ISMS-P 인증심사원 주요 암기사항 편집하기 (부분)

=== 개인정보 보호 일반 ===
'''개인정보 수집·이용 동의 항목'''

#개인정보의 수집·이용 '''목'''적
#수집하려는 개인정보의 '''항'''목
#개인정보의 보유 및 이용'''기'''간
#동의를 '''거'''부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
'''개인정보 제3자 제공 시 동의 항목'''

# 개인정보를 제공받는 '''자'''
# 개인정보를 제공받는 자의 개인정보 이용 '''목'''적
# 제공하는 개인정보의 '''항'''목
# 개인정보를 제공받는 자의 개인정보 보유 및 이용 '''기'''간
# 동의를 '''거'''부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

'''서면 동의 시 중요하게 표시하여야 하는 내용'''

#개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
#처리하는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호
#개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
#개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

'''서면 동의 시 중요한 내용의 표시 방법'''

#글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
#동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것

'''정보주체 이외로부터의 수집 시 통지 대상'''

#5만 명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자
#100만 명 이상의 정보주체에 관한 개인정보를 처리하는 자

'''정보주체 이외로부터의 수집 시 통지 항목'''

#개인정보의 수집 출처
#개인정보의 처리 목적
#개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실

'''정보주체 이외로부터의 수집 시 통지 시기''' 

#'''(기본)''' 개인정보를 제공받는 날로부터 3개월 이내
#'''(예외)''' 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는
#*제공받은 날부터 3개월 이내에 통지하거나
#*그 동의를 받은 날부터 '''기산하여 연 1회 이상''' 통지
'''개인정보 위수탁 시 계약서에 포함될 사항'''

# 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
# 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
# 위탁업무의 목적 및 범위
# 재위탁 제한에 관한 사항<ref>재위탁 제한이지 '금지'가 아님을 주의. 일반적으로 재위탁을 위해선 위탁자에게 사전에 알리거나 협의를 해야한다는 내용이 들어간다.</ref>
# 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
# 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
# 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

'''법률에 따라 주민등록번호를 수집 가능한 경우'''<ref>[[ISMS-P 인증 기준 3.1.3.주민등록번호 처리 제한|안내서에서 명시한]] 개인정보 보호법, 정보통신망법의 사항만 기술하였다. 금융실명제법, 소득세법 등 개별 법률에서 규정한 경우들이 많으며, 이들 모두 아래의 1번 사항에 해당한다.</ref>

#법률·대통령령·국회규칙·대법원규칙·헌법재판소 규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
#정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
#주민등록번호 처리가 불가피한 경우로서 개인 정보보호위원회가 고시로 정하는 경우
#본인확인기관으로 지정받은 경우
#｢전기통신사업법｣ 제38조제1항에 따라 기간 통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 제23조의3에 따라 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련하여 이용자의 주민 등록번호를 수집·이용하는 경우

'''타 법령에 따른 보유기간(예시)'''

#전자상거래 등에서 소비자 보호에 관한 법률
#*① 표시·광고에 관한 기록: '''6개월'''
#*② 계약 또는 청약철회 등에 관한 기록: '''5년'''
#*③ 대금결제 및 재화 등의 공급에 관한 기록: '''5년'''
#*④ 소비자의 불만 또는 분쟁처리에 관한 기록: '''3년'''
#통신비밀보호법컴퓨터 통신 또는 인터넷의 로그기록 자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적 자료: '''3개월'''
'''정보주체의 권리'''
*열람, 정정, 삭제, 처리정지 요구
*개인정보 처리자는 요구를 받은 날로부터 '''10일 내''' 회신

'''개인정보 파기'''

*특별한 사정이 없는 한 개인정보가 불필요하게 된 때로부터 '''5일 내''' 파기<ref>5일이 법정 기한은 아니며, 특별한 사정이 있으면 5일을 초과할 수도 있음.</ref>
'''개인정보 보호책임자 지정 기준'''

*'''공공기관'''
*#'''헌법기관 및 중앙행정기관''': 고위공무원<ref>그에 상당하는 공무원. 이하 공무원 직급에 관한 모든 케이스에서 동일하다.</ref>
*#'''정무직공무원이 장인 기관''': 3급 이상 공무원
*#'''고위공무원이 장인 기관''': 4급 이상 공무원
*#'''시도·교육청''': 3급 이상 공무원
*#'''시군·자치구''': 4급 이상 공무원
*#'''각급 학교''': 해당 학교의 행정사무를 총괄하는 사람
*#'''그 외 공공기관등''': 개인정보 처리 관련 업무를 담당하는 부서의 장
*'''그 외'''
*#사업주 또는 대표자
*#임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

'''개인정보 처리방침 포함 항목'''

#개인정보의 처리 '''목적'''
#처리하는 개인정보의 '''항목'''
#개인정보의 처리 및 보유 '''기간'''
#개인정보의 '''제3자 제공'''에 관한 사항(해당하는 경우에만 정한다)
#영 제14조의2제2항에 따라 개인정보의 추가적인 이용 또는 제공이 지속적으로 발생하는 경우 같은 조 제1항 각호의 고려사항에 대한 판단 기준(해당하는 경우에만 정한다)
#인터넷 접속정보파일 등 개인정보를 '''자동으로 수집'''하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
#개인정보의 '''파'''기절차 및 파기방법(보존하여야 하는 경우 보존근거와 보존하는 개인정보 항목 포함)
#'''민'''감정보의 공개 가능성 및 비공개를 선택하는 방법 (해당하는 경우에만 정한다)
#개인정보 처리 '''위탁'''에 관한 사항(해당하는 경우에만 정한다)
#'''가'''명정보의 처리 등에 관한 사항(해당하는 경우에만 정한다)
#영 제30조에 따른 개인정보의 '''안전성''' 확보조치에 관한 사항
#개인정보 처리방침의 변경에 관한 사항
#개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충 처리 부서의 명칭과 전화번호 등 '''연락처'''
#법 제31조의2제1항에 따라 국내대리인을 지정하는 경우 국내대리인의 성명, 주소, 전화번호 및 전자우편 주소(해당되는 경우에만 정한다)
#개인정보의 열람, 정정ㆍ삭제, 처리정지 요구권 등 정보주체와 법정대리인의 '''권리'''ㆍ의무 및 그 행사방법에 관한 사항
#개인정보의 열람청구를 접수ㆍ처리하는 부서
#정보주체의 권익침해에 대한 구제방법


'''개인정보 이용 내역 통지 대상'''

#5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자
#100만명 이상의 정보주체에 관하여 개인정보를 처리하는자 (전년도 말 기준 직전 '''3개월'''간 일일평균을 기준으로 산정)

'''개인정보 이용 내역 통지 방법 및 예외'''

#'''통지 주기''': 연 1회 이상
#'''통지 방법''': 서면·전자우편·문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법
#'''통지 예외''': 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우

'''개인정보 이용내역 통지 항목'''

#개인정보의 수집·이용 '''목적''' 및 수집한 개인정보의 '''항목'''
#개인정보를 제공받은 '''자와''' 그 제공 '''목적''' 및 제공한 개인정보의 '''항목'''<ref>다만 ｢통신비밀보호법｣ 제13조, 제13조의2, 제13조의4 및 ｢전기통신사업법｣ 제83조제3항에 따라 제공한 정보는 제외</ref>

'''개인정보 유출 시 통지 및 신고 의무 및 기한'''

#'''(정보주체 통지)''' 유출 건수와 상관 없이 72시간 이내 통지
#'''(정부당국 신고)''' 유출된 정보주체의 수가 1천명 이상인 경우<ref>개인정보보호위원회 또는 한국인터넷진흥원에 신고</ref>
#'''(홈페이지 게시)''' 정보주체 연락처를 알수 없는 경우 홈페이지 or 사업장 30일 이상 게시
#(산용정보법) 유출된 신용정보주체의 수가 1만명 이상인 경우

'''개인정보 유출 시 통지 항목'''

#유출등이 된 '''개인정보 항목'''
#유출등이 발생한 '''시점'''과 '''경위'''
#'''이용자'''가 피해를 최소화하기 위해 취할 수 있는 '''조치'''
#'''정보통신서비스''' 제공자등의 대응 '''조치'''
#이용자가 상담 등을 접수할 수 있는 '''부서 및 연락처'''
'''개인정보 국외 이전 동의 시 고지사항'''

* 개인정보처리자: 제3자 제공과 동일
* 정보통신서비스제공자: 아래와 같음(제3자 제공과 상이)
** 1. 이전되는 개인정보 항목
** 2. 개인정보가 이전되는 국가, 이전일시 및 이전 방법
** 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)
** 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
'''개인정보 국외 이전 시 계약에 반영할 사항'''

* 1. 개인정보 보호를 위한 안전성 확보 조치
* 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
* 3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치
'''[[개인정보 손해배상 책임보험]] 가입금액'''

* 최소 기준: 1만명, 매출액 10억 이상
* 5천 -> 1억 -> 2억 -> 5억 -> 10억

{| class="wikitable"
!정보주체 수
!매출액등<ref>정보통신분야 서비스의 매출액이 아닌 전체 매출액 기준임에 주의</ref>
!최저가입(적립)금액
|-
| rowspan="3" |100만명 이상
|800억원 초과
|10억원
|-
|50억원 초과～800억원 이하
|5억원
|-
|10억원 이상～50억원 이하
|2억원
|-
| rowspan="3" |10만~100만명
|800억원 초과
|5억원
|-
|50억원 초과～800억원 이하
|2억원
|-
|10억원 이상～50억원 이하
|1억원
|-
| rowspan="3" |'''1만~10만명'''
|800억원 초과
|2억원
|-
|50억원 초과～800억원 이하
|1억원
|-
|10억원 이상～50억원 이하
|5천만원
|}