위치정보의 취급∙관리 지침

제1조(목적) 본 지침은 주식회사 한림기술(이하 “회사”라고 합니다)가 개인위치정보사업 약관에 동의한 개인위치정보주체(이하 “회원”이라고 합니다)의 개인위치정보를 수집하고, 위치정보사업자의 지위에서 「위치정보의 보호 및 이용 등에 관한 법률」(이하 “위치정보법”이라 합니다)의 규정에 따라 위치정보를 취급∙관리함에 있어 위치정보의 누출, 변조, 훼손 등을 방지하기 위하여 필요한 사항을 규정함을 목적으로 한다.

제2조(정의) ① 이 지침에서 사용하는 용어의 정의는 다음과 같다.

   1. “위치정보”라 함은 이동성이 있는 물건 또는 개인이 특정한 시간에 존재하거나 존재하였던 장소에 관한 정보로서 「전기통신사업법」 제2조제2호 및 제3호에 따른 전기통신설비 및 전기통신회선설비를 이용하여 측위(測位)된 것을 말한다.

   2. “위치정보관리책임자”란 위치정보사업자가 사업장 내에서 위치정보 관련 업무를 총괄하거나 업무처리를 최종 결정하는 자를 말한다.

   3. “위치정보취급자”란 위치정보 보호를 위한 관리적∙기술적 보호조치를 실제 구현∙운영하는 자를 말한다.

제3조(관계법령의 적용) 본 지침에 명시되지 아니한 사항에 대하여는 위치정보법 등 관계법령 및 지침에 따릅니다.

제4조(위치정보보호조직의 편성) ① 위치정보보호조직은 위치정보관리책임자와 위치정보취급자로 구분된다.

② 위치정보관리책임자는 임원 또는 개인위치정보주체의 고충처리를 담당하는 부서의 장, 위치정보 관리 또는 서비스를 담당하는 부서의 장으로하고, 연1회 제5조의 정보보호위원회의 심의에 따라 보안총책임임원이 선임한다.

③ 위치정보취급자는 업무상 불가피한 자로 최소화하여 선임하여야 하며, 위치정보취급자는 아래와 각 호와 같이 구분 할 수 있다.

1.  위치정보시스템 보안담당자

-    위치정보시스템/네트워크 보안 관리

-    제한구역, 통제구역에 대한 접근통제 및 관리

2.  위치정보시스템 운영담당자

-    위치정보시스템/네트워크의 안정적인 운영서비스 보장

-    백업 및 매체 보안 겸임

3.  위치정보 담당자

-    개인위치정보 주체로부터 제기되는 불만이나 의견처리

-    위법∙부당한 위치정보 침해 행위에 대한 점검

4.  기타 제5조 위치정보보호위원회에서 필요하다고 판단하여 선임된 자

-    선임 시 그 역할과 책임을 명확히 규정, 근거유지

제5조(위치정보보호위원회) ① 위치정보의 취급∙관리 업무에 관한 인원 및 조직의 편성, 지침의 제개정을 위한 위치정보보호위원회를 운영한다.

② 위치정보보호위원회는 다음 각 호의 업무를 수행한다.

1.  위치정보관리책임자와 위치정보취급자의 선임

2.  위치정보취급자의 위치정보 접근 권한

3.  위치정보의 취급∙관리 지침의 개정

4.  위치정보관리책임자가 건의한 사항

③ 위치정보보호위원회는 임원 1인을 포함한 5인 이상의 인원으로 구성하며, 연 1회 정기회의와 위치정보관리책임자의 건의에 의한 수시회의를 진행한다.

제6조(위치정보관리책임자의 역할) 위치정보관리책임자는 다음 각 호의 업무를 수행한다.

1.  위치정보보호조직 구성∙운영의 총괄

2.  위치정보의 수집∙이용∙제공∙파기 및 관리에 관한 업무의 총괄

3.  위치정보 취급∙관리 절차 및 지침의 수립 및 승인

4.  위치정보의 관리적∙기술적 보호조치 기준 이행 총괄

5.  소속 직원 또는 제3자에 의한 위법∙부당한 위치정보 침해행위에 대한 감사

6.  개인위치정보주체로부터 제기되는 위치정보관련 불만이나 의견의 처리 및 감독

7.  위치정보취급자에 대한 정기적인 교육 조치

8.  그 밖에 위치정보주체의 위치정보보호에 필요한 사항

제7조(위치정보취급자의 역할) 위치정보취급자는 다음 각 호의 업무를 수행한다.

1.  위치정보보호 활동

2.  위치정보관련 지침의 준수 및 이행

3.  위치정보의 기술적∙관리적 보호조치 기준 이행

4.  소속 직원 또는 제3자에 의한 위법∙부당한 위치정보 침해행위에 대한 점검 등

제8조(개인위치정보에 대한 접근 권한) ① 개인위치정보의 접근 권한은 아래 각 호의 내용을 원칙으로 하여 제5조제2항제2호에의 근거에 따라 위치정보보호위원회에서 접근 권한을 판단한다. 접근 권한은 업무상 불가피한 최소한의 권한을 부여함을 원칙으로 한다.

1.  위치정보관리책임자 : 수집∙이용∙제공∙수정∙파기

2.  위치정보취급자 : 수집∙이용∙제공 또는 수집∙이용

제9조(개인위치정보주체의 요구 및 이의∙불만 대응) ① 개인위치정보주체는 위치정보법 제24조제3항에 따라 아래의 권리가 있다.

1.  본인에 대한 위치정보의 수집∙이용∙제공사실 확인자료의 열람 또는 고지의 요구

2.  본인의 위치정보법 등 관계 법령에 따라 제3자에게 제공된 이유 및 내용에 대한 열람 또는 고지의 요구

3.  열람 또는 고지 받은 자료의 오류에 대한 정정 요구

② 위치정보관리책임자 및 위치정보취급자는 본조 제1항의 개인위치정보주체의 권리 행사에 대하여 아래 각 호의 절차에 따라 안전하고 즉각적인 응답이 가능한 형태로 제공해야 한다.

1.  위치정보사업자등에 대한 열람 또는 고지 요구

-    개인위치정보주체의 인적사항(다만, 대리인에 의하여 대리 청구하는 경우에는 대리인과의 관계 및 대리권의 표시를 포함)

-    열람∙고지를 요구한다는 의사

-    열람∙고지를 요구하는 내역

2.  본인 및 대리인의 확인

-    열람∙고지의 요구를 받은 때에는 요구자가 당해 개인위치정보주체(공인인증서, 핸드폰 인증 등을 통한 신분 증명) 또는 정당한 대리인(위임장 등)임을 확인

3.  개인위치정보주체에 대한 열람∙고지의 결정 및 통지

-    열람의 허용여부를 즉시 알려야 하며, 열람∙고지를 허용하지 않는 경우에는 그 사유와 근거를 설명

4.  열람∙고지의 실시

-    열람∙고지를 실시함에 있어 제3자의 개인위치정보 및 여타 개인정보가 누설되지 아니하도록 필요한 조치 수행

③ 본조 제1항의 개인위치정보주체의 권리 행사에 대한 거절 사유는 아래 각 호와 같다.

1.  열람∙정정요구를 한 개인위치정보주체가 본인이 정당한 권한이 있는 자임을 입증할 수 있는 본인확인을 위한 자료를 제출하지 않는 경우

2.  지나치게 과도하고 반복적으로 열람을 요구하여 업무에 중대한 지장을 초래하는 경우

3.  「통신비밀보호법」 등 타 법률에서 제한하고 있는 경우

4.  본인이 아닌 제3자의 자료를 요구하는 경우

제10조(위치정보취급자의 정기교육) ① 위치정보관리책임자는 제6조 제7호에 근거하여 위치정보 보호의 중요성과 관련법령 및 위치정보 취급∙관리지침을 이해하고 올바르게 시행하기 위해 반기 1회 위치정보취급자에 대한 교육을 실시한다.

② 정기교육의 내용은 아래 각 호의 내용을 포함해야 한다.

1.  위치정보 보호의 중요성과 위치정보 보호관련 법률

2.  위치정보 위험 및 대책이 포함된 조직 보안 정책, 보안지침, 지시 사항, 위험관리 전략

3.  위치정보시스템 하드웨어 및 소프트웨어를 포함한 시스템의 정확한 사용방법

4.  위치정보보호업무의 절차, 책임, 작업 설명

5.  위치정보취급자 등이 업무상 금해야 할 항목들

6.  위치정보의 기술적∙관리적 보호조치 기준 이행

7.  위치정보 침해사고 발생 시 처리 및 대응절차 등

8.  위치정보보호 감사 관련 절차 등

③ 위치정보관리책임자는 외부전문기관이나 전문요원에게 위탁하여 교육을 실시할 수 있으며, 필요한 경우 정기교육 이외에 추가적인 수시교육을 실시할 수 있다.

제11조(보안감사) ① 위치정보관리책임자는 개인위치정보와 관련한 회사 업무 전반에 대하여 반기 1회 보안감사를 수행한다.

② 보안감사의 주된 내용은 아래 각 호와 같다.

1.  위치정보의 관리적∙기술적 보호조치 이행 여부

2.  위치정보취급자의 위치정보 취급∙관리 지침 준수 여부

3.  기타 위치정보보호와 관련된 사항

③ 보안감사 결과 위치정보의 관리적∙기술적 미흡사항이 식별된 경우 즉시 개선해야 하고 공과사실에 대한 신상필벌을 해야 한다.

④ 위치정보관리책임자의 판단에 따라 추가적인 보안감사를 수행할 수 있다.

제12조(위치정보 접근 권한 변경 내역 전자적 자동 보존) ① 위치정보 접근 권한에  대한 변경내역은 위치정보시스템 내 전자적인 수단을 통해 자동 기록되도록 하며, 5년간 보관한다.

② 개인위치정보에 접근 권한 변경 내역에 보관되는 정보는 아래 각 호와 같다.

1.  개인정보(사용자 이름, 성명, 직책, 이메일 등)

2.  사용자의 역할(위치정보관리책임자, 위치정보취급자)

3.  기록생성(변경)일시

제13조(위치정보 취급 및 관리대장 전자적 자동 보존) ① 위치정보 취급 및 관리대장은 위치정보시스템 내에 전자적인 수단을 통해 자동 기록되도록 하며, 2년간 보관한다.

② 위치정보 취급대장에 보관되는 정보는 아래 각 호와 같다.

1.  취급자

2.  위치정보 취급 기록(취급자의 행위기록)

3.  관리 작업 유형(생성, 수정, 삭제 등)

4.  취급 일시(=작업 일시)

③ 위치정보 관리대장에 보관되는 정보는 아래 각 호와 같다.

1.  취급자

2.  접근 상세 내역(취급자의 행위, 접근한 위치정보 등)

3.  취급 일시(=접근 시각)

제14조(위치정보시스템 접근 인증) ① 위치정보시스템 접근은 위치정보관리책임자와 위치정보취급자에 한한다.

② 위치정보시스템 접근 시 개인별 지급된 ID를 통해 인증을 받은 뒤 접근한다.

③ 위치정보시스템 접근 인증에 대한 보안조치 및 준수사항은 다음 각 호와 같다.

1.  위치정보시스템 접근용 전용 단말기 사용 (고정IP)

2.  전용단말기에 대한 2차 인증 절차 적용(1차 : CMOS 인증, 2차 : 사용자 인증)

3.  위치정보시스템 내 방화벽 설정을 통해 지정된 IP 대역 외 접근 통제

4.  위치정보시스템 접속용 개인 ID 지급

5.  8자 이상의 영문, 숫자, 특수문자가 조합된 비밀번호 설정 및 월 1회 변경

6.  비밀번호 관리대장 운영

제15조(위치정보시스템 접근사실 전자적 자동 보존) ① 위치정보접근사실은 위치정보시스템 내에 전자적인 수단을 통해 자동 기록되도록 하며, 2년간 보관한다.

② 위치정보접근사실 보관 정보는 아래 각 호와 같다.

1.  접근자

2.  접근정보

3.  접근권한

4.  접근일시

제16조(전송 및 저장정보의 암호화) ① 개인위치정보의 누출, 변조, 훼손을 방지하기 위하여 위치정보시스템 내 정보 유통 및 저장 시 암호화를 적용한다.

② 암호화 알고리즘은 AES-128bit(Advanced Encryption Standard) 이상 또는 이에 준하는 성능을 갖춘 암호화 알고리즘을 적용하고, 웹 기반의 서비스의 경우 HTTPS 등을 통해 전송구간을 암호화한다.

제17조(서버 및 데이터베이스 보안) ① 위치정보시스템에 대한 권한없는 접근을 차단하기 위해 방화벽을 설정한다.

② 서버 및 데이터베이스에 대한 보안위협 탐지 및 관제, 대응을 위해 방화벽 외에 아래 각호의 기능을 설정하도록 한다.

1.  웹 애플리케이션 방화벽

2.  위협탐지 기능(IDS)

3.  자동차단 기능(IPS)

4.  기타 적용 가능한 보안 기능

③ 위치정보시스템은 클라우드 전문 업체(네이버 클라우드)에 위탁하여 관리할 수 있으며,
 이 경우 물리적 보안은 해당 업체의 정책을 따른다

제18조(보안프로그램 설치 및 운영) ① 위치정보시스템의 침해사고 방지를 위해 아래의 보안프로그램을 설치 및 운영한다.

   1. 백신프로그램

   2. 접근 제어 솔루션

② 보안프로그램 항상 자동 업데이트 기능을 설정해두고, 위치정보취급자가 매월 1회 최신화 업데이트 여부를 확인한다.

제19조(기타사항) ① 위치정보관리책임자와 위치정보취급자는 보안서약서를 작성하여 서약서 원본을 책상에 비치한다.

② 위치정보관리책임자와 위치정보취급자는 최초 선임 후 1개월 이내에 정보보호위원회의 보안교육을 수료해야 한다.

부  칙

제1조(시행일) 이 지침은 2025년  04월 01일부터 시행한다.

제2조 위치정보관리책임자는 2025년 04월을 기준으로 다음과 같이 지정한다.

  1. 소  속 : 개발팀

  2. 직  책 : 상무

3. 이  름 : 정기연