ISMS-P 또는 ISMS 인증을 받은 기업이라도 반드시 구글폼(Google Forms)으로 개인정보를 수집하면 안 된다는 절대적인 규정은 없습니다. 하지만 개인정보 수집 시 ISMS-P 및 ISMS 인증 기준에 따라 다음과 같은 사항을 준수해야 하며, 이 때문에 구글폼 사용에 주의가 필요합니다.
법적 이슈는 아니지만 '관리적·기술적 보호조치' 준수가 핵심
ISMS(ISMS-P) 인증은 개인정보보호법 및 정보통신망법 등을 기반으로 기업이 정보보호 관리체계를 갖추고 있는지를 심사하는 것입니다. 특히 ISMS-P 인증의 경우 개인정보 보호조치에 대한 명확한 심사기준이 있으므로, 개인정보 수집·이용 과정에서 기술적·관리적 보호조치를 반드시 준수해야 합니다.
ISMS-P의 관련 요구사항
개인정보의 안전성 확보조치 기준 준수
개인정보 수집 시 보안성 있는 암호화 전송 및 저장
접근 통제 및 권한 관리
개인정보 국외 이전 관련 절차 준수
개인정보 처리 위탁에 대한 관리·감독
개인정보 처리를 외부 서비스에 맡길 경우 위탁계약 및 감독 조치 필요
구글폼 사용 시 문제점
구글폼은 다음과 같은 문제점이 있어, ISMS 및 ISMS-P 인증 기업에서 일반적으로 개인정보 수집 시 주의가 요구됩니다.
개인정보 해외 이전 이슈
구글폼은 수집된 개인정보를 대부분 해외(미국 등)의 서버에 저장합니다.
따라서 정보주체(이용자)에게 개인정보 해외 이전에 대한 명확한 고지 및 동의를 받아야 합니다. (개인정보보호법 제39조의12)
이용자 동의가 없다면 개인정보 국외 이전 자체가 위법하게 됩니다.
안전성 확보조치에 대한 관리 어려움
구글폼을 통한 개인정보 수집 및 저장 과정에서 기업이 직접적인 통제권을 갖기 어렵습니다.
접근 권한 관리, 접속기록 관리, 저장된 개인정보의 암호화 등 ISMS-P의 요구조건을 모두 충족하는지 관리가 어렵거나 명확히 입증하기 쉽지 않습니다.
처리 위탁계약 미체결 문제
개인정보 처리를 위탁할 경우(구글과 같은 제3자 서비스 활용 포함) 위탁계약 체결 및 감독조치가 필수적입니다.
구글폼과 별도의 계약 체결이 어렵고, 표준 약관만 제공하므로, 세부적인 위탁 관리·감독 의무를 이행하기 어려워 ISMS-P 심사에서 문제가 될 가능성이 있습니다.
구글폼을 쓰면서 ISMS-P를 준수할 방법은?
만약 구글폼을 써서 개인정보를 수집해야 한다면, 최소한 다음과 같은 조건을 갖춰야 합니다.
명확한 개인정보 국외 이전 고지 및 이용자 동의 획득 필수
수집하는 개인정보는 최소화(예: 주민등록번호 등 민감정보 금지)
중요 개인정보는 암호화 저장, 저장된 정보는 수시로 삭제하는 관리 절차 마련
구글폼 계정 접근 권한 최소화 및 관리
그러나 실제 ISMS-P 인증 심사 과정에서 심사원은 일반적으로 민감하거나 중요한 개인정보 수집 시 구글폼을 사용하는 것을 권장하지 않고 있습니다.
이렇게 하는 것을 권장해요
ISMS 및 ISMS-P 인증기업이라면, 개인정보 수집은 국내 클라우드 또는 자체 구축된 서비스(국내서버 기반) 활용을 권장합니다.
반드시 구글폼을 사용해야 하는 상황이라면 위의 준수 사항을 반드시 적용해야 하며, 개인정보 처리 방침 및 동의서에도 명확하게 기술해야 합니다.
결론
ISMS-P 인증기업이 구글폼을 절대 쓰면 안 되는 것은 아니지만, 실무적으로는 준수가 어려운 측면이 많기 때문에 추천하지 않습니다. 사용하려면 관련 법적 요건과 보호조치를 완벽하게 갖춰야 하며, ISMS-P 인증 심사 과정에서 면밀히 검토될 수 있으므로, 주의를 기울여야 합니다.
국내 서버에 빠르게 구축하는 우리 기업만의 폼빌더, 왈라는 어떠신가요?
ISMS-P 또는 ISMS 인증을 받은 기업이라도 반드시 구글폼(Google Forms)으로 개인정보를 수집하면 안 된다는 절대적인 규정은 없습니다. 하지만 개인정보 수집 시 ISMS-P 및 ISMS 인증 기준에 따라 다음과 같은 사항을 준수해야 하며, 이 때문에 구글폼 사용에 주의가 필요합니다.
법적 이슈는 아니지만 '관리적·기술적 보호조치' 준수가 핵심
ISMS(ISMS-P) 인증은 개인정보보호법 및 정보통신망법 등을 기반으로 기업이 정보보호 관리체계를 갖추고 있는지를 심사하는 것입니다. 특히 ISMS-P 인증의 경우 개인정보 보호조치에 대한 명확한 심사기준이 있으므로, 개인정보 수집·이용 과정에서 기술적·관리적 보호조치를 반드시 준수해야 합니다.
ISMS-P의 관련 요구사항
개인정보의 안전성 확보조치 기준 준수
개인정보 수집 시 보안성 있는 암호화 전송 및 저장
접근 통제 및 권한 관리
개인정보 국외 이전 관련 절차 준수
개인정보 처리 위탁에 대한 관리·감독
개인정보 처리를 외부 서비스에 맡길 경우 위탁계약 및 감독 조치 필요
구글폼 사용 시 문제점
구글폼은 다음과 같은 문제점이 있어, ISMS 및 ISMS-P 인증 기업에서 일반적으로 개인정보 수집 시 주의가 요구됩니다.
개인정보 해외 이전 이슈
구글폼은 수집된 개인정보를 대부분 해외(미국 등)의 서버에 저장합니다.
따라서 정보주체(이용자)에게 개인정보 해외 이전에 대한 명확한 고지 및 동의를 받아야 합니다. (개인정보보호법 제39조의12)
이용자 동의가 없다면 개인정보 국외 이전 자체가 위법하게 됩니다.
안전성 확보조치에 대한 관리 어려움
구글폼을 통한 개인정보 수집 및 저장 과정에서 기업이 직접적인 통제권을 갖기 어렵습니다.
접근 권한 관리, 접속기록 관리, 저장된 개인정보의 암호화 등 ISMS-P의 요구조건을 모두 충족하는지 관리가 어렵거나 명확히 입증하기 쉽지 않습니다.
처리 위탁계약 미체결 문제
개인정보 처리를 위탁할 경우(구글과 같은 제3자 서비스 활용 포함) 위탁계약 체결 및 감독조치가 필수적입니다.
구글폼과 별도의 계약 체결이 어렵고, 표준 약관만 제공하므로, 세부적인 위탁 관리·감독 의무를 이행하기 어려워 ISMS-P 심사에서 문제가 될 가능성이 있습니다.
구글폼을 쓰면서 ISMS-P를 준수할 방법은?
만약 구글폼을 써서 개인정보를 수집해야 한다면, 최소한 다음과 같은 조건을 갖춰야 합니다.
명확한 개인정보 국외 이전 고지 및 이용자 동의 획득 필수
수집하는 개인정보는 최소화(예: 주민등록번호 등 민감정보 금지)
중요 개인정보는 암호화 저장, 저장된 정보는 수시로 삭제하는 관리 절차 마련
구글폼 계정 접근 권한 최소화 및 관리
그러나 실제 ISMS-P 인증 심사 과정에서 심사원은 일반적으로 민감하거나 중요한 개인정보 수집 시 구글폼을 사용하는 것을 권장하지 않고 있습니다.
이렇게 하는 것을 권장해요
ISMS 및 ISMS-P 인증기업이라면, 개인정보 수집은 국내 클라우드 또는 자체 구축된 서비스(국내서버 기반) 활용을 권장합니다.
반드시 구글폼을 사용해야 하는 상황이라면 위의 준수 사항을 반드시 적용해야 하며, 개인정보 처리 방침 및 동의서에도 명확하게 기술해야 합니다.
결론
ISMS-P 인증기업이 구글폼을 절대 쓰면 안 되는 것은 아니지만, 실무적으로는 준수가 어려운 측면이 많기 때문에 추천하지 않습니다. 사용하려면 관련 법적 요건과 보호조치를 완벽하게 갖춰야 하며, ISMS-P 인증 심사 과정에서 면밀히 검토될 수 있으므로, 주의를 기울여야 합니다.
국내 서버에 빠르게 구축하는 우리 기업만의 폼빌더, 왈라는 어떠신가요?
ISMS-P 또는 ISMS 인증을 받은 기업이라도 반드시 구글폼(Google Forms)으로 개인정보를 수집하면 안 된다는 절대적인 규정은 없습니다. 하지만 개인정보 수집 시 ISMS-P 및 ISMS 인증 기준에 따라 다음과 같은 사항을 준수해야 하며, 이 때문에 구글폼 사용에 주의가 필요합니다.
법적 이슈는 아니지만 '관리적·기술적 보호조치' 준수가 핵심
ISMS(ISMS-P) 인증은 개인정보보호법 및 정보통신망법 등을 기반으로 기업이 정보보호 관리체계를 갖추고 있는지를 심사하는 것입니다. 특히 ISMS-P 인증의 경우 개인정보 보호조치에 대한 명확한 심사기준이 있으므로, 개인정보 수집·이용 과정에서 기술적·관리적 보호조치를 반드시 준수해야 합니다.
ISMS-P의 관련 요구사항
개인정보의 안전성 확보조치 기준 준수
개인정보 수집 시 보안성 있는 암호화 전송 및 저장
접근 통제 및 권한 관리
개인정보 국외 이전 관련 절차 준수
개인정보 처리 위탁에 대한 관리·감독
개인정보 처리를 외부 서비스에 맡길 경우 위탁계약 및 감독 조치 필요
구글폼 사용 시 문제점
구글폼은 다음과 같은 문제점이 있어, ISMS 및 ISMS-P 인증 기업에서 일반적으로 개인정보 수집 시 주의가 요구됩니다.
개인정보 해외 이전 이슈
구글폼은 수집된 개인정보를 대부분 해외(미국 등)의 서버에 저장합니다.
따라서 정보주체(이용자)에게 개인정보 해외 이전에 대한 명확한 고지 및 동의를 받아야 합니다. (개인정보보호법 제39조의12)
이용자 동의가 없다면 개인정보 국외 이전 자체가 위법하게 됩니다.
안전성 확보조치에 대한 관리 어려움
구글폼을 통한 개인정보 수집 및 저장 과정에서 기업이 직접적인 통제권을 갖기 어렵습니다.
접근 권한 관리, 접속기록 관리, 저장된 개인정보의 암호화 등 ISMS-P의 요구조건을 모두 충족하는지 관리가 어렵거나 명확히 입증하기 쉽지 않습니다.
처리 위탁계약 미체결 문제
개인정보 처리를 위탁할 경우(구글과 같은 제3자 서비스 활용 포함) 위탁계약 체결 및 감독조치가 필수적입니다.
구글폼과 별도의 계약 체결이 어렵고, 표준 약관만 제공하므로, 세부적인 위탁 관리·감독 의무를 이행하기 어려워 ISMS-P 심사에서 문제가 될 가능성이 있습니다.
구글폼을 쓰면서 ISMS-P를 준수할 방법은?
만약 구글폼을 써서 개인정보를 수집해야 한다면, 최소한 다음과 같은 조건을 갖춰야 합니다.
명확한 개인정보 국외 이전 고지 및 이용자 동의 획득 필수
수집하는 개인정보는 최소화(예: 주민등록번호 등 민감정보 금지)
중요 개인정보는 암호화 저장, 저장된 정보는 수시로 삭제하는 관리 절차 마련
구글폼 계정 접근 권한 최소화 및 관리
그러나 실제 ISMS-P 인증 심사 과정에서 심사원은 일반적으로 민감하거나 중요한 개인정보 수집 시 구글폼을 사용하는 것을 권장하지 않고 있습니다.
이렇게 하는 것을 권장해요
ISMS 및 ISMS-P 인증기업이라면, 개인정보 수집은 국내 클라우드 또는 자체 구축된 서비스(국내서버 기반) 활용을 권장합니다.
반드시 구글폼을 사용해야 하는 상황이라면 위의 준수 사항을 반드시 적용해야 하며, 개인정보 처리 방침 및 동의서에도 명확하게 기술해야 합니다.
결론
ISMS-P 인증기업이 구글폼을 절대 쓰면 안 되는 것은 아니지만, 실무적으로는 준수가 어려운 측면이 많기 때문에 추천하지 않습니다. 사용하려면 관련 법적 요건과 보호조치를 완벽하게 갖춰야 하며, ISMS-P 인증 심사 과정에서 면밀히 검토될 수 있으므로, 주의를 기울여야 합니다.
국내 서버에 빠르게 구축하는 우리 기업만의 폼빌더, 왈라는 어떠신가요?
Continue Reading
