- 개인정보처리재정보통신서비스 제공재는 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 근거(동의, 법령 등), 처리목적 및 방법, 보유기간 등을 파악하여 개인정보 현황표, 개인정보 흐름표, 개인정보 흐름도 등을 통하여 기록·관리해야 함

  - 또한 정기적으로 개인정보 현황을 점검하고 관련 문서를 최신화하여야 함

  - 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 개인정보보호위원회에 60일 이내에 등록

  - 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 해당 사항(개안정보파일 등록·변경)의 검토 및 적정성 판단을 요청한 후 상위 관리기관의 확인을 받아 개인정보보호위원회에 60일 이내에 등록

  - 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회 규칙을 따름

  - 다만 「개인정보 보호법」 제32조제2항에 해당하는 개인정보파일은 개인정보보호위원회에 등록하지 않아도 됨

    : 개인정보보호위원회 등록이 면제되는 개인정보파일(공공기관)

      ① 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일

      ② 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일

      ③ 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일

      ④ 공공기관의 내부 업무처리만을 위하여 사용되는 개인정보파일

      ⑤ 다른 법령에 따라 비밀로 분류된 개인정보파일

      ⑥ 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일

      ⑦ 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일

      ⑧ 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 알시적으로 처리되는 개인정보파일

      ⑨ 영상정보처리기기를 통하여 처리되는 개인영상 정보파일

      ⑩ 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보 파일

      ⑪ 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위해 보유하는 개인정보파일

  - 공공기관의 개인정보 보호책임자는 개인정보파일의 보유·파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 공개(표준 개인정보 보호지침 제61조)

  - 개인정보위원회는 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 인터넷에 공개(개인정보 보호 종합포털, www.privacy.go.kr)

  - 접근통제, 암호화, 악성프로그램 방지 등 개인정보의 안전한 처리 및 관리를 위한 조치 적용

  - 외부자 해킹, 내부자 권한 오·남용, 재난·재해 등에 의해 불법적인 개인정보 변경, 손상 등이 발생하 더라도 개인정보의 정확성, 완전성을 확보할 수 있도록 백업·복구 등의 체계 구축 및 이행

  - 홈페이지를 통한 개인정보 수정이 주기적으로 이루어질 수 있도록 공지

  - 개인정보 등록 현황을 쉽게 조회하고 변경할 수 있도록 다양한 방법 제공(온라인, 오프라인 등)

  - 개인정보 변경 시 안전한 본인확인 절차 마련 및 시행

  - 장기 미접속에 따른 휴면 회원인 경우 휴면회원 해제 시 회원정보 업데이트 절차 마련 

  - 정보주체가 수집 및 처리되는 개인정보의 현황을 쉽게 알 수 있도록 개인정보 처리방침의 변경과 이력관련 내용을 쉽게 인지할 수 있도록 게시

  - 업무 수행 형태 및 목적, 유형, 장소 등 여건 및 환경에 따라 개인정보처리시스템에 대한 접근권한 범위 내에서 최소한의 개인정보를 출력

  - 오피스(엑셀 등)에서 개인정보가 숨겨진 필드 형태로 저장되지 않도록 조치

  - 웹페이지 소스 보기 등을 통하여 불필요한 개인정보가 출력되지 않도록 조치 등

  - 개인정보 표시제한 조치 기준 예시

    ① 이름의 첫 번째 글자 이상

    ② 생년월일 

    ③ 전화번호, 휴대폰 전화의 국번

    ④ 주소의 읍, 면, 동

    ⑤ 인터넷 주소 : 17-24비트(Ver.4), 113-128비트(Ver.6) 등

      ※ 개인정보 표시제한 조치 적용(예시

        - 이름 : 홍*동

        - 연락처 : 010-****-1234

        - 주소 : 서울시 영등포구 영등포로3길 ****

        - 카드번호 : 4558-12**-****-3872

        - IP주소 : 123.123.***.123

        - 이메일주소 : ma******@abcd.com

  ※ 출력·복사물 보호조치(예시)

    - 출력·복사물 보호 및 관리 정책, 규정, 지침 등 마련

    - 출력·복사물 생산·관리 대장 마련 및 기록

    - 출력·복사물 운영·관리 부서 지정 및 운영

    - 출력·복사물 외부반출 및 재생산 통제·신고·제한 등

    - 복합기 보안, 출력물 워터마크 등 출력·복사물 보안기술 적용 등

  - 업무상 반드시 필요한 경우가 아니라면 개인정보 검색 시 like 검색이 되지 않도록 조치

  - 가명정보'란 개인정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보로서 통계 작성, 과학적 연구, 공익적 기록보존 등 3가지 목적에 한하여 정보주체의 동의 없이 이용·제공 가능

  - 처리 목적 및 이용환경, 데이터 특성 등을 고려하여 적정한 수준으로의 가명처리를 보장하기 위한 가명처리 절차 수립 및 이행

    ※ 가명처리 절차 예시(가명정보 처리 가이드라인)

      ① (사전준비) 목적 설정 및 가명처리 대상 정보 확보

      ② (가명처리) 처리 상황에 따른 수준정의 및 처리 : 대상선정 → 위험성 검토 → 가명처리 방법 및 수준정의 → 가명처리

      ③ (적정성 검토 및 추가 가명처리) 목적달성을 위하여 적절한 수준으로 가명처리가 이루어졌는지, 재식별 가능성은 없는지 등에 대한 최종적인 판단 절차 수행

      ④ (사후관리) 적정성 검토 결과 가명처리가 적정하다고 판단되면 가명정보를 본래 활용 목적을 위하여 처리할 수 있으며, 법령에 따라 기술적·관리적·물리적 안전조치를 이행

  - 서로 다른 개인정보처리자가 보유한 가명정보를 결합하여 활용하고자 하는 경우에는 개인정보보호위원회 또는 관계 중앙행정기관의 장이 지정한 결합전문기관을 통하여 수행

    : 결합전문기관 현황 : 가명정보결합종합지원시스템 참고(link.privacy.go.kr)

    : 금융회사가 보유한 정보집합물과 결합 시에는 신용정보법에 따른 데이터전문기관을 통하여 수행

  - 개인정보를 익명처리하는 경우에는 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 수준으로 익명처리가 수행될 수 있도록 익명처리 절차 수립 및 이행

  - (관리적 보호조치) 가명정보 및 추가 정보를 안전하게 관리하기 위한 내부관리계획의 수립·시행, 가명정보 처리업무 수탁자에 대한 관리·감독, 가명정보 처리업무 위탁 및 제3자 제공 시 계약서 상 재식별 금지 등의 조항 포함, 가명정보 처리와 관련된 개인정보 처리방침의 수립 및 공개, 가명정보 보호에 관한 교육 등의 조치

  - (기술적 보호조치) 추가 정보의 분리보관 또는 삭제, 가명정보 및 추가 정보에 대한 접근권한의 분리, 가명정보 처리 관련 기록의 작성·보관 등의 조치

    ※ 가명정보 처리 관련 기록에 포함되어야 할 사항(개인정보 보호법 시행령 제29조의5 제2항)

      : 가명정보의 처리목적

      : 가명처리한 개인정보의 항목

      : 가명정보의 이용내역

      : 제3자 제공 시 제공받는 자 등

  - (물리적 보호조치) 가명정보 또는 추가 정보를 전산실이나 자료보관실에 보관하는 경우 비인가자의 접근으로부터 보호하기 위하여 출입 통제 등의 절차 수립·이행 등

  - (기타 보호조치) 가명정보도 개인정보에 해당되므로 개인정보 보호법 제29조에 따른 개인정보의 안전성 확보조치 기준 이행, 특정 개인을 알아보기 위한 목적으로의 가명처리 금지 등

  - (재식별 모니터링 등) 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우 즉시 해당 정보의 처리를 중지하고 지체 없이 회수·파기 조치 등

  ※ 이동통신단말장치의 범위

    - 스마트폰 및 이동통신이 가능한 태블릿 PC에 적용

    - 2G 이동통신 단말장치의 경우, 사실상 앱이 동작할 수 있는 환경이 아니므로 대상에서 제외

    - 이동통신망을 이용하지 않고 단순히 블루투스, 와이파이, 테더링 등의 기능만 수행하는 기기는 적용대상에서 제외

    - 스마트워치는 화면 크기 제약 등으로 인해 접근권한에 대한 고지·동의 기능을 당장 구현하기 어려운 점을 고려하여, 우선 필수적 접근권한만 설정하도록 권장(다만 고지·동의 기능이 구현된 기기가 제조된 이후부터는 스마트폰 및 태블릿 PC와 동일하게 적용)

  - 앱이 스마트폰 내 저장되어 있는 정보와 설치된 기능에 접근할 수 있는 권한을 서비스에 필요한 범위 내로 최소화해야 함

  - 접근권한에 대한 동의를 받기 전에 해당 서비스 제공을 위하여 반드시 필요한 접근권한(이하 ‘필수적 접근권한')과 반드시 필요한 접근권한이 아닌 접근권한(이하 ‘선택적 접근권한')을 구분하여 접근권한이 필요한 항목 및 그 이유 등을 정보주체(이용자)에게 알기 쉽게 고지한 후, 정보주체(이용자)로부터 필수적·선택적 접근권한에 대한 동의를 각각 받아야 함

    : (필수적 접근권한인 경우) ①접근권한이 필요한 정보 및 기능의 항목, ②해당 정보 및 기능에 접근 이 필요한 이유를 알려야 함 

    : (선택적 접근권한인 경우) 상기 ①, ②와 함께 ③접근권한 허용에 동의하지 않을 수 있다는 사실을 알려야 함

  - 이동통신단말장치 내에서 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우, 정보주체(이용자)가 동의하지 않아도 서비스 제공을 거부하지 않아야 한다.

  - (개별 동의 선택이 가능한 방식의 운영체제, 안드로이드 6.0 이상 및 아이폰) 정보주체(이용자)는 접근권한에 이미 동의한 경우일지라도 해당 운영체제에서 제공하는 앱별 접근권한별 동의 철회 기능을 사용하여 각 앱에 대한 접근권한을 재설정할 수 있음

  - (개별 동의 선택이 불가능한 방식의 운영체제) 접근권한별 거부 기능이 구현되지 않아 원칙적으로 필수적 접근권한만 설정하도록 하였기 때문에 정보주체(이용자)가 이러한 필수적 접근권한에 대한 동의를 철회하고자 한다면 이미 설치한 앱을 삭제하면 됨. 단 이러한 운영체제임에도 불구하고 앱 자체적으로 선택적 접근권한을 설정하여 이에 대한 동의여부를 선택할 수 있는 기능을 구현한 경우라면 해당 앱에서 제공하는 동의 철회 기능을 사용하여 접근 권한을 재설정할 수 있음

    ※ 상세한 내용은 ‘스마트폰 앱 접근권한 개인정보 보호 안내서’ 참고

  - 개인정보는 최초 수집 시 정보주체(이용자)로부터 동의 받은 목적 또는 법령에 근거한 범위 내에서만 이용 또는 제공하여야 한다.

  - 개인정보를 목적 외의 용도로 이용·제공 가능한 경우(다만 정보통신서비스 제공자는 제1호, 제2호의 경우로 한정)

    ① 정보주체(이용자)로부터 별도의 동의를 받는 경우(공공기관, 공공기간 외)

    ② 다른 법률에 특별한 규정이 있는 경우(공공기관, 공공기간 외)

    ③ 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요하다고 인정되는 경우(공공기관, 공공기간 외)

    ④ 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 개인정보보호위원회의 심의·의결을 거친 경우(공공기관)

    ⑤  조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우(공공기관)

    ⑥ 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우(공공기관)

    ⑦ 법원의 재판업무 수행을 위하여 필요한 경우(공공기관)

    ⑧ 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우(공공기관)

  - 개인정보를 목적 외 용도로 이용·제공하기 위하여 동의를 받을 경우 고지사항

    ① 개인정보를 제공받는 자

    ② 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용목적)

    ③ 이용 또는 제공하는 개인정보의 항목

    ④ 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용기간)

    ⑤ 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에 그 불이익의 내용

  - 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한

  - 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서(전자 문서 포함)로 요청

  - 해당 개인정보를 받는 자와 개인정보의 안전성 확보조치에 관한 책임관계 명확화

  - 목적 외 이용·제공 시 관보 또는 인터넷 홈페이지에 게재하지 않아도 되는 경우(예외 사항)

    ① 정보주체(이용자)의 동의를 근거로 목적 외 이용·제공 시

    ② 범죄의 수사와 공소의 제기 및 유지를 위하여 목적 외 이용·제공 시

  - 관보 또는 인터넷 홈페이지 게재 사항

    ① 목적 외 이용 등을 한 날짜

    ② 목적 외 이용 등의 법적 근거

    ③ 목적 외 이용 등의 목적

    ④ 목적 외 이용 등을 한 개인정보의 항목

  - 관보 또는 인터넷 홈페이지 게재 시점 및 기간

    ① 게재 시점 : 목적 외 이용·제공 한 날로부터 30일 이내

    ② 게재 기간 : 인터넷 홈페이지에 게재하는 경우 10일 이상

  - '개인정보 목적 외 이용 및 제3자 제공대장'에 기록·관리해야 하는 사항

    ① 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭

    ② 이용기관 또는 제공받는 기관의 명칭

    ③ 이용 목적 또는 제공받는 목적

    ④ 이용 또는 제공의 법적 근거

    ⑤ 이용하거나 제공하는 개인정보의 항목

    ⑥ 이용 또는 제공의 날짜, 주기 또는 기간

    ⑦ 이용하거나 제공하는 형태

    ⑧ 개인정보 보호를 위하여 제한을 하거나 필요한 조치를 마련할 것을 요청한 경우에는 그 내용

      ※ 「개인정보 처리 방법에 관한 고시」별지 1호 서식 이용