ISMS-P 결함사례 (7/7)

3.3.1 개인정보 제3자 제공
동법소급/동요법	3. 개인정보 처리단계별 요구사항 - 수보제 파권     3.2 개인정보 제공 시 보호조치 - 3위영국
사례 1 : 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항          (동의 거부권, 제공하는 항목 등)을 누락한 경우 (목항기거자) 사례 2 : 개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지           않은 정보주체(이용자)의 개인정보가 함께 제공된 경우 사례 3 : 개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하고            동의를 받은 경우 사례 4 : 회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원            가입 절차가 더 이상 진행되지 않도록 되어 있는 경우 사례 5 : 제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우     언뜻 보면 3.1.1 개인정보의 수집제한이나 3.1.2 개인정보 수집 동의 의 결함사례로 볼수 있으나 초점은     모두 제3자 제공시 내용이기 때문에 3.3.1 개인정보 제3자 제공의 결함으로 봐야한다.

3.3.2 업무 위탁에 따른 정보주체 고지
(누동재) 개인정보처리방침에 수탁사,위탁업무내용 누락 정통망법에서는 동의필요 (변경시에도 필요) 위탁자 승인없이 재위탁	3. 개인정보 처리단계별 요구사항 - 수보제 파권     3.2 개인정보 제공 시 보호조치 - 3위영국
사례 1 : 홈페이지 개인정보 처리방침에 개인정보 처리업무 위탁 사항을 공개하고 있으나 일부 수탁사와 위탁하는           업무의 내용이 누락된 경우           (★★★★단, 재화나 서비스를 홍보,판매를 권유하는 업무를 위탁한 경우에는 업무의 내용과 수탁자를                       정보주체에게 서면,문자,메일 등을 방법으로 알려야 한다) 사례 2 : 정보통신서비스 제공자이면서 정보통신서비스 제공에 관한 계약 이행과 무관한 개인정보 처리 업무를           위탁하면서 수탁자를 개인정보 처리방침에 공개하는 것으로 갈음하여 이용자의 동의를 받지 않은 경우 사례 3 : 정보통신서비스 제공자로부터 개인정보 처리업무를 위탁받은 수탁자가 위탁자의 승인없이 개인정보           처리업무를 재위탁 한 경우 기타 : 정보통신서비스 제공자 A는 개인정보처리 업무를 위탁하면서 이용자로부터 동의를 받지 않았다. 대신         개인정보처리방침에 위탁사항을 공개하였다.(X)  -> 동의 받아야 한다. 기타 : 정보통신서비스 제공자 A는 수탁자와 위탁하는 업무의 내용이 일부 변경 되었으나 개인정보처리방침에만         반영하고 이용자에게 재동의는 받지 않았다. (X) -> 위탁관련 내용이 바뀌면 재동의 받아야 한다. 기타 : 개인정보처리방침에 업무 위탁사항이 포함되어 있으나 일부 수탁자와 위탁하는 업무의 내용이 누락되어있다.(X)          -> 지속적으로 공개하여야 한다. 기타 : 수탁자 B는 A사의 동의없이 위탁 받은 업무를 C사에게 위탁하였다. (X) -> 재위탁 동의건도 3.3.2 결함쪽이다. 기타 : A쇼핑몰은 위탁에 따른 정보주체의 동의가 필요한 경우 위탁의 목적, 항목 및 기간에 대한 내용을 정보주체에게        알리고 동의를 받는다. (X)  -> 정보통신서비스제공자 이므로 위탁시 다음 각호의 사항을 알리고 동의를 받아야 한다.                                            (1) 처리위탁을 받은 자                                           (2) 처리위탁하는 업무의 내용

3.3.3 영업의 양수 등에 따른 개인정보의 이전
	3. 개인정보 처리단계별 요구사항 - 수보제 파권     3.2 개인정보 제공 시 보호조치 - 3위영국
사례 1 : 정보통신서비스 제공자가 영업 양수를 통해 개인정보를 이전 받으면서 양도자가 이미 통지 했다는 이유로           개인정보 이전 사실 등에 대해 이용자에게 알리지 않은 경우           (망통통 - 망법을 적용받는 정보통신서비스제공자는 양도자,양수자 둘다 주조건 통지 의무가 있다) 사례 2 : 개인정보처리자가 영업 양수를 통해 개인정보를 이전 받으면서 양도자가 개인정보 이전사실을 알리지            않았음에도 개인정보 이전 사실을 정보주체에게 알리지 않은 경우           (개통면 - 개보법을 적용받는 개인정보처리자는 양도자가 먼저 통지한 경우에 한해서 양수자 통지 면제해준다) 사례 3 : 영업 양수도 등에 의해 개인정보를 이전받으면서 정보주체(이용자)가 이전을 원하지 않은 경우 조치할           수 있는 방법과 절차를 마련하지 않거나, 이를 정보주체(이용자)에게 알리지 않은 경우

3.3.4 개인정보의 국외이전
	3. 개인정보 처리단계별 요구사항 - 수보제 파권     3.2 개인정보 제공 시 보호조치 - 3위영국
사례 1 : 개인정보를 처리하는 과정에서 해외 사업자에게 개인정보 국외 이전이 발생하였으나 이에 대한 동의를            받지 않은 경우 사례 2 : 정보통신서비스 제공자가 필수적인 서비스 제공을 위하여 해외 클라우드 서비스를 이용하여 개인정보             처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 홈페이지에 공개하거나 이용자에게            알리지 않은 경우 사례 3 : 정보통신서비스 제공자가 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭(업체명)만            고지하고 이전되는 국가 등에 대해 알리지 않은 경우 사례 4 : 정보통신서비스 제공자가 계약의 이행 및 이용자 편의 증진과 직접적인 관련이 없는 개인정보 처리업무           를 위해 해외 클라우드 서비스(일본 도쿄 리전, 미국 버지니아 리전 등)를 사용하면서 국외 이전 관련 이용자 동의를 받지 않은 경우 (비용절감을 위해 홈페이지를 AWS 미국 리전으로 옮기면서 동의를 받지 않음)

3.4.1 개인정보의 파기
	3. 개인정보 처리단계별 요구사항 - 수보제 파권     3.2 개인정보 파기 시 보호조치 - 파목휴
사례 1 : 회원 탈퇴 등 목적이 달성되거나 보유기간이 경과된 경우 회원DB에서는 해당 개인정보를 파기하였으나           CRM, DW 등 연계된 개인정보처리시스템에 복제되어 저장되어 있는 개인정보를 파기하지 않은 경우 사례 2 : 특정 기간 동안 이벤트를 하면서 수집된 개인정보에 대해 이벤트가 종료된 이후에도 파기기준이 수립           되어 있지 않거나 파기가 이루어지고 있지 않은 경우 사례 3 : 콜센터에서 수집되는 민원처리 관련 개인정보(상담이력, 녹취 등)를 전자상거래법을 근거로 3년간 보존            하고 있으나, 3년이 경과한 후에도 파기하지 않고 보관하고 있는 경우 기타 : 파기대상 하드디스크를 디가우저를 이용해 사용불능으로 만들고 파기대장에 대상시스템명을 기록하였다.        (대상시스템명이 아닌 하드디스크의 일련번호를 기록해야 한다.) 기타 : 회원DB에서 개인정보를 파기하고 DW시스템에 연계된 개인정보는 매주 1회 DW운영부서에 요청하여         파기하고 있다. (x)  -> 5일 이내 파기하여야 한다.

3.4.2 처리목적 달성 후 보유 시 조치
	3. 개인정보 처리단계별 요구사항 - 수보제 파권     3.2 개인정보 파기 시 보호조치 - 파목휴
사례 1 : 탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 일정기간 보관하면서 Flag값만 변경하여 다른            회원정보와 동일한 테이블에 보관하고 있는 경우 (목적이 달성되어 파기해야하나 다른 법령때문에 보관)               -> 탈퇴회원 정보는 모두 회원테이블에서 삭제하고 별도 DB에 분리 보관해야 하다.                   반면 휴면회원 정보는 key값만 남겨두고 flag 처리가 가능 사례 2 : 전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록을 법적 의무보존 기간인 3년을 초과하여           5년간 보존하고 있는 경우 사례 3 : 분리 DB를 구성하였으나 접근권한을 별도로 설정하지 않아 업무상 접근이 불필요한 인원도 분리 DB에           자유롭게 접근이 가능한 경우

3.4.3 휴면 이용자 관리
	3. 개인정보 처리단계별 요구사항 - 수보제 파권     3.2 개인정보 파기 시 보호조치 - 파목휴
사례 1 : 개인정보 유효기간제를 적용받는 정보통신서비스 제공자가 1년 이상 서비스를 접속하지 않은 이용자의           개인정보를 지체 없이 파기 또는 분리 보관하지 않고 월단위로 파기 또는 분리보관하고 있는 경우           (5일 이내 파기하거나 분리보관하여야 한다) 사례 2 : 1년간 홈페이지에 로그인 하지 않은 회원정보를 별도 DB에 분리 보관하였으나, 이 때 분리된 회원DB에           접근 가능한 관리자를 최소인원으로 제한하지 않고 기존에 고객DB의 조회 권한이 부여된 개발자, 운영자           모두가 분리된 회원DB에서 고객정보 조회가 가능한 경우 사례 3 : 휴면 이용자의 재이용 요청에 대비하여 회원 DB에 일부 정보를 남겨두면서 이름, 연락처등 과도한 정보            를 저장하고 있는 경우 (연결 키값정도만 운영DB에 남겨두는건 상관없다)

3.5.1 개인정보처리방침 공개
	3. 개인정보 처리단계별 요구사항 - 수보제 파권     3.2 정보주체 권리보장 - 처권통
사례 1 : 개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과            다른 경우 사례 2 : 개인정보 보호책임자의 변경, 수탁자 변경 등 개인정보 처리방침 공개 내용 중에 변경사항이 발생하였음           에도 이를 반영하여 변경하지 않은 경우 사례 3 : 개인정보 처리방침이 공개는 되어 있으나, 명칭이 ʻ개인정보 처리방침ʼ이 아니라 ʻ개인정보보호정책ʼ           으로 되어 있고 글자 크기, 색상 등을 활용하여 정보주체(이용자)가 쉽게 찾을 수있도록 되어 있지 않은           경우 사례 4 : 개인정보 처리방침이 수차례 개정되었으나 예전에 작성된 개인정보 처리방침의 내용을 확인할 수 있도록            공개되어 있지 않은 경우

3.5.2 정보주체 권리보장
(열10기대탈)	3. 개인정보 처리단계별 요구사항 - 수보제 파권     3.2 정보주체 권리보장 - 처권통
사례 1 : 개인정보의 열람, 정정 삭제, 처리정지 요구 방법을 정보주체가 알 수 있도록 공개하지 않은 경우          (예) E사는 개인정보의 열람, 정정 삭제, 처리정지 요구 방법을 정보주체가 알 수 있도록 공개하지 않아서                갱징정보처리부서의 담당자에게 문의하여 관련 사항을 처리할 수있었다. (X) 사례 2 : 개인정보의 열람 요구에 대하여 정당한 사유의 통지 없이 열람 요구를 접수받은 날로부터 10일을 초과            하여 회신하고 있는 경우 사례 3 : 개인정보의 열람 민원에 대한 처리 내역 기록 및 보관이 이루어지지 않은 경우 사례 4 : 정보주체 당사자 또는 정당한 대리인이 맞는지에 대한 확인 절차 없이 열람 통지가 이루어지는 경우 사례 5 : 개인정보의 정정 ․삭제 요구에 대하여 정정 ․삭제 요구를 접수받은 날로부터 10일을 초과하여 회신하는           경우 사례 6 : 회원 가입 시에는 온라인을 통해 쉽게 회원 가입이 가능하였으나, 회원 탈퇴 시에는 신분증등 추가 서류           를 제출하게 하거나 오프라인 방문을 통해서만 가능하도록 하는 경우 기타 : 정보주체가 자신의 개인정보 열람을 요구하였으나 문서고에서 개인정보를 찾는 데 시간이 오래 걸릴 듯 하여         이용자에게 이를 당일 통지하고, 15일 차에 개인정보를 회신하였다, (O)         -> 10일 내에 처리가 불가함을 10일 이내에 통지 했기 때문에 결함이 아니다. 기타 : 고등학교에서 학생의 아버지가 학생의 성적열람을 요청하여 가족관계증명서와 신분증을 확인하고 성적을 열람         하게 하였다, (O)         -> 개인정보 열람요구는 정부주체 뿐만 아니라 그 대리인도 가능하다. 단 대리인이 정당한 대리인인지 합법적인             수단으로 확인하여 한다. 기타 : 부모가 입대한 자녀를 대신하여 가족관계증명서를 제시하고 개인정보처리 정지를 요구하였다. (X)           -> 성인인 자녀의 의사를 대신할 경우 위임장이 필요하다. 기타 : 정보주체가 자신의 회원정보 삭제를 요구했으나 법적으로 구매내역을 보전해야 하는 사유가 있어 회원정보 삭제         가 불가능하다고 3일차에 회신하였다. (X)         -> 회원정보에서 불피요한 부분은 삭제해야 한다

3.5.3 이용내역 통지
	3. 개인정보 처리단계별 요구사항 - 수보제 파권     3.2 정보주체 권리보장 - 처권통
사례 1 : 전년도 정보통신서비스 부문 매출액이 100억원 이상이었으나, 금년도에 개인정보 이용내역을 통지하지            않은 경우 사례 2 : 개인정보 이용내역을 개별 이용자에게 직접적으로 통지하는 대신 홈페이지에서 팝업창이나 별도 공지사            항으로 안내만 한 경우