대한민국 No.1 직영중고차 KCar

3.1 개인정보

살아 있는 개인에 관한 정보로서 성명, 주민등록번호 등을 통해 개인을 식별할 수 있는 정보(해당 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 결합하여 식별할 수 있는 것을 포함)를 말한다.

<개인정보 예시>

3.2 정보주체

해당 개인정보에 의해 식별되는 특정 개인을 말한다.

3.3 개인정보 처리

개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄) 등의 행위를 말한다.

3.4 민감정보

사상∙신념, 노동조합∙정당의 가입∙탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 유전자검사 등의 결과로 얻어진 유전정보나 그 밖에 개인의 사생활을 침해할 우려가 있는 개인정보를 말한다.

3.5 고유식별정보

주민등록번호, 여권번호, 운전면허의 면허번호, 외국인등록번호를 말한다

3.6 생체정보 및 생체인식정보

지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보 또는 그로부터 가공되거나 생성된 정보를 말한다.

3.6-1 위치정보

이동성이 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보를 말한다.( 위치정보의 보호 및 이용 등에 관한 법률 제2조)

3.7 개인정보처리시스템

개인정보가 처리되는 데이터베이스시스템을 말한다

3.8 내부망

물리적 망 분리, 접근통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.

3.9 접속기록

개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 계정, 접속 일시, 접속자, 수행업무 등 접속한 사실을 기록한 것을 말한다.

3.10 P2P(Peer to Peer)

정보통신망을 통해 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.

3.11 이동저장매체

이동형 하드디스크(HDD), USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 분리 이동할 수 있는 저장매체를 말한다.

3.12 개인정보의 제공

개인정보의 저장매체 또는 개인정보가 담긴 출력물이나 책자 등의 물리적 이전, 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 제3자의 개인정보 공유 등 개인정보의 이전과 공동으로 이용하는 것을 말한다.

3.13 제3자

정보주체 또는 그의 법정대리인으로부터 개인정보를 실질적∙직접적으로 수집∙보유한 모든 자를 의미하며, 수탁자는 제외한다.

3.14 이용자

회사가 제공하는 정보통신 서비스를 이용하는 자를 말한다.

3.15 개인정보 및 위치정보 처리자(이하 “개인정보처리자”)

업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보 및 위치정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. 본 계획에서는 회사를 말한다.

3.16 개인정보 보호책임자 및 위치정보 관리책임자(이하 “개인정보 보호책임자”)

개인정보처리자의 개인정보 및 위치정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자를 말한다.

3.17 정보보호관리자

개인정보보호책임자가 업무를 수행함에 있어 보조적인 역할을 하는 자를 말하며 개인정보보호책임자가 일정 요건의 자격을 갖춘 이를 지정한다.

3.18 개인정보취급자

개인정보처리자의 지휘ㆍ감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 범위를 최소한으로 제한하고, 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 말하며, 정규직 이외에 임시직, 파견근로자, 시간제근로자 등이 포함될 수 있다.

3.19 비밀번호

이용자 및 정보주체, 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

3.20 망분리

외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.

3.21 모바일 기기

스마트폰, 태블릿PC 등 무선망을 이용할 수 있는 휴대용 기기를 말한다.

3.22 위험도 분석

개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별ㆍ평가하고 해당 위험 요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.

4.1 개인정보보호책임자

• (1) 회사는 개인정보 보호법 시행령 제32조 제3항에 따라 해당하는 지위에 있는 자를 개인정보보호책임자로 임명한다.
  • 1) 임원
  • 2) (임원이 없는 경우) 개인정보와 관련하여 이용자의 고충처리를 담당하는 부서의 장
• (2) 개인정보보호책임자는 정보주체의 개인정보 보호를 위하여 다음 각 호의 업무를 수행한다.
  • 1) 개인정보보호 계획과 관리를 총괄 담당한다.
  • 2) 개인정보보호지침 및 관련 규정을 검토한다.
  • 3) 개인정보침해 사고 발생에 대한 분석 및 사후관리를 총괄한다.
  • 4) 개인정보보호 관련 통계 및 자료를 취합, 관리한다.
  • 5) 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선을 총괄한다.
  • 6) 개인정보 처리에 관한 업무를 총괄한다.
  • 7) 개인정보 처리와 관련한 불만의 처리 및 피해 구제를 총괄한다.
  • 8) 개인정보 유출 및 오용ㆍ남용 괄지를 위한 내부통제시스템의 구축을 총괄한다.
  • 9) 개인정보 보호 교육 계획을 수립 및 시행한다.
  • 10) 이용자 및 정보주체의 개인정보 보호 및 관리 및 감독을 총괄한다.
  • 11) 개인정보 처리방침을 수립ㆍ변경 및 시행한다.
  • 12) 개인정보 보호 관련 자료의 관리를 총괄한다.
  • 13) 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기를 총괄한다.
  • 14) 기타 개인정보보호 활동 및 세부수행 사항은 각 지침을 따른다.
• (3) 개인정보보호책임자는 업무를 수행함에 있어서 필요한 경우 개인정보 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
• (4) 개인정보보호책임자는 개인정보 보호와 관련하여 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 그 사실을 회사 대표이사에게 보고하여야 한다.

4.2 정보보호관리자

• (1) 개인정보보호 계획 및 방침을 수립, 관련지침 개정에 대한 검토 후 개인정보보호책임자에게 보고한다.
• (2) 개인정보침해 사고에 대하여 분석, 대응한다.
• (3) 개인정보처리 실태 관리 결과 및 각종 자료를 취합한다.
• (4) 개인정보보호 관련 업무 전반을 관리한다.
• (5) 기타 개인정보보호 활동 및 세부수행 사항은 각 지침을 따른다.
• (6) 개인정보보호책임자로부터 위임 받은 업무를 처리한다.
• (7) 기타 개인정보보호책임자가 지시하는 개인정보보호에 관한 업무를 처리한다.

4.3 개인정보취급자 및 제3자

• (1) 개인정보취급자의 범위는 다음과 같다.
  • 1) 회사내에서 정보주체의 개인정보를 처리하는 업무를 수행하는 자를 말하며, 정규직 이외에 임시직, 파견근로자, 시간제근로자 등 포함될 수 있다.
• (2) 개인정보취급자는 직무상 알게 된 개인정보를 훼손ㆍ침해 또는 유출하거나 권한 없이 처리하거나, 타인의 이용에 제공하는 등 부당한 목적을 위하여 사용하여서는 안 된다.
• (3) 개인정보취급자는 처리하는 개인정보가 훼손ㆍ침해 또는 유출되지 않도록 개인정보보호지침에 따라 안전하게 취급하여야 한다.
• (4) 개인정보취급자의 역할과 책임은 다음과 같다.
  • 1) 개인정보보호 교육 및 훈련, 점검 등에 적극적으로 참여한다.
  • 2) 개인정보보호지침을 준수 및 이행한다.
  • 3) 개인정보의 기술적ㆍ관리적 보호조치 기준을 이행한다.
  • 4) 소속 직원 또는 제 3 자에 의한 위법‧ 부당한 개인정보 침해행위에 대한 점검 등을 수행한다.
  • 5) 업무상 알게 된 개인정보를 제 3 자에게 제공 및 발설 금지한다.

5.1 개인정보의 수집

• 5.1.1 개인정보의 수집 범위

  • (1) 다음의 경우에 개인정보를 수집하고, 그 수집 목적의 범위에서 이용한다.
    • 1) 정보주체로부터 사전에 동의를 받은 경우
    • 2) 법률에서 개인정보를 수집·이용할 수 있음을 구체적으로 명시하거나 허용하고 있는 경우
    • 3) 정보주체와 계약 체결을 위한 준비 단계, 계약 체결 시, 체결된 계약 내용에서 정보주체에 요청에 따른 조치 이행을 위해 개인정보의 수집•이용이 불가피한 경우
    • 4) 정보주체 또는 제3자(정보주체를 제외한 그 밖의 모든 자를 말한다.)의 생명, 신체, 재산에 대한 피해를 방지해야 할 급박한 상황이나, 정보주체와 연락을 취할 수 없는 경우
  • (2) 법정대리인 또는 위임자를 통해 개인정보를 수집하는 경우 이를 증명할 수 있는 서면(주민등록등본, 가족관계증명서, 위임장 등)을 확인할 수 있다.
  • (3) 정보주체로부터 직접 명함 또는 그와 유사한 매체(이하 명함 등이라 함)를 제공받은 경우, 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용한다.
  • (4) 공중위생 등 공공의 안정과 안녕을 위하여 긴급히 필요한 경우

• 5.1.2 개인정보의 수집 제한

  • (1) 기본적인 인권에 관한 민감한 개인정보를 수집하는 것을 금지한다. 다만, 정보주체의 자발적•명시적 동의 또는 수집 대상 개인정보가 명시되어 있는 법률에 근거한 경우에는 수집을 허용한다.
  • (2) 개인정보 취급자는 정보주체의 개인정보를 수집하는 경우, 적법하고 공정한 수단에 의하여 서비스 제공에 직접적으로 관련되어 필요한 성명, 연락처, 주소 등 최소한의 정보를 수집한다.

• 5.1.3 개인정보처리방침의 공개

  • (1) 정보주체가 제공한 개인정보의 보호 방안과 회사의 개인정보 파일 관리 방안 등을 포함하고 있는 개인정보처리방침을 수립하고 해당 홈페이지에 게재한다.
  • (2) 개인정보 처리방침은 웹사이트 초기화면 등에 게재하여 이용자가 쉽게 찾아볼 수 있도록 위치하여 관련 내용을 공개한다.
  • (3) 개인정보 처리방침을 수립하거나 변경하는 경우에는 인터넷 홈페이지를 통해 지속적으로 게재하며 이 경우 개인정보 처리방침이라는 명칭을 사용하되, 글자 크기, 색상 등을 활용하여 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 한다.
  • (4) 개인정보 처리방침을 작성할 때에는 다음 각 호의 사항을 모두 포함해야 한다.
    • 1) 개인정보의 수집목적 및 이용목적
    • 2) 개인정보의 보유 및 이용기간
    • 3) 개인정보의 제 3 자 제공에 관한 사항
    • 4) 개인정보처리의 위탁에 관한 사항
    • 5) 정보주체의 권리·의무 및 그 행사방법에 관한 사항
    • 6) 개인정보의 수집항목
    • 7) 쿠키에 의한 개인정보 수집
    • 8) 개인정보의 파기에 관한 사항
    • 9) 개인정보의 안전성 확보 조치에 관한 사항
    • 10) 개인정보책임자 및 개인정보 관련 불만처리에 관한 사항
    • 11) 고지의 의무
    • 12) 민감정보의 공개 가능성 및 비공개를 선택하는 방법
  • (5) 개인정보 처리방침의 변경
    • 1) 개인정보처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전•후를 비교하여 공개한다.
  • (6) 개인정보보호책임자는 회사의 개인정보처리방침이 검토시점 기준으로 개인정보처리실태를 정확하게 반영하고 있는지를 수시로 점검하여 개정이 필요한 경우 개정한다. 개정된 방침은 모든 이용자 및 정보주체에게 공지하고 유예기간을 고려하여 적용한다.

• 5.1.4 개인정보의 수집∙이용 동의

  • (1) 개인정보의 수집과 이용을 위하여 정보주체의 동의를 받고자 하는 경우에는 기본적인 재화 또는 서비스의 제공을 위하여 반드시 필요한 최소한의 개인정보와 부가적인 재화 또는 서비스의 제공을 위하여 필요한 최소한의 개인정보를 구분하여 정보주체에게 알리고 동의를 받는다.
  • (2) 개인정보를 처리하기 위하여 정보주체의 동의를 얻고자 하는 경우에는 정보주체의 동의가 필요한 경우와 필요하지 않은 경우를 구분하고, 후자의 경우에는 정보주체의 동의 없이 개인정보를 처리할 수 있다는 점과 그 사유를 알린다.
  • (3) 정보주체로부터 별도의 동의를 받고자 하는 경우에는 정보주체가 다른 개인정보 처리의 목적과 별도로 동의여부를 표시할 수 있도록 조치를 취하고 동의를 받는다.
  • (4) 정보주체에게 개인정보를 제공받는 자를 알리거나 이에 대한 동의를 받을 경우 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알린다.
  • (5) 전화에 의한 동의와 관련하여 통화내용을 녹취할 때에는 녹취 사실을 정보주체에게 알린다.
  • (6) 고유식별정보는 관련 법률에 수집근거가 있는 경우에만 수집하여야 한다.
  • (7) 민감정보를 수집하는 경우 그 외 개인정보와 구별하여 별도 동의를 받는다.
  • (8) 민감정보가 포함됨으로써 사생활 침해의 위험성이 존재할때에 정보주체에게 민감정보 공개 가능성 및 비공개를 선택하는 방법을 알린다.

5.2 개인정보의 이용

• 5.2.1 개인정보의 이용 범위

  • (1) 개인정보의 이용 시 동의 받은 처리 및 수집 목적 범위 또는 계약서에 명시된 범위를 넘어 이용하거나 제3자에게 제공하여서는 안 된다. 다만, 법령에 특별한 규정이 있는 경우는 가능하다.
  • (2) 정보주체의 동의가 있거나 법령에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 제3자에게 제공하여서는 안 된다.

• 5.2.2 개인정보의 제공

  • (1) 개인정보가 저장된 파일 또는 기록 문서를 외부에 제공하는 경우, 부서별 정보보호 관리자는 이에 대한 이력을 기록하여 관리하고, 파일은 암호화하고 기록 문서는 필요한 최소한의 개인정보를 담아 안전하게 제공될 수 있도록 한다.
  • (2) 정보통신망을 통한 개인정보 전송 시 전용통신망 또는 암호화된 전송구간을 통해 안전하게 전송한다.

• 5.2.3 개인정보 조회 및 다운로드

  • (1) 개인정보처리시스템 및 응용프로그램에서 대량의 개인정보를 조회하거나 다운로드 하는 경우 부서장의 승인을 득해야 한다.
  • (2) 다운로드하는 개인정보에 대해 반드시 필요한 경우를 제외하고, 고유식별정보 및 민감정보는 일부가 보이지 않도록 마스킹 처리를 한다.
  • (3) 다운로드하여 저장되는 개인정보 파일은 문서보안 기능을 통해 암호화된 형태로 저장한다.
  • (4) 개인정보를 다운로드한 것이 발견된 경우에는 그 사유를 반드시 확인하여야 한다.

• 5.2.4 개인정보취득자에 대한 감독

  • (1) 개인정보취급자의 개인정보처리범위는 업무상 필요한 한도 내에서 최소한으로 제한하여야 한다
  • (2) 개인정보취급자는 보안준수약정서를 작성 제출하고 주기적으로 개인정보보호 교육을 이수하고 필요 시 비정기 교육을 이수하여야 한다.
    • 1) 개인정보보호책임자는 정보주체 개인정보보호에 대한 직원들의 인식제고를 위해 노력해야 하며, 개인정보의 오ㆍ남용 또는 유출 등을 적극 예방하기 위해 임ㆍ직원을 대상으로 매년 정기적으로 개인정보보호 교육을 실시한다.
    • 2) 개인정보보호 교육에는 다음의 내용이 포함될 수 있다.
      • ① 개인정보 보호의 중요성
      • ② 개인정보보호지침의 제ㆍ개정에 따른 준수 및 이행
      • ③ 위험 및 대책이 포함된 조직 보안 정책, 보안지침, 지시 사항, 위험관리 전략
      • ④ 개인정보처리시스템의 안전한 운영ㆍ사용법(하드웨어, 소프트웨어 등)
      • ⑤ 개인정보의 안전성 확보조치 기준
      • ⑥ 개인정보 보호업무의 절차, 책임, 방법
      • ⑦ 개인정보 처리 절차별 준수사항 및 금지사항
      • ⑧ 개인정보 유ㆍ노출 및 침해신고 등에 따른 사실 확인 및 보고, 피해구제 절차 등
    • 3) 교육 방법은 집체 교육뿐만 아니라, 인터넷 교육, 그룹웨어 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 외부 전문기관이나 전문요원에 위탁하여 교육을 실시한다.
    • 4) 개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 변경된 사항이 있는 경우, 개인정보보호책임자는 수시 교육을 실시할 수 있다.
  • (3) 인사이동, 퇴직 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소하고, 권한 부여 및 변경 또는 말소에 대한 내역을 기록하여, 그 기록을 최소 5년간 보관한다.
  • (4) 개인정보처리시스템에 대한 접근권한을 업무의 성격에 따라 당해 업무수행에 필요한 최소한의 범위로 업무담당자에게 차등 부여하고, 접근권한을 관리하기 위한 조치를 취한다.
  • (5) 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한개의 사용자 계정을 발급해야 하며, 다른 개인정보취급자와 공유되지 않도록 한다.
  • (6) 개인정보처리시스템 담당자는 권한이 있는 허가자만이 개인정보처리시스템에 접근할 수 있도록 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.

5.3 개인정보의 저장

• 5.3.1 개인정보의 시스템 저장

  • (1) 개인정보를 저장하는 시스템 구축 시, 구축부서는 정보보호 관리자에게 보안성 검토를 요청하여 검토 결과에 따라 보안대책을 적용해야 한다.
  • (2) 시스템에 저장되는 개인정보 항목 중 계정의 패스워드, 고유식별정보, 생체정보 및 생체인식정보의 경우 반드시 암호화하여 저장하며, 필요 시 개인정보보호책임자가 정하는 정보는 암호화 할 수 있도록 한다.
  • (3) 개인정보가 저장된 시스템은 출입통제가 이루어지는 별도 공간에 위치해야 한다.
  • (4) 위치정보는 「위치정보의 보호 및 이용 등에 관한 법률」제16조제2항에 따라 위치정보 이용·제공사실 확인자료를 자동 기록·보존 한다.

• 5.3.2 개인정보의 PC 저장

  • (1) 개인정보취급자는 취급하고 있는 개인정보 파일 현황을 관리해야 하며, 개인정보보호 책임자의 요청 시 즉시 현황을 제출한다.
  • (2) PC에 저장되는 개인정보 파일은 문서보안 기능을 통해 반드시 암호화된 형태로 저장한다.
  • (3) 개인정보보호 책임자는 개인정보 파일 및 서류 현황을 검토한 후, 불필요하게 운용되고 있다고 판단되는 경우에는 개선을 지시할 수 있다.

• 5.3.3 개인정보 보유기간의 산정

  보유기간은 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유 목적에 부합된 최소기간으로 산정하되, 개별 법령의 규정에 명시된 자료의 보존기간에 따라 산정해야한다.

5.4 개인정보의 파기

• 5.4.1 개인정보의 파기방법 및 절차
  • (1) 개인정보의 보유기간 경과, 처리목적 달성, 가명정보의 처리 기간 경과 등 개인정보 파일이 불필요하게 되었을 때에는 지체 없이(5일 이내) 해당 개인정보 파일을 파기한다. 다만, 다른 법령에 따라 보존하여야 하는 경우 에는 예외로 한다.
  • (2) 개인정보취급자는 보유기간 경과, 처리목적 달성 등 파기 사유가 발생한 개인정보를 선정하고, 복구가 불가능한 방법으로 개인정보를 파기한다.
  • (3) 개인정보를 파기할 경우 다음과 같은 방법을 이용하여 파기한다.
    • 1) 개인정보 데이터 또는 저장된 매체 파기 시 기록을 재생할 수 없는 기술적 방법을 사용하여 삭제한다.
    • 2) 개인정보가 포함된 문서의 파기 시 소각 및 파쇄 등의 방법을 이용하여 파기한다.
  • (4) 개인정보보호 책임자는 개인정보 파기 시행 후 파기 결과를 확인하고 기록·관리해야 한다.

6.1 접근통제 시스템 설치 및 운영

• (1) 정보통신망을 통한 불법 접근 및 침해사고 방지를 위해 침입차단 시스템(Firewall) 또는 침입탐지시스템(IDS: Intrusion Detection System) 등을 이용하여 아래의 기능을 포함한 시스템을 설치•운영한다.
  • 1) 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한
  • 2) 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지
• (2) 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN: Virtual Private Network) 또는 전용선 등 안전한 접속수단을 사용 한다.
• (3) 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 적합한 보호조치를 취한다.
• (4) 별도의 개인정보처리시스템을 이용하지 않고 업무용 컴퓨터만을 이용하여 개인정보를 처리하는 경우에는 컴퓨터의 운영체제나 보안프로그램 등에서 제공하는 접근통제 기능을 이용할 수 있다.
• (5) 개인정보처리시스템 담당자는 개인정보처리시스템으로의 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
• (6) 개인정보취급자는 업무용 모바일 기기의 분실ㆍ도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
• (7) 개인정보처리시스템에서 개인정보를 다운로드 또는 파기 할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리하여야 한다.
• (8) 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.

6.2 접속기록의 보관 및 위·변조방지

• (1) 개인정보 처리내역 로그 및 기록 관리하기 위하여 다음의 사항을 수행한다.
  • 1) 개인정보처리 단말기 별 사용자 지정 등 관리
  • 2) 사용자 별 이용 업무를 고려하여 정보의 대상별, 접근 위치별, 취급자별, 업무관리 범위별 등으로 세분화하여 접근권한 설정
  • 3) 개인정보의 입∙출력 및 수정사항, 파일 별∙담당자 별 데이터 접근내역에 대한 로그를 기록하고 2 년 이상 보관
  • 4) 로그파일 등 접속기록의 주기적인 분석 및 오∙남용 사고의 예방
  • 5) 해당 시스템을 이용(단말기 제공 등)하는 제반 부서의 개인정보취급자에 대한 개인정보보호 업무의 지도∙감독
• (2) 오프라인으로 처리정보 이용∙제공 시 안정성을 확보하기 위해 다음 사항을 수행한다.
  • 1) 회사로부터 승인된 USB 등 보안성이 높은 저장매체를 활용하고, 처리정보를 보호할 수 있도록 반드시 암호화
  • 2) 처리정보를 안전하게 이동한 후 그 저장매체의 처리정보가 복구될 수 없도록 파기 조치
• (3) 개인정보가 기록된 출력자료와 기록매체가 유출되지 않도록 조치하고, 활용이 종료된 출력자료 등은 즉시 폐기한다.

6.3 비밀번호 관리

• (1) 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용한다.
  • 1) 개인정보취급자 비밀번호는 문자종류 2 종류 이상을 조합하여 10 자리 이상 또는 3 종류 이상을 조합하여 8 자리 이상으로 설정하며, 이용자(고객)의 비밀번호는 2 종류 8 자리 이상으로 비밀번호를 설정할 수 있다.

    *) 문자종류 - 영문 대문자(26 개), 영문 소문자(26 개), 숫자(10 개), 특수문자(32 개)

  • 2) 연속적인 숫자 사용 금지
  • 3) 추측하기 쉬운 생일, 전화번호, ID 와 비슷한 비밀번호 금지
  • 4) 개인정보 취급자 비밀번호는 유효기간을 설정하여 분기 1 회, 이용자(고객)의 비밀번호는 유효기간 반기 1 회 이상으로 설정한다.
  • 5) 직전 비밀번호 사용금지(번갈아 쓰기 방지)

6.4 개인정보의 암호화

• (1) 개인정보 항목 중 계정의 비밀번호, 고유식별정보, 바이오 정보는 암호화해야 하며, 계정의 비밀번호는 복호화 되지 않도록 일방향 암호화 방식으로 저장한다.
• (2) 개인정보를 암호화하는 경우 안전한 암호 알고리즘으로 암호화하여 저장한다.
• (3) 개인정보처리시스템 담당자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
• (4) 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.

6.5 보안프로그램 설치 및 운영

• (1)악성 프로그램 등을 방지∙조치할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치∙운영 해야하며, 다음 각 호의 사항을 준수한다.
  • 1) 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1 회 이상 업데이트를 실시
  • 2) 악성 프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트 실시
• (2) 발견된 악성프로그램 등에 대해 삭제 등 대응 조치를 적용한다.

6.6 개인정보 유출방지 대책

• (1) 개인정보 DB에 접근통제 솔루션을 도입하여 비 인가자 접근, 비인가 명령 사용 시 모니터링을 통해 접근을 차단하고, DB 암호화를 통해 개인정보 유출 시 정보가 노출되지 않도록 조치한다.
• (2) 유해한 인터넷 사이트나 비업무용 사이트, 웹 메일, P2P, 메신저, 웹 하드, FTP 파일 송수신, Telnet, 공유폴더 등 내부정보 유출 매체가 되는 인터넷 서비스 이용을 제한하여 개인정보의 유출을 방지한다.
• (3) 개인정보를 정보통신망을 통해 송∙수신하는 경우, SSL을 적용하여 분실∙도난∙누출∙변조 또는 훼손되지 않도록 안전성을 확보하고, 개인정보를 식별할 수 없도록 암호화 등의 송신방법을 적용한다.
• (4) 개인정보가 저장된 사용자 별 노트북/PDA 등의 반∙출입 및 이용내역을 기록 관리하고, 도난 또는 분실에 대비하여 패스워드 설정 및 파일 암호화 등 보안 조치한다.
• (5) 개인정보가 포함된 문서에 대해 허용된 권한 이외의 복제, 출력 등의 이용 행위를 막기 위해 문서에 보호조치를 한다.
• (6) 개인정보를 문서로 출력 시, 출력∙복사물에 출력자 소속부서, 성명, 출력 시간 등을 표시해 문서를 통제한다.

6.7 웹 및 C/S 어플리케이션 보호대책

• (1) 어플리케이션 개발 시, 웹 서버 및 웹 애플리케이션에 대한 주요한 공격들에 대비할 수 있도록 안전하게 개발하고, 지속적으로 취약점 점검 및 업데이트를 수행한다. 또한 주요 공격을 방어하기위해 웹 방화벽을 설치 및 운영한다.
• (2) 외부망에서 웹서버 관리자가 접속 시 전용선 또는 VPN 등 안전한 접속수단을 통해 접속한다.
• (3) 개인정보의 유출방지를 위해 개인정보가 출력되는 업무 화면상에서 마우스 우측 버튼 클릭 시 소스보기 기능 및 화면 캡쳐 또는 키보드나 마우스를 이용한 Drag, Drop, Copy 및 Paste 기능을 제한한다.
• (4) 웹사이트 내 모든 유형의 컨텐츠(게시판의 게시물, 첨부파일 등)에 대해 개인정보 노출 여부를 점검하고, 노출을 확인한 경우 개인정보가 노출되지 않도록 차단한다.
• (5) 개인정보가 포함된 내용을 게시판에 게시할 경우, 관리자 등 권한을 가진 자만이 확인할 수 있도록 비밀 글쓰기 기능 등을 제공한다.
• (6) 인터넷 검색포탈에서 회사 웹사이트 개인정보 노출 여부를 정기적으로 점검하고, 개인정보의 노출 시 인터넷 검색포탈에 노출 삭제를 요청 후 회사 웹사이트에 노출된 개인정보를 삭제한다.

7.1 수탁업체 선정

• (1) 개인정보의 처리 업무 위탁부서는 업무 위탁 시 개인정보 처리 업무를 위탁 받아 처리하는자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자를 포함하며, 이하 "수탁자"라 한다)를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등을 종합적으로 고려해야 한다.
• (2) 수탁자의 처리 업무의 지연, 처리 업무와 관련 없는 불필요한 개인정보의 요구, 처리기준의 불공정 등의 문제점을 종합적으로 검토하여 이를 방지하기 위하여 필요한 조치를 마련한다.

7.2 수탁업체 계약

• (1) 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 계약 시 수탁업체에게 다음의 내용이 포함된 준수 서약을 징구한다.
  • 1) 위탁업무 수행 목적 외 개인 정보의 처리 금지에 관한 사항
  • 2) 개인정보의 기술적•관리적 보호조치에 관한 사항
  • 3) 위탁업무의 목적 및 범위
  • 4) 재 위탁 제한에 관한 사항
  • 5) 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
  • 6) 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
  • 7) 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

7.3 개인정보의 처리 업무 위탁 시

• (1) 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 계약 시 서약한 준수사항에 대하여 수탁자가 개인정보를 안전하게 처리하는지를 감독한다.
• (2) 수탁업체 직원들의 접근 권한을 관리하기 위하여 다음의 사항을 수행한다.
  • 1) 개인정보처리시스템에 대한 접근권한은 업무 수행 목적에 따라 최소한의 범위로 업무담당자에게 차등 부여하고 접근통제를 위한 조치
  • 2) 협력직원의 전보 또는 퇴직 등 인사이동을 통해 사용자 계정의 변경•삭제가 필요한 경우에는 지체 없이 사용자 계정 관리절차에 따라 통제
  • 3) 권한 부여, 변경, 말소에 대한 내역을 기록하고 해당 기록을 최소한 5 년간 보관
  • 4) 개인정보처리시스템에 접근하는 사용자계정은 1 인당 한 개의 사용자 계정을 발급
  • 5) 위탁업무 부서 담당자는 주기적으로 계정 및 권한을 검토하여 불필요한 권한이나 계정을 삭제
• (3) 수탁자에게 위탁업무에 필요한 개인정보를 제공 시 다음의 내용을 따른다.
  • 1) 전자파일 형식으로 제공 시 문서보안의 외부전송 보안파일을 생성하여 전송함으로써 불법적인 노출 및 접근으로부터 차단
  • 2) 전자파일 암호화 시 비밀번호 설정 작성규칙 준수
  • 3) 종이서류를 통해 전달 시 회사에서 지정된 배송업체를 사용하거나 인편, 등기 등 안전한 전달 수단을 이용하여 제공

7.4 제공된 개인정보 파기 시

수탁자에게 위탁업무 관련 개인정보 전달 시 보관기간을 명시하고 보관기간의 경과나 이용 목적의 완료 시 파기 후 파기확인서를 제출할 것을 요청한다. (첨부 14.15 개인정보 파기요청서 참조)

8.1 개인정보의 열람 및 전송 절차

• (1) 정보주체는 자신의 개인정보 열람 및 전송을 요구하는 경우 신청 양식을 작성하여 회사에 제출해야 한다.
• (2) 회사는 개인정보 열람요구서를 받은 날로부터 10일 이내에 정보주체에게 해당 개인정보를 열람할 수 있도록 하거나, 열람 요구사항 중 일부를 열람하게 할 경우 열람할 개인정보와 열람이 가능한 날짜•시간 및 장소 등을 열람통지서를 통해 정보주체에게 알린다.
• (3) 회사는 정보주체의 열람을 연기하거나 거절하려는 경우에는 열람 요구를 받은 날부터 10일 이내에 연기 또는 거절의 사유 및 이의제기방법을 보호위원회가 정하여 고시하는 열람의 연기ㆍ거절 통지서로 해당 정보주체에게 알려야 한다.

8.2 개인정보 열람 연기 사유의 소멸

개인정보의 열람요구를 연기한 경우 연기사유의 소멸 시 정당한 사유가 없는 한 연기사유가 소멸한 날로부터 10일 이내에 열람하도록 하여야 한다.

8.3 개인정보의 정정∙삭제

• (1) 개인정보의 정정•삭제 요구를 받았을 때에는 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 그 개인정보를 조사하여 정보주체의 요구에 따라 정정•삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알린다.
• (2) 개인정보의 정정•삭제 요구가 특정 법령에 따라 처리 불가한 경우 10일 이내에 삭제를 요구할 수 없는 근거 법령의 내용을 정보주체에게 알린다.

8.4 개인정보의 처리정지

• (1) 정보주체로부터 개인정보 처리를 정지하도록 요구하거나 개인정보처리에 대한 동의를 철회 받은 때에는 다른 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 개인정보의 처리의 일부 또는 전부를 정지하여야 한다.
• (2) 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여는 정당한 사유가 없는 한 처리 정지의 요구를 받은 날로부터 10일 이내에 해당 개인정보를 복구ㆍ재생할 수 없도록 파기 등 정보주체의 요구에 상응하는 조치를 취하고 그 결과를 정보주체에게 알린다.
• (3) 정보주체로부터 완전히 자동화된 개인정보 처리에 따른 결정을 거부하거나 인적 개입에 의한 재처리 및 그에 대한 설명 등을 요구를 받은 날로부터 30일 이내에 정보주체에 요구에 상응하는 결과를 정보주체에게 알린다.

8.5 개인정보의 이용∙제공 내역의 통지

개인인정보의 이용ㆍ제공내역이나 이용ㆍ제공내역을 확인 할 수 있는 방법을 연1회 이상 정보주체에게 다음과 같은 방법으로 통지한다.

• 1) 서면ㆍ전자우편ㆍ전화ㆍ문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법
• 2) 재화 및 서비스를 제공하는 과정에서 정보주체가 쉽게 알 수 있도록 알림창을 통해 알리는 방법

9.1 개인정보보호 점검

• (1) 정보보호 관리자는 개인정보보호 관련 회사 사규 및 관계 법령에 따른 기술적•관리적 보호 조치의 준수 여부를 연 1회 정기 또는 수시로 점검해야 한다.
• (2) 개인정보보호 점검 시 아래와 같은 사항을 포함한다.
  • 1) 개인정보시스템(서버, 웹서버, DB 등) 취약점 점검
  • 2) 개인정보 취급자 PC 보안설정
  • 3) 개인정보시스템 또는 PC 內 개인정보 파일의 안전한 저장
  • 4) 개인정보 기록 문서의 안전한 보관
  • 5) 개인정보 CCTV 관리•감독 현황 등
• (3) 개인정보의 보안사고 발생 우려가 있거나 신규 시스템 도입 또는 개인정보 침해 사고 발생 시 비정기적 개인정보보호 점검을 실시할 수 있다.
• (4) 개인정보보호 점검 및 감사 결과에 따른 지적 사항은 각 부서장의 책임 하에 지체 없이 조치될 수 있도록 하며, 이행점검 시 반영하여야 한다.

9.2 모니터링

• (1) 정보보호 관리자는 모니터링 및 자체 점검 결과를 주기적으로 개인정보보호 책임자에게 보고한다.
• (2) 정보보호 관리자는 개인정보처리시스템에 대한 접근 권한 부여 내역 및 접속 기록을 모니터링하고, 주기적으로 분석하여 개인정보보호 책임자에게 보고한다.

10.1 개인정보 유출등 시 대응 절차

• (1) 제로 분실ㆍ도난ㆍ유출(이하 이 조에서 “유출등”이라 한다) 사고가 발생한 것으로 확인된 때에는 지체 없이 해당 정보 주체에게 다음 사항을 알린다.
  • 1) 유출 등이 개인정보의 항목
  • 2) 유출 등이 시점과 그 경위
  • 3) 유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
  • 4) 대응조치 및 피해구제 절차
  • 5) 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
• (2) 개인정보 유출 등 사고가 최초 발생한 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실 유무를 입증하여야 한다.
• (3) 정보주체에게 알리는 등 조치를 취한 이후에는 정보주체에게 다음 사실을 일차적으로 알리고, 추후 확인되는 사실을 즉시 알리도록 한다.
  • 1) 정보주체에게 유출 등이 발생한 사실
  • 2) 정보주체에게 사전 고지한 통지항목 중 확인된 사항

10.2 통지방법

• (1) 정보주체에게 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 지체 없이 정보주체에게 알린다.
• (2) 유출등이 된 개인정보의 확산 및 추가 유출등을 방지하기 위하여 접속경로의 차단, 취약점 점검•조치, 유출등이 된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체없이 정보주체 에게 알릴 수 있다.
• (3) 구체적인 유출등이 된 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출등이 된 사실과 유출등이 확인된 사항만을 서면 등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있다.
• (4) 정보주체에 관한 개인정보가 유출등이 된 경우에는 인터넷 홈페이지에 정보주체가 알아 보기 쉽도록 7일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 경우에는 서면 등의 방법과 함께 사업장 등의 보기 쉬운 장소에 7일 이상 게시하여야 한다.

10.3 개인정보 유출등의 신고

1명 이상의 정보주체에 관한 개인정보가 유출등이 된 경우에는 개인정보의 유형, 유출등의 경로 및 규모등을 고려하여 정보주체에 대한 통지 및 조치결과를 지체 없이 개인정보보호위원회 또는 한국인터넷진흥원 중 어느 한곳에 신고하여야 한다.

10.4 노출된 개인정보의 삭제ㆍ차단

• (1) 고유식별정보, 계좌정보, 신용카드정보 등 개인정보가 정보통신망을 통하여 공중(公衆)에 노출되지 않도록 한다.

• 1) 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
• 2) 본래 목적 외로 사용되지 않도록 조치
• 3) 악성프로그램 감염 방지 등을 위한 보안조치 적용