바로가기 메뉴
메인 메뉴로 바로가기
본문으로 바로가기

현재 위치 경로

HOME > 개인정보보호 소개 > 사업자 개인정보보호 이용수칙 > 사업자 개인정보보호 이용수칙

사업자 개인정보보호 이용수칙

사업자가 반드시 알아야 할 개인정보보호 수칙 안내입니다.

  • 01 적법한 방법으로 서비스 제공을 위한 최소한의 개인정보를 수집하라!
    • '동의'는 개인정보의 수집·이용에 필수사항
      1. 개인정보를 수집하여 이용하려면 개인정보의 수집·이용목적, 수집하는 개인정보의 항목, 개인정보의 보유 및 이용기간 등을 충분히 알리고 정보 주체의 동의를 얻어야 한다.
        ※ 만 14세 미만의 아동의 개인정보를 수집하려면 법정대리인의 동의를 얻어야 함
      2. 공개된 개인정보(전화번호부, 공개된 게시판 등)라 할지라도 공개목적 이외에는 이용하지 않는 것이 바람직하다.
      3. 다만, 동의 없이도 개인정보를 수집·이용할 수 있다고 법률에 규정되어 있으면 그 법률에 따라 정보 주체로부터 별도의 동의는 불필요하다.
    • 사업자가 수집하는 개인정보의 범위는 서비스 제공에 필요한 최소한으로 한정
      1. 사상·신념·병력 등 개인의 권리·이익이나 사생활을 현저하게 침해할 수 있는 개인정보를 수집해서는 안됩니다.
      2. 또한 주민등록번호의 유출과 노출로 인한 정보 주체의 정신적·재산적 피해와 사업자들의 보호조치를 위한 비용 등을 고려해본다면 사업자들이 관행적으로 수집하는 주민등록번호가 서비스 제공에 과연 필수적인 개인정보 항목인지에 대한 근본적인 검토 필요합니다.
      3. 불필요한 개인정보의 수집은 불필요한 관리인력과 비용의 낭비로 이어지고, 유출로 인한 사생활 침해 시 손해배상 등을 초래하여 사업자의 경영에 불리한 요인으로 작용한다는 것을 명심해야 한다.
  • 02 개인정보를 제3자에게 제공하려면 반드시 이용자의 동의를 얻어라!
    • '제3자'는 당해 서비스를 제공하는 사업자·개인정보업무수탁자·영업양수인과 그 서비스를 이용하고 있는 정보 주체 이외의 모든 자연인과 법인을 의미한다.

      <제3자 제공의 사례>

      1. 모자회사, 그룹 계열사 간의 개인정보를 제공하는 경우
      2. 프랜차이즈 조직의 본부와 가맹점 사이에서 개인정보를 제공하는 경우
      3. 제휴계약을 맺은 사업자에게 개인정보를 제공하는 경우
      4. 정당한 권리자가 아닌 자에게 개인정보의 열람을 허용하는 경우
    • 개인정보를 제3자에게 제공하려면 제공받는 자, 제공받는 자의 개인정보 이용목적, 제공하는 개인정보 항목, 제공받는 자의 개인정보 보유 및 이용기간 등을 충분하게 알리고 동의를 얻어야 한다.
    • 사업자로부터 정보 주체의 개인정보를 제공받은 자는 정보 주체의 별도의 동의가 있거나 다른 법률에 특별한 규정이 있는 경우를 제외하면 개인정보를 제공받은 목적과는 다른 용도로 이용하거나 제3자에게 제공해서는 안된다.
    • 다시 말하면 개인정보를 제공받은 자가 제3자에게 개인정보를 다시 제공하거나 제공받은 목적과는 다르게 개인정보를 이용하려고 한다면 반드시 정보 주체의 별도의 동의를 얻어야 한다.
    • 서면, 전자메일, USB 등의 이동저장매체로 제3자에게 개인정보를 제공할 때에는 시건장치, 전송 시 암호화 등의 보호조치를 함께 취해야 한다.
  • 03 개인정보취급업무를 제3자에게 위탁한다면 수탁업체에 대한 관리,감독을 철저히 하라.
    • '위탁'이란 계약의 형태와 종류를 불문하고 사업자가 개인정보 취급(수집·보관·처리·이용·제공·관리·파기 등)의 전부 또는 일부를 대신하게 하는 것을 내용으로 하는 계약 일체를 포함한다.

      <위탁 사례>

      1. 대리점, 콜센터, A/S센터, 요금의 회수·결제대행(채권추심업체), 상품홍보 등을 위한 텔레마케팅 등
    • 사업자가 개인정보취급업무에 대한 위탁계약을 체결할 때에는 기술적·관리적 보호의무, 개인정보에 관한 비밀유지의무, 처리하는 개인정보의 제3자 제공 및 목적외 이용 금지, 개인정보침해로 인한 손해배상 책임 등에 대해 서면 등의 방법으로 작성하여 보존하여야 한다.
    • 사업자는 위탁처리되는 개인정보가 안전하게 관리될 수 있도록 수탁자를 철저히 관리·감독해야 하는 한편 수탁자의 미흡한 개인정보 처리로 인해 발생하는 손해에 대해 사용자로서 책임을 질 수 있다.

      <수탁자에 대한 관리·감독 소홀 사례>

      1. 개인정보보호조치의 현황을 계약체결 때와 그 이후에 정기적으로 파악·관리하지 않아서 수탁자가 위탁받은 개인정보를 침해한 경우
      2. 수탁자에 대한 개인정보 취급상황의 확인을 소홀히 하여 수탁자가 개인정보의 처리를 재위탁하는 것을 방치하여 재위탁자가 개인정보를 침해한 경우
  • 04 개인정보의 A~Z까지 관리 할 수 있는 개인정보보호 관리책임자를 지정하라.
    • 사업자는 고객의 개인정보를 보호하고 개인정보와 관련한 이용자의 불만을 처리하기 위하여 개인정보관리책임자를 지정하여야 한다.

      <개인정보관리책임자의 구체적인 담당업무>

      1. 개인정보의 안전한 취급을 위한 내부관리계획의 수립·이행
      2. 고객 개인정보의 수집·이용·제공 및 관리에 관한 업무의 총괄
      3. 소속 직원 또는 제3자에 의한 위법·부당한 개인정보 침해행위에 대한 점검
      4. 고객이 제기하는 개인정보에 관한 불만이나 의견사항 처리 및 감독
      5. 소속직원과 수탁자 등에게 개인정보보호교육 실시
      6. 개인정보의 출력·복사물에 대한 사전승인
      7. 기타 고객의 개인정보보호에 필요한 사항 등
    • 개인정보관리책임자는 임원 또는 개인정보와 관련하여 고객의 고충처리를 담당하고 있는 부서(예: 고객센터실, CRM관련 부서)의 장 또는 개인정보 취급부서의 장으로 하는 것이 바람직하다.
  • 05 고객의 개인정보를 어떻게 취급하는지 투명하게 밝혀라.
    • 사업자는 투명한 개인정보의 처리 및 정보 주체의 신뢰를 도모하기 위해 개인정보의 처리에 관한 자사의 방침(이하 '개인정보취급방침'이라 함)을 공개해야 한다.

      <개인정보취급방침에 포함되는 내용>

      1. 개인정보의 수집·이용 목적, 수집하는 개인정보의 항목 및 수집방법
      2. 개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명, 제공받는 자의 이용목적 및 제공하는 개인정보의 항목
      3. 개인정보의 보유 및 이용기간, 파기절차 및 방법, 다른 법률에 의해 보존하는 경우 보존근거 및 보존하는 개인정보 항목
      4. 개인정보취급위탁을 하는 업무의 내용 및 수탁자
      5. 이용자 및 법정대리인의 권리와 그 행사방법
      6. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항
      7. 개인정보관리책임자의 성명 또는 개인정보 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처
    • 사업자는 고객이 개인정보취급방침의 내용을 명확하고 쉽게 확인할 수 있도록 공개해야 하며, 내용 변경 시 변경 사유와 변경된 내용을 고객에게 공지해야 한다.

      <개인정보취급방침 공개방법>

      1. 인터넷 홈페이지 첫 화면 또는 첫 화면과 연결화면에 공개
      2. 점포·사무소 안의 보기 쉬운 장소에 게재하거나 비치하여 열람케 함
      3. 간행물·소식지·홍보지·청구서 등에 지속적으로 게재하는 방법
      4. 서비스 제공을 위한 이용계약서에 게재하여 배포하는 방법
  • 06 수집된 개인정보를 안전하게 보관하라.
    • 사업자는 개인정보를 취급할 때 개인정보가 분실·도난·누출·변조 또는 훼손되지 않도록 안전성 확보에 필요한 관리적·기술적 보호조치를 취해야 한다.

      <관리적 보호조치의 세부내용>

      1. 개인정보의 안전한 취급을 위한 내부관리계획의 수립 및 시행
      2. 개인정보 관리책임자의 의무와 책임을 규정한 내부 지침 마련
      3. 개인정보의 안전한 보관을 위한 잠금장치 등 물리적 접근방지 조치
      4. 개인정보보호를 위한 정기적인 자체 감사 실시
      5. 그 밖에 개인정보의 안전성 확보에 필요한 관리적 보호조치

      <기술적 보호조치의 세부내용>

      1. 개인정보에 대한 접근 권한을 확인하기 위한 식별 및 인증 조치
      2. 개인정보에 대한 권한 없는 접근을 차단하기 위한 암호화와 방화벽 설치 등의 조치
      3. 접속기록의 위조·변조 방지를 위한 조치
      4. 침해사고 방지를 위한 보안프로그램의 설치 및 운영
      5. 그 밖에 개인정보의 안전성 확보에 필요한 기술적 보호조치
    • 특히, 사업자가 개인정보취급업무를 위탁하는 경우 수탁자는 위탁계약의 내용에 따라 관리적 또는 기술적 보호조치를 취해야 한다.
  • 07 개인정보취급자가 개인정보보호에 대한 인식을 제고할 수 있도록 노력하라.
    • '개인정보취급자'란 개인정보에 대한 접근권한을 가진 자로서 수집된 개인정보를 열람·정정하거나 삭제하는 등의 관리업무를 수행하는 자를 의미하며, 사업자로부터 개인정보취급업무를 위탁받아 종사하는 자도 포함되며, 정규직원에 한하지 않고 계약직원 및 임시직원을 포함된다.

      <개인정보취급자의 예>

      1. 고객불만을 처리하는 고객센터 상담원, 고객을 직접 상대로 마케팅 업무를 하는 자, 개인정보관리책임자 등 개인정보관리업무를 수행하는 자
    • 사업자는 개인정보취급자를 최소한의 인원으로 제한하여야 하며, 개인정보취급자를 지정할 때는 인사명령 등으로 공식화하고,개인정보취급자 이외의 자가 개인정보 DB에 접근하면 내부 인사관리규정 등에 따라 징계조치해야 한다.
    • 개인정보취급자가 직무상 알게 된 개인정보를 누설하거나 권한 없이 처리하는 등 부당한 목적에 이용하지 않도록 정기적으로 개인정보보호교육을 실시해야 한다.
    • 사업자는 개인정보취급자에 대한 업무 인수인계를 철저히 관리·감독해야 하며, 개인정보를 취급한 퇴직직원에 대해서는 비밀유지의무 등에 대한 서약서 징구 등으로 개인정보보호에 대한 책임성을 강화해야 한다.
  • 08 개인정보보호 실태에 대한 정기적인 감사를 실시하라.
    • 사업자는 개인정보보호 실태에 대한 감사절차를 마련하여 정기적으로 감사(내부감사 또는 외부감사)를 실시해야 한다. 감사대상, 감사절차 및 방법 등 감사의 실시에 필요한 기본지침을 수립해야 하고, 감사대상, 목적 범위, 절차, 일정 등이 포함된 세부적인 감사계획서를 마련해야 한다.
    • 감사결과에 따라 개인정보보호체계에 대한 재평가 및 개선사항을 이행해야 한다.
    • 개인정보의 관리·운영상의 문제점이나 관련 직원의 개인정보보호 위반사실이 발견되면 시정·개선 또는 인사발령 등 필요한 조치를 지체 없이 취해야 한다.
  • 09 개인정보의 이용 및 제공과 관련된 정보 주체의 권리 요구에 신속히 대처하라.
    • 정보 주체는 개인정보의 수집·이용·제공에 대한 동의를 철회할 수 있다. 또한 본인의 개인정보나 개인정보의 제3자 제공내역 등을 열람하거나 제공받을 수 있으며, 개인정보에 오류가 있으면 그 정정을 요구할 수 있다.
      즉, 정보 주체는 자기정보결정권 행사를 위해 개인정보에 대한 동의철회권, 열람·제공요구권, 오류정정권 등의 권리를 가진다.

      <수집·이용목적이 달성된 구체적인 사례>

      1. 회원가입정보의 경우 : 회원탈퇴하거나 회원에서 제명된 때
      2. 대금지급정보의 경우 : 대금의 완제일 또는 채권소명시효가 만료된 때
      3. 배송정보의 경우 : 물품 또는 서비스가 인도되거나 제공된 때
      4. 설문조사, 이벤트 등 일시적 목적을 위하여 수집한 경우 : 당해 설문조사, 이벤트가 종료한 때
      5. 본인확인 정보의 경우 : 본인임을 확인한 때
    • 개인정보를 파기할 때에는 재생할 수 없는 기술적 방법으로 삭제하거나 당해 개인정보가 기록된 매체를 물리적으로 분쇄하거나 소각하여 완전히 파기해야 한다.

      <개인정보 파기방법 예>

      1. 종이로 출력된 개인정보는 분쇄기로 분쇄하거나 소각하고, 개인정보가 보관된 하드디스크를 버릴 때는 '로우포맷' 명령으로 포맷하거나 일반포맷 후 불필요한 정보를 여러 번 덮어씌운다.
    • 다른 법률에 따라 개인정보를 보존하는 경우에는 당해 법률이 정한 목적으로만 이용하거나 제공해야 한다. 그러므로 는 다른 회원의 개인정보와 분리하여 접근권한을 통제하거나 물리적 또는 논리적으로 분리된 시스템에 별도로 보관해야 한다.
  • 10 개인정보가 유출된 경우 해당 사이트 관리자에게 삭제를 요청하고, 처리되지 않는 경우 즉시 개인정보침해신고센터(국번없이 118) 또는 홈페이지(http://www.kisa.or.kr/customer/appeal/appeal_main.jsp)에 신고합니다.
    • 한국정보보호진흥원 개인정보침해신고센터