ISMS-P 인증 기준 3.3.1.개인정보 제3자 제공 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]] | |||
*'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]] | * '''분류''': [[ISMS-P 인증 기준 3.3.개인정보 제공 시 보호조치|3.3.개인정보 제공 시 보호조치]] | ||
*'''분류''': [[ISMS-P 인증 기준 3.3.개인정보 제공 시 보호조치|3.3.개인정보 제공 시 보호조치]] | == 개요 == | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!3.3.1.개인정보 제3자 제공 | !3.3.1.개인정보 제3자 제공 | ||
|- | |- | ||
| style="text-align:center" |'''인증기준''' | | style="text-align:center"|'''인증기준''' | ||
|개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 | |개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
*개인정보를 제3자에게 제공하는 경우 | * 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가? | ||
* 개인정보의 제3자 제공 동의는 수집∙이용에 대한 동의와 구분하여 받고 이에 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않도록 하고 있는가? | |||
* | * 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가? | ||
*개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가? | * 개인정보를 제3자에게 제공 하는 경우 안전한 절차와 방법을 통해 제공하고 제공 내역을 기록하여 보관하고 있는가? | ||
*개인정보를 제3자에게 제공 하는 경우 안전한 절차와 방법을 통해 제공하고 제공 내역을 기록하여 보관하고 있는가? | * 제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가? | ||
*제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가? | |||
|} | |} | ||
==세부 설명 | == 세부 설명 == | ||
* 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받아야 한다. | |||
개인정보를 제3자에게 제공하는 경우 정보주체 | ** 제3자의 범위 | ||
*** 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자(동일한 개인정보처리자 내부의 타 부서 및 조직은 제3자에 해당하지 않음.) | |||
*제3자의 범위 | <div style='padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px'> | ||
**정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자 | * ※ 개인정보의 제3자 제공(예시) | ||
* 개인정보의 저장매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전 | |||
< | |||
*개인정보의 저장매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전 | |||
* 네트워크를 통한 개인정보의 전송 | * 네트워크를 통한 개인정보의 전송 | ||
*개인정보에 대한 제3자의 접근권한 부여 | * 개인정보에 대한 제3자의 접근권한 부여 | ||
*개인정보처리자와 제3자의 개인정보 공유 | * 개인정보처리자와 제3자의 개인정보 공유 | ||
*기타 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위 | * 기타 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위</div> | ||
</ | ** 개인정보를 제3자에게 제공할 수 있는 경우 | ||
<div style='padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px'> | |||
* 1. 정보주체의 동의를 받은 경우 | |||
** | * 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 | ||
* 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 | |||
* 4. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요하다고 인정되는 경우 | |||
* 5. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우 | |||
* 6. 다른 법률에 특별한 규정이 있는 경우</div> | |||
*1. 정보주체의 동의를 받은 경우 | ** 개인정보의 제3자 제공 동의 시 알려야 할 사항 | ||
*2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 | <div style='padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px'> | ||
*3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 | * 1. 개인정보를 제공받는 자 | ||
*4. 명백히 정보주체 또는 제3자의 급박한 | * 2. 개인정보를 제공받는 자의 개인정보 이용목적 | ||
*5. | * 3. 제공하는 개인정보의 항목 | ||
*6. | * 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 | ||
* 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용</div> | |||
** 개인정보의 제3자 제공과 관련하여 기존에 정보주체(이용자)에게 고지한 사항 중 변경이 발생한 경우 정보주체(이용자)에게 관련 변경 내용을 알리고 추가로 동의를 받아야 함. | |||
* | * 개인정보의 제3자 제공 동의는 수집·이용에 대한 동의와 구분하여 받고, 제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면 이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다. | ||
* | * 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하여야 한다. | ||
** 동의에 근거한 제3자 제공 시 : 동의 시 고지한 제공 목적을 달성하기 위하여 필요한 최소한의 개인 정보 항목만 제공하여야 함. | |||
** 법령에 근거한 제3자 제공 시 : 법률에서 구체적으로 명시하거나 해당 법령상 의무를 준수하기 위하여 필요한 범위 내에서 최소한의 개인정보 항목만 제공하여야 함. | |||
* 제3자에게 개인정보를 제공하는 과정에서 개인정보가 유·노출되지 않도록 안전한 절차와 방법을 통하여 제공하고 관련된 제공 내역은 기록하여 보관하여야 한다. | |||
<div style='padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px'> | |||
*1. 개인정보를 제공받는 자 | * ※ 제3자 제공 시 안전한 절차(예시) | ||
*2. 개인정보를 제공받는 자의 개인정보 이용목적 | * 개인정보를 제공하는 자와 제공받는 자의 안전성 확보에 관한 책임관계 명확화(계약서 등) | ||
*3. 제공하는 개인정보의 항목 | * 제3자 제공과 관련된 승인 절차(담당자에 의한 제공 시) | ||
*4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간 | * 전송 또는 전달 과정의 암호화 | ||
*5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용 | |||
</ | |||
* | |||
* | |||
* | |||
개인정보의 제3자 제공 동의는 | |||
* | |||
개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하여야 한다. | |||
*동의에 근거한 제3자 제공 시: 동의 시 고지한 제공 목적을 달성하기 위하여 필요한 최소한의 개인 정보 항목만 제공하여야 함. | |||
*법령에 근거한 제3자 제공 시: 법률에서 구체적으로 명시하거나 해당 법령상 의무를 준수하기 위하여 필요한 범위 내에서 최소한의 개인정보 항목만 제공하여야 함. | |||
제3자에게 개인정보를 제공하는 과정에서 개인정보가 유·노출되지 않도록 안전한 절차와 방법을 통하여 제공하고 관련된 제공 내역은 기록하여 보관하여야 한다.< | |||
*개인정보를 제공하는 자와 제공받는 자의 안전성 확보에 관한 책임관계 명확화(계약서 등) | |||
*제3자 제공과 관련된 승인 절차(담당자에 의한 제공 시) | |||
*전송 또는 전달 과정의 암호화 | |||
* 접근통제, 접근권한 관리 등 안전성 확보 조치 적용 | * 접근통제, 접근권한 관리 등 안전성 확보 조치 적용 | ||
*제공 기록의 보존 등 | * 제공 기록의 보존 등</div> | ||
</ | <div style='padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px'> | ||
* ※ 제3자 제공 기록에 포함하여야 할 내용(예시) | |||
*제공받는 자 | * 제공받는 자 | ||
*제공 일시 | * 제공 일시 | ||
*제공된 개인정보: 정보주체(이용자) 식별정보 및 개인정보 항목 | * 제공된 개인정보 : 정보주체(이용자) 식별정보 및 개인정보 항목 | ||
*제공 목적 또는 근거 | * 제공 목적 또는 근거 | ||
*제공자(담당자): 승인절차가 있는 경우 승인자 포함 | * 제공자(담당자) : 승인절차가 있는 경우 승인자 포함 | ||
*제공 방법: 시스템 연계, 이메일 전송 등 | * 제공 방법 : 시스템 연계, 이메일 전송 등 | ||
*기타 필요한 정보 | * 기타 필요한 정보</div> | ||
</ | * 제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하여야 한다. | ||
** 권한이 있는 자만 접근할 수 있도록 안전한 인증 및 접근통제 조치 | |||
** 전송구간에서의 도청을 방지하기 위한 암호화 조치 | |||
제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하여야 한다. | ** 책임추적성을 확보할 수 있도록 접속기록 보존 등 | ||
== 증거 자료 == | |||
*권한이 있는 자만 접근할 수 있도록 안전한 인증 및 접근통제 조치 | * 온라인 개인정보 제3자 제공 관련 양식(홈페이지 회원가입 화면, 개인정보 제3자 제공 동의 화면 등) | ||
*전송구간에서의 도청을 방지하기 위한 | * 오프라인 개인정보 제3자 제공 관련 양식(회원가입신청서, 개인정보 제3자 제공 동의서 등) | ||
*책임추적성을 확보할 수 있도록 접속기록 보존 등 | * 제3자 제공 내역 | ||
* 개인정보 처리방침 | |||
== 결함 사례 == | |||
* 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우 | |||
* 개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 않은 정보주체(이용자)의 개인정보가 함께 제공된 경우 | |||
==증거 자료== | |||
*온라인 개인정보 제3자 제공 관련 양식(홈페이지 회원가입 화면, 개인정보 제3자 제공 동의 화면 등) | |||
*오프라인 개인정보 제3자 제공 관련 양식(회원가입신청서, 개인정보 제3자 제공 동의서 등) | |||
*제3자 제공 내역 | |||
*개인정보 처리방침 | |||
==결함 사례 == | |||
*개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우 | |||
*개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 않은 정보주체(이용자)의 개인정보가 함께 제공된 경우 | |||
* 개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하고 동의를 받은 경우 | * 개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하고 동의를 받은 경우 | ||
*회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우 | * 회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우 | ||
*제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우 | * 제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우 | ||
== 같이 보기 == | |||
==같이 보기== | * [[정보보호 및 개인정보보호관리체계 인증]] | ||
* [[ISMS-P 인증 기준]] | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | * [[ISMS-P 인증 기준 세부 점검 항목]] | ||
*[[ISMS-P 인증 기준]] | == 참고 문헌 == | ||
*[[ISMS-P 인증 기준 세부 점검 항목]] | * 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | ||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |