ISMS-P 인증 기준 3.2.5.개인정보 목적 외 이용 및 제공

From IT Wiki


개요[edit | edit source]

항목 3.2.5.개인정보 목적 외 이용 및 제공
인증기준 개인정보는 수집 시의 정보주체(이용자)에게 고지·동의를 받은 목적 또는 법령에 근거한 범위 내에서만 이용 또는 제공하여야 하며, 이를 초과하여 이용·제공하려는 때에는 정보주체(이용자)의 추가 동의를 받거나 관계 법령에 따른 적법한 경우인지 확인하고 적절한 보호대책을 수립·이행하여야 한다.
주요 확인사항
  • 개인정보는 최초 수집 시 정보주체(이용자)로부터 동의 받은 목적 또는 법령에 근거한 범위 내에서만 이용‧제공하고 있는가?
  • 개인정보처리자로부터 개인정보를 제공받은 경우 제공받은 목적의 범위 내에서만 이용·제공하고 있는가?
  • 개인정보를 수집 목적 또는 범위를 초과하여 이용하거나 제공하는 경우 정보주체(이용자)로부터 별도의 동의를 받거나 법적 근거가 있는 경우로 제한하고 있는가?
  • 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우 제공받는 자에게 이용목적‧방법 등을 제한하거나 안전성 확보를 위해 필요한 조치를 마련하도록 요청하고 있는가?
  • 공공기관이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 관보 또는 인터넷 홈페이지 등에 게재하고 있는가?
  • 공공기관이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 목적 외 이용 및 제3자 제공대장에 기록∙관리하고 있는가?

세부 설명[edit | edit source]

개인정보 목적 외 이용 금지[edit | edit source]

개인정보는 최초 수집 시 정보주체로부터 동의받은 목적 또는 법령에 근거한 범위 내에서만 이용 또는 제공하여야 한다.

  • 정보주체에게 이용·제공의 목적을 고지하고 동의를 받은 범위나 개인정보 보호법 또는 다른 법령에 의하여 이용·제공이 허용된 범위를 벗어나서 개인정보를 이용하거나 제공 금지
  • 개인정보의 목적 외 이용, 제공 사례
  1. 고객만족도 조사, 판촉행사, 경품행사에 응모하기 위하여 입력한 개인정보를 사전에 동의 받지 않고 자사의 할인판매행사 안내용 광고물 발송에 이용
  2. 홈쇼핑 회사가 주문 상품을 배달하기 위해 수집한 고객정보를 정보주체의 동의 없이 계열 콘도미니엄사에 제공하여 콘도미니엄 판매용 홍보자료 발송에 활용
  • 개인정보처리자로부터 개인정보를 제공받은 경우 제공받은 목적의 범위 내에서만 이용, 제공
  1. 개인정보를 제공받은 자는 해당 개인정보를 제공하거나 제공받은 목적과 다른 용도로 이용, 제3자제공 금지
  • 개인정보를 목적 외의 용도로 이용·제공 가능한 경우(다만 정보통신서비스 제공자는 제1호, 제2호의 경우로 한정)
No 목적 외 이용·제공이 가능한 경우 공공기관 공공기관 외
1
  • 정보주체(이용자)로부터 별도의 동의를 받는 경우
O O
2
  • 다른 법률에 특별한 규정이 있는 경우
O O
3
  • 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서
    명백히 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요하다고 인정되는 경우
O O
4
  • 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서
    개인정보보호위원회의 심의·의결을 거친 경우
O -
5
  • 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
O -
6
  • 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
O -
7
  • 법원의 재판업무 수행을 위하여 필요한 경우
O -
8
  • 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
O -
9
  • 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우
O O
  • 개인정보를 목적 외 용도로 이용 제공하기 위하여 동의를 받을 경우 고지사항
  1. 개인정보를 제공받는 자
  2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용목적)
  3. 이용 또는 제공하는 개인정보의 항목
  4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
  5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에 그 불이익의 내용
  • 다른 개인정보처리자로부터 개인정보를 제공받은 자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제3자에게 제공하여서는 아니 됨
  1. 정보주체로부터 별도의 동의를 받은 경우
  2. 다른 법률에 특별한 규정이 있는 경우

개인정보 목적 외 용도로 제3자 제공[edit | edit source]

  • 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우 제공받는 자에게 이용목적∙방법 등을 제한하거나 안전성 확보를 위하여 필요한 조치를 마련하도록 요청하여야 한다.
    • 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한
    • 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서(전자 문서 포함)로 요청
    • 해당 개인정보를 받는 자와 개인정보의 안전성 확보조치에 관한 책임관계 명확화

공공기관의 개인정보 목적 외 이용·제공 시 공개[edit | edit source]

공공기관이 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하는 경우 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 관보 또는 인터넷 홈페이지 등에 게재하여야 한다.

  • 목적 외 이용·제공 시 관보 또는 인터넷 홈페이지에 게재하지 않아도 되는 경우(예외 사항)
    • 1. 정보주체(이용자)의 동의를 근거로 목적 외 이용·제공 시
    • 2. 범죄의 수사와 공소의 제기 및 유지를 위하여 목적 외 이용·제공 시
  • 관보 또는 인터넷 홈페이지 게재 사항
    • 1. 목적 외 이용 등을 한 날짜
    • 2. 목적 외 이용 등의 법적 근거
    • 3. 목적 외 이용 등의 목적
    • 4. 목적 외 이용 등을 한 개인정보의 항목
  • 관보 또는 인터넷 홈페이지 게재 시점 및 기간
    • 1. 게재 시점 : 목적 외 이용·제공한 날로부터 30일 이내
    • 2. 게재 기간 : 인터넷 홈페이지에 게재하는 경우 10일 이상

공공기관의 개인정보 목적 외 이용·제공대장 기록·관리[edit | edit source]

공공기관이 개인정보를 목적 외의 용도로 이용하거나 목적 외의 용도로 제3자에게 제공하는 경우 ʻ개인 정보 목적 외 이용 및 제3자 제공대장ʼ에 기록·관리하여야 한다.

  • ʻ개인정보 목적 외 이용 및 제3자 제공대장ʼ에 기록·관리하여야 하는 사항
    • 1. 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭
    • 2. 이용기관 또는 제공받는 기관의 명칭
    • 3. 이용 목적 또는 제공받는 목적
    • 4. 이용 또는 제공의 법적 근거
    • 5. 이용하거나 제공하는 개인정보의 항목
    • 6. 이용 또는 제공의 날짜, 주기 또는 기간
    • 7. 이용하거나 제공하는 형태
    • 8. 개인정보 보호를 위하여 제한을 하거나 필요한 조치를 마련할 것을 요청한 경우에는 그 내용

※ 「개인정보 처리 방법에 관한 고시」 별지 1호 서식 이용

  • 사법기관 또는 정부기관의 개인정보 등 자료 제공 요청(영장, 명령, 자료제출 요구 등)에 체계적으로 대응하기 위한 절차를 마련
    • 사법기관 또는 정부기관의 개인정보 등 자료 제공 요청 대응 절차 마련 시 고려사항
    • 제공에 대한 법적 근거, 요청 접수창구(담당조직 및 담당자 지정 포함), 정식 공문(영장 등) 요청, 요청기관의 담당자 확인, 최소 정보 제공 원칙, 내부 보고 및 승인 절차, 관련 기록 보존 등의 대응

증거 자료[edit | edit source]

  • 개인정보 목적 외 이용 및 제3자 제공 내역(요청서 등 관련 증적 포함)
  • 개인정보 목적 외 이용 및 제3자 제공 대장(공공기관인 경우)
  • 홈페이지 또는 관보 게재 내역(공공기관인 경우)

결함 사례[edit | edit source]

  • 상품배송을 목적으로 수집한 개인정보를 사전에 동의받지 않은 자사 상품의 통신판매 광고에 이용한 경우
  • 고객 만족도 조사, 경품 행사에 응모하기 위하여 수집한 개인정보를 자사의 할인판매행사 안내용 광고 발송에 이용한 경우
  • 공공기관이 다른 법률에 근거하여 민원인의 개인정보를 목적 외로 타 기관에 제공하면서 관련 사항을 관보 또는 인터넷 홈페이지에 게시하지 않은 경우
  • 공공기관이 범죄 수사의 목적으로 경찰서에 개인정보를 제공하면서 ʻ개인정보 목적 외 이용 및 제3자 제공 대장ʼ에 관련 사항을 기록하지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)