주요사항

통지 후 파기 or 분리보관, 1년30일사만항, 접근권한 최소화

인증기준

서비스를 일정기간 동안 이용하지 않는 휴면 이용자의 개인정보를 보호하기 위하여 관련 사항의 통지, 개인정보의 파기 또는 분리보관 등 적절한 보호조치를 이행하여야 한다.

확인사항

  • 정보통신서비스 제공자등은 법령에서 정한 기간 동안 이용하지 않는 휴면 이용자의 개인정보를 파기 또는 분리 보관하고 있는가?
  • 휴면 이용자의 개인정보를 파기하거나 분리하여 저장·관리하려는 경우 이용자에게 알리고 있는가?
  • 분리되어 저장·관리하는 휴면 이용자의 개인정보는 법령에 따른 보관 목적 또는 이용자의 요청에 대해서만 이용 및 제공하고 있는가?
  • 분리되어 저장·관리하는 휴면 이용자의 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?

결함사례

  • 개인정보 유효기간제를 적용받는 정보통신서비스 제공자가 1년 이상 서비스를 접속하지 않은 이용자의 개인정보를 지체 없이 파기 또는 분리 보관하지 않고 월단위로 파기 또는 분리보관하고 있는 경우
  • 1년간 홈페이지에 로그인 하지 않은 회원정보를 별도 DB에 분리 보관하였으나, 이 때 분리된 회원DB에 접근 가능한 관리자를 최소인원으로 제한하지 않고 기존에 고객DB의 조회 권한이 부여된 개발자, 운영자 모두가 분리된 회원DB에서 고객정보 조회가 가능한 경우
  • 휴면 이용자의 재이용 요청에 대비하여 회원 DB에 일부 정보를 남겨두면서 이름, 연락처 등 과도한 정보를 저장하고 있는 경우
  • 제39조의6(개인정보의 파기에 대한 특례)
    • ① 정보통신서비스 제공자등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 대통령령으로 정하는 바에 따라 개인정보의 파기 등 필요한 조치를 취하여야 한다. 다만, 그 기간에 대하여 다른 법령 또는 이용자의 요청에 따라 달리 정한 경우에는 그에 따른다.
    • ② 정보통신서비스 제공자등은 제1항의 기간 만료 30일 전까지 개인정보가 파기되는 실, 기간 료일 및 파기되는 개인정보의 목 등 대통령령으로 정하는 사항을 전자우편 등 대통령령으로 정하는 방법으로 이용자에게 알려야 한다.