제 2 조 (적용범위 )

이 지침은 본사가 개인정보를 처리하는데 있어서 "법", "개인정보보호법", 정보통신망이용촉진 및 정보보호 등에 관한 법률 등의 법령에 관련 규정에 있는 경우에는 해당 법률, 시행령, 시행 규칙이 규정하는 바에 의한다.

제 3 조 (개인정보보호책임자의 지정)

개인정보보호 및 보안 업무를 총괄 관리하고 시행하는 개인정보보호책임자를 본사의 대표자로 한다. 단, [정보통신망 이용촉진 및 정보보호 등에 관한 법률] 제27조에 따른 개인정보관리책임자를 지정한 경우에는 개인정보 보호책임자를 별도로 두지 않을 수 있다.

제 4 조 (개인정보보호책임자의 의무와 책임)

• 1. 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
  • 1) 개인정보 보호 계획의 수립 및 시행
  • 2) 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  • 3) 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  • 4) 개인정보 유출 및 오용남용 방지를 위한 내부통제시스템의 구축
  • 5) 개인정보 보호 교육 계획의 수립 및 시행
  • 6) 개인정보파일의 보호 및 관리감독
• 2. 제1항의 규정을 위반한 경우 관계 법률에 의한 불이익을 받을 수 있다.

제 5 조 ( 개인정보취급자의 범위 및 의무와 책임)

• 1. 개인정보취급자란 본사에서 고객정보 등을 담당하는 모두를 포함한다.
• 2. 개인정보취급자는 직무상 알게 된 개인정보를 누설 하거나 타인에게 제공하는 등 부당한 목적을 위하여 사용하여서는 아니 되며, 수집한 개인정보가 안전하게 보관되고 이용될 수 있도록 관리적, 기술적 조치를 다하여야 한다.
• 3. 개인정보를 취급하는 자는 규정에서 정하는 각자의 책임과 의무를 명시한 보안(비밀유지)서약서를 작성하고 이를 유지·관리하여야 하며, 인사이동 등에 따라 개인정보취급자의 업무가 변경되는 경우에는 개인정보에 대한 접근권한을 변경 또는 말소해야 한다.

제 6 조 (기술적 보호조치)

• 1. 개인정보에 대하여 분실, 도난, 누출 또는 훼손되지 않도록 안전성 확보를 위하여 아래와 같은 기술적 대책을 강구해야 한다.
  • 1) 업무수행에 필요한 최소한의 범위로 권한 차등 부여
  • 2) 방화벽 등 접근통제시스템 설치·운영(업무용 컴퓨터만을 이용해 개인정보 처리시, OS, 보안프로그램의 접근통제기능 이용)
  • 3) 접속기록의 보관 및 위조변조 방지를 위한 조치 (최소 6개월 이상 보관)
  • 4) 보안프로그램의 설치 및 주기적인 갱신점검 조치(백신소프트웨어 등 보안프로그램 설치, 자동 또는 일1회 이상 업데이트)
• 2. 정보보안을 위한 생활수칙을 의무화 한다.
  • 1) 자동업데이트가 가능한 백신 소프트웨어 설치 및 실시간 감시기능 사용
  • 2) 출처, 첨부파일이 의심스러운 E-mail은 열람하지 말고 삭제
  • 3) 운영체계(윈도우 등)에서 제공하는 자동업데이트 및 방화벽 기능 사용
  • 4) 패스워드는 영문, 숫자, 특수기호 등을 조합하여 유추가 어렵도록 설정하고 주기적으로 변경
  • 5) 개인 컴퓨터에 부팅, 로그인, 화면보호기의 패스워드를 설정하고 반드시 사용
  • 6) 공유폴더 사용은 최소화하고 필요할 경우 반드시 비밀번호를 설정하여 사용
  • 7) 웹사이트 방문 시 설치하는 프로그램은 인증서 및 디지털 서명을 참고하여 신뢰성 확인 후 설치
  • 8) 중요한 자료는 패스워드를 설정하여 저장하고 인터넷이 연결된 PC에 저장 금지
  • 9) 정품소프트웨어 사용
  • 10) 중요한 자료는 메일을 통해 주고받지 말고 불가피한 경우 첨부파일에 비밀번호 설정

제 7 조 (물리적 접근제한)

• 1. 정보가 관리되는 전산실, 자료보관실 등은 출입 통제시스템을 설치하여 출입을 제한한다.
• 2. 종이문서 형태의 개인정보파일이 보관되는 곳은 잠금장치를 설치하여 출입 및 열람을 제한하도록 한다.

제 8 조 (자체감사 주기 및 절차)

• 년 1회 이상 개인정보책임자가 기간을 정하여 자체감사를 실시하도록 한다.

제 9 조 (자체감사 결과 반영)

• 1. 개인정보책임자는 자체 감사결과를 바탕으로 도출된 미비점 개선사항에 대하여 즉시 반영하도록 한다.
  • 1) 부적합한 내용을 확인한다.
  • 2) 부적합한 원인을 특정하고, 시정 조치 및 예방 조치 대책을 마련한다.
  • 3) 기한을 정하여 마련된 조치를 시행한다.
  • 4) 시행된 시정 조치 및 예방 조치의 결과를 기록한다.

제 10 조 (개인정보보호 교육의 실시)

• 1. 정보 보호 및 보안 교육과 훈련 대상은 개인정보와 서비스에 관련된 모든 임직원 및 수탁자를 대상으로 한다.
• 2. 정보 보호 및 보안 교육과 훈련은 정기적으로 실시하며, 정보보호정책이나 절차 및 역할의 변경이 있는 경우에는 수시로 실시한다.

부 칙

1. 이 규칙은 2011 년 9월 30부터 제정하여 시행한다.