ISMS-P 인증 기준 3.2.1.개인정보 현황관리

From IT Wiki
Revision as of 13:45, 7 February 2024 by 211.236.39.34 (talk) (→‎공공기관의 개인정보 파일 등록)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)


개요[edit | edit source]

항목 3.2.1.개인정보 현황관리
인증기준 수집·보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다.
주요 확인사항
  • 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가?
  • 공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하고 있는가?
  • 공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하고 있는가?

세부 설명[edit | edit source]

수집·보유 개인정보 현황의 정기적 관리[edit | edit source]

수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 한다.

  • 개인정보처리자(정보통신서비스 제공자)는 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 근거 (동의, 법령 등), 처리목적 및 방법, 보유기간 등을 파악하여 개인정보 현황표, 개인정보 흐름표, 개인정보 흐름도 등을 통하여 기록·관리하여야 함.
  • 또한 정기적으로 개인정보 현황을 점검하고 관련 문서를 최신화하여야 함.

공공기관의 개인정보 파일 등록[edit | edit source]

공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하여야 하며, 등록된 사항에 변경이 있는 경우에도 그 내용을 등록하여야 한다.

  • 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 개인정보보호위원회에 60일 이내에 등록
  • 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 해당 사항(개인정보파일 등록·변경)의 검토 및 적정성 판단을 요청한 후 상위 관리기관의 확인을 받아 개인정보보호위원회에 60일 이내에 등록
  • 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙을 따름.
  • 다만 「개인정보 보호법」 제32조제2항에 해당하는 개인정보파일은 개인정보보호위원회에 등록하지 않아도 됨.

개인정보보호위원회 등록이 면제되는 개인정보파일(공공기관)

  • 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
  • 2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
  • 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
  • 4. 일회성으로 운영되는 파일 등 지속적으로 관리할 필요가 낮다고 인정되어 대통령령으로 정하는 개인정보파일 · 회의 참석 수당 지급, 자료·물품의 송부, 금전의 정산 등 단순 업무 수행을 위해 운영되는 개인정보파일로서 지속적 관리 필요성이 낮은 개인정보파일 · 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는개인정보파일 · 그 밖에 일회적 업무 처리만을 위해 수집된 개인정보파일로서 저장되거나 기록되지 않는 개인정보파일
  • 5. 다른 법령에 따라 비밀로 분류된 개인정보파일
  • 6. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일
  • 7. 영상정보처리기기를 통하여 처리되는 개인영상정보파일
  • 8. 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위하여 보유하는 개인정보파일

공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하여야 한다.

  • 공공기관의 개인정보 보호책임자는 개인정보파일의 보유·파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 공개(표준 개인정보 보호지침 제61조)
  • 개인정보보호위원회는 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 인터넷에 공개(개인정보 보호포털, www.privacy.go.kr)

증거 자료[edit | edit source]

  • 개인정보 현황표, 개인정보 흐름표/흐름도
  • 개인정보파일 등록 현황
  • 개인정보파일 관리대장
  • 개인정보 처리방침

결함 사례[edit | edit source]

  • 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나, 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우
  • 신규 개인정보파일을 구축한 지 2개월이 경과하였으나, 해당 개인정보파일을 개인정보보호 위원회에 등록하지 않은 경우
  • 개인정보보호위원회에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는 개인정보파일 현황과 상이한 경우
  • 공공기관이 임직원의 개인정보파일, 통계법에 따라 수집되는 개인정보파일에 대해 개인정보파일 등록 예외사항에 해당되지 않음에도 불구하고 해당 개인정보파일을 개인정보 보호위원회에 등록하지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)