ISMS-P 인증 기준 3.4.2.처리목적 달성 후 보유 시 조치: 두 판 사이의 차이
IT위키
Maintenance script (토론 | 기여) (Imported from text file) |
(→결함 사례) |
||
| (사용자 2명의 중간 판 3개는 보이지 않습니다) | |||
| 1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P | |||
* '''분류''': [[ISMS-P | *'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 3.4.개인정보 파기 시 보호조치|3.4.개인정보 파기 시 보호조치]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!3.4.2.처리목적 달성 후 보유 시 조치 | !3.4.2.처리목적 달성 후 보유 시 조치 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장·관리하여야 한다. | |개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장·관리하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우, 관련 법령에 따른 최소한의 기간으로 | *개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우, '''관련 법령에 따른 최소한의 기간으로 한정'''하여 최'''소한의 정보만을 보존'''하도록 관리하고 있는가? | ||
* 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 | *개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우 해당 개인정보 또는 개인정보파일을 '''다른 개인정보와 분리하여 저장‧관리'''하고 있는가? | ||
* 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 | *분리 보관하고 있는 개인정보에 대하여 '''법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리'''하고 있는가? | ||
* 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 | *분리 보관하고 있는 개인정보에 대하여 '''접근권한을 최소한의 인원으로 제한'''하고 있는가? | ||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
==== 관련 법령에 따른 최소한의 보관 ==== | |||
개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하여야 한다. | |||
*개인정보의 항목을 보유목적에 맞는 최소한의 항목으로 제한 | |||
*관련 법령에 따른 최소기간으로 보유기간 설정 | |||
<blockquote>'''※ 타 법령에 따른 보유기간(예시)''' | |||
*전자상거래 등에서 소비자 보호에 관한 법률 | |||
**① 표시·광고에 관한 기록: 6개월 | |||
**② 계약 또는 청약철회 등에 관한 기록: 5년 | |||
**③ 대금결제 및 재화 등의 공급에 관한 기록: 5년 | |||
**④ 소비자의 불만 또는 분쟁처리에 관한 기록: 3년 | |||
*통신비밀보호법컴퓨터 통신 또는 인터넷의 로그기록 자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적 자료: 3개월 | |||
</blockquote> | |||
==== 법령에 따른 보존 정보 분리 보관 ==== | |||
개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장·관리하여야 한다. | |||
*분리 데이터베이스는 [[개인정보 분리 보관|물리적 또는 논리적으로 분리]]하여 구성 | |||
==== 분리 보관 정보 목적 내 활용 ==== | |||
분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하여야 한다. | |||
*분리 보관된 개인정보는 마케팅 등 다른 목적으로 활용 금지 | |||
==== 분리 보관 정보 접근권한 최소화 ==== | |||
분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하여야 한다. | |||
*분리 데이터베이스의 접속 권한을 최소인원으로 제한하는 등 접근권한 최소화 | |||
*분리 데이터베이스에 대한 접속기록을 남기고 정기적으로 검토 등 | |||
==증거 자료== | |||
*개인정보 보유기간 및 파기 관련 규정 | |||
*분리 데이터베이스 현황(테이블 구조 등) | |||
*분리 데이터베이스 접근권한 현황 | |||
==결함 사례== | |||
*탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 일정기간 보관하면서 Flag값만 변경하여 다른 회원정보와 동일한 테이블에 보관하고 있는 경우 | |||
*전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록을 법적 의무보존 기간인 3년을 초과하여 5년간 보존하고 있는 경우 | |||
*분리 데이터베이스를 구성하였으나 접근권한을 별도로 설정하지 않아 업무상 접근이 불필요한 인원도 분리 데이터베이스에 자유롭게 접근이 가능한 경우 | |||
*탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 계약 또는 청약철회, 대금결제 및 재화 공급에 관한 기록을 분리하여 보존하였으나, 전자상거래법에 따른 보존의무가 없는 선택정보까지 과도하게 보존한 경우 | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
*[[ISMS-P 인증 기준 3.4.3.휴면 이용자 관리]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
2024년 2월 7일 (수) 17:05 기준 최신판
- 영역: 3.개인정보 처리단계별 요구사항
- 분류: 3.4.개인정보 파기 시 보호조치
개요[편집 | 원본 편집]
| 항목 | 3.4.2.처리목적 달성 후 보유 시 조치 |
|---|---|
| 인증기준 | 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장·관리하여야 한다. |
| 주요 확인사항 |
|
세부 설명[편집 | 원본 편집]
관련 법령에 따른 최소한의 보관[편집 | 원본 편집]
개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하여야 한다.
- 개인정보의 항목을 보유목적에 맞는 최소한의 항목으로 제한
- 관련 법령에 따른 최소기간으로 보유기간 설정
※ 타 법령에 따른 보유기간(예시)
- 전자상거래 등에서 소비자 보호에 관한 법률
- ① 표시·광고에 관한 기록: 6개월
- ② 계약 또는 청약철회 등에 관한 기록: 5년
- ③ 대금결제 및 재화 등의 공급에 관한 기록: 5년
- ④ 소비자의 불만 또는 분쟁처리에 관한 기록: 3년
- 통신비밀보호법컴퓨터 통신 또는 인터넷의 로그기록 자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적 자료: 3개월
법령에 따른 보존 정보 분리 보관[편집 | 원본 편집]
개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장·관리하여야 한다.
- 분리 데이터베이스는 물리적 또는 논리적으로 분리하여 구성
분리 보관 정보 목적 내 활용[편집 | 원본 편집]
분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하여야 한다.
- 분리 보관된 개인정보는 마케팅 등 다른 목적으로 활용 금지
분리 보관 정보 접근권한 최소화[편집 | 원본 편집]
분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하여야 한다.
- 분리 데이터베이스의 접속 권한을 최소인원으로 제한하는 등 접근권한 최소화
- 분리 데이터베이스에 대한 접속기록을 남기고 정기적으로 검토 등
증거 자료[편집 | 원본 편집]
- 개인정보 보유기간 및 파기 관련 규정
- 분리 데이터베이스 현황(테이블 구조 등)
- 분리 데이터베이스 접근권한 현황
결함 사례[편집 | 원본 편집]
- 탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 일정기간 보관하면서 Flag값만 변경하여 다른 회원정보와 동일한 테이블에 보관하고 있는 경우
- 전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록을 법적 의무보존 기간인 3년을 초과하여 5년간 보존하고 있는 경우
- 분리 데이터베이스를 구성하였으나 접근권한을 별도로 설정하지 않아 업무상 접근이 불필요한 인원도 분리 데이터베이스에 자유롭게 접근이 가능한 경우
- 탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 계약 또는 청약철회, 대금결제 및 재화 공급에 관한 기록을 분리하여 보존하였으나, 전자상거래법에 따른 보존의무가 없는 선택정보까지 과도하게 보존한 경우
같이 보기[편집 | 원본 편집]
참고 문헌[편집 | 원본 편집]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
