IR내부정보관리규정

내부정보관리규정

총칙

목적
「개인정보 보호법」제29조와 같은 법 시행령에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실, 도난, 유출, 변조, 훼손되지 아니하도록 안전성을 확보하기 위한 기술적, 관리적, 물리적 조치 계획을 수립하는 것을 목적으로 한다.
적용범위
본 계획은 서면, 정보통신망 등의 수단을 통하여 수집 및 이용, 제공되는 등 개인정보가 처리되는 경우에 적용되며, 이 같은 개인정보를 취급하는 내부 임직원 및 외부업체 직원에 대해 적용된다.

내부관리계획의 수립 및 시행

내부관리계획의 수립
  • 가. 내부관리계획의 수립 및 승인 범위
    • 1) 개인정보보호실무자는 한국정보인증의 개인정보보호를 위한 전반적인 사항을 포함하여 내부관리계획을 수립하여야 한다.
    • 2) 개인정보보호실무자는 개인정보보호를 위한 내부관리계획의 수립 시 개인정보보호와 관련한 법령 및 관련 규정을 준수하도록 내부관리계획을 수립하여야 한다.
    • 3) 개인정보보호책임자는 개인정보보호실무자가 수립한 내부관리계획의 타당성을 검토하여 개인정보보호를 위한 내부관리계획을 승인하여야 한다.
    • 4) 개인정보보호실무자는 개인정보보호 관련 법령의 제/개정 사항 등을 반영하기 위하여 매년 12월말까지 내부관리계획의 타당성과 개정 필요성을 검토하여야 한다.
  • 나. 내부관리계획의 공표
    • 1) 개인정보보호책임자는 내부관리계획을 매년 2월말까지 한국정보인증 내 전 임직원에게 공표한다.
    • 2) 내부관리계획은 임직원이 언제든지 열람할 수 있는 방법으로 비치하여야 하며, 변경사항이 있는 경우에는 이를 공지하여야 한다.

개인정보보호 조직

개인정보보호를 위한 조직 구성도
  • 대표이사
  • 개인정보보호 책임자
  • 개인정보보호 담당자대표 전화번호 02-830-4474
개인정보처리자의 구성
  • 가. 개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는 기관으로서 “한국정보인증(주)”를 말함.
  • 나. 개인정보보호책임자 : 개인정보의 처리에 관한 업무를 총괄해서 책임지는 자로서 행정사무를 총괄하고 개인정보처리관련 업무를 담당하는 부서의 장.
  • 다. 개인정보보호담당자 : 개인정보의 처리에 관한 업무를 총괄하는 실무자로서 개인정보보호관련 업무를 담당하는 자.
  • 라. 개인정보취급자 : 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자로서 개인정보파일목록의 각 항목별 담당자.
개인정보책임자의 지정
개인정보책임자는 개인정보보호법시행령 제32조에 의거 행정사무를 총괄하고 개인정보 처리 관련 업무를 담당하는 부서의 장으로 다음과 같이 지정한다.

소 속 직 위 근 거
한국정보인증(주) 이사 개인정보보호법 시행령 제32조
개인정보보호책임자의 의무와 책임
  • 가. 개인정보 보호를 위해 개인정보와 관련된 내부지침을 준수하도록 보호조치를 실시하고 관리 및 감독의 책임
  • 나. 정보주체의 불만사항 접수 및 처리에 대한 책임을 지며, 개인정보를 취급하는 직원에 대해 교육훈련을 수립
  • 다. 개인정보를 취급하는 업무를 외부에 위탁한 경우, 해당 위탁자의 개인정보 관리현황을 지속적으로 확인
  • 라. 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우 즉시 개선조치를 하여야 하며, 필요하면 기관의 장에게 개선조치를 보고해야 함
개인정보보호담당자의 범위 및 의무와 책임
  • 가. 개인정보처리자의 지휘·감독을 받아 개인정보와 관련된 내부지침을 준수하도록 보호조치를 실시하고, 개인정보처리자의 준수 및 이행여부를 관리함
  • 나. 정보주체의 불만사항 접수 및 처리에 대한 실무를 책임지며, 개인정보를 취급하는 직원에 대한 교육훈련을 실시
  • 다. 개인정보를 취급하는 업무를 외부에 위탁한 경우, 해당 위탁자의 개인정보 관리현황을 지속적으로 확인 및 관리
개인정보취급자의 범위 및 의무와 책임
  • 가. 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자로서 개인정보가 안전하게 관리될 수 있도록 함.
  • 나. 개인정보보호 활동에 참여하고, 내부관리계획을 준수 및 이행하며, 개인정보의 기술적, 관리적 보호조치 기준 이행.
  • 다. 소속 직원 또는 제3자에 의한 위법, 부당한 개인정보 침해행위에 대한 점검 행위를 하여야 함.

개인정보 기술적, 관리적 안전조치 대책

개인정보취급자 접근 권한 관리 대책
  • 가. 접근권한 부여 : 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여
  • 나. 접근권한의 관리
    • 1) 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소
    • 2) 접근권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관


[참고] 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개 이하의 사용자 계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 한다.
비밀번호 관리 대책
  • 가. 변경주기 : 최소 반기별 1회 이상 변경
  • 나. 조합규칙 : 영문 대문자, 영문 소문자, 숫자를 조합하여 8자리 이상 10자리 이상으로 구성
  • 다. 적용대상 : 개인정보를 포함하고 있는 파일 또는 시스템
접근통제 대책
  • 가. 업무용 망에 접속되어있는 컴퓨터에서만 개인정보처리시스템 접속이 가능
  • 나. 방화벽 및 유해차단시스템에 인가받지 않은 IP주소의 접근을 차단하고 불법적인 접속 시도를 감시
  • 다. 개인정보가 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보유출차단 시스템을 운영
개인정보의 암호화 대책
  • 가. 암호화 대상 : 정보통신망을 통하여 송, 수신하거나 보조 저장매체 등을 통하여 전달하는 고유식별정보, 비밀번호, 신용카드번호 등 정보
    * 근거 : 개인정보보호법 시행령 제21조 및 제30조제1항제3호
  • 나. 암호화 방법 : 고유식별정보가 담긴 파일에 암호를 설정하여 저장 및 관리
보안프로그램의 설치 및 운영 대책
  • 가. 평시 : 컴퓨터 OS의 보안 자동 업데이트 기능을 사용하거나 주 1회 이상 수동 업데이트를 실시
  • 나. 유사시 : 컴퓨터 OS 제작업체에서 공지된 업데이트를 즉각 실시

개인정보보호 교육

교육 계획의 수립
  • 가. 개인정보보호책임자는 다음 각 호의 사항을 포함하는 연간 개인정보보호 교육계획을 매년 12월말까지 수립한다.
    • 1) 교육목적 및 대상
    • 2) 교육일정 및 방법
  • 나. 개인정보보호책임자는 수립한 개인정보보호 교육 계획을 실시한 이후에 교육의 성과와 개선 필요성을 검토하여 차년도 교육계획 수립에 반영하여야 한다.
교육 내용
개인정보보호교육은 다음의 항목 범위 내에서 실시할 수 있다.
∙ 개인정보보호의 중요성
∙ 내부관리계획의 준수 및 이행
∙ 위험 및 대책이 포함된 조직 보안 정책, 보안지침, 지시 사항, 위험관리 전략
∙ 개인정보시스템 하드웨어 및 소프트웨어를 포함한 시스템의 정확한 사용법
∙ 개인정보의 기술적, 관리적 보호조치 기준 이행
∙ 개인정보보호 위반을 보고해야 할 필요성
∙ 개인정보보호 업무의 절차, 책임, 작업 설명
∙ 개인정보보호 관련자들의 금지 항목
∙ 개인정보보호 준수사항 이행 관련 절차 등
교육 실시
  • 가. 개인정보보호책임자는 고객정보보호에 대한 직원들의 인식재고를 위해 노력해야 하며, 개인정보의 남용 또는 유출 등을 적극 예방하기 위해 임직원 및 개인정보취급자를 대상으로 매년 정기적으로 연1회 이상의 개인정보보호 교육을 실시한다.
  • 나. 연1회의 정기 교육은 전 직원과 개인정보취급자를 대상으로 각 1회씩 실시한다.
  • 다. 교육 방법은 집체 교육, 인터넷 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 외부 전문기관이나 전문요원에 위탁하여 교육을 실시할 수 있다.
  • 라. 개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 변경된 사항이 있는 경우, 개인정보보호책임자는 부서회의 등을 통해 수시 교육을 실시할 수 있다.

개인정보 침해 대응

침해대응 대책
  • 가. 접속기록 관리
    • 1) 신속하게 대응하기 위하여 개인정보취급자가 개인정보 처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리
    • 2) 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전관리
  • 나. 사고사실 고지
    • 1) 침해사고 발생 시 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음의 사실을 고지
      - 유출된 개인정보의 항목
      - 유출된 시점과 그 경위
      - 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
      - 개인정보처리자의 대응조치 및 피해 구제절차
      - 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
    • 2) 사고의 확산 및 추가 유출 방지를 위한 접속경로 차단, 취약점 점검 및 보완, 유출된 개인정보의 삭제 등 긴급조치는 우선 조치한 후 정보주체에게 고지

개인정보 피해 구제

피해구제 대책
  • 가. 피해예방 : 사전에 정보주체에게 피해가 발생하지 않도록 개인정보처리자는 개인정보보호법을 준수하고(본 내부관리 계획의 제1장~제6장에 대한 내용을 숙지하고 조치) 주의와 감독에 만전을 기하여야 함.
    [참고] 개인정보보호법 제39조에 의거하여 정보주체는 개인정보처리자가 법을 위반한 행위로 손해를 입으면 손해를 배상할 수 있다. 이 경우 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.
    또한, 개인정보처리자가 이 법을 준수하고 상당한 주의와 감독을 게을리하지 아니한 경우 개인정보의 분실도난유출변조 또는 훼손으로 인한 손해배상 책임을 감경 받을 수 있다.
  • 나. 분쟁조정위원회 조정신청 : 정보주체가 피해 구제를 위하여 분쟁조정위원회로 분쟁조정을 신청할 경우 조정위원회의 권고를 참고하여 원만한 해결을 위한 합의를 마련해야 함
    [참고] 개인정보보호법 제43조에 의거하여 정보주체는 비용, 절차 등의 사유로 소송을 통한 피해 구제가 어려울 경우 분쟁조정위원회로 분쟁조정을 신청할 수 있다. 이 분쟁조정위원회의 조정은 법원의 판결에 의하지 않고 조정위원회의 권고에 의하여 양당사자가 서로 양보하여 합의로서 해결하는 절차로 당사자가 수락하여 조정이 성립되면 법원의 확정판결과 동일한 효력이 발생하게 된다.