(국제식물검역인증서) 개인정보보호 지침
(시행 2015.3.9.) (국제식물검역인증기관규칙 제14호, 2015.3.9. 제정)
국제식물검역인증 인사팀, 051-600-8021
제1장: 일반 조항
제1조(목적) 이 지침은 「개인정보 보호법」 제29조(안전조치의무)에 따른 내부관리계획의 수립·시행 의무에 따라 제정되었습니다. 개인정보가 분실, 도난, 누출, 변조, 훼손, 오용 또는 남용되지 않도록 개인정보를 체계적으로 관리하는데 목적이 있습니다.
제2조(적용 범위) 이 가이드라인은 홈페이지 등 온라인상에서 수집, 이용, 제공 또는 관리되는 개인정보뿐만 아니라 오프라인(서면, 전화, 팩스, 등.). 내부 직원 및 해당 개인정보를 취급하는 외부 업체 직원에게도 적용됩니다.
제3조(용어의 정의) 1. “개인정보”란 생존하는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보로서 이를 통하여 알아볼 수 있는 것을 포함합니다.
2. “처리”라 함은 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 조회, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 기타 이와 유사한 행위를 말합니다. 말한다
3. “정보주체”라 함은 처리된 정보에 의하여 식별이 가능한 자로 당해 정보의 주체가 되는 자를 말합니다.
4. “개인정보처리자”라 함은 업무상 개인정보파일을 운용하기 위하여 스스로 또는 타인을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인을 말합니다.
5. “개인정보보호책임자”라 함은 개인정보관리책임자의 개인정보처리업무를 총괄하거나 업무처리에 관한 최종 결정을 내리는 자를 대외협력팀장을 말합니다.
6. “개인정보 보호책임자”란 개인정보 보호책임자의 업무수행에 보조적인 역할을 하는 자를 말하며, 개인정보 보호책임자가 일정 요건을 충족하는 자를 지정합니다. 자격.
7. “개인정보취급자”라 함은 개인정보를 직접 관리하는 개인정보관리책임자의 지휘·감독을 받는 개인정보취급책임자로서 업무상 필요한 경우 개인정보에 접근하는 자를 말합니다. 처리하는 모든 사람을 의미합니다.
8. “개인정보처리시스템”이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성된 데이터베이스시스템을 말합니다.
9. “영상정보처리기기”라 함은 폐쇄회로텔레비전(CCTV), 네트워크 카메라 등 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상을 촬영하거나 유무선망을 통하여 전송하는 장치를 말한다. .
10. “개인영상정보”라 함은 영상정보처리기기에 의하여 촬영·가공된 영상정보 중 개인의 초상, 거동 등 개인을 식별할 수 있는 사생활에 관한 정보를 말합니다.
11. “영상정보처리기기운영자”란 개인정보 보호법 제25조제1항 각호에 따라 영상정보처리기기를 설치ㆍ운영하는 자를 말합니다.
12. “영상정보 보호책임자”란 개인영상정보의 처리에 관한 총괄책임자를 말하며, 영상정보처리기기운영자가 지정하는 자를 말합니다.
제2장 내부관리계획의 수립 및 시행
제4조(내부관리계획의 수립 및 승인) ① 개인정보 보호책임자는 인증기관의 개인정보보호에 관한 전반적인 사항을 포함한 내부관리계획을 수립하여야 한다.
② 개인정보보호 책임자는 개인정보보호에 관한 내부관리계획을 수립하는 경우 개인정보보호 관련 법령을 준수하기 위한 내부관리계획을 수립하여야 합니다.
③ 개인정보 보호책임자는 개인정보 보호책임자가 수립한 내부관리계획의 타당성을 검토하고 개인정보보호 내부관리계획을 승인하여야 합니다.
④ 개인정보보호 책임자는 개인정보보호 관련 법령의 제·개정 사항을 반영하기 위하여 매년 11월 말까지 내부관리계획의 타당성 및 개정 필요성을 검토하여야 합니다.
⑤ 개인정보 보호책임자는 모든 항목에 대하여 타당성을 검토하여 수정이 필요하다고 판단되는 경우 12월 말까지 내부관리계획을 수정하여 개인정보관리책임자에게 보고하여야 합니다. 개인정보 보호책임자의 동의를 받습니다.
제5조(내부관리계획의 공시) ① 개인정보관리책임자는 전조에 따라 승인받은 내부관리계획을 매년 2월말까지 인증기관의 전 직원에게 공시하여야 한다.
② 내부관리계획서는 임직원이 언제든지 열람할 수 있도록 비치하고 변경 시 이를 통보한다.
제3장 개인정보 보호책임자의 의무와 책임
제6조(개인정보 보호책임자의 지정) ① 인증원은 개인정보 보호법 시행령 제32조제2항제1호에 따라 해당 직위의 자를 개인정보 보호책임자로 지정합니다.
1. 개인정보에 관한 사무관리책임자
2. 개인정보와 관련한 고객의 불만을 처리하는 부서의 장
제7조(개인정보 보호책임자의 의무와 책임) ① 개인정보 보호책임자는 정보주체의 개인정보를 보호하기 위하여 다음과 같은 업무를 수행합니다.
1. 개인정보 보호계획의 수립 및 시행
2. 개인정보 처리 여건 및 관행에 대한 주기적인 조사 및 개선
3. 개인정보 처리에 관한 불만처리 및 피해구제
4. 개인정보 유출 및 오남용 방지를 위한 내부통제시스템 구축
5. 개인정보보호 교육계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리감독
7. 법 제30조에 따른 개인정보 처리방침의 수립·변경 및 시행
8. 개인정보 보호에 관한 자료의 관리
9. 처리목적이 달성되거나 보유기간이 경과한 경우 개인정보의 파기
② 개인정보 보호책임자는 필요한 경우 개인정보의 처리현황 및 처리시스템 등을 조사하거나 업무수행에 있어 관계인으로부터 보고를 받을 수 있습니다.
③ 개인정보 보호 책임자는 개인정보 보호와 관련하여 이 법 및 기타 관계법령을 위반한 사실을 인지한 경우 지체 없이 시정조치를 취하고, 필요한 경우 시정조치를 보고하여야 합니다. 소속기관 또는 단체의 장.
제8조(개인정보취급자의 범위, 직무 및 책임) ① 개인정보취급자의 범위는 다음과 같습니다.
1. 인증기관 내에서 정보주체의 개인정보를 처리하는 책임자로서, 정규직 외에 비정규직, 파견직, 시간제직이 포함될 수 있습니다.
② 개인정보취급자의 의무와 책임
1. 내부관리계획의 준수 및 시행
2. 개인정보의 기술적·관리적 보호기준의 이행
3. 업무상 취득한 개인정보를 제3자에게 제공하지 않습니다.
제9조(개인정보취급자의 접근권한 관리 및 인증) ① 개인정보처리자는 개인정보처리시스템에 대한 접근권한을 업무수행상 필요한 최소한의 범위에서 담당자별로 차등 부여하여야 합니다.
② 개인정보관리책임자는 전보, 퇴직 등 인사이동 등으로 개인정보취급자가 변경된 경우에는 지체 없이 개인정보처리시스템에 대한 접근권한을 변경 또는 말소하고, 비밀유지서약서를 제출하여야 합니다. 의무 등
③ 개인정보관리책임자는 제1항 및 제2항에 따른 권한의 부여, 변경 및 말소에 관한 사항을 기록하고, 이를 2년 이상 보관하여야 합니다.
④ 개인정보관리책임자는 개인정보처리시스템에 접속할 수 있는 이용자 계정을 발급하는 경우 개인정보취급자별로 1개의 이용자계정을 발급하고, 다른 개인정보취급자와 공유하지 않도록 하여야 합니다.
⑤ 개인정보처리자는 개인정보취급자가 정보통신망을 통하여 외부에서 개인정보처리시스템에 접속하고자 하는 경우에는 가상사설망 또는 전용회선 등 안전한 접근수단을 적용하여야 합니다.
제4장 개인정보의 기술적·관리적 보호 대책
제10조(비밀번호 관리) ① 개인정보처리자는 개인정보취급자 또는 정보주체가 생일, 주민등록번호, 전화번호 등 숫자나 추측하기 쉬운 개인정보를 개인정보와 같이 사용하지 아니하도록 비밀번호를 설정하는 규정을 정하고 있습니다. 암호. 운영되어야 합니다.
② 개인정보관리책임자는 비밀번호에 대하여 적정한 유효기간(반기당 1회 이상)을 정하여야 합니다.
제11조(접근통제) ① 개인정보관리책임자는 정보통신망을 통한 부정한 접근 및 침해사고를 방지하기 위하여 다음과 같은 기능을 포함하는 시스템을 설치·운영하여야 합니다.
1. 개인정보처리시스템에 대한 접근을 IP(Internet Protocol)주소 등으로 제한하여 무단 접근을 통제합니다.
② 개인정보관리책임자는 처리하고 있는 개인정보가 무단으로 열람되거나 인터넷 홈페이지, P2P, 공유설정 등을 통하여 외부로 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 필요한 조치를 강구하여야 합니다. .
제12조(개인정보의 암호화) ① 개인정보관리책임자는 주민등록번호, 비밀번호, 생체정보를 안전한 암호알고리즘으로 암호화하여 저장합니다. 다만, 비밀번호를 저장할 때에는 복호화가 불가능하도록 단방향 암호화하여 저장해야 합니다.
② 개인정보처리자는 정보통신망을 통하여 정보주체의 개인정보를 송수신하거나 보조저장매체 등을 통하여 전송하는 경우에는 이를 암호화하여 처리하여야 합니다.
③ 개인정보관리책임자는 고유식별정보를 인터넷 구간 또는 인터넷 구간과 내부망 간의 중간점(DMZ)에 저장할 때 이를 암호화하여 보관합니다.
④ 개인정보관리책임자 또는 개인정보관리책임자는 정보주체의 개인정보를 업무용 컴퓨터(PC)에 저장할 때 상업용 암호화 소프트웨어나 안전한 암호화 알고리즘을 이용하여 정보주체의 개인정보를 암호화하여 저장하여야 합니다.
제13조(접속기록의 위변조 방지) ① 개인정보처리자는 개인정보처리자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관하여야 합니다.
② 개인정보관리책임자는 개인정보취급자의 접속기록이 위조, 변조, 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 합니다.
제14조(보안프로그램의 설치·운영) ① 개인정보관리책임자는 개인정보처리시스템 또는 업무용 컴퓨터에 악성프로그램 등을 예방 및 치료할 수 있는 백신소프트웨어 등 보안프로그램을 설치·운영하여야 한다.
② 보안 프로그램의 자동 업데이트 기능을 이용하거나, 최소 월 1회 이상 업데이트를 적용합니다.
③ 악성 프로그램 관련 경고가 발생하거나 사용 중인 응용프로그램 또는 운영체제 소프트웨어 제조사의 보안 업데이트 공지가 있는 경우에는 즉시 해당 업데이트를 적용하여야 합니다.
제15조(물리적 접근제한) ① 개인정보관리책임자는 개인정보를 보관하고 있는 전산실, 자료보관실 등의 물리적 보관장소를 별도로 두고 접근통제 절차를 수립·운영하여야 합니다.
② 개인정보관리책임자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 합니다.
③ 개인정보관리책임자가 물리적인 접근을 방지하기 위하여 별도의 보호설비에 접속하거나 개인정보를 열람하는 경우에는 입력ㆍ열람하는 자에 대한 관리대장을 작성하여야 합니다.
제5장 개인정보보호 교육
제16조(개인정보 보호 교육계획의 수립) ① 개인정보 보호책임자는 다음 각 호의 사항을 포함하는 연간 개인정보 보호 교육계획을 매년 12월 말까지 수립하여야 한다.
1. 교육목적 및 대상
2. 교육 내용
3. 교육 일정 및 방법
② 개인정보 보호책임자는 수립한 개인정보보호 교육계획을 시행한 후 교육실적 및 개선사항을 검토하여 차년도 교육계획 수립에 반영하여야 한다.
제17조(개인정보 보호 교육의 실시) ① 개인정보 보호책임자는 직원의 정보주체 정보보호 의식을 고취시키기 위해 노력하고, 임직원이 개인정보의 오용·남용 또는 유출을 적극적으로 방지하도록 지도하여야 한다. 대상자를 대상으로 연 2회 이상 개인정보 보호 교육을 정기적으로 실시합니다.
② 정기교육은 연 2회 상반기 1회, 하반기 1회 실시하되, 근무일정 등을 고려하여 적절한 시기에 실시한다.
③ 교육방법은 집합교육뿐만 아니라 인터넷 교육, 그룹웨어 교육 등 다양한 방법으로 실시하며, 필요시 외부 전문기관이나 전문가에게 위탁하여 교육을 실시한다.
④ 개인정보 보호의 전파에 관한 중요한 사항이 있거나 개인정보 보호 업무의 변경이 있는 경우 개인정보 보호 책임자는 부서 회의 등을 통한 정기 교육을 실시할 수 있습니다.
제6장 개인정보 침해에 대한 대응 및 피해구제
제18조(권익침해 구제) ① 개인정보주체는 피해구제를 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁해결 또는 상담을 신청합니다. 정보 침해.
기타 개인정보침해에 대한 신고, 상담이 필요하신 경우에는 아래 기관에 문의하시기 바랍니다.
1. 개인분쟁조정위원회 : (국번없이) 118
2. 정보보호마크인증위원회 : 02-580-0533~4
3. 대검찰청 사이버범죄수사단 : 02-3480-3573
4. 경찰청 사이버테러대응센터 : 02-1566-0112
부록 부록
(시행일) 이 지침은 2015년 3월부터 시행되었습니다. 9.부터 시행합니다.