개인정보 처리방침
제1장 총칙
- 제1조(목적) 개인정보보호 내부관리계획은「개인정보 보호법」(이하 “법”이라 한다), 같은 법 시행령(이하 “영”이라 한다) 및「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시 제2023-6호)에 따라 ㈜스톰미디어(이하 “회사”라 한다)의 업무와 관련된 개인정보 보호에 필요한 세부사항을 규정하는 것을 목적으로 한다.
- 제2조(적용 범위) 이 계획은 회사의 업무와 관련하여 전자적 처리 및 수기문서를 포함한 모든 형태의 개인정보파일을 운용하는 내부직원(계약직 등 비정규직 포함) 및 수탁업체 직원 등에 대해 적용된다.
-
제3조(용어 정의) 이 계획에서 사용하는 용어의 뜻은 다음과 같다.
-
“개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
- 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
- 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용, 기술 등을 합리적으로 고려하여야 한다.
- 가목 또는 나목을 제2호에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다)
- “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
- “추가정보”란 개인정보의 전부 또는 일부를 대체하는 데 이용된 수단이나 방식(알고리즘 등), 가명정보와의 비교·대조 등을 통해 삭제 또는 대체된 개인정보 부분을 복원할 수 있는 정보(매핑 테이블 정보, 가명처리에 사용된 개인정보 등) 등을 말한다.
- “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
- “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
- “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 회사, 부서, 개인 등을 말한다.
- “개인정보 보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말하며, 회사에서는 개인 정보보호 업무 소관부서의 장을 말한다.
- “개인정보 보호담당자”는 개인정보 보호책임자를 보좌하여 기관의 개인정보 보호 실무를 담당하는 자를 말한다.
- “분야별 책임자”란 업무를 위하여 개인정보파일을 보유·이용·제공하는 취급 부서의 장(팀장, 실장, 단장 등)을 말한다.
- “분야별 담당자”란 소관 개인정보 관련 업무를 수행하며 개인정보 보호를 위한 각종 활동 및 개인정보취급자를 관리·감독을 하는 자를 말한다.
- “수탁자”란 개인정보 처리 업무를 위탁받아 처리하는 자(개인정보 처리 업무를 위탁받아 처리하는 자로부터 위탁받은 업무를 다시 위탁받은 제3자 포함)를 말한다.
- “개인정보취급자”란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 회사 직원, 파견근로자, 시간제근로자 등을 말한다.
- “중점관리시스템”이란 개인정보처리시스템 중 고유식별정보 또는 민감정보 보유, 다량의 개인정보 보유, 다른 기관의 접속·이용 등으로 보다 강화된 안전조치가 필요한 시스템을 말한다.
- “가명정보처리자”란 업무를 목적으로 개인정보를 가명처리하여 활용 또는 제공하는 공공기관, 법인, 단체 및 개인 등을 말한다.
- “가명정보취급자”란 가명정보를 처리하는 가명정보처리자의 지휘·감독을 받아 가명정보를 처리하는 자를 말하며, 정규직 이외에 임시직, 파견근로자, 기간제근로자 등을 포함한다.
- “가명정보 관리책임자”란 개인정보처리자의 가명정보 처리에 관한 업무를 총괄해서 책임지는 자를 말한다.
- “개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
- “위험도 분석”이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.
- “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.
- “정보통신망”이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다.
- “모바일 기기”란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다.
-
- “생체정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 인증·식별하거나 개인에 관한 특징을 알아보기 위해 일정한 기술적 수단을 통해 처리되는 정보를 말한다.
- 생체인식정보”란 생체정보 중 특정 개인을 인증 또는 식별한 목적으로 일정한 기술적 수단을 통해 처리되는 정보를 말한다.
- “보조저장매체”란 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결·분리할 수 있는 저장매체를 말한다.
- “내부망”이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간을 말한다.
- “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.
- “관리용 단말기”란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.
- “인증정보”란 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정보를 말한다.
- “P2P(Peer to Peer)”란 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.
- “공유설정”이란 컴퓨터 소유자의 파일을 타인이 조회·변경·복사 등을 할 수 있도록 설정하는 것을 말한다.
-
“개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
제2장 내부관리계획의 수립 및 시행
-
제4조(내부관리계획의 수립 및 승인)
① 개인정보 보호담당자는 개인정보처리자가 개인정보 보호와 관련한 법령 및 관련 규정을 준수하도록 내부 의사결정 절차를 통하여 내부관리계획을 수립하여야 한다.
② 개인정보 보호책임자는 개인정보보호 담당자가 수립한 내부관리계획의 타당성을 검토하여 개인정보보호를 위한 내부관리계획을 승인하여야 한다.
③ 개인정보 보호담당자는 개인정보보호 관련 법령의 제․개정 사항 등을 반영하기 위하여 매년 11월말까지 내부관리계획의 타당성과 개정 필요성을 검토하여야 한다.
④ 개인정보 보호담당자는 모든 항목의 타당성을 검토한 후 개정할 필요가 있다고 판단되는 경우 12월말까지 내부관리계획의 개정안을 작성하여 개인정보 보호책임자에게 보고하고 승인을 받아야 한다.
제3장 개인정보 보호조직 체계 및 역할
-
제6조(개인정보 보호조직 구성 및 운영)
① 개인정보의 안전한 처리를 위하여 다음 각 호의 사항을 포함하는 개인정보 보호조직을 구성하고 운영한다.- 개인정보 보호책임자
- 개인정보 보호 업무 총괄·조정 부서(이하 “경영지원팀”이라 한다)
- 분야별 책임자
- 개인정보보호담당자
- 분야별 담당자
③ 분야별 책임자는 개인정보 보호와 관련하여 개인정보보호법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 개인정보 보호책임자에게 개선조치를 보고하여야 한다.
④ 개인정보 보호담당자는 개인정보 보호책임자를 보좌하여 회사 소관 개인정보 보호 실무를 담당한다.
⑤ 분야별 담당자는 부서에서 취급하는 개인정보(개인정보처리시스템 포함)와 관련하여 분야별 책임자를 보좌하여 개인정보 보호 실무를 담당하며, 개인정보취급자를 관리·감독한다.
⑥ 개인정보 보호 활동의 효율적인 추진, 관련자간 소통과 협업 등을 위해 개인정보보호협의회를 두고, 연 1회 이상 협의회를 개최하여야 한다.
⑦ 개인정보보호협의회의 구성은 개인정보 보호책임자, 경영지원팀 팀장, 분야별 책임자, 개인정보 보호담당자, 분야별 담당자, 수탁자 등으로 하며, 다음 각 호의 기능을 수행한다.- 개인정보처리시스템 관리 방안 협의
-
개인정보처리시스템 관리 실태 점검
- 시스템관리 책임자 지정‧운영 여부
- 안전조치 방안 수립‧시행 여부
- 접근 권한 관리 적정성
- 직원이 아닌 자에 대한 계정발급의 적정성 여부
- 접속기록 점검‧관리 적정성
- 대규모 개인정보 또는 고유식별정보 접근 절차·관리의 적정성
- 개인정보 담당인력 배치 여부
- 수탁업체 관리의 적정성
- 개인정보처리시스템 운영상 문제점 및 개선 방향 협의
- 개인정보 보호 발전방향 모색
-
제7조(개인정보 보호책임자 지정, 역할 및 책임)
① 법 제31조와 영 제32조에 따라 개인정보의 처리에 관한 업무를 총괄·조정하는 개인정보 보호책임자는 개인정보보호 업무 소관부서의 장으로 한다.
② 개인정보 보호책임자는 정보주체의 개인정보보호를 위하여 다음 각 호의 업무를 수행한다.- 개인정보 보호 계획 수립 및 시행
- 회사의 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
- 개인정보 처리와 관련한 불만의 처리 및 피해 구제
- 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템 구축
- 개인정보 보호 교육 계획 수립 및 시행
- 개인정보파일의 보호 및 관리·감독
- 회사의 개인정보 취급부서 대상 관리실태 점검·감독
- 부서 개인정보 보호담당자가 등록 또는 변경 신청한 개인정보파일의 등록ㆍ변경 사항의 적정성에 대한 판단 및 개인정보보호위원회 등록
- 그 밖의 개인정보의 적절한 처리를 위하여 시행령 제32조제1항에서 정하는 업무
④ 개인정보 보호책임자는 업무를 수행함에 있어서 필요한 경우 개인정보 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관련 부서로부터 보고를 받을 수 있다.
⑤ 개인정보 보호책임자는 개인정보 보호와 관련하여 개인정보보호법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고하여야 한다. -
제8조(개인정보취급자의 역할 및 책임)
① 개인정보취급자는 개인정보처리자의 지휘·감독을 받아 처리목적에 필요한 범위에서 소관 개인정보의 정확성·완전성·최신성이 보장되도록 하는 역할을 수행한다.
② 개인정보취급자는 아래와 같은 의무와 책임을 이행한다.- 내부관리계획의 준수 및 이행
- 개인정보보호 활동 참여
- 개인정보의 기술적‧관리적 보호조치 기준 이행
- 개인정보의 목적 외 이용 및 제3자 제공 금지
- 직원 또는 제3자에 의한 위법ㆍ부당한 개인정보 침해행위에 대한 점검 등
- 개인정보 처리
- 개인정보 보호책임자가 위임한 개인정보보호와 관련된 업무
- 개인정보 보호책임자에게 개인정보파일 등록 신청
- 개인정보파일 파기
- 개인정보 파기 시 개인정보파일의 등록사실에 대한 삭제를 개인정보 보호책임자에게 요청
- 기타 개인정보보호를 위해 필요한 사항의 이행
-
제9조(개인정보취급자에 대한 관리·감독 및 교육)
① 개인정보처리자는 업무상 반드시 필요한 경우에 한하여 개인정보취급자로 지정하고 목록을 최신으로 관리하여야 한다.
② 개인정보처리자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 개인정보취급자에 대하여 다음 각 호의 사항을 주기적으로 관리·감독을 하여야 한다.- 개인정보처리시스템 접근 권한 범위의 적정성
- 불필요한 개인정보 접근 및 다운로드 여부
- 지정된 인터넷 프로토콜(IP) 주소 이외에서의 접속 여부
④ 개인정보처리자는 개인정보의 적정한 취급을 보장하기 위하여 개인정보취급자에게 연 1회 이상 필요한 교육을 실시하여야 한다.
제4장 개인정보의 안전성 확보 조치
-
제10조(접근 권한의 관리)
① 개인정보처리자는 개인정보처리시스템 특성에 맞는 접근 권한 정책을 수립하여야 하며, 다음 각 호의 사항을 심사하여 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 개인정보취급자에 따라 차등 부여하고 개인정보보호 등에 대한 서약서를 받아야 한다.- 개인정보처리시스템 또는 개인정보의 이용 또는 활용 목적의 정당성
- 개인정보처리시스템 또는 개인정보 이용 범위의 적정성
- 신청내용의 타당성, 적합성, 공익성
- 영대문자, 영소문자, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
- 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
- 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경할 수 있도록 조치
⑧ 개인정보처리자는 개인정보처리시스템에 대해서 접근 권한 관리의 적절성 및 접근 권한의 오·남용 여부를 주기적으로 점검하여야 한다.
⑨ 개인정보취급자는 다음 각 호의 사항을 기재한 문서를 작성하여 분야별담당자를 통해 분야별책임자에게 접근 권한을 신청한다.- 개인정보처리시스템 또는 개인정보의 이용 또는 활용 목적 및 근거
- 이용 또는 활용하고자 하는 개인정보처리시스템 또는 개인정보의 범위
-
제11조(접근통제)
① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 한다.- 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소, MAC주소 등으로 제한하여 인가받지 않은 접근을 제한
- 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응
③ 개인정보처리자는 처리하는 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 개인정보취급자의 컴퓨터 및 모바일 기기 등에 조치를 하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정 시간(30분) 이상 업무처리를 하지 않을 때는 자동으로 접속이 차단되도록 하는 등 필요한 조치를 하여야 한다.
⑤ 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
⑥ 개인정보처리자는 정보주체가 비밀번호 변경 등 중요정보 접근 시 비밀번호 재확인 등 추가적인 인증을 적용한다.
⑦ 개인정보처리자는 개인정보처리시스템에 대한 비정상적인 접근을 방지하기 위하여 장기 미접속 시 계정 잠금, 로그인 실패횟수 제한, 최대 접속시간 제한, 동시 접속 제한 등 보호대책이 적용되도록 한다.
⑧ 개인정보처리자는 관리자 계정으로 로그인 및 로그인 시도 시 관리자에게 자동 고지함으로써 관리자 계정의 노출 및 도용 여부를 쉽게 파악할 수 있도록 한다.
⑨ 개인정보처리자는 웹 사이트에 개인정보가 노출되지 않도록 점검·관리하여야 하며, 개인정보가 노출되지 않도록 기술적 조치(인터넷 홈페이지 또는 개인정보취급자의 업무화면에 표시되는 비밀번호, 고유식별정보, 계좌번호, 신용카드번호 등 중요 개인정보의 특정 자릿수를 별표(*) 등의 임의문자로 치환하는 등)를 취한다.
⑩ 개인정보처리자는 프로그램 테스트 시 개인정보가 포함된 데이터를 사용하지 않는 것을 원칙으로 하며, 사용하는 경우 테스트 데이터 생성, 이용, 파기 및 기술적 보호조치를 하고, 테스트를 마친 후 모든 개인정보가 제거되도록 하여 개발환경을 통한 개인정보의 유출을 방지한다.
⑪ 개인정보처리자는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만 명 이상인 개인정보처리시스템에 대해 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성·운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다. -
제12조(개인정보의 암호화)
① 개인정보처리자는 다음 각 호에 대해서는 안전한 암호 알고리즘으로 암호화하여 저장하여야 한다.- 주민등록번호
- 여권번호
- 운전면허번호
- 외국인등록번호
- 신용카드번호
- 계좌번호
- 생체인식정보
③ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기, 보조저장매체 등에 고유식별정보를 저장하여 관리하는 경우에는 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
④ 개인정보처리자는 10만 명 이상의 정보주체에 관하여 개인정보를 처리하는 개인정보처리시스템에 대해 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다. -
제13조(접속기록의 보관 및 점검)
① 개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상 보관·관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관·관리하여야 한다.- 5만 명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우
- 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우
③ 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 각 개인정보처리시스템별로 정한 다음 각 호의 기준에 따라 그 사유를 반드시 확인하여야 한다.- 다운로드 정보주체의 수
- 일정기간 내 다운로드 횟수
- 업무시간 외 다운로드 수행
-
제14조(악성프로그램 등 방지) ① 개인정보처리자는 악성 프로그램 등을 방지‧치료할 수 있는 보안 프로그램을 설치·운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
- 프로그램의 자동 업데이트 기능을 사용하거나, 정당한 사유가 없는 한 일 1회 이상 업데이트를 실시하는 등 최신의 상태로 유지
- 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
-
제15조(관리용 단말기의 안전조치)개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.
- 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
- 본래 목적 외로 사용되지 않도록 조치
- 악성프로그램 감염 방지 등을 위한 보안조치 적용
-
제16조(물리적 안전조치) ① 개인정보처리자는 전산실, 자료보관실, CCTV 상황실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립ㆍ운영하여야 한다.
② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출‧입 통제를 위한 보안대책을 마련하여야 한다. -
제17조(재해·재난 대비 안전조치)
① 개인정보처리자는 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템의 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
② 개인정보처리자는 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다. -
제18조(개인정보의 파기)
① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 취해야 한다.- 완전파괴(소각ㆍ파쇄 등)
- 전용 소자장비를 이용하여 삭제
- 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려운 때에는 다음 각 호의 조치를 하여야 한다.- 전자적 파일 형태인 경우: 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
- 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체의 경우: 해당 부분을 마스킹, 천공 등으로 삭제
③ 기술적 특성으로 제1항 및 제2항의 방법으로 파기하는 것이 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치를 하여야 한다.
③ 기술적 특성으로 제1항 및 제2항의 방법으로 파기하는 것이 현저히 곤란한 경우에는 법 제58조의2에 해당하는 정보로 처리하여 복원이 불가능하도록 조치를 하여야 한다. -
제19조(위험 분석 및 관리)
① 개인정보처리자는 고유식별정보를 저장하는 경우 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 위험도 분석을 수행하고 필요한 보안조치 적용 등 대응방안을 마련하여야 한다.
② 제1항에 따른 위험도 분석은 개인정보보호위원회·한국인터넷진흥원의 「개인정보 위험도 분석 기준」을 활용하거나 위험요소를 식별 및 평가하는 등의 방법으로 수행할 수 있다. -
제20조(출력·복사 시 보호조치)
① 개인정보처리자는 개인정보처리시스템에서 개인정보의 출력 시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 한다.
② 개인정보처리자는 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 필요한 안전조치를 하여야 한다. -
제21조(개인정보 표시제한)개인정보처리자는 개인정보 업무처리를 목적으로 개인정보의 조회, 출력 등의 업무를 수행하는 과정에서 개인정보 보호를 위하여 개인정보를 마스킹하여 표시제한 조치를 취할 수 있다.
-
제22조(개인영상정보의 안전성 확보를 위한 조치)
① 개인정보처리자는 개인영상정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 안전성 확보를 위하여 다음 각 호의 조치를 하여야 한다.- 개인영상정보의 안전한 처리를 위한 내부 관리계획의 수립·시행
- 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치
- 개인영상정보를 안전하게 저장·전송할 수 있는 기술의 적용(네트워크 카메라의 경우 안전한 전송을 위한 암호화 조치, 개인영상정보파일 저장시 비밀번호 설정 등)
- 처리기록의 보관 및 위조·변조 방지를 위한 조치 (개인영상정보의 생성 일시 및 열람할 경우에 열람 목적·열람자·열람 일시 등 기록·관리 조치 등)
- 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치
-
제23조(중점관리시스템 안전조치 방안 수립)
① 개인정보처리자는 고유식별정보, 민감정보 등의 보유 및 다른 기관의 접속·이용 여부, 정보주체자수 등을 고려하여 중점관리시스템을 지정한다.
② 개인정보처리자는 중점관리시스템별 안전조치 방안을 수립하고 이행하여야 한다.
제5장 개인정보 보호 교육
-
제24조(개인정보 보호 교육계획의 수립 및 시행)
① 개인정보 보호책임자는 다음 각 호의 사항을 정하여 연간 개인정보 보호 교육계획을 수립하여야 한다.- 교육 목적 및 대상
- 교육 내용
- 교육 일정 및 방법
- 개인정보 보호의 중요성
- 개인정보 보호 정책·지침 및 위험관리
- 개인정보의 안전성 확보조치 기준 이행
- 개인정보 보호 업무의 절차 및 책임
- 개인정보 취급 관련 주의사항
- 개인정보 유출 등 사고 대응절차
-
제25조(개인정보 보호 교육의 실시)
① 개인정보처리자는 개인정보 보호에 대한 인식제고를 위하여 개인정보 보호책임자, 개인정보 보호담당자, 개인정보취급자, 일반직원을 대상으로 연 1회 이상 개인정보 보호 교육을 실시하여야 한다.
② 교육 방법은 집체 교육뿐만 아니라, 온라인 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 외부 전문기관 등에 위탁하여 교육을 실시한다.
③ 개인정보 보호책임자는 연 1회 이상, 기관 개인정보 보호담당자는 연 2회 이상 개인정보 보호 교육에 참석하여야 한다.
④ 개인정보 보호에 대한 전파가 필요한 중요 사항이 있거나 개인정보 보호 업무와 관련하여 주요 변경 사항이 있는 경우, 개인정보 보호책임자는 수시 교육을 실시할 수 있다.
⑤ 개인정보처리자는 개인정보 보호 교육을 실시한 결과 또는 이를 입증할 수 있는 관련 자료 등을 기록ㆍ보관하여야 한다.
제6장 수탁자에 대한 관리ㆍ감독
-
제26조(수탁자에 대한 감독 및 교육)
① 개인정보처리자는 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.- 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
- 개인정보의 기술적·관리적 보호조치에 관한 사항
- 위탁업무의 목적 및 범위
- 재위탁 제한에 관한 사항
- 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
- 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
- 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
③ 개인정보처리자는 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 사항을 정하여 수탁자를 교육하고 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.- 교육 및 감독 대상
- 교육 및 감독 내용
- 교육 및 감독 일정, 방법
⑤ 회사는 수탁업체 직원에게 개인정보 유출시 민ㆍ형사상의 책임을 부과하는 내용의 서약서를 받아야 한다.
제7장 개인정보 유출사고 대응 및 피해구제
-
제27조(취약점 점검)고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 웹 서버 및 응용프로그램에 대해 연 1회 이상 취약점을 점검하고 필요한 보완조치를 하여야 한다.
-
제28조(개인정보 유출사고 대응)
① 개인정보처리자는 개인정보의 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 개인정보 유출 사고 대응 계획을 수립하고 시행하여야 한다.
② 제1항에 따른 개인정보 유출 사고 대응 계획에는 긴급조치, 유출 통지ㆍ조회 및 신고 절차, 고객 민원 대응조치, 현장 혼잡 최소화 조치, 고객불안 해소조치, 피해자 구제조치 등을 포함하여야 한다.
③ 개인정보처리자는 개인정보 유출에 따른 피해복구 조치 등을 수행함에 있어 정보주체의 불편과 경제적 부담을 최소화할 수 있도록 노력하여야 한다.
제8장 정기적인 자체점검
-
제29조(자체점검 주기 및 절차)
① 개인정보 보호책임자는 내부관리계획, 개인정보 보호 관련 법령 등에서 규정하고 있는 사항을 성실히 이행하는지를 연 1회 이상 점검하여야 한다.
② 개인정보 보호책임자는 개인정보 안전성 확보조치 기준 이행 여부 등에 대한 점검이 필요하다고 판단될 때에는 별도의 점검반을 구성하여 자체점검을 시행할 수 있다. -
제30조(자체점검 결과 반영)
① 개인정보 보호책임자는 개인정보 보호를 위한 자체점검 실시결과, 개인정보의 관리·운영상의 문제점을 발견한 때에는 시정·개선 등 필요한 조치를 하여야 한다.
② 개인정보 보호책임자는 개인정보의 안전성 확보를 위한 기술적·관리적 및 물리적 조치 미이행 등 개인정보 보호 업무를 태만히 한 개인정보취급자 등에 대해 해당 업무배제, 전보 등을 관련 부서에 요구를 할 수 있다.
제9장 가명정보의 안전한 관리
-
제31조(가명정보 관리책임자 지정)
① 가명정보 관리책임자는 개인정보 보호책임자로 하며, 가명처리 관련 업무의 총괄‧관리 및 의사결정을 위한 총괄부서(또는 담당자)를 지정할 수 있다.
② 가명정보 관리책임자는 다음 각 호의 업무를 수행한다.- 가명처리 신청(목적)에 대한 적합성 검토
- 가명처리
- 가명처리 적정성 검토
- 가명정보취급자에 대한 관리‧감독
- 가명정보에 대한 안전성 확보조치 수행
- 그 외 안전하고 효율적인 가명정보 처리를 위해 필요한 사항
-
제32조(가명정보취급자의 의무와 책임)
① 가명정보취급자는 가명정보 처리 시 금지의무, 가명정보에 대한 안전조치 의무 등에 관한 사항을 준수하여야 한다.
② 가명처리를 수행한 자와 가명정보의 적정성을 검토하는 자, 가명정보취급자는 관리적·기술적으로 권한을 분리하여야 한다. -
제33조(가명정보취급자의 교육)가명정보처리자는 가명정보 및 추가정보에 접근하는 취급자에 대해 다음 각 호의 사항을 포함하는 가명정보 보호교육을 연 1회 이상 수행하여야 한다.
- 가명정보의 목적 외 활용 금지에 관한 사항
- 가명정보의 재식별 금지에 관한 사항
- 가명정보 재식별 시 즉시 회수 및 삭제에 관한 사항
-
제34조(가명정보 또는 추가정보 접근 권한의 분리)
① 가명정보처리자는 가명정보 또는 추가정보에 접근할 수 있는 담당자를 가명정보 처리 업무 목적달성에 필요한 최소한의 인원으로 엄격하게 통제하여야 하며, 접근 권한도 업무에 따라 차등 부여하여야 한다.
② 가명정보취급자가 가명정보처리시스템 외의 특정 개인을 알아 볼 수 있는 다른 개인정보처리시스템에 접근할 수 없도록 권한을 제한하여야 한다.
③ 전보 또는 퇴직 등 인사이동이 발생하여 가명정보취급자가 변경되었을 경우 지체 없이 가명정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
④ 가명정보처리시스템의 접근 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
⑤ 가명정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 가명정보취급자 별로 사용자계정을 발급하여야 하며, 다른 가명정보취급자 및 개인정보취급자와 공유되지 않도록 하여야 한다.
⑥ 가명정보취급자가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
⑦ 권한 있는 가명정보취급자만이 가명정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 가명정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다. -
제35조(추가정보 별도 분리 보관)
① 가명정보처리자는 추가정보와 가명정보를 분리하여 별도로 저장‧관리하고 가명정보와 불법적으로 결합되어 재식별에 악용되지 않도록 접근 권한을 최소화하고 접근통제를 강화하는 등 필요한 조치를 적용하여야 한다.
② 개인정보처리자는 추가정보와 가명정보를 분리하여 보관하는 것을 원칙으로 하고, 불가피한 사유로 물리적인 분리가 어려운 경우에는 데이터베이스 테이블 분리 등 논리적으로 분리하여 저장‧관리가 가능하며, 이 경우 엄격한 접근통제를 적용하여야 한다.
③ 추가정보의 활용 목적달성 및 불필요한 경우에는 추가정보를 파기할 수 있으며, 이 경우 파기에 대한 기록을 작성하고 보관하여야 한다. -
제36조(가명정보 처리 기록의 작성 및 보관)가명정보처리자는 가명정보 처리 시 다음 각 호의 사항을 작성하여 보관하여야 한다.
- 가명정보 처리의 목적
- 가명처리한 개인정보 항목
- 가명정보의 이용내역
- 제3자 제공 시 제공받는 자
- 가명처리한 날짜
- 가명처리한 사유와 근거
- 그 밖에 가명정보의 처리 내용을 관리하기 위하여 개인정보보호위원회가 필요하다고 인정하여 고시하는 사항
-
제37조(가명정보의 재식별 금지)
① 가명정보처리자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니된다.
② 가명정보처리자는 가명정보를 처리하는 과정에서 특정 개인을 알아볼 수 있는 정보가 생성된 경우에는 즉시 해당 정보의 처리를 중지하고, 지체 없이 회수‧파기하여야 한다. -
제38조(개인정보 처리방침 공개)가명정보처리자는 가명정보 처리와 관련하여 다음 각 호의 사항을 개인정보 처리방침에 포함하여 공개하여야 한다.
- 가명정보 처리 목적
- 가명정보 처리 및 보유 기간(선택)
- 가명정보 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
- 가명정보 처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
- 처리하는 가명정보의 항목
- 가명정보의 안전성 확보 조치에 관한 사항
부 칙
-
본 계획은 2024년 3월 1일부터 시행한다.