ISMS-P 인증 기준 3.3.1.개인정보 제3자 제공

From IT Wiki
Revision as of 22:22, 6 July 2022 by 심사보 (talk | contribs)


개요

항목 3.3.1.개인정보 제3자 제공
인증기준 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다.
주요 확인사항
  • 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가?
  • 개인정보의 제3자 제공 동의는 수집∙이용에 대한 동의와 구분하여 받고 이에 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않도록 하고 있는가?
  • 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가?
  • 개인정보를 제3자에게 제공 하는 경우 안전한 절차와 방법을 통해 제공하고 제공 내역을 기록하여 보관하고 있는가?
  • 제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?

세부 설명

개인정보 제3자 제공 시 동의

개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받아야 한다.

  • 제3자의 범위
    • 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자
    • 동일한 개인정보처리자 내부의 타 부서 및 조직은 제3자에 해당하지 않음

※ 개인정보의 제3자 제공(예시)

  • 개인정보의 저장매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전
  • 네트워크를 통한 개인정보의 전송
  • 개인정보에 대한 제3자의 접근권한 부여
  • 개인정보처리자와 제3자의 개인정보 공유
  • 기타 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위
  • 개인정보를 제3자에게 제공할 수 있는 경우
  • 1. 정보주체의 동의를 받은 경우
  • 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
  • 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
  • 4. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요하다고 인정되는 경우
  • 5. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
  • 6. 다른 법률에 특별한 규정이 있는 경우
  • 개인정보의 제3자 제공 동의 시 알려야 할 사항
  • 1. 개인정보를 제공받는 자
  • 2. 개인정보를 제공받는 자의 개인정보 이용목적
  • 3. 제공하는 개인정보의 항목
  • 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
  • 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용
  • 개인정보의 제3자 제공과 관련하여 기존에 정보주체(이용자)에게 고지한 사항 중 변경이 발생한 경우 정보주체(이용자)에게 관련 변경 내용을 알리고 추가로 동의를 받아야 함.

수집·이용 동의와 제3자 제공 동의의 구분

개인정보의 제3자 제공 동의는 수집·이용에 대한 동의와 구분하여 받고, 제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면 이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다.

개인정보 제3자 제공 항목 최소화

개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하여야 한다.

  • 동의에 근거한 제3자 제공 시: 동의 시 고지한 제공 목적을 달성하기 위하여 필요한 최소한의 개인 정보 항목만 제공하여야 함.
  • 법령에 근거한 제3자 제공 시: 법률에서 구체적으로 명시하거나 해당 법령상 의무를 준수하기 위하여 필요한 범위 내에서 최소한의 개인정보 항목만 제공하여야 함.

안전한 제공 및 제공 내역 기록 보관

제3자에게 개인정보를 제공하는 과정에서 개인정보가 유·노출되지 않도록 안전한 절차와 방법을 통하여 제공하고 관련된 제공 내역은 기록하여 보관하여야 한다.

※ 제3자 제공 시 안전한 절차(예시)

  • 개인정보를 제공하는 자와 제공받는 자의 안전성 확보에 관한 책임관계 명확화(계약서 등)
  • 제3자 제공과 관련된 승인 절차(담당자에 의한 제공 시)
  • 전송 또는 전달 과정의 암호화
  • 접근통제, 접근권한 관리 등 안전성 확보 조치 적용
  • 제공 기록의 보존 등

※ 제3자 제공 기록에 포함하여야 할 내용(예시)

  • 제공받는 자
  • 제공 일시
  • 제공된 개인정보: 정보주체(이용자) 식별정보 및 개인정보 항목
  • 제공 목적 또는 근거
  • 제공자(담당자): 승인절차가 있는 경우 승인자 포함
  • 제공 방법: 시스템 연계, 이메일 전송 등
  • 기타 필요한 정보

제3자 개인정보 접근 허용 시 보호조치

제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하여야 한다.

  • 권한이 있는 자만 접근할 수 있도록 안전한 인증 및 접근통제 조치
  • 전송구간에서의 도청을 방지하기 위한 암호화 조치
  • 책임추적성을 확보할 수 있도록 접속기록 보존 등

증거 자료

  • 온라인 개인정보 제3자 제공 관련 양식(홈페이지 회원가입 화면, 개인정보 제3자 제공 동의 화면 등)
  • 오프라인 개인정보 제3자 제공 관련 양식(회원가입신청서, 개인정보 제3자 제공 동의서 등)
  • 제3자 제공 내역
  • 개인정보 처리방침

결함 사례

  • 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우
  • 개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 않은 정보주체(이용자)의 개인정보가 함께 제공된 경우
  • 개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하고 동의를 받은 경우
  • 회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우
  • 제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)