제1장 총칙

제1조(목적)

본 지칩은 개인정보보호법 제 29 조(안전조치의무) 내부관리계획의 수립 및 시행 의무에 따라 제정된 것으로 덕양산업투)가(이) 취급하는 개인정보를 체계적으로 관리하여 개인정보가 분실 도난, 누출, 변조, 훼손,오・남용 등이 되지 아니하도록 함을 목적으로 한다

제2조(적용범위)

본 지침은 온라인을 통하여 수집, 이용 제공 또는 관리되는 개인정보뿐만 아니라 오프라인(서면, 전화, 팩스 등)을 통해 수집, 이용, 제공 또는 관리되는 개인정보에 대해서도 적용되며, 이러한 개인정보를 취급하는 내부 임 직원 및 외부업체 직원에 대해 적용된다.

제3조(용어정의)

1. "개인정보" 라 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
2. "처리"란 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정(訂正), 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위를 말한다.
3. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있 는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
4. "개인정보보호책임자"란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자로서, 법제 31조에 따른 지위에 해당하는 자를 말한다.
5. "개인정보취급자"란 개인정보보호책임자의 지휘∙감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 직접 개인정보에 관한 업무를 담당하는 자와 그 밖에 업무상 필요에 의해 개인정보에 접근하여 처리하는 모든 자를 말한다.
6. "개인정보처리시스템"이라 함은 개인정보를 처리할 수 있도록 쳬계적으로 구성한 데이터베이스시스템을 말한다.
7. "영상정보처리기기"란 폐쇄회로텔레비전(CCTV), 네트워크카메라 등 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유∙무선망을 통하여 전송하는 일체의 장치를 말한다.
8. "영상정보처리기기 운영자”라 함은 개인정보 보호법 제25조 제1항 각호에 따라 영상정보처리기기를 설치∙운영하는 자를 말한다

제2장 개인정보보호책임자의 의무와 책임

제4조(개인정보보호책임자의 지정)

① 덕양산업(주)는 개인정보보호법 시행령 제32조 제2항 1호에 따라 해당하는 지위에 있는 자를 개인정보보호책임자로 지정한다

1. 보안업무 수행에 관한 계획 수립 및 감독하는 보안관리최고책임자
2. 기타 보안업무 전반에 관한 지도, 조정하는 부문의 장

제5조(개인정보보호 책임자의 의무와 책임)

① 개인정보보호책임자는 정보주체의 개인정보 보호를 위하여 다음 각 호의 업무를 수행한다.

1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 빚 시행
6. 개인정보파일의 보호 및 관리 감독
7. 법 제30조에 따른 개인정보보호지침의 수립·변경 및 시행
8. 개인정보 보호 관련 자료의 관리
9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

② 개인정보보호책임자는 업무를 수행함에 있어서 필요한 경우 개인정보 처리 현황, 처리 체계 동에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.
③ 개인정보보호책임자는 개인정보 보호와 관련하여 이법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 한다.

제6조(개인정보취급자의 범위 및 의무와 책임)

① 개인정보취급자의 범위는 다음과 같다.

1. 덕양산업(주) 내에서 정보주체의 개인정보를 처리하는 업무를 수행하는 자를 말한다.

② 개인정보취급자의 의무와 책임

1. 내부관리계획의 준수 및 이행
2. 개인정보의 기술적·관리적 보호조치 기준 이행
3. 업무상 알게 된 개인정보를 제3자에게 제공하지 않음

제3장 개인 정보의 기술적∙관리적 보호조치

제7조(개인정보취급자 접근권한 관리 및 인중)

① 개인정보취급자의 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
② 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다.
③ 개인정보취급자의 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
⑤ 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망 또는 전용선 등 안전한 접속수단을 적용하여야 한다.

제 8 조(개인정보의 암호화)

① 회사는 주민등록번호， 비밀번호에 대해서는 안전한 암호 알고리즘으로 암호화하여 저장하여야 한다. 단, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
② 회사는 정보주체의 개인정보를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
③ 개인정보취급자는 정보주체의 개인정보를 업무용 컴퓨터 (PC)에 저장할 때에는 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즙을 사용하여 암호화 저장하여야 한다.

제9조(접속기록의 위∙변조 방지)

① 개인정보취급자의 개인정보처리시 스 템 접속기록은 최소 6개월 이상 보관하여야 한다.
② 개인정보취급자의 접속기록이 위∙변조 및 도난 분 실 되 지 않도록 해당 접속기록을 안전하게 보관 하여야 한다.

제10조 (보안프로그램 설치 및 운영)

① 회사는 개인정 보처리시스템 또는 업무용 컴퓨터에 악성 프로그램 등을 방지∙치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치∙운영하여야 한다.
② 보안 프로그램의 자동 업데이트 기능을 사용하여야 한다.
③ 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공치가 있는 경우, 즉시 이에 따른 업데이트를 적용하여야 한다.

제11조(물리적 접근제한)

① 회사는 전산실 자료 보 관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립∙운영하여야 한다.
② 개인 정보가 포함된 서류 보조 저장매체 등을 잠금 장치가 있는 안전한 장소에 보관하여야 한다.
③ 물리적 접근방지를 위한 별도의 보호 시설에 출입하거나 개인정보를 열람하는 경우, 그 출입자에 대한 출입사실 및 열람 내용에 관한 관리대장을 작성 하도록 하여야 한다.

제4장 개인정보보호 교육

제12조(개인정 보보호 교육 계획의 수립)

① 개인 정 보보호 책임자는 다음 각호의 사항을 포함하는 연간 개인 정보보호교육 계획을 수립하여 인사팀에 통보한다.

1. 교육목적 및 대상
2. 교육내용
3. 교육 일정 및 방법

② 개인정보보호책임자는 정보주체 정보보호에 대한 직원들의 인식제고를 위해 노력해야하며, 개인 정보의 오∙남용 또는 유출등을 적극 예방하기 위해 임∙직원을 대상으로 매년 정기적으로 개인정보보호 교육을 실시 한다.

제5장 개인정보 침해대응 및 피해구제

제13조(권익침해 구제방법)

① 개인정보주체는 개인정보침해로 인한 구제를 받기 위하여 개인정보분쟁 조정위원회, 한국인터넷진흥원 개인 정보침해신고센터 등에 분쟁해결이나 상담 등을 신청한다. 이 밖에 기타 개인 정보침해의 신고 및 상담에 대하여는 아래의 기관에 문의한다.

1. 개인분쟁조정위원회 (www.1336.or.kr / 1336)
2. 정보보호마크인증위원회 (www.eprivacy.or.kr / 02-580-0533~4)
3. 대검찰청 인터넷범죄수사센터 (icic.sppo.go.kr / 02-3480-3600)
4. 경찰청 사이버테러대응센터 (www.ctrc.go.kr / 02-392-0330)