3.4.1. 개인정보의 파기
개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다.
1. 개인정보의 보유기간 및 파기와 관련된 내부 정책을 수립하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
- 수집항목별, 수집목적별, 수집경로별로 보관장소(데이터베이스, 백업데이터 등), 파기방법, 파기시점 법령근거 등
- 공공기관은 개인정보파일의 보유기간, 처리 목적 등을 반영한 개인정보 파기계획을 수립·시행하여야 하며, 내부관리계획에 개인정보 파기계획을 포함할 수 있음(표준 개인정보 보호지침 제55조제2항)
2. 개인정보의 처리목적이 달성되거나 보유기간이 경과한 경우 지체 없이 해당 개인정보를 파기하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
- 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료, 법령에 따른 보존기간 경과 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 그로부터 5일 이내에 그 개인정보를 파기해야 함
※ 개인정보 수집 및 이용 목적을 달성한 경우(예시)
- 정보주체(이용자)가 웹사이트 회원에서 탈퇴한 경우
- 이용자가 초고속인터넷을 해지한 경우
- 정보주체(이용자)가 마일리지 회원에서 탈퇴를 요청한 경우
- 개인정보를 수집하는 이벤트가 종료된 경우
- 제3의 업체에게 텔레마케팅을 위하여 정보를 제공한 후 해당 업체의 TM업무가 종료된 경우 등
3. 개인정보를 파기할 때에는 복구‧재생되지 않도록 안전한 방법으로 파기하고 있는가? (개정 23.11.23.) (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
(복원이 불가능한 방법이란 현재의 기술수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말한다.)
- 완전파괴(소각·파쇄 등)
- 전용 소자장비(자기장을 이용해 저장장치의 데이터를 삭제하는 장비)를 이용하여 삭제
- 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
※ 파기방법(예시)
- 완전파괴: 개인정보가 저장된 회원가입신청서 등의 종이문서, 하드디스크나 자기테이프를 파쇄 기로 파기하거나 용해, 또는 소각장, 소각로에서 태워서 파기 등
- 전자 소자장비 이용시: 디가우저(Degausser)를 이용해 하드디스크나 자기테이프에 저장된 개인정보 삭제 등
- 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행시 : 개인정보가 저장된 하드디스크에 대 해 완전포맷(3회 이상 권고), 데이터 영역에 무작위 값, 0, 1 등으로 덮어쓰기(3회 이상 권고), 해당 드라이브를 안전한 알고리즘 및 키 길이로 암호화 저장 후 삭제하고 암호화에 사용된 키 완전 폐기 및 무작위 값 덮어쓰기 등의 방법 이용
- 개인정보의 일부만을 파기하는 경우 위의 방법으로 파기하는 것이 어려울 때에는 다음의 조치 이행
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
2. 전자적 파일 형태 이외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 구멍 뚫기 등으로 삭제
- 기술적 특성으로 인하여 위의 방법으로 파기하는 것이 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리(익명처리)하여 복원이 불가능하도록 조치
(개정 23.11.23.)
4. 개인정보 파기에 대한 기록을 남기고 관리하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
- 개인정보 파기의 시행 및 파기 결과의 확인은 개인정보 보호책임자의 책임 하에 수행되어야 하며, 파기에 관한 사항을 기록·관리
- 파기 관리대장에 기록하거나 파기 내용을 담은 사진 등을 기록물로 보관
- 공공기관은 개인정보파일을 파기하는 경우 파기 결과를 확인하고 개인정보파일 파기 관리 대장을 작성(표준 개인정보 보호지침 제55조)
운영 내역(증적) 예시
- 개인정보 보유기간 및 파기 관련 규정
- 개인정보 파기 결과(회원 데이터베이스 등)
- 개인정보 파기관리대장
** 인증심사 결함사항 예시 ** (개정 23.11.23.)
- 특정 기간 동안 이벤트를 하면서 수집된 개인정보에 대하여 이벤트가 종료된 이후에도 파기 기준이 수립되어 있지 않거나 파기가 이루어지고 있지 않은 경우
- 콜센터에서 수집되는 민원처리 관련 개인정보(상담이력, 녹취 등)를 전자상거래법을 근거로 3년간 보존하고 있으나, 3년이 경과한 후에도 파기하지 않고 보관하고 있는 경우
- 회원 탈퇴 등 목적이 달성되거나 보유기간이 경과된 경우 회원 데이터베이스에서는 해당 개인정보를 파기하였으나 CRM, DW 등 연계된 개인정보처리시스템에 복제되어 저장되어 있는 개인정보를 파기하지 않은 경우
- 블록체인 등 기술적 특성으로 인하여 목적이 달성된 개인정보의 완전 파기가 어려워 완전파기 대신 익명처리를 하였으나, 익명처리가 적절하게 수행되지 않아 일부 개인정보의 재식별 등 복원이 가능한 경우 (개정 23.11.23.)
(CELA)만 14세 미만 아동의 가입을 위한 법정대리인 동의를 위하여 법정대리인의 개인정보를 수집 후 파기하지 않고 있는 경우
- (CELA)회원 개인정보 이력(배송이력, 결제이력, 발송이력 등)에 대한 파기 기준을 수립하지 않고 목적 달성 후에도 탈퇴 전까지 개인정보를 보관하고 있는 경우
- (CELA)이벤트 종료 후 수집 목적 달성 시에도 응모자 정보를 파기하지 않고 있는 경우
3.4.2. 처리목적 달성 후 보유 시 조치
개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장·관리하여야 한다.
1. 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우, 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
- 개인정보의 항목을 보유목적에 맞는 최소한의 항목으로 제한
- 관련 법령에 따른 최소기간으로 보유기간 설정
※ 타 법령에 따른 보유기간(예시)
- 전자상거래 등에서 소비자 보호에 관한 법률
① 표시. 광고에 관한 기록 : 6개월
② 계약 또는 청약철회 등에 관한 기록: 5년
③ 대금결제 및 재화 등의 공급에 관한 기록 : 5년
④ 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년
- 통신비밀보호법
① 컴퓨터 통신 또는 인터넷의 로그기록 자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적자료 : 3개월
2. 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장‧관리하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
- 분리 데이터베이스는 물리적 또는 논리적으로 분리하여 구성
3. 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
- 분리 보관된 개인정보는 마케팅 등 다른 목적으로 활용 금지
4. 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가? (간편인증-7의2) (간편인증-7의3)
상세 기준 ▶
- 분리 데이터베이스의 접속 권한을 최소인원으로 제한하는 등 접근권한 최소화
- 분리 데이터베이스에 대한 접속기록을 남기고 정기적으로 검토 등
운영 내역(증적) 예시
- 개인정보 보유기간 및 파기 관련 규정
- 분리 데이터베이스 현황(테이블 구조 등)
- 분리 데이터베이스 접근권한 현황
** 인증심사 결함사항 예시 ** (개정 23.11.23.)
- 전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록을 법적 의무보존 기간인 3년을 초과하여 5년간 보존하고 있는 경우
- 탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 계약 또는 청약철회, 대금결제 및 재화공급에 관한 기록을 분리하여 보존하였으나, 전자상거래법에 따른 보존의무가 없는 선택정보까지 과도하게 보존한 경우 (개정 23.11.23.)
- 탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 일정기간 보관하면서 Flag값만 변경하여 다른 회원정보와 동일한 테이블에 보관하고 있는 경우
- 분리 데이터베이스를 구성하였으나 접근권한을 별도로 설정하지 않아 업무상 접근이 불필요한 인원도 분리 데이터베이스에 자유롭게 접근이 가능한 경우
(CELA)개인정보가 포함된 탈퇴 회원의 개인정보 이력(결제이력 등)을 관련 법령에 따라 보관 시 별도 분리보관 하지 않은 경우
3.4.3. 휴면 이용자 관리
서비스를 일정기간 동안 이용하지 않는 휴면 이용자의 개인정보를 보호하기 위하여 관련 사항의 통지, 개인정보의 파기 또는 분리보관 등 적절한 보호조치를 이행하여야 한다. (개정 23.11.23.)
1. 정보통신서비스 제공자등은 법령에서 정한 기간 동안 이용하지 않는 휴면 이용자의 개인정보를 파기 또는 분리 보관하고 있는가? (개정 23.11.23.)
상세 기준 ▶
- 정보통신서비스 제공자 등은 정보통신서비스를 1년의 기간 동안 이용하지 않는 이용자의 개인정보를 보호하기 위하여 지체 없이 파기하거나 분리 보관하여야 함(개인정보 유효기간제)
※ 미이용 기간 산정 시 주의사항
- 유효기간제 시행 주기는 영업일 기준으로 최소 5일 이내로 하여야 함
- 광고 이메일을 단순 클릭하는 것은 서비스를 이용한 것으로 볼 수 없음
- 미이용 기간에 대한 산정은 ‘로그인’ 여부로 판단
- 이용자의 요청이 있는 경우 예외적으로 1년 이외의 서비스 미이용 기간을 정할 수 있음
- 개인정보 유효기간제에 따른 파기 또는 분리보관 대상이 되는 개인정보는 최초 회원가입 또는 회원 정보 수정 등의 단계에서 수집·관리되는 개인정보뿐 아니라 접속로그, 결제기록 등 서비스를 이용하는 과정에서 생성되는 정보도 포함됨
- 분리 보관하는 방식은 물리적으로 데이터베이스를 분리하여 저장하는 것이 바람직하나, 테이블 분리 등 논리적으로 분리하는 것도 가능함
- 이용자의 재이용 요청이 있는 경우를 대비하여 온라인 이용자의 편의성을 높이기 위한 목적으로 ID 등 최소한의 연결값을 서비스 중인 데이터베이스에 남겨두는 것은 가능함
2. 휴면 이용자의 개인정보를 파기하거나 분리하여 저장·관리하려는 경우 이용자에게 알리고 있는가? (개정 23.11.23.)
상세 기준 ▶
- 통지 시기: 서비스 미이용 기간 만료 30일 전까지
- 통지 방법: 전자우편, 서면, 모사전송(팩스), 전화 등의 방법 중 하나를 선택
- 통지 항목
① 개인정보를 파기하는 경우: 개인정보가 파기되는 사실, 기간 만료일 및 파기되는 개인정보의 항목
② 개인정보를 분리하여 저장·관리하는 경우: 개인정보가 분리되어 저장· 관리되는 사실, 기간 만료 일 및 분리·저장되어 관리되는 개인정보의 항목
3. 분리되어 저장·관리하는 휴면 이용자의 개인정보는 법령에 따른 보관 목적 또는 이용자의 요청에 대해서만 이용 및 제공하고 있는가? (개정 23.11.23.)
상세 기준 ▶
- 분리 보관된 개인정보는 마케팅, 문자발송 등 다른 목적으로 처리 금지
- 다만 이용자의 재이용 요청이 있는 경우에는 분리 보관된 개인정보를 이용하여 휴면 이용자에서 정상 이용자로 상태 복원 등 가능
4. 분리되어 저장·관리하는 휴면 이용자의 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가? (개정 23.11.23.)
상세 기준 ▶
- 분리 데이터베이스의 접속 권한을 최소인원으로 제한하는 등 접근권한 최소화
- 분리 데이터베이스에 대한 접속기록을 남기고 정기적으로 검토 등
운영 내역(증적) 예시 (개정 23.11.23.)
휴면 이용자선정 기준휴면 데이터베이스(분리 데이터베이스) 현황휴면 이용자 대상 사전 통지 내역
** 인증심사 결함사항 예시 ** (개정 23.11.23.)
개인정보 유효기간제를 적용받는 정보통신서비스 제공자가 1년 이상 서비스를 접속하지 않은 이용자의 개인정보를 지체 없이 파기 또는 분리 보관하지 않고 월단위로 파기 또는 분리보관하고 있는 경우휴면 이용자의 재이용 요청에 대비하여 회원 데이터베이스에 일부 정보를 남겨두면서 이름, 연락처 등 과도한 정보를 저장하고 있는 경우1년간 홈페이지에 로그인 하지 않은 회원정보를 별도 데이터베이스에 분리 보관하였으나, 이 때 분리된 회원매에 접근 가능한 관리자를 최소인원으로 제한하지 않고 기존에 고객대의 조회 권한이 부여된 개발자, 운영자 모두가 분리된 회원 데이터베이스에서 고객정보 조회가 가능한 경우