ISMS-P 인증 기준 3.1.4.민감정보 및 고유식별정보의 처리 제한: 두 판 사이의 차이
IT위키
Maintenance script (토론 | 기여) (Imported from text file) |
편집 요약 없음 |
||
| 1번째 줄: | 1번째 줄: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]] | |||
* '''분류''': [[ISMS-P 인증 기준 3. | *'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 3.1.개인정보 수집 시 보호조치|3.1.개인정보 수집 시 보호조치]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!3.1.4.민감정보 및 고유식별정보의 처리 제한 | !3.1.4.민감정보 및 고유식별정보의 처리 제한 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체(이용자)의 별도 동의를 받아야 한다. | |민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체(이용자)의 별도 동의를 받아야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 민감정보는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가? | *민감정보는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가? | ||
* 고유식별정보(주민등록번호 제외)는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가? | *고유식별정보(주민등록번호 제외)는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가? | ||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
==== 민감정보의 처리 ==== | |||
민감정보는 원칙적으로 처리하여서는 안 된다. 다만 정보주체(이용자)로부터 '''별도의 동의'''를 받거나 '''관련 법령에 근거'''가 있는 경우에 한하여 처리할 수 있다. | |||
*민감정보의 범위 | |||
**1. 사상·신념 : 각종 이데올로기 또는 사상적 경향, 종교적 신념 등 | |||
**2. 정치적 견해 : 정치적 사안에 대한 입장이나 특정 정당의 지지 여부에 관한 정보 | |||
**3. 노동조합·정당의 가입·탈퇴 : 노동조합 또는 정당에의 가입·탈퇴에 관한 정보 | |||
**4. 건강 및 성생활에 관한 정보 : 개인의 과거 및 현재의 병력(病歷), 신체적·정신적 장애(장애등급 유무 등), 성적취향 등에 관한 정보. 혈액형은 이에 해당하지 않음. | |||
**5. 사생활을 현저하게 침해할 우려가 있는 개인정보 | |||
**유전자 검사 등의 결과로 얻은 유전 정보, 범죄 경력에 관한 정보 | |||
**벌금 이상의 형의 선고·면제 및 선고 유예, 보호감호, 치료감호, 보호관찰, 선고유예의 실효, 집행유예의 취소, 벌금 이상의 형과 함께 부과된 몰수, 추징, 사회봉사명령, 수감명령 등의 선고 또는 처분 등 범죄경력에 관한 정보 | |||
**개인의 신체적·생리적·행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통한 생성한 정보(생체인식정보) | |||
**인종이나 민족에 관한 정보 | |||
*민감정보의 처리가 가능한 경우 | |||
**1. 정보주체(이용자)로부터 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우 | |||
**2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우 | |||
==== 고유식별정보의 범위 ==== | |||
고유식별정보(주민등록번호 제외)는 정보주체(이용자)로부터 '''별도의 동의'''를 받거나 '''관련 법령에 구체적인 근거'''가 있는 경우에만 처리하여야 한다. | |||
*고유식별정보의 범위 | |||
**1. 주민등록번호(다만 주민등록번호 수집 법정주의에 따라 동의에 근거한 수집은 불가함.) | |||
**2. 여권번호 | |||
**3. 운전면허번호 | |||
**4. 외국인등록번호 | |||
*고유식별정보 수집이 가능한 경우 | |||
**1. 정보주체(이용자)로부터 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받는 경우 | |||
**2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우 | |||
==증거 자료== | |||
*온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 등) | |||
*오프라인 개인정보 수집 양식(회원가입신청서 등) | |||
*개인정보 처리방침 | |||
==결함 사례== | |||
*장애인에 대한 요금감면 등 혜택 부여를 위하여 장애 여부 등 건강에 관한 민감정보를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우 | |||
*회원가입 시 외국인에 한하여 외국인등록번호를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우 | |||
*민감정보 또는 고유식별정보에 대하여 별도의 동의를 받으면서 고지하여야 할 4가지 사항 중에 일부를 누락하거나 잘못된 내용으로 고지하는 경우(동의 거부 권리 및 동의 거부에 따른 불이익 사항을 고지하지 않은 경우 등) | |||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
2022년 6월 20일 (월) 15:28 판
- 영역: 3.개인정보 처리단계별 요구사항
- 분류: 3.1.개인정보 수집 시 보호조치
개요
| 항목 | 3.1.4.민감정보 및 고유식별정보의 처리 제한 |
|---|---|
| 인증기준 | 민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체(이용자)의 별도 동의를 받아야 한다. |
| 주요 확인사항 |
|
세부 설명
민감정보의 처리
민감정보는 원칙적으로 처리하여서는 안 된다. 다만 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에 한하여 처리할 수 있다.
- 민감정보의 범위
- 1. 사상·신념 : 각종 이데올로기 또는 사상적 경향, 종교적 신념 등
- 2. 정치적 견해 : 정치적 사안에 대한 입장이나 특정 정당의 지지 여부에 관한 정보
- 3. 노동조합·정당의 가입·탈퇴 : 노동조합 또는 정당에의 가입·탈퇴에 관한 정보
- 4. 건강 및 성생활에 관한 정보 : 개인의 과거 및 현재의 병력(病歷), 신체적·정신적 장애(장애등급 유무 등), 성적취향 등에 관한 정보. 혈액형은 이에 해당하지 않음.
- 5. 사생활을 현저하게 침해할 우려가 있는 개인정보
- 유전자 검사 등의 결과로 얻은 유전 정보, 범죄 경력에 관한 정보
- 벌금 이상의 형의 선고·면제 및 선고 유예, 보호감호, 치료감호, 보호관찰, 선고유예의 실효, 집행유예의 취소, 벌금 이상의 형과 함께 부과된 몰수, 추징, 사회봉사명령, 수감명령 등의 선고 또는 처분 등 범죄경력에 관한 정보
- 개인의 신체적·생리적·행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통한 생성한 정보(생체인식정보)
- 인종이나 민족에 관한 정보
- 민감정보의 처리가 가능한 경우
- 1. 정보주체(이용자)로부터 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
- 2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
고유식별정보의 범위
고유식별정보(주민등록번호 제외)는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하여야 한다.
- 고유식별정보의 범위
- 1. 주민등록번호(다만 주민등록번호 수집 법정주의에 따라 동의에 근거한 수집은 불가함.)
- 2. 여권번호
- 3. 운전면허번호
- 4. 외국인등록번호
- 고유식별정보 수집이 가능한 경우
- 1. 정보주체(이용자)로부터 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받는 경우
- 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
증거 자료
- 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 등)
- 오프라인 개인정보 수집 양식(회원가입신청서 등)
- 개인정보 처리방침
결함 사례
- 장애인에 대한 요금감면 등 혜택 부여를 위하여 장애 여부 등 건강에 관한 민감정보를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우
- 회원가입 시 외국인에 한하여 외국인등록번호를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우
- 민감정보 또는 고유식별정보에 대하여 별도의 동의를 받으면서 고지하여야 할 4가지 사항 중에 일부를 누락하거나 잘못된 내용으로 고지하는 경우(동의 거부 권리 및 동의 거부에 따른 불이익 사항을 고지하지 않은 경우 등)
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
