ISMS-P 인증 기준 3.1.개인정보 수집 시 보호조치: 두 판 사이의 차이

• 상위 문서: ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항

세부 점검 항목

각 점검 항목을 클릭하면 주요 확인사항, 증거 자료, 결함 사례 등 확인 가능

3.1.1.개인정보 수집·이용

• 개인정보는 적법하고 정당하게 수집·이용하여야 하며, 정보주체의 동의를 근거로 수집하는 경우에는 적법한 방법으로 정보주체의 동의를 받아야 한다. 또한 만 14세 미만 아동의 개인정보를 수집하는 경우에는 그 법정대리인의 동의를 받아야 하며 법정대리인이 동의하였는지를 확인하여야 한다.

3.1.2.개인정보 수집 제한

• 개인정보를 수집하는 경우 처리 목적에 필요한 최소한의 개인정보만을 수집하여야 하며, 정보주체가 선택적으로 동의할 수 있는 사항 등에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하지 않아야 한다.

3.1.3.주민등록번호 처리 제한

• 주민등록번호는 법적 근거가 있는 경우를 제외하고는 수집·이용 등 처리할 수 없으며, 주민등록번호의 처리가 허용된 경우라 하더라도 인터넷 홈페이지 등에서 대체수단을 제공하여야 한다.

3.1.4.민감정보 및 고유식별정보의 처리 제한

• 민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체(이용자)의 별도 동의를 받아야 한다.

3.1.5.간접수집 보호조치

• 정보주체(이용자) 이외로부터 개인정보를 수집하거나 제공받는 경우에는 업무에 필요한 최소한의 개인정보만 수집·이용하여야 하고 법령에 근거하거나 정보주체(이용자)의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다.

3.1.6.영상정보처리기기 설치·운영

• 영상정보처리기기를 공개된 장소에 설치·운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항(안내판 설치 등)을 준수하고, 적절한 보호대책을 수립·이행하여야 한다.

3.1.7.홍보 및 마케팅 목적 활용 시 조치

• 재화나 서비스의 홍보, 판매 권유, 광고성 정보전송 등 마케팅 목적으로 개인정보를 수집·이용하는 경우에는 그 목적을 정보주체(이용자)가 명확하게 인지할 수 있도록 고지하고 동의를 받아야 한다.

같이 보기

• 정보보호 및 개인정보보호관리체계 인증
• ISMS-P 인증 기준
• ISMS-P 인증 기준 세부 점검 항목

참고 문헌

• 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)