[ISMS-P인증기준] 3.1.3 주민등록번호 처리 제한

항목

---

3. 개인정보 처리 단계별 요구사항

  - 3.1. 개인정보 수집 시 보호조치

  - 3.1.3 주민등록번호 처리 제한

    * ISMS-P에만 해당

 

인증기준

---

주민등록번호는 법적 근거가 있는 경우를 제외하고는 수집·이용 등 처리할 수 없으며, 주민등록번호의 처리가 허용된 경우라 하더라도 인터넷 홈페이지 등에서 대체수단을 제공하여야 한다.

3.1.3 주민등록번호 처리 제한

 

세부설명

---

■ 주민등록번호는 다음과 같이 법적 근거가 있는 경우를 제외하고는 수집 등 처리할 수 없다.

- 주민등록번호 수집 등 처리가 가능한 경우(동의에 근거한 수집은 불가함)

 

■ 주민등록번호를 처리하는 경우에는 해당 처리의 근거가 되는 법조항을 구체적으로 식별하여 입증할 수 있도록 하여야 한다.

 

- 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우ʼ라 함은 법률 등 중 최소한 어느 하나에 개인정보처리자로 하여금 주민등록번호의 처리를 요구하거나 허용하도록 하는 구체적인 규정이 존재하는 것을 말함

- 개인정보 보호법 제24조의2제1항제1호는 주민등록번호를 처리할 수 있는 법령의 범위를 한정하고 있으므로 시행규칙을 근거로는 주민등록번호 처리 불가

- 개인정보 보호법 제24조의2제1항제2호에 따라 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우에는 예외적으로 주민등록번호의 처리 가능

- 개인정보 보호법 제24조의2제1항 각 호에서 정하는 예외사유에 해당되지 않는 한 주민등록번호를 수집하거나 제3자에게 제공하거나 저장·보유하는 것도 금지됨

 

 

■ 법적 근거에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법(주민등록번호 대체가입수단)을 제공하여야 한다.

- 주민등록번호 대체가입수단 예시 : 아이핀, 휴대전화, 신용카드, 인증서 등

 

결함사례

---

‧ 사례 1 : 홈페이지 가입과 관련하여 실명확인 등 단순 회원관리 목적을 위하여 정보주체의 동의에 근거하여 주민등록번호를 수집한 경우

 

‧ 사례 2 : 정보주체의 주민등록번호를 시행규칙이나 지방자치단체의 조례에 근거하여 수집한 경우

 

‧ 사례 3 : 비밀번호 분실 시 본인확인 등의 목적으로 주민등록번호 뒤 6자리를 수집하지만, 관련된 법적 근거가 없는 경우

 

‧ 사례 4 : 채용전형 진행단계에서 법적 근거 없이 입사지원자의 주민등록번호를 수집한 경우

 

‧ 사례 5 : 콜센터에 상품, 서비스 관련 문의 시 본인확인을 위하여 주민등록번호를 수집한 경우

 

‧ 사례 6 : 주민등록번호 수집의 법적 근거가 있다는 사유로 홈페이지 회원가입 단계에서 대체가입수단을 제공하지 않고 주민등록번호를 입력받는 본인확인 및 회원가입 방법만을 제공한 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."