공급망관리 매뉴얼

Chapter 1. 개인정보보호 정책 및 규정

1. 개인정보보호 규정

제1장 총칙

가. (목적) 이 규정은 개인정보보호법, 정보통신망 이용 촉진 및 정보보호에 관한 법률, 정보통신기반 보호법 등 정보보안 관련 법규를 준수하고, 고객의 개인정보를 오남용, 훼손, 변조, 유출 등으로부터 효과적으로 보호하기 위해 필요한 세부사항을 규정함을 목적으로 한다.

나. (적용범위) 이 규정은 당사의 전체 임직원을 대상으로 하며, 계약관계에 의하여 회사의 정보자산에 접근하는 모든 제3자에게도 적용된다.

다. (용어정의) 이 규정에서 사용되는 용어의 정의는 다음과 같다.

  • 1. “개인정보”란 살아있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
    1. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
    2. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용 등을 합리적으로 고려하여야 한다.
    3. ①항 또는 ②항을 제 1호의 2에 따라 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보(이하 “가명정보”라 한다.)
  • 1-1. “가명처리”란 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리하는 것을 말한다.
  • 2. “개인정보 처리”란 개인정보를 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 등을 말한다.
  • 3. “정보주체”란 처리되는 정보에 의해 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
  • 4. “개인정보 보호책임자”란 감독원의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서, 시행령 제 32조제2항에 해당하는 자를 말한다.
  • 5. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다.

라. (개인정보 보호 원칙)

  • 1. 개인정보처리자는 개인정보 처리 목적을 명확하게 하여야 하고, 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
  • 2. 개인정보의 처리 목적에 필요한 범위에서 적법하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니된다.
  • 3. 개인정보처리자는 개인정보 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
  • 4. 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
  • 5. 개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
  • 6. 정보주체의 사생활 침해를 최소화하는 방법으로 개인정보를 처리하여야 한다.
  • 7. 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.
  • 8. 보호법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.

제2장 개인정보 보호 조직

마. (개인정보 보호책임자의 의무) ①보안담당자는 고객의 개인정보보호 업무를 총괄하며 다음의 기능을 수행한다.

  • 1. 고객 개인정보 보호를 위한 정책 수립
  • 2. 고객 개인정보 유출 방지를 위한 내부관리시스템 구축
  • 3. 고객정보 유출 등의 사고 발생시 지체없이 적극적인 피해구제
  • 4. 개인정보보호에 대한 전사차원의 교육을 진행
  • 5. 고객개인정보보를 위한 지속적인 모니터링 및 모의 훈련 계획 및 시행
  • 6. 기타 개인정보 보호를 위하여 필요하다고 판단되는 사항

바. (개인정보취급자의 의무) ①개인정보취급자는 개인정보 보호법, 시행령, 시행규칙 및 개인정보 보호 원칙을 준수하여야 한다.

  • ②개인정보 유출 사실을 인지하게 된 경우, 지체없이 부서장 및 개인정보 보호책임자에게 보고하여야 한다.
  • ③개인정보 보호 책임자가 주관하는 보호 관련 교육을 이수하고 보안서약서에 서명하여야 한다.

제3장 개인정보 주체의 권리 보장

사. (개인정보 주체의 권리) 정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.

  • 1. 개인정보의 처리에 관한 정보를 제공받을 권리
  • 2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
  • 3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급 포함)을 요구할 권리
  • 4. 개인정보의 처리 정지, 정정 ∙ 삭제 및 파기를 요구할 권리
  • 5. 개인정보 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

아. (개인정보의 열람) 정보주체는 개인정보처리자가 처리하는 자신의 개인정보에 대한 열람을 해당 개인정보처리자에게 요구할 수 있다.

자. (개인정보의 정정∙삭제) ①자신의 개인정보를 열람한 정보주체는 개인정보 처리자에게 그 개인정보의 정정 또는 삭제를 요구할 수 있다. 다만, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.

  • ②개인정보처리자는 제1항에 따른 정보주체의 요구를 받았을 때에는 개인정보의 정정 또는 삭제에 관하여 지체없이 그 개인정보를 조사하여 정보주체의 요구에 따라 정정 ∙ 삭제 등 필요한 조치를 한 후 그 결과를 정보주체에게 알려야 한다.

차. (개인정보의 파기) ①개인정보처리자는 보유기관의 경과, 개인정보의 처리 목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체없이 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 그러하지 아니하다.

  • ②개인정보처리자가 제1항에 따라 개인정보를 파기할 때에는 복구 또는 재생되지 아니하도록 조치하여야 한다.

제4장 개인정보의 안전한 관리

카. (안전조치의무) 개인정보처리자는 개인정보가 분실 ∙ 도난 ∙ 유출 ∙ 위조 ∙ 변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적 ∙ 관리적 및 물리적 조치를 하여야 한다.

타. (보안지침) ①모든 임직원은 입사, 퇴사 및 연봉계약 시 정보보호서약서를 작성하여 제출해야 한다.

  • ②제3자에게 업무를 위탁하거나 회사 정보자산으로의 접근을 허용할 때에는 비밀유지 및 정보보호 제반 규정 준수에 대한 정보보호서약서를 징구해야 한다.
  • ③회사 내 모든 시설은 그 성격에 따라 일반구역∙보호구역∙통제구역으로 분류하여 관리한다.
  • ④제3자를 포함한 모든 임직원은 회사의 모든 정보자산을 임의로 반출해서는 아니된다.
  • ⑤네트워크 트래픽 모니터링을 수행하고, 이상징후 발견 시 개인정보보호 책임자 등에게 보고하여 신속하게 조치될 수 있도록 한다.
  • ⑥개인정보는 사전에 인가된 목적으로만 사용되어야 하며, 용도 외의 임의 목적으로 방치되거나 부당하게 유출되지 않도록 그 생산, 유통, 보관, 폐기의 전 과정을 철저히 관리하여야 한다.

제5장 보안사고

파. (개인정보 유출) 개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 각 호의 어느 하나에 해당하는 경우를 말한다.

  • 1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
  • 2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
  • 3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
  • 4. 기타 권한이 없는 자에게 개인정보가 전달된 경우

하. (개인정보 유출 통지) ①개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 개인정보 보호 책임자에게 즉시 보고하여야 하며, 개인정보 보호 책임자는 그 피해를 최소화하기 위한 대책을 마련하고, 필요한 조치를 하여야 한다.

  • ②개인정보처리자는 개인정보가 유출되었음을 알게 된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다.
  • ③개인정보처리자는 제1항 각 호의 사항을 모두 확인하기 어려운 경우에는 정보주체에게 다음 각 호의 사실만을 우선 알리고, 추후 확인되는 즉시 알릴 수 있다.

제6장 보안 점검 및 교육

가. (정보시스템 모니터링) ①개인정보보호 책임자는 개인정보의 관리 시스템 및 실태 점검을 통하여 취약점을 개선하여야 한다.

나. (개인정보보호 교육) 개인정보보호 책임자는 고객의 개인정보 유출 등의 사고를 예방하기 위하여 필요한 교육을 계획하고 시행하여야 한다.