개인정보를 취급하는 곳의 개인정보취급에 대한 실태를 점검하는 경우가 있습니다. 이런 경우 위탁사는 수탁사에 대해서 개인정보보호 실태점검을 나가게 되는데 이때 많이 사용하는 개인정보보호 실태점검표 항목에 대해 살펴보겠습니다.
개인정보보호 실태점검표 작성 항목
- 제15조(개인정보의 수집, 이용 동의)
1. 온오프라인 회원가입시 동의 여부
2. 각종 게시판, 기타 개인정보 수집 시 동의 여부
3. 정보주체 동의 시 필수 고지 항목에 대한 고지 여부
4. 필수 고지 항목 내용의 적정성 여부
(필수고지 항목 : 목적, 항목, 보유 및 이용기간, 거부권 및 불이익) - 제16조(최소 수집 및 서비스 제공 거부)
1. 목적에 필요한 최소한의 개인정보 수집 여부
2. 최소한 정보 외의 개인정보 수집에 대한 미동의를 이유로 재화 또는 서비스 제공 거부 여부 - 제17조(개인정보의 제공)
1. 제3자에게 개인정보 제공 시 정보주체 동의 여부
2. 정보 주체 동의 시 필수 고지 항목에 대한 고지 여부
3. 필수 고지항목 내용의 적정성 여부
(필수고지 항목 : 제공받는 자, 목적, 항목, 보유 및 이용기간, 거부권 및 불이익) - 제18조(개인정보의 이용, 제공 제한)
1. 개인정보 수집 당시 정보주체의 이용. 제공 동의 범위를 초과하여 이용.제공
2. 개인정보 제공 시 제공 목적 범위 내 이용, 안전 조치 실시, 목적 달성 후 파기 등 요청 거부
3. 동의에 의한 목적 외 이용, 목적 외 제3자 제공 시 필수 고지 항목 고지
4. 필수 고지항목 고지 여부
(필수고지 항목 : 제공받는 자, 목적, 항목, 보유 및 이용기간, 거부권 및 불이익) - 제21조(개인정보의 파기)
1. 보유기간 경과, 처리 목적(제공받은 경우 제공받은 목적) 달성 후 지체 없이 개인정보 파기 여부
2. 개인정보 파기 시 복구 또는 재생되지 않도록 조치 여부
3. 임시파일 및 출력자료 등에 대한 즉시 파기 여부
4. 법령에 따라 보존할 경우 별도 분리 보관 여부 - 제22조(동의를 받는 방법)
1. 최소 개인정보와 그 외의 개인정보 구분 동의 여부
2. 동의가 필요한 정보(필수 정보)와 동의 없이 처리할 수 있는 정보(선택정보)의 구분 동의 여부
3. 홍보 권유에 활용하기 위한 정보와 그렇지 않은 정보의 구분 동의 여부
4. 선택항목 및 홍보 권유 정보의 미동의를 이유로 재화 또는 서비스 제공 거부 여부 - 제23조(민감정보의 처리 제한)
1. 사상, 정치, 건강 등 민감정보의 동의에 의한 수집 및 제공 시 구분 동의 여부
2. 정보주체 동의 시 필수 고지 항목(수집 4개, 제공 5개) 고지 여부
3. 필수 고지항목 내용의 적정성 여부 - 제24조(고유식별종보의 처리제한)
1. 고유식별정보의 동의에 의한 수집 및 제공 시 구분 동의 여부
고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호
2. 주민등록번호 외 회원가입 방법 제공 여부 - 제26조(업무위탁에 따른 처리 제한)
1. 위탁 계약 시 문서(계약서)에 의한 계약 여부
2. 문서(계약서)에 필수 반영사항 포함 여부
(필수반영사항 : 목적 외 처리 금지, 기술. 관리적 보호조치, 목적. 범위, 재위탁 제한, 접근 제한 등 안전조치, 관리. 감독사항)
3. 수탁자에 대한 교육 실시 여부
4. 처리현황 점검 등 수탁자 관리. 감독 여부 - 제28조(개인정보취급자에 대한 감독)
1. 개인정보취급자에 대한 관리. 감독(접근권한 관리, 통제 등 포함) 여부
2. 개인정보취급자에 대한 보안서약서 징구 여부
3. 개인정보취급자에 대한 정기적인 교육 실시 여부 - 제29조(안전조치 의무)
1. 내부관리계획 수립.시행여부
2. 내부관리계획의 필수 반영사항 포함 여부
(필수 반영사항:보호책임자 지정, 보호책임자/취급자의 역할. 책임, 안전성 확보 조치, 취급자 교육)
3. 시스템에 대한 접근권한을 필요 최소한의 범위로 업무 담당자에 따라 차등 부여 여부
4. 전보. 퇴직 등 인사이동으로 취급자가 변경될 경우 접근권한 변경 또는 말소
5. 접근권한의 부여. 변경. 말소 내역의 기록관리 및 최소 3년간 보관 여부
6. 취급자별로 개별 계정 발급 여부
7. 안전한 비밀번호 작성규칙의 수립. 적용 여부
8. 불법적 접근 및 침해사고 방지를 위한 시스템 설치. 운영 여부
9. 외부에서 정보통신망을 통한 접속 시 가상사설망, 전용선 등 안전한 접속수단 제공 여부
10. P2P, 웹하드 등 비인가 프로그램, 공유 설정 등에 대한 접속 차단 실시 여부
11. 인터넷 홈페이지의 개인정보 노출 방지를 위한 보안조치 실시 여부
12. 개인정보 암호화 계획 수립. 시행 여부
13. 비밀번호의 외부 송.수신 시 암호화 조치 여부
14. 비밀번호의 내부 저장 시 일방향 암호화 조치 여부
15. 바이오정보의 외부 송.수신 시 암호화 조치 여부
16. 바이오정보의 내부 저장 시 암호화 조치 여부
17. 고유식별정보의 외부 송.수신 시 암호화 조치 여부
18. 고유식별정보의 인터넷과 내부망의 중ㅇ간지점(DMZ) 저장 시 암호화 조치 여부
19. 고유식별정보의 내부 저장 시 암호화 조치 또는 그에 상응하는 조치 적용 여부
20. 취급자의 접속기록을 최소 6개월 이상 보관.관리 여부
21. 접속기록의 항목이 적정한지 여부
(항목 : ID, 날짜 및 시간, 접속자 IP주소, 수행 업무(열람, 수정, 삭제 인쇄, 입력)
22. 접속기록이 위.변조 및 도난 분실되지 않도록 접속기록을 안전하게 보관 여부
23. 보안 프로그램의 설치.운영 여부
24. 보안 프로그램의 자동 업데이트 또는 일 1회 이상 업데이트 실시 여부
25. 전산실, 자료보관실 등 물리적 보관 장소에 대한 출입통제 절차 수립.운영 여부
26. 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소 보관 여부 - 제30조(개인정보 처리 방침의 수립, 공개)
1. 개인정보 처리방침의 수립 여부
2. 개인정보 처리 방침에 필수항목 포함 여부
(필수항목 : 처리 목적, 처리 및 보유기간, 제3자 제공 사항, 위탁 사항, 정보주체 권리.의무 및 행사 방법, 처리항목, 파기 사항, 안전성 확보 조치 사항)
3. 개인정보 처리 방침의 홈페이지 등 공개 여부 - 제31조(개인정보 보호책임자의 지정)
1. 개인정보 보호책임자 지정 여부
2. 개인정보 보호책임자의 업무 범위, 자격요건 등 적정 여부
'개인정보보호' 카테고리의 다른 글
| 개인정보보호 PC 보안 (0) | 2022.12.08 |
|---|---|
| 시스템보안점검 체크리스트 샘플양식 (0) | 2022.11.30 |
| 개인정보 취급 및 위탁 보안 서약서 양식 (0) | 2022.11.21 |
| SSL (Secures Socket Layer) (0) | 2022.11.16 |
| 개인정보보호 무료 온라인 교육 수강 (0) | 2022.11.14 |
댓글