엑셀 자동화프로그램, 업무양식 및 자료

문서 식별

제.개정 현황

문서 승인

제1장 총 칙

제1조(목적) 이 규칙은 「개인정보 보호법」(이하 "법"이라 한다) 및 동법 시행령, 동법 시행규칙에 따라 강하넷(이하 "당사"이라 한다)의 업무와 관련된 개인정보 보호에 필요한 세부사항 규정함을 목적으로 한다.

제2조(적용범위) 이 규칙은 당사의 전자적 처리 및 수기문서를 포함한 모든 형태의 개인정보파일을 운용하는 개인정보 취급자에게 적용하며, 당사의 개인정보 업무처리는 「개인정보 보호법」 및 미래창조과학부 「개인정보 보호지침」에서 정한 사항 외에는 이 규칙에서 정하는 바에 의한다.

제3조(용어의 정의) 이 규칙에서 사용하는 용어의 뜻은 다음과 같다. ① "개인정보"란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.

② "개인정보 파일"이란 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

③ "개인정보 처리"란 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.

④ "개인정보의 제공" 이란 개인정보의 저장매체 또는 개인정보가 담긴 출력물이나 책자 등의 물리적 이전, 네트워크를 통한 개인정보의 전송, 개인정보에 대한 제3자의 접근권한 부여, 개인정보 처리자와 제3자의 개인정보 공유 등 개인정보의 이전과 공동으로 이용할 수 있는 상태를 초래하는 모든 행위를 말한다.

⑤ "개인정보 보호책임자"란 당사의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자를 말한다.

⑥ "개인정보 취급자"란 개인정보 (분야별) 보호책임자의 지휘․감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 말한다.

⑦ "개인정보 처리시스템"이란 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.

⑧ "영상정보처리기기"란 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유․무선망을 통하여 전송하는 일체의 장치로서 폐쇄회로 텔레비전(CCTV) 및 네트워크카메라를 말한다.

⑨ "개인영상정보"라 함은 영상정보처리기기에 의하여 촬영․처리되는 영상정보 중 개인의 초상, 행동 등 사생활과 관련된 영상으로서 해당 개인의 동일성 여부를 식별할 수 있는 정보를 말한다.

⑩ "영상정보처리기기 운영자"라 함은 영상정보처리기기를 설치․운영하는 자를 말한다.

⑪ "공개된 장소"라 함은 공원, 도로, 지하철, 상가 내부, 주차장 등 정보주체가 접근하거나 통행하는 데에 제한을 받지 아니하는 장소를 말한다.

⑫ "정보주체"라 함은 처리정보에 의하여 식별되는 자로서 당해 정보의 주체가 되는 자를 말한다.

⑬ "제3자"란 정보주체 또는 그의 법정대리인으로부터 개인정보를 실질적․직접적으로 수집․보유한 개인정보 처리자를 제외한 모든 자를 의미하며, 개인정보 처리 업무를 위탁받아 처리하는 자인 수탁자는 제외한다.

제4조(개인정보 보호 원칙) 개인정보는 다음 각 호의 사항을 준수하여 수집, 이용 및 제공, 관리, 파기되어야 한다.

1. 개인정보 수집 목적을 명확히 하고, 그 목적달성을 위해서 최소한의 개인정보만 처리

2. 개인정보 수집 목적에 부합하도록 정확하고 최신의 상태를 유지

3. 개인정보 수집 방법 및 종류 등에 따라 분실 또는 불법 접근, 파괴, 사용, 변조 등의 가능성과 그 위험정도를 고려하여 기술적․관리적․물리적으로 안전하게 관리

4. 개인정보 파일대장․처리방침 등 개인정보 처리에 관한 사항은 공개

5. 정보주체의 열람, 정정․삭제 요구 등 정보주체의 권리를 보장

제4조의2(개인정보 보호책임 및 내부감독체제) ① 대표이사은 당사의 전반적인 개인정보 보호업무에 대한 지휘‧감독을 한다.

② 개인정보 보호책임자는 대표이사의 명을 받아 당사의 개인정보 처리에 관한 업무를 총괄‧조정한다.

③ 개인정보 보호 분야별 책임자는 소관부서 개인정보 보호업무를 수행하며 소속 개인정보 취급자의 구체적 보호업무를 지도‧감독한다.

③ 개인정보 취급자는 취급하는 개인정보와 관련하여 보호책임을 진다.

④ 개인정보 보호 내부감독체제는 [별표 제2호]와 같다.

제2장 개인정보보호 기본활동

제5조(개인정보 보호책임자) ① 개인정보 보호책임자는 대표이사의 명을 받아 당사의 개인정보 보호업무를 총괄․조정하며 그 임무는 다음 각 호와 같다.

1. 개인정보 보호 관련 규칙 제․개정

2. 개인정보 보호 계획 수립 및 시행

3. 개인정보 처리 실태 점검 및 개선 권고

4. 개인정보 처리와 관련한 불만 해소 및 피해 구제

5. 개인정보 유출 및 오․남용 방지를 위한 내부통제시스템 구축

6. 개인정보 보호 교육 계획 수립 및 시행

7. 개인정보 파일 및 대장 등록․파기 승인, 관리 감독

8. 개인정보 처리방침 수립 및 시행

9. 개인정보 보호 관련 자료 관리

10. 개인정보의 안전한 처리를 위한 내부관리계획 수립·시행

11. 개인정보보호 분야별 책임자 지휘·감독

② 개인정보 보호책임자는 부대표이사이 한다.

③ 개인정보 보호책임자는 제1항의 각호 업무를 보안업무규칙 제6조제3항에 따른 정보보안담당관에게 위임하여 수행할 수 있다.

제6조(개인정보보호 분야별 책임자의 지정) ① 대표이사은 제5조에 따른 개인정보 보호책임자를 보좌하기 위하여 개인정보 보호 분야별 책임자를 임명․운영하여야 한다.

② 개인정보 보호 분야별 책임자는 각 실․본부․센터의 장이 되며 개인정보 보호책임자의 업무를 보좌하여 소관 부서 및 소속직원의 개인정보보호 업무를 총괄한다.

③ 개인정보 보호 분야별 책임자는 소관 부서 및 소속직원의 개인정보보호업무를 수행하기 위하여 다음 각 호의 업무를 수행한다.

1. 개인정보 취급자 지정․관리․감독․교육

2. 개인정보파일 지정․관리․보호․파기

3. 공개 대상 개인정보파일 등록․공개

4. 공개 대상 개인정보파일의 처리

5. 영상정보처리기기 운영․관리

6. 개인정보 보호 관련 자료 관리 및 제출

7. 개인정보 처리와 관련한 요구 처리

8. 개인정보 유출 통지 및 피해확산 방지

9. 개인정보 관련 개선 권고 및 시정 조치사항 이행 등

④ 개인정보 보호 분야별 책임자는 제3항의 각호 업무를 소관부서 개인정보 관리책임자(이하 “시스템관리자”라 한다) 및 보안업무규칙 제6조제3항에 따른 정보보안담당관에게 위임하여 수행할 수 있다.

제7조(개인정보취급자의 역할) ① 업무상 개인정보를 취급하는 자로 처리하는 개인정보가 훼손 및 누설되지 않도록 안전하게 취급하여야 한다.

② 개인정보 취급자는 다음 각 호의 업무를 수행한다.

1. 개인정보 처리업무를 수행함에 있어서 처리되는 개인정보(개인정보의 수집·보유·이용 및 제공·파기단계)에 대한 보호관리

2. 웹사이트 및 문서에 게재된 개인정보에 대한 안전한 관리

3. 개인정보의 열람, 정정, 삭제 시 보호관리

③ 직무상 알게 된 개인정보를 누설 또는 권한 없이 처리하거나 타인의 이용에 제공하는 등 부당한 목적을 위하여 사용하여서는 아니 된다.

④ 개인정보 취급자가 개인정보를 무단 조회하거나 오․남용 하는 경우 관계 법령에 따라 처벌될 수 있다.

⑤ 개인정보에 대해 업무 목적 외 불필요한 접근을 금지하고 개인정보 접근 권한을 임의로 양도 및 대여하여서는 아니 된다.

제8조(개인정보 보호위원회 구성․운영) ① 당사의 개인정보 보호를 효율적으로 수행하고 주요 사업계획 등에 대한 사전 보안대책을 강구․심의하기 위하여 개인정보 보호위원회(이하 "위원회"라고 한다)를 구성․운영할 수 있다.

② 위대표이사은 부대표이사으로 하고, 위원은 각 실·본부장 및 단장으로 한다.

③ 위원회는 다음 각호의 사항을 심의․의결한다.

1. 개인정보 보호 관련 규정 및 제도 수립

2. 개인정보 보호 관련 주요 정책사항 협의․결정

3. 개인정보 보호 관련 상호 정보공유 및 협력 등에 관한 사항

4. 기타 위대표이사이 필요하다고 판단되는 사항 협의․결정

④ 위원회는 보안심사위원회로 대체할 수 있다.

제9조(개인정보 보호 교육) 개인정보 보호책임자는 다음 각 호의 내용을 반영하여 개인정보보호 교육계획을 수립․시행하여야 한다.

1. 개인정보 보호책임자․개인정보 분야별 보호책임자 교육 : 연 1회

2. 개인정보 보호 취급자 교육 : 연 2회

제10조(개인정보 보호 추진계획) 개인정보 보호책임자는 매년 업무 세부 추진계획을 수립하고 그에 따라 연간 업무를 시행하여야 한다.

1. 개인정보 보호 추진계획 : 1월 31일 까지 [별지 제13호 서식]

2. 개인정보 보호 추진결과 : 12월 15일 까지 [별지 제14호 서식]

제3장 개인정보 등록․공개

제11조(개인정보 파일 등록․공개) ① 개인정보 보호 분야별 책임자는 개인정보 파일을 보유하게 되면 개인정보 파일(등록․변경) 신청서[별지 제1호 서식]를 작성하여 개인정보 보호책임자에게 제출하여야 한다.

② 개인정보 보호책임자는 개인정보파일 신청서를 받은 날부터 60일 이내에 개인정보보호종합지원시스템(intra.privacy.go.kr)에 등록하여야 한다. 다만, 다음 각 호의 어느 하나에 해당되는 개인정보파일의 경우 적용하지 아니한다.

1. 법 제32조제2항에 따라 적용이 제외되는 다음 각목의 개인정보 파일

가. 국가안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일

나. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일

다. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 법칙행위 조사에 관한 사항을 기록한 개인정보파일

라. 당사의 내부적 업무처리만을 위하여 사용되는 개인정보파일(기관 내부 구성원, 자문위원회, 회의 참석자, 출입기자 등)

마. 다른 법령에 따라 비밀로 분류된 개인정보파일

2. 법 제58조제1항에 따라 적용이 제외되는 다음 각목의 개인정보 파일

가. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보 파일

나. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보 파일

다. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보 파일

3. CCTV 등 영상정보처리기기를 통하여 처리되는 개인영상정보 파일

4. 자료․물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보 파일

제12조(개인정보처리방침의 수립) ① 개인정보 보호 분야별 책임자는 홈페이지를 이용한 개인정보 처리시 초기 화면을 통해 정보주체가 알기 쉽도록 개인정보처방침을 공개하여야 한다.

② [별지 제2호]와 같이 개인정보 처리방침은 다음 각 호의 내용을 모두 포함하여야 한다.

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유기간

3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우)

4. 개인정보 처리의 위탁에 관한 사항(해당되는 경우)

5. 정보주체의 권리․의무 및 그 행사방법에 관한 사항

6. 처리하는 개인정보 항목

7. 개인정보 파기 절차 및 방법

8. 개인정보 안전성 확보 조치

9. 권익침해 구제방법

10. 개인정보 보호 (분야별) 책임자 및 담당자 연락처

11. 개인정보 처리방침 변경(변경 전․후 비교 내용 및 시행 시기)

③ 개인정보 처리방침에 관해 자체점검을 실시하고 필요에 의해 개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 한다.

제4장 개인정보의 처리

제1절 개인정보 수집․이용․제공

제13조(민감정보 처리 제한) ① 민감정보 처리는 원칙적으로 불가하나 다음 각 호의 경우 처리가 가능하다.

1. 정보주체에게 개인정보보호법 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우

2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우

제13조의 2(고유식별정보 처리 제한) ① 고유식별정보 처리는 원칙적으로 불가하나 다음 각 호의 경우 처리가 가능하다.

1. 정보주체에게 개인정보 보호법 제15조제2항 각 호 또는 제17조제2항 각 호의 사항을 알리고 다른 개인정보의 처리에 대한 동의와 별도로 동의를 받은 경우

2. 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우

제13조의 3(주민등록번호 처리 제한) ① 주민등록번호 처리는 원칙적으로 불가하나 다음 각 호의 경우 처리가 가능하다.

1. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우

2. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우

② 개인정보 보호 분야별 책임자는 제1항 각 호에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하여야 한다.

제14조(개인정보 수집․이용) ① 개인정보의 수집․이용 시 다음 각호의 어느 하나에 해당하는 경우에는 정보주체의 개인정보를 수집․이용 할 수 있다.

1. 정보주체로부터 사전에 동의를 받은 경우

2. 법률에서 구체적으로 명시하거나 허용하고 있는 경우

3. 개인정보를 수집․이용하지 않고는 법령 등에서 정한 소관업무 수행이 불가능하거나 현저히 곤란한 경우

4. 개인정보를 수집․이용하지 않고는 정보주체와 체결된 계약 내용의 의무이행이 불가능하거나 현저히 곤란한 경우

5. 정보주체 또는 제3자의 생명, 신체, 재산에 대한 피해를 방지해야 할 급박한 상황에서 정보주체 또는 법정대리인이 의사표시를 할 수 없는 상태에 있거나 연락을 취할 수 없어 사전 동의를 받을 수 없는 경우

6. 정보주체로부터 명함 등을 제공받아 수집하는 경우, 정보주체가 동의의사를 표시하거나 명함 등을 제공하는 정황에 비추어 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 이용

7. 인터넷 홈페이지 등 공개된 곳에서 개인정보를 수집하는 경우, 본인의 개인정보를 인터넷 홈페이지 등에 게시하거나 게시에 대한 정보주체의 동의가 있거나 인터넷 홈페이지 등의 표시내용에 비추어 사회통념상 동의의사가 있었다고 인정되는 범위 내에서만 이용

8. 계약 등의 상대방인 정보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우, 대리인의 대리권 확인을 위한 목적으로만 대리인의 개인정보를 수집․이용 가능

9. 근로자와 사용자가 근로계약을 체결하는 경우「근로기준법」제2조 제5호의 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집․이용

② 개인정보의 제공에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 하며, 다음 각 호의 어느 하나에 해당하는 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

1. 개인정보의 수집․이용 목적, 개인정보 항목

2. 개인정보의 보유 및 이용기간

3. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

제15조(개인정보 제공) ① 개인정보 수집근거가 제13조제1항제2호, 제3호, 제5호의 경우 그 수집목적 범위 내에서 제3자 제공이 가능하며, 다음 각 호의 어느 하나에 해당되는 경우에는 개인정보를 목적 외의 용도로 이용 및 제3자에게 제공할 수 있다.

1. 정보주체로부터 별도의 동의를 받은 경우

2. 다른 법률에 특별한 규정이 있는 경우

3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우

5. 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로 위원회의 심의․의결을 거친 경우

6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

8. 법원의 재판업무 수행을 위하여 필요한 경우

9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

② 정보주체자의 동의를 받아 제공하는 경우 다음 각 호의 사항을 정보주체에게 알려야 한다.

1. 제공받는 자의 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처

2. 제공받는 자의 개인정보 이용 목적, 제공하는 개인정보의 항목

3. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

③ 개인정보 제공자는 제공받는 자에게 이용 목적․방법․기간․형태 등을 제한하거나 개인정보 안전성 확보조치를 마련하도록 문서로 요청하고, 문서로 회신한 것을 확인하여야 한다. 특히, 제14조제3항 각 호에 따라 제3자가 개인정보 파일의 이용․제공을 요청한 경우에는 각각의 이용․제공의 가능 여부를 확인하고 개인정보의 목적 외 이용․제공대장[별지 제3호 서식]에 기록하여 관리하여야 한다.

제16조(정보주체의 동의를 받는 방법) ① 개인정보 처리에 대하여 다음 각 호의 방법으로 정보주체의 동의를 받을 수 있다.

1. 동의 내용이 적힌 서면을 직접발급․우편․팩스 등의 방법으로 전달하고, 정보주체로 부터 직접 서명한 동의서를 받는 방법

2. 전화로 동의내용을 알리고 동의의사 표시를 확인하는 방법(녹취할 때에는 녹취사실을 정보주체에게 알림)

3. 전화로 동의내용을 알리고 인터넷 홈페이지 등을 통하여 동의내용을 확인하도록 한 후 다시 전화로 동의의사 표시를 확인하는 방법

4. 인터넷 홈페이지 등에 동의내용을 게재하고 정보주체가 동의여부를 표시하도록 하는 방법

5. 전자우편으로 동의내용을 발송하여 정보주체로부터 동의의사 표시가 적힌 전자우편을 받는 방법 등

② 법정대리인의 개인정보는 법정대리인의 동의를 얻기 위한 목적으로만 이용하여야 하며, 법정대리인의 동의 거부가 있거나 법정대리인의 동의 의사가 확인되지 않는 경우 수집일로부터 5일 이내에 파기해야 한다.

제2절 개인정보 처리의 위탁․이전

제17조 (개인정보 처리 위탁) ① 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

2. 개인정보의 기술적․관리적 보호조치에 관한 사항

3. 위탁업무의 목적 및 범위

4. 재위탁 제한에 관한 사항

5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항

7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

② 개인정보 보호 분야별 책임자는 수탁기관이 개인정보를 안전하게 보호하도록 하기 위한 관리적․기술적․물리적 조치를 지도․감독하여야 한다.

③ 개인정보 보호 분야별 책임자는 위탁관리 계약 요구사항을 계약부서에 요구하여야 하며, 계약부서에서는 위탁 계약서에 이를 반영하여야 한다.

④ 개인정보 보호 분야별 책임자는 연 1회 이상 수탁기관에 대한 실태점검을 수행하고 그 결과를 개인정보 보호책임자에게 보고하여야 한다.

제18조 (개인정보 이전) ① 개인정보 보호 분야별 책임자는 다른 사람에게 개인정보 이전 시 다음 각 호의 사항을 정보주체에게 통지하여야 한다.

1. 개인정보를 이전하려는 사실

2. 이전받는 자의 성명(또는 법인의 명칭), 주소, 전화번호 및 그 밖의 연락처

3. 정보주체가 개인정보의 이전을 원하지 않는 경우 조치할 수 있는 방법 및 절차

② 개인정보 이전 통지방법에는 서면 등의 방법으로 정보주체에게 직접 통지해야 하며, 직접 통지가 어려운 경우 인터넷 홈페이지에 30일 이상 게시하거나 인터넷 홈페이지가 없는 경우에는 정보주체가 보기 쉬운 장소에 30일 이상 게시하여야 한다.

제3절 개인정보 보호조치

제19조 (개인정보 영향평가) ① 개인정보 보호책임자는 정보주체의 개인정보 침해가 우려되는 시스템에 대하여 개인정보 침해 위험요인 분석과 개선과제 도출을 위해 영향평가를 실시하여야 한다.

② 다음 각 호의 어느 하나에 해당하는 경우 개인정보 영향평가 대상이 된다.

1. 5만명 이상의 민감정보 또는 고유식별정보가 포함된 개인정보파일을 구축․운용 또는 변경하는 경우

2. 구축․운용하고 있는 개인정보 파일을 다른 개인정보파일과 연계한 결과, 50만명 이상의 개인정보가 포함된 경우

3. 100만명 이상 정보주체가 포함된 개인정보 파일을 구축․운용 또는 변경하는 경우

4. 영향평가를 받은 후에 개인정보 파일의 운용체계를 변경하려는 경우

③ 개인정보 영향평가는 국가에서 지정한 평가기관이어야 하며, 영향평가 결과를 행정자치부장관에게 제출하여야 한다.

제20조(홈페이지 개인정보 노출 방지 조치) 개인정보 보호책임자는 당사의 홈페이지를 대상으로 다음 각 호의 사항들을 조치하여야 한다.

1. 게시내용에 대해 책임부서 지정, 부서장 결재 후 내용 게시

2. 해당 홈페이지에 개인정보 필터링 솔루션 도입 방안 마련

3. 홈페이지 개인정보 노출 차단을 위한 주기적 모니터링 방안 마련

제4절 개인정보 파기

제21조(개인정보 파기 계획 수립) ① 개인정보가 보유기간 만료 등으로 불필요하게 된 경우에는 정당한 사유가 없는 한, 그 개인정보를 파기하여야 한다.

② 단,「공공기록물 관리에 관한 법률」등 다른 법령에서 보존해야 하는 경우에는 예외로 두며 이 경우 개인정보는 다른 개인정보와 분리하여 저장․관리한다.

③ 개인정보 보호책임자는 개인정보의 보유 기간 만료 등에 따른 구체적 파기 시점․방법 등을 반영한 개인정보 파기계획을 수립․시행하여야 하며, 파기계획은 개인정보 처리방침에 포함하여 시행할 수 있다.

제22조(개인정보 파기 절차) ① 개인정보 보호 분야별 책임자는 개인정보파일 파기 요청서[별지 제4호 서식]를 개인정보 보호책임자에게 제출하여 승인을 받아 파기하여야 하며, 개인정보파일 파기 결과[별지 제5호 서식]를 개인정보 보호책임자에게 보고해야 한다.

② 개인정보 보호책임자는 개인정보 파일 파기 시 미래창조과학부 개인정보 보호책임자에게 그 결과를 보고해야 한다.

제23조(개인정보 파기 방법) ① 전자적 형태의 개인정보 파기시 「정보보안기본지침」제33조(전자정보 저장매체 불용처리)에 따라 복원이 불가능한 방법으로 영구 삭제하여야 한다.

② 종이 등과 같은 기록매체인 경우 파쇄 또는 소각하여야 한다.

제5장 개인정보의 안전성 확보조치

제24조 (접근권한의 관리) ① 개인정보 보호 분야별 책임자는 「정보보안기본지침」제22조(사용자계정 관리)에 따라 개인정보 처리시스템에 대한 접근권한을 관리하여야 한다.

② 개인정보 보호 분야별 책임자는 제1항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.

제25조(비밀번호의 관리) 개인정보 보호 분야별 책임자는 「정보보안기본지침」제23조(비밀번호 관리)에 따라 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 적용하여야 한다.

제26조(접근통제시스템의 설치 및 운영) ① 개인정보 보호 분야별 책임자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.

1. 비인가된 접근 차단

2. 개인정보 유출 시도 탐지 및 분석

3. IP기반 차단 기능

4. 개인정보 유출방지 기능

② 개인정보 보호 분야별 책임자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보 처리시스템에 접속하려는 경우에는 가상사설망(VPN) 또는 전용선 등 안전한 접속수단을 적용하여야 한다.

③ 개인정보 보호 분야별 책임자는 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보 처리시스템 및 업무용 컴퓨터에 조치를 취하여야 한다.

④ 개인정보 보호 분야별 책임자는 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터만을 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근통제 기능을 이용할 수 있다.

⑤ 이 규칙에서 정의되지 않은 기술적 보호조치는 「정보보안기본지침」을 따른다.

제27조(개인정보의 암호화) ① 개인정보보호 분야별 책임자는 고유식별정보, 비밀번호 및 바이오정보를 암호화하여야 한다.

② 개인정보 보호 분야별 책임자는 제1항에 따른 개인정보를 정보통신망을 통하여 송․수신하거나 보조저장매체 등을 통하여 전달하는 경우 암호화하여야 한다.

③ 개인정보 보호 분야별 책임자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

④ 개인정보 보호 분야별 책임자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ)에 고유식별정보를 저장하는 경우 암호화하여야 한다.

⑤ 개인정보 보호 분야별 책임자는 업무용 컴퓨터에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.

제28조(접속기록의 보관 및 위조·변조 방지) ① 개인정보 보호 분야별 책임자는 개인정보 취급자가 개인정보처리시스템에 접속한 기록을 「정보보안기본지침」제29조(접속기록 관리)에 따라 최소 6개월 이상 보관·관리하여야 한다.

② 개인정보 보호 분야별 책임자는 개인정보 취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

제29조(보안프로그램의 설치 및 갱신) 개인정보 보호 분야별 책임자는 악성 프로그램 등을 예방·치료할 수 있는 보안 프로그램을 설치·운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.

1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시

2. 악성 프로그램관련 경보의 발령 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 업데이트를 실시

제30조(물리적 접근 방지) ① 개인정보 보호 분야별 책임자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립·운영하여야 한다.

② 개인정보 보호 분야별 책임자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.

제6장 영상정보처리기기 설치․운영

제31조(적용범위) 공개된 장소에 설치․운영하는 영상정보처리기기와 이 기기를 통하여 처리되는 개인영상정보를 대상으로 한다.

제32조(설치․운영 기준) ① 공개된 장소 중 다음 각 호의 경우에만 영상정보처리기기 설치․운영이 가능하다.

1. 법령에서 구체적으로 허용하고 있는 경우

2. 범죄의 예방 및 수사를 위하여 필요한 경우

3. 시설안전 및 화재 예방을 위하여 필요한 경우

4. 교통단속을 위하여 필요한 경우

5. 교통정보의 수집․분석 및 제공을 위하여 필요한 경우

② 불특정 다수가 이용하는 목욕실, 화장실, 발한실, 탈의실 등 개인의 사생활을 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치․운영하여서는 아니 된다.

제33조(안내판의 설치) ① 개인정보 보호 분야별 책임자는 정보주체가 영상정보처리기기의 설치현황 및 개인영상정보의 수집에 대하여 인식할 수 있도록 안내판을 설치하여야 한다.

② 안내판은 다음 각 호의 사항이 필수적으로 기재되어야 한다.

1. 영상정보처리기기 설치의 목적 및 장소

2. 촬영 범위 및 시간

3. 관리책임자의 성명 및 연락처

③ 안내판은 촬영범위 내에서 정보주체가 쉽게 읽을 수 있는 장소에 설치하여야 한다.

④ 건물에 다수의 영상정보처리기기를 설치하는 경우에는 출입구 등 잘 보이는 곳에 해당 시설 또는 장소 전체가 영상정보처리기기 설치지역임을 표시하는 안내판을 설치할 수 있다.

제34조(설치에 따른 의견수렴) ① 공개된 장소에 영상정보처리기기를 설치․운영하는 경우 다음 각 호의 어느 하나에 해당하는 절차를 거쳐 관계전문가 및 이해관계인의 의견을 수렴하여야 한다.

1. 「행정절차법」에 따른 행정예고(20일 이상)의 실시 또는 의견 청취

2. 해당 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회․설문조사 또는 여론조사

② 영상정보처리기기의 설치 목적 변경 및 추가 설치 등의 경우에도 관계전문가 및 이해관계인의 의견을 수렴하여야 한다. 다만, 동일 목적 내 단순히 추가적으로 설치하는 경우에는 의견수렴을 하지 않을 수 있다.

제35조(개인영상정보 보호 조치) 개인영상정보가 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 다음 각 호에 해당하는 안전성 확보에 필요한 조치를 강구하여야 한다.

1. 영상정보처리기기의 설치 목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 행위 금지, 녹음기능 사용 금지

2. 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치

3. 개인영상정보를 안전하게 저장․전송할 수 있는 기술의 적용(네트워크 카메라의 경우 암호화 전송, 개인정보영상파일의 비밀번호 설정 등)

4. 처리기록의 보관 및 위조․변조 방지를 위한 조치(개인영상정보의 이용․열람․제공․파기 시 개인영상정보 관리대장[별지 제6호 서식] 작성 등)

5. 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치

제36조(영상정보처리기기 운영․관리 방침 수립) ① 개인정보 보호책임자는 영상정보처리기기 운영․관리 방침[별지 제7호 서식]을 직접 수립하거나, 개인정보처리방침에 포함하여 수립․시행 할 수 있다.

② 개인영상정보 보유목적의 달성을 위한 최소한의 기간을 설정하기 곤란한 때에는 보관기간을 개인영상정보 수집 후 30일 이내로 한다.

제37조(영상정보처리기기의 설치․운영에 대한 점검) 개인정보보호 분야별 책임자는 개인정보영상처리기기의 점검사항에 대한 자체 점검 결과를 개인정보 보호책임자에게 승인을 받은 후, 다음해 3월 31일까지 개인정보보호종합포탈(www.privacy.go.kr)에 등록하여야한다. 이 경우 다음 각 호의 사항을 고려하여야 한다.

1. 영상정보처리기기의 운영․관리 방침 내용

2. 관리책임자의 업무 수행, 위탁 및 수탁자에 대한 관리․감독 현황

3. 영상정보처리기기의 설치․운영 및 기술적․관리적․물리적 조치

4. 개인영상정보 수집 및 이용․제공․파기, 정보주체 권리행사 조치

5. 영상정보처리기기 설치․운영의 필요성 지속 여부 등

제7장 개인정보 유출 대응

제38조(개인정보 유출 정의) 개인정보의 유출이라 함은 다음 각 호의 어느 하나에 해당하는 경우를 말한다.

1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우

2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우

3. 개인정보 처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우

4. 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우

제39조(개인정보 유출 통지) ① 개인정보 보호 분야별 책임자는 실제로 유출 사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다.

1. 유출된 개인정보의 항목

2. 유출된 시점과 그 경위

3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

4. 개인정보 처리자의 대응조치 및 피해 구제절차

5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

② 개인정보 보호 분야별 책임자는 개인정보 유출 사고가 최초 발생한 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실유무를 입증하여야 한다.

③ 개인정보 보호 분야별 책임자는 제1항의 조치를 취한 이후에는 정보주체에게 다음 각 호의 사실만을 일차적으로 알리고, 추후 확인되는 사항을 즉시 알려야 한다.

1. 정보주체에게 유출이 발생한 사실

2. 제31조제1항의 통지항목 중 확인된 사항

④ 유출 통지는 다음 각 호 중 어느 하나에 해당하는 방법으로 하여야 한다.

1. 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법

2. 연락처가 없어 개별통지가 어려운 경우, 인터넷 홈페이지에 지속 게재

3. 1만명 이상의 정보주체에 관한 개인정보가 유출된 경우, 정보주체에게 통지하는 동시에, 인터넷 홈페이지에 유출 통지 항목을 7일 이상 게재

제40조(개인정보 유출 신고) ① 개인정보 보호 분야별 책임자는 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 지체 없이 개인정보 보호책임자에게 신고하여야 한다.

② 1만명 이상의 개인정보가 유출된 경우, 개인정보 보호책임자는 미래창조과학부 개인정보 보호책임자에게 유출신고서를 즉시 제출하여야 한다.

③ 유출신고 방법은 전자우편, 팩스, 개인정보보호종합지원포털(www.privacy.go.kr)로 한다. 다만, 시간적 여유가 없거나 특별한 사정이 있는 경우에는 전화로 사전 신고 후 개인정보 유출신고서를 제출한다.

제8장 정보주체 권익보호

제41조(개인정보 수집 출처 등 고지) 정보주체 이외로부터 수집한 개인정보에 대하여 수집 출처 등 고지를 정보주체가 요구한 때에는 정당한 사유가 없는 한 정보주체의 요구가 있는 날로부터 3일 이내에 정보주체에게 결과를 알려야 한다. 다만, 다음 각 호의 경우에는 고지를 거부할 수 있다.

1. 요구 대상 개인정보파일이 등록․공개 제외사항에 해당하는 경우

2. 고지로 인하여 다른 사람의 생명․신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

제42조(개인정보 처리 요구) ① 개인정보 보호 분야별 책임자는 정보주체로부터 개인정보 처리(열람, 정정․삭제, 처리정지) 요구서[별지 제9호 서식] 및 개인영상정보 청구서[별지 제10호 서식]를 받은 날로부터 10일 이내에 정보주체의 개인정보에 대한 요구사항을 처리하고 그 결과[별지 제11호 서식]를 정보주체에게 알려야 한다.

② 정보주체는 자신의 법정대리인 또는 자신이 위임한 자에게 개인정보 처리요구를 대리하게 할 수 있다. 이 경우 위임장 [별지 제12호 서식]을 개인정보보호 분야별 책임자에게 제출하여야 한다.

제43조(개인정보 열람) ① 개인정보 보호 분야별 책임자는 다음 각 호의 어느 하나에 해당하는 경우 개인정보 열람 제한 또는 거부가 가능하며, 열람요구사항 중 일부 열람제한 등에 해당하는 경우에는 열람제한 등에 해당하는 사항을 제외한 나머지 부분은 열람할 수 있도록 하여야 한다.

1. 법률에 따라 열람이 금지되거나 제한되는 경우

2. 다른 사람의 생명․신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

3. 학력․기능 및 채용에 관한 시험, 자격 심사에 관한 업무

4. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무 등

② 정보주체로부터 개인정보 열람청구를 받은 개인정보 보호 분야별 책임자는 10일 이내에 열람 할 수 없는 정당한 사유를 정보주체에게 알리고 연기가 가능하며, 열람을 연기한 후 그 사유가 소멸한 경우에는 10일 이내에 열람하도록 하여야 한다.

제44조(개인정보 정정․삭제) 본인의 개인정보를 열람한 정보주체는 그 개인정보의 정정․삭제 개인정보보호 분야별 책임자에게 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 삭제를 요구할 수 없다.

제45조(개인정보 처리정지) ① 정보주체는 공개된 개인정보 파일 중 자신의 개인 정보에 대한 처리정지를 개인정보보호 분야별 책임자에게 요구할 수 있으며, 이 경우 개인정보보호 분야별 책임자는 정보주체의 요구를 따라야한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절 할 수 있다.

1. 법률에 특별한 규정이 있거나 법령 의무준수를 위하여 불가피한 경우

2. 다른 사람의 생명․신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

3. 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관업무를 수행할 수 없는 경우

4. 개인정보를 처리하지 않고는 정보주체와 계약 이행이 곤란한 경우로 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 않은 경우

제46조(개인정보 손해배상 청구) 정보주체는 「개인정보 보호법」 위반행위로 인한 손해배상 청구를 개인정보 보호 분야별 책임자에게 할 수 있으며, 이 경우 개인정보 보호 분야별 책임자는 고의․또는 과실이 없음을 입증하지 아니하면 책임을 면할 수 없다.

제9장 보칙

제47조(준용 또는 위임) 이 규칙에 명시되지 않은 사항은 다음 각 호의 관련 법령 및 지침에 따른다.

1. 개인정보 보호법

2. 개인정보 보호법 시행령

3. 개인정보 보호법 시행규칙

4. 표준 개인정보보호 지침

5. 미래창조과학부 개인정보 보호지침

6. 그 밖에 관련 법령

제48조(징계) 당사 직원은 이 규칙을 준수할 의무가 있으며, 이를 위반할 시에는 주의, 경고 등을 포함한 인사규정에 따라 징계의 사유가 될 수 있다.