옹진군개인정보보호내부관리계획 번호개정연월내용비고 개인정보보호내부관리계획수립 제 6 조 ( 개인정보보호책임자, 분야별책임자및보호담당자의지정 ) - 부서장또는면 직속기관의장을분야별책임자로지정 제

Transcription

1 옹진군개인정보내부관리계획개정 ( 안 ) 옹진군 w w.ongjin.go.kr

2 옹진군개인정보보호내부관리계획 번호개정연월내용비고 개인정보보호내부관리계획수립 제 6 조 ( 개인정보보호책임자, 분야별책임자및보호담당자의지정 ) - 부서장또는면 직속기관의장을분야별책임자로지정 제 19 조 ( 개인정보파일의파기절차및방법 ) 추가 - 표준개인정보보호지침제 59 조에의거하여내용추가 제 11 조 ( 개인정보처리단계별관리조치 ) - 개인정보의목적외이용및제 3 자제공절차마련 제 13 조 ( 접근통제 ) - 관리자페이지비인가자의접근통제대책마련 - 고유식별정보처리홈페이지연 1 회이상취약점점검추가 제 17 조 ( 물리적접근방지 ) - 보조저장매체의반출 입통제를위한보안대책마련 제 19 조 ( 개인정보의내부통제시스템의운영 ) - 웹사이트를통한개인정보수집 운영시내부통제시스템운영방법마련 제 20 조 ( 개인정보의파기 ) - 개인정보의일부만파기하는경우 제 21 조 ( 개인정보처리업무의위탁시관리및감독 ) - 위수탁계약서내용, 위탁내용공개, 수탁자교육및관리감독등 제 27 조 ( 개인영상정보이용 제 3 자제공제한등 ) - 개인영상정보제공시준수사항및절차구체화 제 36 조 ( 개인정보침해대응 ) - [ 붙임 1] 개인정보침해사고대응매뉴얼작성및추가 제 37 조 ( 권익침해구제방법 ) - 기타개인정보침해신고및상담기관현행화및행정심판안내 별지서식추가제 8 호 : 개인정보목적외이용및제 3 자제공대장제 9 호 : 표준개인정보처리위탁계약서 ( 안 ) 제 10 호 : 위 수탁업체관리 감독점검표 제 11 조 ( 개인정보처리단계별관리조치 ) 6 제 3 자에대한개인정보제공중단절차추가 제 12 조 ( 개인정보취급자접근권한관리및인증 ) 5 비밀번호작성규칙을수립하여적용항목추가 제 27 조 ( 영상정보의목적외이용 제 3 자제공제한등 ) 개인영상정보제공시준수사항및절차추가 제 28 조 ( 보관및파기 ) 3 파기방법내용수정 제 30 조 ( 영상정보처리기기설치및관리등의위탁 ) 1 문서포함내용추가

3 번호개정연월내용비고 제 3 조 ( 용어정의 ) 5 보호관리자를보호책임자로용어수정 10 개인정보처리시스템정의수정 18 접속기록정의수정 제 4 조 ( 내부관리계획의수립및승인 ) 3 내부관리계획의이행실태점검관리항목추가 제 11 조 ( 개인정보파일관리 ) 신설 제 13 조 ( 개인정보취급자접근권한관리및인증 ) 1 최소한의시스템접근권한수정 6 시스템접근제한등기술적조치항목추가 제 14 조 ( 접근통제 ) 6 인증수단적용추가 7 시스템접속자동차단항목추가 제 15 조 ( 개인정보의암호화 ) 6 암호화된개인정보관리를위한절차수립 시행항목추가 제 16 조 ( 암호키관리 ) 신설 제 17 조 ( 접속기록의보관및위변조방지 ) 1 접근기록을접속기록으로용어수정 제 18 조 ( 악성프로그램등방지 ) 2 악성프로그램삭제조치내용추가 제 24 조 ( 위험도분석및대응방안 ) 신설 제 25 조 ( 재해 재난대비안전조치 ) 신설 제 26 조 ( 관리용단말기의안전조치 ) 신설 제 32 조 ( 영상정보수집의제한 ) 신설 제 43 조 ( 개인정보침해피해구제 ) 2. 기타개인정보침해신고및상담기관기관명, 연락처, 홈페이지주소수정 제 1 조 ( 목적 ) 개인정보보호법조항수정 제 2 조 ( 적용범위 ) 조직개편에따른문구수정 제 3 조 ( 용어정의 ) 5 조직개편에따른문구수정 15 개인영상정보정의수정 제 6 조 ( 개인정보보호책임자, 분야별책임자및보호담당자의지정 ) 1 조직개편에따른문구수정 제 28 조 ( 개인영상정보보호책임자및관리책임자의지정 ) 1 조직개편에따른문구수정 제 40 조 ( 개인영상정보처리기기의설치 운영에대한점검 ) 1 조직개편에따른문구수정 제 42 조 ( 개인정보침해대응 ) 47 개인정보유출통지정보주체수수정

4 목차 제 1 장총칙 1 제1조 ( 목적 ) 제2조 ( 적용범위 ) 제3조 ( 용어정의 ) 제 2 장내부관리계획의수립및시행 2 제4조 ( 내부관리계획의수립및승인 ) 제5조 ( 내부관리계획의공표 ) 제 3 장개인정보보호책임자의의무와책임 3 제6조 ( 개인정보보호책임자, 분야별책임자및보호담당자의지정 ) 제7조 ( 개인정보보호책임자의의무와책임 ) 제8조 ( 분야별책임자의의무와책임 ) 제9조 ( 개인정보보호담당자의의무와책임 ) 제10조 ( 개인정보취급자의범위및의무와책임 ) 제11조 ( 개인정보파일의관리 ) 제 4 장개인정보의처리단계별안전조치 4 제12조 ( 개인정보처리단계별관리조치 ) 제13조 ( 개인정보취급자접근권한관리및인증 ) 제14조 ( 접근통제 ) 제15조 ( 개인정보의암호화 ) 제16조 ( 암호키관리 ) 제17조 ( 접근기록의보관및위변조방지 ) 제18조 ( 악성프로그램등방지 ) 제19조 ( 물리적접근제한 ) 제20조 ( 개인정보표시제한보호조치 ) 제21조 ( 개인정보내부통제시스템운영 ) 제22조 ( 개인정보파기 ) 제23조 ( 개인정보처리업무의위탁시관리및감독 ) 제24조 ( 위험도분석및대응방안 ) 제25조 ( 재해 재난대비안전조치 ) 제26조 ( 관리용단말기의안전조치 )

5 제 5 장영상정보처리기기설치 운영관리 10 제27조 ( 적용범위 ) 제28조 ( 개인영상정보보호책임자및관리책임자의지정 ) 제29조 ( 영상정보처리기기운영 관리방침 ) 제30조 ( 사전의견수렴등 ) 제31조 ( 안내판의설치 ) 제32조 ( 영상정보수집의제한 ) 제33조 ( 개인영상정보이용 제3자제공제한등 ) 제34조 ( 보관및파기 ) 제35조 ( 개인영상정보관리대장 ) 제36조 ( 영상정보처리기기설치및관리등의위탁 ) 제37조 ( 정보주체의열람등요구 ) 제38조 ( 정보주체이외의자의개인영상정보보호 ) 제39조 ( 개인영상정보의안전성확보를위한조치 ) 제40조 ( 개인영상정보처리기기의설치 운영에대한점검 ) 제 6 장개인정보보호교육 17 제 41 조 ( 개인정보보호교육 ) 제 7 장개인정보침해대응및피해구제 17 제42조 ( 개인정보침해대응 ) 제43조 ( 개인정보침해피해구제 ) 붙임 1 개인정보침해사고대응매뉴얼 20 < 첨부서류 > 별지제1호 : 사용자계정관리대장별지제2호 : 개인정보제공동의서 ( 안 ) 별지제3호 : 개인정보유출신고서별지제4호 : 개인영상정보관리대장별지제5호 : 개인영상정보청구서별지제6호 : 개인정보파일파기요청서별지제7호 : 개인정보파일파기관리대장별지제8호 : 개인정보목적외이용및제3자제공대장별지제9호 : 표준개인정보처리위탁계약서 ( 안 ) 별지제10호 : 위 수탁업체관리 감독점검표

6 옹진군개인정보내부관리계획 제 1 장총칙 제1조 ( 목적 ) 내부관리계획은 개인정보보호법 ( 이하 법 이라한다 ) 제24조제2항, 제24조제3항및제29조와같은법시행령 ( 이하 영 이라한다 ) 제21조및제30조에따른 개인정보의안전성확보조치기준 제3조에따라옹진군개인정보보호담당자가개인정보를안전하게처리하기위하여취하여야할세부적인내용을정하는것을목적으로한다. 제2조 ( 적용범위 ) 내부관리계획은군본청및소속기관 ( 직속기관, 사업소및면을말함 ) 에적용한다. 제3조 ( 용어정의 ) 내부관리계획에서사용하는용어의뜻은다음과같다. 1 개인정보 란살아있는개인에관한정보로서, 성명, 주민등록번호, 영상등을통하여개인을알아볼수있는정보로해당정보로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다. 2 정보주체 란처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람을말한다. 3 개인정보처리자 란업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는기관이나개인을말한다. 4 개인정보보호책임자 란개인정보처리에관한업무를총괄해서책임지는자로서영제32조제2항에해당하는자를말한다. 5 분야별개인정보보호관리자 ( 이하 분야별책임자 라한다 ) 란소관업무의수행을위하여실질적으로개인정보를처리하는처리부서의장으로서군본청의실 과단위부서장또는소속기관의장을말한다. 6 개인정보보호담당자 란분야별책임자를보좌하여해당부서의개인정보보호업무에대한실무를총괄하는자를말한다. 7 개인정보취급자 란개인정보보호담당자의지휘 감독을받아개인정보를처리하는직원, 파견근로자, 비정규직근로자등을말한다. 8 고유식별정보 란주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를말한다. 9 바이오정보 란지문, 얼굴, 홍채, 정맥, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보로서그로부터가공되거나생성된정보를포함한다. 10 개인정보처리시스템 이란데이터베이스시스템등개인정보를처리할수있도록체계적으로구성한시스템을말한다.

7 11 내부망 이란물리적망분리, 접근통제시스템등에의해인터넷구간에서의접근이통제또는차단되는구간을말한다. 12 개인정보파일 이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물을말한다. 13 개인정보관리대상 이란업무상개인정보를수집하여관리하고있는파일또는종이형태, 업무처리를위한각종신청서식에기재된개인정보도해당된다. 14 영상정보처리기기 란폐쇄회로텔레비전 (CCTV), 네트워크카메라등일정한공간에지속적으로설치되어사람또는사물의영상등을촬영하거나이를유 무선망을통하여전송하는일체의장치를말한다. 15 개인영상정보 라함은영상정보처리기기에의하여촬영 처리되는영상정보중개인의초상, 행동등과관련된영상으로서해당개인의동일성여부를식별할수있는정보를말한다. 16 개인영상정보관리책임자 ( 이하 관리책임자 라한다 ) 라함은소관업무의수행을위하여영상정보처리기기를설치 운영하는자로서, 군본청실 과단위의부서장또는소속기관의장을말한다. 17 공개된장소 라함은공원, 도로, 상가내부, 주차장등정보주체가접근하거나통행하는데에제한을받지아니하는장소를말한다. 18 접속기록 이란개인정보취급자등이개인정보처리시스템에접속한사실을알수있는계정, 접속일시, 접속자정보, 수행업무등을전자적으로기록한것을말한다. 이경우 접속 이란개인정보처리시스템과연결되어데이터송신또는수신이가능한상태를말한다. 19 모바일기기 란무선망을이용할수있는 PDA, 스마트폰, 태블릿PC 등개인정보처리에이용되는휴대용기기를말한다. 제 2 장내부관리계획의수립및시행 제4조 ( 내부관리계획의수립및승인 ) 1 내부관리계획은옹진군개인정보보호책임자의승인을거쳐모든개인정보보호담당자및개인정보취급자에게공표한다. 2 개인정보보호관련법령의제 개정등에따라내부관리계획의개정이필요한때에는이를즉시반영하여수정 시행하고그수정이력을관리하여야한다. 3 개인정보보호책임자는연1회이상으로내부관리계획의이행실태를점검 관리하여야한다. 제5조 ( 내부관리계획의공표 ) 내부관리계획은개인정보보호담당자및개인정보취급자들이항시숙지하고이행할수있도록전자문서시스템및새올행정시스템게시판에게시 공표한다.

8 제 3 장개인정보보호책임자의의무와책임 제6조 ( 개인정보보호책임자, 분야별책임자및보호담당자의지정 ) 1 법제31조제1항및영제32조에따라개인정보보호책임자 (CPO) 는기획조정실장으로하고, 개인정보파일보유부서장인군본청의실 과단위부서장또는소속기관의장은분야별책임자로지정 운영한다. 2 분야별책임자는부서의직원중 1인이상의개인정보보호담당자를지정 운영한다. 제7조 ( 개인정보보호책임자의의무와책임 ) 개인정보보호책임자는개인정보의처리에관한업무를총괄해서책임지는자로서, 아래와같은의무와책임을가진다. 1. 개인정보보호계획의수립및시행 2. 개인정보처리실태및관행의정기적인조사및개선 3. 개인정보처리와관련한불만의처리및피해구제 4. 개인정보유출및오용 남용방지를위한내부통제시스템구축 5. 개인정보보호교육계획의수립및시행 6. 개인정보파일의보호및관리 감독제8조 ( 분야별책임자의의무와책임 ) 분야별책임자는부서내개인정보의처리에관한업무를총괄하여책임지는자로서, 아래와같은의무와책임을가진다. 1. 개인정보보호계획운영 2. 법제30조에따른개인정보처리방침의수립및공개 3. 개인정보침해대응및기술적보호조치 4. 개인정보처리와관련한불만의처리및피해구제처리 5. 개인정보처리실태관리 6. 개인정보자료, 파일의보호및관리 7. 처리목적이달성되거나보유기간이지난개인정보의파기 8. 개인정보보호법관련업무전반이행제9조 ( 개인정보보호담당자의의무와책임 ) 개인정보보호담당자는분야별책임자를보좌하여개인정보보호업무에관한실무를책임지는자로서, 아래와같은의무와책임을가진다. 1. 개인정보보호계획및처리방침의준수및이행 2. 개인정보의정확성, 완전성및최신성보장 3. 개인정보의기술적 관리적 물리적보호조치 4. 열람청구, 정정 삭제, 처리정지등정보주체의권리보장 5. 개인정보의처리에관한사항공개등제10조 ( 개인정보취급자의범위및의무와책임 ) 1 개인정보취급자는업무상개인정보를취급하는자로내부직원뿐만아니라외부에서파견된자, 상용직등임시직도해당된다.

9 2 개인정보취급자는아래와같은의무를준수해야한다. 1. 취급하는개인정보에대한보호활동 2. 개인정보내부관리계획준수 3. 개인정보의기술적 관리적보호조치기준이행 4. 비관계자등제3자에의한위법 부당한개인정보침해행위점검제11조 ( 개인정보파일관리 ) 1 분야별책임자는보유하고있는개인정보파일별로다음각호에따른사항을개인정보보호책임자에게제출하여야한다. 1. 개인정보파일의명칭 2. 개인정보파일의운영근거및목적 3. 개인정보파일에기록되는개인정보의항목 4. 개인정보의처리방법 5. 개인정보의보유기간 6. 개인정보를통상적또는반복적으로제공하는경우에는그제공받는자 7. 개인정보파일로보유하고있는개인정보의정보주체수 8. 개인정보파일을운용하고있는공공기관의명칭 9. 해당기관에서개인정보를처리하는부서 10. 개인정보의열람요구를접수 처리하는부서 11. 개인정보파일에서열람이제한되는개인정보의범위및그사유 2 개인정보파일의운용을시작한날로부터 30일이내에개인정보보호책임자에게제1항각호의사항을제출하여야한다. 제출한사항이변경된경우에도또한같다. 3 개인정보보호책임자는개인정보파일을제출받은날부터 60일이내에개인정보보호종합지원시스템 (intra.privacy.go.kr) 에등록하여야한다. 제 4 장개인정보의처리단계별안전조치 제12조 ( 개인정보처리단계별관리조치 ) 개인정보보호담당자는개인정보의수집에서파기에이르는각단계에있어각호의관리조치를취하도록한다. 1 수집단계 : 법령상수집근거가없는경우정보주체로부터별도의개인정보제공동의서를받아수집한다. ( 별지제2호서식참고 ) 2 저장단계 : 제15조사항을이행한다. 3 이용단계 : 개인정보관리대상을보유하는개인정보보호담당자는반드시개인정보보호업무총괄부서를경유하여개인정보종합지원시스템에등재하여관리하도록하고, 업무상필요하여일괄출력, 저장시는고유식별정보를삭제하거나주민번호대신생년월일 성별등으로대체하고출력시출력자의소속, 성명, 인쇄일시등을표시되도록한다.

10 4 제공단계 : 개인정보에대한통계성데이터는제3자에게제공가능하나원시개인정보의제3자제공은법률적근거또는정보주체로부터동의시에만제공한다. 5 목적외이용및제3자제공 : 분야별책임자는법제18 조 2항의경우에는수집한개인정보를수집목적외의용도로이용할수있다. 개인정보를목적외의용도로제3자에게제공하는경우에는개인정보를제공받는자에게이용목적, 이용방법, 그밖에필요한사항에대하여제한을하거나, 개인정보의안전성확보를위하여필요한조치를요청하여야하며, 주요사항공개 ( 인터넷등 ) 및세부내역을 [ 별지제8호서식 ] 에기록관리한다. 6 제3자에대한개인정보제공중단절차 : 개인정보처리자는개인정보를이용하거나제공받는기관이개인정보의이용및제공의제한을이행하지아니하는때에는다음각호의절차에따라개인정보의이용을중지시키거나제공을중지하여야한다. 1. 개인정보처리자는개인정보보호책임자및개인정보취급자에게관련사실을알린다. 2. 개인정보처리자는 개인정보의이용및제공의제한 의무미이행사항을인지한날로부터해당기관에개인정보제공을임시로중지한다. 3. 개인정보를제공받은기관에게 개인정보의이용및제공의제한 의무미이행사항에대한소명을요청한다. 4. 개인정보를제공받은기관에게 개인정보의이용및제공의제한 의무미이행사항에대한소명을받는다.( 공식적인문서를통한다 ) 5. 해당기관으로부터소명받은자료를접수한후개인정보보호담당자는 개인정보의이용및제공의제한 의무를위반한제공받은기관에대한조치방안을수립하여개인정보보호책임자의승인을득한다. 6. 개인정보보호책임자는개인정보제공의중지를해당기관에통보한다. 동시에해당기관에게개인정보의제공을중지한다. 7 파기단계 : 처리목적이달성된불필요한개인정보는복구또는재생되지않도록파기한다. 제13조 ( 개인정보취급자접근권한관리및인증 ) 1 개인정보처리시스템의시스템관리자는각개인정보처리시스템에대한접근권한을서비스제공을위해필요한최소한의인원에게만차등부여한다. 2 개인정보처리시스템의시스템관리자는전보또는퇴직등인사이동이발생하여개인정보보호담당자및개인정보취급자가변경되었을경우에는지체없이개인정보처리시스템의접근권한을변경또는말소한다. 3 개인정보처리시스템의시스템관리자는제1항와제2항에의한권한부여, 변경또는말소에대한내역을기록 ( 별지제1호서식 ) 하고그기록을최소 3년간보관한다. 4 개인정보처리시스템의시스템관리자는사용자계정을발급하는경우개인정보보호담당자및개인정보취급자별로한개의사용자계정을발급하여개인정보처리내역에대한책임추적성을확보하고, 다른개인정보보호담당자및개인정보취급자와공유하여사용하지않도록한다.

11 5 개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야한다. 6 개인정보처리자는권한있는개인정보취급자만이개인정보처리시스템에접근할수있도록계정정보또는비밀번호를일정횟수이상잘못입력한경우개인정보처리시스템에대한접근을제한하는등필요한기술적조치를하여야한다. 제14조 ( 접근통제 ) 1 개인정보처리시스템의관리자페이지는접속권한을 IP(Internet Protocol) 주소등으로제한하여비인가자의접근을통제하도록한다. 2 개인정보처리시스템의사용자계정비밀번호는아래의설정규칙에따라부여한다. 1. 숫자, 영문자, 특수문자등을혼합하여 9자리이상으로설정한다. 2. 비밀번호는생일, 전화번호등추측하기쉬운숫자나문자등은사용하지않도록한다. 3 개인정보처리시스템의사용자비밀번호는분기 1회이상의무적으로변경하도록하고, 가급적비밀번호를변경하지않을경우시스템을사용하지못하도록시스템적으로구현한다. 4 개인정보보호담당자및개인정보취급자가별도의개인정보처리시스템을이용하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는운영체제 (OS) 나보안프로그램등에서제공하는접근통제기능을이용하여불법적인접근을차단한다. 5 고유식별정보를처리하는분야별책임자는인터넷홈페이지를통해고유식별정보가유출 변조 훼손되지않도록연 1회이상취약점을점검하여야한다. 6 개인정보처리자는개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속하려는경우에는가상사설망 (VPN : Virtual Private Network) 또는전용선등안전한접속수단을적용하거나안전한인증수단을적용하여야한다. 7 개인정보처리자는개인정보처리시스템에대한불법적인접근및침해사고방지를위하여개인정보취급자가일정시간이상업무처리를하지않는경우에는자동으로시스템접속이차단되도록하여야한다. 제15조 ( 개인정보의암호화 ) 개인정보중고유식별정보, 비밀번호, 바이오정보는암호화하여관리한다. 1 개인정보처리시스템의개인정보중비밀번호와바이오정보는반드시암호화하여저장되도록한다. 단, 비밀번호는복호화되지아니하도록일방향암호화하여저장한다. 2 개인정보처리시스템중인터넷구간및인터넷구간과내부망의중간지점 (DMZ) 에고유식별정보를저장하는시스템의경우에는반드시암호화하여저장하여야한다. 3 개인정보처리시스템중내부망에고유식별정보를저장하는경우에는다음각호의기준에따라암호화의적용여부및적용범위를정하여시행한다. 1. 법제33조에따른개인정보영향평가의대상인경우에는영향평가의결과 2. 암호화미적용시위험도분석에따른결과 4 제1항에따른개인정보를암호화하는경우에는안전한알고리즘으로암호화하여저장한다. 안전한알고리즘이란미국 NIST, 일본 CRYPTREC, 유럽 ECRYPT 등의외국및국내외암호연구기관에서권고하는알고리즘을의미한다.

12 5 개인정보를개인정보보호담당자및개인정보취급자의 PC에저장할때에는파일암호화제품등을이용하여암호화하여관리한다. 6 개인정보처리자는암호화된개인정보를안전하게보관하기위하여안전한암호키생성, 이용, 보관, 배포및파기등에관한절차를수립 시행하여야한다. 제16조 ( 암호키관리 ) 데이터베이스의암 복호화를위해사용되는암호키의종류는암 복호화키와마스터키의두가지로크게나눌수있다. 암 복호화키는데이터베이스내데이터의암호화적용과복호화를위해사용되며, 마스터키는암 복호화키를암호화하기위해사용된다. 1 암호화된데이터유출시이를해독할수있는암 복호화키는암호화대상이되는데이터만큼이나중요한정보로아무리강력한암호키를사용한다할지라도암호키정보가외부에노출되면해당키로암호화된데이터는평문으로저장된것과같으므로사용되는암 복호화키와이를보호하는마스터키모두생성부터파기까지안전하게관리되어야한다. 2 암호키는암호화관리서버내또는 DB서버와는별도의서버, 저장장치등에보관되어야한다. 3 암호키는별도의장치에백업할수있어야하며, 이를통해복구가가능해야한다. 4 암호키는백업정책에따라주기적으로백업되어야하며, 백업된키정보는암호화하여저장하여야한다. 또한키백업에사용한패스워드는별도로관리되어야한다. 5 암호키의관리자는시스템운영담당자및데이터베이스관리자가관리하면안된다. 제17조 ( 접속기록의보관및위변조방지 ) 1 개인정보보호담당자는개인정보처리시스템의접속기록을정기적으로확인하여내부적으로분석 보고하고최소 6개월이상보관 관리하도록한다. 1. 접속기록에는식별자 (ID), 접속일시, 접속지를알수있는정보, 수행업무 ( 열람, 수정, 삭제, 인쇄, 입력등 ) 를포함하여야한다. 2 개인정보보호담당자는개인정보처리시스템의접속기록이위 변조및도난, 분실되지않도록안전하게보관하여야한다. 1. 정기적으로접속기록백업을수행하여개인정보처리시스템이외의별도의보조저장매체나별도의저장장치에보관하여야한다. 2. 접속기록에대한위 변조방지를위해 CD-ROM 등과같은덮어쓰기방지매체를사용하거나, 수정가능한매체에백업하는경우에는무결성보장을위해위 변조여부를확인할수있는정보 (HMAC 값또는전자서명값등 ) 를별도의장비에보관 관리한다. 제18조 ( 악성프로그램등방지 ) 개인정보처리시스템에는악성프로그램등을방지 치료할수있는백신프로그램등각종정보보호시스템을설치 운영하고다음각호사항을준수하여야한다. 1 백신프로그램의자동업데이트기능을사용하거나일 1회이상의업데이트를실시하여최신의상태로유지해야한다. 2 악성프로그램관련경보가발령된경우또는사용중인응용프로그램이나운영체제소프트웨어의제작업체에서보안업데이트공지가있는경우, 즉시이에따른업데이트를

13 실시하며발견된악성프로그램등에대해삭제등대응조치한다. 3 개인정보처리시스템으로의비정상적인접근을차단하거나탐지할수있는침입차단시스템 ( 방화벽 ) 과침입탐지시스템 (IPS 등 ) 을설치 운영한다. 4 네트워크구간의해킹공격을탐지할수있는웹방화벽을설치 운영하고, 개인정보처리시스템서버에서버보안솔루션을설치하는등적정한보안대책을마련하여시행한다. 5 개인정보처리시스템의웹서버에 SSL 인증서를설치하여사용자PC로부터웹서버구간간암호화통신을하도록한다.( 단, WEB방식의개인정보처리시스템만해당 ) 제19조 ( 물리적접근제한 ) 1 개인정보처리시스템의시스템관리자는개인정보처리시스템의개인정보DB와 DB 백업본을비인가자의접근을통제할수있는장소에보관하여야하며, 그장소에대한출입통제절차를수립 운영하되, 출입내역을전자적인매체또는수기문서대장에기록 관리한다. 2 개인정보보호담당자및개인정보취급자는개인정보가포함된종이문서나보조저장매체등은잠금장치가있는안전한장소에보관한다. 3 개인정보보호담당자는개인정보가포함된보조저장매체의반출 입통제를위한보안대책을마련하여야한다. 다만별도의개인정보처리시스템을운영하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는이를적용하지아니할수있다. 제20조 ( 개인정보표시제한보호조치 ) 개인정보보호담당자및개인정보취급자는마스킹을통해개인정보의표시를제한하는경우에는아래적용규칙을이용하여일관성을확보한다. - 성명중이름의첫번째글자이상 (ex. 홍 * 동 ) - 생년월일 (ex. **** 년 ** 월 ** 일 ) - 전화번호또는휴대폰전화번호의국번 (ex. 032-****-1234) - 주소의읍 면 동, 도로명 (ex. 인천옹진군 ** 면 12-3, 인천중구 ** 로 12-3) - 인터넷주소의경우 비트영역 (ex ***.123) 제21조 ( 개인정보내부통제시스템의운영 ) 개인정보보호담당자는개인정보취급자가웹사이트를통하여개인정보를수집 이용시개인정보의오 남용을방지하기위하여내부통제시스템을운영 ( 웹사이트웹필터링시스템을활용 ) 하여, 게시물의개인정보보호법적법여부를확인하여야한다. 제22조 ( 개인정보의파기 ) 1 개인정보파일을보유한분야별책임자는개인정보파일의보유기간경과, 처리목적달성등개인정보파일이불필요하게되었을때에는지체없이그개인정보파일을파기하여야한다. 다만, 다른법령에따라보존하여야하는경우에는그러하지아니한다. 2 개인정보파일을보유한분야별책임자는개인정보파일의보유기간, 처리목적등을반영한개인정보파기계획을수립 시행하여야한다.

14 3 개인정보취급자는보유기간경과, 처리목적달성등파기사유가발생한개인정보파일을선정하고, 별지제6호서식에따른개인정보파일파기요청서에파기대상개인정보파일의명칭, 파기방법등을기재하여개인정보보호책임자의승인을받아개인정보를파기하여야한다. 4 개인정보보호책임자는개인정보파기시행후파기결과를확인하고, 분야별책임자는별지제7호서식에따른개인정보파일파기관리대장을작성하여야한다. 5 개인정보파일파기방법은개인정보가복구또는재생되지않도록하며, 전자적파일형태는복원이불가능한방법으로영구삭제하며, 기록물 인쇄물 서면등은파쇄또는소각한다. 6 개인정보의일부만을파기하는경우, 동조 5항의방법으로파기하는것이어려운때에는다음각호의조치를하여야한다. 1. 전자적파일형태인경우 : 개인정보를삭제한후복구및재생되지않도록관리및감독 2. 제1호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 해당부분을마스킹, 천공등으로삭제 파기절차 1 개인정보파일파기요청서 별지 6 서식작성및제출 ( 부서및기관 ) 2 파기요청서검토및승인, 승인결과통보 ( 기획조정실 ) 3 개인정보파일파기 ( 부서및기관 ) 4 개인정보파일파기관리대장 별지 7 서식작성 ( 부서및기관 ) 5 개인정보보호지원시스템 (intra.privacy.go.kr) 개인정보등록파일삭제요청 ( 부서및기관 ) 6 개인정보보호지원시스템 (intra.privacy.go.kr) 개인정보등록파일삭제 ( 기획조정실 ) * 부서및기관 : 군본청의실 과단위부서장, 소속기관의장 제23조 ( 개인정보처리업무의위탁시관리및감독 ) 분야별책임자는제3자에게개인정보처리업무를위탁하는경우에위탁업무로인한개인정보침해를방지하기위해개인정보처리현황을정기적으로관리 감독하여야한다. 1 위 수탁계약서를작성하여야하며다음의각호의내용을포함하여야한다 ( 별지제9호서식 ) < 계약서에반드시포함되어야할사항 > 1. 위탁업무수행목적외개인정보의처리금지에관한사항 2. 개인정보의기술적 관리적보호조치에관한사항 3. 위탁업무의목적및범위 4. 재위탁제한에관한사항 5. 개인정보에대한접근제한등안전성확보조치에관한사항 6. 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 7. 수탁자가준수하여야할의무를위반한경우의손해배상등책임에관한사항

15 2 분야별책임자는위탁하는업무의내용과개인정보처리업무를위탁받아처리하는자를정보주체가언제든지쉽게확인할수있도록공개하여야한다. 3 업무위탁으로인하여개인정보가분실 도난 유출 변조또는훼손되지아니하도록수탁자를교육하고, 처리현황점검등개인정보를안전하게처리하는지를감독하여야한다.( 별지제10호서식 ) 4 수탁자는분야별책임자로부터위탁받은해당업무범위를초과하여개인정보를이용하거나제3자에게제공하여서는아니된다. 제24조 ( 위험도분석및대응방안 ) 개인정보처리자는보유자산에대한취약점진단으로인한위험도분석을실시하여대응방안등에관한절차를수립 시행하여야한다. 제25조 ( 재해 재난대비안전조치 ) 1 개인정보처리자는화재, 홍수, 단전등의재해 재난발생시개인정보처리시스템보호를위한위기대응매뉴얼등대응절차를마련하고정기적으로점검하여야한다. 2 개인정보처리자는재해 재난발생시개인정보처리시스템백업및복구를위한계획을마련하여야한다. 제26조 ( 관리용단말기의안전조치 ) 개인정보처리자는개인정보유출등개인정보침해사고방지를위하여관리용단말기에대해다음각호의안전조치를하여야한다. 1. 인가받지않은사람이관리용단말기에접근하여임의로조작하지못하도록조치 2. 본래목적외로사용되지않도록조치 3. 악성프로그램감염방지등을위한보안조치적용 제 5 장영상정보처리기기설치 운영관리 제27조 ( 적용범위 ) 이장은옹진군이공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제28조 ( 개인영상정보보호책임자및관리책임자의지정 ) 1 개인영상정보의처리에관한업무의총괄하는개인영상정보보호책임자는별도의지정이없는한제6조에따른개인정보보호책임자 (CPO) 인기획조정실장이겸임하고, 영상정보처리기기를설치 운영하는부서장또는소속기관의장을관리책임자로지정 운영한다. 2 제1항의개인영상정보보호책임자는다음각호의업무를수행한다. 1. 개인영상정보보호계획의수립및시행 2. 개인영상정보처리실태및관행의정기적인조사및개선 3. 개인영상정보처리와관련한불만의처리및피해구제 4. 개인영상정보파일의보호및파기에대한관리 감독 3 제1항의관리책임자는다음각호의업무를수행한다. 1. 개인영상정보보호계획운영

16 2. 개인영상정보처리방침의수립및공개 3. 개인영상정보침해대응및기술적보호조치 4. 개인영상정보처리와관련한불만의처리및피해구제처리 5. 개인영상정보처리실태관리 6. 개인영상정보파일의보호 파기및관리 7. 개인영상정보보호관련업무전반이행제29조 ( 영상정보처리기기운영 관리방침 ) 1 개인영상정보관리책임자는법제25조에따라다음각호의내용이포함된영상정보처리기기운영 관리방침을마련하여야한다. 1. 영상정보처리기기의설치근거및설치목적 2. 영상정보처리기기의설치대수, 위치및촬영범위 3. 관리책임자, 담당부서및영상정보에대한접근권한을부여받은업무담당자 4. 영상정보의촬영시간, 보관기간, 보관장소, 보관 관리 폐기방법 5. 정보주체의영상정보열람등요구에대한조치 6. 영상정보의보호를위한관리적 기술적 물리적보호조치 7. 안내판의크기및부착장소 8. 그밖에영상정보처리기기의설치 운영및관리에필요한사항 2 관리책임자는영상정보처리기기운영 관리방침을수립하거나변경하는경우에는정보주체가쉽게확인할수있도록공개하여야한다. 제30조 ( 사전의견수렴등 ) 1 법제25조제1항각호에따라영상정보처리기기를설치 운영하려는자는다음각호의어느하나에해당하는절차를거쳐관계전문가및이해관계인의의견을수렴하여야한다. 1. 행정절차법 에따른행정예고의실시또는의견청취 2. 해당영상정보처리기기의설치로직접영향을받는지역주민등을대상으로하는설명회 설문조사또는여론조사 2 법제25조제2항단서에따른시설에영상정보처리기기를설치 운영하려는자는다음각호의사람으로부터의견을수렴하여야한다. 1. 관계전문가 2. 해당시설에종사하는사람, 해당시설에구금되어있거나보호받고있는사람또는그사람의보호자등이해관계인 3 영상정보처리기기의설치목적변경에따른추가설치등의경우에도제1항에따라관계전문가및이해관계인의의견을수렴하여야한다. 제31조 ( 안내판의설치 ) 1 관리책임자는정보주체가영상정보처리기기가설치 운영중임을쉽게알아볼수있도록법제25조제4항본문에따라다음각호의사항을기재한안내판설치등필요한조치를하여야한다. 1. 설치목적및장소

17 2. 촬영범위및시간 3. 관리책임자의성명 ( 또는직책 ) 및연락처 4. ( 영상정보처리기기설치 운영을위탁한경우 ), 수탁자의성명 ( 또는직책 ) 업체명및연락처 2 제1항에따른안내판은촬영범위내에서정보주체가알아보기쉬운장소에누구라도용이하게판독할수있게설치되어야하며, 이범위내에서영상정보처리기기운영자가안내판의크기, 설치위치등을자율적으로정할수있다. 3 기관내또는기관간에영상정보처리기기의효율적관리및정보연계등을위해용도별 지역별영상정보처리기기를물리적 관리적으로통합하여설치 운영 ( 통합관리 라한다 ) 하는경우에는설치목적등통합관리에관한내용을정보주체가쉽게알아볼수있도록제1항에따른안내판에기재하여야한다. 제32조 ( 영상정보수집의제한 ) 1 CCTV에의하여화상정보를수집하는경우에는그설치목적을넘어카메라를임의로조작하거나다른곳을비추어서는아니된다. 2 CCTV에의하여화상정보를수집하는경우에는그설치목적과관계없는화상정보를수집하려고회전및확대 (Zoom-In) 기능을사용하여서는아니된다. 단. 주정차단속을위한 CCTV는예외로할수있다. 3 CCTV에의하여화상정보를수집하는경우에는녹음기능을사용하여서는아니된다. 제33조 ( 개인영상정보이용 제3자제공제한등 ) 1 관리책임자는다음각호의경우를제외하고는개인영상정보를수집목적이외로이용하거나제3자에게제공하여서는아니된다. 1. 정보주체에게별도의동의를얻은경우 2. 다른법률에특별한규정이있는경우 3. 정보주체또는그법정대리인이의사표시를할수없는상태에있거나주소불명등으로사전동의를받을수없는경우로서명백히정보주체또는제3자의급박한생명, 신체, 재산의이익을위하여필요하다고인정되는경우 4. 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을알아볼수없는형태로개인영상정보를제공하는경우 5. 개인영상정보를목적외의용도로이용하거나이를제3자에게제공하지아니하면다른법률에서정하는소관업무를수행할수없는경우로서보호위원회의심의 의결을거친경우 6. 조약, 그밖의국제협정의이행을위하여외국정부또는국제기구에제공하기위하여필요한경우 7. 범죄의수사와공소의제기및유지를위하여필요한경우 8. 법원의재판업무수행을위하여필요한경우 9. 형 ( 刑 ) 및감호, 보호처분의집행을위하여필요한경우 2 개인영상정보를제공받고자하는기관은다음각호의사항을모두기재한문서 ( 전자문서포함 ) 로신청하여야한다.

18 1. 요청기관의명칭및요청일자 2. 요청의법적근거 - 개인정보보호법 제18조제2 항제2호및 민사집행법 제 74조등 3. 이용목적및이용기간 4. 파기일시및파기방법 - 다른법령에따라보관해야하는경우에는그근거를명시 - 제공목적달성을위한최소한의기간으로파기예정일자를산정하기곤란한경우에는 30일이내로함 5. 요청하는개인영상정보의내용 예 ) 영상촬영일시, 장면 6. 요청하는개인영상정보의형태 예 ) 전자파일, 영상출력물등 7. 제공요청방법 예 ) 이메일, 저장매체 (USB 등 ) 를통한직접 ( 또는우편 ) 제공, 영상출력물의직접 ( 또는우편 ) 제공등 8. 해당업무책임자성명및연락처 3 관리책임자는개인영상정보를수집목적외로이용하거나제 3 자에게제공하는경우에는 다음각호의사항을기록하고관리하여야하며, 파기등개인영상정보의안전성확보를 위하여필요한조치를하도록요청하여야한다. 1. 개인영상정보파일의명칭및생성기간 ( 녹화된기간 ) 2. 이용하거나제공받은공공기관의명칭및취급자 ( 소속 / 직급 / 성명 / 연락처 ) 3. 이용또는제공의목적 4. 법령상이용또는제공근거가있는경우그근거 5. 이용또는제공의기간이정하여져있는경우에는그기간 ( 제공의경우파기예정일자를반드시포함 ) 6. 이용또는제공의형태 7. 제공한이후파기여부등그결과와처리일자 8. 안전성확보를위하여필요한조치를요청한경우그내용및결과 4 개인영상정보를목적외의용도로제공하는기관은제공사실을관보또는홈페이지에공개하여야한다. 제공한날로부터 30일이내에 제공한날짜 법적근거 목적 개인정보의항목 을관보게재또는홈페이지에 10일이상계속게재함 5 개인영상정보를제공받은기관은개인영상정보의안전성확보를위하여필요한조치와안전한관리를위해노력하여야하며, 보유기간만료, 목적달성등의경우제공받은개인영상정보를지체없이파기하고그결과와처리일자를제공한기관에통보하여야한다. 또한, 파기예정일자가도래할경우파기기간연장을문서 ( 전자문서포함 ) 로다시요청하여야한다. 다른법령의특별한규정에따라사건기록등기록물에포함하여보존하여야하는경우에는그내용을회신 건별통보가곤란할경우제공하는기관과사전에협의하여분기이내의단위기간을정해일괄적으로회신할수있음

19 6 개인영상정보를제공한기관은제공이후파기등결과회신여부를분기이내단위기간을정하여정기적으로점검하여야하며, 제공받은기관이파기등결과와처리일자를회신하여오면이를개인영상정보관리대장에기록하고관리하여야한다. 미회신이있는경우회신을독려하고필요한관련조치를취하여야함개인영상정보제공시준수사항및절차 준수사항 문서 ( 전자문서포함 ) 로명확한목적명시와필요한최소한의자료요청및제공 제공받은자는제공받은목적범위내에서이용과안전한관리 제공한기관은제공사실에대해인터넷등공개및기록 관리 목적달성등불필요하게된경우, 즉시파기및파기사실통보 요청 제공절차 ( 신청 ) 정보주체또는수사관서에서신청서또는공문으로요청 ( 접수확인 ) 본인여부, 신청서내용확인및해당영상유무파악 ( 내용검토 ) 제3자영상포함및타인의사생활침해등검토 ( 열람제공 ) 영상화면의현장열람또는영상파일 / 출력물등제공, 필요시제3자의영상모자이크또는마스킹처리후제공 ( 안전관리 ) 제공받은자는제공받은목적범위내이용및안전한관리 ( 파기 ) 제공받은자는제공목적달성한후즉시파기및통보 제34조 ( 보관및파기 ) 1 관리책임자는수집한개인영상정보를영상정보처리기기운영 관리방침에명시한보관기간이만료한때에는지체없이파기하여야한다. 다만, 다른법령에특별한규정이있는경우에는그러하지아니하다. 2 관리책임자가그사정에따라보유목적의달성을위한최소한의기간을산정하기곤란한때에는보관기간을개인영상정보수집후 30일이내로한다. 3 개인영상정보의파기방법은다음각호의어느하나와같다. 1. 영상정보의파기시출력물과전자형태등존재형태에따라복구또는재생이불가능한방법으로파기해야한다. 2. 다른법령에따라파기하지아니하고보존해야하는영상정보는다른영상정보와분리하여저장 관리해야한다. 제35조 ( 개인영상정보관리대장 ) 1 관리책임자는개인영상정보를수집목적이외로이용하거나제3자에게제공하는경우에는다음각호의사항을별지서식제4호에따른 개인영상

20 정보관리대장 에기록하고이를관리하여야한다. 1. 개인영상정보파일의명칭 2. 이용하거나제공받은자 ( 공공기관또는개인 ) 의명칭 3. 이용또는제공의목적 4. 법령상이용또는제공근거가있는경우그근거 5. 이용또는제공의기간이정하여져있는경우에는그기간 6. 이용또는제공의형태 2 관리책임자가개인영상정보를파기하는경우에는다음사항을 개인영상정보관리대장 에기록하고관리하여야한다. 1. 파기하는개인영상정보파일의명칭 2. 개인영상정보파기일시 ( 사전에파기시기등을정한자동삭제의경우에는파기주기및자동삭제여부에대한확인시기 ) 3. 개인영상정보파기담당자제36조 ( 영상정보처리기기설치및관리등의위탁 ) 1 관리책임자는영상정보처리기기의설치 운영에관한사무를위탁할수있다. 이경우다음각호의내용이포함된문서에의하여야한다. 1. 위탁업무수행목적외개인정보의처리금지에관한사항 2. 개인정보의기술적 관리적보호조치에관한사항 3. 영상정보에대한접근제한등안전성확보조치에관한사항 4. 영상정보의관리현황점검에관한사항 5. 수탁자가준수하여야할의무를위반한경우의손해배상등책임에관한사항 2 관리책임자가제1항에따라영상정보처리기기의설치 운영에관한사무를제3자에게위탁하는경우에는그내용을정보주체가언제든지쉽게확인할수있도록제22조에따른영상정보처리기기운영 관리방침및제24조에따른안내판에수탁자의명칭등을공개하여야한다. 3 관리책임자가제1항에따라영상정보처리기기의설치 운영에관한사무를제3자에게위탁할경우에는개인영상정보가분실 도난 유출 변조또는훼손되지아니하도록수탁자를교육하고수탁자가개인영상정보를안전하게처리하고있는지를감독하여야하며, 수탁자는위탁받은업무범위를초과하여개인영상정보를이용하거나제3자에게제공하여서는안된다. 제37조 ( 정보주체의열람등요구 ) 1 정보주체는관리책임자가처리하는자신의개인영상정보에대하여열람및존재확인 ( 이하 열람등 이라한다 ) 을해당관리책임자에게요구할수있다. 이경우정보주체가열람등을요구할수있는개인영상정보는정보주체자신이촬영된개인영상정보및명백히정보주체의급박한생명, 신체, 재산의이익을위하여필요한개인영상정보에한한다. 2 개인영상정보에대한열람등을요구할경우에는해당관리책임자에게별지서식제5호에

21 따른개인영상정보열람 존재확인청구서 ( 전자문서를포함한다 ) 로하여야한다. 3 관리책임자는제1항에따른요구를받았을때에는지체없이필요한조치를취하여야한다. 이때에영상정보처리기기운영자는열람등요구를한자가본인이거나정당한대리인인지를주민등록증 운전면허증 여권등의신분증명서를제출받아확인하여야한다. 4 제3항의규정에도불구하고다음각호에해당하는경우에는관리책임자는정보주체의개인영상정보열람등요구를거부할수있다. 이경우에 10일이내에서면등으로거부사유를정보주체에게통지하여야한다. 1. 범죄수사 공소유지 재판수행에중대한지장을초래하는경우 2. 개인영상정보의보관기간이경과하여파기한경우 3. 기타정보주체의열람등요구를거부할만한정당한사유가존재하는경우 5 관리책임자는제3항및제4항에따른조치를취하는경우에, 다음각호의사항을제27 조의 개인영상정보관리대장 에기록하고관리하여야한다. 1. 개인영상정보열람등을요구한정보주체의성명및연락처 2. 정보주체가열람등을요구한개인영상정보파일의명칭및내용 3. 개인영상정보열람등의목적 4. 개인영상정보열람등을거부한경우그거부의구체적사유 5. 정보주체에게개인영상정보사본을제공한경우해당영상정보의내용과제공한사유 6 정보주체는관리책임자에게자신의개인영상정보에대한파기를요구하는때에는제1항에의하여열람등을요구하였던개인영상정보에대하여만그파기를요구할수있다. 관리책임자가해당파기조치를취한경우에는그내용을제27조의 개인영상정보관리대장 에기록하고관리하여야한다. 제38조 ( 정보주체이외의자의개인영상정보보호 ) 관리책임자는제35조제3항에따른열람등필요한조치를취할경우에해당개인영상정보내에정보주체이외의자의개인영상정보가포함되어있는때에는해당제3자의개인영상정보를식별할수없도록보호조치를취하여야한다. 제39조 ( 개인영상정보의안전성확보를위한조치 ) 관리책임자는개인영상정보가분실 도난 유출 변조또는훼손되지아니하도록법제29조및시행령제30조제1항에따라안전성확보를위하여다음각호의조치를하여야한다. 1. 개인영상정보의안전한처리를위한처리방침수립 시행 2. 개인영상정보에대한접근통제및접근권한의제한조치 3. 개인영상정보를안전하게저장 전송할수있는기술의적용 ( 네트워크카메라의경우안전한전송을위한암호화조치, 개인영상정보파일에대한비밀번호설정등 ) 4. 처리기록의보관및위조 변조방지를위한조치 ( 개인영상정보의생성일시, 열람할경우에열람목적 열람자 열람일시등기록 관리조치등 ) 5. 개인영상정보의안전한물리적보관을위한보관시설마련또는잠금장치설치

22 제40조 ( 개인영상정보처리기기의설치 운영에대한점검 ) 1 개인영상정보보호책임자는영상정보처리기기를설치 운영하는군본청및소속기관을대상으로이지침의준수여부에대한자체점검을실시하여그결과를행정안전부장관에게통보하고, 시행령제34조제3항에따른시스템에등록하여야한다. 이경우다음각호의사항을고려하여야한다. 1. 영상정보처리기기의운영 관리방침에열거된사항 2. 관리책임자의업무수행현황 3. 영상정보처리기기의설치및운영현황 4. 개인영상정보수집및이용 제공 파기현황 5. 위탁및수탁자에대한관리 감독현황 6. 정보주체의권리행사에대한조치현황 7. 기술적 관리적 물리적조치현황 8. 영상정보처리기설치 운영의필요성지속여부등 2 개인영상정보보호책임자는영상정보처리기기설치 운영에대한자체점검을완료한후에는그결과를홈페이지등에공개하여야한다. 제 6 장개인정보보호교육 제41조 ( 개인정보보호교육 ) 개인정보보호업무총괄부서담당자는매년초당해연도개인정보보호교육계획을수립하여시행함으로써개인정보보호담당자및개인정보취급자가안전하게개인정보를관리할수있도록인식을제고하고개인정보보호대책의필요성을이해시키도록한다. 1 개인정보보호책임자또는총괄부서담당자는행정안전부장관또는전문기관이개설운영하는정보보호교육에매년 2회이상참석하여개인정보보호관련내용을숙지함으로써기관내개인정보보호활동을관리 감독한다. 2 개인정보보호담당자및개인정보취급자는매년 1회이상자체교육및사이버교육, 전문기관교육등을통해최신의개인정보보호관련내용을숙지하도록한다. 제 7 장개인정보침해대응및피해구제 제42조 ( 개인정보침해대응 ) 1 개인정보보호담당자는실제로유출사고가발생한것으로확인된때에는정당한사유가없는한 5일이내에해당정보주체에게다음각호의사항을알린다. 1. 유출된개인정보의항목

23 2. 유출된시점과그경위 3. 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보 4. 개인정보처리자의대응조치및피해구제절차 5. 정보주체에게피해가발생한경우신고등을접수할수있는담당부서및연락처 2 개인정보보호담당자는제1항각호의조치를취한이후에는정보주체에게다음각호의사실만을일차적으로알리고추후확인되는즉시알릴수있다. 1. 정보주체에게유출이발생한사실 2. 제1항의통지항목중확인된사항 3 개인정보보호담당자는정보주체에게제1항각호의사항을통지할때에는서면, 전자우편, 모사전송, 전화, 휴대전화문자전송또는이와유사한방법을통하여지체없이정보주체에게알려야하며, 동시에홈페이지등을통하여해당사항을공개할수있다. 4 개인정보보호담당자는 1천명이상의정보주체에관한개인정보가유출된경우에는정보주체에대한통지및조치결과를 5일이내에개인정보보호업무총괄부서를경유하여행정안전부장관또는영제39 조제2항각호의전문기관 ( 한국정보화진흥원, 한국인터넷진흥원 ) 중어느하나에신고하여야한다. 5 제4항에따른신고는별지제3호서식에따른개인정보유출신고서를작성하여신고하여야한다. 6 개인정보보호담당자는전자우편, 팩스또는인터넷홈페이지를통하여유출신고를할시간적여유가없거나그밖에특별한사정이있는때에는먼저전화를통하여제1항의사항을신고한후별지제3호서식에따른개인정보유출신고서를제출할수있다. 7 개인정보보호담당자는 1천명이상의정보주체에관한개인정보가유출된경우에는제1항에따른통지와함께인터넷홈페이지에정보주체가알아보기쉽도록제1항의각호사항을 7일이상게재하여야한다. 8 개인정보처리자는개인정보가유출될경우그피해를최소화하기위하여 침해사고대응반 을구성하고 [ 붙임1] 의개인정보침해사고대응매뉴얼에따라필요한조치를해야한다. 제43조 ( 개인정보침해피해구제 ) 개인정보처리자는정보주체의개인정보침해가발생할경우해당내용을신고하고구제받을수있는기관이나상담기관등을인터넷홈페이지를통해안내해야한다. 1. 개인정보침해분쟁해결및상담신청기관 : 개인정보분쟁조정위원회, 한국인터넷진흥원개인정보침해신고센터등 2. 기타개인정보침해신고및상담기관 1 개인정보분쟁조정위원회 : ( 2 개인정보침해신고센터 : ( 국번없이 ) 118 (privacy.kisa.or.kr)

24 4 대검찰청사이버수사과 : ( 국번없이 ) 1301 (spo.go.kr) 5 경찰청사이버안전국 : ( 국번없이 ) 182 (cyberbureau.police.go.kr) 3. 개인정보의열람, 정정 삭제, 처리정지등에대한정보주체자의요구에대하여공공기관의장이행한처분또는부작위로인하여권리또는이익을침해받은자는행정심판법이정하는바에따라행정심판을청구할수있다. 중앙행정심판위원회 (

25 [ 붙임 1] 개인정보침해사고대응매뉴얼 1. 개요 목적 m 옹진군 개인정보침해사고대응매뉴얼 은옹진군개인정보운용과정에서내부의과실및오 남용또는외부해킹등으로침해 유출사고가발생할경우, 체계적이고신속한대응으로피해를최소화하려는데목적이있다. 적용범위 m 옹진군에서처리하는모든개인정보및그개인정보를취급하는개인정보취급자 ( 외부인력포함 ) 의침해 유출사고대응절차를기술한다. m 내 외부적요인으로개인정보침해및유출사고가발생할경우적용한다. 용어정의 m 침해사고비인가된접근, 전산시스템의오 남용 ( 비인가된사용 ) 을의미하며비인가된시스템사용또는사용자의계정도용, 악성코드유입및실행, 정보서비스의방해뿐만아니라해킹사고와바이러스사고, 보안정책에위반되는행위역시침해사고로정의함. 침해사고대응반은본침해사고의범위에정의된사고를중심으로대응조치를취하도록함 m 악성프로그램유포제작자가의도적으로다른정보통신이용자에게피해를주고자하는악의적목적으로만든프로그램및실행가능한코드를의미하는것으로 " 악성코드 " 라표현. 이메일, 메신저, 문서의매크로기능등을이용하여악성프로그램을유포시키고공격에사용하며주요형태로는컴퓨터바이러스, 인터넷웜, 트로이목마등이공격에이용됨

26 m 서비스거부공격 (DoS, Denial of Service) 시스템또는네트워크서비스의정상적인운영을방해하는공격으로, 시스템을다운시키거나, 네트워크에과부하의트래픽을유발시켜사용자들이서비스를이용하지못하게하는공격 m 시스템침입 ( 비인가된접근 ) 시스템또는네트워크의취약성을이용하여시스템에침입하는공격으로보통특정취약점을공격하는해킹프로그램을이용하거나, 잘못된서버운영상의문제 ( 예, 디폴트패스워드를사용하는경우등 ) 를이용하여시스템에침입함 m 오 남용 ( 비인가된사용 ) 시스템및네트워크자원을허가받지않은방법으로사용하거나악용하는공격으로스팸메일을보낼때다른사이트의시스템을이용하는방법이나다른사람의계정을도용하는행위등이있음 m 정보수집특정사이트의시스템및네트워크에대한정보를수집하기위한공격으로포트스캔, 전화번호스캔등이있음. 공격자는정보수집을통해특정사이트에어떠한시스템이존재하는지, 어떠한서비스가제공되는지, 어떠한네트워크구조를갖고있는지, 그리고어떠한취약성이있는지를조사하게됨 m 침해사고대응반해킹또는바이러스사고발생에따른사고의분석, 처리, 사후복구, 사후예방조치등을주요업무로하는침해사고대응반을말함 관련근거 m 개인정보보호법 제 34조 m 개인정보보호법시행령 제 39조, 제40조 m 개인정보의안전성확보조치기준 ( 행정안전부고시제2017-1호 ) m 표준개인정보보호지침 ( 행정안전부 )

27 2. 침해사고대응조직및운영 침해대응조직도 개인정보보호책임자 (CPO) 기획조정실장 개인정보보호담당자 ( 총괄 ) 전산관리팀개인정보업무담당자 분야별개인정보보호책임자 개인정보처리부서의장 개인정보취급자 업무처리담당자 분야별개인정보보호담당자 부서개인정보업무담당자 침해사고대응반운영체계 국가정보원 ( 국가사이버안전센터 ) ( 국번없이 )111 한국지역정보개발원 ( 사이버침해대응지원센터 ) 인천광역시 ( 시사이버침해대응센터 ) 유출사고신고 - 경보발령전협의 - 조치사항통보 개인정보보호담당자 조치사항지시 / 침해사고대응반설치 기획조정실장 유출사고 / 조치사항보고 침해사고대응반 ( 전산관리팀 ) 유출통지통보 / 개선권고요청 사고처리지원 / 정보공유 사고접수및신고 해당부서 유출통지통보 침해유출신고 사고신고 해당피해자 한국인터넷진흥원 개인정보침해신고센터 ( 국번없이 )118 대검찰청사이버수사과 ( 국번없이 )1301 경찰청사이버안전국 ( 국번없이 )182 - 유출사고신고, 접수 - 경보발령전협의 - 조치사항통보

28 침해대응조직의역할 구분담당자담당업무 개인정보보호책임자 개인정보 침해사고 대응반 사고 발생부서 기획조정실장분야별개인정보보호책임자, 개인정보보호담당자, 분야별개인정보보호담당자, 기타협조부서개인정보취급자 개인정보침해사고대응총괄지휘 개인정보침해사고인지 접수 개인정보침해사고대응절차수립 개인정보침해사고사실확인조사실시 정보주체에게유출사실통지 인천시청또는관련기관에유출통지신고 외부요인에의한유출의경우, 국가정보원, 행정자치부, 인천시청등과협조하여사고해결 사고내용세부조사및사후인사조치가필요한경우유관부서와협조 내부요인에의한침해 유출의경우, 사고대응반에사고내용신고 침해사고대응반과협력하여사고처리적극지원 사고신고자정보주체 개인정보를침해받은피해자 3. 침해 유출사고시조치방법 사고유형 사고유형내용인지경로 과실로인한개인정보침해과실로인한개인정보유 노출오 남용으로인한개인정보유출외부침투에의한개인정보유출 정보주체의동의또는법적근거없이개인정보를제3자에게제공하는등개인정보의관리 ( 수집 저장 이용 파기 ) 가미흡하여정보주체에게침해를주는경우 개인정보가포함된서면, 이동식저장장치, 휴대용컴퓨터를분실또는도난당한경우 권한이없는자에게개인정보를잘못전달한경우 개인정보부당이용또는사적유용을목적으로유출하는경우 홈페이지해킹등외부침투에의해정보주체의개인정보가유출되는경우 1옹진군전산관리팀 2인천시정보보호정책팀 3침해신고 4상시모니터링

29 단계별조치방법 단계조치방법세부조치사항 확인단계조치단계 1사고인지및접수 2확인조사실시 3피해확산여부확인 4유출통지 5유출통지신고 6사고내용세부조사 7조치및사례전파 침해 유출사고상황파악 개인정보보호책임자에게보고 침해 유출사고대응반설치 침해 유출사고내용 ( 원인, 규모등 ) 세부조사 - 법령위반사실증빙자료취합 확인조사결과에따른분석을통해추가유출가능성및피해확산여부확인 해명보도자료등배포 정보주체에게 5일이내통지 행정자치부또는지정기관에 5일이내신고 세부조사가필요할경우실시 기술적, 관리적보완조치 위반사항의중요도에따라해당자처분및조치 유사사고가발생하지않도록사례전파 사고유형별조치방법 1) 과실로인한개인정보침해사고 정보주체의동의또는법적근거없이개인정보를제3자에게제공하는등개인정보의관리가미흡하여정보주체에게침해를주는경우 1 사고인지및접수 - 개인정보보호담당자는정기실태점검또는침해신고 ( 접수 ) 를통해발생부서의개인정보침해사실인지및접수 - 개인정보보호담당자는개인정보관리가미흡한부서에대하여개인정보보호책임자에게보고 - 개인정보보호책임자는침해사고대응반설치

30 2 확인조사실시 - 침해사고대응반에서는개인정보침해사고가인지또는접수되어침해사고발생이우려되는부서에대하여확인조사및위험사실확인 필요시외부전문가협조요청 - 사고발생부서는침해사고대응반의현장확인조사시적극협조 3 조치및사례전파 - 침해사고대응반은확인조사결과를분석하여개인정보보호책임자에게보고 - 침해사고대응반은개인정보침해사고발생을방지하기위한대책을해당부서에제시하고필요한경우개선요청 - 침해사고대응반은관리미흡에의한사고사례를내부에전파하고, 유사한사례가발생하지않도록조치 - 실태점검항목강화등개인정보관리철저를위한대책강구 2) 과실로인한개인정보유 노출사고 개인정보가포함된서면, 이동식저장장치, 휴대용컴퓨터를분실또는도난 당한경우또는권한이없는자에게개인정보를잘못전달한경우 1 사고인지및접수 - 개인정보보호담당자는상시모니터링, 실태점검을통한부주의등과실로인한개인정보유 노출사실확인또는내 외부침해신고접수를통해유 노출사고인지 - 개인정보보호담당자는위반사항이중대한경우개인정보보호책임자에게보고 - 개인정보보호책임자는침해사고대응반설치 2 확인조사실시 - 침해사고대응반은자체점검을위한자료 ( 서비스종류및로그값 ) 를확보하고, 현장확인조사를통해과실여부, 침해규모, 경위, 방법등을조사 필요시외부전문가협조요청 - 사고발생부서는침해사고대응반의현장확인조사시적극협조

31 3 피해확산여부확인 - 침해사고대응반은확인조사결과에따른분석을통해추가유 노출가능성및피해확산여부확인 - 인터넷등언론동향대응을위한보도자료등배포 4 유출통지 - 침해사고대응반은개인정보가유출되었을경우, 유출사실을지체없이 (5일이내 ) 정보주체에게통지 - 다만, 유출된개인정보의확산및추가유출을방지하기위하여접속경로의차단, 취약점점검 보완, 유출된개인정보의삭제등긴급한조치가필요한경우에는그조치를한후지체없이정보주체에게통지 - 1만명이상의정보주체에관한개인정보가유출된경우에는서면등의방법과함께인터넷홈페이지에정보주체가알아보기쉽도록 7일이상게재 5 유출통지신고 - 1만명이상유출된경우에는정보주체에게유출사실을통지한사항및피해를최소화하기위한대책과조치결과를행정자치부또는전문기관에신고 6 사고내용세부조사 - 침해사고대응반은확인조사결과세부조사가필요하다고판단되는경우, 개인정보보호책임자에게필요성보고및세부조사실시 7 조치및사례전파 - 개인정보보호책임자에게세부조사결과보고 - 위반사항의중요도에따라해당자처분및조치요청 - 부주의등과실로인한개인정보유 노출사고사례를내부에전파하고, 유사한사례가발생하지않도록조치 - 재발방지를위한기술적조치와개인정보보호교육및실태점검강화

32 3) 오 남용으로인한개인정보유출사고 개인정보부당이용또는사적유용을목적으로유출하는경우 1 사고인지및접수 - 개인정보보호담당자는상시모니터링, 실태점검등을통한고의적유출사실확인또는내 외부침해신고접수를통해사고인지 - 침해사고대응반은사고사실을개인정보보호책임자에게보고 - 개인정보보호책임자는침해사고대응반설치 2 확인조사실시 - 침해사고대응반은자체점검을위한자료 ( 서비스종류및로그값 ) 를확보하고, 현장확인조사를통해과실여부, 침해규모, 경위, 방법등을조사 필요시외부전문가협조요청 - 사고발생부서는침해사고대응반의현장확인조사시적극협조 3 피해확산여부확인 - 침해사고대응반은확인조사결과에따른분석을통해추가유 노출가능성및피해확산여부확인 - 인터넷등언론동향대응을위한보도자료등배포 4 유출통지 - 침해사고대응반은개인정보가유출되었을경우, 유출사실을지체없이 (5일이내 ) 정보주체에게통지 - 다만, 유출된개인정보의확산및추가유출을방지하기위하여접속경로의차단, 취약점점검 보완, 유출된개인정보의삭제등긴급한조치가필요한경우에는그조치를한후지체없이정보주체에게통지 - 1만명이상의정보주체에관한개인정보가유출된경우에는서면등의방법과함께인터넷홈페이지에정보주체가알아보기쉽도록 7일이상게재

33 5 유출통지신고 - 1만명이상유출된경우에는정보주체에게유출사실을통지한사항및피해를최소화하기위한대책과조치결과를행정자치부또는전문기관에신고 6 사고내용세부조사 - 침해사고대응반은확인조사결과세부조사가필요하다고판단되는경우, 개인정보보호책임자에게필요성보고및세부조사실시 7 처분및사례전파 - 개인정보보호책임자에게세부조사결과보고 - 위반사항의중요도에따라해당자처분및조치요청 - 오 남용으로인한개인정보유 노출사고를전파하여유사사례가발생하지않도록안내 세부조사결과개인정보부당이용또는사적유용을목적으로유출된경우고발조치 4) 외부침투에의한개인정보유출사고 홈페이지해킹등외부침투에의해정보주체의개인정보가유출되는경우 1 확인조사실시 - 개인정보보호담당자는외부침투 ( 해킹등 ) 에의한개인정보유출사실확인 - 사이버공격대응절차에따른경계단계별대응반가동상태확인 - 개인정보보호담당자는확인한침해사실에대해개인정보보호책임자에게보고 - 개인정보보호책임자는침해사고대응반설치 2 피해확산여부확인 - 침해사고대응반은확인조사결과에따른분석을통해추가유 노출가능성및피해확산여부확인 - 인터넷등언론동향대응을위한보도자료등배포

34 3 유출통지 - 침해사고대응반은개인정보가유출되었을경우, 유출사실을지체없이 (5일이내 ) 정보주체에게통지 - 다만, 유출된개인정보의확산및추가유출을방지하기위하여접속경로의차단, 취약점점검 보완, 유출된개인정보의삭제등긴급한조치가필요한경우에는그조치를한후지체없이정보주체에게통지 - 1만명이상의정보주체에관한개인정보가유출된경우에는서면등의방법과함께인터넷홈페이지에정보주체가알아보기쉽도록 7일이상게재 4 유출통지신고 - 1만명이상유출된경우에는정보주체에게유출사실을통지한사항및피해를최소화하기위한대책과조치결과를행정자치부또는전문기관에신고 5 사고내용세부조사 - 침해사고대응반은국가정보원, 사이버침해대응센터등에세부조사의뢰 6 조치및사례전파 - 세부조사결과, 해킹사고의업무상과실등책임이있는담당자를확인하여고발조치 - 정보시스템담당자는보안시스템점검강화등의기술적인보안조치 - 침해사고대응반은개인정보유출및침해에관한사고사례를전파하고유사사례가발생하지않도록조치 4. 사고예방 사고예방활동 m 개인정보침해 유출사고를대비하여사전사고예방활동실시 - 개인정보보호관리수준진단실시 - 개인정보보안통합관제실시

35 - 웹사이트개인정보노출점검실시 사고요인점검 m 수집단계에서의침해 유출사고요인점검 - 불필요한개인정보수집여부점검 - 수집된개인정보의개인정보보호처리방침게재여부점검 - 개인정보수집시정보주체동의여부점검 m 저장및관리단계에서의침해 유출사고요인점검 - 수집된개인정보불법적인유출위협상태점검 - 수집목적달성또는보유기간초과여부점검 - 관리자또는이용자의실수로인한개인정보노출여부점검 - 권한관리등시스템오류로인한개인정보노출여부점검 m 이용및제공단계에서의침해 유출사고요인점검 - 개인정보보호처리방침에명시되지않은위탁사업자나제3의서비스제공자에게개인정보제공여부점검 - 개인정보를제3자에게양도하는등불법적거래여부점검 m 파기단계에서의침해 유출사고요인점검 - 수집목적달성또는보유기간초과한개인정보파기여부점검 - 권한이없는이용자의개인정보파기여부점검 m 개인정보특별점검실시 - 개인정보의관리미흡으로개인정보유출사고발생가능성이우려되는경우, 개인정보특별점검실시 - 대상 : 개인정보취급자및일반직원

36 [ 별지제 1 호서식 ] 사용자계정관리대장

37 [ 별지제 2 호서식 ] 개인정보제공동의서 ( 안 ) 공중위생영업신고개인정보제공동의서 성명주민번호 -

38

39 [ 별지제 3 호서식 ] 개인정보유출신고서

40 [ 별지제 4 호서식 ] 개인영상정보관리대장 번호 구분일시파일명 / 형태 담당자목적 / 사유 이용 제공받는제 3 자 / 열람등요구자 이용 제공근거 이용 제공형태 기간및파기예정일자 파기등결과및처리일자 안전관리요청및결과 1 이용 제공 열람 파기 2 이용 제공 열람 파기 3 이용 제공 열람 파기 4 이용 제공 열람 파기 5 이용 제공 열람 파기 6 이용 제공 열람 파기 7 이용 제공 열람 파기

41 개인영상정보관리대장작성요령

42 [ 별지제 5 호서식 ] 개인영상정보 ( 존재확인 열람 ) 청구서

43 [ 별지제 6 호서식 ] 개인정보파일파기요청서

44 [ 별지제 7 호서식 ] 개인정보파일파기관리대장

45 [ 별지제 8 호서식 ] 개인정보또는 개인정보파일명칭 이용또는제공구분 [ ] 목적외이용 [ ] 제 3 자제공 목적외이용기관의명칭 ( 목적외이용의경우 ) 제공받는기관의명칭 ( 제3자제공의경우 ) 이용하거나제공한날짜, 주기또는기간 소속담당자성명전화번호성명담당자소속전화번호 이용하거나제공한형태 이용또는제공의법적 근거 이용목적또는 제공받는목적 이용하거나제공한 개인정보의항목 개인정보보호법 제18조제 5항에따라제한을하거나필요한조치를마련할것을요청한경우에는그내용 210mm 297mm[ 인쇄용지 ( 특급 ) 34g/ m2 ]

46 [ 별지제 9 호서식 ] 본표준개인정보처리위탁계약서는 개인정보보호법 제 조제 항에따라위탁계약에있어개인정보처리에관하여문서로정하여야하는최소한의사항을표준적으로제시한것으로서 위탁계약이나위탁업무의내용등에따라세부적인내용은달라질수있습니다 개인정보처리업무를위탁하거나위탁업무에개인정보처리가포함된경우에는본표준개인정보처리위탁계약서의내용을위탁계약서에첨부하거나반영하여사용하실수있습니다 표준개인정보처리위탁계약서 안 이하 갑 이라한다 과 이하 을 이라한다 는 갑 의개인정보처리업무를 을 에게위탁함에있어다음과같은내용으로본업무위탁계약을체결한다 제 조 목적 이계약은 갑 이개인정보처리업무를 을 에게위탁하고 을 은이를 승낙하여 을 의책임아래성실하게업무를완성하도록하는데필요한사항을정함을목적으로한다 제 조 용어의정의 본계약에서별도로정의되지아니한용어는 개인정보보호법 시행령및시행규칙 개인정보의안전성확보조치기준 행정안전부고시제 호 표준개인정보보호지침 행정안전부고시제 호 에서정의된바에따른다 제 조 위탁업무의목적및범위 을 은계약이정하는바에따라 으로다음과같은개인정보처리업무를수행한다 목적 제 조 재위탁제한 을 은 갑 의사전승낙을얻은경우를제외하고 갑 과의계약상의권리와의무의전부또는일부를제 자에게양도하거나재위탁할수없다 을 이다른제 의회사와수탁계약을할경우에는 을 은해당사실을계약체결 일이전에 갑 에통보하여야한다 제 조 개인정보의안전성확보조치 을 은 개인정보보호법 제 조제 항및제 조 제 항및제 조 동법시행령제 조및제 조 개인정보의안전성확보조치기 준 행정안전부고시제 호 에따라개인정보의안전성확보에필요한관리적 기술적조치를취하여야한다 제 조 개인정보의처리제한 을 은계약기간은물론계약종료후에도위탁업무수행목적범위를넘어개인정보를이용하거나이를제 자에게제공또는누설하여서는안된다

47 을 은계약이해지되거나또는계약기간이만료된경우위탁업무와관련하여보유하고있는개인정보를 개인정보보호법 시행령제 조및 개인정보의안전성확보조치기준 행정안전부고시제 호 에따라즉시파기하거나 갑 에게반납하여야한다 제 항에따라 을 이개인정보를파기한경우지체없이 갑 에게그결과를통보하여야한다 제 조 수탁자에대한관리 감독등 갑 은 을 에대하여다음각호의사항을관리하도록요구할수있으며 을 은특별한사유가없는한이에응하여야한다 개인정보의처리현황 개인정보의접근또는접속현황 개인정보접근또는접속대상자 목적외이용 제공및재위탁금지준수여부 암호화등안전성확보조치이행여부 그밖에개인정보의보호를위하여필요한사항 갑 은 을 에대하여제 항각호의사항에대한실태를점검하여시정을요구할수있으며 을 은특별한사유가없는한이행하여야한다 갑 은처리위탁으로인하여정보주체의개인정보가분실 도난 유출 변조또는훼손되지아니하도록 년에 회 을 을교육할수있으며 을 은이에응하여야한다 제 항에따른교육의시기와방법등에대해서는 갑 은 을 과협의하여시행한다 제 조 손해배상 을 또는 을 의임직원기타 을 의수탁자가이계약에의하여위탁또는재위탁받은업무를수행함에있어이계약에따른의무를위반하거나 을 또는 을 의임직원기타 을 의수탁자의귀책사유로인하여이계약이해지되어 갑 또는개인정보주체기타제 자에게손해가발생한경우 을 은그손해를배상하여야한다 제 항과관련하여개인정보주체기타제 자에게발생한손해에대하여 갑 이전부또는일부를배상한때에는 갑 은이를 을 에게구상할수있다 본계약의내용을증명하기위하여계약서 부를작성하고 갑 과 을 이서명또는날인한후각 부씩보관한다

48 [ 별지제 10 호서식 ] 위 수탁업체관리 감독점검표 ( 월 ) 점검일자년월일 위 수탁업체 업체명부서명감독부서담당자 ( 서명 ) 담당자 ( 서명 ) 단계주요내용점검내용 개인정보의수집 이용제한 동의 법적근거또는기타불가피한경우가아님에도개인정보를수집하고있지않은지여부 점검 이행 불이행 해당없음 별도동의또는법적근거가있는경우가아님에도주민번호등고유식별정보나사상 신념등민감정보를처리하고있지않은지여부 홈페이지가입시주민번호를사용하지않고도회원으로가입할수있는방법을제공하고있는지여부 수집 이용 동의획득시목적 항목 기간등을명확히고지하고있는지여부 제 자제공 선택항목등에대해구분해서동의받고있는지여부 제 자제공 선택항목등에동의하지않는다는이유로회원가입또는서비스거부를하지않는지여부 소관분야의개인정보처리기준 개인정보침해유형및예방조치등에관한지침을수립하고 준수를권장하고있는지여부 보유기간의경과 처리목적달성등으로개인정보가불필요하게된경우지체없이개인정보를파기하는지여부 개인정보를제 자누설 유출또는훼손 변경하지않는지여부

49 단계주요내용점검내용 개인정보의목적외이용및제 자제공등 별도동의 법적근거 기타법정사유의경우외에개인정보의목적외이용및제 자제공을하지않는지여부 개인정보를목적외용도로이용하거나 제 자에게제공하는경우 법적근거 목적및범위등필요사항을관보또는홈페이지등에게재하는지여부 점검 이행 불이행 해당없음 위탁자가재화또는서비스를홍보하거나판매를권유하는업무를위탁하는경우 내용및수탁자를정보주체에게알리는지여부 개인정보의안전한관리 개인정보의암호화여부 접속기록의보관및위 변조방지조치여부 관리 보안프로그램 백신 등 설치및업데이트여부 침해 대응 개인정보유출대응 개인정보가포함된서류 보조저장매체등을잠금장치가있는안전한장소에보관하고있는지여부 개인정보취급자에대한정기적교육실시여부 개인정보유출시지체없이정보주체에게유출된개인정보의항목 시점과그경위등을통보하는지여부 천명이상의개인정보유출시조치결과등을지체없이행자부또는전문기관 한국정보화진흥원 한국인터넷진흥원 에신고하는지여부 조치 사항