ISMS-P 인증 기준 3.4.2.처리목적 달성 후 보유 시 조치 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
 
* '''영역''': [[ISMS-P 인증기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]]
*'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]]
* '''분류''': [[ISMS-P 인증기준 3.4.개인정보 파기 시 보호조치|3.4.개인정보 파기 시 보호조치]]
*'''분류''': [[ISMS-P 인증 기준 3.4.개인정보 파기 시 보호조치|3.4.개인정보 파기 시 보호조치]]
== 개요 ==
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!3.4.2.처리목적 달성 후 보유 시 조치
!3.4.2.처리목적 달성 후 보유 시 조치
|-
|-
| style="text-align:center" |'''인증기준'''
| style="text-align:center"|'''인증기준'''
|개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장·관리하여야 한다.
|개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장·관리하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우, '''관련 법령에 따른 최소한의 기간으로 한정'''하여 최'''소한의 정보만을 보존'''하도록 관리하고 있는가?
* 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우, 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가?
*개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우 해당 개인정보 또는 개인정보파일을 '''다른 개인정보와 분리하여 저장‧관리'''하고 있는가?
* 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장‧관리하고 있는가?
*분리 보관하고 있는 개인정보에 대하여 '''법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리'''하고 있는가?
* 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하고 있는가?
*분리 보관하고 있는 개인정보에 대하여 '''접근권한을 최소한의 인원으로 제한'''하고 있는가?
* 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?
|}
|}
==세부 설명==
== 세부 설명 ==
 
==== 관련 법령에 따른 최소한의 보관 ====
개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하여야 한다.
 
*개인정보의 항목을 보유목적에 맞는 최소한의 항목으로 제한
*관련 법령에 따른 최소기간으로 보유기간 설정
 
<blockquote>'''※ 타 법령에 따른 보유기간(예시)'''
 
*전자상거래 등에서 소비자 보호에 관한 법률
**① 표시·광고에 관한 기록: 6개월
**② 계약 또는 청약철회 등에 관한 기록: 5년
**③ 대금결제 및 재화 등의 공급에 관한 기록: 5년
**④ 소비자의 불만 또는 분쟁처리에 관한 기록: 3년
*통신비밀보호법컴퓨터 통신 또는 인터넷의 로그기록 자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적 자료: 3개월
</blockquote>
 
==== 법령에 따른 보존 정보 분리 보관 ====
개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장·관리하여야 한다.
 
*분리 데이터베이스는 [[개인정보 분리 보관|물리적 또는 논리적으로 분리]]하여 구성
 
==== 분리 보관 정보 목적 내 활용 ====
분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하여야 한다.
 
*분리 보관된 개인정보는 마케팅 등 다른 목적으로 활용 금지
 
==== 분리 보관 정보 접근권한 최소화 ====
분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하여야 한다.
 
*분리 데이터베이스의 접속 권한을 최소인원으로 제한하는 등 접근권한 최소화
*분리 데이터베이스에 대한 접속기록을 남기고 정기적으로 검토 등
 
==증거 자료==
 
*개인정보 보유기간 및 파기 관련 규정
*분리 데이터베이스 현황(테이블 구조 등)
*분리 데이터베이스 접근권한 현황
 
==결함 사례==
 
*탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 일정기간 보관하면서 Flag값만 변경하여 다른 회원정보와 동일한 테이블에 보관하고 있는 경우
*전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록을 법적 의무보존 기간인 3년을 초과하여 5년간 보존하고 있는 경우
*분리 데이터베이스를 구성하였으나 접근권한을 별도로 설정하지 않아 업무상 접근이 불필요한 인원도 분리 데이터베이스에 자유롭게 접근이 가능한 경우
*탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 계약 또는 청약철회, 대금결제 및 재화 공급에 관한 기록을 분리하여 보존하였으나, 전자상거래법에 따른 보존의무가 없는 선택정보까지 과도하게 보존한 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
*[[ISMS-P 인증 기준 3.4.3.휴면 이용자 관리]]
 
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
* 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하여야 한* 다.
** 개인정보의 항목을 보유목적에 맞는 최소한의 항목으로 제한
** 관련 법령에 따른 최소기간으로 보유기간 설정
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 타 법령에 따른 보유기간(예시)
* 전자상거래 등에서 소비자 보호에 관한 법률① 표시·광고에 관한 기록 : 6개월② 계약 또는 청약철회 등에 관한 기록: 5년③ 대금결제 및 재화 등의 공급에 관한 기록 : 5년④ 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년
* 통신비밀보호법컴퓨터 통신 또는 인터넷의 로그기록 자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적 자료 : 3개월</div>
* 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장·관리하여야 한다.
** 분리 데이터베이스는 물리적 또는 논리적으로 분리하여 구성
* 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하여야 한다.
** 분리 보관된 개인정보는 마케팅 등 다른 목적으로 활용 금지
* 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하여야 한다.
** 분리 데이터베이스의 접속 권한을 최소인원으로 제한하는 등 접근권한 최소화
** 분리 데이터베이스에 대한 접속기록을 남기고 정기적으로 검토 등
== 증거 자료 ==
* 개인정보 보유기간 및 파기 관련 규정
* 분리 데이터베이스 현황(테이블 구조 등)
* 분리 데이터베이스 접근권한 현황
== 결함 사례 ==
* 탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 일정기간 보관하면서 Flag값만 변경하여 다른 회원정보와 동일한 테이블에 보관하고 있는 경우
* 전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록을 법적 의무보존 기간인 3년을 초과하여 5년간 보존하고 있는 경우
* 분리 데이터베이스를 구성하였으나 접근권한을 별도로 설정하지 않아 업무상 접근이 불필요한 인원도 분리 데이터베이스에 자유롭게 접근이 가능한 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_3.4.2.처리목적_달성_후_보유_시_조치"