본문 바로가기
도전! ISMS-P 인증 심사원/3. 개인정보 처리단계별 요구사항

3.4.1 개인정보의 파기

by JM's Dad 2023. 2. 1.
반응형

3. 개인정보 처리 단계별 요구사항 (22개)

[두음] 수이제파권

3.4 개인정보 파기 시 보호조치   3.4.1 개인정보의 파기
  3.4.2 처리목적 달성 후 보유 시 조치
  3.4.3 휴면 이용자 관리

오파, 완디와로

파기 정책 수립,

목적 달성 · 보유기간 경과 시 5일 이내 안전한 방법으로 파기

완전파괴, 디가우징, 와이핑, 로우레벨 포맷, 파기 기록 관리

핵심 키워드 & 내용

 

보유기간
개인정보 파기 정책 수립
불필요하게 될 시 개인정보 파기
안전한 방법으로 파기
파기 기록 남기고 관리

 

연관 두음

 

개인정보의 처리목적이 달성되거나 보유기간이 경과한 경우 파기 시점

[두음] 오파
5일 이내, 파기

▶ 파기방법

 

[두음] 완디와로

완전파괴, 디가우징, 와이핑(Wiping), 로우레벨 포맷

 

인증기준

 

개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고
개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는
파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다.

 

주요 확인사항

 

* 개인정보의 보유기간 및 파기와 관련된 내부 정책을 수립하고 있는가?

* 개인정보의 처리목적이 달성되거나 보유기간이 경과한 경우 지체 없이
  해당 개인정보를 파기하고 있는가?

* 개인정보를 파기할 때에는 복구 · 재생되지 않도록 안전한 방법으로 파기하고 있는가?

* 개인정보 파기에 대한 기록을 남기고 관리하고 있는가?

 

관련 법규 

 

□ 개인정보 보호법 제21조(개인정보의 파기)
□ 개인정보의 안전성 확보조치 기준 제13조(개인정보의 파기)

 

세부 설명

 

□ 개인정보의 보유기간 및 파기와 관련된 내부 정책을 다음 사항을 포함하여 수립하여야 한다.

 

▶ 수집항목별, 수집목적별, 수집경로별로 보관장소(데이터베이스, 백업데이터 등), 파기방법,

    파기시점 법령 근거 등

 

▶ 공공기관은 개인정보파일의 보유기간, 처리 목적 등을 반영한 개인정보 파기계획을 수립 · 시행하여야 하며,

    내부관리계획에 개인정보 파기계획을 포함할 수 있음(표준 개인정보 보호지침 제55조제2항).

 

개인정보의 처리목적이 달성되거나 보유기간이 경과한 경우 지체 없이 해당 개인정보를 파기하여야 한다.

 

▶ 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료, 법령에 따른 보존기간 경과 등

    그 개인정보가 불 필요하게 되었을 때에는 정당한 사유가 없는 한

    그로부터 5일 이내에 그 개인정보를 파기하여야 함

 

□ 개인정보를 파기할 때에는 복구 · 재생되지 않도록 안전한 방법으로 파기하여야 한다.

   이때 복원이 불가능한 방법이란 현재의 기술수준에서 사회통념상 적정한 비용으로

   파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말한다

 

▶ 파기방법

 

[두음] 완디와로

완전파괴, 디가우징, 와이핑(Wiping), 로우레벨 포맷

 

▶ 완전파괴(소각·파쇄 등)

▶ 전용 소자장비를 이용하여 삭제

▶ 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행

 

 

□ 개인정보 파기에 대한 기록을 남기고 관리하여야 한다.

 

개인정보 파기의 시행 및 파기 결과의 확인은 개인정보 보호책임자의 책임 하에 수행되어야 하며,

     파기에 관한 사항을 기록·관리

▶ 파기 관리대장에 기록하거나 파기 내용을 담은 사진 등을 기록물로 보관

▶ 공공기관은 개인정보파일을 파기하는 경우 파기 결과를 확인하고,

     개인정보파일 파기 관리 대장을 작성(표준 개인정보 보호지침 제55조

 

결함사례

 

사례 1 :
회원 탈퇴 등 목적이 달성되거나 보유기간이 경과된 경우
회원 데이터베이스에서는 해당 개인정보를 파기하였으나,
CRM · DW 등 연계된 개인정보처리시스템에 복제되어 저장되어 있는
개인정보를 파기하지 않은 경우

사례 2 :
특정 기간 동안 이벤트를 하면서 수집된 개인정보에 대하여
이벤트가 종료된 이후에도
파기 기준이 수립되어 있지 않거나 파기가 이루어지고 있지 않은 경우

사례 3 :
콜센터에서 수집되는 민원처리 관련 개인정보(상담이력, 녹취 등)
전자상거래법을 근거로 3년간 보존하고 있으나,
3년이 경과한 후에도 파기하지 않고 보관하고 있는 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)

반응형

'도전! ISMS-P 인증 심사원 > 3. 개인정보 처리단계별 요구사항' 카테고리의 다른 글

3.4.3 휴면 이용자 관리  (0) 2023.02.01
3.4.2 처리목적 달성 후 보유 시 조치  (0) 2023.02.01
3.3.4 개인정보의 국외 이전  (0) 2023.01.31
3.3.3 영업의 양수 등에 따른 개인정보의 이전  (0) 2023.01.31
3.3.2 업무 위탁에 따른 정보주체 고지  (0) 2023.01.29

관련글

댓글

티스토리툴바