Enjoy Smart Life
In Green World

개인정보처리방침 v3.0

 

 제 1 장       총칙

제 [ 1 ] 조     목적

1. 본 지침은 누리플렉스에서 처리하는 개인정보를 안전하게 보호하기 위한 구체적 사항을 지정하여 개인정보 오남용 및 불법유출을 방지하여 개인의 권리를 보호함을 목적으로 한다.

2. 개인정보보호 관련 국내/국제법이나 정부정책은 본 지침보다 우선하여 적용된다.

 

제 [ 2 ] 조     적용범위

본 계획은 정보통신망을 통하여 수집이용제공 또는 관리되는 개인정보뿐만 아니라 서면 등 정보통신망 이외의 수단을 통해서 수집, 이용, 제공 또는 관리되는 개인정보(임직원 정보 포함)에 대해서도 적용되며, 이러한 개인정보를 처리하는 내부 임직원 및 외부업체 직원에 대해 적용된다.

 

제 [ 3 ] 조     용어 정의

본 계획에서 사용하는 용어의 정의는 다음 각 호와 같다.

1. “개인정보라 함은 살아 있는 개인에 관한 정보로서 성명∙주민등록번호 및 영상 등에 의하여 개인을 알아볼 수 있는 정보(해당 정보만으로 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.

2. “처리란 개인정보의 수집∙생성∙기록∙저장∙보유∙가공∙편집∙검색∙출력∙정정∙복구∙이용∙제공∙공개∙파기, 그 밖에 이와 유사한 행위를 말한다.

3. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

4. “개인정보보호최고책임자”라 함은 회사의 개인정보보호 업무 및 조직을 총괄하여 지휘하는 자를 말하는 것으로, 필요한 경우 2인 이상을 선임할 수 있다.

5. “개인정보보호관리자개인정보보호담당자라 함은 개인정보보호최고책임자를 보좌하여 개인정보보호업무에 대한 실무를 관리하는 자와 담당하는 자를 말한다.

6. “개인정보처리자라 함은 회사에서 개인정보를 수집∙보관∙처리∙이용∙제공∙관리 또는 파기 등의 업무를 하는 자를 말한다.

7. “개인정보처리시스템이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.

 

제 2 장       내부관리계획의 수립 및 시행

제 [ 4 ] 조     내부관리계획의 수립 및 시행

1. 개인정보보호 담당자는 개인정보보호 관련 법령의 제•개정 사항 등을 반영하기 위하여 정기적(1/) 이상 개인정보보호지침의 타당성을 검토하여야 하며, 개인정보보호지침을 개정할 필요가 있다고 판단되는 경우 개정안을 작성하여 개인정보보호 최고 책임자(CPO)의 승인을 받아 전임직원에게 공표해야 한다.

 

제 3 장       개인정보보호최고책임자의 의무와 책임

제 [ 5 ] 조     개인정보보호최고책임자의 지정

회사는 회사의 임원 또는 그에 준하는 직원 중에서 1인 이상을 개인정보보호최고책임자로 임명한다.

 

제 [ 6 ] 조     개인정보보호최고책임자의 의무와 책임

1. 개인정보보호최고책임자는 개인정보처리자를 최소한으로 제한하여 지정하고 수시로 관리감독하여야 하며, 임직원에 대한 교육 및 보안서약 등을 통해 개인정보 침해사고를 사전에 예방한다.

2. 개인정보보호최고책임자는 개인정보보호의 관리적기술적물리적 보호조치를 실시하고 관리감독 책임을 지며, 개인정보보호와 관련하여 관계법령 등의 위반 사실을 알게 된 경우에는 즉시 개선조치 하여야 한다.

3. 개인정보보호최고책임자는 필요한 경우 개인정보관리에 대하여 실무를 담당하는 개인정보보호관리자와 개인정보보호담당자를 지정하여 관리할 수 있다.

가)   개인정보보호 책임자

     부서: 경영지원실 (홍보IR)

     성명: 최은정 이사

     연락처: 02-781-0792 (ejchoi@nuriflex.co.kr)

나)   개인정보보호 담당자

     부서: 전산관리팀

     성명: 배한 부장

     연락처: 02-781-0637 (sandra55@nuriflex.co.kr)

 

제 [ 7 ] 조     개인정보처리자의 범위 및 의무와 책임

1. 개인정보처리자의 범위는 회사 내에서 고객들의 개인정보 수집보관처리이용제공관리 또는 파기 등의 업무를 수행하는 자를 말하고, 정규직 이외에 임시직이나 계약직 직원도 포함될 수 있다.

2. 개인정보처리자는 고객의 개인정보보호와 관련하여 다음과 같은 역할 및 책임을 이행한다.

가)   개인정보보호 활동 참여

나)   내부관리계획의 준수 및 이행

다)   개인정보의 기술적관리적 보호조치 기준 이행

라)   임직원 또는 제3자에 의한 위법부당한 개인정보 침해행위에 대한 점검 등

마)   기타 정보주체의 개인정보보호를 위해 필요한 사항의 이행

 

제 4 장       개인정보의 수집이용 및 파기 등 처리 절차

제 [ 8 ] 조     개인정보의 수집

1. 회사는 개인정보를 수집할 경우 이용 목적에 필요한 범위 내에서 최소한의 개인정보를 적법하고 정당하게 수집하여야 하며, 그 처리목적에 필요한 범위에서 적법하게 개인정보를 처리하여야 한다.

2. 회사는 다음 각호의 경우에 개인정보를 수집할 수 있다.

가)   정보주체의 동의를 받은 경우

나)   법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우

다)   정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우

라)   정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명신체재산의 이익을 위하여 필요하다고 인정되는 경우

마)   회사의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우. 이 경우 회사의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우에 한한다.

3. 아동의 개인정보 수집 시 법정대리인 동의 획득 방법

가)   14세 미만 아동의 경우 아동의 개인정보를 수집하는 경우에는 법정대리인의 동의를 얻는다.

나)   14세 미만 아동의 법정대리인의 동의를 받기 위하여 해당 아동으로부터 직접 법정대리인의 성명, 연락처에 관한 정보를 수집할 수 있다.

4. 주민번호 수집 및 보관 금지

가)   주민등록번호는 법령에서 지정한 경우를 제외하고는 수집을 금지하며, 타 법령에 따라 수집이 가능한 경우는 정보주체로부터 별도 동의를 받아야 한다.

5. 회사는 개인정보의 처리목적처리 및 보유기간, 수집하는 개인정보의 항목, 정보주체의 권리 의무와 그 행사방법 등이 포함된 개인정보처리방침을 정하고, 이를 회사의 인터넷 홈페이지를 통해 공개하여야 한다. 인터넷 홈페이지에 공개하기 곤란한 경우에는, 이용계약서 등의 서면에 인터넷 홈페이지 주소를 기재함으로써 갈음할 수 있다.

가)   개인정보 처리

     보존 항목: 문의자 성함, 연락처, 이메일, 문의 내용

     보존 근거: 신용정보의 이용 및 보호에 관한 법률

     보존 기간: 5

     계약 또는 청약 철회 등에 관한 기록: 5(전자상거래 등에서의 소비자보호에 관한 법률)

6. 회사는 고객의 권리/이익에 대한 침해가 예상되는 개인정보 및 민감한 정보는 수집할 수 없다.

 

제 [ 9 ] 조     개인정보의 수집에 대한 고지

1. 정보주체로부터 동의를 받고자 하는 경우에는 미리 다음의 사항을 서면 또는 인터넷 홈페이지 등을 통하여 내용을 쉽게 확인할 수 있도록 정보주체에게 고지하거나 개인정보처리방침에 명시하여야 한다.

가)   개인정보의 수집이용 목적

나)   수집하려는 개인정보의 항목

다)   개인정보의 보유 및 이용 기간

라)   동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

마)   3자로부터 수집한 개인정보일 경우 해당 정보의 출처

 

제 [ 10 ] 조  개인정보의 이용 및 제공의 제한

1. 개인정보처리자(취급자)는 개인정보를 고지의 범위 또는 개인정보처리방침에 명시한 범위를 넘어 이용하거나 제3자에게 제공해서는 아니 된다. 다만, 정보주체의 동의가 있거나 다음에 해당하는 경우에는 예외로 한다.

가)   서비스 제공에 따른 요금정산을 위하여 필요한 경우

나)   통계작성·학술연구 또는 시장조사를 위하여 필요한 경우

다)   금융실명거래법 및 비밀보장에 관한 법률, 신용정보의 이용 및 보호에 관한 법률, 전기통신법, 전기통신사업법, 지방세법, 소비자보호법, 형사소송법 등 법률에 특별한 규정이 있는 경우

2. 정보주체에게 개인정보 제공에 대한 동의를 받을 때에는 다음의 사항을 알려야 하며, 다음의 사항 중 어느 하나라도 사항이 변경하는 경우에는 이를 알리고 동의를 받아야 한다.

가)   개인정보를 제공받는 자

나)   개인정보를 제공받는 자의 개인정보 이용 목적

다)   제공하는 개인정보의 항목

라)   개인정보를 제공받는 자의 개인정보 보유 및 이용기간

마)   동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

바)   3자로부터 수집한 개인정보일 경우 해당 정보의 출처

3. 다른 개인정보처리자(취급자)로부터 정보주체의 개인정보를 제공받은 자는 정보주체의 동의가 있거나 법률에 특별한 규정이 있는 경우를 제외하고는 개인정보를 제공받은 목적 외의 용도로 이용하거나 제3자에게 제공하여서는 아니 된다.

 

제 [ 11 ] 조  개인정보 처리의 위탁

1. 개인정보 처리 업무를 위탁 받아 처리하는 자(이하 “수탁자”라 한다)를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등을 종합적으로 고려하여야 한다.

2. 개인정보처리자(취급자)는 타인에게 개인정보의 수집취급관리 등을 위탁하는 경우에는 서면, 전자우편, 전화 또는 홈페이지를 통하여 미리 그 사실을 정보주체에게 고지하여야 한다. , 법률상 개인정보의 처리위탁에 대하여 정보주체의 동의를 필요로 하는 경우에는 관련 법률 규정에 따라 정보주체의 동의를 득하기로 한다.

3. 개인정보처리자(취급자)는 위탁 계약을 체결하는 때에는 수탁자와 다음의 사항을 합의하여 서면 또는 전자적 기록으로 보관하여야 한다.

가)   기술적·관리적 보호의무

나)   개인정보에 관한 비밀유지 의무

다)   처리하는 개인정보의 제3자 제공 금지

라)   내부 규정에 의한 손해배상 책임

마)   기타 개인정보를 안전하게 처리하기 위하여 필요한 사항

4. 개인정보보호 책임자 및 담당자는 위탁 처리되는 개인정보가 안전하게 관리될 수 있도록 수탁자가 성실하게 이행하는지 여부에 대하여 위탁한 업무 범위 내에서 적절한 관리감독을 행하여야 한다.

5. 개인정보의 수집을 위탁 받은 자가 개인정보를 수집하는 때에는 미리 위탁 받은 사실을 정보주체에게 고지하여야 한다

6. 개인정보 수집·취급·관리 등을 위탁 받은 자는 개인정보를 위탁 받은 목적 외의 용도로 이를 이용하거나 제3자에게 제공하여서는 아니 된다.

 

제 [ 12 ] 조  개인정보의 파기

1. 개인정보처리자(취급자)는 개인정보의 수집목적 또는 제공받은 목적을 달성한 때에는 개인정보를 지체 없이 파기하여야 한다. 다만, 다음의 경우에는 예외로 한다.

가)   상법 등 법령의 규정에 의하여 보존할 필요성이 있는 경우

나)   보유기간을 미리 정보주체에게 고지하거나 명시한 경우

다)   개별적으로 정보주체의 동의를 받은 경우

2. 개인정보를 보존하여야 하는 경우에는 해당 개인정보 또는 개인정보 파일을 다른 개인정보와 분리하여 저장•관리해야 한다.

3. 개인정보를 파기하는 때에는 다음의 방법에 의한다.

가)   종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각

나)   전자적 파일 형태로 저장된 개인정보는 기록을 재생할 수 없는 기술적 방법을 이용하여 삭제

 

제 [ 13 ] 조  영업양도 등에 따른 개인정보의 이전

1. 개인정보보호 책임자는 영업의 전부 또는 일부의 양도·합병 등으로 개인정보를 다른 사람에게 이전하는 경우에는 미리 다음의 사항을 서면 등의 방법을 통해 해당 정보주체에게 알려야 한다.

가)   개인정보를 이전하려는 사실

나)   개인정보를 이전 받는 자의 성명(법인의 경우에는 법인의 명칭), 주소, 전화번호 및 그 밖의 연락처

다)   정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차

2. 영업양수자 등은 개인정보를 이전 받았을 때 지체 없이 그 사실을 법령에서 요구하는 방법에 따라 정보주체에게 알려야 한다.

3. 영업양수자 등은 영업의 양도·합병 등으로 개인정보를 이전 받은 경우에는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공할 수 있다.

 

제 [ 14 ] 조  개인정보처리방침의 공개

1. 회사는 개인정보수집 및 이용에 관한 사항, 3자 제공에 관한 사항, 보유 및 이용기간, 파기절차 및 방법, 이용자의 권리 및 행사방법, 위탁 사항 등 개인정보보호 전반에 관한 사항을 이용자가 언제나 쉽게 확인할 수 있도록개인정보처리방침을 공개하거나 고지하여야 한다.

가)   개인정보처리방침 항목

     개인정보의 처리 목적

     개인정보의 처리 및 보유 기간

     개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

     개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

     정보주체의 권리·의무 및 그 행사방법에 관한 사항

     처리하는 개인정보의 항목

     개인정보의 파기에 관한 사항

     개인정보의 안전성 확보 조치에 관한 사항.

     개인정보 보호 책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 그 전화번호 등 연락처

 

제 5 장       정보주체의 권리보장

제 [ 15 ] 조  정보주체의 권리보장

1. 정보주체는 개인정보처리자(취급자)가 처리하는 자신의 개인정보에 대한 열람 및 정정·삭제, 처리 정지 등을 해당 개인정보처리시스템의 개인정보보호 책임자에게 요구할 수 있으며, 개인정보보호 책임자는 정보주체의 권리 요구(회원탈퇴, 내용 정정, 동의 철회 등)에 신속히(요구를 받은 날로부터 10일 이내에) 필요한 조치를 하여야 한다

 

제 6 장       개인정보보호의 관리적•물리적•기술적 조치

제 [ 16 ] 조  관리적 보호조치

1. 개인정보보호 책임자는 정보주체의 개인정보에 대한 접근 및 관리에 필요한 절차 등을 마련하여 개인정보취급자로 하여금 이를 숙지하고 준수하도록 하여야 한다.

2. 개인정보보호 책임자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우, 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다 (1 1계정 사용)

3. 개인정보보호 책임자는 인터넷 홈페이지를 통하여 회원가입 등 서비스 이용계약 체결 또는 서비스제공을 위하여 정보주체의 신용카드 번호, 은행계좌 및 사용내역 등 대금결제에 관한 정보를 수집하거나 정보주체에게 제공하는 경우 식별부호(ID)와 비밀번호 확인 등 정보주체가 본인을 확인하기 위하여 필요한 조치를 하여야 한다.

4. 개인정보보호 책임자는 다음의 사항이 포함된 개인정보의 처리방침을 수립하여야 하며, 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 법령에서 요구하는 방법에 따라 공개하여야 한다

가)   개인정보의 처리 목적

나)   개인정보의 처리 및 보유 기간

다)   개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

라)   개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

마)   정보주체의 권리·의무 및 그 행사방법에 관한 사항

바)   그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

5. 개인정보호책임자는 인터넷 홈페이지를 통해 고유식별정보를 처리하는 경우 고유식별정보가 유출•변조•훼손되지 않도록 연 1회 이상 취약점을 점검하여야 한다.

 

제 [ 17 ] 조  물리적 보호조치

1. 개인정보가 관리되는 전산실, 서버실, 자료보관실 등은 출입통제시스템을 설치하여 출입 및 열람을 제한하고 출입내역을 기록해야 한다.

2. 개인정보가 포함된 서류나 보조기억매체(USB, CD )는 잠금장치가 되어 있는 안전한 장소에 보관하고 출입 및 열람을 제한하여야 한다.

3. 전사 정보보안 주관부서는 개인정보 유출 시 위험성이 크다고 판단되는 경우 개인정보가 포함된 보조저장매체 등의 반출입 통제를 위해 보안검색대 등이 설치된 통제구역에서 근무하도록 권고할 수 있다. 이 외 사항의 경우 정보보안규정의 관련 조항을 따른다.

 

제 [ 18 ] 조  기술적 보호조치

1. 개인정보보호 책임자 및 담당자는 컴퓨터를 이용하여 정보주체의 개인정보를 취급하는 경우 개인정보가 분실, 도난, 유출, 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 다음의 기술적 보호조치를 강구하여야 한다.

가)   업무수행에 필요한 최소한의 범위로 접근 권한 차등 부여(접근 권한 부여/변경/말소에 대한 기록은 최소 3년 이상 보관)

나)   전출 또는 퇴직 등 인사이동이 발생하여 개인정보처리자가 변경되었을 경우 지체 없이 개인정보 처리시스템의 접근권한을 변경 또는 말소

다)   방화벽 등 침입차단시스템의 설치 및 운영

라)   개인정보가 안전하게 저장·전송될 수 있도록 하기 위한 암호화 등 조치

     고유식별정보, 비밀번호, 바이오 정보: 국내·외에서 안전성이 확인된 일방향 해시(hash) 함수를 이용하여 암호화 (SHA-2(SHA-224/256/384/512) )

     주민등록번호: 국내·외에서 안전성이 확인된 암호 알고리즘 사용하여 암호화(AES-192/256bit, ARIA-192/256bit, SEED )

     웹 서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보에 대하여 암호화를 실시하거나 웹 서버에 암호화 응용프로그램을 설치하여 전송하는 정보에 대하여 암호화 실시

마)   접속기록의 보관 및 위·변조 방지를 위한 조치(접속기록은 최소 6개월 이상 보관)

     , 접속기록에는 접근자 식별정보(ID), 접속일시, 접속자 IP, 수행업무(조회, 수정, 삭제, 입력, 인쇄 등)을 포함하여야 한다.

바)   보안프로그램의 설치 및 주기적인 갱신·점검 조치

사)   외부에서 개인정보처리시스템에 접속하는 경우, 안전한 접속 수단 적용(VPN 또는 전용선 등)

아)   주기적인 모의해킹 실시 및 개선을 통한 보안강화 ( 1회 실시 후, 정보보호 관리자가 정보보호 책임자에게 보고)

2. 개인정보취급자 접근 로그 관리

가)   개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 내역과 일시 등을 기록하고 월1회 이상 확인/감독한다. (/변조 방지를 위하여 CD-R, DVD-R 등에 저장하여 정기적인 백업을 수행)

나)   접속기록은 최소 6개월 이상 보관해야 하며, 위·변조 방지 및 손·망실에 대비하여 별도의 물리적 저장장치에 정기적 백업을 수행하도록 한다.

3. 개인정보처리시스템 인증 및 접근 권한

가)   개인정보 취급자를 대상으로 다음과 같은 내용을 포함하는 안전한 패스워드 작성규칙을 수립하고 이를 적용ㆍ운영 해야 한다.

     영문(26), 숫자(10) 특수문자(32) 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

     연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 사용금지

     최초 로그인 시 패스워드 변경하여 접속

     분실된 패스워드는 본인확인 절차를 거쳐 초기화하여 제공

     패스워드 유효기간을 설정하여 주기적(1/)으로 변경

나)   개인정보처리시스템의 접근권한은 업무수행에 필요한 최소한의 범위로 개인정보 취급자 업무에 따라 차등 부여해야 한다. 개인정보처리자는 개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.

다)   전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다.

라)   접근권한 부여, 변경 또는 삭제에 대한 내역을 기록하고 최소 3년간 보관해야 한다.

4. 개인정보처리시스템 접속 기록의 위ㆍ변조 방지

가)   개인정보처리시스템에 접속한 개인정보 취급자의 기록은 최소 6개월 이상 보존ㆍ관리 해야 한다.

나)   개인정보 취급자의 접속기록이 위ㆍ변조 되지 않도록 해당 접속기록을 안전하게 보관하고 주기적(1/반기)으로 확인/감독한다.

5. 개인정보처리시스템 보안프로그램의 설치 및 운영

가)   백신 소프트웨어를 설치하고 실시간 업데이트 기능을 적용해야 한다.

나)   백신소프트웨어는 실시간 감시 등을 위해 항상 실행된 상태를 유지해야 한다.

다)   운영체제(OS)·응용 프로그램의 보안 취약점을 악용하는 악성 프로그램 경보 발령 또는 소프트웨어 제작업체의 보안 업데이트 공지가 있는 경우 업무 연속성을 고려하여 업데이트를 실시해야 한다.

라)   마이크로소프트와 같은 운영체제 업체의 업데이트 공지 시, 응용소프트웨어와의 정합성을 고려하여 보안패치를 적용해야 한다.

마)   바이러스 백신 외 불법SW 차단, PC보안, 개인정보보호 검색 소프트웨어를 PC에 설치하고 정책에 따라 관리하여야 한다.

6. 개인정보의 표시 제한

가)   개인정보처리시스템을 이용하여 개인정보의 조회, 출력 등의 업무 수행 시 업무상 필요한 최소한의 개인정보만 출력되게 한다

나)   업무상 개인정보의 출력이 필요한 경우에도 반드시 필요한 부분을 제외한 나머지 부분은 개인정보 표시 제한(*마스킹)을 적용하여 보호하도록 한다

7. 접근통제

가)   개인정보보호 책임자 및 담당자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 방화벽을 이용하거나 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가 받지 않은 접근을 제한하고, 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지할 수 있는 보안시스템을 설치ㆍ운영 해야 한다.

나)   개인정보 취급자가 공중망을 통해 내부 개인정보처리시스템을 접속하는 경우 가상사설망(VPN) 등 안전한 보호대책을 마련해야 한다.

다)   DB서버를 접속하는 경우 DB접근제어시스템을 통해서만 접근이 가능하도록 보호대책을 마련해야 한다.

라)   방화벽(FW), IPS(침입방어시스템), 웹 방화벽(WAF) 등의 보안장비를 설치하고 관리해야 한다.

마)   P2P, 공유설정, 웹하드 등의 사용을 금한다.

 

제 7 장       개인정보의 침해대응 및 피해구제

제 [ 19 ] 조  침해대응 및 피해구제

1. 개인정보처리자(취급자)는 개인정보가 유출되었음을 알게 되었을 때 정당한 사유가 없는 한 24시간 이내 통지/신고될 수 있도록 지체 없이 개인정보보호 책임자와 개인정보보호 관리부서에 보고해야 한다.

2. 개인정보보호 책임자는 개인정보가 유출되었음을 알게 될 때 지체 없이 해당 정보주체에게 다음 사항을 알려야 한다.

가)   유출된 개인정보의 항목

나)   유출된 시점과 경위

다)   유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 대한 정보

라)   개인정보취급자의 대응조치 및 피해 구제절차

마)   정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

3. 개인정보보호 책임자는 개인정보가 유출된 경우, 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 한다

4. 대통령령으로 정한 규모 이상의 개인정보가 유출된 경우에는 개인정보보호 관리부서에서 통지 및 조치 결과를 지체 없이 행정안전부장관 또는 대통령령으로 정하는 전문기관에 신고해야 한다.