ISMS-P 인증 기준 3.1.5.간접수집 보호조치: Difference between revisions

From IT Wiki
No edit summary
(정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.))
Line 7: Line 7:
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!3.1.5.간접수집 보호조치
!3.1.5.개인정보 간접수집
|-
|-
| style="text-align:center" |'''인증기준'''
| style="text-align:center" |'''인증기준'''
|정보주체(이용자) 이외로부터 개인정보를 수집하거나 제공받는 경우에는 업무에 필요한 최소한의 개인정보만 수집·이용하여야 하고 법령에 근거하거나 정보주체(이용자)의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다.
|정보주체 이외로부터 개인정보를 수집하거나 제3자로부터 제공받는 경우에는 업무에 필요한 최소한의 개인정보를 수집하거나 제공받아야 하며, 법령에 근거하거나 정보주체의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''

Revision as of 01:07, 28 January 2024


개요

항목 3.1.5.개인정보 간접수집
인증기준 정보주체 이외로부터 개인정보를 수집하거나 제3자로부터 제공받는 경우에는 업무에 필요한 최소한의 개인정보를 수집하거나 제공받아야 하며, 법령에 근거하거나 정보주체의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다.
주요 확인사항
  • 정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통해 명시하고 있는가?
  • 공개된 매체 및 장소에서 개인정보를 수집하는 경우 정보주체(이용자)의 공개 목적‧범위 및 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 수집‧이용하는가?
  • 서비스 계약 이행을 위해 필요한 경우로서, 사업자가 서비스 제공 과정에서 자동수집장치 등에 의해 수집・생성하는 개인정보(이용내역 등)의 경우에도 최소수집 원칙을 적용하고 있는가?
  • 정보주체(이용자) 이외로부터 수집하는 개인정보에 대해 정보주체(이용자)의 요구가 있는 경우 즉시 필요한 사항을 정보주체(이용자)에게 알리고 있는가?
  • 정보주체(이용자) 이외로부터 수집한 개인정보를 처리하는 경우 개인정보의 종류‧규모 등이 법적 요건에 해당하는 경우 필요한 사항을 정보주체(이용자)에게 알리고 있는가?
  • 정보주체(이용자)에게 수집출처에 대해 알린 기록을 해당 개인정보의 파기 시까지 보관·관리하고 있는가?

세부 설명

제공받는 개인정보 수집 동의 획득의 책임

  • 정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 적법한 절차에 따라 수집·제공되는 정보인지 여부를 확인하고 개인정보 수집에 대한 동의 획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통하여 구체적으로 명시하여야 한다.

공개된 개인정보 수집

  • SNS, 인터넷 홈페이지 등 공개된 매체 또는 장소에서 개인정보를 수집하는 경우 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 이용할 수 있다(표준 개인정보 보호 지침 제6조제4항).
  • 서비스 계약 이행을 위하여 필요한 경우로서 사업자가 서비스 제공과정에서 자동수집장치 등에 의하여 수집·생성되는 개인정보(통화기록, 접속로그, 결제기록, 이용내역 등)에 대해서도 해당 서비스의 계약 이행 및 제공을 위하여 필요한 최소한의 개인정보만을 수집하여야 한다.
    • 다만 서비스 제공 계약 이행과는 무관한 목적으로 이용하기 위하여 수집하는 경우에는 선택 동의 항목으로 분류하여 별도의 사전 동의를 받아야 함.
    • (예를 들어, 쿠키를 통하여 수집하는 행태정보를 분석하여 개인별 맞춤형 광고에 활용하는 경우 등)

정보 주체 통지 의무

  • 정보주체(이용자) 이외로부터 수집하는 개인정보에 대하여 정보주체의 요구가 있으면 즉시 필요한 사항을 정보주체(이용자)에게 알려야 한다.
  • 정보주체(이용자)의 요구가 있는 경우 알려야 할 사항
    • 1. 개인정보의 수집 출처
    • 2. 개인정보의 처리 목적
    • 3. 개인정보 처리의 정지를 요구할 권리가 있다는 사실
  • 정당한 사유가 없는 한 정보주체(이용자)의 요구가 있은 날로부터 3일 이내에 알려야 함(표준 개인정보 보호지침 제9조제1항).
  • 고지로 인하여 다른 사람의 생명·신체를 해할 우려가 있는 등으로 인하여 정보주체(이용자)의 요구를 거부하는 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있었던 날로부터 3일 이내에 그 거부의 근거와 사유를 알려야 함(표준 개인정보 보호지침 제9조제2항).

정보 주체 통지 의무

정보주체(이용자) 이외로부터 수집한 개인정보를 처리하는 때에는 개인정보의 종류·규모 등 법적 요건에 해당하는 경우 필요한 사항을 정보주체(이용자)에게 통지하여야 한다.

  • 통지 의무 요건 및 방법
    • 이 통지의무는 개인정보 보호법 제17조제1항제1호에 따라 정보주체의 동의를 받아 개인정보를 제공한 개인정보처리자로부터 수집한 개인정보에 대해서만 적용되므로 신용정보법에 따라 동의를 받아 개인 정보를 제공한 자로부터 수집한 개인정보 또는 법령에 따라 제공한 개인정보에 대해서는 적용되지 않음(개인정보 보호 법령 및 지침·고시 해설서).
  • 개인정보처리자가 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 알리지 않아도 됨.
구분 내용
통지의무가 부과되는 개인정보처리자 요건
  • 5만 명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자
  • 100만 명 이상의 정보주체에 관한 개인정보를 처리하는 자
통지하여야 할 사항
  • 개인정보의 수집 출처
  • 개인정보의 처리 목적
  • 개인정보 처리의 정지를 요구할 권리가 있다는 사실
통지 시기
  • 개인정보를 제공받는 날로부터 3개월 이내
  • 다만 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는 제공받은 날부터 3개월 이내에 통지하거나 그 동의를 받은 날부터 기산하여 연 1회 이상 통지
통지 방법
  • 서면·전화·문자전송·전자우편 등 정보주체가 쉽게 알 수 있는 방법

수집 출처 통지 기록 보관

정보주체(이용자)에게 수집출처에 대하여 알린 기록을 해당 개인정보의 파기 시까지 보관·관리하여야 한다.

  • 수집출처 고지 관련 보관·관리하여야 할 정보(개인정보 보호법 시행령 제15조의2 제3항)
    • 1. 정보주체에게 알린 사실
    • 2. 알린 시기
    • 3. 알린 방법

증거 자료

  • 개인정보 제공 관련 계약서(제공하는 자와의 계약 사항)
  • 개인정보 수집출처에 대한 정보주체(이용자) 통지 내역
  • 개인정보 처리방침

결함 사례

  • 인터넷 홈페이지, SNS에 공개된 개인정보를 수집하고 있는 상태에서 정보주체(이용자)의 수집출처 요구에 대한 처리절차가 존재하지 않은 경우
  • 개인정보 보호법 제17조제1항제1호에 따라 다른 사업자로부터 개인정보 제공동의를 근거로 개인정보를 제공받았으나, 이에 대하여 해당 정보주체에게 3개월 내에 통지하지 않은 경우 (다만 제공받은 사업자가 5만 명 이상 정보주체의 민감정보 또는 고유식별정보를 처리하거나 100만 명 이상 정보주체의 개인정보를 처리하는 경우)
  • 서비스 제공과 직접 관련이 없는 타깃 마케팅 목적으로 쿠키에 포함된 개인정보를 동의받지 않고 수집하는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)