

ISMS-P 또는 ISMS 인증을 받은 기업이라도 반드시 구글폼(Google Forms)으로 개인정보를 수집하면 안 된다는 절대적인 규정은 없습니다. 하지만 개인정보 수집 시 ISMS-P 및 ISMS 인증 기준에 따라 다음과 같은 사항을 준수해야 하며, 이 때문에 구글폼 사용에 주의가 필요합니다.
법적 이슈는 아니지만 '관리적·기술적 보호조치' 준수가 핵심
ISMS(ISMS-P) 인증은 개인정보보호법 및 정보통신망법 등을 기반으로 기업이 정보보호 관리체계를 갖추고 있는지를 심사하는 것입니다. 특히 ISMS-P 인증의 경우 개인정보 보호조치에 대한 명확한 심사기준이 있으므로, 개인정보 수집·이용 과정에서 기술적·관리적 보호조치를 반드시 준수해야 합니다.
ISMS-P의 관련 요구사항
개인정보의 안전성 확보조치 기준 준수
개인정보 수집 시 보안성 있는 암호화 전송 및 저장
접근 통제 및 권한 관리
개인정보 국외 이전 관련 절차 준수
개인정보 처리 위탁에 대한 관리·감독
개인정보 처리를 외부 서비스에 맡길 경우 위탁계약 및 감독 조치 필요
구글폼 사용 시 문제점
구글폼은 다음과 같은 문제점이 있어, ISMS 및 ISMS-P 인증 기업에서 일반적으로 개인정보 수집 시 주의가 요구됩니다.
개인정보 해외 이전 이슈
구글폼은 수집된 개인정보를 대부분 해외(미국 등)의 서버에 저장합니다.
따라서 정보주체(이용자)에게 개인정보 해외 이전에 대한 명확한 고지 및 동의를 받아야 합니다. (개인정보보호법 제39조의12)
이용자 동의가 없다면 개인정보 국외 이전 자체가 위법하게 됩니다.
안전성 확보조치에 대한 관리 어려움
구글폼을 통한 개인정보 수집 및 저장 과정에서 기업이 직접적인 통제권을 갖기 어렵습니다.
접근 권한 관리, 접속기록 관리, 저장된 개인정보의 암호화 등 ISMS-P의 요구조건을 모두 충족하는지 관리가 어렵거나 명확히 입증하기 쉽지 않습니다.
처리 위탁계약 미체결 문제
개인정보 처리를 위탁할 경우(구글과 같은 제3자 서비스 활용 포함) 위탁계약 체결 및 감독조치가 필수적입니다.
구글폼과 별도의 계약 체결이 어렵고, 표준 약관만 제공하므로, 세부적인 위탁 관리·감독 의무를 이행하기 어려워 ISMS-P 심사에서 문제가 될 가능성이 있습니다.
구글폼을 쓰면서 ISMS-P를 준수할 방법은?
만약 구글폼을 써서 개인정보를 수집해야 한다면, 최소한 다음과 같은 조건을 갖춰야 합니다.
명확한 개인정보 국외 이전 고지 및 이용자 동의 획득 필수
수집하는 개인정보는 최소화(예: 주민등록번호 등 민감정보 금지)
중요 개인정보는 암호화 저장, 저장된 정보는 수시로 삭제하는 관리 절차 마련
구글폼 계정 접근 권한 최소화 및 관리
그러나 실제 ISMS-P 인증 심사 과정에서 심사원은 일반적으로 민감하거나 중요한 개인정보 수집 시 구글폼을 사용하는 것을 권장하지 않고 있습니다.
이렇게 하는 것을 권장해요
ISMS 및 ISMS-P 인증기업이라면, 개인정보 수집은 국내 클라우드 또는 자체 구축된 서비스(국내서버 기반) 활용을 권장합니다.
반드시 구글폼을 사용해야 하는 상황이라면 위의 준수 사항을 반드시 적용해야 하며, 개인정보 처리 방침 및 동의서에도 명확하게 기술해야 합니다.
결론
ISMS-P 인증기업이 구글폼을 절대 쓰면 안 되는 것은 아니지만, 실무적으로는 준수가 어려운 측면이 많기 때문에 추천하지 않습니다. 사용하려면 관련 법적 요건과 보호조치를 완벽하게 갖춰야 하며, ISMS-P 인증 심사 과정에서 면밀히 검토될 수 있으므로, 주의를 기울여야 합니다.
국내 서버에 빠르게 구축하는 우리 기업만의 폼빌더, 왈라는 어떠신가요?
ISMS-P 또는 ISMS 인증을 받은 기업이라도 반드시 구글폼(Google Forms)으로 개인정보를 수집하면 안 된다는 절대적인 규정은 없습니다. 하지만 개인정보 수집 시 ISMS-P 및 ISMS 인증 기준에 따라 다음과 같은 사항을 준수해야 하며, 이 때문에 구글폼 사용에 주의가 필요합니다.
법적 이슈는 아니지만 '관리적·기술적 보호조치' 준수가 핵심
ISMS(ISMS-P) 인증은 개인정보보호법 및 정보통신망법 등을 기반으로 기업이 정보보호 관리체계를 갖추고 있는지를 심사하는 것입니다. 특히 ISMS-P 인증의 경우 개인정보 보호조치에 대한 명확한 심사기준이 있으므로, 개인정보 수집·이용 과정에서 기술적·관리적 보호조치를 반드시 준수해야 합니다.
ISMS-P의 관련 요구사항
개인정보의 안전성 확보조치 기준 준수
개인정보 수집 시 보안성 있는 암호화 전송 및 저장
접근 통제 및 권한 관리
개인정보 국외 이전 관련 절차 준수
개인정보 처리 위탁에 대한 관리·감독
개인정보 처리를 외부 서비스에 맡길 경우 위탁계약 및 감독 조치 필요
구글폼 사용 시 문제점
구글폼은 다음과 같은 문제점이 있어, ISMS 및 ISMS-P 인증 기업에서 일반적으로 개인정보 수집 시 주의가 요구됩니다.
개인정보 해외 이전 이슈
구글폼은 수집된 개인정보를 대부분 해외(미국 등)의 서버에 저장합니다.
따라서 정보주체(이용자)에게 개인정보 해외 이전에 대한 명확한 고지 및 동의를 받아야 합니다. (개인정보보호법 제39조의12)
이용자 동의가 없다면 개인정보 국외 이전 자체가 위법하게 됩니다.
안전성 확보조치에 대한 관리 어려움
구글폼을 통한 개인정보 수집 및 저장 과정에서 기업이 직접적인 통제권을 갖기 어렵습니다.
접근 권한 관리, 접속기록 관리, 저장된 개인정보의 암호화 등 ISMS-P의 요구조건을 모두 충족하는지 관리가 어렵거나 명확히 입증하기 쉽지 않습니다.
처리 위탁계약 미체결 문제
개인정보 처리를 위탁할 경우(구글과 같은 제3자 서비스 활용 포함) 위탁계약 체결 및 감독조치가 필수적입니다.
구글폼과 별도의 계약 체결이 어렵고, 표준 약관만 제공하므로, 세부적인 위탁 관리·감독 의무를 이행하기 어려워 ISMS-P 심사에서 문제가 될 가능성이 있습니다.
구글폼을 쓰면서 ISMS-P를 준수할 방법은?
만약 구글폼을 써서 개인정보를 수집해야 한다면, 최소한 다음과 같은 조건을 갖춰야 합니다.
명확한 개인정보 국외 이전 고지 및 이용자 동의 획득 필수
수집하는 개인정보는 최소화(예: 주민등록번호 등 민감정보 금지)
중요 개인정보는 암호화 저장, 저장된 정보는 수시로 삭제하는 관리 절차 마련
구글폼 계정 접근 권한 최소화 및 관리
그러나 실제 ISMS-P 인증 심사 과정에서 심사원은 일반적으로 민감하거나 중요한 개인정보 수집 시 구글폼을 사용하는 것을 권장하지 않고 있습니다.
이렇게 하는 것을 권장해요
ISMS 및 ISMS-P 인증기업이라면, 개인정보 수집은 국내 클라우드 또는 자체 구축된 서비스(국내서버 기반) 활용을 권장합니다.
반드시 구글폼을 사용해야 하는 상황이라면 위의 준수 사항을 반드시 적용해야 하며, 개인정보 처리 방침 및 동의서에도 명확하게 기술해야 합니다.
결론
ISMS-P 인증기업이 구글폼을 절대 쓰면 안 되는 것은 아니지만, 실무적으로는 준수가 어려운 측면이 많기 때문에 추천하지 않습니다. 사용하려면 관련 법적 요건과 보호조치를 완벽하게 갖춰야 하며, ISMS-P 인증 심사 과정에서 면밀히 검토될 수 있으므로, 주의를 기울여야 합니다.
국내 서버에 빠르게 구축하는 우리 기업만의 폼빌더, 왈라는 어떠신가요?
ISMS-P 또는 ISMS 인증을 받은 기업이라도 반드시 구글폼(Google Forms)으로 개인정보를 수집하면 안 된다는 절대적인 규정은 없습니다. 하지만 개인정보 수집 시 ISMS-P 및 ISMS 인증 기준에 따라 다음과 같은 사항을 준수해야 하며, 이 때문에 구글폼 사용에 주의가 필요합니다.
법적 이슈는 아니지만 '관리적·기술적 보호조치' 준수가 핵심
ISMS(ISMS-P) 인증은 개인정보보호법 및 정보통신망법 등을 기반으로 기업이 정보보호 관리체계를 갖추고 있는지를 심사하는 것입니다. 특히 ISMS-P 인증의 경우 개인정보 보호조치에 대한 명확한 심사기준이 있으므로, 개인정보 수집·이용 과정에서 기술적·관리적 보호조치를 반드시 준수해야 합니다.
ISMS-P의 관련 요구사항
개인정보의 안전성 확보조치 기준 준수
개인정보 수집 시 보안성 있는 암호화 전송 및 저장
접근 통제 및 권한 관리
개인정보 국외 이전 관련 절차 준수
개인정보 처리 위탁에 대한 관리·감독
개인정보 처리를 외부 서비스에 맡길 경우 위탁계약 및 감독 조치 필요
구글폼 사용 시 문제점
구글폼은 다음과 같은 문제점이 있어, ISMS 및 ISMS-P 인증 기업에서 일반적으로 개인정보 수집 시 주의가 요구됩니다.
개인정보 해외 이전 이슈
구글폼은 수집된 개인정보를 대부분 해외(미국 등)의 서버에 저장합니다.
따라서 정보주체(이용자)에게 개인정보 해외 이전에 대한 명확한 고지 및 동의를 받아야 합니다. (개인정보보호법 제39조의12)
이용자 동의가 없다면 개인정보 국외 이전 자체가 위법하게 됩니다.
안전성 확보조치에 대한 관리 어려움
구글폼을 통한 개인정보 수집 및 저장 과정에서 기업이 직접적인 통제권을 갖기 어렵습니다.
접근 권한 관리, 접속기록 관리, 저장된 개인정보의 암호화 등 ISMS-P의 요구조건을 모두 충족하는지 관리가 어렵거나 명확히 입증하기 쉽지 않습니다.
처리 위탁계약 미체결 문제
개인정보 처리를 위탁할 경우(구글과 같은 제3자 서비스 활용 포함) 위탁계약 체결 및 감독조치가 필수적입니다.
구글폼과 별도의 계약 체결이 어렵고, 표준 약관만 제공하므로, 세부적인 위탁 관리·감독 의무를 이행하기 어려워 ISMS-P 심사에서 문제가 될 가능성이 있습니다.
구글폼을 쓰면서 ISMS-P를 준수할 방법은?
만약 구글폼을 써서 개인정보를 수집해야 한다면, 최소한 다음과 같은 조건을 갖춰야 합니다.
명확한 개인정보 국외 이전 고지 및 이용자 동의 획득 필수
수집하는 개인정보는 최소화(예: 주민등록번호 등 민감정보 금지)
중요 개인정보는 암호화 저장, 저장된 정보는 수시로 삭제하는 관리 절차 마련
구글폼 계정 접근 권한 최소화 및 관리
그러나 실제 ISMS-P 인증 심사 과정에서 심사원은 일반적으로 민감하거나 중요한 개인정보 수집 시 구글폼을 사용하는 것을 권장하지 않고 있습니다.
이렇게 하는 것을 권장해요
ISMS 및 ISMS-P 인증기업이라면, 개인정보 수집은 국내 클라우드 또는 자체 구축된 서비스(국내서버 기반) 활용을 권장합니다.
반드시 구글폼을 사용해야 하는 상황이라면 위의 준수 사항을 반드시 적용해야 하며, 개인정보 처리 방침 및 동의서에도 명확하게 기술해야 합니다.
결론
ISMS-P 인증기업이 구글폼을 절대 쓰면 안 되는 것은 아니지만, 실무적으로는 준수가 어려운 측면이 많기 때문에 추천하지 않습니다. 사용하려면 관련 법적 요건과 보호조치를 완벽하게 갖춰야 하며, ISMS-P 인증 심사 과정에서 면밀히 검토될 수 있으므로, 주의를 기울여야 합니다.
국내 서버에 빠르게 구축하는 우리 기업만의 폼빌더, 왈라는 어떠신가요?
Continue Reading
The form you've been searching for?
Walla, Obviously.
Services
The form you've been searching for?
Walla, Obviously.
Services
The form you've been searching for?
Walla, Obviously.
Services
