개인정보보호 내부관리계획 | 밀리의 서재

제1장 총칙

제1조(목적)

밀리의서재 개인정보보호 내부관리계획’ (이하 "내부관리계획"이라한다.)은 「개인정보 보호법」 제24조 제3항 및 제29조와 같은 법 시행령 제21조 및 제30조, ‘개인정보의 안정성 확보조치 기준’ 제3조에 따라 개인정보 처리자가 개인정보를 처리함에 있어 개인정보가 분실, 도난, 유출, 변조, 훼손되지 아니하도록 안정성을 확보하기 위한 내부적 관리기준을 정하는 것을 목적으로 한다.


제2조(적용범위)

내부관리 계획의 적용범위는 서면, 구두, 정보통신망 등 모든 수단을 통해 수집, 이용, 제공, 관리되는 개인정보에 대해 회사 내에서 개인정보를 수집 및 활용하는 모든 부서 구성원 및 외부업체 직원에 대해 적용된다.


제3조(용어정리)
  • 1."개인정보"란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등 고유식별정보, 바이오정보, 민감정보를 통해 개인을 알아볼 수 있는 정보이다.
  • 2."정보주체"란 처리되는 개인정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
  • 3."개인정보처리"란 개인정보를 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 등 그 밖에 이와 유사한 행위를 말한다.
  • 4."개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.
  • 5."개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
  • 6."개인정보 보호책임자"란 개인정보의 처리에 관한 업무를 총괄해서 책임지는자로서 법 시행령 제32조 제2항 제1호 및 제2호에 해당하는 자를 말한다.
  • 7."개인정보 취급자"란 개인정보처리자의 지휘, 감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등을 말한다.
  • 8."내부관리계획"이란 개인정보처리자가 개인정보를 안전하게 처리하기 위하여 내부의사결정절차를 통해 수립, 시행하는 내부 기준을 말한다.
  • 9."바이오정보"라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
  • 10."민감정보"란 개인의 유전정보, 범죄경력, 병원기록 등 개인의 사생활과 관련된 정보를 말한다.
  • 11."고유식별정보"란 개인을 식별할 수 있는 특정한 번호로서 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 등이 이에 속한다.
  • 12."영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유, 무선망을 통하여 전송하는 일체의 장치로서 법 시행령 제3조에 따른 CCTV 및 네트워크 카메라를 말한다.
  • 13."개인영상정보"라 함은 영상정보처리기기에 의해 촬영, 처리되는 영상정보 중 개인의 초상, 행동 등 사생활과 관련된 영상으로서 해당 개인의 동일성 여부를 식별할 수 있는 정보를 말한다.

제2장 내부관리계획의 수립 및 시행

제4조(내부관리계획의 수립 및 승인)
  • 1. 개인정보보호 책임자는 회사에서 취급하는 개인정보의 보호를 위한 전반적인 내부관리계획을 수립해야 한다.
  • 2. 개인정보보호 책임자는 개인정보보호를 위한 내부관리계획 수립 시 개인정보보호와 관련된 법령 및 관련 규정을 준수하도록 내부관리계획을 수립해야 한다.
  • 3. 개인정보보호 책임자가 수립한 내부관리계획은 기관 대표자의 승인을 받아야 한다.
  • 4. 개인정보보호 책임자는 관련 법령의 제, 개정 등의 사항을 반영하고 필요시 개정을 검토해야 한다.

제5조(내부관리계획의 공표)
  • 1. 개인정보보호 책임자는 승인된 내부관리계획을 30일 이내 사내 전 부서 직원 , 회원에게 공표한다.
  • 2. 내부관리계획을 공표하는 방법은 전 직원 및 회원이 쉽게 열람 할 수 있도록 회사의 대표 홈페이지에 공지하며 인쇄물 형태로 사내 전 부서에 비치한다.

제3장 개인정보보호 책임자의 의무와 책임

제6조(개인정보보호 책임자의 지정)
  • 1. 개인정보보호 책임자는 회사의 행정업무를 총괄하는 팀장이상 또는 그에 상응하는 보직자를 지정한다.
  • 2. 개인정보보호 관리자는 회사의 개인정보보호를 총괄 담당하는 부서의 실무책임자를 지정한다.
  • 3.개인정보보호 취급자는 회사에서 개인정보를 취급하는 각 부서별 실무자를 개인정보보호 취급자로 지정한다.

제7조(개인정보보호 책임자의 의무와 책임)
개인정보보호 책임자의 의무와 책임
개인정보보호 책임자
  • 개인정보보호 정책의 검토 및 승인, 총괄업무
개인정보보호 관리자
  • 개인정보보호 계획의 수립 및 시행
  • 개인정보보호 내부 통제절차 수립
  • 개인정보보호 교육 계획의 수립 및 시행
  • 개인정보파일의 관리 및 감독
  • 개인정보처리방침의 수립, 변경
  • 개인정보취급자의 처리이력 및 관리
  • 개인정보취급자의 개인정보관리 실태 점검

제8조(개인정보취급자의 범위 및 의무와 책임)
  • 1. 개인정보취급자의 범위는 회사에 소속된 모든 구성원과 관련 외부업체로 하되 각 부서별로 개인정보를 취급하는 전담자를 선발하여 개인정보 취급자를 제외한 구성원은 개인정보에 대한 접근을 제한한다.
  • 2. 개인정보취급자의 의무
  • 개인정보보호 책임자의 의무와 책임
    개인정보 취급자
    • 개인정보보호와 관련된 문의 접수 및 답변
    • 개인정보보호 규정 준수 및 처리활동 수행
    • 정보주체의 의견수렴
    • 부서 내 개인정보 관리 및 현황점검

제4장 개인정보의 처리단계별 기술적, 관리적 안전조치

제9조(개인정보취급자의 접근 권한 관리 및 인증)
  • 1. 개인정보취급자 이외에는 개인정보처리시스템에 대한 접근 권한을 제한하며 개인정보보호 관리자는 주기적으로 개인정보취급자의 변경 등을 파악하여 접근권한을 조정해야 한다.
  • 2. 개인정보보호 관리자는 개인정보를 취급하는 담당자의 업무에 따라 개인정보처리시스템에 접근하는 권한을 차등부여 해야 한다.
  • 3. 개인정보보호 관리자는 개인정보취급자가 전보 또는 퇴직 등의 사유로 변경되었을 때는 개인정보처리시스템의 접근권한을 변경 또는 말소한다.
  • 4. 개인정보보호 관리자는 개인정보취급자에 대한 권한부여, 변경, 말소에 대한 내역을 기록하고 최소 5년간 보관한다.
  • 5. 개인정보보호 관리자는 개인정보취급자 및 정보주체가 안전한 비밀번호를 설정하여 이용할 수 있도록 다음의 조건에 만족하는 비밀번호를 적용한다.
    • 가. 영 대문자, 영 소문자, 숫자 및 특수문자(32개) 중 2종류 이상으로 구성하여 최소 8자리 이상
    • 나. 비밀번호 생성금지
      - 연속적인 숫자금지
      - 전화번호 금지
      - 개인정보 포함금지
      - 아이디 포함금지
    • 다. 생성한 비밀번호는 6개월이내 한번 이상 새로운 비밀번호로 교체한다.

제10조(접근통제)
  • 1. 개인정보보호 관리자는 개인정보처리시스템에 저장되는 비밀번호 등 고유식별정보, 민감정보, 바이오정보에 대하여 암호화하여 저장하도록 관리한다.
  • 2. 개인정보취급자의 업무용 PC, 모바일기기에 개인정보를 저장하는 것은 원칙적으로 금지하되 불가피하게 저장해야 될 경우 개인정보보호 관리자는 해당 소프트웨어의 암호화 기능을 충분히 숙지시켜 암호화하여 저장하도록 관리, 감독한다.
  • 3. 휴대용 저장매체는 개인정보보호 관리자에게 등록한 후 개인정보보호책임자의 승인 하에 사용해야 하며 등록되지 않은 휴대용 저장매체에 개인정보를 저장하는 것은 금지한다.
  • 4. 개인정보보로 관리자는 개인정보 및 비밀번호가 정보통신망을 통해 송,수신 되는 경우 SSL 서버 구축 등의 방법으로 암호화해야 한다.

제11조(개인정보의 암호화)
  • 1. 개인정보보호 관리자는 개인정보처리시스템에 저장되는 주민등록번호, 비밀번호 등 고유식별정보, 민감정보, 바이오정보에 대하여 암호화하여 저장하도록 관리한다.
  • 2. 개인정보취급자의 업무용 PC, 모바일기기에 개인정보를 저장하는 것은 원칙적으로 금지하되 불가피하게 저장해야 될 경우 개인정보보호 관리자는 해당 소프트웨어의 암호화 기능을 충분히 숙지시켜 암호화하여 저장하도록 관리, 감독한다.
  • 3. 휴대용 저장매체는 개인정보보호 관리자에게 등록한 후 개인정보보호책임자의 승인 하에 사용해야 하며 등록되지 않은 휴대용 저장매체에 개인정보를 저장하는 것은 금지한다.
  • 4. 개인정보보로 관리자는 개인정보 및 비밀번호가 정보통신망을 통해 송,수신 되는 경우 SSL 서버 구축 등의 방법으로 암호화해야 한다.

제12조(접근기록의 위,변조 방지)
  • 1. 개인정보보호 관리자는 개인정보취급자 및 정보주체의 개인정보처리장치 접근기록을 보호하며 위,변조 및 훼손되지 않도록 기술적 조치를 취해야 한다.
  • 2. 개인정보보호 관리자는 7일에 1회 이상 접근기록을 별도의 저장장치에 저장하여야 하며 개인정보보호 책임자는 월 1회 이상 정기적으로 확인한다.
  • 3. 개인정보보호 관리자는 별도의 저장장치에 저장된 접근기록을 6개월 이상 보관하여야 한다.

제13조(보안프로그램의 설치 및 운영)
  • 1. 개인정보보호 관리자는 사내 PC 및 개인정보처리장치에 저장된 개인정보의 보호와 안정성 확보를 위해 백신 프로그램, 방화벽 등의 보안 프로그램을 설치, 운영해야 한다.
  • 2. 보안 프로그램은 항상 최신 버전으로 업데이트 해야하며 개인정보보호 관리자는 이를 관리, 감독해야 한다.
  • 3. 개인정보보호 관리자는 백신프로그램의 운영 및 개인PC에 설치된 프로그램을 관리할 수 있는 에이전트 시스템을 운영하도록 하며 미 허가 프로그램의 설치가 발견될 시 즉시 조치하여야 한다.

제14조(물리적 접근제한)
  • 1. 개인정보보호 관리자는 개인정보와 개인정보처리시스템의 안전한 운영을 위해 물리적 잠금장치 등의 접근방지를 위한 보호조치를 취해야 한다.
  • 2. 개인정보취급자가 물리적 접근장치를 통과하여 보호시설에 출입하거나 개인정보를 열람할 시, 출입사실과 열람 내용에 대한 관리대장을 작성하여 2주 1회 이상 개인정보보호 관리자의 확인을 받는다.
  • 3. 개인정보보호 관리자는 물리적 접근제한 관리대장에서 출입 및 열람에 대한 내용을 주기적으로 확인하고 미 허가자의 출입이나 열람이 있는 경우를 점검한다.
  • 4. 개인정보보호 책임자는 월 1회 이상 관리대장을 확인하고 개인정보보호 조치가 정상적으로 이루어지는지 관리, 감독한다.

제5장 개인정보보호 교육

제15조(개인정보보호 교육계획 수립)
  • 1. 개인정보보호 관리자는 연간 개인정보보호 교육계획을 매년 2월초까지 수립한다.
  • 2. 교육계획은 교육목적과 대상, 교육내용, 교육일정 및 방법으로 구성한다.
  • 3. 교육계획 수립 시 회사 구성원의 의견을 사전에 수렴하여 필요성을 인지하고 관련부서와 협의한 후 예산을 편성한다.
  • 4. 교육성과의 평가방법을 계획하고 성과를 평가한 후 차년도 교육계획 수립에 반영한다.

제16조(개인정보보호 교육의 실시)
  • 1. 개인정보보호 책임자는 개인정보보호에 대한 회사 직원의 인식제고와 개인정보의 오,남용 및 유출 등을 방지하기 위하여 연 1회 이상의 개인정보보호 정기교육을 실시한다.
  • 2. 정기교육은 회사 직원의 전체참여를 원칙으로 한다.
  • 3. 교육방법은 집체교육, 인터넷교육, 그룹웨어교육 등 다양한 방법을 이용할 수 있으며 필요에 따라 외부 전문기관에 위탁하여 실시할 수 있다.
  • 4. 개인정보보호에 대한 중요한 전파사례가 있거나 주요 변경사항 등이 있을 경우 긴급 수시교육을 실시할 수 있다.
  • 5. 개인정보 취급자가 내부관리규정을 위반하거나 지침을 제대로 이행하지 못한 경우 그 사항이 경미하다면 재발방지를 위해 해당자에 한하여 특별교육을 실시할 수 있다.
  • 6. 개인정보보호 관리자는 교육계획서, 교육결과보고서 등 교육실시와 관련된 각종 증빙자료를 작성하여 개인정보보호책임자의 결재를 받아 5년간 보관한다.

제6장 개인정보 침해대응 및 피해구제

제17조(개인정보 침해사실 신고)
  • 1. 정보주체가 자신의 개인정보가 회사의 수집 및 처리에 있어 권리가 침해당했다고 판단할 때 회사의 개인정보 정보공개 처리절차에 따라 침해사실을 신고할 수 있다.
  • 2. 개인정보 정보공개 처리창구(교무기획처)에 비치된 양식에 개인정보 침해사실에 대한 내용을 작성하여 접수한다.

제18조(개인정보 침해사실 피해구제)
  • 1. 정보주체의 피해신고 접수 후 1주일 이내 개인정보보호 위원회를 구성하고 사실 확인과 의견청취를 실시한다.
  • 2. 개인정보 침해사실이 확인된 경우 위원회는 정보주체의 고충처리요구를 수렴하고 피해보상 절차를 논의한다.
  • 3. 개인정보 침해사실이 중대한 경우 보안사고 대응지침 및 대응절차에 따라 교육과학기술부, 행정안전부, 국가안전기획부 등 관련기관에 보고한다.
  • 4. 개인정보 침해사실에 대한 피해보상 내용 등 절차가 완료된 후 처리결과에 대해 즉시 정보주체에게 통보한다.
TOP