ISMS-P 인증 기준 3.4.2.처리목적 달성 후 보유 시 조치

From IT Wiki
Revision as of 18:21, 7 May 2022 by Maintenance script (talk | contribs) (Imported from text file)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

개요

항목 3.4.2.처리목적 달성 후 보유 시 조치
인증기준 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장·관리하여야 한다.
주요 확인사항
  • 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우, 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가?
  • 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장‧관리하고 있는가?
  • 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하고 있는가?
  • 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?

세부 설명

  • 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하여야 한* 다.
    • 개인정보의 항목을 보유목적에 맞는 최소한의 항목으로 제한
    • 관련 법령에 따른 최소기간으로 보유기간 설정
  • ※ 타 법령에 따른 보유기간(예시)
  • 전자상거래 등에서 소비자 보호에 관한 법률① 표시·광고에 관한 기록 : 6개월② 계약 또는 청약철회 등에 관한 기록: 5년③ 대금결제 및 재화 등의 공급에 관한 기록 : 5년④ 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년
  • 통신비밀보호법컴퓨터 통신 또는 인터넷의 로그기록 자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적 자료 : 3개월
  • 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장·관리하여야 한다.
    • 분리 데이터베이스는 물리적 또는 논리적으로 분리하여 구성
  • 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하여야 한다.
    • 분리 보관된 개인정보는 마케팅 등 다른 목적으로 활용 금지
  • 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하여야 한다.
    • 분리 데이터베이스의 접속 권한을 최소인원으로 제한하는 등 접근권한 최소화
    • 분리 데이터베이스에 대한 접속기록을 남기고 정기적으로 검토 등
  • 증거 자료

    • 개인정보 보유기간 및 파기 관련 규정
    • 분리 데이터베이스 현황(테이블 구조 등)
    • 분리 데이터베이스 접근권한 현황

    결함 사례

    • 탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 일정기간 보관하면서 Flag값만 변경하여 다른 회원정보와 동일한 테이블에 보관하고 있는 경우
    • 전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록을 법적 의무보존 기간인 3년을 초과하여 5년간 보존하고 있는 경우
    • 분리 데이터베이스를 구성하였으나 접근권한을 별도로 설정하지 않아 업무상 접근이 불필요한 인원도 분리 데이터베이스에 자유롭게 접근이 가능한 경우

    같이 보기

    참고 문헌

    • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)