본인확인 지원포털

본인확인기관 지정정기심사
1장 물리적·기술적·관리적 조치계획
이용자 보호 및 불만처리에 관한 사항 편

안녕하세요.
이번 차시에는 이용자 보호 및 불만처리에 관한 사항의 적정성을 심사하는 기준에 대해 알아보도록 하겠습니다.

-심사대상-
먼저, 공개된 개인정보처리방침의 적정성을 심사하는 항목으로
개인정보처리방침-개인정보처리방침 관리 방법 및 절차 등이 심사대상입니다.
해당 심사영역에서는

-개인정보처리방침 공개-
첫째, 본인확인서비스에 대한 개인정보처리방침을 수립하여 공개하고 있는지 심사합니다.
개인정보처리방침을 인터넷 홈페이지 첫 화면에 공개하는 경우
글자, 크기, 색상 등을 활용하여 다른 고지사항과 구분하여 표기하여야 하며
<예시> 이용약관, 법적고지, 개인정보처리방침

-개인정보 처리방침의 변경-
-이 개인정보 처리방침은 20XX.X.X부터 적용됩니다.
-이전의 개인정보 처리방침은 아래에서 확인하실 수 있습니다.
- 20XX.X.X ~ 20XX.X.X적용(클릭) - 20XX.X.X ~ 20XX.X.X적용(클릭)
- 20XX.X.X ~ 20XX.X.X적용(클릭)
개인정보처리방침이 변경되는 경우 사유 및 변경 내용을
이용자가 쉽게 확인할 수 있도록 변경 전·후를 비교하여 공지·공개하여야 합니다.
둘째, 수립된 개인정보처리방침에 개인정보 수집·이용·제공 등 관련 법령에서 정한 내용을 포함하고 있는지 심사합니다.

-개인정보처리방침 적용 필요 검토-
- 개인정보 전송요구권
- 자동화된 결정에 대한 권리 등(개인정보보호법(시행 2023.9.15))
또한, 개인정보 전송 요구권, 자동화된 결정에 대한 권리 등 개정된 법령에서 요구하고 있는 사항에 해당되는 경우라면 관련한 내용이 적절하게 개인정보처리방침에 반영했는지 검토해야 합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
최신 개인정보처리방침,
개인정보처리방침 관리 절차 증적,
개인정보처리방침 변경 시 이용자에게 고지한 증적,
이메일 발송 내역, SMS 발송내역 등이 있습니다.
현장실사는 증적자료 확인과 담당자 인터뷰, 개인정보처리방침 점검을 통해 진행되는데요.
대상 담당자는 개인정보처리방침 작성·검토·게시 담당자가 있습니다.
<대상담당자>
- 개인정보처리방침 작성,검토,게시 담당자, 개인정보보호 담당자, 준법업무담당자, 홈페이지 운영자
인터뷰에서는 담당자에게
개인정보처리방침 변경관리 절차 설명,
개인정보처리방침 변경에 따른 이용자 고지절차 및 방법 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.

-개인정보처리방침 운영의 적정성-
현장실사에서는 개인정보처리방침 운영의 적정성을 심사하기 위해
개인정보처리방침 작성･검토･게시 등 관리 절차,
개인정보처리방침의 변경에 따른 이용자 고지 이행현황,
개인정보처리 위･수탁, 제3자 제공 관련 사항이 개인정보처리방침에서 공개하고 있는 내용과 일치 여부,
필요할 경우 개인정보처리 위･수탁 계약서, 제3자 제공 계약서 내용,
계약에 따른 보안 관련 약정서가 존재하는 경우 해당 내용 등의 사항을 확인합니다.
심사과정에서 확인한 미흡사례 3가지를 짚어보고 넘어가도록 하겠습니다.
첫번째 미흡사례로는
개인정보처리방침이 개정되었으나 예전 개인정보처리방침이 비공개되어 확인할 수 없는 문제점이 확인된 사례가 있습니다.
두번째 미흡사례로는,
미흡사례 예시 : <개인정보처리방침 운영의 적정성 위반>
-개인정보 보호책임자 변경, 수탁자의 변경 등 변경사항이 발생하였음에도 개인정보처리방침의 내용을 현행화하지 않음
-사유 : 인사이동에 따른 개인정보보호책임자 변경
-변경일자 : 20XX.X.X
-변경(전) 김유신 이사, 변경(후) : 이순신 이사
-개인정보 처리방침 : 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및<
피해구제 등을 위하여 아래와 같이 개인정보보호 책임자를 지정하고 있습니다.
-개인정보 보호책임자 : 성명: 김유신, 직책 : 이사<
개인정보 보호책임자 변경, 수탁자의 변경 등 변경사항이 발생하였음에도
개인정보 처리방침의 내용을 현행화하지 않은 문제점이 확인된 사례가 있습니다.
세번째 미흡사례로는,
개인정보처리방침에 공개되어 있는 개인정보 수집내역이 실제 수집 내역과 맞지 않는 문제점이 확인된 사례가 있습니다.
<예시>
- 처리하는 개인정보 항목 : 개인정보처리자명은 다음의 개인정보 항목을 처리하고 있습니다.
- 회원가입 및 관리 : 아이디, 비밀번호, 이름
- 회원가입
* 아이디, 비밀번호, 비밀번호 확인, 이름, 이메일 주소, 생년월일

-심사대상-
다음은 개인정보 수집에 대한 고지 및 동의와 개인정보 파기의 적정성을 심사하는 항목으로
대체수단 발급/이용 시 이용자가 동의하는 동의문 전체 내용, 이용자에게 동의를 받는 방법 및
시점의 적절성 여부, 개인정보 파기 관련 내부 정책 및 개인정보의 파기 방법 및 시점 등이 심사대상입니다.

-고지사항-
해당 심사영역에서는
첫째 개인정보 수집·이용 동의 시에 개인정보의 수집･이용 목적, 수집하려는 개인정보의 항목,
개인정보의 보유 및 이용기간 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우
그 불이익의 내용을 모두 포함하여 고지하고 있는지 심사합니다.

-심사영역-
둘째, 개인정보 수집·이용 동의를 적절하게 받고 있는지를 심사하는데,
본인확인서비스 가입시 개인정보 수집에 관한 사항에 대하여 동의 받았는지 확인하고,
이용자에게 동의를 받을 때에는 중요한 내용을 명확히 표시하여 알아보기 쉽게 하고 있는지 확인합니다.
최근 개인정보 보호법이 개정되어 수집·이용의 법적 근거가 일부 변경되었는데요.
<개인정보 수집, 이용의 법적근거 변경>
-개인정보보호법(시행 2023.9.15)
-정보주체와 계약의 체결 및 이행에 필요한 경우
-예외적으로 동의 없이 수집 가능
정보주체와 계약의 체결 및 이행에 필요한 경우 예외적으로 동의없이 수집할 수 있도록 하고 있습니다.

-동의 획득 방법 적정성 심사-
셋째, 동의 획득 방법에 대한 적정성을 심사하게 되는데요.
글씨크기는 최소 9포인트 이상으로 다른 내용보다 20퍼센트 이상 크게해서 알아보기 쉽게 하여야 하고,
글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 해야 합니다.
또한 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는
중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시해야 합니다.

-개인정보의 파기 적정성 심사-
넷째, 개인정보의 파기에 대한 적정성 여부를 심사하게 되는데요.
개인정보의 보유기간 및 파기와 관련된 내부 정책을 수립했는지,
개인정보의 처리목적이 달성되거나 보유기간이 경과한 경우 지체없이 해당 개인정보를 파기되고 있는지 확인하게 됩니다.
참고로 기존에는 정보통신서비스를 1년 동안 이용하지 아니하는 이용자의 개인정보를
파기 또는 분리보관 등 필요한 조치를 취해야 했지만,
최근 개정된 개인정보보호법에서는 해당 규정이 삭제되었습니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
대체수단 발급/이용 동의문, 서비스 이용 단계 동의문, 개인정보처리 현황 및 흐름을 파악할 수 있는
문서 증적, 개인정보 파기 관련 내부 정책, 파기 증적 등이 있습니다.
현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행되는데요.
대상 담당자는 개인정보처리 현황 및 흐름 관련 담당자, 개인정보 파기 담당자가 있습니다.

-개인정보 파기 담당자-
특히 개인정보 파기에 대한 실사를 위해서는 개인정보 파기 프로세스를 명확하게 알고 있으면서
데이터베이스에 접근 권한이 있는 담당자가 배정되어야 합니다.
인터뷰에서는 담당자에게 개인정보처리 흐름 설명, 전자적 자료의 경우 파기 배치 설명, 종이 등 문서의 경우
파기 시점 및 절차 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.

-현장실사 증적자료-
현장실사에서는 개인정보의 수집･이용 동의 시 고지 내용 누락 여부,
이용자가 동의 내용을 쉽게 알아볼 수 있도록 하고 있는지 여부,
대체수단 발급/이용 단계 등에서 이용자에게 동의를 받는 시점 및 방법,
파기시점 도래 시 개인정보의 파기를 적절히 수행하고 있는지 여부 등의 사항을 확인합니다.
해당 영역은 심사 시에 미흡사례가 자주 발견되는 항목입니다. 미흡사례 2가지를 짚어보고 넘어가도록 하겠습니다.

-심사 시 미흡사례 항목-
첫번째 미흡사례로는,
개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ‘뭐뭐~등’과 같이
포괄적으로 고지하고 있는 문제점이 확인된 사례가 있습니다.
<심사 시 미흡사례 항목 예시>
- 개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 '~등'과 같이 포괄적으로 고지하고 있음
- 처리하는 개인정보 항목 : <개인정보처리자명>은(는) 다음의 개인정보 항목을 처리하고 있습니다.
- 회원가입 및 관리 : <필수항목 : 성명, 생년월일 등, 선택항목 : 결혼여부 등>
- 재화 또는 서비스 제공 : <필수항목 : 성명, 생년월일 등, 선택항목 : 관심분야, 과거 구매내역 등>
두번째 미흡사례로는,
고객센터에서 수집하는 민원처리 관련 개인정보를 다른 법령을 근거로 3년간 보존하고 있으나,
3년이 경과한 후에도 파기하지 않고 보관하고 있는 문제점이 확인된 사례가 있습니다.
<심사 시 미흡사례 항목 예시>
- 고객센터에서 수집하는 민원처리 관련 개인정보(상담이력, 녹취 등)를 다른 법령을 근거로 3년간 보존하고 있으나
3년이 경과한 후에도 파기하지 않고 보관하고 있음
- SQL : SELECT 이름, 연락처, 상담이력, FROM 개인정보테이블, WHERE 생성일 → 3년
- SQL 실행 시 : 잘못된 결과 출력(이순신 010-1234-1234 상담이력, 유관순 010-2345-2345 상담이력)
- SQL 실행 시 : 정상적인 결과(NULL)

-심사대상-
다음은 연령확인 등 선별가입 서비스를 제공할 경우에 이용자에게 이를 사전에 고지하고
동의받고 있는지에 대한 적정성을 심사하는 항목으로 본인확인서비스 연동전문이 심사대상입니다.
해당 심사영역에서는 본인확인결과정보에 연령정보를 포함하여 제공하는지 여부를 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는 본인확인서비스 연동전문 등이 있습니다.
현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행되는데요.
대상 담당자는 본인확인서비스 사업 담당자가 해당됩니다.
인터뷰에서는 담당자에게 본인확인서비스 이용결과 제공되는 본인확인결과정보에 대한 설명 등을
요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.
현장실사에서는 본인확인결과정보에 연령정보를 제공하고 있는지 여부를 확인합니다.
심사과정에서 확인한 미흡사례 1가지만 짚어보고 넘어가도록 하겠습니다.
미흡사례로는. 본인확인서비스 이용시 연령정보를 제공할 수 있는 기능을 제공하고 있지 않는 문제점이 확인된 사례가 있습니다.

-심사대상-
다음은 본인확인서비스를 제공하는데 필요한 정보 이외의 이용자 개인정보 수집을 제한하고 있는지를 심사하는 항목으로,
대체수단 발급/이용 등에서 필수로 수집하는 개인정보 항목, 이용자의 개인정보 제공 여부 선택권 보장에 관한 사항 등이 심사대상입니다

-심사영역-
해당 심사영역에서는
첫째, 필요한 최소한의 개인정보만을 수집하는지 심사합니다.
둘째, 필수로 수집하는 개인정보가 서비스 제공에 필요한 최소한의 정보임을 입증할 수 있는지 여부를 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는 개인정보처리방침,
대체수단 발급/이용 단계에서 고지하고 있는 동의문, 이용자 동의를 받는 단계의 화면 스크린샷,
수집하는 개인정보가 서비스 제공 등에 필요한 최소한의 정보임을 입증할 수 있는 관련자료 등이 있습니다.
현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행되는데요.
대상 담당자는 개인정보보호 담당자 및 서비스 담당자가 해당됩니다.
인터뷰에서는 담당자에게 동의문 내용 및 동의징구 시점, 방법 관련 설명,
최소한의 정보 수집 관련 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.
현장실사에서는 본인확인서비스를 제공하는데 필요한 정보 이외의 이용자 개인정보 수집을 제한하고 있는지 심사하기 위해,

-현장실사 증적자료-
개인정보의 수집 시 필요한 최소한의 정보만을 수집하고 있는지 여부,
이용자가 직접 동의여부를 선택할 수 있도록 수집하는 개인정보의 항목을
필수 동의 항목과 선택 동의 항목으로 구분하여 각각 동의를 받을 수 있도록 제공하고 있는지 여부 등의 사항을 확인합니다.

-심사과정 미흡사례 항목-
심사과정에서 확인한 미흡사례 1가지만 짚어보고 넘어가도록 하겠습니다.
미흡사례로는, 본인확인서비스 제공을 위하여 필요한 최소한의 정보 외에
불필요한 개인정보를 포함하여 수집하고 있는 문제점이 확인된 사례가 있습니다.
<심사과정 미흡사례 항목예시>
-본인확인서비스 제공을 위하여 필요한 최소한의 정보 외에 불필요한 개인정보를 포함하여 수집하고 있음
-서비스 항목 : 개인인증서 신청
-필수수집항목 : 성명, 주민등록번호(외국인등록번호), 생년월일, 휴대전화번호, 이메일, ID, 신분증 사본, (주소)

-심사대상-
다음은 필요한 최소한의 정보 이외의 개인정보를 제공하지 않는다는 이유로 이용자에게
서비스 제공을 거부할 수 없도록 하고 있는지 여부를 심사하는 항목으로,
이용자가 선택항목에 대한 동의를 거부하더라도 서비스 이용이 가능하다는 내용에 대한 고지 여부,
서비스 가입 과정 설계 및 구현 관련 사항 등이 심사대상 입니다

-심사영역-
해당 심사영역에서는
첫째, 이용자가 선택항목에 대한 동의를 거부하더라도 서비스의 이용이 가능하다는 사실을
명확하게 표시하여 알 수 있도록 고지하고 있는지 확인합니다.
둘째, 서비스 가입 과정에서 선택정보에 대하여 동의를 하지 않거나 입력을 하지 않더라도
필수적인 서비스는 이용할 수 있도록 구현되어 있는지 확인합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는,
이용자가 선택항목에 대한 동의를 거부하더라도 서비스 이용이 가능하다는 고지 내용 및
관련 화면 스크린샷, 서비스 가입 과정 설계 및 구현 관련 자료로 가입 프로세스 설계 관련 문서, 소스코드 구현부분 등이 있습니다.
현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행되는데요,
대상 담당자는 서비스 가입 프로세스 설계 담당자와 개발 담당자가 해당됩니다.
인터뷰에서는 담당자에게 서비스 가입 프로세스 설명, 관련 소스코드 구현 부분 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋겠습니다.

-현장실사 증적자료-
현장실사에서는 선택항목에 대한 동의를 거부하더라도 서비스 이용이 가능한지 여부를 심사하기 위해,
이용자가 선택항목에 대한 동의를 거부하더라도 서비스 이용이 가능하다는 내용으로 고지하고 있는지와
서비스 가입 시에 고지한 대로 실제 구현되어 있는지를 확인합니다.

-심사과정 미흡사례-
심사과정에서 확인한 미흡사례 2가지만 짚어보고 넘어가도록 하겠습니다.
첫번째 미흡사례로는, 선택정보에 대하여 동의하지 않아도 대체수단 발급, 이용이 가능함을 이용자가
인지할 수 있도록 구체적으로 알리지 않고 있는 문제점이 확인된 사례가 있습니다.
<심사과정 미흡사례 예시>
- 선택정보에 대하여 동의하지 않아도 대체수단 발급/이용이 가능함을 이용자가 인지할 수 있도록 구체적으로 알리지 않고 있음
- 개인정보의 수집,이용
(수집,이용목적 : ㅇㅇㅇㅇㅇㅇ, 필수 수집항목:ㅇㅇㅇㅇㅇㅇ,선택 수집항목:ㅇㅇㅇㅇㅇㅇ,개인정보 보유 및 이용기간:ㅇㅇㅇㅇㅇㅇ
두번째 미흡사례로는,
대체수단 발급 화면에서 선택사항에 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 진행되지
않거나 대체수단 발급을 거부하고 있는 문제점이 확인된 사례가 있습니다.

-심사대상-
다음은 민감한 개인정보 수집 금지에 대한 적정성을 심사하는 항목으로, 민감정보 수집 및 처리 현황이 심사 대상입니다.
해당 심사영역에서는 본인확인 설비 내 본인확인 목적 외에 민감정보가 수집되고 있지 않음을 확인합니다.

-법 23조에 따른 민감정보-
민감정보에 대한 정의는 사상이나 신념, 정치적 견해, 노동조합이나 정당에의 가입이나 탈퇴에 관한 정보
건강 및 성생활에 관한 정보, 사생활을 현저하게 침해할 우려가 있는 개인정보 등이 해당됩니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는,
민감정보를 수집하는 경우, 이용자 동의 징구 화면 스크린샷, 관련 법령 근거 등 수집 및 처리 관련 자료를 제출하여야 합니다.
현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행되는데요.
대상 담당자는 개인정보보호 담당자, 준법 담당자가 해당됩니다.
인터뷰에서는 담당자에게 민감정보 처리 및 동의 징구 관련 설명-관련 법령에 구체적인 처리 근거 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.

-현장실사 증적자료-
현장실사에서는 개인의 사생활을 현저하게 침해할 우려가 있는 민감한 개인정보의 수집이 제한되고 있는지를 확인하고,
만약 민감정보를 처리하는 경우라면 관련 법령에 근거가 있는지를 확인합니다.

-심사과정 미흡사례-
심사과정에서 확인한 미흡사례 1가지만 짚어보고 넘어가도록 하겠습니다.
미흡사례로는, 이용자에게 별도 동의 없이 민감정보를 수집하고 있으나
관련 법령에 구체적인 처리 근거가 없는 문제점이 확인된 사례가 있습니다.

-심사대상-
다음은 본인확인서비스에 가입된 이용자가 개인정보 수집·이용·제공에 대한 동의를 철회하는 기능을 제공하고 있는지 심사하는 항목으로
이용자 권리 행사 방법 및 절차, 이용자 동의 철회 시 파기 등 조치 관련 사항 등이 심사대상입니다.

-심사영역-
해당 심사영역에서는
첫째, 동의의 철회를 요구하는 방법을 개인정보의 수집방법보다 쉽게 하고 있는지 심사합니다.
둘째, 이용자의 권리행사 방법 및 절차는 최소한의 개인정보 수집절차 또는 대체수단 발급 절차에 준하여
알기 쉽고 편리하여야 하며 개인정보 수집 시 요구하지 않던 증빙서류를 추가로 요구하지 않는지 심사합니다.
셋째, 이용자 또는 그 대리인이 개인정보 수집･이용･제공 등의 동의를 철회하는 경우 수집된 개인정보는
보유기간 경과에 따라 지체없이 파기하는 등 필요한 조치를 수행하고 있는지 심사합니다.
*만 14세 미만 아동의 법정대리인은 해당 아동의 개인정보에 대한동의 철회를 요구할 수 있습니다.
넷째, 이용자 동의철회에도 불구하고, 개인정보 보유기간에 따라 즉시 파기하지 않는 경우에는 해당 개인정보는 분리 보관되고 있는지 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는 이용자 권리 행사 방법 및 절차 관련 자료,
이용자 동의 철회 시 파기 등 조치 관련 자료 등이 있습니다.
현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행이 되는데요,
대상 담당자는 개인정보보호 담당자, 준법 담당자가 해당됩니다.
인터뷰에서는 담당자에게 권리행사 방법 및 절차 관련 설명, 이용자 동의 철회 시 파기 등 조치 관련 설명,
보존의무가 부여된 경우 관련 법령 근거 설명 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.

-현장실사 증적자료-
현장실사에서는 동의를 철회하는 기능을 심사하기 위해
이용자 또는 그 대리인의 동의 철회 요구 시 권리 행사 방법 및 절차를 마련하고 있는지 여부,
동의를 철회하는 경우 지체 없이 수집된 개인정보를 파기하는지 여부 등의 사항을 확인합니다.

-심사과정 미흡사례-
심사과정에서 확인한 미흡사례 2가지만 짚어보고 넘어가도록 하겠습니다.
첫번째 미흡사례로는,
개인정보에 대한 열람, 정정･삭제, 처리정지, 이의제기, 동의 철회 요구 방법을 이용자가 알 수 있도록
공개하지 않은 문제점이 확인된 사례가 있습니다.
두번째 미흡사례로는,
대체수단 발급 시 온라인을 통해 쉽게 가입이 가능하였으나
대체수단 폐지 시에는 신분증 등 추가 서류를 제출하게 하거나
오프라인 방문을 통해서만 가능하도록 제한하고 있는 문제점이 확인된 사례가 있습니다.

-심사대상-
다음은 이용자가 자신의 개인정보에 대한 열람 또는 이용내역의 제공을 요구할 수 있고,
오류가 있는 경우 정정을 요구하는 기능을 제공하고 있는지 심사하는 항목으로,
이용자 권리 행사 방법 및 절차-이용자의 개인정보 열람권 보장 관련 사항, 본인확인서비스 이용내역 제공 절차 및 방법,
이용자의 개인정보 오류 정정 절차 및 방법 등이 심사대상입니다.

-열람요구 심사영역-
해당 심사영역에서는 열람요구와 관련하여
첫째, 이용자 또는 그 대리인의 동의 철회 요구를 개인정보 수집방법･절차보다 쉽게 할 수 있도록
권리 행사방법 및 절차를 마련하였는지 심사합니다.
둘째, 이용자의 권리행사 방법 및 절차는 최소한의 개인정보 수집절차 또는 대체수단 발급 절차에 준하여 알기 쉽고 편리하여야 하며 개인정보 수집 시 요구하지 않던 증빙서류를 추가로 요구하지 않는지 심사합니다.
셋째, 이용자 또는 그 대리인으로부터 개인정보 열람 요구 또는 이용내역 제공 요구를 받은 경우
10일 이내 또는 지체없이 이용자가 해당 개인정보 또는 이용내역을 열람, 제공하고 있는지 심사합니다.

-열람거부 심사영역-
열람거부와 관련해서는
첫째, 10일 이내에 열람할 수 없는 정당한 사유가 있는 경우 이용자에게 그 사유를 알리고 열람을 연기할 수 있는지 심사합니다.
둘째, 개인정보 열람 제한 및 거절의 사유가 있는 경우 이용자에게 그 사유를 알리고 열람을 제한 또는 거절할 수 있는지 심사합니다.
셋째, 열람 요구사항 중 일부가 열람 제한 또는 거절의 사유가 있는 경우에는 그 일부에 대하여
열람을 제한할 수 있으며 열람이 제한되는 사항을 제외한 부분에 대해서는 열람할 수 있는지 심사합니다.

개인정보의 정정과 삭제와 관련해서는
이용자 또는 그 대리인으로부터 개인정보의 정정･삭제를 요구받은 경우
이용자의 요구가 정당하다고 판단되면 지체없이 그 개인정보를 조사해 이용자의 요구에 따라
해당 개인정보의 정정･삭제 등의 조치를 한 후 그 결과를 이용자에게 알리고 있는지 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
이용자 권리행사 방법 및 절차 관련 자료,
이용자의 개인정보 열람 요구 또는 이용내역 제공 요구에 대한 절차 및 관련 자료,
이용자의 개인정보 정정･삭제 요구에 대한 절차 및 관련 자료 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행되는데요.
대상 담당자는 개인정보보호 담당자, 준법 담당자가 해당됩니다.
인터뷰에서는 담당자에게
권리 행사 방법 및 절차 관련 설명, 개인정보 열람 요구 또는 이용내역 제공 요구에 대한 절차 설명,
개인정보 정정･삭제 요구에 대한 절차 설명-법률에 따라 개인정보 열람 제한 및 거절되는 경우에
해당되는 업무가 존재하는지 여부 등을 요청 할 수 있으므로, 미리 확인하고 준비하는 것이 좋습니다.

-현장실사 증적자료-
현장실사에서는 개인정보의 열람, 거부, 정정, 삭제 기능을 마련하고 있는지 심사하기 위해,
이용자 또는 그 대리인의 동의 철회 요구 시 권리 행사 방법 및 절차를 마련하고 있는지 여부,
개인정보의 열람 요구 또는 이용내역 제공 요구에 대하여 열람 요구를 접수받은 날로부터 10일 이내에 회신하고 있는지 여부,
개인정보의 정정･삭제 요구에 대하여 정정･삭제 요구를 접수받은 날로부터 10일 이내에 회신하고 있는지 여부 등의 사항을 확인합니다.

-심사과정 미흡사례-
심사과정에서 확인한 미흡사례 2가지만 짚어보고 넘어가도록 하겠습니다.
첫번째 미흡사례로는,
개인정보에 대한 열람, 정정･삭제, 처리정지, 이의제기, 동의철회 요구 방법을 이용자가 알 수 있도록
공개하지 않은 문제점이 확인된 사례가 있습니다.
두번째 미흡사례로는,
개인정보의 열람 요구에 대하여 정당한 사유의 통지 없이 열람 요구를 접수받은 날로부터
10일을 초과하고 있는 문제점이 확인된 사례가 있습니다.

-심사대상-
다음은 이용자의 오류 정정요구에 대한 조치가 완료되기 전까지 해당 이용자의 개인정보 제공 또는
이용을 제한하고 있는지 심사하는 항목으로 이용자 권리 행사 방법 및 절차,
이용자의 개인정보 처리정지 요구 보장 관련 사항 등이 심사대상입니다.

-심사영역-
해당 심사영역에서는
첫째, 이용자 또는 그 대리인으로부터 개인정보의 처리정지 요구를 받은 경우 특별한 사유가 없는 한,
지체 없이 처리의 전부 또는 일부를 정지하고 그 결과를 이용자에게 제공하고 있는지 심사합니다.
둘째, 개인정보 처리정지 요구를 받은 날부터 10일 이내에 조치 결과를 이용자에게 회신하고 있는지 심사합니다.
셋째, 개인정보의 처리정지를 거절할 수 있는 사유가 있는 경우 관련 사실을
처리정지 요구자에게 요구를 받은 날로부터 10일 이내에 알리고 있는지 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
이용자 권리 행사 방법 및 절차 관련 자료,
이용자의 개인정보 처리정지 요구에 대한 절차 및 관련 자료 등이 있습니다.

현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행되는데요,
대상 담당자는 개인정보보호 담당자, 준법 담당자가 해당됩니다.
인터뷰에서는 담당자에게
권리 행사 방법 및 절차 관련 설명, 개인정보 처리정지 요구에 대한 절차 설명,
법령에 따른 개인정보 처리정지 거절에 해당 되는 업무가 존재하는지 질의 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋겠습니다.

현장실사에서는 이용자의 오류정정 요구에 대한 조치가 완료되기 전까지 해당 이용자의 개인정보 이용이 제한되고 있는지 심사하기 위해서,

-현장실사 증적자료-
이용자 또는 그 대리인으로부터 개인정보의 처리정지 요구를 받은 경우 특별한 사유가 없는 한,
지체 없이 처리의 전부 또는 일부를 정지하고 그 결과를 이용자에게 제공하고 있는지 여부,
개인정보 처리정지 요구를 받은 날부터 10일 이내에 조치 결과를 이용자에게 회신하고 있는지 여부,
개인정보의 처리정지를 거절할 수 있는 사유가 있는 경우 관련 사실을
처리정지 요구자에게 요구를 받은 날로부터 10일 이내에 알리고 있는지 여부 등의 사항을 확인합니다.

-심사과정 미흡사례-
심사과정에서 확인한 미흡사례 2가지만 짚어보고 넘어가도록 하겠습니다.
첫번째 미흡사례로는,
개인정보에 대한 열람, 정정･삭제, 처리정지, 이의제기, 동의 철회 요구 방법을 이용자가 알 수 있도록 공개하지 않은 문제점이 확인된 사례가 있습니다.
두번째 미흡사례로는,
개인정보의 처리정지 요구에 대하여 처리정지 요구를 접수받은 날로부터 10일을 초과하고 있는 문제점이 확인된 사례가 있습니다.

-심사대상-
다음은 이용자 불만 등을 접수, 처리하기 위한 절차를 심사하는 항목으로
이용자 불만 접수 방법 및 처리 절차, 보유기간 경과 또는 처리목적이 달성된 이용자 불만 관련 자료의 파기 절차 등이 심사대상입니다.

-전자상거래 등에서 소비자 보호에 관한 법률-
- 표시, 광고에 관한 기록 : 6개월
- 계약 또는 청약철회 등에 관한 기록 : 5년
- 대금결제 및 재화 등의 공급에 관한 기록 : 5년
- 소비자의 불만 또는 분쟁처리에 관한 기록 : 3년
해당 심사영역 에서는
첫째, 본인확인서비스 이용자로부터 대체수단의 발급･이용 등과 관련한 불만을 접수하고 처리할 수 있는 상담창구를 마련하고 있는지 심사합니다.
둘째, 이용자 불만 관련 자료의 보유기간 경과 시 파기 절차를 마련하고 있는지 심사합니다.

-기관이 준비해야 할 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는
이용자 불만 접수 및 처리 절차 관련 자료, 보유기간이 경과된 이용자 불만 자료에 대한 파기 증적 등이 있습니다.
현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행되는데요,
대상 담당자는 개인정보보호 담당자가 해당됩니다.
인터뷰에서는 담당자에게 이용자 불만 접수 및 처리 절차 관련 자료,
보유기간이 경과된 이용자 불만 자료에 대한 파기 증적,
보존의무가 부여된 경우 관련 법령 근거 자료 등을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋겠습니다.

-현장실사 증적자료-
현장실사에서는 이용자 불만을 접수·처리할 수 있는 절차를 마련하고 있는지 심사하기 위해,
대체수단의 발급과 이용 시 발생한 불만을 처리할 수 있는 방법과 절차를 마련하고 있는지 여부,
이용자 불만 관련 자료가 보유기간 경과 시 파기되고 있는지 여부 등의 사항을 확인합니다.

-심사과정 미흡사례 항목-
심사과정에서 확인한 미흡사례 1가지만 짚어보고 넘어가도록 하겠습니다.
미흡사례로는, 본인확인서비스 이용자로부터 대체수단의 발급･이용 등과 관련한 불만을 접수하고
처리할 수 있는 상담창구를 운영하지 않는 문제점이 확인된 사례가 있습니다.

-심사대상-
다음은 대체수단의 부정사용에 대한 신고 기능을 심사하는 항목으로
대체수단의 발급 또는 분실･훼손･도난･유출 시 신고 방법 및 절차 등이 심사 대상 입니다.
해당 심사영역에서는 부정한 방법으로 대체수단의 발급 또는 대체수단의 분실･훼손･도난･유출 시
해당 사실을 본인확인기관에 신고할 수 있는 기능을 제공하고 있는지 심사합니다.

-현장실사 증적자료-
해당 심사영역에 대해 기관이 준비해야 할 증적자료로는 대체수단의 발급 또는 분실･훼손･도난･유출 시
신고 방법 및 절차 관련 자료 등이 있습니다.
현장실사는 증적자료 확인과 담당자 인터뷰, 현장실사를 통해 진행되는데요,
대상 담당자는 개인정보보호 담당자가 해당이 됩니다.
인터뷰에서는 담당자에게 대체수단 부정발급 등 신고 방법 및 절차 관련 설명을 요청할 수 있으므로, 미리 확인하고 준비하는 것이 좋겠습니다.

-현장실사 증적자료-
현장실사에서는 부정사용 신고기능을 심사하기 위해 부정한 방법으로
대체수단의 발급 또는 분실･훼손･도난･유출 시
해당 사실을 본인확인기관에 신고할 수 있는 창구를 운영하고 있는지 확인합니다.

-심사과정 미흡사례-
심사과정에서 확인한 미흡사례 1가지만 짚어보고 넘어가도록 하겠습니다.
미흡사례로는, 대체수단 부정발급 또는 대체수단의 분실･훼손･도난･유출 시
본인확인기관에 신고할 수 있는 창구를 운영하지 않는 문제점이 확인된 사례가 있습니다.

이번 차시는 이용자 보호 및 불만처리에 관한 사항의 적정성을 심사하는 기준에 대해 알아보았습니다.

감사합니다.

-한국인터넷진흥원-