| 기타 유형 > 정보통신 |
|
Q. 이커머스 플랫폼(쿠팡, 아마존 등)을 통한 매출액이 100억원 이상인자도 ISMS 인증의무 대상에 포함되나요?
|
|
자신이 인터넷 판매 플랫폼을 운영하는것이 아닌
대규모 이커머스 플랫폼(쿠팡, 네이버쇼핑, 아마존 등)을
이용하여 물건을 팔아서 매출액이 100억원 이상인
법인도 ISMS 인증의무 대상에 포함되나요?
추가로 혹시 외국계 회사여도
한국에 지사가 있다면 ISMS인증
의무대상 인가요?
|
2022-07-15 ㅣ 답변 2 ㅣ 조회수 83
|
| 개인정보 관리 > 정보통신 |
|
Q. 14세 미만 아동이 법정대리인 동의를 받아 회원가입 -> 본인인증 결과값을 데이터베이스 저장 시 문의
|
|
안녕하세요. 보안담당자입니다.
당사 회원 중에는 14세 미만의 아동도 회원으로 가입되어 있습니다.
회원가입 당시, 14세 미만 아동이 법정대리인 동의(부모님 본인인증 완료) 이후 회원가입 하였음.
※ 본인확인 기관에서 회사로 전달하는 전송값은 아래와 같음
* 필수
성명
생년월일
성별
내국인 / 외국인 정보
DI값 (중복 가입여부 확인하는데 사용하는 정보)
* 선택
핸드폰번호
통신사정보
CI값 (별도 신청해야 함)
시간이 흘러서 회원이 <아이디, 비밀번호 찾기>를 '핸드폰 본인인증'으로 진행하게 되면 아래와 같은 케이스 발생합니다.
1. 해당 회원 나이가 14세 미만
2. 해당 회원 나이가 14세 이상
14세 미만으로 가입한 회원이 시간이 흘러, 14세 이상이 되었을 경우
<아이디, 비밀번호 찾기>를 '핸드폰 본인인증'으로 진행하게 된다면
해당 회원의 생년월일을 체크하는 로직으로 개발된다면 2개 케이스로 구분하여 데이터베이스에 정보를 저장해야 할까요?
case 1) 현재 14세 미만 아동인 경우, 본인인증 확인 결과값
case 2) 현재 14세 이상 아동인 경우, 본인인증 확인 결과값
|
2022-07-15 ㅣ 답변 3 ㅣ 조회수 83
|
| 개인정보 수집·이용 > 교육·사회복지 |
|
Q. 학생 보호자의 개인정보 수집·이용 동의 문의
|
|
안녕하세요. 공공기관에서 근무하는 실무자이며, 개인정보 수집·이용 동의와 관련한 문의드립니다.
우리 기관에서는 고교생을 대상으로 일정 기준을 충족하는 경우 장학금을 지급하는 사업을 추진하려고 하고 있습니다.
장학금 심사, 지급을 위해 수집하는 개인정보 중 신청 고교생의 보호자 비상연락처(휴대전화번호)를 수집하기 위해 보호자의 동의를 별도로 받아야 하는지 아니면 해당 학생의 동의만으로 수집이 가능하지 여부를 문의합니다.
|
2022-07-14 ㅣ 답변 2 ㅣ 조회수 58
|
| 개인정보 정의 > 경영·사무 |
|
Q. 개인정보파일 대상
|
|
“개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말하며,
이를 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
로 정의 되어 있습니다. 그러나 법령 해설서에 따르면, 개인정보가 기재되어 있는 문서의 단순한 집합물에 불과하고 체계적으로 배열·검색할 수 있도록 구성되어 있지 않은 경우는 개인정보파일에 해당하지 않는다.
개인정보파일의 예시가 대표적으로 어떤게 있을까요?
서약서 등에 있는 이름, 생년월일 같은 것? 혹은 증빙에 포함되어 있는 개인정보, 업무처리를 위해 받은 문서, 공증/계약에 포함된 개인정보 같은 것들은 개인정보파일이 아니라고 볼 수 있나요? (일정한 규칙에 따라 체계적으로 배열하거나 구성한 것이 아니기 때문에?)
개인정보로 보이는 것들(이름, 생년월일, 휴대폰번호, 계좌번호 등등등...)이 있지만 개인정보가 기재되어 있는 문서의 단순한 집합물로 판단된다면 개인정보파일이 아니고, 개인정보취급자/처리자가 아닐 수 있나요?
개인정보파일 외 "문서의 단순한 집합물"의 정의나 예시를 정확히 알고 싶습니다.
|
2022-07-14 ㅣ 답변 3 ㅣ 조회수 94
|
| 민감정보 및 고유식별정보 처리 > 건축 |
|
Q. 아파트 입주자대표회의 대표자(회장) 이름이 개인정보에 해당되는지?
|
|
아파트 입주자대표회의 대표자(회장) 이름이 일반사람들에게 당연히 공개되어 있는 사항이 맞는지요?
아니면 관련 법령에 따라 처리해야 할 개인정보에 해당되는지요?
만약, 일반사람에게 당연히 공개되어 있는 사항에 해당한다면
이름 외에 어느 정도 수준까지 공개되어 있는 사항으로 봐야 하는지요? (임기, 생년월일, 전화번호 등)
|
2022-07-13 ㅣ 답변 2 ㅣ 조회수 63
|
| 정보주체 권리 > 정보통신 |
|
Q. 정보통신망법상 앱 접근권한 동의 기능 추가를 위한 앱 업데이트 거절 사례 문의
|
|
안녕하세요?
정보통신망법 제22조의2(접근권한에 대한 동의) 및 동법 시행령 제9조의2(접근권한의 범위 등)의 준수를 위해
저희가 개발한 앱에서 사용하는 접근권한에 대한 안내 및 동의 획득을 구현하려고
몇년 전에 애플 앱스토어에 등록한 앱을 업데이트 하고자 하였으나
저희 앱이 특정 분야의 이용자를 대상으로 별도의 오프라인 회원가입을 통해서만 이용하게끔 비지니스를 하고 있어
애플 앱스토어의 정책상 더 이상 업데이트를 할 수 없다고 애플로부터 답변을 받았습니다.
즉, 불특정 다수의 이용자들에게 배포되는 General Distribution이 아니면 애플 앱스토어에서 더 이상 앱 업데이트를 못 한다고 합니다.
아래는 애플 앱스토어의 앱 업데이트 거절 사유 답변입니다.
During our review, we found that this app was designed for a specific business or organization and not for general distribution on the App Store.
As this app is not intended for general distribution, it cannot be made available on the App Store
이런 경우 정보통신망법 준수를 위해 어떻게 조치해야 하는지 문의 드립니다.
애플 앱스토어 내부 정책상 업데이트를 거절하여 앱 접근권한 동의 기능 추가가 불가한 상황에서 저희 서비스를 계속 유지하더라도 법령 위반 이슈가 있을까요?
감사합니다.
|
2022-07-13 ㅣ 답변 3 ㅣ 조회수 63
|
| 개인정보 수집·이용 > 기타 분야 |
|
Q. 개인정보의 수집 및 관리 범위
|
|
회사 홈페이지에서 타사의 모듈 또는 링크를 연결하여 개인정보를 수집하는 경우(자사 시스템에는 저장되지않으며 조회 등 관리할 수 없음/해당 관리자페이지 접근권한 없음)
타사와의 관계가 위탁이라면, 회사가 해당 개인정보를 수집한다고 봐야할 것일까요?
- 해당 링크에서 동의받는 주체가 위탁자가 되고, 위탁자의 개인정보 처리방침 내에 '처리하는 개인정보 항목' 으로 식별하고 기재해야하는지 여부
ex. 본인인증기관을 통해 본인인증하는 경우(위수탁 관계) 본인인증을 위해 인증모듈에 입력하는 개인정보(휴대폰번호, 이름, 생년월일)도 자사가 처리하는 개인정보로 봐야할까요
|
2022-07-13 ㅣ 답변 2 ㅣ 조회수 53
|
| 개인정보 수집·이용 > 경영·사무 |
|
Q. 개인정보 수집 · 이용 동의서 수기 문서 보관
|
|
개인정보 수집 · 이용 동의서 징구를 수기(서면 동의)로 받고 있습니다.
수기로 징구한 문서를 스캔하여 시스템에 보관하고 있습니다.
각 사업별로 징구하고 있기 때문에 스캔본(파일)으로 관리하고 있는데
혹시 원본을 반드시 수집하여 관리하고 있어야 할까요?
스캔본(파일)만으로 시스템에 등록하여 관리하고 있으면 안될까요?
|
2022-07-12 ㅣ 답변 3 ㅣ 조회수 93
|
| 개인정보 안전성 확보조치 > 금융·보험 |
|
Q. 정보통신서비스제공자입니다. 어떻게 준수해야 할까요?
|
|
정보통신서비스제공자로써 2개의 고시 중 [개인정보의 안전성 확보조치 기준], [개인정보의 기술적 관리적 보호조치 기준] 서로 상충하는 조항이 있는데요. 상세 조항을 확인해보면 서로 상이한 부분이 있습니다.
저희는 정보통신서비스제공자로써 [개인정보의 기술적 관리적 보호조치 기준]에 따라 준수하려 하는데, 아래 예시 처럼 [개인정보의 안전성 확보조치 기준]에 더 강화된 내용이 있을 경우 [개인정보의 기술적 관리적 보호조치]의 조항만 준수할 경우 추후에 문제가 없을까요?
* [개인정보의 기술적 관리적 보호조치 기준] 제5조(접속기록의 위ㆍ변조방지)
* [개인정보의 안전성 확보조치 기준] 제8조(접속기록의 보관 및 점검)
위의 각 조항과 같이 접속기록에 대한 부분을 예로 들면,
[개인정보의 기술적 관리적 보호조치 기준]에서는 접속기록의 보관 기간을 개인정보처리시스템 최소 1년 이상 접속기록 보존 관리(기간통신 사업자의 경우 최소 2년), 다운로드 사유에 대한 확인 내용은 없음
[개인정보의 안전성 확보조치 기준]에서는 5만명 개인정보 처리 또는 고유식별정보 또는 민감정보를 처리하는 개인정보시스템의 경우 접속기록 2년이상 보관, 다운로드 시 사유 확인에 대한 내용이 있습니다.
이 때, 정보통신서비스제공자는 어떤 고시의 조항을 따라야 문제가 없을지?
[개인정보의 기술적 관리적 보호조치 기준]만 따라 접속기록을 1년만 보관, 다운로드 시 사유를 확인하지 않을 경우에 대하여 의견 부탁드립니다.
|
2022-07-12 ㅣ 답변 2 ㅣ 조회수 83
|
| 정보주체 권리 > 여행·숙박·음식 |
|
Q. 개인정보 열람 관련 문의
|
|
안녕하세요.
개인정보 열람 요청 관련하여 질문드립니다.
고객A가 쇼핑몰에서 비행기 티켓을 구매하려고 합니다.
친구들인 B, C, D의 개인정보(이름, 생년월일 등)를 A가 취합하여
비행기 티켓을 쇼핑몰에 입력 후 일괄 구매하였습니다.
추후 고객A가 당시 비행기 티켓 관련하여 구매내역 및 탑승자 B, C, D의 이름과 각 티켓 가격을 개인정보 열람 요청을 하였습니다.
이때 쇼핑몰 측에서는 고객A의 대한 정보만 제공해야 하는지, 아니면
구매 당시 B, C, D의 개인정보를 고객A가 본인 계정 내에서 입력하였으니 B, C, D의 개인정보를 제공해줘도 되는지 궁금합니다.
|
2022-07-08 ㅣ 답변 2 ㅣ 조회수 99
|
지식 Q&A