ISMS-P 인증 기준 3.2.1.개인정보 현황관리: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
Line 20: | Line 20: | ||
==세부 설명== | ==세부 설명== | ||
==== 수집·보유 개인정보 현황의 정기적 관리 ==== | ====수집·보유 개인정보 현황의 정기적 관리==== | ||
수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 한다. | 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 한다. | ||
Line 26: | Line 26: | ||
*또한 정기적으로 개인정보 현황을 점검하고 '''관련 문서를 최신화'''하여야 함. | *또한 정기적으로 개인정보 현황을 점검하고 '''관련 문서를 최신화'''하여야 함. | ||
==== 공공기관의 개인정보 파일 등록 ==== | ====공공기관의 개인정보 파일 등록==== | ||
공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하여야 하며, 등록된 사항에 변경이 있는 경우에도 그 내용을 등록하여야 한다. | 공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하여야 하며, 등록된 사항에 변경이 있는 경우에도 그 내용을 등록하여야 한다. | ||
Line 33: | Line 33: | ||
*[[헌법기관|국회, 법원, 헌법재판소, 중앙선거관리위원회]](그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙을 따름. | *[[헌법기관|국회, 법원, 헌법재판소, 중앙선거관리위원회]](그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙을 따름. | ||
*다만 「개인정보 보호법」 제32조제2항에 해당하는 개인정보파일은 개인정보보호위원회에 등록하지 않아도 됨.<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px">'''개인정보보호위원회 등록이 면제되는 개인정보파일(공공기관)''' | *다만 「개인정보 보호법」 제32조제2항에 해당하는 개인정보파일은 개인정보보호위원회에 등록하지 않아도 됨.<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px">'''개인정보보호위원회 등록이 면제되는 개인정보파일(공공기관)''' | ||
*1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일 | * 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일 | ||
*2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일 | * 2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일 | ||
*3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 | * 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 | ||
*4. 공공기관의 내부 업무처리만을 위하여 사용되는 개인정보파일 | * 4. 공공기관의 내부 업무처리만을 위하여 사용되는 개인정보파일 | ||
*5. 다른 법령에 따라 비밀로 분류된 개인정보파일 | * 5. 다른 법령에 따라 비밀로 분류된 개인정보파일 | ||
*6. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일 | * 6. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일 | ||
*7. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일 | * 7. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일 | ||
*8. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일 | * 8. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일 | ||
*9. 영상정보처리기기를 통하여 처리되는 개인영상정보파일 | * 9. 영상정보처리기기를 통하여 처리되는 개인영상정보파일 | ||
*10. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일1* 1. 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위하여 보유하는 개인정보파일 | * 10. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일1* 1. 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위하여 보유하는 개인정보파일 | ||
공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하여야 한다. | 공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하여야 한다. |
Revision as of 21:01, 24 June 2022
개요
항목 | 3.2.1.개인정보 현황관리 |
---|---|
인증기준 | 수집·보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다. |
주요 확인사항 |
|
세부 설명
수집·보유 개인정보 현황의 정기적 관리
수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 한다.
- 개인정보처리자(정보통신서비스 제공자)는 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 근거 (동의, 법령 등), 처리목적 및 방법, 보유기간 등을 파악하여 개인정보 현황표, 개인정보 흐름표, 개인정보 흐름도 등을 통하여 기록·관리하여야 함.
- 또한 정기적으로 개인정보 현황을 점검하고 관련 문서를 최신화하여야 함.
공공기관의 개인정보 파일 등록
공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하여야 하며, 등록된 사항에 변경이 있는 경우에도 그 내용을 등록하여야 한다.
- 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 개인정보보호위원회에 60일 이내에 등록
- 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 해당 사항(개인정보파일 등록·변경)의 검토 및 적정성 판단을 요청한 후 상위 관리기관의 확인을 받아 개인정보보호위원회에 60일 이내에 등록
- 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙을 따름.
- 다만 「개인정보 보호법」 제32조제2항에 해당하는 개인정보파일은 개인정보보호위원회에 등록하지 않아도 됨.개인정보보호위원회 등록이 면제되는 개인정보파일(공공기관)
- 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
- 2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
- 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
- 4. 공공기관의 내부 업무처리만을 위하여 사용되는 개인정보파일
- 5. 다른 법령에 따라 비밀로 분류된 개인정보파일
- 6. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일
- 7. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일
- 8. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일
- 9. 영상정보처리기기를 통하여 처리되는 개인영상정보파일
- 10. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일1* 1. 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위하여 보유하는 개인정보파일
공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하여야 한다.
- 공공기관의 개인정보 보호책임자는 개인정보파일의 보유·파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 공개(표준 개인정보 보호지침 제61조)
- 개인정보보호위원회는 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 인터넷에 공개(개인정보 보호포털, www.privacy.go.kr)
증거 자료
- 개인정보 현황표, 개인정보 흐름표/흐름도
- 개인정보파일 등록 현황
- 개인정보파일 관리대장
- 개인정보 처리방침
결함 사례
- 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나, 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우
- 신규 개인정보파일을 구축한 지 2개월이 경과하였으나, 해당 개인정보파일을 개인정보보호 위원회에 등록하지 않은 경우
- 개인정보보호위원회에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는 개인정보파일 현황과 상이한 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)