ISMS-P 인증 기준 3.1.6.영상정보처리기기 설치·운영 편집하기

[[분류: ISMS-P 인증 기준]]

*'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]]
*'''분류''': [[ISMS-P 인증 기준 3.1.개인정보 수집 시 보호조치|3.1.개인정보 수집 시 보호조치]]

==개요==
{| class="wikitable"
!항목
!3.1.6.영상정보처리기기 설치·운영
|-
| style="text-align:center" |'''인증기준'''
|고정형 영상정보처리기기를 공개된 장소에 설치·운영하거나 이동형 영상정보처리기기를 공개된 장소에서 업무를 목적으로 운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항을 준수하고, 적절한 보호대책을 수립·이행하여야 한다.
|-
|'''주요 확인사항'''
|
* 공개된 장소에 고정형 영상정보처리기기를 설치·운영할 경우 법적 허용 요건에 해당하는지를 검토하고 있는가?
* 공공기관 등이 공개된 장소에 고정형 영상정보처리기기를 설치·운영하려는 경우 공청회·설명회 개최 등의 법령에 따른 절차를 거쳐 관계 전문가 및 이해관계자의 의견을 수렴하고 있는가?
* 고정형 영상정보처리기기 설치·운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치등 필요한 조치를 하고 있는가?
* 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기를 운영하는 경우 법적 허용 요건에 해당하는지를 검토하고 있는가?
* 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우 불빛, 소리, 안내판 등의 방법으로 촬영 사실을 표시하고 알리고 있는가?
* 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영·관리 방침을 마련하여 시행하고 있는가?
* 영상정보의 보관 기간을 정하고 있으며, 보관 기간 만료 시 지체 없이 파기하고 있는가?
* 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가?
|-
|'''관련 법규'''
|
*개인정보 보호법 제25조(고정형 영상정보처리기기의 설치·운영 제한), 제25조의2(이동형 영상정보처리기기의 운영 제한)
|}
==세부 설명==

====공개된 장소의 고정형 영상정보처리기기 설치·운영====
공개된 장소에 고정형 영상정보처리기기를 설치·운영할 경우 법적 허용 요건에 해당하는지를 검토하여야 한다.
*공개된 장소에 고정형 영상정보처리기기를 설치·운영할 수 있는 경우
**1. 법령에서 구체적으로 허용하고 있는 경우
**2. 범죄의 예방 및 수사를 위하여 필요한 경우
**3. 시설의 안전 및 관리, 화재 예방을 위하여 정당한 권한을 가진 자가 설치·운영하는 경우
**4. 교통단속을 위하여 정당한 권한을 가진 자가 설치·운영하는 경우
**5. 교통정보의 수집·분석 및 제공을 위하여 정당한 권한을 가진 자가 설치·운영하는 경우
**6. 촬영된 영상정보를 저장하지 아니하는 경우로서 다음 중 어느 하나에 해당하는 경우로서 촬영된 영상을 별도로 저장하지 아니하는 경우
***출입자 수 등 통계값 산출을 위해 필요한 경우
***성별, 연령대 등 통계적 특성값을 도출하기 위해 필요한 경우
***그 밖에 위의 2가지에 준하는 경우로서 개인정보 보호위원회의 심의·의결을 거친 경우
*불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치·운영하는 것은 금지됨. 다만 교도소, 정신보건 시설 등 법령에 근거하여 사람을 '''구금하거나 보호하는 시설로서 대통령령으로 정하는 시설''' (교정시설, 수용시설을 갖추고 있는 정신의료기관, 정신요양시설, 정신재활시설)에 대하여는 '''예외적으로 허용됨'''

====이해관계자 의견 수렴====
공공기관 등이 공개된 장소에 고정형 영상정보처리기기를 설치·운영하려는 경우 공청회·설명회 등의 법적 절차를 거쳐 관계 전문가 및 이해관계자의 의견을 수렴하여야 한다.

*의견 수렴 절차를 거쳐야 하는 자
**1. 공개된 장소에 고정형 영상정보처리기기를 설치·운영하려는 공공기관의 장
**2. 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 고정형 영상정보처리기기를 설치·운영하려는 교정시설, 정신의료기관, 정신요양시설, 정신재활시설
*의견 수렴 절차
**1. ｢행정절차법｣에 따른 행정예고의 실시 또는 의견청취
**2. 해당 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회·설문조사 또는 여론조사
*의견 수렴 대상자
**1. 관계 전문가
**2. 해당 시설에 종사하는 사람, 해당 시설에 구금되어 있거나 보호받고 있는 사람 또는 그 사람의 보호자등 이해관계인

====고정형 영상정보처리기기 설치·운영 시 안내판 설치====
고정형 영상정보처리기기 설치·운영 시 정보주체가 쉽게 인식할 수 있도록 안내판을 설치하여야 한다.
*안내판에 포함되어야 할 사항
**1. 설치 목적 및 장소
**2. 촬영 범위 및 시간
**3. 관리책임자의 연락처
**4. 위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시)
*안내판 설치 예외 사항
**1. 군사시설
**2. 국가 중요시설
**3. 국가보안 시설
*안내판 설치 시 고려사항
**정보주체가 쉽게 알아볼 수 있는 위치에 설치
**건물 안에 여러개의 고정형 영상정보처리기기를 설치하는 경우에는 출입구 등 잘 보이는 곳에 해단 시설 또는 장소 전체가 고정형 영상정보처리기기 설치지역임을 표시하는 안내판 설치 가능
**공공기관이 원거리 촬영, 과속·신호위반 단속 또는 교통흐름조사 등의 목적으로 고정형 영상정보처리기기를 설치하는 경우로서 개인정보 침해의 우려가 적은 경우, 산불감시용 고정형 영상정보처리기기를 설치하는 경우 등 장소적 특성으로 인하여 안내판을 설치하는 것이 불가능하거나 안내판을 설치하더라도 정보주체가 쉽게 알아볼 수 없는 경우에는 인터넷 홈페이지에 관련 사항 게재 가능

====공개된 장소의 이동형 영상정보처리기기 설치·운영====
업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기를 운영하는 경우 법적 허용 요건에 해당하는지를 검토하고 이에 따른 조치를 이행하여야 한다.
*업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기를 운영할 수 있는 경우
**1. 개인정보 보호법 제15조제1항 각 호의 어느 하나에 해당하는 경우(정보주체의 동의 등)
**2. 촬영 사실을 명확히 표시하여 정보주체가 촬영사실을 알 수 있도록 하였음에도 불구하고 촬영 거부 의사를 밝히지 아니한 경우. 이 경우 정보주체의 권리를 부당하게 침해할 우려가 없고 합리적인 범위를 초과하지 아니하는 경우로 한정
**3. 그 밖에 제1호 및 제2호에 준하는 경우로서 대통령령으로 정하는 경우
*누구든지 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있는 곳에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상 촬영 금지. 다만 범죄, 재난, 화재 또는 이에 준하는 상황에서 인명의 구조·구급 등을 위해 영상 촬영이 필요한 경우에는 예외적으로 촬영 가능

====이동형 영상정보처리기기 촬영 사실 표시====
업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우 불빛, 소리, 안내판 등의 방법으로 촬영 사실을 정보주체가 촬영 사실을 쉽게 알 수 있도록 표시하고 알려야 한다.

*촬영 사실 표시 방법 : 불빛, 소리, 안내판, 서면, 안내방송 또는 그 밖에 이에 준하는 수단
*촬영 사실 표시 예외 : 드론에 의한 항공촬영 등 촬영 방법의 특성으로 인해 정보주체에게 촬영 사실을 쉽게 알 수 있도록 표시하고 알리기 어려운 경우에는 개인정보 보호위원회가 이동형 영상정보처리기기의 촬영사실 표시를 지원하기 위하여 구축·운영하는 홈페이지를 통해 촬영 사실 및 목적, 촬영 일시 및 장소 등의 사항을 공지(표준 개인정보 보호지침 제39조의2제2항)

====운영·관리 방침 마련====
영상정보처리기기운영자는 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영· 관리 방침을 마련하여 시행하여야 한다.
*고정형 영상정보처리기기운영자의 경우 고정형 영상정보처리기기 운영·관리 방침을 마련하고, 이동형 영상정보처리기기운영자의 경우 이동형 영상정보처리기기 운영·관리 방침을 마련
*영상정보처리기기 운영·관리 방침에 포함하여야 할 사항
**1. 영상정보처리기기의 설치 근거 및 설치 목적
**2. 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
**3. 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
**4. 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
**5. 영상정보처리기기운영자의 영상정보 확인 방법 및 장소
**6. 정보주체의 영상정보 열람 등 요구에 대한 조치
**7. 영상정보 보호를 위한 기술적·관리적 및 물리적 조치
**8. 그 밖에 영상정보처리기기의 설치·운영 및 관리에 필요한 사항
*영상정보처리기기가 설치된 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추지 않도록 규정에 포함할 필요가 있음.
*개인정보 처리방침을 정할 때 영상정보처리기기 운영·관리에 관한 사항을 포함시킨 경우에는 영상정보 처리기기 운영·관리 방침을 마련하지 아니할 수 있음
*고정형 영상정보처리기기가 설치된 목적과 다른 목적으로 고정형 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추지 않도록 규정에 포함하고 관리·감독 수행
*고정형 영상정보처리기기의 녹음 기능을 사용할 수 없도록 조치

====영상정보의 파기====
영상정보의 보관 기간을 정하여 보관 기간 만료 시 지체 없이 파기하여야 한다.
*영상정보의 보유 목적 달성을 위한 최소한의 기간으로 보관 기간 결정
*다만, 영상정보의 보관 기간과 관련하여 다른 법령에 특별한 규정이 있는 경우에는 해당 규정에 따라 보관
*영상정보처리기기운영자가 그 사정에 따라 보유 목적 달성을 위한 최소한의 기간을 산정하기 곤란한 때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 함(표준 개인정보 보호지침 제41조제2항)

====영상정보처리기기 사무 위탁====
영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 필요한 내용을 계약서에 반영하여야 한다.

*공공기관의 영상정보처리기기 설치·운영 사무 위탁 계약서에 포함되어야 할 내용(개인정보 보호법 시행령 제26조제1항)
**1. 위탁하는 사무의 목적 및 범위
**2. 재위탁 제한에 관한 사항
**3. 영상정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
**4. 영상정보의 관리 현황 점검에 관한 사항
**5. 위탁받는 자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

==증거 자료==

*영상정보처리기기 운영 현황
*영상정보처리기기 안내판
*영상정보처리기기 운영·관리방침
*영상정보처리기기 관리화면(계정·권한 내역, 영상정보 보존기간 등)
*영상정보처리기기 운영 수탁자와의 계약서 및 점검 이력

==결함 사례==

*영상정보처리기기 안내판의 고지 문구가 일부 누락되어 운영되고 있거나, 영상정보처리기기 운영· 관리 방침을 수립·운영하고 있지 않은 경우
*영상정보처리기기 운영·관리 방침을 수립 운영하고 있으나, 방침 내용과 달리 보관기간을 준수하지 않고 운영되거나, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술한 사항이 준수되지 않는 등 관리가 미흡한 경우
*영상정보처리기기의 설치·운영 사무를 외부업체에 위탁하고 있으나, 영상정보의 관리 현황 점검에 관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구하는 내용을 영상정보처리기기 업무 위탁 계약서에 명시하지 않은 경우
*영상정보처리기기의 설치·운영 사무를 외부업체에 위탁하고 있으나, 영상정보처리기기 안내판에 수탁자의 명칭과 연락처를 누락하여 고지한 경우

==같이 보기==

*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]

==참고 문헌==

*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)