하고 개보법에서만 안전성확보    조치항목이 더 추가됐을뿐이다 * 개보법에서는      1.개인정보의 처리목적,      2.개인정보 처리및 보유기간,      8.처리하는 개인정보항목 으로 목항기가 표현되는데 반해 * 정통망법에서는      1.개인정보 수집.이용목적, 수집하는 개인정보의 항목및 수집방법        3. 개인정보의 보유및 이용기간, 개인정보의 파기절차 등 2개 항목으로 표현한다. • 기타 기재사항 (열변부구영)  - 개인정보의 열람.정정.삭제.처리정지 요구권 관련  - 개인정보 처리방침의 변경에 관한 사항  - 개인정보 열람청구를 접수.처리하는 부서  - 정보주체의 권익침해에 대한 구제방법  - 영상정보처리기기 운영.관리에 관한 사항	처리방침 공개, 요구내용 포함, 변경 시 공지, 이력관리
3.5.2 정보주체 권리보장	•정보주체 또는 그 대리인이 열람,정정,삭제,처리정지,이의제기,동의철회(이하 열람)  요구를 쉽게할 수 있도록 권리행사방법과 절차를 마련.   (수집절차, 회원가입절차보다 쉽게해야 함) •열람시 발생하는 수수료,우편료는 청구가능하나 사유가 개인정보처리자에게 있는 경우 청구할수없음 •열람요구를 받은 후 10일 이내 조치   만약 처리하는데 10일이내에 조치가 불가하다면 10일 이내에 그 사유를 알려야함 •열람 거부가능 사유 (법생 조성 채보감)  1.법률에 의해 금지된 경우  2.다른 사람의 생명.신체를 해하거나 재산상 이익을 부당 하게 침해할    우려가 있는 경우  3.공공기관이 다음 업무 진행시 중대한 지장 초래시    - 조세의 부과.징수.환급 업무    - 성적평가. 입학자선발 업무    - 학력.기능 및 채용에 관한 시험.자격심사에 관한 업무    - 보상금.급부금 산정 업무    - 진행중인 감사. 조사 업무 •처리정지 요구 거부 가능 사유 (법생 소계)  1. 법률에 규정이 있거나 .법령상 의무준수하기 위하여 불가피한 경우  2..다른 사람의 생명.신체를 해하거나 재산.이익을 부당하게 침해할    우려가 있는 경우  3. 공공기관의 소관업무 수행  4. 처리하지 아니하면 계약한 서비스를 제공하기 곤란한 경우로서    정보주체가 해지의사를 명확히 밝히지 않은 경우	행사방법(열람, 정정·삭제, 처리정지)    및 절차, 이의제기, 동의철회, 처리기록, 타인권리침해
3.5.3 이용내역 통지	•개인정보 이용내역을 주기적으로 통지 (정통망법에 의한 정보통신서비스제공자에한함)  - 대상 : ①전년도 말 기준 직전 3개월간 이용자수가                일일평균 100만영 이상이거나            ②정보통신서비스 전년도매출액이 100억원               이상인 정보통신서비스 제공자             * 망분리 대상이랑 동일함. 100,100  - 주기 : 연 1회 이상  - 방법 : 전자우편, 서면, 모사전송, 전화등 유사한방법            (위 통지방법대신 홈페이지등에 게제하는 건 안된다.)            (단, 연락처등 통지할수 있는 개인정보를 수집하지 아니한 경우             에는 통지 안해도 된다.)	이용내역 주기적 통지     (100/100연1회), 통지항목 법 요구항목 포함