학교내 개인정보의 안전한 관리를 위한 개인정보 보호책임자의 역할과 책임 2016. 07. 2015년 개인정보보호 기본교육.

Presentation on theme: "학교내 개인정보의 안전한 관리를 위한 개인정보 보호책임자의 역할과 책임 2016. 07. 2015년 개인정보보호 기본교육."— Presentation transcript:

1 학교내 개인정보의 안전한 관리를 위한 개인정보 보호책임자의 역할과 책임 2015년 개인정보보호 기본교육

2 1 개인정보보호의 중요성 2 개인정보보호 정책 3 개인정보보호 책임자(CPO) 4 개인정보 주요 유출 사건·사례

3 1 개인정보보호의 중요성

4 1 교육(행정)기관 개인정보의 종류 학습자 학습정보 수집·관리 환자 의료·진료 정보관리 학교생활기록부 및 건강기록부
교육 및 훈련정보 일반적 정보 재산정보 습관 및 민감정보 가족정보 신체정보 고유 식별정보 학습자 학습정보 수집·관리 환자 의료·진료 정보관리 학교생활기록부 및 건강기록부 가정환경조사서 공공기관 온·오프라인 연계 학습 온라인 수강신청, 수강자 관리 연수기관 등 초·중 ·고 입시, 학적, 성적 등 학사관리 유학생 , 생활관 자료 등 대학 관련 서비스 : 나이스, 에듀파인 관련 서비스 : 학사관리시스템, 한국유학종합시스템 관련 서비스 : 학점은행제, 유학생 대학병원 진료시스템 관련 서비스 : 어학원, 연수원, 평생교육원

5 [출처 : 개인정보 유출사고 신고 접수 현황(KISA,15년 국정감사)]
개인정보 유출 신고 현황 → 총 유출건수 : 1억 3,035만명(2011.9~ ) → 구분 : 공공 10건(187만명), 민간 57건(1억 2,848만명) [출처 : 개인정보 유출사고 신고 접수 현황(KISA,15년 국정감사)]

6 1 개인정보 보호 위반에 따른 처벌 결과( ~ 2014) 위반 주체 조치 내용 위반 내역

7 1 공무원 징계령상의 징계기준

8 1 개인정보 유출사고 원인 실태조사 공공부문 개인정보 유출사고 주요 원인 → 개인정보의 불필요한 과다수집
대규모 개인정보 유출사고 원인 실태조사 결과(공공부문) 공공부문 개인정보 유출사고 주요 원인 → 개인정보의 불필요한 과다수집 → 개인정보 중요성에 대한 사회적 인식 부족 [출처 : 14년 개인정보보호 실태조사 결과보고서(개인정보보호위원회, 행정자치부)]

9 개인정보보호법의 지속적인 강화 추세에도 불구하고
1 개인정보보호 인식 실태조사 개인정보보호의 중요도에 대한 인식 개인정보보호법의 지속적인 강화 추세에도 불구하고 → 개인정보보호 중요도에 대한 국민 인식 상당수준 높음 [출처 : 14년 개인정보보호 실태조사 결과보고서(개인정보보호위원회, 행정자치부)]

10 1 개인정보 침해 경험 실태조사 주요 개인정보 침해 경험 요인 → 개인정보 무단수집, 제3자 제공, 유출 등
개인정보 침해 경험 실태조사 결과 주요 개인정보 침해 경험 요인 → 개인정보 무단수집, 제3자 제공, 유출 등 [출처 : 14년 개인정보보호 실태조사 결과보고서(개인정보보호위원회, 행정자치부)]

11 1 교육(행정)기관 개인정보파일 보유 현황 공공기관 전체 개인정보파일 보유건수(34만여건) 대비
기관구분 대상기관수 개인정보 파일수 교육부 1 4 소속기관 19 소속단체 22 306 대학 404 8,974 시·도 교육청 본청 및 소속기관 776 5,476 초등학교 6,125 70,921 중학교 3,260 37,348 고등학교 2,454 27,806 총계 13,046 150,854 공공기관 전체 개인정보파일 보유건수(34만여건) 대비 약 44%(15만여건)를 교육(행정)기관에서 보유

12 1 개인정보 처리 환경 개인정보보호를 위한 엄격한 법, 규정 제정 등으로 통제 요구사항 증가
- (국내) 법령위반에 대한 제재 강화 (CEO 해임권고권, 과징금, 벌칙조항 등) - (국제) 국가간 거래 시 지켜야 할 개인정보보호 원칙 (Safe Harbor원칙 등) - (기관) 기관간 거래 시 사전에 준비해야 할 개인정보보호 조치 (인증 등) 개인정보보호 유출사고에 따른 조직의 존폐 상황 발생 - 개인정보 유출에 따른 집단소송 배상액이 1인당 10∼200만원 국민(고객)의 개인정보 보호 인식 향상으로 업무처리시 보호 요구사항 증 대 - 개인정보 자기결정권의 강조에 따른 다양한 동의와 고지 사항 필요

13 1 개인정보 처리 단계별 문제점 제공 저장 수집 & 폐기 & 위탁 관리 동의 없는 개인정보 수집 시 고지사항 불이행
동의 없는 개인정보 수집 시 고지사항 불이행 동의 및 고지 없는 개인정보 주체 외로부터의 수집 법정대리인의 동의 없는 개인 정보의 수집 서비스 이용과 관련 없는 과도 한 개인정보의 수집 해킹 등 불법 수단에 의한 개인 정보의 수집 기망(허위) or 진실은폐에 의 한 개인정보의 수집 동의 없는 개인정보의 무단 제공 및 공유 당초 수집 시에 고지한 이용 목적을 넘어서는 개 인정보 이용 타인의 개인정보를 무단 으로 이용하는 경우 조직 내부 취급자에 의한 개 인정보 유출, 훼손, 변경 등 외부인의 불법적 접근에 의한 개인정보 유출 및 훼손, 변경 사업자의 인식부족, 과실 등으로 인 한 개인정보의 공개 기술적∙관리적 조치 미비로 인한 개인 정보 유출 고객의 개인정보 클레임에 대한 불 응 또는 미조치 수집 및 목적 달성 후 개인정보의 미 파기 개인정보 삭제 요구 불응

14 2 개인정보보호 정책

15 주민등록번호 수집·이용 최소화 종합대책 마련
2 개인정보보호법 추진 경과 지속적 개인정보보호법 강화 주민등록번호 법정주의 강화 개인정보 관련 처벌규정 강화 개인정보 암호화 기간 명시 주민등록번호 법정주의 시행 개인정보 유출 시 처벌 강화 개인정보보호법 공포·개정 (‘13.8.6, ’14.8.7, ‘16.1.1) 개인정보보호법 제정·시행 (‘ ) 주민등록번호 수집·이용 최소화 종합대책 마련 (‘12.4) 대규모 개인정보 침해사고 발생으로 국민 불안감 급증 추진체계 일원화 및 추진체계 세부사항 규정(원칙, 기준 등)

16 2 교육부 개인정보 보호정책 개인정보 보호정책 추진 체계 일선 기관 개인정보보호법의 취지 교육부 개인정보보호지침 개인정보보호법
개인정보 보호 기본계획 3~5년의 중장기 계획 개인정보 보호 시행계획 1년 단위의 기관별 계획 일선 기관 기본이 지켜지는 개인정보보호 자율 규제 활성화 (내부관리 계획 수립·시행) 개인의 자유와 권리 보호 개인의 존엄과 가치 구현 개인정보보호법의 취지 사생활 보호 정보주체의 권리 보호

17 2 추진 목표 목표 : 교육기관의 안전한 개인정보 이용환경 구축 개인정보보호 개인정보보호 역량 강화 추진체계 정비 지원 강화
수준별, 대상별, 맞춤형 순회교육 개인정보 종합지원 시스템 구축, 개인정보 노출점검 및 취약점 점검 개인정보 수준진단 및 점검단 운영, 취약기관 현장컨설팅 강화

18 2 교육부 개인정보 보호정책 정책 추진 방향 – 적용 방안
개인정보 보호 정책의 핵심인 개인정보보호법에 제시된 교육기관 및 교육행정기관의 준수 사항에 대한 명확한 기준 제시 교육부 개인정보 보호 지침(‘ ) 실효성 있는 정책 추진을 위해 각각의 정책에 기관의 특성을 반영 정보보호 수준진단 지표 개발, 매뉴얼 제작 ※ 수준진단 결과 기관평가 및 공시 반영 보호지침 중 초중등학교 적용을 위한 교육청의 자율 판단 적용 감사, 현장점검 등 각종 정책에 담당자 참여 확대 개인정보 보호 담당자 역량 강화 기회 확대 선도요원 교육, 점검반 인력 풀 운영 업무지원 시스템을 통한 업무담당자 지원체계 구축

19 2 교육부 개인정보 보호정책 관련 제도 및 법령 개선
『교육부 개인정보 보호 지침』 개정 (교육부 훈령 제135호, ‘ ) - 개정된 『개인정보보호법』개정·시행 사항 반영 : 주민번호 법정주의 실현 - 개인정보보호 점검·지원단 설치·운영 근거 마련 ※ ’16년 개인정보 일제 정비 실시 예정(6월~7월) - 교육부 개인정보 관련 법, 서식 등 일제정비 실시 ※ 시행령 2, 시행규칙 9개, 서식 161 정비

20 2 교육부 개인정보 보호정책 자율 규제 활동 강화 [1] 정보 보호 수준 진단 실시 대상 : 교육청, 대학
분야 : 정보보안 및 개인정보 보호 - 개인정보보호 : 개인정보의 수집․이용․제공․파기 등 - 정보보안 : 정보보안 정책, 인적 보안, 정보시스템 보안 등 추진일정 (대학) 자체평가(4~5월)→현장점검(5~6월)→진단 결과 확정(8월) → 공시(10월) (시·도교육청) 진단지표 확정(3월) → 자체진단 결과 입력(10월) → 현장점검(11월) → 진단결과 확정(12월) 진단결과 활용 시·도교육청 : 2016년 기관평가에 반영 대학 : 대학 공시 실시(정보보안 377개교, 개인정보보호 363개교 공시 중) ※ 산하 공공기관은 행자부 수준진단 실시(기관평가 반영 추진)

21 2 교육부 개인정보 보호정책 자율 규제 활동 강화 [2] 개인정보 보호 점검·지원단 상시 운영
개인정보 보호 점검·지원단 상시 운영 교육부, 소속기관, 교육청, 대학, KERIS 등으로 구성 - 개인정보 영향평가 지원, 수준진단, 유·노출 점검 시 활동 - 기능 : 현장점검(정기, 특별), 컨설팅, 상담, 역량강화 지원 ※ 점검대상 : 1,000건 이상 노출기관, 수준진단 결과 상·하위 10% - 개인정보 암호화 수행여부, 법적 근거 없는 주민등록번호 삭제여부 점검 수행

22 2 교육부 개인정보 보호정책 자율 규제 활동 강화 [3] 분기별 교육기관 전체 홈페이지(URL) 현행화
교육(행정)기관 홈페이지 개인정보 노출점검 시스템 운영 개인정보 노출점검을 통한 개인정보보호체계 강화 ※ 교육(행정)기관 30,157개 URL 중 18,151개 URL 점검 완료 ( 기준) (106개 URL에서 40,552건의 개인정보 노출 발견 및 조치완료)

23 2 교육부 개인정보 보호정책 자율 규제 활동 강화 [4] 초·중·고등학교 현장 맞춤형 업무처리 가이드 제작
각급 학교별 실태 조사를 통해 표준 개인정보 파일 목록 개발 개인정보 수집 양식 개선(안) 개발 ※ 과도한 개인정보 수집 양식 파악 및 개선방안 도출 학생 입학에서 졸업까지(수집에서 파기까지) 개인정보 업무처리 핸드북 제작·배포(16년 2학기 이후 배포 예정) ※ 초·중·고용 핸드북을 시작으로 매년 확대 예정

24 2 교육부 개인정보 보호정책 개인정보 보호 역량 강화 교육(행정)기관 개인정보보호 책임자(CPO) 순회교육(5개 권역)
교육(행정)기관 개인정보 보호 교육 실시 교육(행정)기관 개인정보보호 책임자(CPO) 순회교육(5개 권역) 개인정보 보호 선도요원 집중 양성 - 선도요원 양성을 통해 교육강사, 컨설팅, 점검단 활용 교육(행정)기관 개인정보 보호담당자 순회교육 - 신규담당자 과정 추가(상/하반기) 및 5개 권역 보호담당자 순회교육

25 2 교육부 개인정보 보호정책 추진 예정 사항 개인정보 보호 업무지원 포털 구축
교육부 개인정보보호 종합지원 시스템 OPEN 예정(‘16.9) ※ 기존 교육사이버안전센터 홈페이지 ( 에서 운영중이던 개인정보보호 관련 자료를 이관 운영(privacy.moe.go.kr) 업무지원 포털 구축을 통해 교육기관 특성에 맞는 법령, 지침, 홍보, 교육, 업무처리 자료 생산 및 보급 현재 운영 중인 게시판 확대운영 및 개인정보 노출사고 접수 · 처리, 커뮤니티, 교육신청, 개인정보보호 업무질의 서비스 창구 운영 예정 ※ 교육(행정)기관 개인정보보호 원스톱 서비스 제공 목표

26 개인정보 영향평가, 위험도 분석 결과에 따라 임의적 암호화
2 개인정보보호법 개정에 따른 주의사항 이용자 편의 제고 : 동의서의 중요 내용을 명확히 알기 쉽게 작성 정보주체가 동의 여부를 선택할 수 있다는 사실을 명확하게 확인할 수 있도록 선택적으로 동의할 수 있는 사항 외의 사항과 구분하여 표시 (시행령 제17조제2항) 안전조치 강화 방안 : 주민번호 암호화 조치 의무화 개인정보처리자는 주민번호가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 암호화 조치를 통하여 안전하게 보관 (법 제24조의2제2항) 주민번호 암호화 적용 시기(시행령 제21조의2제2항) 100만명 미만의 주민등록번호 보관 : 2017년 1월 1일 100만명 이상의 주민등록번호 보관 : 2018년 1월 1일 외부망 DMZ 내부망 개정 전 주민번호 저장 시 의무적 암호화 개인정보 영향평가, 위험도 분석 결과에 따라 임의적 암호화 개정 후 주민번호 저장 시 전구간 의무적 암호화

27 2 개인정보보호법 개정에 따른 주의사항 징벌적 손해배상 제도, 법정 손해배상 제도 도입 개인정보 유출에 대한 처벌규정 강화
징벌적 손해배상 제도(법 제 39조) : 고의·중과실로 개인정보를 유출한 기관에 대해 가중된 책임을 물어 피해액의 최대 3배까지 배상액 부과 법정 손해배상 제도(법 제39조의2) : 개인정보 유출 등 피해시 구체적 피해액 입증 없이 법원 판결을 통해 정해진 일정금액(300만원 이내)을 보상받는 제도 개인정보 유출에 대한 처벌규정 강화 개인정보 유출 등 범죄자에 대한 처벌 신설(법 제70조) : 부정한 수단이나 방법으로 다른 사람이 처리하고 있는 개인정보 취득 후 영리 또는 부정한 목적으로 제3자에게 제공한 자와 이를 교사·알선한 자(10년 이하의 징역 또는 1억원 이하의 벌금) 범죄로 취득한 수익의 몰수·추징 신설(법 제74조의2) : 위반행위(제70조부터 제73조까지 어느 하나에 해당하는 죄)와 관련하여 취득한 금품이나 이익은 몰수 가능. 몰수할 수 없을 때는 그 가액을 추징

28 2 개인정보보호법 개정에 따른 주의사항 정보주체 이외로부터 수집한 개인정보의 출처 고지(제20조제2항)
민감정보 안전성 확보조치 의무화(제23조제2항) 고유식별정보 안전성 확보조치 여부 정기 조사(제24조제4항, 제5항) 주민등록번호 처리 기준 강화(제24조의2) 법률·대통령령·국회규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감사원 규칙에서 주민등록번호의 처리를 요구, 허용한 경우 개인정보 처리방침 필수 항목 추가(제30조제1항) 개인정보 보호책임자의 성명 또는 개인정보 보호 업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항

29 2 개인정보보호법 개정에 따른 주의사항 개인정보 보호법 일부 개정령(안) 입법예고
개인정보수집 출처 고지 의무 강화(‘16년 9월부터 적용) 1. 개정 전 : 정보주체인 본인 요청 시 제3자가 수집한 개인정보 출처 고지 2. 개정 후 : 본인 요청이 없어도 개인정보 수집 출처를 의무적으로 고지 3. 현행법상 개인정보를 수집해 제3자에게 제공 시 사전에 동의를 받고는 있으나, 정보주체 당사자는 내용을 정확히 파악하지 못한 채 동의하는 경우가 많아, 개인정보를 제공받은 사업자가 수집출처와 처리목적 등을 직접 정보주체에게 통지 주민등록번호 수집 근거 법령 범위 축소(주민등록번호 법정주의 강화) 1. 개정 전 : 법률, 대통령령, 시행규칙 2. 개정 후 : 법률, 대통령령 3. 지금까지 시행규칙에 근거하여 주민등록번호를 수집 한 경우, 앞으로 생년월일 등으로 주민번호를 대체하거나 시행령으로 상향 규율 필요 - 현재 주민번호 수집근거 시행규칙 : 464개

30 2 개인정보보호법 개정에 따른 주의사항 행정처분 결과 공표 제도 강화(실명 공개)
근거 : 개인정보보호법 66조(결과의 공표) 1항 아래 각 호(7개) 중 어느 하나에 해당하는 경우 공표 1. 위반내용 : 다른 위반행위를 은폐‧조작하기 위하여 위반한 경우 2. 위반정도 : 1회 과태료 부과 총 금액이 1천만 원 이상이거나 과징금 부과를 받은 경우 3. 피해범위 : 유출‧침해 사고의 피해자 수가 10만 명 이상인 경우 4. 피해결과 : 유출‧침해로 재산상 손실 등 2차 피해가 발생하였거나 불법적 매매 또는 건강정보 등 민감정보의 침해로 사회적 비난이 높은 경우 5. 위반기간 : 위반행위 시점을 기준으로 위반 상태가 6개월 이상 지속된 경우 6. 위반횟수 : 행정처분 시점을 기준으로 최근 3년 내 과징금, 과태료 부과 또는 시정조치 명령을 2회 이상 받은 경우 7. 시정조치 : 위반행위 관련 검사 및 자료 제출 요구 등을 거부‧방해하거나 시정조치 명령을 이행하지 않음으로써 이에 대하여 과태료 부과를 받은 경우

31 - 과태료 처분을 받은 미래의료재단, 최초 공표 실시 -
2 개인정보보호법 개정에 따른 주의사항 행정처분 결과 공표 제도 강화(실명 공개) 행정처분 결과 공표 (예시) – 행정자치부 보도자료 개인정보 보호 위반업체 실명 적극 공개 - 과태료 처분을 받은 미래의료재단, 최초 공표 실시 -

32 2 개인정보보호법 개정에 따른 주의사항 행정자치부, 개인정보보호법 위반업체 공개
개인정보가 유출된 국내 5개 업체에 대한 행정처분 결과 공표 주요 위반사항 : 개인정보 안전성 확보조치, 개인정보 유출 통지/신고 위반 등

33 3 개인정보보호 책임자(CPO)

34 우리 기관은 개인정보(학생 및 구성원)를 잘 관리하고 있는가?
3 개인정보 보호책임자(CPO)의 역할과 책임 개인정보 보호책임자(CPO)의 고민 무엇을 개인정보라고 하지? 누가 개인정보보호를 책임져야 할까? 우리 기관은 어떤 개인정보를 어떻게 수집하고 있지? 개인정보 취급자에 어떤 지침을 내려야 하지? 직원들에 어떻게 개인정보보호 교육을 시키지? 개인정보를 제공(위탁)할 때는 어떻게 해야 하지? 시스템은 내외부 해킹에 안전한 걸까? 정보주체의 권익을 최대한 보호하고 싶은데… 유출사고가 발생하면 어떻게 해야 하지? 우리 기관은 개인정보(학생 및 구성원)를 잘 관리하고 있는가?

35 개인정보 보호책임자(CPO)의 역할과 책임
3 개인정보 보호책임자(CPO)의 역할과 책임 개인정보 보호책임자 지정 개인정보 보호책임자(CPO) 개인정보의 처리에 관한 업무를 총괄해서 책임지고, 최종적으로 의사 결정하는 자 ◈ 개인정보보호법(제31조), 시행령(제32조)에 따른 지위에 해당하는 자 ※ 교육(행정)기관별 개인정보 보호책임자(교육부 개인정보 보호지침:훈령) 1. 교육부 : 고위공무원 2. 시․도교육청 : 3급 이상 공무원 또는 그에 상당하는 공무원 3. 교육지원청 : 4급 이상 공무원 또는 그에 상당하는 공무원(교육지원청은 5급 이상 공무원) 4. 초․중․고 : 교장 5. 대학 : 학무(교무)위원에 상당하는 행정사무를 총괄하는 사람 6. 그 외의 기관 : 개인정보 처리 관련 업무를 담당하는 부서의 장

36 개인정보 보호책임자(CPO)의 역할과 책임
3 개인정보 보호책임자(CPO)의 역할과 책임 개인정보보호업무 분야별 책임자 개인정보보호 업무 분야별 책임자 업무를 위하여 개인정보파일을 처리하는 부서의 장으로 개인정보 보호 책임자가 지정한 자 ◈ 교육부 개인정보보호 지침(훈령) 제24조(분야별책임자의 지정) ※ 분야별 책임자는 해당부서의 다음 각 호의 업무를 위임받아 수행함 1. 개인정보 처리 실태의 정기적인 조사 및 개선 2. 개인정보 처리와 관련한 불만의 처리 및 피해 구제 3. 개인정보파일의 보호 및 관리·감독 4. 개인정보 처리방침의 수립·변경 및 시행 5. 개인정보 보호 관련 자료의 관리 6. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기 7. 그 밖에 해당부서의 개인정보 보호를 위해 필요한 사항 등

37 개인정보 보호책임자(CPO)의 역할과 책임
3 개인정보 보호책임자(CPO)의 역할과 책임 개인정보보호 추진 체계 구성(예시) 기 관 장 개인정보 보호책임자(CPO) 협조 개인정보 보호 담당자 정보보안 담당자 개인정보보호 분야별책임자 (각 부서/단/감사실의 장) 개인정보보호 분야별책임자 (각 부서/단/감사실의 장) 개인정보보호 분야별담당자 개인정보보호 분야별담당자 개인정보 취급자 개인정보 취급자

38 개인정보 보호책임자(CPO)의 역할과 책임
3 개인정보 보호책임자(CPO)의 역할과 책임 개인정보보호 추진 체계 역할(예시) 구분 담당자 역할 개인정보보호책임자 - 개인정보보호 업무 총괄 - 연간 개인정보보호 업무 추진 계획 수립 - 개인정보보호에 관한 실태 점검 및 감독 - 개인정보보호 분야별책임자의 개인정보보호 업무 지도 및 자문 개인정보보호담당자 개인정보보호 책임자가 지정한 자 - 개인정보보호 체계 운영(교육 추진, 수준진단 수검 등) - 상위기관 업무협조 및 지적 사항 관리 - 개인정보 열람·정정청구 창구운영 - 분야별 개인정보보호 운영실태(수탁사 포함) 점검 및 담당자 교육 개인정보보호 분야별책임자 조직구성상의 부서장/단장/감사실장 - 부서/단/감사실 내 개인정보취급자의 개인정보보호 업무 지도·감독 - 개인정보보호위원회 위원 분야별담당자 개인정보보호 분야별 책임자가 지정한 자 - 개인정보보호 기술적·관리적 보호, 법정 서식 및 대장 작성·유지 - 개인정보보호 실태에 대한 자체 점검표 취합․통보 개인정보취급자 서비스 운영자 및 개인정보에 접근 가능한 자 - 보유 개인정보 보호·관리 정보보안담당자 (협업 및 기술지원) - 시스템(네트워크, 서버, DB, PC 등) 전반 보안

39 3 개인정보 보호책임자(CPO)의 책무 개인정보 보호책임자의 권한 개인정보 보호책임자의 의무
기관내 개인정보 처리현황, 처리체계 등에 대하여 수시 조사 및 보고 받을 수 있음 ※ 개인정보보호 관련 총괄적인 책임을 지므로 소속 부서에 관계 없이 조사 및 보고를 받을 수 있음 개인정보 보호책임자의 업무 수행 시 정당한 이유 없이 불이익을 받지 않음 ※ 개인정보 보호책임자의 불이익 방지 및 신분보장 개인정보 보호책임자의 의무 법령에 위반되는 사항을 알게 된 경우 즉시 개선조치를 하여야 함 필요하면 기관장에게 개선조치를 보고 ※ 기관내에서 법령 위반이 발생하지 않도록 관리하고 개선하는 총괄 책임을 짐

40 3 개인정보 보호책임자(CPO)의 역할 개인정보보호 계획 수립 및 시행 처리실태 조사 및 관리 감독
개인정보보호 계획의 수립 및 시행 ※ 기관의 개인정보보호 계획 총괄, 중앙행정기관은 기본계획 및 시행계획 수립 개인정보보호 교육 계획의 수립 및 시행 개인정보 처리방침의 수립 변경 및 시행 ※ 기관내 개인정보파일에 대한 개인정보 처리방침을 수립·시행 총괄 처리실태 조사 및 관리 감독 개인정보 처리실태 및 관행에 대한 정기적인 조사와 개선 개인정보 파일의 보호 및 관리 감독 개인정보보호 관련 자료의 관리, 개인정보의 파기 ※ 개인정보보호를 위한 암호화 계획 등 각종 자료를 관리, 수집목적 달성된 자료의 파기를 감독 개인정보 침해예방 및 민원처리 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템 구축 ※ 개인정보 취급자의 권한관리, 접근기록에 대한 정기 감사 등 보호조치 이행 개인정보 처리와 관련한 불만의 처리 및 피해구제

41 개인정보 보호책임자(CPO)의 역할의 중요성
3 개인정보 보호책임자(CPO)의 역할의 중요성 개인정보 유출 등 침해 발생시 기관의 위상 및 존폐에 영향을 미침 이미지 손상에 따른 학생 고객 이탈, 대규모 손해배상에 따른 금전적 손실 등 유출에 따른 피해가 커짐 다양한 서비스 및 개인정보 저장매체 확대로 개인정보 취급자가 늘어나 침해위험은 증가 ※ 개인정보를 취급하는 부서가 정보화 담당부서에서 모든 부서로 확대됨 기관전체의 개인정보보호를 책임지는 개인정보 보호책임자의 역할 확대 기관의 개인정보보호 지침제정, 계획 수립, 교육 등 종합적인 정책 추진 필요 기관의 전반적인 개인정보보호 수준 향상을 위한 제도개선 및 인력·예산 투입 부서에 관계 없이 개인정보를 취급하는 모든 개인정보취급자에 대한 권한 관리 및 감독 수행

42 4 개인정보 주요 유출 사건·사례

43 대응방안 : 온라인에서 신상정보를 공개하는 행위에 대해 신중한 자세가 필요
4 개인정보 주요 유출 사건·사례 SNS를 통한 개인정보(주민등록증) 게시 가수 아이유가 과거 SNS상 실수로 처음 발급받은 주민등록증을 게시하여 개인정보를 노출한 사례 대응방안 : 온라인에서 신상정보를 공개하는 행위에 대해 신중한 자세가 필요

44 4 개인정보 주요 유출 사건·사례 SNS를 통한 개인정보(재학정보) 게시
ㅇㅇ대학교 영극영화과에 재학중인 전효성의 학적과 관련한 사항이 모두 담겨 있는 캡쳐 사진이 학교관계자에 의해 온라인 커뮤니티에 올라옴 대응방안 : 개인정보처리자는 처리 목적 외의 용도로 수집한 개인정보를 활용하여서는 아니 된다. <개인정보보호법 제 3조(개인정보보호 보호 원칙)>

45 4 개인정보 주요 유출 사건·사례 SNS를 통한 개인정보(사진) 게시

46 4 개인정보 주요 유출 사건·사례 SNS에 업로드한 합격 수험응시표 개인정보 도용
입학 취소에 필요한 개인정보 : 이름, 생년월일, 수험번호, 계좌번호 원하던 대학 수시 전형에 합격한 피해자가 SNS에 자신의 수험응시표 업로드 이를 질투한 가해자가 해당 개인정보를 도용, 입시대행업체의 보안카드 정보를 새로 발급받은 후 입학 예치금 환불 신청하여 대학 입학 취소

47 4 개인정보 주요 유출 사건·사례 개인정보 검출 유형 권한우회 검출 관리자 페이지가 공개되어 개인정보가 검출되는 경우 발생.
검출 빈도수 2 검출 빈도수 1 검출 빈도수 3 검출 빈도수 4 게시판 검출 개인정보를 게시판 등에 업로드 하는 경우 다수 발생 디렉터리 나열취약점 웹서버 설정이 잘못되어 디렉터리(파일)가 공개된 상태에서 개인정보가 검출되는 경우 발생 권한우회 검출 관리자 페이지가 공개되어 개인정보가 검출되는 경우 발생. 소스코드 검출 홈페이지 설계 오류로 인해 소스코드를 통한 개인정보 검출되는 경우 발생

48 <같은 개인정보 파일이 동시에 검출된 게시판>
4 개인정보 주요 유출 사건·사례 개인정보 검출 : 게시판 단순검출 게시판 단순검출이란? - 개인 정보를 웹서버에 게시하거나 첨부 파일(XLS, DOC, HWP, ZIP 등)에 중요 정보를 기재하여 게시하는 문제로 개인정보가 노출되는 취약점 <사례> ㅇㅇ기관, 담당자 실수로 인한 개인정보 포함 파일 게시 검출 개인정보가 포함된 파일이 2개 게시판에 동시에 업로드 되어 검출 <같은 개인정보 파일이 동시에 검출된 게시판>

49 <개인정보 파일이 노출된 게시글> <OLE 개체를 통해 개인정보가 노출된 파일>
4 개인정보 주요 유출 사건·사례 개인정보 검출 : 한글파일 내 OLE 개체*에 의해 개인정보 노출 ※ OLE 개체(Object Linking & Embedding) : 개체 연결 및 삽입 기능으로 다른 응용소프트웨어에서 작성한 그림, 표, 차트, 비디오 등과 같은 데이터를 직접 끌어오는 기능 <개인정보 파일이 노출된 게시글> <OLE 개체를 통해 개인정보가 노출된 파일>

50 <개인정보 파일이 노출된 게시글> <숨김시트 및 필터링 해제를 통해 개인정보가 노출된 파일>
4 개인정보 주요 유출 사건·사례 개인정보 검출 : 엑셀파일 내 시트 숨김* 기능 및 필터링* ※ 시트 숨김 : 엑셀 기능으로 삭제와는 달리 특정 시트를 숨김 처리 하는 기능(숨김 취소 시 원본 복원) 필터링 : 자료를 분석하고 추출하기 위한 기능으로 필터링 모드 해제 및 변경 시 모든 데이터가 드러남 <개인정보 파일이 노출된 게시글> <숨김시트 및 필터링 해제를 통해 개인정보가 노출된 파일>

51 4 개인정보 주요 유출 사건·사례 개인정보 노출 : 게시판 단순노출 대응 방안
노출 시 해당 게시글 삭제 및 관련 직원 개인정보보호 교육 강화 게시글 개인정보 웹 필터 등의 솔루션 도입 게시글 업로드 전 반드시 개인정보 노출여부 재확인 문서에 포함된 OLE개체, 숨김 시트 등에 개인정보가 포함되어 있는지 확인 - 되도록 원본 데이터를 직접 끌어오지 말고 해당 도표, 그래프만 이미지로 사용하도록 편집하거나 PDF로 변환

52 4 개인정보 주요 유출 사건·사례 학기 초 가정환경조사를 통한 개인정보 과다수집
일부 학교에서 가정환경 조사 시 예전 양식을 사용하면서 학부모 직업 등 개인정보를 과다 수집하여 문제가 되고 있음 <잘못된 사례>

53 4 개인정보 주요 유출 사건·사례 학생 상담 기초자료 작성에 불필요한 통,반 정보를 요구 수십년전 서류양식을 그대로 사용
불필요한 개인정보의 관행적 수집 사례(언론보도)

54 <개인정보보호법 제 23조 (민감정보의 처리 제한)>
4 개인정보 주요 유출 사건·사례 아산시 초등학교서 학부모 직장 조사를 통해 개인정보 수집 학교측은 삼성의 교육예산을 지원을 위해 조사했다고 소명 삼성 관계사의 재직 임직원자녀(학생) 비율에 따라 지원금이 정해져 임직원 자녀 현황 파악이 불가피하다는 것이 학교측의 입장 학부모 생활수준과 월수입, 재산, 직업, 직장(직위), 종교, 학력 등 민감정보는 초,중,고교에서 수집 및 이용 가능한 개인정보에 해당되지 않습니다. <개인정보보호법 제 23조 (민감정보의 처리 제한)>

55 4 개인정보 주요 유출 사건·사례

56 4 개인정보 주요 유출 사건·사례 초등학교 가정통신문 발송 시, 기초생활수급자의 개인정보 노출

57 4 개인정보 주요 유출 사건·사례 정보공개포털 원문공개에 의한 개인정보 노출
국민 알권리와 국정운영의 투명성을 위한 정보공개 포털(open.go.kr)을 통해 공개된 문서 원문에 개인정보가 공개된 사례

58 개인정보를 제공받은 목적 외의 용도로 이용하거나
4 개인정보 주요 유출 사건·사례 교육의원 후보자, 교내 문자전송 시스템을 통해 문자 발송 자신이 교장으로 재임했던 고등학교의 아이디와 비밀번호를 알아낸 후 문자다량발송 시스템을 이용해 학부모와 교사 1900명에게 문자전송 개인정보를 제공받은 목적 외의 용도로 이용하거나 이를 제 3자에 제공하여서는 아니 된다. <개인정보보호법 제 19조>

59 4 개인정보 주요 유출 사건·사례 개인정보가 기재된 문서를 고물상에 매각
학부모의 휴대전화 정보 및 상담기록 정보가 담긴 서류 판매 학부모 휴대전화 개인정보가 담긴 서류의 파기를 요청 인근 고물상

60 이력서 양식에 법적 근거 없는 주민등록번호를 사용
4 개인정보 주요 유출 사건·사례 이력서 양식에 법적 근거 없는 주민등록번호를 사용 직원 채용을 위한 지원서 양식 → 주민등록번호 수집 불가 『개인정보 보호법』 제24조의2에 따라 이력서 양식에는 주민등록번호 수집 불가 『교원자격검정령』등 법적 근거가 있는 경우에만 처리 가능 <주민등록번호가 포함된 잘못된 양식> <생년월일로 대체한 바른 양식>

61 4 개인정보 유출 방지 매체제어 적용 보조저장매체 사용시 주의사항
1. 컴퓨터에 장착된 하드디스크 등의 저장매체 이외에 전자적으로 자료를 저장할 수 있는 매체로서 최근 내·외부 직원의 정보유출 경로로 가장 빈번한 사용되어 주의가 필요하다 2. 분실 시 개인정보 노출 위험이 있으므로, 암호화 기능을 제공하는 보조저장매체를 사용한다

62 4 개인정보 유출 방지 한글문서 암호화 적용 엑셀문서 암호화 적용 ① ① 보안 수준 높음으로 설정

63 4 개인정보 유출 방지 컴퓨터 암호 설정 화면보호기 설치 ① ② 영문, 숫자, 특수기호 조합 2가지 조합 : 10자리 이상
대기시간 10분 이하로 설정 다시 시작할 때 로그온 화면 표시 체크 영문, 숫자, 특수기호 조합 2가지 조합 : 10자리 이상 3가지 조합 : 8자리 이상 ②

64 4 개인정보 유출 방지 백신 Update Windows Update ① ① ② ②

65 4 개인정보 주요 유출 사건·사례 유출사고 발생 시 유출 통지 및 피해최소화 대책 마련 유출 통지 항목
① 유출된 개인정보의 항목 ② 유출 시점과 및 그 경위 ③ 피해 최소화를 위한 정보주체의 조치방법 ④ 기관의 대응조치 및 피해구제 절차 ⑤ 피해 신고 접수 담당부서 및 연락처 ※ 개인정보의 유출 사고 시 지체 없이(5일 이내) 알리지 않은 경우 : 과태료 3천만원 이하 부과 피해 최소화 대책 ① 접속경로 차단, 취약점 점검‧보완, 유출된 개인정보의 삭제 등 피해를 최소화하기 위해 필요한 긴급조치 이행 ② 긴급조치 이행 등에 어려움이 있는 경우 전문기관에 기술지원 요청 ※ 피해 최소화 대책을 마련하지 않거나 필요한 긴급 조치를 하지 않은 경우 : 시정조치명령

66 4 개인정보 주요 유출 사건·사례 개인정보 유출 시 대응 개인정보 유출 신고
- 교육부 소속, 산하기관, 대학 : 즉시 교육부(정보보호팀)에 보고 - 각급학교, 유치원, 학원 : 직상급기관(교육지원청)에 보고 (보고받은 기관은 교육부에 보고) 교육(행정)기관에서 1명 이상 개인정보가 유출된 경우 - 정보주체에 대한 통지 및 조치결과를 5일 이내 교육부에 보고 1만명 이상 개인정보가 유출된 경우 정보주체에 대한 통지 및 조치결과를 5일 이내 교육부를 경유하여 행정자치부 또는 전문기관에 신고하여야 한다. - 한국인터넷진흥원 및 행정자치부 개인정보보호포털( 직접 신고 - 개별 통지와 함께 유출된 사실을 인터넷 홈페이지에 7일 이상 게재 ※ 행정자치부 또는 전문기관에 통지 결과 등 미신고 : 과태료 3천만원 이하 ※ 홈페이지 등에 공지하지 않거나 7일 미만 게재하는 경우 : 시정조치명령

67 최근 3년 동안 공무원 257명이 개인정보 불법 열람으로 적발 → 이 중 28명은 해고
4 개인정보 주요 유출 사건·사례 개인정보보호 이용∙제공 시 위반사례 ▶ 친인척과 가까운 지인의 부탁으로 납세자 개인정보를 무단 열람 후, 유출 ▶ OO시 신문고를 통해 고발된 내용과 민원인의 개인정보를 민원 관련업체에 유출 ▶ 주민센터 근무 당시, 언니와 사실혼관계에 있는 사람의 가족관계등록부 임의열람, 유출 ▶ 휴일근무 기록을 허위로 남긴 공무원을 신고한 기사의 개인정보를 해당 공무원에 유출 ▶ 남편 대학 졸업생(965명)의 취업률 확인 위해 보건소 의료정보시스템을 이용, 불법 제공 ▶ 가축분뇨공동자원화 사업계획서(찬성/비찬성 세대별 명부 포함)을 외부에 유출 ▶ 본인 부서에서 관리하는 개인 및 기업정보 800만건 임의조회 및 개인정보 12만건 유출 ▶ 경찰관이 자기 딸이 만나던 남자친구의 전과 기록 조회 후 협박 ▶ 마을 이장이 쓰레기매립장 관련 서명 이용 목적으로 개인별 명부를 공무원에게 요구 최근 3년 동안 공무원 257명이 개인정보 불법 열람으로 적발 → 이 중 28명은 해고

68 정보보호 실천수칙 10가지 부팅 시 CMOS 비밀번호 설정하기 Windows 로그인 비밀번호 설정하기
비밀이나 중요자료 파일(한글,엑셀 등) 비밀번호 설정하기 10분 이상 미 사용시 화면보호기 적용 및 해제 시 비밀번호 적용하기 불필요한 응용 프로그램 설치 금지 공유 폴더 삭제하기 PC용 백신 운영, 실시간 감지 및 주기적 점검 수행하기 출처, 첨부파일이 의심스러운 은 열람하지 말고 삭제하기 OS 및 응용프로그램(한글, 오피스, PDF리더 등) 최신보안패치 유지 비밀번호는 숫자, 문자, 특수문자를 혼합하여 10자리 이상으로 설정하고 분기별 1회 이상 변경하기

69 감사합니다 2015년 개인정보보호 기본교육