ISMS-P 인증 기준 3.1.1.개인정보 수집∙이용

From IT위키
Revision as of 21:35, 1 November 2023 by 심사언 (talk | contribs)

분류: ISMS-P 인증 기준

개요

항목 3.1.1.개인정보 수집 제한
인증기준 개인정보는 적법하고 정당하게 수집∙이용하여야 하며, 정보주체의 동의를 근거로 수집하는 경우에는 적법한 방법으로 정보주체의 동의를 받아야 한다. 또한 만 14세 미만 아동의 개인정보를 수집하는 경우에는 그 법정대리인의 동의를 받아야 하며 법정대리인이 동의하였는지를 확인하여야 한다.
주요 확인사항
  • 개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결∙이행 등 적법 요건에 따라 수집하고 있는가?
  • 정보주체에게 개인정보 수집 동의를 받는 경우 동의방법 및 시점은 적절하게 되어 있는가?
  • 정보주체에게 개인정보 수집 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 표시하고 있는가?
  • 만 14세 미만 아동의 개인정보에 대해 수집∙이용∙제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가?
  • 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가?
  • 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하고 있는가?
  • 정보주체 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가?
  • 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알리고 있는가?
  • 정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 이용이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?

※ 2023년 10월 31일 개정 ▼ 아래 내용 인증 기준 안내서 나오면 편집 필요

관련 법률

세부 설명

필요최소한의 정보 수집

  • 개인정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위하여 필요한 범위 내에서 최소한의 정보만을 수집하여야 한다.
    • 정보주체(이용자)의 동의를 받거나 법령에 따른 개인정보 수집 또는 계약의 체결·이행 등을 위하여 불가피하게 개인정보를 수집하는 경우에도 필요한 최소한의 개인정보만을 수집하여야 함.
    • 최소한의 개인정보에 대한 입증책임은 개인정보처리자가 부담하므로 필수로 수집하는 정보에 대하여 서비스 제공 등에 필요한 최소한의 개인정보임을 입증할 수 있어야 함. (이때 최소한의 개인정보란 해당 서비스의 본질적 기능을 위하여 반드시 필요한 정보를 말함.)

※ 최소정보(예시)

  • 쇼핑업체가 고객에게 상품을 배송하기 위하여 수집한 이름, 주소, 전화번호 등은 필요 최소한의 개인정보라고 할 수 있으나, 직업, 생년월일 등 배송과 관련 없는 개인정보를 요구하는 것은 최소 정보의 범위를 벗어난 것임.
  • 취업 희망자의 경력, 전공, 자격증 등에 관한 정보는 업무 능력을 판단하기 위한 최소한의 정보라고 할 수 있으나, 가족관계, 결혼유무, 본적(원적) 등에 관한 정보는 최소한의 정보를 벗어난 것임.

선택 정보 별도 동의

  • 수집 목적에 필요한 최소한의 정보 외의 개인정보를 수집하는 경우 정보주체(이용자)가 해당 개인정보의 제공 여부를 선택할 수 있도록 하여야 한다.
    • 정보주체(이용자)가 직접 동의 여부를 선택할 수 있도록 수집하는 개인정보의 항목을 필수 동의 항목과 선택 동의 항목으로 구분하여 각각 동의를 받을 수 있도록 하여야 함.

서비스 제공 거부 금지

  • 정보주체(이용자)가 수집 목적에 필요한 최소한의 정보 이외의 개인정보를 제공하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하여야 한다.
    • 정보주체(이용자)가 선택항목에 대한 동의를 거부하더라도 서비스의 이용이 가능하다는 사실을 명확하게 표시하여 알 수 있도록 고지
    • 회원가입 과정에서 선택정보에 대하여 동의를 하지 않거나 입력을 하지 않더라도 회원가입 등 필수적인 서비스는 이용이 가능하도록 구현
  • ※ 상세한 내용은 ʻ알기 쉬운 개인정보 처리 동의 안내서(개인정보보호위원회)ʼ 참고

증거 자료

  • 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 화면 등)
  • 오프라인 개인정보 수집 양식(멤버십 가입신청서 등)
  • 개인정보 처리방침

결함 사례

  • 회원가입 시 서비스 제공을 위하여 필요한 최소한의 정보 외의 기타 정보를 수집하면서 필수항목과 선택항목으로 구분하지 않고 일괄로 동의를 받는 경우
  • 회원가입 양식에서 필수정보와 선택정보로 나눠서 동의를 받고 있으나, 필수정보에 포함된 개인정보 항목에 서비스 제공을 위하여 필요한 최소한의 정보 외의 과도한 개인정보 항목이 포함되어 있는 경우
  • 회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택 정보에 대하여 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우(개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등)
  • 홈페이지 회원가입 화면에서 선택사항에 대하여 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우
  • 채용 계약 시 채용 예정 직무와 직접 관련이 없는 가족사항 등 과도한 개인정보를 수집하는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)