위치기반 서비스 이용약관
팬택씨앤아이 계열은 더 나은 미래를 만들기 위한
끊임없는 도전과 노력을 다하는 기업입니다.
위치기반 서비스 이용약관
1. 목 적
이 지침은 ㈜팬택씨앤아이(이하 ‘회사’라 한다)가 제공하는 “인사시스템(PRISM)”에서 취급하는 위치정보의 누출·변조·훼손 등을 방지하기 위하여 취하여야 하는 관리지침을 정하는 것을 목적으로 한다.
2. 위치정보의 정의 및 적용 범위
- 위치정보의 정의 : 모바일 GPS 정보
- 위치정보의 적용 범위 : 수집된 위치정보는 이용약관에 따라 관리·이용 할 수 있다.
3. 위치정보보호조직 구성 및 운영
3.1 조직구성도
3.2 위치정보 관리책임자 지정
- 성명 : 박성훈
- 직급/직책 : 상무/본부장
- 소속 : 팬택씨앤아이 IT사업본부
- 연락처 : 02-2010-2667
3.3 위치정보 관리책임자의 역할
- ①위치정보의 이용·제공·파기 및 관리에 관한 업무의 총괄
- ②위치정보 사업자 등의 소속 직원 또는 제 3자에 의한 위법·부당한 위치정보 침해행위에 대한 점검
- ③위치정보 주체로부터 제기되는 위치정보 처리와 관련한 불만이나 의견 처리 및 감독
- ④기타 위치정보 보호에 필요한 사항
3.4 위치정보 취급자 및 역할
위치정보 시스템 보안 담당자
- 성명 : 김국기
- 직급/직책 : 책임매니저/팀원
- 소속 : 팬택씨앤아이 IT사업본부 DT인프라팀
- 연락처 : 02-2010-2564
- 역할 : 회사의 위치정보 보호 업무 책임, 위치정보 보호 계획 수립 및 보안규정 검토·개정, 시스템 보안관리
위치정보 시스템 운영 담당자
- 성명 : 윤혜선
- 직급/직책 : 책임매니저/팀장
- 소속 : 팬택씨앤아이 IT사업본부 플랫폼개발팀
- 연락처 : 02-2010-2580
- 역할 : 시스템의 안정적인 운영을 위한 서비스 관리, 통제구역에 대한 접근통제 및관리
위치정보 담당자
- 성명 : 김재현
- 직급/직책 : 책임매니저/팀장
- 소속 : 팬택씨앤아이 IT사업본부 기획팀
- 연락처 : 02-2010-2581
- 역할 : 개인위치정보 주체로부터 제기되는 불만이나 의견처리, 위치정보 침해 행위 점검, 위치 정보시스템 권한 점검
[단계별 접근 권한 제한]
| 구분 | 이용 | 제공 | 파기 |
|---|---|---|---|
| 위치정보 관리책임자 | O | O | O |
| 위치정보 보호취급자 | O | X | O |
[단계별 접근 권한자 지정]
| 구분 | 성명 |
|---|---|
| 위치정보 관리책임자 | 박성훈 |
| 위치정보 보호취급자 | 김국기, 윤혜선, 김재현 |
4. 위치정보 취급 및 관리
4.1 위치정보 보호 민원 처리
- 개인위치 정보주체의 요구 및 이의·불만에 대응하기 위해 아래와 같은 취급 대장을 운영·관리한다.
- 위치정보 이용·제공 사실 확인 자료는 아래와 같은 양식(예시)으로 작성하며, 위치 정보 시스템에 자동으로 기록되고 보존되도록 운영한다.
- 위치정보 시스템은 위치정보 이용·제공 사실 확인 자료를 최소 6개월 이상 보관한다.
※ 위치정보 이용·제공 사실 확인 자료
대상 |
취득경로 |
제공받는 자 |
제공 서비스 |
제공일시 |
제공방법 |
비고 |
|---|---|---|---|---|---|---|
예시) 임직원명 |
① 인사관리시스템 ② 모바일 |
홍길동 (요청자) |
GPS 활용 시스템 명 |
‘23.10.03 10:18 |
Email 등 |
※ 위치정보 이용, 제공 사실 열람·고지 확인 자료
대상 |
확인 자료의 범위 |
요청자 |
위치정보 취급자 |
열람일시 |
열람방법 |
|---|---|---|---|---|---|
예시) 임직원명 |
‘21.01.01 ~ 21.01.30 |
홍길동 |
김철수 |
‘21.08.10 12:10 |
Email 등 |
※ 위치정보 이용, 제공사실 열람·고지 확인자료
대상자료 |
파기 범위 |
위치정보취급자 |
파기일시 |
|---|---|---|---|
예시)위치정보 이용 / 제공사실 확인자료 |
‘22.04.01 ~ 23.04.30 |
김철수 |
‘23.03.31 15:30 |
4.2 위치정보주체의 이력 열람
개인위치정보주체가 본인의 위치정보 이용·제공 사실의 열람을 요구할 경우 이에 대응할 수 있는 기술적 조치를 마련하도록 한다.
5. 교육
5.1 목적
위치정보 보호 교육을 통해 위치정보 보호의 중요성과 위치정보 관리지침을 이해하고 올바르게 시행하기 위함
5.2 교육 내용
- 위치정보 보호의 중요성 및 위치정보법 등 관련 법률
- 위치정보 위험 및 대책이 포함된 조직 보안 정책, 보안지침, 지시 사항 및 위험관리 전략
- 위치정보 시스템의 정확한 사용 방법
- 위치정보 보호업무의 절차, 책임, 작업 설명
- 위치정보 취급자 등이 업무상 금지해야 할 항목들
5.3 교육 일정
- 교육대상 : 위치정보 관리자 및 취급자
- 교육일정 : 연 1회 정기적으로 위치정보 보호교육 실시
6. 정기적인 내부보안 감사
| 감사 주기 | 연 1회 |
|---|---|
| 감사 대상 | 당사가 운영하는 위치기반서비스 |
| 감사 항목 | -위치정보의 관리적·기술적 보호 조치 등 -위치정보 취급, 관리 지침의 이행 |
구 분 |
내 용 |
|---|---|
감사 대상 조직 |
부서 입력 |
감사 내용 |
위치정보 취급 대장 운영 현황 인가자 업무 시행의 적정성 고객 응대 처리의 적정성 위치기반서비스 관련 위치정보 보호를 위한 시스템 운영의 적정성 |
감사 결과 보고 |
○ 대표이사 등 경영진 보고 및 시정사항 보완 방향 수립 |
감사 주기 |
○ 정기 : 연 1회 실시 |
7. 위치정보의 기술적 보호 지침
위치정보 시스템에 대한 접근 권한자의 식별 및 인증을 실시하여 비인가자의 위치정보 시스템의 접근을 차단하도록 한다.
위치정보 시스템에 접근할 수 있는 계정을 위치정보 취급자별로 발급하여 다른 위치정보 취급자와 공유되지 않도록 한다.
안전한 비밀번호 작성 규칙을 수립하여 적용한다.
비밀번호 작성 규칙
※ 모든 계정의 비밀번호는 다음의 문자 종류 중 2종류를 조합하여 10자리 이상, 혹은 3종류를 조합하여 8자리 이상으로 구성한다.
- 영문자
- 숫자
- 특수문자
※ 비밀번호 생성 시, 아래와 같은 문자열은 사용하지 않는다.
- 사용자 계정과 동일한 문자열
- 생년월일, 전화번호 등 유추 가능한 문자열
- 주기성 문자(abcd, 1234 등)나 키보드 상의 연속된 배열(qwer, asdf등)
위치정보 취급자가 사용할 수 있는 단말기를 제한하여 운영하고, 단말기 주소 등의 식별과 인증을 실시한다.
위치정보에 대한 권한없는 접근을 차단한다.
- 방화벽 등 접근통제장치를 설치·운영하여 취약점 방어, 우회 공격 방어, 시스템 명령어 실행 공격 방어, 버퍼 오버플로어 공격방어, 익스플로잇, 악성코드 업로드 등을 방어할 수 있도록 위치정보 시스템에 적용한다
- 위치정보시스템의 접속시간을 필요 최소한으로 제한한다.
위치정보시스템에 대한 접근 사실을 자동으로 기록·보존하기 위한 기술적 조치를 하여야 한다.
- 위치정보 시스템 접근 사실을 1년 이상 보존·관리한다.
위치정보시스템에 보안프로그램을 설치·운영하도록 한다.
- 운영체제별 보안프로그램(백신 등)을 설치·운영하고 백신 프로그램은 최신 버전을 유지한다.
위치정보 저장·전송 시 암호화 조치를 취하도록 한다.
- 위치정보의 저장 시 암호화 알고리즘을 적용하여 비인가자에 의한 불법적인 접근에 의해 정보 유·누출 및 훼손되지 않도록 예방하는 조치를 취한다.
- 이용자의 단말기를 통해 서비스 이용 시 전송되는 정보를 암호화하여 서버에 전송함으로 데이터 가로채기 및 위·변조 등을 방지한다.
8. 위치정보 침해사고 발생 시 대응 방법 및 절차
위치정보 유출 사실을 알게 된 경우 위치정보 시스템 보안 담당자는 즉시 위치정보 관리책임자에게 보고하고 피해 확산 방지 및 최소화를 위한 조치를 강구하도록 한다.
8.1 위치정보 유출사고 발생 시 역할
- (전직원) 위치정보 유출 사실을 발견하거나 의심스러운 정황 발견 즉시 위치정보 시스템 보안담당자에게 전화, 이메일 등으로 신고
- (위치정보 시스템 보안담당자) 신고를 받은 즉시 관계인에게 유출 규모, 경로 등 유출 사실 여부를 확인 요청하고, 위치정보 관리책임자에게 유출 사실 및 피해 규모 대응 상황 등을 신속히 보고
- (위치정보 관리책임자) 유관부서가 유기적으로 대응하도록 지원하고 유출 대응에 대한 방향성 제시 등의 의사 결정 진행
9. 위치정보의 파기
- 회사는 개인위치정보 보유기간의 경과, 처리목적 달성 등 개인위치정보가 불필요하게 되었을 때에는 지체없이 해당 개인위치정보를 파기한다.
- 정보주체로부터 동의받은 개인위치정보 보유기간이 경과하거나 처리목적이 달성되었음에도 불구하고 다른 법령에 따라 개인위치정보를 계속 보존하여야 하는 경우에는, 해당 개인위치정보를 별도의 데이터베이스(DB)로 옮기거나 보관 장보를 달리하여 보존한다.
- 위치정보 파기 시, 회사는 파기 사유가 발생한 개인위치정보를 선정하고, 회사의 위치정보 관리책임자의 승인을 받아 개인위치정보를 파기한다.
- 종이에 출력된 개인위치정보는 분쇄기로 분쇄하거나 소각을 통하여 파기하며, 전자적 파일 형태의 정보는 기록을 재생할 수 없는 기술적 방법을 사용한다.
