ISMS-P 인증 기준 3.1.4.민감정보 및 고유식별정보의 처리 제한

From IT위키
Revision as of 23:57, 26 January 2024 by 61.77.208.197 (talk)

분류: ISMS-P 인증 기준

개요

항목 3.1.4.민감정보 및 고유식별정보의 처리 제한
인증기준 민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체의 별도 동의를 받아야 한다.
주요 확인사항
  • 민감정보는 정보주체로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가?
  • 고유식별정보(주민등록번호 제외)는 정보주체로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가?
  • 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알리고 있는가?
관련법규
  • 개인정보 보호법 제23조(민감정보의 처리제한), 제24조(고유식별정보의 처리 제한)
  • 2023.9.15. 법 개정, 2023.10.31 인증기준 개정

세부 설명

민감정보의 처리

민감정보의 처리는 원칙적으로 금지되며, 다만 정보주체로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에 한하여 처리할 수 있다.

  • 민감정보의 범위
    • 1. 사상·신념 : 각종 이데올로기 또는 사상적 경향, 종교적 신념 등
    • 2. 정치적 견해 : 정치적 사안에 대한 입장이나 특정 정당의 지지 여부에 관한 정보
    • 3. 노동조합·정당의 가입·탈퇴 : 노동조합 또는 정당에의 가입·탈퇴에 관한 정보
    • 4. 건강 및 성생활에 관한 정보 : 개인의 과거 및 현재의 병력(病歷), 신체적·정신적 장애(장애등급 유무 등), 성적취향 등에 관한 정보.
    • 5. 사생활을 현저하게 침해할 우려가 있는 개인정보
      • 유전자 검사 등의 결과로 얻은 유전 정보, 범죄 경력에 관한 정보
      • 벌금 이상의 형의 선고·면제 및 선고 유예, 보호감호, 치료감호, 보호관찰, 선고유예의 실효, 집행유예의 취소, 벌금 이상의 형과 함께 부과된 몰수, 추징, 사회봉사명령, 수감명령 등의 선고 또는 처분 등범죄경력에 관한 정보
      • 개인의 신체적·생리적·행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으로 일정한 기술적 수단을 통한 생성한 정보(생체인식 특징정보)
      • 인종이나 민족에 관한 정보
  • 민감정보의 처리가 가능한 경우
    • 1. 정보주체로부터 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
    • 2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

고유식별정보의 처리

고유식별정보(주민등록번호 제외)는 정보주체로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하여야 한다.

  • 고유식별정보의 범위
    • 1. 주민등록번호(다만 주민등록번호 수집 법정주의에 따라 동의에 근거한 수집은 불가함)
    • 2. 여권번호
    • 3. 운전면허번호
    • 4. 외국인등록번호
  • 고유식별정보(주민등록번호 제외)의 처리가 가능한 경우
    • 1. 정보주체로부터 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우
    • 2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

민감정보 공개 가능성

재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 한다.

  • 해당되는 경우 개인정보 처리방침에도 공개 필요

증거 자료

  • 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 등)
  • 오프라인 개인정보 수집 양식(회원가입신청서 등)
  • 개인정보 처리방침

결함 사례

  • 장애인에 대한 요금감면 등 혜택 부여를 위하여 장애 여부 등 건강에 관한 민감정보를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우
  • 회원가입 시 외국인에 한하여 외국인등록번호를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우
  • 민감정보 또는 고유식별정보의 수집에 대해 별도의 동의를 받으면서 고지하여야 할 4가지 사항 중에 일부를 누락하거나 잘못된 내용으로 고지하는 경우(동의 거부 권리 및 동의 거부에 따른 불이익 사항을 고지하지 않은 경우 등)

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)