ISMS-P 인증 기준 3.1.1.개인정보 수집 제한 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
| 최신판 | 당신의 편집 | ||
| 1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | |||
*'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]] | |||
*'''분류''': [[ISMS-P 인증 기준 3.1.개인정보 수집 시 보호조치|3.1.개인정보 수집 시 보호조치]] | |||
==개요== | |||
{| class="wikitable" | |||
!항목 | |||
!3.1.1.개인정보 수집 제한 | |||
|- | |||
| style="text-align:center" |'''인증기준''' | |||
|개인정보는 적법하고 정당하게 수집∙이용하여야 하며, 정보주체의 동의를 근거로 수집하는 경우에는 적법한 방법으로 정보주체의 동의를 받아야 한다. 또한 만 14세 미만 아동의 개인정보를 수집하는 경우에는 그 법정대리인의 동의를 받아야 하며 법정대리인이 동의하였는지를 확인하여야 한다. | |||
|- | |||
|'''주요 확인사항''' | |||
| | |||
* 개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결∙이행 등 적법 요건에 따라 수집하고 있는가? | |||
* 정보주체에게 개인정보 수집 동의를 받는 경우 동의방법 및 시점은 적절하게 되어 있는가? | |||
* 정보주체에게 개인정보 수집 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 표시하고 있는가? | |||
* 만 14세 미만 아동의 개인정보에 대해 수집∙이용∙제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가? | |||
* 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가? | |||
* 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하고 있는가? | |||
* 정보주체 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가? | |||
* 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알리고 있는가? | |||
* 정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 이용이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가? | |||
|} | |||
'''※ 2023년 10월 31일 개정''' | |||
== 관련 법률 == | |||
* [[개인정보 보호법 제15조]](개인정보의 수집ㆍ이용) | |||
** 인증심사 대상기관이 개인정보 보호법 제15조를 위반한 경우 항상 3.1.1 위반이다. | |||
* [[개인정보 보호법 제22조]](동의를 받는 방법) | |||
==세부 설명== | |||
====필요최소한의 정보 수집==== | |||
*개인정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위하여 필요한 범위 내에서 최소한의 정보만을 수집하여야 한다. | |||
**정보주체(이용자)의 동의를 받거나 법령에 따른 개인정보 수집 또는 계약의 체결·이행 등을 위하여 불가피하게 개인정보를 수집하는 경우에도 필요한 최소한의 개인정보만을 수집하여야 함. | |||
**최소한의 개인정보에 대한 입증책임은 개인정보처리자가 부담하므로 필수로 수집하는 정보에 대하여 서비스 제공 등에 필요한 최소한의 개인정보임을 입증할 수 있어야 함. (이때 최소한의 개인정보란 해당 서비스의 본질적 기능을 위하여 반드시 필요한 정보를 말함.) | |||
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px"> | |||
'''※ 최소정보(예시)''' | |||
*쇼핑업체가 고객에게 상품을 배송하기 위하여 수집한 이름, 주소, 전화번호 등은 필요 최소한의 개인정보라고 할 수 있으나, 직업, 생년월일 등 배송과 관련 없는 개인정보를 요구하는 것은 최소 정보의 범위를 벗어난 것임. | |||
*취업 희망자의 경력, 전공, 자격증 등에 관한 정보는 업무 능력을 판단하기 위한 최소한의 정보라고 할 수 있으나, 가족관계, 결혼유무, 본적(원적) 등에 관한 정보는 최소한의 정보를 벗어난 것임.</div> | |||
====선택 정보 별도 동의==== | |||
*수집 목적에 필요한 최소한의 정보 외의 개인정보를 수집하는 경우 정보주체(이용자)가 해당 개인정보의 제공 여부를 선택할 수 있도록 하여야 한다. | |||
**정보주체(이용자)가 직접 동의 여부를 선택할 수 있도록 수집하는 개인정보의 항목을 필수 동의 항목과 선택 동의 항목으로 구분하여 각각 동의를 받을 수 있도록 하여야 함. | |||
====서비스 제공 거부 금지==== | |||
*정보주체(이용자)가 수집 목적에 필요한 최소한의 정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하여야 한다. | |||
**정보주체(이용자)가 선택항목에 대한 동의를 거부하더라도 서비스의 이용이 가능하다는 사실을 명확하게 표시하여 알 수 있도록 고지 | |||
**회원가입 과정에서 선택정보에 대하여 동의를 하지 않거나 입력을 하지 않더라도 회원가입 등 필수적인 서비스는 이용이 가능하도록 구현 | |||
*※ 상세한 내용은 ʻ알기 쉬운 개인정보 처리 동의 안내서(개인정보보호위원회)ʼ 참고 | |||
==증거 자료== | |||
*온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 화면 등) | |||
*오프라인 개인정보 수집 양식(멤버십 가입신청서 등) | |||
*개인정보 처리방침 | |||
==결함 사례== | |||
*회원가입 시 서비스 제공을 위하여 필요한 최소한의 정보 외의 기타 정보를 수집하면서 필수항목과 선택항목으로 구분하지 않고 일괄로 동의를 받는 경우 | |||
*회원가입 양식에서 필수정보와 선택정보로 나눠서 동의를 받고 있으나, 필수정보에 포함된 개인정보 항목에 서비스 제공을 위하여 필요한 최소한의 정보 외의 과도한 개인정보 항목이 포함되어 있는 경우 | |||
*회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택 정보에 대하여 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우(개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등) | |||
*홈페이지 회원가입 화면에서 선택사항에 대하여 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우 | |||
*채용 계약 시 채용 예정 직무와 직접 관련이 없는 가족사항 등 과도한 개인정보를 수집하는 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
