ISMS-P 인증기준 [3. 개인정보 처리 단계별 요구사항] 3.1 개인정보 수집 시 보호조치(3.1.6 영상정보처리기기 설치·운영)

항목 : 3.1.6 영상정보처리기기 설치·운영

 

■ 인증기준 : 영상정보처리기기를 공개된 장소에 설치·운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항(안내판 설치 등)을 준수하고, 적절한 보호대책을 수립·이행하여야 한다.

 

■ 주요 확인사항

• 공개된 장소에 영상정보처리기기를 설치·운영할 경우 법적으로 허용한 장소 및 목적인지 검토하고 있는가?
• 공공기관이 공개된 장소에 영상정보처리기기를 설치·운영하려는 경우 공청회· 설명회 개최 등의 법령에 따른 절차를 거쳐 관계 전문가 및 이해관계자의 의견을 수렴하고 있는가?
• 영상정보처리기기 설치·운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하고 있는가? 
• 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영·관리 방침을 마련하여 시행하고 있는가?
• 영상정보의 보관 기간을 정하고 있으며, 보관 기간 만료 시 지체 없이 삭제하고 있는가? 
• 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가?

 

 

■ 관련 법규

• 개인정보 보호법 제25조(영상정보처리기기의 설치·운영 제한)

      

■ 세부 설명

①  공개된 장소에 영상정보처리기기를 설치·운영할 경우 법적으로 허용한 장소 및 목적인지 검토하여야 한다.

• 공개된 장소에 영상정보처리기기를 설치·운영할 수 있는 경우

       1. 법령에서 구체적으로 허용하고 있는 경우

       2. 범죄의 예방 및 수사를 위하여 필요한 경우

       3. 시설안전 및 화재 예방을 위하여 필요한 경우

       4. 교통단속을 위하여 필요한 경우

       5. 교통정보의 수집·분석 및 제공을 위하여 필요한 경우

 

• 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치·운영하는 것은 금지됨. 다만 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설(교정시설, 정신의료기관, 정신질환자사회복귀시설 및 정신요양시설)에 대하여는 예외적으로 허용됨.

 

 

② 공공기관이 공개된 장소에 영상정보처리기기를 설치·운영하려는 경우 공청회·설명회 등의 법적 절차를 거쳐 관계 전문가 및 이해관계자의 의견을 수렴하여야 한다.

•  의견 수렴 절차

      1. ｢행정절차법｣에 따른 행정예고의 실시 또는 의견청취

      2. 해당 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회·설문조사 또는 여론조사 

• 의견 수렴 대상자

      1. 관계 전문가

      2. 해당 시설에 종사하는 사람, 해당 시설에 구금되어 있거나 보호받고 있는 사람 또는 그 사람의 보호자 등 이해관계자

 

③ 영상정보처리기기 설치·운영 시 정보주체가 쉽게 인식할 수 있도록 안내판을 설치하여야 한다.

• 안내판에 포함되어야 할 사항

      1. 설치 목적 및 장소

      2. 촬영 범위 및 시간

      3. 관리책임자 이름 및 연락처

      4. 위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시)

• 안내판 설치 예외 사항

      1. 군사시설

      2. 국가 중요시설

      3. 국가보안 시설

 

④ 영상정보처리기기운영자는 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영· 관리 방침을 마련하여 시행하여야 한다.

• 영상정보처리기기 운영·관리 방침에 포함하여야 할 사항

      1. 영상정보처리기기의 설치 근거 및 설치 목적

      2. 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위

      3. 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람

      4. 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법

      5. 영상정보처리기기운영자의 영상정보 확인 방법 및 장소

      6. 정보주체의 영상정보 열람 등 요구에 대한 조치

      7. 영상정보 보호를 위한 기술적·관리적 및 물리적 조치

      8. 그 밖에 영상정보처리기기의 설치·운영 및 관리에 필요한 사항

• 영상정보처리기기가 설치된 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추지 않도록 규정에 포함할 필요가 있음.
• 영상정보처리기기의 녹음 기능을 사용할 수 없도록 조치 필요

⑤ 영상정보의 보관 기간을 정하여 보관 기간 만료 시 지체 없이 삭제하여야 한다.

• 영상정보의 보유 목적 달성을 위한 최소한의 기간으로 보관 기간 결정
• 영상정보처리기기운영자가 그 사정에 따라 보유 목적 달성을 위한 최소한의 기간을 산정하기 곤란한 때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 함(표준 개인정보 보호지침 제41조제2항).

⑥ 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우 다음 각 호의 내용이 포함된 문서에 의하여야 한다.

• 영상정보처리기기 설치·운영사무 위탁 계약서에 포함되어야 할 내용

        1. 위탁하는 사무의 목적 및 범위

        2. 재위탁 제한에 관한 사항

        3. 영상정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

        4. 영상정보의 관리 현황 점검에 관한 사항

        5. 위탁받는 자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

 

■ 증적예시

• 영상정보처리기기 운영 현황 
• 영상정보처리기기 안내판
• 영상정보처리기기 운영·관리방침 
• 영상정보처리기기 관리화면(계정/권한 내역, 영상정보 보존기간 등) 
• 영상정보처리기기 운영 수탁자와의 계약서 및 점검 이력

 

 

■ 결함사례

1. 영상정보처리기기 안내판의 고지 문구가 일부 누락되어 운영되고 있거나, 영상정보처리기기 운영·관리 방침을 수립·운영하고 있지 않은 경우
2. 영상정보처리기기 운영·관리 방침을 수립 운영하고 있으나, 방침 내용과 달리 보관기간을 준수하지 않고 운영되거나, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술한 사항이 준수되지 않는 등 관리가 미흡한 경우
3. 영상정보처리기기의 설치·운영 사무를 외부업체에 위탁을 주고 있으나, 영상정보의 관리 현황 점검에 관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구하는 내용을 영상정보 처리기기 업무 위탁 계약서에 명시하지 않은 경우
4. 영상정보처리기기의 설치·운영 사무를 외부업체에 위탁을 주고 있으나, 영상정보처리기기 안내판에 수탁자의 명칭과 연락처를 누락하여 고지한 경우

 

 

 

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

 

 

     

_그사람