내부정보관리규정

총칙 

목적

「개인정보보호법」 제29조와 같은 법 시행령에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실, 도난, 유출, 변조, 훼손되지 아니하도록 안전성을 확보하기 위한 기술적, 관리적, 물리적 조치 계획을 수립하는 것을 목적으로 한다.



적용범위

본 계획은 서면, 정보통신망 등의 수단을 통하여 수집 및 이용, 제공되는 등 개인정보가 처리되는 경우에 적용되며, 이 같은 개인정보를 취급하는 내부 임직원 및 외부업체 직원에 대해 적용된다.



내부관리계획의 수립 및 시행

내부관리계획의 수립

가. 내부관리계획의 수립 및 승인 범위

1) 개인정보보호실무자는 ㈜와이즈버즈의 개인정보보호를 위한 전반적인 사항을 포함하여 내부관리계획을 수립하여야 한다. 

2) 개인정보보호실무자는 개인정보보호를 위한 내부관리계획의 수립 시 개인정보보호와 관련한 법령 및 관련 규정을 준수하도록 내부관리계획을 수립하여야 한다. 

3) 개인정보보호책임자는 개인정보보호실무자가 수립한 내부관리계획의 타당성을 검토하여 개인정보보호를 위한 내부관리계획을 승인하여야 한다. 

4) 개인정보보호실무자는 개인정보보호 관련 법령의 제/개정 사항 등을 반영하기 위하여 매년 12월말까지 내부관리계획의 타당성과 개정 필요성을 검토하여야 한다.



나. 내부관리계획의 공표

1) 개인정보보호책임자는 내부관리계획을 매년 2월말까지 와이즈버즈 내 전 임직원에게 공표한다.

2) 내부관리계획은 임직원이 언제든지 열람할 수 있는 방법으로 비치하여야 하며, 변경사항이 있는 경우에는 이를 공지하여야 한다.



개인정보보호 조직

개인정보보호를 위한 조직 구성도 

대표이사


개인정보보호 책임자


개인정보보호 담당자
대표 전화번호 02-538-8897



개인정보처리자의 구성

가. 개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위하여 개인정보를 처리하는 기관으로서 “(주)와이즈버즈”를 말함.

나. 개인정보보호책임자 : 개인정보의 처리에 관한 업무를 총괄해서 책임지는 자로서 행정사무를 총괄하고 개인정보처리관련 업무를 담당하는 부서의 장.

다. 개인정보보호담당자 : 개인정보의 처리에 관한 업무를 총괄하는 실무자로서 개인정보보호관련 업무를 담당하는 자.

라. 개인정보취급자 : 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자로서 개인정보파일목록의 각 항목별 담당자.




개인정보처리자의 지정

개인정보책임자는 개인정보보호법 시행령 제32조에 의거 행정사무를 총괄하고 개인정보 처리 관련 업무를 담당하는 부서의 장으로 다음과 같이 지정한다.


소 속

직 위

근 거

(주)와이즈버즈

이사

개인정보보호법 시행령 제32조


개인정보보호책임자의 의무와 책임

가. 개인정보 보호를 위해 개인정보와 관련된 내부지침을 준수하도록 보호조치를 실시하고 관리 및 감독의 책임

나. 정보주체의 불만사항 접수 및 처리에 대한 책임을 지며, 개인정보를 취급하는 직원에 대해 교육훈련을 수립

다. 개인정보를 취급하는 업무를 외부에 위탁한 경우, 해당 위탁자의 개인정보 관리현황을 지속적으로 확인

라. 개인정보 보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우 즉시 개선조치를 하여야 하며, 필요하면 기관의 장에게 개선조치를 보고해야 함



개인정보보호담당자의 범위 및 의무와 책임

가. 개인정보처리자의 지휘·감독을 받아 개인정보와 관련된 내부지침을 준수하도록 보호조치를 실시하고, 개인정보처리자의 준수 및 이행여부를 관리함

나. 정보주체의 불만사항 접수 및 처리에 대한 실무를 책임지며, 개인정보를 취급하는 직원에 대한 교육훈련을 실시

다. 개인정보를 취급하는 업무를 외부에 위탁한 경우, 해당 위탁자의 개인정보 관리현황을 지속적으로 확인 및 관리



개인정보취급자의 범위 및 의무와 책임

가. 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 자로서 개인정보가 안전하게 관리될 수 있도록 함.

나. 개인정보보호 활동에 참여하고, 내부관리계획을 준수 및 이행하며, 개인정보의 기술적, 관리적 보호조치 기준 이행.

다. 소속 직원 또는 제3자에 의한 위법, 부당한 개인정보 침해행위에 대한 점검 행위를 하여야 함.



개인정보 기술적, 관리적 안전조치 대책

개인정보취급자 접근 권한 관리 대책

가. 접근권한 부여 : 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여

나. 접근권한의 관리

1) 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소

2) 접근권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관


[참고] 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개 이하의 사용자 계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 한다.


비밀번호 관리 대책

가. 변경주기 : 최소 반기 별 1회 이상 변경

나. 조합규칙 : 영문 대문자, 영문 소문자, 숫자를 조합하여 8자리 이상 10자리 이상으로 구성

다. 적용대상 : 개인정보를 포함하고 있는 파일 또는 시스템



접근통제 대책

가. 업무용 망에 접속되어 있는 컴퓨터에서만 개인정보처리시스템 접속이 가능

나. 방화벽 및 유해차단시스템에 인가 받지 않은 IP주소의 접근을 차단하고 불법적인 접속 시도를 감시

다. 개인정보가 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보유출차단 시스템을 운영



개인정보의 암호화 대책

가. 암호화 대상 : 정보통신망을 통하여 송, 수신하거나 보조 저장매체 등을 통하여 전달하는 고유식별정보, 비밀번호, 신용카드번호 등 정보

* 근거 : 개인정보보호법 시행령 제21조 및 제30조 제1항 제3호

나. 암호화 방법 : 고유식별정보가 담긴 파일에 암호를 설정하여 저장 및 관리



보안프로그램의 설치 및 운영 대책

가. 평시 : 컴퓨터 OS의 보안 자동 업데이트 기능을 사용하거나 주 1회 이상 수동 업데이트를 실시

나. 유사시 : 컴퓨터 OS 제작업체에서 공지된 업데이트를 즉각 실시



개인정보보호 교육

교육 계획의 수립

가. 개인정보보호책임자는 다음 각 호의 사항을 포함하는 연간 개인정보보호 교육계획을 매년 12월말까지 수립한다

1) 교육목적 및 대상

2) 교육일정 및 방법

나. 개인정보보호책임자는 수립한 개인정보보호 교육 계획을 실시한 이후에 교육의 성과와 개선 필요성을 검토하여 차년도 교육계획 수립에 반영하여야 한다.



교육 내용

개인정보보호교육은 다음의 항목 범위 내에서 실시할 수 있다.

∙ 개인정보보호의 중요성

∙ 내부관리계획의 준수 및 이행

∙ 위험 및 대책이 포함된 조직 보안 정책, 보안지침, 지시 사항, 위험관리 전략

∙ 개인정보시스템 하드웨어 및 소프트웨어를 포함한 시스템의 정확한 사용법

∙ 개인정보의 기술적, 관리적 보호조치 기준 이행

∙ 개인정보보호 위반을 보고해야 할 필요성

∙ 개인정보보호 업무의 절차, 책임, 작업 설명

∙ 개인정보보호 관련자들의 금지 항목

∙ 개인정보보호 준수사항 이행 관련 절차 등



교육 실시

가. 개인정보보호책임자는 고객정보보호에 대한 직원들의 인식재고를 위해 노력해야 하며, 개인정보의 남용 또는 유출 등을 적극 예방하기 위해 임직원 및 개인정보취급자를 대상으로 매년 정기적으로 연1회 이상의 개인정보보호 교육을 실시한다.

나. 연1회의 정기 교육은 전 직원과 개인정보취급자를 대상으로 각 1회씩 실시한다.

다. 교육 방법은 집체 교육, 인터넷 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 외부 전문기관이나 전문요원에 위탁하여 교육을 실시할 수 있다.

라. 개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 변경된 사항이 있는 경우, 개인정보보호책임자는 부서회의 등을 통해 수시 교육을 실시할 수 있다.



개인정보 침해 대응

침해대응 대책

가. 접속기록 관리

1) 신속하게 대응하기 위하여 개인정보취급자가 개인정보 처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리

2) 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전관리

나. 사고사실 고지

1) 침해사고 발생 시 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음의 사실을 고지

- 유출된 개인정보의 항목

- 유출된 시점과 그 경위

- 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

- 개인정보처리자의 대응조치 및 피해 구제절차

- 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

2) 사고의 확산 및 추가 유출 방지를 위한 접속경로 차단, 취약점 점검 및 보완, 유출된 개인정보의 삭제 등 긴급조치는 우선 조치한 후 정보주체에게 고지



개인정보 피해 구제

피해구제 대책

가. 피해예방 : 사전에 정보주체에게 피해가 발생하지 않도록 개인정보처리자는 개인정보보호법을 준수하고(본 내부관리 계획의 제1장~제6장에 대한 내용을 숙지하고 조치) 주의와 감독에 만전을 기하여야 함.


[참고] 개인정보보호법 제39조에 의거하여 정보주체는 개인정보처리자가 법을 위반한 행위로 손해를 입으면 손해를 배상할 수 있다. 이 경우 개인정보처리자는 고의 또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다. 또한, 개인정보처리자가 이 법을 준수하고 상당한 주의와 감독을 게을리하지 아니한 경우 개인정보의 분실도난유출변조 또는 훼손으로 인한 손해배상 책임을 감경 받을 수 있다.


나. 분쟁조정위원회 조정신청 : 정보주체가 피해 구제를 위하여 분쟁조정위원회로 분쟁조정을 신청할 경우 조정위원회의 권고를 참고하여 원만한 해결을 위한 합의를 마련해야 함


[참고] 개인정보보호법 제43조에 의거하여 정보주체는 비용, 절차 등의 사유로 소송을 통한 피해 구제가 어려울 경우 분쟁조정위원회로 분쟁조정을 신청할 수 있다. 이 분쟁조정위원회의 조정은 법원의 판결에 의하지 않고 조정위원회의 권고에 의하여 양당사자가 서로 양보하여 합의로서 해결하는 절차로 당사자가 수락하여 조정이 성립되면 법원의 확정판결과 동일한 효력이 발생하게 된다.



체계적이고 전문화된 서비스를 경험해보세요


Korea(본사)

경기도 성남시 수정구 금토로 69
다우디지털스퀘어 5층
Email. ad@wisebirds.co.kr

Japan

105-0012 Tokyo, Minato City, Shibadaimo
1 Chome−9−9 Nomura fudousan Bldg, 6F
Tel. +81-3-6435-6205ㅣEmail. contact@wisebirds.jp

ⓒ Wisebirds Corp. All rights reserved.