개인정보 목적외 이용⋅제3자 제공절차안내

목적

  • 개인정보보호법 제18조(개인정보의 목적 외 이용․제공 제한)의 의무사항을 준수하고 적법한 처리절차를 마련하여 개인정보 유출 및 오남용을 방지하고자 함

관련근거

  • 개인정보보호법 제18조(개인정보의 목적 외 이용⋅제공 제한)
  • 개인정보보호법 시행령 제15조(개인정보의 목적 외 이용 또는 제3자 제공의 관리)
  • 표준 개인정보 보호지침 제9조(개인정보의 목적 외 이용 등)
  • 개인정보보호에 관한 예규 제8조(개인정보의 제공), 제9조(개인정보의 목적 외 이용 등)

다른 지침 등과의 관계

  • 외부기관 개인정보자료 제공 등에 관하여 다른 법령, 규정 또는 지침에서 특별히 정한 것을 제외하고는 이 지침에 의함

용어의 정의

  • “제3자”라 함은 정보주체와 개인정보처리자(공사)를 제외한 모든 자를 의미함(수탁자는 제외)
  • “제3자 제공”이란 개인정보의 저장매체 또는 개인정보가 담긴 출력물이나 책자 등의 물리적인 이전, 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 개인정보처리자와 제3자간의 정보 공유 등 개인정보처리자가 아닌 제3자가 개인정보를 처리할 수 있도록 하는 모든 행위(타기관 제공)를 말함.
  • “목적외 이용 및 제3자 제공”이란 개인정보처리자(공사)가 당초의 수집목적을 벗어나 다른 목적으로 개인정보를 이용하거나, 당초 수집목적을 벗어나 다른 목적으로 이용하기 위해 제3자에게 개인정보를 제공하는 것을 말함

판단기준

  • 목적의 정당성 : 구체적으로 어떠한 목적을 위하여 당해 개인 정보가 필요한지?
  • 수단의 적정성 : 당해 개인정보를 제공함으로써 당해 공익목적을 달성할 수 있는 것인지?
  • 피해의 최소성 : 목적달성을 위해 필요한 최소한의 정보는 어디까지인지?
  • 법익의 균형성 : 제공에 따른 이익과 정보주체가 받을 수 있는 예상피해를 비교하여 전자가 우월하다고 할 수 있는지 여부 판단
    • 목적의 정당성, 수단의 적정성, 피해의 최소성, 법익의 균형성에 대하여 종합적으로 검토한 후 필요한 최소한의 범위내에서 제공

요청기관의 적격 여부 확인

  • 요청기관의 개별법에 자료요청의 근거조항이 구체적으로 명시된 경우 제공 가능
  • 요청기관의 개별법에 자료요청 근거법이 없는 경우 정보주체의 동의가 있었는지 여부 등 예외적 제공가능 사항에 해당되는지 확인한 후 제공여부 결정

제공항목 판단

  • 공사가 수집한 정보여부 확인
    • 공사가 직접 수집⋅생산한 정보가 아닌 경우 자료제공 불가
      단, 정보주체의 동의가 있는 경우 제공 가능
    • 요청 목적에 부합하는 최소항목만 제공(개인정보 최소제공 원칙)
  • ‘주민등록번호’는 법령(법률, 시행령, 시행규칙)에서 처리를 구체적으로 요구(허용)하도록 규정되어 있는 경우만 제공 가능

제공기준

  • 수집목적 범위내에서 제공하는 경우(법 제17조)

    1) 정보주체의 동의를 받은 경우
    2) 법 제15조 제1항 제2호⋅제3호 및 제5호에 따라 개인정보를 수집한 목적 범위내에서 개인정보를 제공하는 경우
    「개인정보보호법」 제15조(개인정보의 수집⋅이용) 제1항
    2호. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 필요한 경우
    3호. 공공기관리 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우
    5호. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

  • 수집목적 외의 용도로 제공하는 경우(법 제18조)
    • 기본원칙
      • -「개인정보보호법」 제17조(개인정보의 제공) 제1항 및 제3항의 범위를 초과하여 제3자에게 제공하여서는 아니 되나, 「개인정보보호법」 제18조 제2항 각 호에 해당하는 다음의 경우에는 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외하고는 예외적으로 제공 가능함

    • [개인정보의 제공] 제17조

      제1항 개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한 다. 이하 같다)할 수 있다
      제2항 개인정보처리자는 제1항 제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
      1호. 개인정보를 제공받는 자
      2호. 개인정보를 제공받는 자의 개인정보 이용 목적
      3호. 제공하는 개인정보의 항목
      4호. 개인정보를 제공받는 자의 개인정보 보유 및 이용기간
      5호. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
      제3항 개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.

      [예외사유] 제18조 제2항

      1) 정보주체로부터 별도의 동의를 받는 경우
      정보주체에게 법 제18조 제3항에 따라 개인정보를 제공받는 자 등을 알리고 동의를 받아야 함
      2) 다른 법률에 특별한 규정이 있는 경우
      법률에서 개인정보의 제공을 구체적으로 요구하거나 허용하고 있는 경우
      3) 명백히 정보주체 또는 제3자의 생명, 신체, 재산의 이익에 필요한 경우
      4) 통계작성 및 학술연구 목적에 필요한 경우로 특정개인을 알아볼 수 없는 형태로 제공하는 경우
      5) 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로 보호위원회의 심의·의결을 거친 경우
      6) 조약, 기타 국제협정 이행을 위해 외국정부 등에 제공하기 위해 필요한 경우
      7) 범죄수사 및 공소제기·유지에 필요한 경우
      8) 법원의 재판업무 수행에 필요한 경우
      9) 형 및 감호, 보호처분 집행에 필요한 경우

업무의 일부 또는 전부를 위탁하는 경우(법 제26조)

  • 개인정보 처리 업무를 위탁하는 경우 위탁업무의 목적 등이 포함된 문서에 의하여야 하며 위탁사항에 구체적으로 표기된 범위내에서 제공
    • 위탁자(공사)의 이익을 위해 처리하는 경우 업무위탁에 해당되며 개인정보를 제공 받는 제3자의 이익을 위해 처리하는 경우에는 제3자 제공에 해당됨

업무처리 절차

구 분내 용대 상
요 청공공기관 등 개인정보 제공 요청
  • 전자문서 접수 원칙(우편 또는 팩스 등 오프라인으로 접수한 경우 원본서류 스캔하여 전자결재 득한 후 처리)
  • 법적근거 및 요청목적, 항목, 이용기간 확인
  • 신청인 신분증 및 요청기관 근무여부 등 확인
제3자
타 당 성 검 토목적외 이용⋅제3자 제공이 가능한 경우에 해당되는 지 검토
  • 법적 근거, 개인정보 제공항목 및 범위 등 적정성
  • 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없고 법 제18조제2항 각 호에 해당하는 경우 제공 가능
  • 이 외는 정보주체 사전 동의 필요
개인정보보호책임자
개인정보보호담당자
개인정보취급자
개인정보 제 공
  • 전자결재 문서 제공 원칙
  • 필요 최소한의 범위 이내로 제한 제공 (이용 목적, 이용 방법, 이용 기간, 이용 형태)
  • 공문서(회신 문서) 내 안전성 확보조치 표기
개인정보보호책임자
개인정보보호담당자
제공내역 기록⋅공개
  • 개인정보 목적외 이용 및 제3자 제공대장 기록 관리
  • 공사 홈페이지 개인정보처리방침 제3자 제공현황 게재 공개
개인정보보호담당자
부서별 개인정보취급자

자료 제공 및 이용 업무처리 기준

  • 요청절차의 적정성 확인
    • 문서 접수
      • - 개인정보 제공 요청은 요청기관의 장으로부터 공문서로 접수
      • - 문서는 전자문서 접수를 원칙
        • ※ 우편 또는 팩스 등 오프라인으로 접수한 경우 원본서류를 스캔하여 전자결재를 득한 후 처리
      • - 제공요청 문서 접수 시 필수 확인사항
      • 1) 요청하는 법률 근거(정보주체의 동의를 받은 경우 동의여부 확인)
        2) 요청 목적
        3) 요청하는 개인정보 항목
        4) 이용 기간
    • 신청인 등 확인
      • - 전자문서 : 신청인 확인절차 생략
      • - 내 방 : 신분증 확인 및 요청기관 근무여부 확인
      • - 팩스⋅우편 등 : 담당자 신분증 사본 접수 및 요청기관 근무여부 확인
  • 자료제공 항목 판단
    • 공사가 수집한 정보여부 확인
      • - 공사가 직접 수집⋅생산한 정보에 한하여 제공
      • - 공사가 다른 기관으로부터 입수⋅활용하는 정보는 제공불가
        • 단, 정보주체로부터 별도의 동의를 받았거나 다른 법률에 특별한 규정이 있는 경우에는 제공 가능
    • 요청목적에 부합하는 최소 항목만 제공(개인정보 최소 제공의 원칙)
      • - 자료제공 요청항목이 요청목적과 부합하지 않거나 과도한 경우 해당 항목은 제외하고 필요한 최소 범위 내 제공
      • - 제공항목을 나열하고 있는 경우 해당 항목에 한하여 제공
    • 타 기관으로부터 위탁받은 업무의 경우 업무범위를 초과하여 자료제공 불가
  • 제공받는자의 이용제공 제한(자료제공 여부 및 범위 판단)
    • 정보주체의 동의를 받아 제공하는 경우(법 제18조 제2항 제1호)
      • - 반드시 정보주체의 동의를 받아야 하므로 배우자 등 가족의 개인정보까지 요청하는 경우 가족 개개인의 동의 여부 확인
      • - 제3자 제공에 대한 동의를 받아야 하는 시점에 특별한 제한은 없으나 최초 수집할 당시 제3자 제공에 대한 동의를 받는 경우에는 수집⋅이용에 대한 동의와 별도로 구분해서 동의를 받아야 함
      • - 요청기관이 정보주체의 동의를 받은 경우 요청기관으로부터 동의서를 전수 제출받아 확인 후 제공
        • · 동의서에 기재된 자료제공 항목 범위내에서 제공
        • · 단, 공공기관 또는 국가기관에 한하여 요청대상자 모두로부터 동의를 받았다는 내용이 문서 본문에 기재된 경우 동의서 샘플 확인 후 제공
          • ※ 1회 요청자료가 100건 미만 : 동의서 전수 제출받아 확인 후 제공
          • ※ 1회 요청자료가 100건 이상 : 요청대상 건수의 20%이상의 동의서 샘플을 제출 받아 전체 동의여부 확인 가능
      • - 정보주체의 동의를 받아 제공하는 경우 「개인정보보호법」 제18조 제3항에 따른 의무사항 반드시 준수
        • · 공사에서 정보주체의 동의를 받아 제공하는 경우에는 정보주체에게 제공받는 자, 이용목적, 이용기간 등 법 제18조 제3항에 따른 필수 고지사항을 알려주어야 함
        • · 요청기관에서 정보주체의 동의를 받아 제공하는 경우에는 동의서에 법 제18조 제3항에 따른 필수 고지사항 기재 여부 반드시 확인 후 제공
        • · ‘주민등록번호’는「개인정보보호법」제24조의2에 의거 정보주체의 동의를 근거로 제공(법령의 근거로만 제공 가능)할 수 없음(시행일 2014.8.7.)
        【법 제18조 제3항에 따른 필수 고지사항】
        1) 개인정보를 제공받는 자
        2) 개인정보를 제공받는 자의 개인정보 이용 목적
        3) 제공하는 개인정보 항목
        4) 개인정보를 제공받는 자의 개인정보 보유 및 이용기간
        5) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

    • 다른 법률에 특별한 규정이 있는 경우(법 제18조 제2항 제2호)
      • - 자료제공 관련법 유무 확인
        • · 개별법에 이용기관, 이용목적, 이용하는 개인정보의 항목 등을 구체적으로 명시한 특별한 규정이 있는 경우
        • · 자료제출 요구 등에 따라야 하는 법적 의무·강제 또는 불응 시 제재 규정이 있는 경우
        【"다른 법률에 특별한 규정”으로 볼 수 없는 경우】
        제19조(보고 또는 자료 등의 제출 요구) 처장은 필요하다고 인정하면 각 단체에 보고를 하게 하거나 서류 또는 그 밖의 자료의 제출을 요구할 수 있다.

        【"다른 법률에 특별한 규정”으로 보는 경우】
        제74조의 8(자료제출 요구권 등) ①보훈 심사위원회는 제74조의5
        제1항 각 호의 사항에 대한 심의·의결과 관련하여 필요하다고 인정하면 다음 각호에 해당하는 자에게 관련자료의 제출을 요구하거나 이미 제출된 자료에 대하여 보완 또는 추가를 요구 할 수 있다.
        이 경우 자료의 제출 등을 요구받은 자는 특별한 사유가 없으면 이에 응하여야 한다.
      • - 요청목적의 적정여부 확인
        • · 개별법령에서 정한 이용목적 및 요청항목과 요청목적이 부합하지 않는 경우 제공 불가
        • · 개별법령에 이용목적이 한정되어 있거나 제공항목을 열거하고 있는 경우에는 해당 목적 및 항목에 한해 제공
    • 법 제18조 제2항 제3호부터 제6호까지의 경우에 대한 제3자 제공여부 판단
      • - 개인정보의 제공목적, 내용, 형태, 관련 근거법 등을 고려하여 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 없는지 여부 등을 종합적으로 판단하여 제공
    • 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우(법 제18조 제2항 제7호)
      • - ②번 항목의 “다른 법률에 특별한 규정이 있는 경우”의 자료 제공 기준에 준하여 판단
      • - 수사 등의 목적으로 개인정보 제공을 요청받은 경우에도 무조건 제공해야 하는 것은 아니므로 영장, 사건번호, 접수번호 등을 확인 후 자료제공 여부를 판단
        • ※ 범죄의 형태와 경중, 정보주체가 받을 불이익의 정도 등 제반사정을 종합적으로 고려하여 개인정보 이용이 없이는 수사목적을 달성 할 수 없는 경우에 한하여 제한적으로 제공 가능하나 요청기관과 협의하여 자료 제공범위 등 결정
        - 불특정 다수의 개인정보를 제공할 경우 정보주체 또는 제3자의 권익 (인권)이 부당하게 침해될 소지가 있음
        - 수사기관에서 영장을 제시하거나 법원에서 요청하는 경우에는 영장의 구속력에 따라 제공 가능하나 자료 요청자와 협의하여 최소한의 범위로 자료 제공

        【수사, 공소제기 및 유지를 위한 경우의 예외 및 한계 필요성】
        - 범죄수사, 공소제기⋅유지, 형 집행 등의 형사절차에 「개인정보보호법」을 그대로 적용할 경우, 수사기밀이 유출되거나 정보주체의 정보공개⋅정정요구 등으로 수사에 장애를 초래하여 범죄예방과 처단이 불가능해질 우려가 있음
        - 수사가 종결되어 공소가 제기되면 정보주체는 법원에서 자유롭게 수사기록을 열람하여 자신의 정보를 확인하는 것이 가능하고, 불기소처분 된 경우는 정보공개청구를 통해 정보주체가 자신의 정보를 열람할 수 있으므로, 형사절차와 관련하여서는 「개인정보보호법」을 적용하지 아니하더라도 정보주체의 정보보호에 소홀한 점이 없음
        - 다만, 범죄수사 등을 위한 경우라 하더라도 정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있는 경우에는 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공할 수 없음
    • 법원의 재판업무 수행을 위하여 필요한 경우(법 제18조 제2항 제8호)
      • - ②번 항목의 “다른 법률에 특별한 규정이 있는 경우”의 자료 제공기준에 준하여 판단
      • - 법원의 문서제출명령서, 사실조회, 문서송부촉탁 등에 의해 정보주체의 동의 없이 목적 외로 제공 가능
    • 형 및 감호, 보호처분의 집행을 위하여 필요한 경우(법 제18조 제2항 제9호)
      • - ②번 항목의 “다른 법률에 특별한 규정이 있는 경우”의 자료 제공기준에 준하여 판단

자료 이용 및 제공 방법

  • 업무처리 절차
    • 문서 접수부서에서“II. 제공기준”에 의하여 자료제공 여부를 판단 후 부득이한 경우를 제외하고는 전자결재에 의한 문서회신을 원칙으로 함
      • - 회신문서에는 다음 사항을 반드시 기재
      • 【회신문서의 필수 기재사항】
        - 이용목적, 이용방법, 이용기간, 이용형태의 제한사항
        - 개인정보의 안전성 확보를 위해 필요한 구체적인 조치사항
        ※ 표준 회신문안
          · 공사의 자료는 개인의 사생활과 밀접한 관련이 있는 개인정보이므로 「개인정보보호법」등에 맞게 이용 및 관리하시기 바랍니다.
          · 요청 목적 외의 용도로 이용하거나, 정보주체의 동의 없이 다른 기관에 재제공하는 행위는 금지됩니다.
          · 개인정보를 제공받은 목적이 달성된 후에는 반드시 ‘완전파기’하는 등 「개인정보보호법」에 따라 안전성 확보를 위한 조치를 해주시기 바랍니다.
      • - 관련업무 처리 후 PC에 개인정보 자료가 저장된 경우 지체없이 (업무목적 달성 후 5일 이내) 삭제
  • 자료제공 방법
    【기본원칙】
    - 전자결재 문서에 의해 제공함을 원칙으로 하되, 부득이한 경우 보조 기억매체(USB, CD, 디스켓 등) 및 모사전송, 우편, 이메일로 제공 가능
      ※ 우편을 이용하는 경우 배달증명으로 발송
      ※ 이메일에 의한 자료 제공 시 업무용 PC에서 사용하는 문서작성 도구(한글, 엑셀 등)의 자체 암호화 기능 등을 통하여 개인정보파일을 암호화한 후 제공
    - 자료제공 시 반드시 내부결재를 득한 후 제공
    • 전자결재 문서에 의한 정보통신망을 이용하여 제공하는 경우
      • - 개인정보를 엑셀 등 첨부파일 형태로 제공하되, 반드시 암호화 조치하여 송부하고 암호는 유선 등의 방법으로 별도 통보
        • ※ 문서 본문에 개인정보 및 비밀번호를 표기하여 제공하는 것은 불가
    • 엑셀 등 문서 출력물에 의해 직접 전달하는 경우
      • - 자료 제공 시 요청기관의 담당자 또는 직상급자에게 직접 전달
        • ※ 수령자 인적사항 등을 반드시 확인하여 기록 관리
    • 보조기억매체(USB, CD, 디스켓 등)를 이용하여 제공하는 경우
      • - 제공되는 개인정보 자료는 반드시 암호화 조치
      • - 공사 직원이 직접 출장하여 제공하는 경우
        • · 자료 제공 시 요청기관의 담당자 또는 직상급자에게 직접 전달
        • · 자료 전달 완료 후 반출된 보조기억매체에 저장된 자료는 즉시 삭제
      • - 요청기관 직원이 공사를 방문하여 제공하는 경우
        • · 제공되는 개인정보 자료는 암호화 조치
        • · 반출된 보조기억매체는 요청기관의 제공자료 확인 조치 후 즉시 회수하여 저장된 개인정보 삭제 처리
    • 기타의 방법에 의해 자료제공이 필요한 경우는 안전성 조치 등에 대해 개인정보보호 담당자와 협의를 거쳐 제공

안전성 확보조치 방안

  • 개인정보 자료 제공은 문서로 시행되어야 하며, 문서에 제공목적 이외의 이용금지, 사용목적 달성 후 폐기, 사후관리 실태확인 등의 안전성 확보 조치 문구를 표기하여 시행
    • 제공받은 개인정보 자료는 제공받은 목적 외의 용도로 이용하거나 제3자에게 제공할 수 없음(개인정보보호법 제19조)
  • 이 경우 요청을 받은 자(제3자)는 개인정보의 안전성 확보를 위하여 필요한 조치를 하여야 함.

관리대장 기록·관리 방안 및 사실의 공개

  • 목적외의 용도로 외부기관 등에 제공한 부서는 자료제공 내역을 ‘개인정보의 목적외 이용 및 제3자 제공 대장(붙임)’에 반드시 기록⋅관리
    • 개인정보취급부서에서는 제공건수가 없는 경우라도‘목적외 이용 및 제3자 제공 대장’비치
  • 또한 제공한 날로부터 30일 이내에 공사 개인정보담당자에게 통보하여 홈페이지 개인정보처리방침 제3조(개인정보의 제3자 제공)에 기재하여 공개할 수 있도록 조치
    • 필수기재사항 : 파일명칭, 제공받는 자, 제공목적, 근거, 제공항목, 제공받는 자, 보유기간