항목 : 3.2.1 개인정보 현황관리
■ 인증기준 : 수집·보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다.
■ 주요 확인사항
- 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가?
- 공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하고 있는가?
- 공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하고 있는가?
■ 관련 법규
- 개인정보 보호법 제32조(개인정보파일의 등록 및 공개)
■ 세부 설명
① 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 한다.
- 개인정보처리자(정보통신서비스 제공자)는 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 근거 (동의, 법령 등), 처리목적 및 방법, 보유기간 등을 파악하여 개인정보 현황표, 개인정보 흐름표, 개인정보 흐름도 등을 통하여 기록·관리하여야 함.
- 또한 정기적으로 개인정보 현황을 점검하고 관련 문서를 최신화하여야 함
② 공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하여야 하며, 등록된 사항에 변경이 있는 경우에도 그 내용을 등록하여야 한다.
- 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 개인정보보호위원회에 60일 이내에 등록
- 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 해당 사항(개인정보파일 등록·변경)의 검토 및 적정성 판단을 요청한 후 상위 관리기관의 확인을 받아 개인정보보호위원회에 60일 이내에 등록
- 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙을 따름.
- 다만 「개인정보 보호법」 제32조제2항에 해당하는 개인정보파일은 개인정보보호위원회에 등록하지 않아도 됨.
③ 공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하여야 한다.
- 공공기관의 개인정보 보호책임자는 개인정보파일의 보유·파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 공개(표준 개인정보 보호지침 제61조)
- 개인정보보호위원회는 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 인터넷에 공개 (개인정보 보호포털, www.privacy.go.kr)
■ 증적예시
- 개인정보 현황표, 개인정보 흐름표/흐름도
- 개인정보파일 등록 현황
- 개인정보파일 관리대장
- 개인정보 처리방침
■ 결함사례
- 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나, 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우
- 신규 개인정보파일을 구축한 지 2개월이 경과하였으나, 해당 개인정보파일을 개인정보보호 위원회에 등록하지 않은 경우
- 개인정보보호위원회에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는 개인정보파일 현황과 상이한 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
_그사람