​서울특별시 성동구 연무장5가길7 성수역 현대테라스타워 505호

Corpright(c) 2019 by planbnc.co.,LTD ALL rights reserved

 [제정 2019.04.01]

개인정보보호 내부관리 계획

 

플랜비손해사정앤컨설팅㈜

제 1 장총칙

 

제 1 조(목적)개인정보내부관리계획(이하‘본계획’또는‘내부관리계획’이라한다)은정보통신망이용촉진및정보보호등에관한법률(이하‘정보통신망법’이라한다)의내부관리계획및시행의무에따라제정된것으로플랜비손해사정앤컨설팅(주)(이하 ‘회사’라한다)가취급하는개인정보를체계적으로관리하여개인정보가분실, 도난, 누출, 변조, 훼손, 오․남용등이되지아니하도록함을목적으로한다.

 

제 2 조(적용범위)본 계획은 홈페이지 등의 온라인을 통하여 수집, 이용, 제공 또는 관리되는 개인정보뿐만 아니라 오프라인(서면, 전화, 팩스 등)을 통해 수집, 이용, 제공 또는 관리되는 개인정보에 대해서도 적용되며, 이러한 개인정보를 취급하는 내부 임직원 및 외부업체 직원에 대해 적용된다.

 

제 3 조(용어정의)본계획에서사용하는용어의정의는다음각호와같다.

 

  1. “개인정보”라함은생존하는개인에관한정보로서성명/주민등록번호등에의한정보(해당정보만으로특정개인을알아볼수없어도다른정보와쉽게결합하여알아볼수있는경우에는그정보를포함한다)를말한다. 

  2. “민감정보”라함은사상·신념, 노동조합·정당의가입·탈퇴, 정치적견해, 건강, 성생활등에관한정보, 그밖에정보주체의사생활을현저히침해할우려가있는개인정보로서대통령령으로정하는정보를말한다.

  3. “정보주체”라함은처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람을말한다.

  4. “개인정보보호책임자”라함은회사의개인정보보호업무및조직을총괄하여지휘하는자를말한다.

  5. “개인정보보호관리자”라함은개인정보보호책임자를보좌하여개인정보보호업무에대한실무를총괄하고관리하는자를말하며정보처리시스템운영자를포함한다.

  6. “개인정보담당자”라 함은 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

  7. “개인정보취급자”라함은개인정보처담당자의지휘·감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하여처리하는모든자를말한다.

  8. “개인정보처리시스템”이라함은개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말한다.

 

  1. "정보자산"이라함은플랜비손해사정앤컨설팅(주)(이하“회사”라한다)가소유하고있는영업정보, 문서, 디스크, 응용프로그램, 각종자료등정보로써가치를갖는유·무형의자산과동자산의가치를유지하는데필요한환경(인적, 시설, 장비등)을말한다.

  2. "침해사고"라함은회사의정보자산이무단으로파괴되거나, 유출변조되어업무수행에지장을초래하는사고를말한다.

  3. "개인정보보호위원회"라함은개인정보보호업무에대하여사전협의를통하여기준등을설정하며, 개인정보유출사고의신속한대응을위하여구성된조직을말한다. 

  4. "접근통제"라함은비인가접근및사용으로부터개인정보시스템의자원을보호하기위하여설계된논리적혹은물리적인통제를말한다.

  5. "개인정보보호"라함은정보의수집·가공·저장·검색·송수신중에정보의유출·위변조·훼손등을방지하기위하여관리적·물리적·기술적수단을통해이루어지는행위를말한다.

  6. “영상정보처리기기”란 폐쇄회로텔레비전(CCTV), 네트워크카메라 등 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유․무선망을 통하여 전송하는 일체의 장치를 말한다. 

  7. "코딩"이라 함은 자료 처리를 자동화하기 위해 일정한 규칙에 따라 품목별로 대상번호 또는 문자를 부여하는 것을 말한다. 즉 기계가 알 수 있는 언어를 일정한 명령문에 따라 문자 또는 숫자를 사용해 기호화하는 것을 말한다.

  8. “개인신용정보”라 함은 신용정보 중 개인의 신용도와 신용거래능력 등을 판단할 때 필요한 정보러써 기업 및 법인에 관한 정보를 제외한 개인에 관한 신용정보를 말하며, 개인정보에 포함된다.

  9. “고유식별정보”란 법 제 24 조 및 동법 시행령 제 19 조에 따른 주민등록번호, 운전면허번호, 외국인등록번호, 여권번호를 말한다.

  10. “일방향 암호화”라 함은 데이터를 암호화 할 수 있으나 복호화 할 수 없는 암호화 방식을 말한다.

  11. “양방향 암호화”라 함은 데이터를 암호화 및 복호화 할 수 있는 암호화 방식을 말한다.

 

 

제 2 장(내부관리계획수립및시행)

 

제 4 조(내부관리계획수립및승인)

  • 개인정보보호책임자는회사의개인정보보호를위한전반적인사항을포함하여내부관리계획을수립하여야한다.

  • 개인정보보호책임자는개인정보보호를위한내부관리계획의수립시개인정보보호와관련한법령및관련규정을준수하도록내부관리계획을

수립하여야한다.

  • 개인정보보호책임자는개인정보보호관리자가수립한내부관리계획의타당성을검토하여개인정보보호를위한내부관리계획을승인하여야한다.

  • 개인정보보호관리자는개인정보보호관련법령의제․개정사항등을반영하기위하여매년 11 월말까지내부관리계획의타당성과개정필요성을검토하여야

한다.

  • 개인정보보호관리자는모든항목의타당성을검토한후개정할필요가있다고판단되는경우 12 월말까지내부관리계획의개정안을작성하여개인정보보호책임자에게보고하고개인정보보호책임자의승인을받아야한다.

 

제 5 조(내부관리계획공표)

  • 개인정보보호책임자는前조에따라승인한내부관리계획을매년 1 월말까지회사전임직원에게공표한다.

  • 내부관리계획은임직원이언제든지열람할수있는방법으로비치하여야하며, 변경사항이있는경우에는이를공지하여야한다.

 

 

제 3 장개인정보보호책임자의의무와책임

 

제 6 조(개인정보보호책임자의지정)회사는다음각호의어느하나에해당하는지위에있는자중에서 1 인이상을개인정보보호책임자로임명한다. 단, 필요시개인정보보호책임자가개인정보보호관리자겸임가능함.

  1. 사업주또는대표자

  2. 임원 (임원이없는경우에는개인정보처리관련업무를담당하는부서의장) 개인정보보호책임자 (직책 : 대 표   / 성명 : 김 강 현)

개인정보보호관리자 (직책 : 관리팀팀장 / 성명 : 윤 승 환)

제 7 조(개인정보보호책임자의의무와책임)

①개인정보보호책임자는고객의개인정보보호를위하여다음각호의임무를

수행한다.

  1. 개인정보보호관리자및취급자의의무와책임의규정및개인정보보호관련업무총괄관리

  2. 개인정보보호관련정책및구체적인업무방법결정 3. 내부관리계획승인

  1. 개인정보의기술적․관리적보호조치기준이행총괄

  2. 임직원또는제 3 자에의한위법․부당한개인정보침해행위에대한점검, 대응, 사후조치총괄

  3. 고객으로부터제기되는개인정보에관한고충이나의견의처리및감독총괄

  4. 임직원및개인정보취급업무수탁자등에대한교육총괄

  5. 본계획에규정된개인정보보호와관련된제반조치의시행총괄

  6. 기타고객의개인정보보호에필요한사항

  • 개인정보보호책임자는개인정보취급자를최소한으로제한하여지정하고수시로관리·감독하여야하며, 임직원에대한교육및보안서약등을통해개인정보침해사고를사전에예방한다.

  • 개인정보보호책임자는개인정보관련업무의효율적운영을위하여개인정보취급전담부서의직원중 1 인이상을개인정보보호총괄담당자로임명한다. 개인정보보호총괄담당자 (직책 : 관리팀팀장 / 성명 : 윤승환)

그리고각사업본부팀/파트, 센터, 실의장들을개인정보보호담당자로임명하여개인정보취급을관리토록한다.

개인정보보호담당자 (각센터장, 팀장)

 

제 8 조(개인정보보호관리자의범위및의무와책임)

  • 개인정보보호관리자라함은개인정보보호책임자를보좌하고, 개인정보보호책임자의지시를받아개인정보관리실무및관리를하는자로서각 센터장 및관리팀장을포함하여말한다.

  • 개인정보보호관리자는고객의개인정보보호와관련하여다음과같은역할및책임을이행한다.

  1. 개인정보보호관리실무이행

  2. 개인정보보호내부관리계획수립정책·시행·조정및활동이행

  3. 개인정보보호내부관리계획수립, 세칙의제·개정검토이행

  4. 침해사고에대한예방, 분석, 대책수립이행

  5. 개인정보보호교육계획수립·시행이행

  6. 보안성검토및승인이행

  7. 개인정보보호에필요한제반업무이행

 

제 9 조(개인정보취급자의범위및의무와책임)

  • 개인정보취급자의범위는회사내에서고객들의개인정보수집, 보관, 처리, 이용, 제공, 관리또는파기등의업무를수행하는자를말하고, 정규직이외에임시직, 계약직직원도포함될수있다.

  • 개인정보취급자는고객의개인정보보호와관련하여다음과같은역할및책임을이행한다.

  1. 개인정보보호활동참여

  2. 내부관리계획의준수및이행

  3. 개인정보의기술적, 관리적보호조치기준이행

  4. 제 3 자에의한위법부당한개인정보침해행위발생시보고이행

  5. 기타고객의개인정보보호를위해필요한사항의이행

 

제 10 조(개인정보보호조직구성및운영)

①개인정보보호업무의조직은개인정보보호책임자아래에개인정보보호담당자를지정하고, 개인정보관련업무의효율적인운영을위하여각부서의팀장이분야별관리책임자가되며, 팀원은개인정보취급자가된다.

 

제 4 장개인정보의기술적․관리적․물리적보호조치

 

제 11 조(물리적접근제한)

  • 개인정보관리자는개인정보와개인정보처리시스템의안전한보관을위한물리적잠금장치등의물리적접근방지를위한보호조치를취하여야한다.

  • 개인정보관리자는물리적접근방지를위한별도의보호시설에출입하거나개인정보를열람하는경우, 그출입자에대한출입사실및열람내용에관한관리대장을작성하도록하여야한다.

  • 개인정보관리자는물리적접근제한관리대장의출입및열람내용을주기적으로검토하여정당하지않은권한으로출입하거나열람하는경우가있는지를점검하여확인하여야한다.

  • 외부 방문객이 회사의 보안구역(사무실, 문서고, 서버실, 네트워크실 등)에 출입할 경우, 사전에 아래와 같은 조치가 이루어져야 한다.

    1. 외부 방문객의 해당 책임자는 방문객의 신원과 방문 목적, 방문 시간을 사전에 확인해야 한다.

    2. 해당 책임자는 방문객의 방문 사실에 대하여 개인정보보호담당자 및 책임자에 보고하고, 사전 승인을 받아야 한다.

    3. 해당 책임자는 방문객이 보안구역을 출입하는 동안 동행하여야 한다

  • 외부 방문객이 회사의 보안구역을 출입한 경우, 출입 시간과 목적, 동행인 등의 정보를 기록하여 보관하여야 한다.

  • 보안구역의 책임자는 출입통제장치의 유효성을 파악하기 위하여 아래와 같은 항목을 정기적으로 점검하여야 한다.

    1. 출입통제장치가 제대로 작동하는지 여부

    2. 출입통제장치의 출입권한 정보 점검 (비밀번호의 주기적 변경 여부, 지문인식등록·삭제, 출입 인가자 카드 등록 여부 등)

  • 개인정보보호책임자는 통제구역 설정기준에 따라 경고표시(경고판)을 부착하여야 한다. (통제구역 : 서버실)

  • 개인정보보호책임자는 회사 내의 모든 시스템, 서버, PC 에 대하여 반·출입 이력 관리대장을 작성 하여야 하고, 반·출입 담당자를 지정하고 주기적으로 점검하여야 한다.

       자산 반출입 담당자 (직책 : 관리팀 팀장 / 성명 : 윤승환)

 

제 12 조(개인정보취급자접근권한관리및인증)

  • 개인정보관리자는개인정보처리시스템에대한접근권한을서비스제공에필요한최소한의인원에게만부여한다.

  • 개인정보관리자는개인정보취급업무를담당하는임직원의담당업무에따라개인정보취급권한을부여하며, 부서별/직급별에따라개인정보에대한

접근권한(읽기/쓰기/수정및삭제권한)을차등부여한다.

  • 개인정보관리자는개인정보취급자가전보또는퇴직등인사이동으로변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는

말소한다.

  • 개인정보관리자는개인정보취급자가정보통신망을통하여외부에서개인정보처리시스템에접속이필요한경우에는가상사설망또는전용선등안전한접속수단을적용하여야한다.

  • 개인정보관리자는제 1 항및제 4 항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 5 년간보관한다.

  • 개인정보보호책임자는정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한시스템을설치및운영한다.

  1. 개인정보처리시스템에대한접속권한을 IP 주소등으로제한하여인가받지않은접근을제한

  2. 개인정보처리시스템에접속한 IP 주소등을재분석하여불법적인개인정보유출시도를탐지

  3. 개인정보처리시스템은원칙적으로원격접속이불가능하며부득이한경우에는책임자승인, 접속단말사용자인증, 접속단말보안등의보호대책을수립하여접속하여야한다.

  • 개인정보보호책임자는개인정보취급자가생일, 주민등록번호, 전화번호등추측하기쉬운숫자나개인관련정보를패스워드로이용하지않도록비밀번호작성규칙(영문+숫자+특문 10 자리이상)을설정하고, 이를적용및운용하여야한다. 또한비밀번호변경주기는 (90 일이내)로설정하여야한다. 개인정보취급자는개인정보보호책임자가설정한비밀번호작성규칙을준수하여야한다.

  • 개인정보보호책임자는취급중인개인정보가인터넷홈페이지, P2P, 공유설정(공유폴더) 등을통해열람권한이없는자에게공급되지않도록개인정보처리시스템및개인정보취급자의컴퓨터에조치를취하여야한다.

  1. 도박, 증권, 음란, 토렌트, 웹하드, P2P, 클라우스서비스또는사이트에대한접속을제한

  2. 허용된소프트웨어이외의크랙, 불법프로그램의설치또는사용을제한

  • 개인정보보호책임자는외부저장매체사용을통제하고보안씰등추가적인물리적통제조치를적용할수있다.

  • 개인정보책임자는시스템에대한접근시도를확인하기위해운영체제의감사정책을설정하도록조치를취하여야한다.

(감사정책설정항목 : 계정관리감사 / 로그온이벤트감사 / 계정로그온이벤트감사 / 시스템이벤트감사의성공, 실패내역), (UAC(User Access Control)

기본값이상으로설정)

 

제 13 조(개인정보의암호화)

  • 개인정보관리자는주민등록번호, 신용카드번호및계좌번호에대해서는안전한암호알고리즘으로암호화하여저장하도록조치하고, 특히비밀번호를저장하는경우에는복호화되지아니하도록일방향암호화하여저장하도록

하여야한다.

  • 개인정보관리자는정보통신망을통해고객의개인정보및인증정보를송·수신할때에는안전한보안서버구축등의조치를통해이를암호화해야한다.

  • 개인정보취급자는정보주체의개인정보를정보통신망을통하여송‧수신하거나보조저장매체등을통하여전달하는경우에는이를암호화하여야한다.

  • 개인정보관리자는인터넷구간및인터넷구간과내부망의중간지점(DMZ)에고유식별정보를저장하는경우에는이를암호화하여야한다. 

  • 개인정보담당자또는개인정보취급자는개인정보를업무용컴퓨터(PC)에저장할때에는상용암호화소프트웨어또는안전한암호화알고리즘을사용하여암호화저장하여야한다.

 

제 14 조(암호화키관리)

  • 개인정보보호를위하여저장되어있는 DB 칼럼은공인된암호화알고리즘을통하여암호화·복호화되어야한다.

  • 암호화키에대한이슈사항발생시절차에따라암호화키변경후폐기를시행하여야한다.

  1. 변경절차 : 기존에암호화키를통한복호화수행후키관리서버를통하여신규암호화키생성후어플리케이션을이용하여신규암호화키를이용하여암호화를시행하여야한다.

  2. 폐기절차 : 암호화키가설치된서버로접속하여암호화키파일을삭제수행하여야한다.

  3. 기록관리 : 상기 1,2 가발생시기록관리를수행하여야한다.

 

제 15 조(접속기록의위변조방지)

  • 개인정보관리자는접속기록의위․변조방지를위해개인정보취급자가개인정보처리시스템에접속하여개인정보를처리(입/출력, 수정, 등 DB 접근)하는경우에는처리일시, 처리내역등접속기록을저장한다.

  • 개인정보관리자는제 1 항의접속기록에대해분기 1 회이상정기적으로

확인·감독한다.

  • 개인정보관리자는제 1 항의접속기록에대해위․변조방지를위해별도의저장매체에백업보관하며, 보관기간은최소 6 개월이상으로한다.

 

제 16 조(보안프로그램의설치및운영)

  • 개인정보관리자는개인용컴퓨터(PC) 등을이용하여개인정보를취급하는경우개인정보가분실, 도난, 누출, 변조또는훼손되지아니하도록안전성확보를위한백신프로그램등의보안프로그램을설치·운영하여야한다.

  • 보안프로그램의자동업데이트기능을사용하거나, 일 1 회이상업데이트를실시하여최신의상태로유지하여야한다.

  • 보안프로그램의최신업데이트를적용하기위하여자동업데이트설정및실시간감시기능을적용하여야한다.

  • 발견된악성프로그램등에대해삭제등대응조치하여야한다.

  • 또한악성프로그램예방을위한한국인터넷진흥원등에서공지하는매뉴얼에의거하여적용한다.

 

제 17 조(개인정보파기및절차)

  • 개인정보취급자는보유기간의경과, 개인정보의처리목적달성등그개인정보가불필요하게되었을때에는지체없이그개인정보를파기하여야한다. 다만, 다른법령및위탁사에서정한기간에따라보존하여야하는경우에는그러하지아니하다.

  • 개인정보취급자가제 1 항에따라개인정보를파기할때에는복구또는재생되지않는방법으로다음각호의사항으로조치하고관리한다.

  1. 종이문서 : 각사무실에비치된파쇄기를통하여즉시파쇄및계약된파쇄업체를통한관리자관리감독하의파쇄조치

  2. 전자파일 : 복구및재생할수없는기술적방법사용하며, 전자파기는다른법령이나위탁사에서정한기간이없는경우, 서버상의목적달성후 3 개월에자동파기하도록하며개인별사용자 PC 의전자파일은불필요하게되었을경우

지체없이프로그램(Shadow Cube, SDelete)을이용하여완전삭제조치하고, 빈공간삭제는월 2 회(1 일, 16 일) 실시후 PC 에저장하고(이미지,실행로그) 그외는저장매체파기관리대장(빈공간삭제) 양식에작성하여보관한다.

  1. HDD : 영구삭제소프트웨어(BCWipe) 사용

③개인정보취급자, 개인정보담당자, 개인정보관리자가제 1 항단서에따라개인정보를파기하지아니하고보존하여야하는경우에는아래와같은조치를취하여야한다.

  1. 개인정보보호책임자가해당개인정보의별도보관을승인하여야한다.

  2. 해당개인정보또는개인정보파일을다른개인정보와분리하여보관한다.

  3. 해당개인정보는인가자외접근할수없도록별도의접근제어조치를적용해야한다.

  4. 해당개인정보의보관기간과장소, 목적, 관리자를명시하여야한다.

  5. 별도보관중해당개인정보를조회하는경우, 그내역을기록하여보관하여야

한다.

  1. 해당개인정보의보관기간이만료되면개인정보보호책임자가파기를승인하고파기결과를기록하여보관하여야한다.

 

제 18 조(영상정보처리기기의설치및운영관리)

① 회사는 정보주체가 영상정보처리기기가 설치·운영 중임을 쉽게 알아볼 수 있도록 다음 각 호의 사항을 기재한 안내판 설치 등 필요한 조치를 하고, 별도의 영상정보처리기기 설치 운영방침을 운영한다. 

  1. 설치목적 및 장소

  2. 촬영범위 및 시간

  3. 관리책임자의 성명 또는 직책 및 연락처

  4. 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처

② 회사는 다음 각 호의 경우를 제외하고는 개인영상정보를 수집 목적 이외로 이용하거나 제 3 자에게 제공하지 아니한다.  1. 정보주체에게 동의를 얻은 경우

  1. 다른 법률에 특별한 규정이 있는 경우

  2. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제 3 자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인영상정보를 제공하는 경우

  • 회사는 수집한 개인영상정보를 영상정보처리기기 운영·관리 방침에 명시 한 보관 기간이 만료한 때에는 지체없이 파기하여야 한다. 다만, 다른 법령에 특별한 규정이 있는 경우에는 예외로 한다.

  • 회사는 개인영상정보를 수집 목적 이외로 이용하거나 제 3 자에게 제공하는 경우에는 다음 각 호의 사항을 기록하고 이를 관리한다.

  1. 개인영상정보 파일의 명칭 

  2. 이용하거나 제공받은 자(공공기관 또는 개인)의 명칭 

  3. 이용 또는 제공의 목적 

  4. 법령상 이용 또는 제공근거가 있는 경우 그 근거

  5. 이용 또는 제공의 기간이 정하여져 있는 경우에는 그 기간

  6. 이용 또는 제공의 형태

⑤ 회사가 개인영상정보를 파기하는 경우에는 다음 사항을 기록하고 관리한다.

  1. 파기하는 개인영상정보 파일의 명칭 

  2. 개인영상정보 파기 일시 (사전에 파기 시기 등을 정한 자동 삭제의 경우에는 파기 주기 및 자동 삭제 여부에 대한 확인 시기) 

  3. 개인영상정보 파기 담당자

 

제 19 조(모바일기기및무선인터넷접근통제)

  1. 개인정보취급자는 모바일기기를 통한 개인정보를 수집∙이용∙저장 하는 것을 원칙적으로 금지하되 불가피하게 수집∙이용∙저장 해야 될 경우 목적달성 후 즉시 파기하여야 한다.

  2. 개인정보책임자/관리자는 모바일기기 사용에 관하여 개인정보취급자에게 주기적인 교육을 통하여 모바일기기 사용 금지를 숙지시키고 매월 1 일 개인정보취급자에게 목적달성 된 개인정보의 확인 및 파기여부를 지시한다.

  3. 개인정보책임자/관리자는 개인정보취급자에 대하여 모바일기기 사용금지 서약서를 수령 및 관리하여야 한다.

  4. 개인정보취급자는 모바일기기 사용금지 서약서 서명 후 모바일기기 사용에 따라 발생하는 문제점에 대하여 모든 책임을 감수하여야 한다.

  5. 개인정보책임자/관리자는 무선인터넷 설치를 원칙적으로 불허하며 연 1 회 사업장 점검 시 무선장비 설치 여부를 확인한다.

제 20 조(코딩표준정의)

1. 웹 기반의 시스템을 개발할 경우 아래와 같은 시큐어 코딩 방법 중 필수적인 사항과 선택사항을 고려하여 구현해야 한다.

<필수사항>

  1. 웹 기반의 시스템에서 인증과 관련한 정보를 주고받을 때에는 암호화하여 주고받도록 한다.

  2. 웹 기반의 시스템에서 민감정보를 포함한 개인정보등을 전송할 때에는, GET 방식을 지양하고 POST 방식을 이용한다.

  3. 텍스트를 입력하여 서버에 전송하는 경우, 스크립트 언어를 사용할 수 없도록 일정 단어와 특수문자를 제한한다.

  4. 입력 신호가 일정 시간 없을 경우 세션이 영구적으로 유지되지 않도록 한다.

  5. 세션 쿠키 정보가 제 3 자에게 탈취되어 재사용되지 않도록 한다.

 

<선택사항>

  1. 웹 기반의 시스템의 경우 소스가 보이지 않도록 구조적 난독화 또는 구문의 난독화를 실시하여야 한다.

  2. 텍스트 외 파일을 서버에 등록할 경우 파일의 확장자와 성격을 업무의 필요성에 맞게 제한·통제한다.

 

 

제 21 조(개인정보표시제한보호조치)

① 회사는 개인정보 업무처리를 목적으로 개인정보의 조회, 출력 등의 업무를 수행하는 과정에서 개인정보보호를 위하여 다음 각 호의 사항을 마스킹하여 표시제한 조치를 취한다.

  1. 주민등록번호(생년월일포함) 13 자리

  2. 성명중이름의첫번째글자이상 (보험사기준에따름)

  3. 전화번호또는휴대전화번호의국번 (보험사기준에따름)

  4. 진단명

② 1 항각호의경우를제외한추가요청이있을경우검토후결재를통해결정하도록한다. 

 

제 22 조(주민등록번호처리의제한)

① 개인정보취급자는 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.

1. 법령에서구체적으로주민등록번호의처리를요구하거나허용한경우2. 정보주체또는제 3 자의급박한생명, 신체, 재산의이익을위하여명백히필요하다고인정되는경우

3. 제 1 호및제 2 호에준하여주민등록번호처리가불가피한경우로서행정자치부령으로정하는경우

  • 개인정보취급자는제 1 항각호에따라주민등록번호를처리하는경우에도정보주체가인터넷홈페이지를통하여회원으로가입하는단계에서주민등록번호를사용하지아니하고도회원으로가입할수있는방법을제공하여야한다.

  • 행정자치부장관은개인정보취급자가제 2 항에따른방법을제공할수있도록관계법령의정비, 계획의수립, 필요한시설및시스템의구축등제반조치를마련·지원할수있다.

※ 기보유주민번호중법령상근거가없는겨우법시행후 2 년이내파기원칙 (행정자치부기준)

 

제 5 장정기적인자체감사

 

제 23 조(자체감사주기및절차)

  • 개인정보보호책임자는개인정보보호를위한내부관리계획및관련법령에서정하는개인정보보호규정을성실히이행하는지를주기적으로감사또는

점검하여야한다.

  • 개인정보보호책임자는개인정보자체감사를위한감사대상, 감사절차및방법등감사의실시에관하여필요한별도의계획을수립할수있다. ③ 개인정보보호자체감사는매월팀별자체점검을실시한다.

  • 팀별자체점검결과를토대로최소연 1 회현장실사를실시하며, 미흡사항개선후중대미흡사항발생팀에대하여 2 차현장실사를실시한다.

  • 최소연 1 회업무용자산에대한사용자, 사용현황, 변경이력, 보안점검, 정품라이선스사용현황등을전사적으로실시하며, 미흡사항즉시개선및중대사항은개선시까지중복점검을실시한다.

 

제 24 조(자체검사결과반영)

  • 개인정보보호책임자는개인정보보호를위한자체감사실시결과, 개인정보의관리․운영상의문제점을발견하거나관련직원이본계획의내용을위반할때에는시정·개선또는인사발령등필요한조치를취하여야한다.

  • 개인정보보호책임자는개인정보위반사실에대한시정․개선조치가이행되지않거나, 개인정보보호에심각한영향이발생할수있는우려가되는경우개인정보취급자등에대한인사발령등의필요한추가조치를취할수있다.

  • 개인정보보호책임자는퇴사시, 조사보고서서면복사및외장하드저장등회사서류유출사실이확인된직원에대해서는개인정보보호법에따라민형사상필요한처벌에대하여필요한조치를취할수있다. 따라서직원퇴사시사직서가상신되면필요에따라퇴사자 PC 확인, 프린터출력로그확인등개인정보유출관련사항에대해사전감사를할수있다. 

⑥정보보안위반자에대해서는위반내용에대한재교육을실시할수있다.

 

 

 

제 25 조(개인정보처리시스템자체점검)

①개인정보보호관리자는개인정보주체및위탁자의개인정보를안전하게보관·처리하기위하여아래와같이개인정보처리시스템의내·외부위험요인을미리파악하여야한다.

  1. 점검대상 : Web 서버, DB/File 서버

  2. 점검일시 : 연 2 회 (상반기, 하반기각 1 회실시)

  3. 점검자 : 개인정보보호관리자 (직책 : 관리팀팀장 / 성명 : 윤승환)

  4. 점검항목

    1. 기본점검항목 : 접근제어설정, 시스템로그설정및상태, 서버운영설정및상태

    2. 심층점검항목 : SQL Injection, XSS, CSFR

    3. 기타점검항목 : 쿠키(스파이더), 브라우저확장도구(앱), 로컬프록시진단

  5. 점검도구 : 각보안솔루션및 OWASP 점검도구(OWASP ZAP)

②개인정보보호관리자는개인정보처리시스템자체점검결과에대하여아래와같이조치하여야한다.

③개인정보보호관리자는개인정보처리시스템자체점검결과와조치결과에대하여개인정보보호책임자및대표이사에보고하여야한다.

 

 

제 6 장개인정보보호교육

 

제 26 조(개인정보보호교육계획의수립)

①개인정보보호책임자는다음각호의사항을포함하는연간개인정보보호교육계획을매년 12 월말까지수립한다.

  1. 교육목적및대상

  2. 교육내용

  3. 교육일정및방법

②개인정보보호책임자는수립한개인정보보호교육계획을실시한이후에교육의성과와개선필요성을검토하여차년도교육계획수립에반영하여야한다.

 

 

제 27 조(개인정보보호교육의실시)

  • 개인정보보호책임자는고객정보보호에대한직원들의인식제고를위해노력해야하며, 개인정보의오·남용또는유출등을적극예방하기위해임․직원을대상으로매년정기적으로연 4 회이상의개인정보보호교육을

실시한다.

  • 연 4 회의정기교육은분기별첫째주금요일에실시한다. (단, 교육시부재중인직원에대하여추가교육을실시하고교육확인란에서명후증빙으로보관한다.)

  • 인보험사업본부개인정보취급자에한하여개인정보보호교육은매월 1 회실시한다.

  • 교육방법은집체교육뿐만아니라, 인터넷교육, 그룹웨어교육등다양한방법을활용하여실시하고, 필요한경우외부전문기관이나전문요원에위탁하여교육을실시할수있다.

  • 개인정보보호에대한중요한전파사례가있거나개인정보보호업무와관련하여변경된사항이있는경우, 개인정보보호책임자는부서회의등을통해수시교육을실시할수있다.

 

제 7 장개인정보유출시사고대응

 

제 28 조(개인정보유출탐지시사고대응)

  • 개인정보보호책임자는개인정보가내·외부요인에의해유출될경우, 후속피해의최소화및예방을위한조치및피해구제를위하여정보주체에및관련기관에통지하여야한다.

 

  • 개인정보유출사고의신속한대응을위하여사내개인정보보호위원회를설치하고, 아래와같이운영한다.

 

  • 설치부서 : 관 리 팀

  • 총괄지휘 : 개인정보보보호책임자

  • 위원 : 개인정보보호책임자를 포함하여, 임원 및 각 사업본부총괄

  • 대응팀장 : 개인정보보호담당자

  • 대응팀원 : 개인정보취급자

제 29 조(개인정보유출탐지시통보등처리체계수립)

  • 통지의시기는사고발생후유출현황, 사건경위및잠정적원인파악후통지하여야한다.

  • 통지내용

  • 유출된개인정보의항목

  • 유출된시점과그경위

  • 유출로인한피해최소화를위한방법

  • 개인정보담당자및취급자의대응조치및피해구제절차

  • 피해접수위한담당부서및연락처

③통지방법

  • 웹사이트첫화면게재

  • 전화

  • 이메일등

④대책마련

  • 유출사고원인분석

  • 기술지원의뢰및복구

  • 직원징계, 사법조치의뢰

  • 유사사고재발방지대책수립

 

 

제 8 장재해·재난대비안전조치

 

제 30 조(재해·재난대비안전조치)

  • 개인정보보호관리자및개인정보보호담당자는화재, 홍수, 단전등의재해재난발생시개인정보처리시스템보호를위한위기대응매뉴얼등대응절차를마련하고정기적으로점검하여야한다.

  • 개인정보보호관리자는재해재난발생시개인정보처리시스템백업및복구를위한계획을마련하여야한다.