개인정보보호 책임자의 역할 2012.7.6 경기도화성오산교육지원청.

Presentation on theme: "개인정보보호 책임자의 역할 2012.7.6 경기도화성오산교육지원청."— Presentation transcript:

1 개인정보보호 책임자의 역할 경기도화성오산교육지원청

2 I II III 법 시행에 따른 변화 목 차 개인정보보호 기본원칙 책임자의 역할 및 중점 개선사항

3 개인정보보호 기본원칙 01

4 (헌법 17조) 사생활의 비밀과 침해 받지 않을 권리
1. 프라이버시의 개념 개인의 사생활 집안의 사적인 일 프라이버시 남에게 노출을 침해 받지 않을 권리 (헌법 17조) 사생활의 비밀과 침해 받지 않을 권리

5 2. 프라이버시의 개념변화 유비쿼터스사회(2010년 이후) 산업사회 정보화사회 소홀히 하는 관행 개선 여기는 성숙된
(~ 1960년 이전) 정보화사회 (1960~2010년) 물리적공간의 제약 프라이버시는 사전 적, 소극적 의미 물리적침해로부터 자유로울 권리 인터넷 서비스 확대 상업화에 따른 각종 홍보물 증가 개인정보 유출 및 오남용 사례 증가 개인정보보호를 소홀히 하는 관행 개선 개인정보를 소중히 여기는 성숙된 문화를 확산

6 3. 프라이버시와 개인정보 혼자 있을 권리 (소극적) 자기정보 결정권(적극적)
개인의 생활영역 또는 개인에 대한 지식과 개인적 생활 영역에 대한 한정된 정보로서의 인간 생활영역을 의미 자기정보 결정권(적극적) 자신의 정보가 어느 범위까지 타인에게 이용될 수 있는 지를 스스로 결정할 수 있는 권리

7 3. 프라이버시와 핵심요소 프라이버시 보호대상 정보 프라이버시를 이루는 핵심 요소 정보, 신체 통신, 공간

8 3. 프라이버시와 개인정보 개인정보 생존하는 개인에 관한 정보
성명, 주민등록번호 등 개인을 알아볼 수 있는 부호, 문자, 음성, 음향, 영상을 의미 개인정보 해당 정보만으로는 특정 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것 포함 생존하는 개인에 관한 정보

9 4. 개인정보 보호의 의미 개인정보보호 란 ? 개인정보처리자가 개인정보를 정당하게 수집·이용 하고
4. 개인정보 보호의 의미 개인정보보호 란 ? 개인정보처리자가 개인정보를 정당하게 수집·이용 하고 내부자가 고의나 관리 부주의 및 외부의 공격으로부터 유출·변조·훼손되지 않도록 조치 개인정보 자기결정권이 제대로 행사 되도록 보장 하는 행위

10 개인 기관 국가 5. 개인정보 보호의 필요성 개인정보 유출피해 범국가적 차원에서 엄격하게 추진 필요 정신적 피해 경제적 피해
5. 개인정보 보호의 필요성 정신적 피해 경제적 피해 개인 개인정보 유출피해 신뢰성 저하 대규모 소송제기 이미지 손상 정보사회 신뢰 붕괴 사회적 혼란야기 기관 국가 범국가적 차원에서 엄격하게 추진 필요

11 6. 개인정보 책임자의 역할 확대 개인정보 서비스 개인정보의 범위 및 서비스의 확대
6. 개인정보 책임자의 역할 확대 개인정보의 범위 및 서비스의 확대 개인정보 주민등록번호 위치정보 바이오정보 개인의 생각? 서비스 웹 위치추적 텔레매틱스 전자주민카드 가상 현실? 개인정보 유출 등 침해 발생시 기관의 위상에 영향을 미침 개인정보를 취급하는 부서가 정보화부서에서 모든 부서로 확대됨 개인정보보호를 책임질 수 있도록 개인정보 책임자의 역할 확대 기관의 개인정보보호 지침제정, 계획 수립, 교육 등 전사적인 정책 추진 기관의 개인정보보호 수준 향상을 위한 제도개선 및 인력·예산 투입 모든 개인정보취급자에 대한 권한 관리 및 감독 수행

12 7. 개인정보 보호 원칙(OECD 8 원칙) 국가간 개인정보보호에 관한 최초의 세계적인 기준 원칙 내용 수집제한의 원칙
정보의 질 확보의 원칙 목적 명확화 원칙 이용제한의 원칙 안전성 확보 원칙 개인 참가의 원칙 공개의 원칙 책임의 원칙 적법하고 공정한 수단에 의해 수집 정확하고 완전한 상태로 갱신·유지 수집시 목적을 명확하게 수집목적에 한하여 이용 및 제공 합리적인 안전보호장치 마련 열람, 이의제기, 정정, 삭제, 보완 청구권 부여 목적, 내용의 수집을 관리하고 있는가 공개의무 개인정보처리자는 제 원칙 실시 조치의 책임

13 8. 개인정보 보호 원칙(우리나라) OECD 가이드라인 개인정보보호법 처리목적의 명확화 (법 제3조, 제15조, 제17조)
1. 수집제한의 원칙 필요 목적의 최소 범위를 적법하고 정당하게 수집 (법 제3조, 제15조, 제16조) 2. 정보의 질 확보의 원칙 처리목적 범위 의 정확성·안전성·최신성 보장 (법 제3조, 제18조) 3. 목적 명확화 원칙 처리목적의 명확화 (법 제3조, 제15조, 제17조) 4. 이용제한의 원칙 필요 목적 범위를 적법하게 처리, 목적 외 활용 금지 5. 안전성 확보 원칙 정보주체의 권리침해 위험성 을 고려, 안전성 확보 (법 제3조, 제4조) 6. 개인 참가의 원칙 개인정보 처리사항 공개 (법 제3조, 제30조) 7. 공개의 원칙 열람청구권 등 정보주체의 권리 보장 (법 3조, 35조, 36조) 8. 책임의 원칙 개인정보처리자의 책임 준수·실천, 신뢰성 확보 노력 (법 제3조, 제29조)

14 9. 개인정보 보호 제정(2011년 3월 30일) 모든 개인정보처리자를 규율하는 일반법 개인정보 처리에 대한 기본원칙 정립
그 동안은 공공기관의 개인정보보호법, 정보통신망법 등 개별법 체계 법 제정 이후 개인정보처리자 규율(공공기관, 사업자, 비영리단체, 개인 등) 개인정보 처리에 대한 기본원칙 정립 세계 각국과의 개인정보 교류 증대 예상(FTA체결) 전 세계적 국제통상 관련 프라이버시 라운드(Privacy Round) 대두 수집단계, 이용·제공 단계, 폐기단계 등 처리단계별 준수사항 명시 정보주체의 권리 및 피해구제 강화 정보주체의 개인정보의 열람·정정·삭제·처리정지 요청권 보장 개인정보유출통지, 집단분쟁조정, 단체소송 등 피해구제 강화

15 교육기관 CPO 개인정보보호 개인정보책임자의 자세와 역할 02

16 책임자업무 1. 개인정보책임자의 수행업무 계획수립 및 시행 실태조사 관리감독 침해예방 민원처리 기관의 개인정보 총괄 계획수립
교육계획 수립 및 시행 개인정보 처리방침 수립 및 시행 계획수립 및 시행 책임자업무 처리실태 및 정기적인 조사, 개선 개인정보 파일의 보호 및 관리감독 암호화 계획 등, 개인정보 파기 실태조사 관리감독 유출 및 오남용 방지를 위한 내부 통제시스템 구축(감사, 보호조치 등) 개인정보 처리 불만 및 피해구제 침해예방 민원처리

17 책임자 권한 책임자 의무 2. 개인정보책임자의 권한과 의무 기관 내 개인정보 처리현황, 처리 쳬계 등에 대해 수시조사 보고받기
기관 내 개인정보 처리현황, 처리 쳬계 등에 대해 수시조사 보고받기 - 소속부서에 관계없이 조사 및 보고 받을 수 있음 업무 수행시 정당한 이유 없이 불이익을 받지 않음 - 개인정보 책임자의 불이익 방지 및 신분보장 책임자 권한 법령에 위반되는 사항을 알게된 경우 즉시 개선 조치 필요시 상급기관에 개선조치 보고 ※ 기관 내에서 법 위반이 발생하지 않도록 관리하고 개선하는 총괄 책임 책임자 의무

18 3. 개인정보책임자의 지정기준 초ㆍ중ㆍ고등학교 : 교장 공공기관 지정기준 가. 교과부
고위공무원단에 속하는 공무원 또는 그에 상당하는 공무원 나. 소속기관 해당 기관의 개인정보 처리 관련 업무를 담당하는 부서장 다. 시ㆍ도 교육청 3급 이상 공무원 또는 그에 상당하는 공무원 라. 교육지원청 4급 공무원 또는 그에 상당하는 공무원 ※과 단위 교육지원청은 5급 공무원 이상 마. 각급 학교 유치원 : 원장 초ㆍ중ㆍ고등학교 : 교장 ※초중등교육법 제20조: 교장은 교무를 통할 대학(교) : 학교의 행정업무를 총괄하는 처․실․국장 등 이상 또는 그에 상당하는 보직자 바. 가~마 외의기관 개인정보 처리 관련 업무를 담당하는 부서의 장

19 4. 개인정보책임자의 자세 소양 확보 관리 감독 철저 수준 향상 노력
개인정보보호 원칙, 법 주요내용, 국가 주요정책 등에 학습 및 연구 기관의 개인정보 처리현황, 관련법률에 대한 관리 역량 확보 소양 확보 관리 감독 철저 내부 직원에 의한 유출이 발생하지 않도록 권한관리 및 정기감사 수행 필수 이행사항 사전 점검 및 위반사항은 즉시 개선 조치 수준 향상 노력 개인정보보호를 위한 투자, 제도개선 등을 적극 수행 개인정보취급자 및 직원들의 인식제고를 위한 교육 확대

20 5. 협조 및 요청사항 교육분야 개인정보보호 지원 중점시책 및 필수 조치사항 이행 개인정보보호법 홍보 및 전파
학교, 행정기관, 학원, 교습소 등에 대한 실태점검 및 서식 개선 사례집 및 업무편람 등을 제작 검토하여 지속적인 개선 및 확산 중점시책 및 필수 조치사항 이행 주민등록번호 최소화를 위한 서식개선 등 시책 추진 협조 개인정보에 대한 위탁 및 제3자 제공 최소화 주민번호, 바이오정보,, 비밀번호의 암호화 이행 개인정보보호법 홍보 및 전파 개인정보보호법 필수 조치사항을 교직원 및 학생들에게 적극 안내

21 6. 주민번호 수집이용 최소화 대책 주민번호 수집 이용 최소화 주민번호 DB의 안전한 관리 2차 피해 방지 및 대응체계 마련
수집 이용 단계 주민번호 수집 이용 최소화 수집 이용 관련법령 일제정비, 주민번호 수집여부 확인제도 운영, 주민번호 대체수단 도입 관리단계 주민번호 DB의 안전한 관리 업무용 PC와 인터넷망 분리, 웹사이트 게시전 주민번호 사전 차단, 주민번호 처리 재위탁 제한, 홈페이지 통합운영 침해대응단계 2차 피해 방지 및 대응체계 마련 교과부 및 시도교육청 상시 모니터링 실시, 범정부 개인정보보호 비상대응팀구축 사후조치단계 이용자 및 개인정보처리자 인식제고 주민번호 유출 및 불법처리 기관 처벌규정 강화, 이용자 및 개인정보처리자 교육홍보 강화

22 교육기관 CPO 개인정보보호 법 시행에 따른 변화 및 중점 개선사항 03

23 1. 주민번호 수집이용 최소화 대책 구 분 기 존 개 정 (공공기관의 개인정보보호에 관한 법률)
구 분 기 존 (공공기관의 개인정보보호에 관한 법률) 개 정 개인정보보호법 (’11.9월 시행) 규율대상 공공기관, 정보통신사업자 등 개별법이 규정하고 있는 경우 (51만 사업자) 공공·민간의 모든 개인정보 처리자 (350만 사업자) 보호범위 컴퓨터 등에 의해 처리되는 개인정보파일 종이문서에 기록된 개인정보도 포함 주민등록번호 등 고유식별정보 처리제한 고유식별정보의 민간사용을 사전적 제한 규정 없음 원칙적 처리금지 ✽ 정보주체의 별도 동의, 법령의 근거가 있는 경우 등은 예외 허용 유출 통지 관련 제도 없음 개인정보 유출통지 의무화 집단분쟁조정 집단분쟁제도 도입(재판상 화해 효력) 단체소송 단체소송(권리침해 중지) 도입 위원회 국무총리 소속 개인정보보호 심의위원회 대통령 소속 개인정보보호위원회

24 2. 위반사례 및 중점 개선사항 1. 개인정보 수집절차 준수 및 처리방침 공개 서비스 제공에 필요한 최소한의 개인정보만 수집
① 필수항목, 선택항목 구분 없이 한꺼번에 동의 받는 사례 ⇒ 각각의 동의항목을 구분하여 동의를 받아야 함 ※ 선택항목, 제3자 제공 등에 동의하지 않는다는 이유로 서비스를 거부할 수 없음 ② 주민등록번호 수집에 대한 별도 미고지·미동의 사례 ⇒ 주민등록번호 처리시 법령에 근거가 없는 경우에는 별도 동의 필요 ③ 개인정보처리방침을 홈페이지 등에 미공개 ⇒ 개인정보파일에 대한 개인정보처리방침을 홈페이지에 공개하여야 함 불필요하게 주민번호 등 개인정보를 수집하는 경우, 관리소홀로 인해 해킹 등 유출사고 책임이 크게 증가하므로 서비스 제공에 필요한 최소한의 개인정보만 수집 ※ 법령 근거, 법령상 업무수행 등 불가피한 경우만 동의 없이 개인정보 수집 가능

25 2. 위반사례 및 중점 개선사항 2. 개인정보에 대한 안전성 확보조치 이행 고유식별정보 암호화
① 개인정보취급자가 아닌 사람에게 접근권한을 부여한 사례 ⇒ 개인정보책임자 및 취급자에게만 접근권한을 부여하고 접근을 통제 ※ 인사이동 등에 의해 시스템 접근권한 변경이 필요한 경우 즉시 조치하여 부정 접근 방지 ② 방화벽, 백신, 접근통제시스템 등 침해사고 방지 조치 미적용 ⇒ 침해사고 방지를 위해 접근통제 및 접근권한의 제한 철저 ③ DB의 접근 내역을 확인할 수 있는 로그기록을 보관하지 않은 사례 ⇒ 개인정보처리시스템의 접근기록은 6개월이상 안전하게 보관 고유식별정보 암호화 고유식별정보, 비밀번호, 바이오정보는 암호화 의무 내부망 저장 고유식별정보는 위험도 분석을 통해 암호화 적용여부 결정 2012년 12월31일까지 암호화 조치 완료

26 2. 위반사례 및 중점 개선사항 3. CCTV 설치·운영시 이행사항 준수 CCTV 설치 관련 필수 이행사항
① 안내판 미설치 및 안내판의 필수 고지항목 누락 ⇒ 설치목적, 장소, 촬영범위·시간, 관리책임자 연락처 등을 포함한 안내판을 쉽게 인식할 수 있는 곳에 설치하여야 함 ② CCTV 영상에 대한 접근권한을 제한하지 않은 사례 ⇒ CCTV 담당자에 대한 접근 권한을 차등 부여로 불필요한 열람 방지 ③ CCTV 영상정보를 공개된 장소에서 관리하여 접근통제 미비 ⇒ 영상정보는 잠금장치 등 접근통제가 가능한 시설에 보관 CCTV 설치 관련 필수 이행사항 공개 장소는 범죄예방, 시설안전, 화재예방 등 법에서 정한 목적으로만 설치가능 불특정 다수가 사용하는 목욕실, 발한실, 탈의실 등 민감한 장소에는 설치 금지 임의조작이나 녹음기능을 사용할 수 없음 ※ 공공기관에서는 설치 전 공청회, 설명회 등 전문가 및 이해관계인의 의견수렴 절차를 거쳐야 함

27 2. 위반사례 및 중점 개선사항 4. 제3자 제공 최소화 및 위탁 절차 준수 개인정보 위탁시 준수사항
① 개인정보를 임의로 다른 기관에 제공 ⇒ 다른 법률의 근거, 정보주체 동의가 있는 경우에만 제3자 제공 가능 제공시에도 문서를 통해 책임관계를 명확히 하고 제공대장에 기록 ※ 관보 또는 홈페이지에 공개하여야 함(개인정보처리방침에 포함하여 공개 가능) ② 개인정보의 외부업체 위탁 사실을 공개하지 않은 사례 ⇒ 홈페이지에 별도 공개하거나 개인정보처리방침에 포함하여 공개 ※ 개인정보에 대한 위탁을 최소화하고 재위탁은 가급적 금지 개인정보 위탁시 준수사항 제3자에게 개인정보 처리 위탁시 문서에 의하여야 함(법26조, 영28조) 정보주체가 쉽게 확인할 수 있도록 공개(법26조 2항) – 처리방침에 포함하여 공개 가능 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 감독하여야 함(법26조 4항) ※ 위탁업무에 대한 손해배상책임 발생시 수탁자를 위탁자의 소속직원으로 간주

28 1 2 3 4 3. 생활수칙 및 필수 이행사항 개인정보보호 개인정보보호법 생활수칙 필수 이행사항 개인정보 수집 최소화
개인정보는 수집하지 않거나 최소한만 수집 주민등록번호와 민감정보는 수집 금지 목적과 다르게 이용하거나 제3자 제공 금지 처리방침을 인터넷이나 사업장에 공개 내부관리계획, 방화벽 등 안전성 확보 조치 홈페이지 회원가입시 주민번호 대체수단 도입 이용이 끝난 후 반드시 파기 개인정보 유출시 정보주체에게 통지 CCTV를 운영할 경우 안내판 설치 개인정보 수집 최소화 개인정보 수집 제공시에는 꼭 동의 받기 목적을 달성한 개인정보는 즉시 파기 개인정보파일의 암호설정 등 안전한 관리 2 3 4

29 감사합니다