1. 총 칙

1.1 목적

이 지침의 목적은 (주)사랑모아금융서비스 (이하 “회사”라 함)이 「개인정보 보호법」(이하 “법”이라 함)에 따라 임직원이 개인정보를 처리함에 있어서 개인정보가 분실ㆍ도난ㆍ유출ㆍ변조ㆍ훼손 및 오ㆍ남용 등의 사항이 발생되지 않도록 개인정보 보호조직 및 개인정보취급자의 역할 및 책임을 규정하고자 한다.

1.2 적용범위

이 지침은 전자적 처리 여부를 불문하고 수기문서를 포함한 모든 형태의 개인정보파일 및 자료를 운용하는 데에 적용되며, 개인정보를 취급하는 회사의 임ㆍ직원, 영업조직구성원 및 개인정보 처리를 내용으로 하는 위·수탁 계약 및 제휴계약 등에 따라 회사의 개인정보를 취급하는 외부업체에 대해 적용된다.

1.3 개인정보보호지침 관리

1. 1) 개인정보보호 지침은 개인정보보호 관리 규정에 따라 개인정보를 처리하는 임직원들이 수행해야 하는 업무역할 및 기준, 수행 내역을 정의한다.
2. 2) 개인정보 보호책임자는 업무환경 및 관련 법령의 변화에 따라 개인정보보호 지침의 타당성을 연1회 정기적으로 검토해야 하며, 필요 시 추가 검토를 수행할 수 있다.
3. 3) 개인정보보호 지침 내용 변경 시 지침을 실행할 책임이 있는 관련 부서장들의 의견수렴 및 검토가 이루어져야 한다.
4. 4) 개인정보보호 지침은 모든 임직원이 접근할 수 있도록 사내업무시스템을 통하여 게시하고, 교육을 통해 그 내용을 숙지할 수 있도록 해야 한다.
5. 5) 이 지침에서 표기되는 업무 기한은 영업일 기준으로 한다.

2. 개인정보 기본계획

2.1 개인정보보호 점검

1. 1) 개인정보 보호책임자는 매년 본사, 현장, 수탁사를 대상으로 하는 개인정보보호 점검 계획을 수립하여 이행하여야 한다.
2. 2) 개인정보보호점검은 연1회 이상 실시한다.
3. 3) 점검 결과는 개인정보보호책임자에게 승인을 받아야 하며, 개선이 필요한 사항에 대하여는 개선 조치를 취해야 하며, 위반자에 대한 징계 처리를 할 수 있다.

2.2 개인정보보호 교육

1. 1) 개인정보 취급자는 임직원, 모집인, 수탁사를 말한다.
2. 2) 교육실시 부서는 교육 수행 시 교육일자ㆍ교육대상ㆍ교육내용 등을 기록ㆍ보관하여야 한다.
3. 3) 개인정보보호 교육내용은 개인정보 관련 법률 및 제도, 사내 규정, 분야별 전문기술에 대한 내용 등 다음 각 호의 내용을 포함하여야 한다.
   1. 가. 개인정보보호의 중요성
   2. 나. 개인정보보호 지침의 준수 및 이행
   3. 다. 위험 및 대책이 포함된 조직 보안 정책, 보안지침, 지시 사항, 위험관리 전략
   4. 라. 개인정보시스템 하드웨어 및 소프트웨어를 포함한 시스템의 정확한 사용법
   5. 마. 개인정보의 기술적ㆍ관리적 보호조치 기준 이행
   6. 바. 개인정보보호 규정 위반의 보고 필요성
   7. 사. 개인정보보호 조직 및 취급자의 금지 사항
   8. 아. 개인정보보호 준수사항 이행 관련 절차 등

3. 개인정보의 처리기준

3.1 개인정보의 처리

1. 1) 개인정보의 “수집”이란 정보주체로부터 성명, 주소, 전화번호 등의 정보를 제공받는 것뿐만 아니라 정보주체에 관한 모든 형태의 개인정보를 취득하는 것을 말한다.
2. 2) 각 부서는 다음 각 호의 경우에 개인정보를 수집할 수 있으며, 그 수집 목적의 범위 내에서 이용하여야 한다.
   1. 가. 정보주체로부터 사전에 동의를 받은 경우
   2. 나. 법률에서 개인정보를 수집ㆍ이용할 수 있음을 구체적으로 명시하거나 허용하고 있는 경우
   3. 다. 개인정보를 수집ㆍ이용하지 않고는 법령에서 부과하는 구체적인 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우
   4. 라. 개인정보를 수집ㆍ이용하지 않고는 정보주체와 체결한 계약의 내용에 따른 의무를 이행하는 것이 불가능하거나 현저히 곤란한 경우
   5. 마. 정보주체 또는 제3자(정보주체를 제외한 그 밖의 모든 자를 말한다.)의 생명, 신체, 재산에 대한 피해를 방지해야 할 급박한 상황이어서 개인정보를 수집ㆍ이용해야 할 필요성이 명백히 인정됨에도 불구하고 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 연락을 취할 수 없는 상황이어서 사전에 동의를 받을 수 없는 경우
   6. 바. 회사가 법령 또는 정보주체와의 계약에 따라 정당한 이익을 달성하기 위하여 필요한 경우로서, 정보주체의 개인정보의 수집ㆍ이용에 관한 동의 여부 및 동의 범위 등을 선택하고 결정할 권리보다 우선하는 경우, 이 경우 개인정보의 수집ㆍ이용이 회사의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 범위로 한정된다.
3. 3) 부서별 개인정보 보호책임자는 개인정보의 신규 수집계획 수립 시 개인정보 보호책임자의 승인을 득하여 개인정보취급업무를 처리하여야 하며, 개인정보보호담당자는 해당 부서 개인정보취급자에 대해 개인정보 수집ㆍ이용 동의서 작성, 절차준수 등에 관한 교육 및 업무지원을 하여야 한다.
4. 4) 정보주체로부터 직접 명함 또는 그와 유사한 매체(이하 “명함 등”이라 함)를 제공받음으로써 개인정보를 수집하는 경우, 정보주체가 동의의사를 명확히 표시하거나 그렇지 않은 경우 명함 등을 제공하는 정황 등에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용하여야 한다.
5. 5) 인터넷 홈페이지 등 공개된 매체 또는 장소(이하 "인터넷 홈페이지 등"이라 함)에서 개인정보를 수집하는 경우, 해당 개인정보는 본인의 개인정보를 인터넷 홈페이지 등에 게시하거나 게시하도록 허용한 정보주체의 동의 의사가 명확히 표시되거나 인터넷 홈페이지 등의 표시 내용에 비추어 사회통념상 동의 의사가 있었다고 인정되는 범위 내에서만 이용하여야 한다.
6. 6) 계약 등의 상대방인 정보주체가 대리인을 통하여 법률행위 또는 의사표시를 하는 경우 대리인의 대리권 확인을 위한 목적으로만 대리인으로부터 대리인의 개인정보를 수집ㆍ이용하여야 한다.
7. 7) 회사는 임직원과 근로계약을 체결하는 경우 「근로기준법」등에서 정하는 바에 따라 임금지급, 교육, 증명서 발급, 근로자 복지제공을 위하여 근로자의 동의 없이 개인정보를 수집ㆍ이용할 수 있다.

1. 1) 회사 임직원의 개인정보를 외부에 제공하거나 홈페이지에 노출하는 경우, 업무에 지장이 없는 범위에서 최소화 하여야 한다.
2. 2) 업무처리 권한설정 및 교육신청 공문 등에도 임직원의 고유식별정보 기재를 최소화 하여야 한다.

각 부서에서 다음 호의 경우에 정보주체의 사전 동의 없이 개인정보를 수집, 이용 또는 제공한 경우, 당해 사유가 해소된 때에는 개인정보의 처리를 즉시 중단하여야 하며, 정보주체에게 사전 동의 없이 개인정보를 수집 또는 이용한 사실, 그 사유와 이용내역을 알려야 한다.

- 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

1. 1) 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다.
   1. 가. 정보주체의 동의를 받은 경우
   2. 나. 다음 각 목에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
      1. (1) 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
      2. (2) 법령 등에서 정하는 회사의 소관 업무의 수행을 위하여 불가피한 경우
      3. (3) 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
2. 2) 제1항 제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
   1. 가. 개인정보를 제공받는 자
   2. 나. 개인정보를 제공받는 자의 개인정보 이용 목적
   3. 다. 제공하는 개인정보의 항목
   4. 라. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
   5. 마. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
3. 3) 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 한다.
4. 4) 제1항의 “제3자”란 정보주체 또는 그의 법정대리인으로부터 개인정보를 실질적ㆍ직접적으로 수집ㆍ보유한 회사를 제외한 모든 자를 의미하며. 법 제26조제2항에 따른 수탁자는 제외한다.
5. 5) 제2항 제1호에 따라 정보주체에게 개인정보를 제공받는 자를 알리는 경우에는 그 성명(법인 또는 단체인 경우에는 그 명칭)과 연락처를 함께 알려야 한다.

1. 1) 개인정보를 수집목적에 따른 범위를 초과하여 이용하거나 제3자 제공 목적에 따른 범위를 초과하여 제3자에게 제공하여서는 아니 된다.
2. 2) 보유목적에 따라 처리정보를 이용하거나 제공하는 경우에도 업무수행에 필요한 최소한의 범위 내에서 이용 또는 제공을 제한하여야 한다.
3. 3) 제1항의 규정에도 불구하고 다음과 같은 경우는 다른 기관에 제공할 수 있다. 다만, 정보주체 또는 제3자의 권리와 이익을 부당하게 침해할 우려가 있다고 인정되는 때에는 그러하지 아니하다.
   1. 가. 정보주체로부터 별도의 동의를 받은 경우
   2. 나. 다른 법률에 특별한 규정이 있는 경우
   3. 다. 조약 기타 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하는 경우
   4. 라. 통계작성 및 학술연구 등의 목적을 위한 경우로서 특정개인을 식별할 수 없는 형태로 제공하는 경우
   5. 마. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 동의를 할 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
   6. 바. 범죄의 수사와 공소의 제기 및 유지에 필요한 경우
   7. 사. 법원의 재판업무수행을 위하여 필요한 경우
   8. 아. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우
4. 4) 제3항 제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
   1. 가. 개인정보를 제공받는 자
   2. 나. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다
   3. 다. 이용 또는 제공하는 개인정보의 항목
   4. 라. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간을 말한다)
   5. 마. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
5. 5) 부서별 개인정보 보호책임자는 정보주체의 권리와 이익을 보호하기 위하여 필요하다고 인정하는 때에는 정보보호위원회의 심의를 거쳐 개인정보의 이용을 특정 부서로 제한할 수 있다.
6. 6) 외부(대외)로부터 제공받은 개인정보를 이용하는 부서는 제공기관(업체 등)의 동의를 받거나, 다음 각 호의 어느 하나에 해당되는 경우를 제외하고는 당해 개인정보를 다른 기관에 제공하여서는 아니 된다.
   1. 가. 정보주체로부터 별도의 동의를 받은 경우
   2. 나. 다른 법률에 특별한 규정이 있는 경우

1. 1) 부서별 개인정보 보호책임자는 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에는 제공과 동시에 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서(전자문서를 포함한다)로 요청하여야 하며, 필요한 경우에는 개인정보를 제공한 이후에도 이러한 사항을 요청하여야 한다. 이 경우 요청을 받은 자는 그에 따른 조치를 취하고 그 사실을 개인정보를 제공한 회사에게 문서(전자문서를 포함한다)로 알려야 한다.
2. 2) 부서별 개인정보 보호책임자는 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우에 회사와 개인정보를 제공받는 자 사이의 개인정보의 안전성에 관한 책임관계를 명확히 하여 문서화 하여야 한다.
3. 3) 부서별 개인정보 보호책임자는 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제3자에게 제공하는 경우에는 다른 정보와 결합하여도 특정 개인을 알아볼 수 없는 형태로 제공하여야 한다.

1. 1) 부서별 개인정보 보호책임자는 외부(대외)로부터 이용목적 및 이용하고자 하는 처리정보의 범위를 명시한 문서로 제공 요청이 있을 경우에는 다음 각 호의 사항을 검토하여 제공하여야 한다.
   1. 가. 법률 등의 요청근거, 이용목적의 정당성, 회사 규정 등에 따른 적합성 여부
   2. 나. 당해 개인정보를 수집ㆍ처리함으로써 정보주체가 입는 사생활 침해와 그로 인해 얻는 공익상의 목적달성 사이에 필요한 최소한의 범위 제공 여부 (개인정보 및 기록항목의 범위, 보유기간 등)
   3. 다. 이용ㆍ제공 받는 기관의 처리정보 안전성 확보 대책의 적정성 여부
2. 2) 부서별 개인정보 보호책임자는 외부(대외)에 개인정보 제공 시 ‘개인정보 이용ㆍ제공 대장’[서식 1]에 기록ㆍ관리하고 개인정보 보호책임자에게 알려야 한다.
3. 3) 개인정보를 제공한 후에도 개인정보의 목적 외 사용금지, 처리정보의 안전성확보 등을 준수하는지 지속적으로 확인하여 준수하지 않을 경우 수령자에게 시정 요구, 처리정보의 파기 요청, 이용ㆍ제공 목적 외 이용 시 제한 등의 조치를 취한다.
4. 4) 부서별 개인정보 보호책임자는 외부(대외)에 개인정보 제공하는 경우에는 그 항목을 최소한으로 제한하여야 한다.
5. 5) 부서별 개인정보 보호책임자는 개인정보를 제공받은 대외기관(업체 등)이 회사의 이용 제한에 대한 요청사항을 이행하지 아니하는 때에는 즉시 개인정보의 제공을 중지하여야 한다.

1. 1) 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 다음 각 호의 모든 사항을 정보주체 에게 알려야 한다.
   1. 가. 개인정보의 수집 출처 및 처리 목적
   2. 나. 개인정보 처리의 정지를 요구할 권리가 있다는 사실
2. 2) 다음 각 호에 해당하는 경우에는 제1항에 따른 정보주체의 요구를 거부할 수 있으며, 이 경우에는 정당한 사유가 없는 한 정보주체의 요구가 있은 날로부터 3일 이내에 그 거부의 근거와 사유를 정보주체에게 알려야 한다.
   1. 가. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
   2. 나. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
   3. 다. 다른 법령에 따라 비밀로 분류된 개인정보파일
   4. 라. 고지로 인하여 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

1. 1) 부서별 개인정보 보호책임자는 다음 각 호의 경우에 정당한 사유가 없는 한 즉시 해당 개인정보를 파기하여야 한다.
   1. 가. 개인정보의 보유기간이 경과한 경우
   2. 나. 개인정보의 처리목적 달성, 해당 서비스의 폐지 및 사업의 종료 등 개인정보가 불필요한 경우
2. 2) 개인정보를 파기할 때 복구 또는 재생되지 아니하도록 다음 각 호의 구분에 따른 방법 등으로 파기하여야 한다.
   1. 가. 전자적 파일 형태인 경우: 복원이 불가능한 방법으로 영구 삭제
   2. 나. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 파쇄 또는 소각
3. 3) 부서별 개인정보 보호책임자는 개인정보의 파기에 관한 사항을 ‘개인정보파일 파기관리대장’ [서식 2]에 기록ㆍ관리하여야 한다.
4. 4) 개인정보 파기의 시행 및 확인은 개인정보 보호책임자의 책임하에 수행되어야 한다.
5. 5) 개인정보 보호책임자는 개인정보 파기 시행 후 파기 결과를 확인하여야 한다.
   1. 가. 사업자를 통한 파기 시(파기업무 위탁 시) 계약서상에 안전성 확보조치 등을 명시하고 그 이행여부를 확인하여야 한다.
   2. 나. 개인정보취급자가 회사 내 타 부서에 개인정보를 전달하였을 경우, 개인정보취급자는 전달한 개인정보의 파기 여부를 확인하여야 한다.

1. 1) 부서별 개인정보 보호책임자는 개인정보의 보유기간 경과, 처리 목적 달성 등 그 개인정보가 불필요하게 되었으나, 다른 법령에 따라 보존하여야 하는 경우에는 관련 법령에 따라 해당 개인정보 또는 개인정보파일을 보존하는 사유를 명확히 표시하여야 한다.
2. 2) 제1항에 따라 개인정보를 파기하지 아니하고 보존하여야 하는 경우에는 해당 개인정보를 다른 개인정보와 분리하여서 저장ㆍ관리하여야 한다.
3. 3) 분리보관 시 다음 각 호를 준수 한다.
   1. 가. 분리보관 대상 정보는 즉시 모집인 시스템에서 조회를 차단한다.
   2. 나. 분리보관 대상 정보는 상거래 관계 종료 후 5년이 되는 시점에 분리 보관한다.
   3. 다. 분리보관 된 정보는 개인정보보호책임자(신용정보관리보호인)의 승인하에 분리보관 여부 확인, 자료산출, 원복할 수 있다.
   4. 라. 법령, 고객의 동의 없이 당사 이용목적으로 분리보관 된 정보의 활용 시 고객에게 사전 통보를 해야 한다.

1. 1) 부서별 개인정보 보호책임자는 개인정보의 수집과 이용을 위하여 정보주체의 동의를 받고자 하는 경우에는 기본적인 재화 또는 서비스의 제공을 위하여 반드시 필요한 최소한의 개인정보와 부가적인 재화 또는 서비스의 제공을 위하여 필요한 최소한의 개인정보를 구분하여 정보주체에게 알리고 동의를 받아야 한다.
2. 2) 부서별 개인정보 보호책임자는 개인정보를 처리하기 위하여 정보주체의 동의를 얻고자 하는 경우에는 동의가 필요한 경우와 필요하지 않은 경우를 구분하고, 후자의 경우에는 정보주체의 동의 없이 개인정보를 처리할 수 있다는 점과 그 사유를 알려야 한다.
3. 3) 부서별 개인정보 보호책임자는 목적 외 이용 및 제3자 제공을 위해 정보주체로부터 별도의 동의를 받고자 하는 경우에는 정보주체가 다른 개인정보처리의 목적과 별도로 동의여부를 표시할 수 있도록 조치를 취하고 동의를 받아야 한다.
4. 4) 부서별 개인정보 보호책임자는 전화로 동의를 받기 위해 통화내용을 녹취할 때에는 녹취사실을 정보주체에게 알려야 한다.
5. 5) 부서별 개인정보 보호책임자는 다음 각 호의 어느 하나에 해당하는 방법으로 정보주체의 동의를 받아야 한다.
   1. 가. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, 정보주체가 서명하거나 날인한 동의서를 받는 방법
   2. 나. 전화를 통하여 동의 내용을 정보주체에게 알리고 동의의 의사표시를 확인하는 방법
   3. 다. 전화를 통하여 동의 내용을 정보주체에게 알리고 정보주체에게 인터넷주소 등을 통하여 동의 사항을 확인하도록 한 후 다시 전화를 통하여 그 동의 사항에 대한 동의의 의사표시를 확인하는 방법
   4. 라. 인터넷 홈페이지 등에 동의 내용을 게재하고 정보주체가 동의 여부를 표시하도록 하는 방법
   5. 마. 동의 내용이 적힌 전자우편을 발송하여 정보주체로부터 동의의 의사표시가 적힌 전자우편을 받는 방법
   6. 바. 그 밖에 제1호부터 제5호까지의 규정에 따른 방법에 준하는 방법으로 동의 내용을 알리고 동의의 의사표시를 확인하는 방법

1. 1) 만 14세 미만 아동의 개인정보를 처리하기 위하여 그 법정대리인의 동의를 받아야 하며, 이 경우 법정대리인의 동의를 받기 위하여 필요한 최소한의 정보는 법정대리인의 동의 없이 해당 아동으로부터 직접 수집할 수 있다.
2. 2) 해당 아동으로부터 법정대리인의 성명, 연락처를 수집할 때에는 해당 아동에게 아동 본인의 신분과 연락처, 법정대리인의 성명과 연락처를 수집하고자 하는 이유를 알려야 한다.
3. 3) 법정대리인의 동의를 획득하는 방법은 제17조 제5항의 방법으로 획득하여야 한다.
4. 4) 수집한 법정대리인의 개인정보는 법정대리인의 동의를 얻기 위한 목적으로만 이용하여야 하며, 법정대리인이 동의를 거부 하거나 동의 의사가 확인되지 않는 경우 수집일로부터 5일 이내에 파기해야 한다.

1. 1) 다음 각 호의 어느 하나에 해당하는 경우를 제외하고 민감정보를 처리하여서는 아니 된다.
   1. 가. 정보주체로부터 동의를 획득한 경우
   2. 나. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
2. 2) 부서별 개인정보 보호책임자는 민감정보의 처리를 위하여 정보주체에게 동의를 받고자 하는 경우에는 다른 개인정보와 민감정보를 구분하여 민감정보에 대하여는 정보주체가 별도로 동의할 수 있도록 조치를 취하여야 한다.
3. 3) 부서별 개인정보 보호책임자는 제2항에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
   1. 가. 민감정보의 수집ㆍ이용 목적
   2. 나. 수집하려는 민감정보의 항목
   3. 다. 민감정보의 보유 및 이용 기간
   4. 라. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

1. 1) 다음 각 호의 어느 하나에 해당하는 경우를 제외하고 고유식별정보를 처리하여서는 아니 된다.
   1. 가. 정보주체로부터 동의를 획득한 경우
   2. 나. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
2. 2) 부서별 개인정보 보호책임자는 고유식별정보의 처리를 위하여 정보주체에게 동의를 받고자 하는 경우에는 다른 개인정보와 고유식별정보를 구분하여 하며, 고유식별정보에 대하여는 정보주체가 별도로 동의할 수 있도록 조치를 하여야 한다.
3. 3) 부서별 개인정보 보호책임자는 제2항에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
   1. 가. 고유식별정보의 수집ㆍ이용 목적
   2. 나. 수집하려는 고유식별정보의 항목
   3. 다. 식별정보의 보유 및 이용 기간
   4. 라. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
4. 4) 부서별 개인정보 보호책임자는 제1항에도 불구하고 다음 각 호의 어느 하나에 해당하는 경우를 제외하고는 주민등록번호를 처리할 수 없다.
   1. 가. 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
   2. 나. 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우

1. 1) 회사의 홈페이지는 기 계약자를 대상으로 서비스하며 별도의 회원가입 서비스를 구현하지 않는 것을 원칙으로 한다.
2. 2) 회사가 홈페이지를 통해 회원가입 서비스 구현 시 부서별 개인정보 보호책임자는 정보 주체가 주민등록번호가 아닌 대체수단을 사용하여도 회원으로 가입할 수 있다는 점을 회원 가입절차를 위한 화면을 통하여 명시적으로 알리고 회원가입을 받아야 한다. 이 경우 주민등록번호를 이용한 회원가입 방법과 대체수단을 이용한 회원가입 방법을 하나의 화면을 통하여 제공하여야 한다.

3.2 개인정보의 유출 통지

개인정보의 유출이라 함은 회사가 관리하는 개인정보가 법령이나 회사의 의사에 반하여 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것으로서, 다음 각 호의 어느 하나에 해당하는 경우를 말한다.

1. 1) 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2. 2) 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
3. 3) 회사의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
4. 4) 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우

1. 1) 부서별 개인정보 보호책임자는 유출 사고가 발생한 것으로 확인된 때에는 즉시 개인정보 보호책임자에게 보고하고 개인정보 보호책임자는 정당한 사유가 없는 한 유출사고 발생 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다.
   1. 가. 유출된 개인정보의 항목
   2. 나. 유출된 시점과 그 경위
   3. 다. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 조치 등에 관한 정보
   4. 라. 회사의 대응조치 및 피해구제절차
   5. 마. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
2. 2) 부서별 개인정보 보호책임자는 제1항 제2호의 경우 개인정보 유출 사고가 최초 발생한 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실유무를 입증하여야 한다.
3. 3) 개인정보 보호책임자는 유출 사고 발생 시 정보주체에게 다음 각 호의 사실만을 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있다.
   1. 가. 정보주체에게 유출이 발생한 사실
   2. 나. 제1항 각 호의 통지항목 중 확인된 사항

개인정보 보호책임자는 3.2.2조 제1항에도 불구하고, 개인정보의 유출확산방지를 위해 다음 각 호 중 어느 하나에 해당하는 조치가 긴급히 필요한 경우에는 해당 조치를 취한 후 5일 이내 정보주체에게 알릴 수 있다.

1. 1) 개인정보가 유출되었을 것으로 의심되는 개인정보처리시스템의 접속권한 삭제ㆍ변경 또는 폐쇄 조치
2. 2) 네트워크, 방화벽 등 대ㆍ내외 시스템 보안점검 및 취약점 보완 조치
3. 3) 향후 수사에 필요한 외부의 접속기록 등 증거 보존 조치
4. 4) 정보주체에게 유출 관련 사실을 통지하기 위한 유출확인 웹페이지 제작 등의 통지방법 마련 조치
5. 5) 기타 개인정보의 유출확산 방지를 위해 필요한 기술적ㆍ관리적 조치

1. 1) 개인정보 보호책임자는 정보주체에게 유출사실 등을 통지할 때에는 서면, 전자우편, 팩스, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 지체 없이 정보주체에게 알려야 한다.
2. 2) 개인정보 보호책임자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제7조제2항 제1호 각 사항을 공개할 수 있다.

1. 1) 개인정보 보호책임자는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 5일 이내에 안전행정부 장관 또는 다음의 전문기관에 신고하여야 한다. 가.「개인정보보호법 시행령」 제39조에 따른 한국인터넷진흥원(이하 "한국인터넷진흥원"이라 한다)
2. 2) 제1항에 따른 신고는 ‘개인정보 유출신고서’[서식 3]를 이용하여 신고할 수 있다.
3. 3) 개인정보 보호책임자는 전자우편, 팩스 또는 인터넷 사이트를 통하여 유출신고를 할 시간적 여유가 없거나 그밖에 특별한 사정이 있는 때에는 먼저 전화를 통하여 3.2.2조 제1항의 사항을 신고한 후, ‘개인정보 유출신고서’[서식 1]를 제출할 수 있다.
4. 4) 개인정보 보호책임자는 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 3.2.2조 제1항에 따른 통지와 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 3.2.2조 제1항 각 호의 사항을 7일 이상 게재하여야 한다.
5. 5) 개인정보 보호책임자는 개인정보 유출 사고 발생 시 그 사실 및 경위를 금융위원회 및 금융감독원의 개인정보 관리부서에 즉시 통보하여야 하며, 사고 대응 이후에는 그 조치결과를 통보하여야 한다.

1. 1) 정보주체가 개인정보 침해를 받았다고 회사에 민원을 제기하는 경우 회사는 신속하게 조사하여야 한다.
2. 2) 회사가 개인정보 침해여부 조사 결과 침해행위를 발견한 경우에는 침해행위의 중지, 원상회복, 손해배상 등 필요한 피해구제조치를 취하여야 한다.
3. 3) 회사는 개인정보 보호법에 의거한 분쟁조정위원회가 개인정보 침해에 대한 분쟁조정을 하는 경우 성실하게 불만처리조치 및 피해구제조치를 하여야 한다.
4. 4) 회사가 개인정보 침해행위를 발견한 경우에는 같거나 비슷한 침해의 재발을 방지하기 위하여 필요한 조치를 취하여야 한다.

3.3 정보주체의 권리 보장

1. 1) 부서별 개인정보 보호책임자는 정보주체가 ‘개인정보 열람요구서’[서식 5]에 의하여 개인정보의 열람요구를 하는 경우에는 요구서를 받은 날로부터 10일 이내에 열람의 허용여부, 열람일시 및 장소를 결정하고 ‘개인정보 열람 통지서’[서식 5]를 청구인에게 송부하여야 한다. 다만, 열람요구를 받는 즉시 열람하도록 하는 경우에는 ‘개인정보 열람요구에 대한 통지서’를 생략할 수 있다.
2. 2) 열람요구서를 접수한 날로부터 10일 이내에 열람하게 할 수 없는 정당한 사유가 있는 때에는 청구인에게 ‘개인정보 열람연기 통지서’[서식 5]로 그 사유를 통지하고 연기할 수 있으며, 그 사유가 소멸한 때에는 지체 없이 열람하게 하여야 한다.
3. 3) 개인정보의 전부 또는 일부에 대하여 다음 각 호의 사유로 열람을 허용하지 아니하기로 결정한 때에는 그 사유와 법령상 근거 및 당해 결정에 대한 불복절차에 관한 사항을 기재한 ‘개인정보 열람거절 통지서’[서식 5]를 청구인에게 송부하여야 한다.
   1. 가. 법률에 따라 열람이 금지되거나 제한되는 경우
   2. 나. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
   3. 다. 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우
      1. (1) 조세의 부과ㆍ징수 또는 환급에 관한 업무
      2. (2) 학력ㆍ기능 및 채용에 관한 시험, 자격의 심사, 보상금ㆍ급부금의 산정 등 평가 또는 판단에 관한 업무
      3. (3) 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무
4. 4) 정보주체로부터 개인정보의 제3자 제공현황의 열람청구를 받았을 경우, 국가안보에 긴요한 사안으로 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무를 수행하는데 중대한 지장을 초래하는 경우, 제3자에게 열람청구의 허용 또는 제한, 거부와 관련한 의견을 조회하여 결정할 수 있다.

1. 1) 부서별 개인정보 보호책임자는 정보주체로부터 ‘개인정보 정정ㆍ삭제 요구서’[서식 4]에 의하여 정정ㆍ삭제 요구를 받은 때에는 7일 이내에 필요한 조치를 한 후 ‘개인정보 정정ㆍ삭제 요구에 대한결과 통지서’[서식 6]를 청구인에게 송부하여야 한다.(다른 법률에 당해 정보가 수집대상으로 명시되어 있는 경우에는 그 삭제를 요구할 수 없다.) 이 경우 7일 이내에 필요한 조치를 취할 수 없는 정당한 사유가 있는 때에는 그 사유를 통지하고 1회에 한하여 7일의 범위 내에서 그 기간을 연장 할 수 있다.
2. 2) 정정청구에 대하여 정정을 하지 아니하기로 결정하거나 요구의 내용과 다른 결정을 한 경우에는 ‘개인정보 정정ㆍ삭제 요구에 대한 결과 통지서’[서식 6]를 청구인에게 송부하여야 한다.

1. 1) 부서별 개인정보 보호책임자는 정보주체의 개인정보 처리정지를 요구를 받았을 때에는 지체 없이 정보주체의 요구에 따라 개인정보 처리의 전부를 정지하거나 일부를 정지하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 정보주체의 처리정지 요구를 거절할 수 있다.
   1. 가. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
   2. 나. 다른 사람의 생명ㆍ신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우
   3. 다. 공공기관이 개인정보를 처리하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우
   4. 라. 개인정보를 처리하지 아니하면 정보주체와 약정한 서비스를 제공하지 못하는 등 계약의 이행이 곤란한 경우로서 정보주체가 그 계약의 해지 의사를 명확하게 밝히지 아니한 경우
2. 2) 부서별 개인정보 보호책임자는 정보주체로부터 개인정보처리를 정지하도록 요구받은 때에는 제1항 단서에 해당하지 않고 다른 정당한 사유가 없는 한 요구를 받은 날로부터 10일 이내에 개인정보 처리의 일부 또는 전부를 정지하여야 한다.
3. 3) 정보주체의 요구에 따라 처리가 정지된 개인정보에 대하여는 정당한 사유가 없는 한 처리정지의 요구를 받은 날로부터 10일 이내에 해당 개인정보의 파기 등 정보주체의 요구에 상응하는 조치를 하고 그 결과를 정보주체에게 알려야 한다.

부서별 개인정보 보호책임자가 열람청구 또는 정정ㆍ삭제 청구를 받은 때에는 다음 각 호의 해당 서류에 의하여 청구인이 정보주체 본인 또는 그의 정당한 대리인임을 확인하여야 한다.

1. 1) 본인이 청구하는 경우에는 주민등록증 등 그 신원을 확인할 수 있는 신분증명서
2. 2) 대리인이 청구하는 경우에는 ‘위임장’[서식 9] 및 주민등록증 등 그 신원을 확인할 수 있는 신분증명서
3. 3) 인터넷 등을 통해 개인정보처리에 대한 요구를 받을 경우 제1호에 준하는 방법

회사는 정보주체가 열람요구 등 권리를 행사할 수 있도록 간편한 방법을 제공하여야 하며, 개인정보의 수집 시에 요구되지 않았던 증빙서류 등을 요구하거나 추가적인 절차를 요구할 수 없다. 이는 본인 또는 정당한 대리인임을 확인하고자 하는 경우와 수수료와 우송료의 정산에도 적용된다.

3.4 개인정보 처리방침 작성

개인정보 처리방침을 수립하거나 변경하는 경우에는 인터넷 홈페이지를 통해 지속적으로 게재 하여야 하며 이 경우 “개인정보 처리방침”이라는 명칭을 사용하되, 글자 크기, 색상 등을 다른 고지사항과 구분함으로써 정보주체가 쉽게 확인할 수 있도록 하여야 한다.

1. 1) 개인정보 보호책임자는 개인정보 처리방침의 적정성을 연1회 점검하여야 한다.
2. 2) 부서별 개인정보 보호책임자는 해당 부서의 개인정보 처리현황을 수시로 파악하여 변경사항이 발생할 경우, 개인정보 보호책임자에게 알려야 한다.
3. 3) 개인정보 처리방침을 변경하는 경우에는 변경 및 시행의 시기, 변경된 내용을 지속적으로 공개하여야 하며, 변경된 내용은 정보주체가 쉽게 확인할 수 있도록 변경 전ㆍ후를 비교하여 공개하여야 한다.

1. 1) 개인정보 처리방침을 작성하는 때에는 기재하는 사항을 명시적으로 구분하고, 알기 쉬운 용어로 구체적이고 명확하게 표현하여야 한다.
2. 2) 개인정보의 처리 목적에 필요한 최소한의 개인정보라는 점을 밝혀야 한다.
3. 3) 목적에 필요한 최소한의 개인정보 이외에 개인별 맞춤서비스 등을 위하여 처리하는 개인정보의 항목이 있는 경우에는 양자를 구별하여 표시하여야 한다.

개인정보 처리방침을 작성할 때에는 다음 각 호의 사항을 모두 포함하여야 한다.

1. 1) 개인정보의 처리 목적
2. 2) 개인정보의 처리 및 보유 기간
3. 3) 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
4. 4) 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 5) 정보주체의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 6) 처리하는 개인정보의 항목
7. 7) 개인정보의 파기에 관한 사항
8. 8) 개인정보 보호책임자에 관한 사항
9. 9) 개인정보 처리방침의 변경에 관한 사항
10. 10) 개인정보의 안전성 확보조치에 관한 사항

개인정보 처리방침 작성 시 필수적 기재사항 이외에도 다음 각 호의 사항을 포함할 수 있다.

1. 1) 정보주체의 권익침해에 대한 구제방법
2. 2) 개인정보의 열람청구를 접수ㆍ처리하는 부서

3.5 개인정보 처리의 위탁

1. 1) 제3자에게 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
   1. 가. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
   2. 나. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
   3. 다. 위탁업무의 목적 및 범위
   4. 라. 재위탁 제한에 관한 사항
   5. 마. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
   6. 바. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
   7. 사. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
2. 2) 위탁하는 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자(이하 “수탁자”라 한다)를 정보주체가 언제든지 쉽게 확인할 수 있도록 회사의 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재하는 방법으로 공개하여야 한다.
3. 3) 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 팩스, 전화, 문자전송 또는 이에 상당하는 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 위탁하는 업무의 내용이나 수탁자가 변경된 경우에도 또한 같다.
4. 4) 업무 위탁으로 인하여 정보주체의 개인정보가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 수탁자를 교육하고, 처리 현황 점검 등 수탁자가 개인정보를 안전하게 처리하는지를 감독하여야 한다.
5. 5) 회사로부터 개인정보 처리 업무를 위탁받은 자는 위탁받은 해당 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.
6. 6) 수탁자가 위탁받은 업무와 관련하여 개인정보를 처리하는 과정에서 법을 위반하여 발생한 손해배상책임에 대하여는 수탁자를 회사의 소속 직원으로 본다.

1. 1) 수탁자를 선정할 때에는 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등을 종합적으로 고려하여야 한다.
2. 2) 개인정보의 처리 업무를 위탁하는 때에는 수탁자의 처리 업무의 지연, 처리 업무와 관련 없는 불필요한 개인정보의 요구, 처리기준의 불공정 등의 문제점을 종합적으로 검토하여 이를 방지하기 위해 필요한 조치를 마련하여야 한다.

수탁업체 및 당해 종업원의 고의 또는 과실로 인하여 회사 및 회사의 고객이 손해를 입은 경우에는 이에 따른 민ㆍ형사상의 책임을 수탁기관에서 진다.

1. 1) 개인정보 처리업무를 위탁하는 부서별 개인정보 보호책임자가 개인정보관리에 대한 점검을 요구하는 경우 수탁기관은 이에 응해야 하며, 관련정보를 요청하는 경우에는 즉시 제공하여야 한다.
2. 2) 개인정보 처리업무를 위탁하는 부서별 개인정보 보호책임자는 연 1회 이상 수탁기관에 대한 점검을 수행하여야 한다. 단, 위탁 계약 기간에 따라 부서별 개인정보 보호책임자가 임의로 수행할 수 있다.
3. 3) 개인정보 보호책임자는 수탁자에 대한 점검을 부서별 개인정보 보호책임자에게 요청할 수 있으며, 부서별 개인정보 보호책임자는 그 결과를 개인정보 보호책임자에게 보고하여야 한다.

4. 개인정보파일 관리

4.1 개인정보파일 보유기간의 산정

1. 1) 보유기간은 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 생애주기로서 보유목적에 부합된 최소기간으로 산정하되, 개별 법령의 규정에 명시된 자료의 보존기간에 따라 산정해야 한다.
2. 2) 개별 법령에 구체적인 보유기간이 명시되어 있지 않은 경우에는 개인정보 보호책임자 및 정보보호위원회의 협의를 거쳐 CEO의 결재를 통하여 산정해야 한다.

4.2 개인정보파일 현황 관리

개인정보 보호책임자는 개인정보파일의 보유ㆍ파기 현황을 연1회 주기적으로 조사하여 그 결과를 개인정보 처리방침에 포함하여 관리해야 한다.

4.3 개인정보파일 등록ㆍ파기에 대한 개선권고

개인정보 보호책임자는 4.2조에 따라 검토한 개인정보파일이 과다하게 운용되고 있다고 판단되는 경우에는 부서별 개인정보 보호책임자 등에게 개선을 권고할 수 있다.

5. 개인정보의 안정성 확보조치

5.1 개인정보의 안전성 확보

개인정보 보호책임자는 개인정보의 안전성을 확보하기 위하여 다음과 같은 적절한 조치를 취하여야 한다.

1. 1) 전산실 및 자료보관실 등을 보호구역으로 설정하고 출입자 통제
2. 2) 전산실 등에 감시 장비 설치 및 정기적 점검
3. 3) 출력자료에 출력일시, 사번, 출력장비의 고유번호 등 자동기록 유지
4. 4) 개인정보 처리 단말기의 처리내역이 주전산기에 자동기록 되도록 설정 및 정기적 점검
5. 5) 단말기별로 사용자 지정, ID(사용자계정) 및 비밀번호 부여, 작업 중단 시 화면보호조치
6. 6) 위탁업무 처리 시 필요한 제한 규정 및 자료 관리에 대한 점검

5.2 접근 권한의 관리

1. 1) 개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무담당자에 따라 차등 부여하여야 한다.
2. 2) 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다.
3. 3) 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
4. 4) 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.

5.3 비밀번호 관리

1. 1) 개인정보를 취급하는 자가 인터넷망을 통해 해당 시스템에 접속하는 경우에는 공인인증서(GPKI, NPKI 등) 등의 안전한 방식으로 인증하는 것을 원칙으로 한다.
2. 2) 개인정보취급자 및 정보주체가 아이디/패스워드를 이용하여 인증을 수행하는 경우 비밀번호 생성 및 관리 사항은 ‘계정 및 비밀번호 보안관리 지침’을 따른다.

5.4 접근통제

1. 1) 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치ㆍ운영하여야 한다.
   1. 가. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한
   2. 나. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지
   3. 다. 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하여야 한다.
2. 2) 개인정보취급자의 업무용 PC 내 P2P프로그램, 상용웹하드 사용 및 공유폴더 설정을 금지하여야 한다.
3. 3) 단말기 및 시스템 등을 사용하지 않을 경우는 반드시 전원차단, 화면보호기 비밀번호 설정 등을 하여 타인의 사용을 제한하여야 한다.
4. 4) 개인정보처리시스템 접근 시 비밀번호 입력 오류가 지속적으로 발생하는 경우 접근을 제한하여야 한다. 비밀번호 입력 오류 횟수는 ‘계정 및 비밀번호 보안관리 지침’에 따른다.
5. 6) 개인정보처리시스템 접근에 대해 동일 계정의 동시 접속을 제한하고 일정시간 동안 작업을 수행하지 않을 경우 접속을 종료시켜야 한다.
6. 7) 개인정보처리시스템을 통해 출력되는 주요 개인정보는 별표(*) 등 임의의 문자로 치환하여 불필요한 개인정보가 노출되지 않도록 하여야 한다. 단, 업무 목적으로 필요한 경우는 제외한다.
   ※ 이때, 출력은 모니터 화면 출력 및 종이문서 출력 모두에 해당한다.

5.5 개인정보의 암호화

1. 1) 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 안전성 확보조치가 필요한 개인정보는 고유식별정보, 비밀번호 및 바이오정보이다.
2. 2) 제1항에 따른 개인정보를 정보통신망을 통하여 송ㆍ수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
3. 3) 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 단 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
4. 4) 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
5. 5) 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
   1. 가. 제5항에도 불구하고 주민등록번호는 분실·도난·유출·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관하여야 한다.
   2. 나. 제1항에 따른 개인정보를 암호화하는 경우에는 국가기관 등이 권고하는 안전한 암호화 알고리즘을 적용하여야 한다.
   3. 다. 업무용 컴퓨터에 고유식별정보를 보관하지 않는 것을 원칙으로 하나, 부득이하게 저장하여 관리하는 경우 안전한 암호화 알고리즘을 적용한 상용 암호화 소프트웨어를 사용하거나 비밀번호를 적용하여 보관하여야 한다.
   4. 라. 업무용 컴퓨터에 고유식별정보를 보관하는 경우에는 보관사유, 보관기간 및 관리 비밀번호 등을 정하여 부서별 개인정보 보호책임자의 승인을 득하여 보관하여야 한다.

5.6 접속기록의 보관 및 위ㆍ변조방지

1. 1) 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리하여야 한다.
2. 2) 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
3. 3) 개인정보처리시스템의 접속기록을 주기적으로 분석하여야 한다.

5.7 보안프로그램 설치 및 운영

악성 프로그램 등을 방지ㆍ치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치ㆍ운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.

1. 1) 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시
2. 2) 보안 프로그램의 실시간 감시 기능 적용
3. 3) 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트 실시

5.8 개인정보보호 점검 및 차단

1. 1) 개인정보 보호책임자는 해당 웹 사이트에 개인정보가 노출되지 않도록 점검 관리하여야 하며, 검색엔진에 개인정보가 노출되지 않도록 기술적 조치를 취하여야 한다.
2. 2) 개인정보가 포함된 파일을 웹 사이트에 게시하여서는 아니 된다. 단, 필요 시 개인정보 보호책임자의 승인을 얻어 게시할 수 있다.
3. 3) 개인정보 보호책임자는 주기적(분기별 1회)으로 각 부서의 개인정보 수집 적정성 여부를 포함한 개인정보 처리 현황을 점검하여야 한다.
4. 4) 업무 PC 내 보유목적이 끝난 개인정보가 잔존하고 있는지 여부 등의 개인정보보호 점검을 분기별 1회 수행하여야 한다.
5. 5) 개인정보취급자는 업무 PC 내 불필요한 개인정보는 즉시 삭제하여야 한다.

5.9 개인정보보호 점검 사후조치

개인정보 보호책임자는 각 부서 및 수탁자의 개인정보 처리 현황 점검 결과에 따라 임ㆍ직원, 영업조직구성원 및 수탁자에 시정ㆍ개선ㆍ감사의뢰 등 필요한 조치를 취하여야 한다.

5.10 개인정보 파일 및 문서 통제

1. 1) 개인정보를 포함하고 있는 파일의 경우, 허용된 범위내에서 인쇄 또는 복사될 수 있도록 통제하여야 하며, 출력물의 경우 출력자 성명, 일시 등을 기재하여 문서 유출 등을 방지하여야 한다.
2. 2) 대량의 개인정보를 포함한 파일을 내부 메일 및 메신저 등을 통해 전송할 경우, 부서별 개인정보 보호책임자의 승인을 득하여 암호화 조치 후 전송하여야 한다. 가. 개인정보취급자는 3.1.9조 제5항 제2호에 따라 파기 여부를 확인하여야 한다. 단, 개인정보 수령자로부터 개인정보 파기 서약서를 징구한 경우, 개인정보 수령자에게 파기를 위임할 수 있다. 나. 개인정보 수령자는 업무목적이 완료된 후 수령한 개인정보를 즉시 파기하여야 한다.

5.11 물리적 접근 방지

1. 1) 개인정보의 안전한 보관을 위해 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소에 대해 잠금장치, CCTV 등의 출입통제 시스템을 적용하여야 한다.
2. 2) 전산실, 자료보관실 등 개인정보 보관 장소에 출입하거나, 개인정보를 열람하게 할 경우 출입자의 출입기록 및 열람내용을 기록하고 보관하는 조치를 취하여야 한다.
3. 3) 회사의 시설보안 담당부서장은 제1항 및 제2항의 조치를 하고 이름 관리/감독하여야 하며, 출입기록을 주기적으로 점검하여야 한다.
4. 4) 개인정보취급자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.

6. 영상정보처리기기 설치·운영

6.1 영상정보처리기기의 설치

이 장은 현장 등 공개된 장소에 설치ㆍ운영하는 영상정보처리기기와 이 기기를 통하여 처리되는 개인영상정보를 대상으로 한다.

영상정보처리기기 운영 시 영상정보처리기기의 설치 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비춰서는 아니 되며, 녹음기능은 사용할 수 없다.

1. 1) 개인정보 보호책임자는 영상정보처리기기 운영ㆍ관리 방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.
2. 2) 제1항의 영상정보처리기기 운영ㆍ관리 방침은 다음 각 호의 내용이 포함되어야 한다.
   1. 가. 영상정보처리기기의 설치 근거 및 목적
   2. 나. 영상정보처리기기의 설치 대수, 위치 및 촬영범위
   3. 다. 보호책임자, 담당 부서 및 영상정보에 대한 접근권한을 부여받은 업무담당자
   4. 라. 영상정보의 촬영시간, 보관기간, 보관장소, 보관ㆍ관리ㆍ폐기 방법
   5. 마. 영상정보처리기기 운영자의 영상정보 확인 방법 및 장소
   6. 바. 주체의 영상정보 열람 등 요구에 대한 조치
   7. 사. 영상정보의 보호를 위한 관리적ㆍ기술적ㆍ물리적 보호조치
   8. 아. 그밖에 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항

1. 1) 영상정보처리기기를 설치ㆍ운용하고 있는 부서별 개인정보 보호책임자를 개인영상정보 보호책임자로 지정한다.
2. 2) 개인영상정보 보호책임자는 부서 내 개인영상정보 관리자 등을 두어 책임자의 업무를 대행할 수 있다.
3. 3) 제1항의 보호책임자는 개인정보 보호책임자의 업무에 준하여 다음 각 호의 업무를 수행한다.
   1. 가. 개인영상정보 보호 계획의 수립 및 시행
   2. 나. 개인영상정보 처리 실태 및 관행의 정기적인 조사 및 개선
   3. 다. 개인영상정보 처리와 관련한 불만의 처리 및 피해구제
   4. 라. 개인영상정보 유출 및 오남용 방지를 위한 내부통제시스템의 구축
   5. 마. 개인영상정보 보호 교육 계획 수립 및 시행
   6. 바. 개인영상정보 파일의 보호 및 파기에 대한 관리ㆍ감독
   7. 사. 그밖에 개인영상정보의 보호를 위하여 필요한 업무>
4. 4) 제3항의 개인영상정보 보호 계획 등 개인영상정보 관리 사항은 개인정보 보호책임자의 지원을 받을 수 있다.

1. 1) 부서별 개인정보 보호책임자는 정보주체가 영상정보처리기기가 설치ㆍ운영 중임을 쉽게 알아볼 수 있도록 다음 각 호의 사항을 기재한 안내판 설치 등 필요한 조치를 하여야 한다.
   1. 가. 설치목적 및 장소
   2. 나. 촬영범위 및 시간
   3. 다. 보호책임자의 성명, 직책 및 연락처
   4. 라. 정보처리기기 설치ㆍ운영에 관한 사무를 위탁하는 경우, 수탁기관의 명칭 및 연락처
2. 2) 제1항에 따른 안내판은 촬영범위 내에서 정보주체가 알아보기 쉬운 장소에 누구라도 용이하게 판독할 수 있게 설치되어야 하며, 이 범위 내에서 부서별 개인정보 보호책임자가 안내판의 크기, 설치 위치 등을 자율적으로 정할 수 있다.
3. 3) 부서별 개인정보 보호책임자가 영상정보처리기기의 효율적 관리 및 정보 연계 등을 위해 용도별ㆍ지역별 영상정보처리기기를 물리적ㆍ관리적으로 통합하여 설치ㆍ운영(‘통합관리’라 한다)하는 경우에는 설치목적 등 통합관리에 관한 내용을 정보주체가 쉽게 알아볼 수 있도록 안내판에 기재하여야 한다.

6.2 개인영상정보의 처리

부서별 개인정보 보호책임자는 다음 각 호의 경우를 제외하고는 개인영상정보를 수집 목적 이외로 이용하거나 제3자에게 제공하여서는 아니 된다.

1. 1) 정보주체에게 동의를 얻은 경우
2. 2) 다른 법률에 특별한 규정이 있는 경우
3. 3) 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우
4. 4) 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인영상정보를 제공하는 경우
5. 5) 개인영상정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 정보보호위원회의 심의ㆍ의결을 거친 경우
6. 6) 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우
   1. 가. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
   2. 나. 법원의 재판업무 수행을 위하여 필요한 경우
   3. 다. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

1. 1) 부서별 개인정보 보호책임자는 수집한 개인영상정보를 영상정보처리기기 운영ㆍ관리 방침에 명시한 보관 기간이 만료한 때에는 지체 없이 파기하여야 한다. 다만, 다른 법령에 특별한 규정이 있는 경우에는 그러하지 아니하다.
2. 2) 부서별 개인정보 보호책임자가 개인영상정보의 보유 목적 달성을 위한 최소한의 기간을 산정하기 곤란한 때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 한다.
3. 3) 개인영상정보의 파기 방법은 다음 각 호의 어느 하나와 같다.
   1. 가. 개인영상정보가 기록된 출력물(사진 등) 등은 파쇄 또는 소각
   2. 나. 전자기적(電磁氣的) 파일 형태의 개인영상정보는 복원이 불가능한 기술적 방법으로 영구 삭제

1. 1) 부서별 개인정보 보호책임자는 개인영상정보를 수집 목적 이외로 이용하거나 제3자에게 제공하는 경우에는 다음 각 호의 사항을 기록하고 이를 관리하여야 한다.
   1. 가. 개인영상정보 파일의 명칭
   2. 나. 이용하거나 제공받은 자(공공기관 또는 개인)의 명칭
   3. 다. 이용 또는 제공의 목적
   4. 라. 법령상 이용 또는 제공근거가 있는 경우 그 근거
   5. 마. 이용 또는 제공의 기간이 정하여져 있는 경우에는 그 기간
   6. 바. 이용 또는 제공의 형태
2. 2) 부서별 개인정보 보호책임자가 개인영상정보를 파기하는 경우에는 다음 사항을 기록하고 관리하여야 한다.
   1. 가. 파기하는 개인영상정보 파일의 명칭
   2. 나. 영상정보 파기 일시 단, 사전에 파기 시기 등을 정한 자동 삭제의 경우에는 파기 주기 및 자동 삭제 여부에 대한 확인 시기
   3. 다. 개인영상정보 파기 담당자
3. 3) 부서별 개인정보 보호책임자는 제1항ㆍ제2항의 사항을 ‘개인영상정보 관리대장’[서식 7]에 기록ㆍ관리하여야 한다.

1. 1) 부서별 개인정보 보호책임자는 영상정보처리기기의 설치ㆍ운영에 관한 사무를 제3자에게 위탁하는 경우에는 그 내용을 안내판 및 영상정보처리기기 운영ㆍ관리 방침에 기재하여야 한다.
2. 2) 부서별 개인정보 보호책임자는 영상정보처리기기의 설치ㆍ운영에 관한 사무를 제3자에게 위탁할 경우에는 그 사무를 위탁받은 자가 개인영상정보를 안전하게 처리하고 있는지를 관리ㆍ감독하여야 한다.

6.3 개인영상정보의 열람 등 요구

1. 1) 정보주체는 자신의 개인영상정보에 대하여 해당 부서별 개인정보 보호책임자에게 열람 및 존재확인(이하 “열람 등”이라 한다)을 요구할 수 있다. 이 경우 개인영상정보란 정보주체 자신이 촬영된 개인영상정보 및 명백히 정보주체의 급박한 생명, 신체, 재산의 이익을 위하여 필요한 개인영상정보에 한한다.
2. 2) 정보주체가 열람을 요구할 경우에는 ‘개인영상정보 열람ㆍ존재확인 청구서’[서식 8]를 이용하여 부서별 개인정보 보호책임자에게 요구하여야 한다.
3. 3) 부서별 개인정보 보호책임자는 제2항에 따른 요구를 받았을 때에는 지체 없이 필요한 조치를 하여야 한다. 이때에 부서별 개인정보 보호책임자는 열람 등 요구를 한 자가 본인이거나 정당한 대리인인지를 주민등록증ㆍ운전면허증ㆍ여권 등의 신분증명서와 ‘위임장’[서식 9]을 제출받아 확인하여야 한다.
4. 4) 제3항의 규정에도 불구하고 다음 각 호에 해당하는 경우에는 부서별 개인정보 보호책임자는 정보 주체의 개인영상정보 열람 등 요구를 거부할 수 있다. 이 경우에 10일 이내에 서면 등으로 거부 사유 및 불복할 수 있는 방법을 정보주체에게 통지하여야 한다.
   1. 가. 범죄수사ㆍ공소유지ㆍ재판수행에 중대한 지장을 초래하는 경우
   2. 나. 개인영상정보의 보관기간이 경과하여 파기한 경우
   3. 다. 기타 정보주체의 열람 등 요구를 거부할 만한 정당한 사유가 존재하는 경우
5. 5) 부서별 개인정보 보호책임자는 제3항 및 제4항에 따른 조치를 취하는 경우에, 다음 각 호의 사항을 ‘개인영상정보 관리대장’ [서식 7]에 기록ㆍ관리하여야 한다.
   1. 가. 개인영상정보 열람 등을 요구한 정보주체의 성명 및 연락처
   2. 나. 정보주체가 열람 등을 요구한 개인영상정보 파일의 명칭 및 내용
   3. 다. 개인영상정보 열람 등의 목적
   4. 라. 개인영상정보 열람 등을 거부한 경우 그 거부의 구체적 사유
   5. 마. 정보주체에게 개인영상정보 사본을 제공한 경우 해당 영상정보의 내용과 제공한 사유
6. 6) 정보주체가 부서별 개인정보 보호책임자에게 자신의 개인영상정보에 대한 파기를 요구하는 때에는 제1항의 개인영상정보에 대하여만 파기를 요구할 수 있다. 부서별 개인정보 보호책임자는 파기조치를 취한 경우에는 그 내용을 ‘개인영상정보 관리대장’[서식7]에 기록ㆍ관리하여야 한다.

부서별 개인정보 보호책임자는 제65조에 따른 열람 등 필요한 조치를 취하는 경우에 해당 개인영상정보 내에 정보주체 이외의 자의 개인영상정보가 포함되어 있는 때에는 해당 제3자의 개인영상정보를 알아볼 수 없도록 보호조치를 취하여야 한다.

6.4 개인영상정보 보호 조치

개인정보 보호책임자는 개인영상정보가 분실ㆍ도난ㆍ유출ㆍ변조 또는 훼손되지 아니하도록 안전성 확보를 위하여 다음 각 호의 조치를 하여야 한다.

1. 1) 개인영상정보에 대한 접근 통제 및 접근 권한의 제한 조치
2. 2) 개인영상정보를 안전하게 저장ㆍ전송할 수 있는 기술의 적용 (네트워크 카메라의 경우 안전한 전송을 위한 암호화 조치, 개인영상정보파일에 대한 비밀번호 설정 등)
3. 3) 처리기록의 보관 및 위조ㆍ변조 방지를 위한 조치 (개인영상정보의 생성 일시, 열람할 경우에 열람 목적ㆍ열람자ㆍ열람 일시 등 기록ㆍ관리 조치 등)
4. 4) 개인영상정보의 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치

1. 1) 부서별 개인정보 보호책임자는 영상정보처리기기를 설치ㆍ운영하는 경우에는 이 지침의 준수 여부에 대한 자체점검을 실시하여 그 결과를 개인정보 보호책임자에게 보고하여야 한다. 이 경우 다음 각 호의 사항을 고려하여야 한다.
   1. 가. 영상정보처리기기의 운영ㆍ관리 방침에 열거된 사항
   2. 나. 보호책임자의 업무 수행 현황
   3. 다. 영상정보처리기기의 설치 및 운영 현황
   4. 라. 개인영상정보 수집 및 이용ㆍ제공ㆍ파기 현황
   5. 마. 수탁기관에 대한 관리ㆍ감독 현황
   6. 바. 정보주체의 권리행사에 대한 조치 현황
   7. 사. 기술적ㆍ관리적ㆍ물리적 조치 현황
   8. 아. 영상정보처리기 설치ㆍ운영의 필요성 지속 여부 등
2. 2) 개인정보 보호책임자는 제1항의 영상정보처리기기를 설치ㆍ운영에 대한 자체점검 결과를 검토하고, 개선을 요청할 수 있다.
3. 3) 개인정보 보호책임자는 필요시 개인영상정보의 관리 실태를 점검할 수 있으며, 이 경우 부서별 개인정보 보호책임자는 적극 협조하여야 한다.

7. 보칙

7.1 세부지침의 제정 등

1. 1) 개인신용정보의 처리에 대해서는 ‘개인신용정보보호 지침’을 우선하여 따르고, 그 외의 사항은 이 지침을 따른다.