인증기준
- 법령에 따라 보존해야 하는 경우 최소한의 항목으로 제한하고 별도 분리 저장·관리해야 합니다.
주요 확인사항
- 다른 법령 근거에 따라 보존 시 별도 DB 또는 테이블로 분리 보관하는지 확인합니다.
- 분리 보관된 정보에 대한 접근 권한을 최소화하여 관리하는지 점검합니다.
세부 설명
- 전자상거래법(5년), 통신비밀보호법(3개월) 등 관련 법령의 최소 기간을 준수해야 합니다.
- 분리 보관 정보를 마케팅 등 다른 목적으로 활용해서는 안 됩니다.
결함 사례
- 사례 1 : 탈퇴 회원 정보를 파기하지 않고 일반 회원과 동일한 테이블에서 상태값만 변경한 경우.
- 사례 2 : 분리 보관 DB에 대한 접근 권한을 제한하지 않아 누구나 접근 가능한 경우.