ISMS-P 인증 기준 3.3.1.개인정보 제3자 제공

From IT위키

분류: ISMS-P 인증 기준

개요

항목 3.3.1.개인정보 제3자 제공
인증기준 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다.
주요 확인사항
  • 개인정보를 제3자에게 제공하는 경우 정보주체의 동의, 법령상 의무준수 등 적법 요건을 명확히 식별하고 이를 준수하고 있는가?
  • 정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 사항을 명확하게 고지하고 다른 동의사항과 구분하여 접법하게 동의를 받고 있는가?
  • 정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 하고 있는 가?
  • 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가?
  • 개인정보를 제3자에게 제공 하는 경우 안전한 절차와 방법을 통해 제공하고 제공 내역을 기록하여 보관하고 있는가?
  • 제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?
  • 정보주체의 동의 없이 개인정보의 추가적인 제공 시 당초 수집 목적과의 관련성, 예측가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 제공이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?
관련법규
  • 개인정보 보호법 제17조(개인정보의 제공), 제22조(동의를 받는 방법)
  • 개인정보 처리 방법에 관한 고시

세부 설명 ( 개정된 내용에 맞게 수정이 필요함 )

개인정보 제3자 제공 시 동의

개인정보를 제3자에게 제공하는 경우 정보주체 동의, 법령상 의무준수 등 관련 법률에 따른 적법 요건을 명확히 식별하고 이에 따라 개인정보를 적법하게 제공하여야 한다.

  • 제3자의 범위
    • 정보주체와 정보주체에 관한 개인정보를 수집·보유하고 있는 개인정보처리자를 제외한 모든 자
    • 동일한 개인정보처리자 내부의 타 부서 및 조직은 제3자에 해당하지 않음

※ 개인정보의 제3자 제공(예시)

  • 개인정보의 저장매체나 개인정보가 담긴 출력물·책자 등을 물리적으로 이전
  • 네트워크를 통한 개인정보의 전송
  • 개인정보에 대한 제3자의 접근권한 부여
  • 개인정보처리자와 제3자의 개인정보 공유
  • 기타 개인정보의 이전 또는 공동 이용 상태를 초래하는 모든 행위
  • 개인정보 제공 경로 별로 개인정보 제공의 적법 요건을 명확히 식별하고, 이를 입증할 수 있도록 관련 근거를 기록·관리
    • 예를 들어, 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 정보주체 동의 없이 개인정보를 제공하는 경우, 해당 법률 또는 법령의 조항 등 관련 근거를 문서화
  • 개인정보를 제3자에게 제공할 수 있는 경우
  • 1. 정보주체의 동의를 받은 경우
  • 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
  • 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
  • 4. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
  • 5.개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다
  • 6. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우

※ 위의 2호부터 6호까지에 따라 개인정보를 수집한 목적 범위에서 정보주체의 동의 없이 개인정보 제공 가능

  • 개인정보의 제3자 제공 동의는 수집·이용 등에 대한 동의와 구분하여 받고, 제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면 이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다
  • 정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한내용에 대해 명확히 표시하여 알아보기 쉽게 하여야 한다
  • 개인정보의 제3자 제공 동의 시 알려야 할 사항(개인정보 보호법 제17조제2항)
  • 1. 개인정보를 제공받는 자
  • 2. 개인정보를 제공받는 자의 개인정보 이용목적
  • 3. 제공하는 개인정보의 항목
  • 4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
  • 5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우 그 불이익의 내용
  • 정보주체의 동의가 적법하기 위해서는 정보주체의 자유로운 의사에 따른 동의 여부 결정, 동의 내용의 구체성 및 명확성 등 적법 요건을 모두 충족하여야 함.
    • 정보주체의 동의를 받을 때 충족해야 하는 조건(개인정보 보호법 시행령 제17조제1항) 1. 정보주체가 자유로운 의사에 따라 동의 여부를 결정할 수 있을 것 2. 동의를 받으려는 내용이 구체적이고 명확할 것 3. 그 내용을 쉽게 읽고 이해할 수 있는 문구를 사용할 것 4. 동의 여부를 명확하게 표시할 수 있는 방법을 정보주체에게 제공할 것
    • 단, 본 규정은 2024년 9월 15일부터 시행
  • 개인정보 보호법 제22조(동의를 받는 방법)제2항에 따라 개인정보 처리에 대한 동의를 서면(전자문서 및 전자거래기본법 제2조제1호에 따른 전자문서를 포함)으로 받을 때에는 다음과 같이 중요한 내용을 명확히 표시하여 알아보기 쉽게 하여야 함
    • 명확히 표시하여야 하는 중요한 내용(개인정보 보호법 시행령 제17조제3항) · 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실 · 처리하는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호· 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간) · 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적
    • 중요한 내용의 표시 방법(개인정보 처리 방법에 관한 고시 제4조) · 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것 · 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것

수집·이용 동의와 제3자 제공 동의의 구분

개인정보의 제3자 제공 동의는 수집·이용 등에 대한 동의와 구분하여 받고, 제3자 제공이 서비스의 본질적 기능을 수행하기 위하여 반드시 필요한 것이 아니라면 이에 동의하지 않는다는 이유로 서비스의 제공을 거부하지 않아야 한다.

  • 동의 사항의 구분이 필요한 경우(개인정보 보호법 제22조제1항)
    • 1. 제15조제1항제1호에 따라 동의를 받는 경우(개인정보 수집·이용 동의) 2. 제17조제1항제1호에 따라 동의를 받는 경우(개인정보 제3자 제공 동의) 3. 제18조제2항제1호에 따라 동의를 받는 경우(개인정보 목적외 이용·제공 동의) 4. 제19조제1호에 따라 동의를 받는 경우(개인정보를 제공받은 자의 목적외 이용·제공 동의) 5. 제24조제1항제1호에 따라 동의를 받는 경우(민감정보 처리 동의) 6. 제24조제1항제1호에 따라 동의를 받는 경우(고유식별정보 처리 동의) 7. 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보의 처리에 대한 동의를 받으려는 경우 ※ 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 알 수 있도록 구분하여 표시

개인정보 제3자 제공 항목 최소화

개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하여야 한다.

  • 동의에 근거한 제3자 제공 시: 동의 시 고지한 제공 목적을 달성하기 위하여 필요한 최소한의 개인 정보 항목만 제공하여야 함.
  • 법령에 근거한 제3자 제공 시: 법률에서 구체적으로 명시하거나 해당 법령상 의무를 준수하기 위하여 필요한 범위 내에서 최소한의 개인정보 항목만 제공하여야 함.

안전한 제공 및 제공 내역 기록 보관

제3자에게 개인정보를 제공하는 과정에서 개인정보가 유·노출되지 않도록 안전한 절차와 방법을 통하여 제공하고 관련된 제공 내역은 기록하여 보관하여야 한다.

※ 제3자 제공 시 안전한 절차(예시)

  • 개인정보를 제공하는 자와 제공받는 자의 안전성 확보에 관한 책임관계 명확화(계약서 등)
  • 제3자 제공과 관련된 승인 절차(담당자에 의한 제공 시)
  • 전송 또는 전달 과정의 암호화
  • 접근통제, 접근권한 관리 등 안전성 확보 조치 적용
  • 제공 기록의 보존 등

※ 제3자 제공 기록에 포함하여야 할 내용(예시)

  • 제공받는 자
  • 제공 일시
  • 제공된 개인정보: 정보주체(이용자) 식별정보 및 개인정보 항목
  • 제공 목적 또는 근거
  • 제공자(담당자): 승인절차가 있는 경우 승인자 포함
  • 제공 방법: 시스템 연계, 이메일 전송 등
  • 기타 필요한 정보

제3자 개인정보 접근 허용 시 보호조치

제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하여야 한다.

  • 권한이 있는 자만 접근할 수 있도록 안전한 인증 및 접근통제 조치
  • 전송구간에서의 도청을 방지하기 위한 암호화 조치
  • 책임추적성을 확보할 수 있도록 접속기록 보존 등

정보주체 동의 없이 개인정보 추가 제공시

정보주체의 동의 없이 개인정보의 추가적인 제공 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등 고려사항에 대한 판단기준을 수립·이행하여야 하며, 추가적인 제공이 지속적으로 발생하는 경우 이를 개인정보 처리방침에 공개하고 기준 준수여부를 점검하여야 한다

  • 개인정보의 추가적인 제공 시 고려사항(개인정보 보호법 시행령 제14조의2제1항)
    1. 당초 수집 목적과 관련성이 있는지 여부
    2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
    3. 정보주체의 이익을 부당하게 침해하는지 여부
    4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

증거 자료

  • 온라인 개인정보 제3자 제공 관련 양식(홈페이지 회원가입 화면, 개인정보 제3자 제공 동의 화면 등)
  • 오프라인 개인정보 제3자 제공 관련 양식(회원가입신청서, 개인정보 제3자 제공 동의서 등)
  • 제3자 제공 내역
  • 개인정보 처리방침

결함 사례

  • 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우
  • 개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 않은 정보주체(이용자)의 개인정보가 함께 제공된 경우
  • 개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하고 동의를 받은 경우
  • 회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우
  • 제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)