ISMS-P 인증 기준 3.4.3.휴면 이용자 관리 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
*'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]] | *'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]] | ||
*'''분류''': [[ISMS-P 인증 기준 3.4.개인정보 파기 시 보호조치|3.4.개인정보 파기 시 보호조치]] | *'''분류''': [[ISMS-P 인증 기준 3.4.개인정보 파기 시 보호조치|3.4.개인정보 파기 시 보호조치]] | ||
22번째 줄: | 22번째 줄: | ||
==== 분리 방법, 분리 기준 등 ==== | ==== 분리 방법, 분리 기준 등 ==== | ||
정보통신서비스 제공자 등은 법령에서 정한 기간 동안 이용하지 않는 휴면 이용자의 개인정보를 파기 또는 분리 보관하여야 한다. | |||
*정보통신서비스 제공자 등은 정보통신서비스를 1년의 기간 동안 이용하지 않는 이용자의 개인정보를 보호하기 위하여 지체 없이 파기하거나 분리 보관하여야 함(개인정보 유효기간제). | *정보통신서비스 제공자 등은 법령에서 정한 기간 동안 이용하지 않는 휴면 이용자의 개인정보를 파기 또는 분리 보관하여야 한다. | ||
*'''이용자의 요청이 있는 경우 예외적으로 1년 이외의 서비스 미이용 기간을 정할 수 있음.''' | **정보통신서비스 제공자 등은 정보통신서비스를 1년의 기간 동안 이용하지 않는 이용자의 개인정보를 보호하기 위하여 지체 없이 파기하거나 분리 보관하여야 함(개인정보 유효기간제). | ||
*개인정보 유효기간제에 따른 파기 또는 분리보관 대상이 되는 개인정보는 최초 회원가입 또는 회원정보 수정 등의 단계에서 수집·관리되는 개인정보뿐 아니라 '''접속로그, 결제기록 등 서비스를 이용하는 과정에서 생성되는 정보도 포함'''됨. | **'''이용자의 요청이 있는 경우 예외적으로 1년 이외의 서비스 미이용 기간을 정할 수 있음.''' | ||
*분리 보관하는 방식은 물리적으로 데이터베이스를 분리하여 저장하는 것이 바람직하나, 테이블 분리 등 '''논리적으로 분리하는 것도 가능'''함. | **개인정보 유효기간제에 따른 파기 또는 분리보관 대상이 되는 개인정보는 최초 회원가입 또는 회원정보 수정 등의 단계에서 수집·관리되는 개인정보뿐 아니라 '''접속로그, 결제기록 등 서비스를 이용하는 과정에서 생성되는 정보도 포함'''됨. | ||
*이용자의 재이용 요청이 있는 경우를 대비하여 온라인 이용자의 편의성을 높이기 위한 목적으로 '''ID 등 최소한의 연결값을 서비스 중인 데이터베이스에 남겨 두는 것은 가능'''함. | **분리 보관하는 방식은 물리적으로 데이터베이스를 분리하여 저장하는 것이 바람직하나, 테이블 분리 등 '''논리적으로 분리하는 것도 가능'''함. | ||
< | **이용자의 재이용 요청이 있는 경우를 대비하여 온라인 이용자의 편의성을 높이기 위한 목적으로 '''ID 등 최소한의 연결값을 서비스 중인 데이터베이스에 남겨 두는 것은 가능'''함. | ||
*유효기간제 시행 주기는 영업일 기준으로 | <div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px"> | ||
'''※ 미이용 기간 산정 시 주의사항''' | |||
*유효기간제 시행 주기는 영업일 기준으로 최소 5일 이내로 하여야 함. | |||
*광고 이메일을 단순 클릭하는 것은 서비스를 이용한 것으로 볼 수 없음. | *광고 이메일을 단순 클릭하는 것은 서비스를 이용한 것으로 볼 수 없음. | ||
*미이용 기간에 대한 산정은 ʻ'''로그인'''ʼ 여부로 판단 | *미이용 기간에 대한 산정은 ʻ'''로그인'''ʼ 여부로 판단</div> | ||
</ | |||
====사전 통지==== | ====사전 통지==== | ||
휴면 이용자의 개인정보를 파기하거나 분리하여 저장·관리하는 경우 이용자에게 관련 사항을 사전에 알려야 한다. | |||
*'''통지 시기''' : 서비스 미이용 기간 만료 30일 전까지 | *휴면 이용자의 개인정보를 파기하거나 분리하여 저장·관리하는 경우 이용자에게 관련 사항을 사전에 알려야 한다. | ||
*'''통지 방법''' : 전자우편, 서면, 모사전송(팩스), 전화 등의 방법 중 하나를 선택 | **'''통지 시기''' : 서비스 미이용 기간 만료 30일 전까지 | ||
*'''통지 항목''' | **'''통지 방법''' : 전자우편, 서면, 모사전송(팩스), 전화 등의 방법 중 하나를 선택 | ||
**'''① 개인정보를 파기하는 경우''' : 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 | **'''통지 항목''' | ||
**'''② 개인정보를 분리하여 저장·관리하는 경우''' : 개인정보가 분리되어 저장·관리되는 사실, 기간만료일 및 분리·저장되어 관리되는 개인정보의 항목 | ***'''① 개인정보를 파기하는 경우''' : 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목 | ||
***'''② 개인정보를 분리하여 저장·관리하는 경우''' : 개인정보가 분리되어 저장·관리되는 사실, 기간만료일 및 분리·저장되어 관리되는 개인정보의 항목 | |||
====휴면 계정 제한적 이용==== | ====휴면 계정 제한적 이용==== | ||
분리되어 저장·관리하는 휴면 이용자의 개인정보는 법령에 따른 보관 목적 또는 이용자의 요청에대해서만 이용 및 제공하여야 한다. | |||
*분리 보관된 개인정보는 마케팅, 문자발송 등 다른 목적으로 처리 금지 | *분리되어 저장·관리하는 휴면 이용자의 개인정보는 법령에 따른 보관 목적 또는 이용자의 요청에대해서만 이용 및 제공하여야 한다. | ||
*다만 이용자의 재이용 요청이 있는 경우에는 분리 보관된 개인정보를 이용하여 휴면 이용자에서 정상이용자로 상태 복원 등 가능 | **분리 보관된 개인정보는 마케팅, 문자발송 등 다른 목적으로 처리 금지 | ||
**다만 이용자의 재이용 요청이 있는 경우에는 분리 보관된 개인정보를 이용하여 휴면 이용자에서 정상이용자로 상태 복원 등 가능 | |||
====접근 권한 최소화==== | ====접근 권한 최소화==== | ||
분리되어 저장·관리하는 휴면 이용자의 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하여야 한다. | |||
*분리 데이터베이스의 접속 권한을 최소인원으로 제한하는 등 접근권한 최소화 | *분리되어 저장·관리하는 휴면 이용자의 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하여야 한다. | ||
*분리 데이터베이스에 대한 접속기록을 남기고 정기적으로 검토 등 | **분리 데이터베이스의 접속 권한을 최소인원으로 제한하는 등 접근권한 최소화 | ||
**분리 데이터베이스에 대한 접속기록을 남기고 정기적으로 검토 등 | |||
==증거 자료== | ==증거 자료== | ||
69번째 줄: | 74번째 줄: | ||
*[[ISMS-P 인증 기준]] | *[[ISMS-P 인증 기준]] | ||
*[[ISMS-P 인증 기준 세부 점검 항목]] | *[[ISMS-P 인증 기준 세부 점검 항목]] | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |