3.4.3. 휴면 이용자 관리

 

항목	3.4.3. 휴면 이용자 관리
키워드	휴면이용자 개인정보 파기 및 분리 보관, 고지, 보관 목적 및 이용자 요청 이용, 접근권한 최소인원 제한
인증기준	서비스를 일정기간 동안 이용하지 않는 휴면 이용자의 개인정보를 보호하기 위하여 관련 사항의 통지, 개인정보의 파기 또는 분리보관 등 적절한 보호조치를 이행하여야 한다.
주요 확인사항	Ÿ 정보통신서비스 제공자 등은 법령에서 정한 기간 동안 이용하지 않는 휴면 이용자의 개인정보를 파기 또는 분리 보관하고 있는가?   Ÿ 휴면 이용자의 개인정보를 파기하거나 분리하여 저장·관리하려는 경우 이용자에게 알리고 있는가?   Ÿ 분리되어 저장·관리하는 휴면 이용자의 개인정보는 법령에 따른 보관 목적 또는 이용자의 요청에 대해서만 이용 및 제공하고 있는가?   Ÿ 분리되어 저장·관리하는 휴면 이용자의 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?
관련 법규	Ÿ 개인정보 보호법 제39조의6(개인정보의 파기에 대한 특례)
증거자료   (예시)	Ÿ 휴면 이용자 선정 기준   Ÿ 휴면 데이터베이스(분리 데이터베이스) 현황   Ÿ 휴면 이용자 대상 사전 통지 내역
결함사례	사례 1 : 개인정보 유효기간제를 적용받는 정보통신서비스 제공자가 1년 이상 서비스를 접속하지 않은 이용자의 개인정보를 지체 없이 파기 또는 분리 보관하지 않고 월단위로 파기 또는 분리 보관하고 있는 경우   사례 2 : 1년간 홈페이지에 로그인하지 않은 회원정보를 별도 데이터베이스에 분리 보관하였으나, 이때 분리된 회원데이터베이스에 접근 가능한 관리자를 최소인원으로 제한하지 않고 기존에 고객 데이터베이스의 조회 권한이 부여된 개발자, 운영자 모두가 분리된 회원 데이터베이스에서 고객정보 조회가 가능한 경우   사례 3 : 휴면 이용자의 재이용 요청에 대비하여 회원 데이터베이스에 일부 정보를 남겨 두면서 이름, 연락처 등 과도한 정보를 저장하고 있는 경우