개인정보 담당자의 고민.

Presentation on theme: "개인정보 담당자의 고민."— Presentation transcript:

0 개인정보보호

1 개인정보 담당자의 고민

2 개인정보보호법 주요 내용

3 개인정보보호법 주요 내용 개인정보의 정의(개인정보보호법 제2조)
살아있는 개인에 관한 정보로서 특정 개인을 알아볼 수 있는 정보 당해 정보만으로는 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함 고유식별정보 학력, 자격증 교육이수 이름, 주소 휴대전화번호 교육 및 훈련정보 가족성명, 직업 소득 학생건강검사기록 예방접종기록 일반적 정보 금융거래 신용 재산정보 성적 종교, 소득분위 습관 및 민감정보 주민등록번호 여권번호,운전면허번호 외국인등록번호 가족정보 신체정보

4 개인정보보호법 주요 내용 개인정보 보호의 의미 수집·이용 권리 보장 안전성 확보
정당한 개인정보 수집·이용 정보주체의 권리 보장 개인정보파일 안전성 확보 개인정보 보호(Privacy)는 정보주체의 자기정보 결정권을 지키는 것 ※ 정보주체는 본인의 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 가진다. (헌법재판소)

5 개인정보보호는 개인 ∙ 교육기관 ∙ 국가 안전 및 발전의 필수 요소
개인정보보호법 주요 내용 개인정보 보호의 중요성 국가 교육기관 개인 신분증(학생증) 위조·명의도용·유괴 등 각종 범죄에 악용 우려 스미싱(Smishing)·파밍(Pharming) 등에 의한 금적적 손해 개인정보 유출 교육(행정)기관 이미지 실추 집단 손해배상 및 행정처분 등 재정적 타격 정부, 공공행정의 신뢰성 하락, 국가 브랜드 하락 프라이버시 라운드 대두에 따른 산업 전반의 손해 개인정보보호는 개인 ∙ 교육기관 ∙ 국가 안전 및 발전의 필수 요소 개인정보가 유출 될 경우! * *프라이버시 라운드 : 국제통상 관련 적절한 개인정보 보호수준을 갖춘 국가로만 개인정보 이전

6 수집 이용 저장 관리 제공 위탁 정보 파기 개인정보 처리단계별 준수사항 권리 보장 처리위탁 시 필수사항 (7항목)포함 계약
처리위탁 시 필수사항 (7항목)포함 계약 제3자 제공 시 동의 및 법적 근거 확인 불필요하게 되었을 경우, 지체없이 복구 불가능한 방법으로 파기 개인정보 파기 개인정보 안전성 확보조치 개인정보 보호책임자 및 분야별 책임자 지정 내부관리계획 수립 동의 및 법적 근거 확인 개인정보 최소 수집의 원칙 최소한 개인정보 수집 입증 개인정보처리자 부담 수집 이용 저장 관리 제공 위탁 정보 파기 권리 보장 개인정보 유출통지 신고 및 개인정보 침해신고 개인정보 열람, 정정·삭제, 처리정지권 권리침해 중지 단체소송

7 개인정보 수집 및 이용(법 제15조) 개인정보 수집·이용이 가능한 범위
개인정보 수집·이용이 가능한 범위 ▶ 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 ▶ 정보주체의 동의를 받은 경우 ※ 동의시 : 수집·이용 목적, 수집항목, 보유·이용기간, 동의거부권 등 고지 필요 ▶ 공공기관이 법령 등에서 정하는 소관업무의 수행을 위하여 불가피한 경우 ▶ 정보주체와의 계약 체결 및 이행을 위하여 불가피하게 필요한 경우 ▶ 정보주체 및 법정대리인의 의사 확인을 못하지만 명백하게 정보주체에게 이득인 경우 ▶ 정보주체의 권리보다 우선하지만, 개인정보처리자의 정당한 이익달성에 필요한 경우 사생활을 현저히 침해할 우려가 있는 민감정보 및 고유식별정보는 처리 금지 ▶ 다만, 정보주체에게 별도의 동의를 얻거나, 법령에서 구체적으로 허용된 경우에 한하여 예외적으로 처리 허용 (단, 주민등록번호는 법령에서 허용된 경우에만 처리 가능 정보주체의 동의 시 고지할 사항 ▶ 개인정보의 수집·이용 목적 ▶ 수집하려는 개인정보의 항목 ▶ 개인정보의 보유 및 이용 기간 ▶ 동의 거부할 권리 및 동의 거부에 따른 불이익 경우 불이익의 내용

8 고유식별정보 암호화(법 제24조 제3항, 제24조의2 제2항)
개인정보보호법 주요 내용 주민등록번호 수집금지 : 법 개정(‘ 시행) 고유식별정보 암호화(법 제24조 제3항, 제24조의2 제2항) 2016년 8월 6일 까지 법령 근거없는 주민등록번호는 언제까지 파기?

9 개인정보보호법 주요 내용 개인정보보호책임자(CPO) 공개 - 각급 학교 : 해당 학교의 행정사무를 총괄하는 사람
법 제31조, 교육부 개인정보 보호지침 제21조 개인정보처리자가 개인정보보호책임자를 지정·변경하는 경우, 성명과 부서의 명칭, 전화번호 등을 홈페이지의 개인정보처리방침에 공개 개인정보보호 책임자(교육부 개인정보보호지침 제21조] - 시·도교육청 : 3급 이상 공무원 또는 그에 상당하는 공무원 (본청: 행정국장) - 교육지원청 : 4급 공무원 또는 그에 상당하는 공무원 (과단위 교육지원청 : 5급 공무원 이상) - 각급 학교 : 해당 학교의 행정사무를 총괄하는 사람 (유치원 : 원장, 초․중․고등학교 : 교장) - 그 외 공공기관 : 개인정보 처리 관련 업무를 담당하는 부서의 장

10 개인정보보호법 주요 내용 개인정보 처리방침 공개 법 제30조 - 개인정보 처리자는 개인정보처리방침을 수립·공개
개인정보 처리방침 공개 법 제30조 - 개인정보 처리자는 개인정보처리방침을 수립·공개 - 수립·변경 시: 정보주체가 쉽게 확인토록 변경 전·후 비교하여 홈페이지에 지속적으로 게재 - 반드시 『개인정보처리방침』이라는 명칭 사용 - HG 공개 시: 글자 크기, 색상 등 활용하여 다른 고지사항과 구분 <개인정보처리방침 필수 기재 사항>

11 개인정보보호법 주요 내용 개인정보처리 방침 구성의 예시 개인정보의 처리 목적
개인정보의 처리 및 보유기간, 항목 : 행자부 「개인정보보호 포털시스템」과 목록 일치해야 함 개인정보의 제3자 제공 : 목적 외 이용, 제3자 제공 시 30일 이내 공개(홈페이지 공개 시 10일 이상) 개인정보의 처리 위탁 : 지속적 공개 정보주체의 권리 · 의무 및 그 행사 방법 개인정보의 파기 : 파기 절차 및 파기 방법 개인정보의 안전성 확보 조치 개인정보 보호책임자 : 각급학교 개인정보보호책임자는 학교장 임. 개인정보 열람청구를 접수 · 처리하는 부서 권익침해 구제 방법 영상정보처리기기 설치 · 운영 : 담당부서에서 수립한 영상정보처리기기 운영.관리 방침 개인정보 처리방침 변경 이력 : 변경이력 (변경 전 · 후 비교 공개)

12 개인정보보호법 주요 내용 개인정보 내부관리계획 수립 법 제29조, 시행령 제30조
- 개인정보 처리자는 내부관리계획을 수립 ·시행 - 개인정보책임자 승인을 받은 후 모든 직원에게 공람 처리 - 중요한 사항이 변경되는 경우, 즉시 내부관리계획을 수정하여 시행하고 그 수정 이력을 관리 <개인정보 내부관리계획 기재 사항> - 개인정보 보호책임자의 지정에 관한 사항 - 개인정보 보호책임자 및 개인정보취급자의 역할과 책임에 관한 사항 - 개인정보의 안전성 확보에 필요한 조치에 관한 사항 - 개인정보취급자에 대한 교육에 관한 사항 - 개인정보파기에 관한 사항 - 그 밖에 개인정보보호를 위하여 필요한 사항

13 개인정보보호법 주요 내용 내부관리계획 구성의 예시 제1장 총칙 제2장 개인정보 보호책임자 등의 의무와 책임
목적 근거 적용 범위 용어 정의 제2장 개인정보 보호책임자 등의 의무와 책임 5. 개인정보 보호책임자 등 지정 6. 개인정보 보호책임자의 역할 7. 개인정보취급자의 범위와 역할 제3장 개인정보 관리 8. 개인정보 수집 9. 개인정보 목적 외 이용 및 제3자 제공 10. 개인정보 처리의 위탁 11. 개인정보 파기 12. 개인정보취급자 접근 권한 관리 및 인증 13. 비밀번호 관리 14. 접근통제 15 개인정보의 암호화 16. 접근기록의 보관 및 위변조 방지 17. 보안프로그램의 설치 및 운영 18. 물리적 접근 제한 19. 개인정보 영향평가 대상 제5장 개인영상정보의 처리단계별 안전조치 20. 접근통제 및 접근권한 관리 21. 처리기록의 보관 및 위·변조 방지 조치 22. 보관시설 마련 및 잠금 장치 설치 제6장 개인정보 보호 교육 23. 개인정보보호 교육계획 수립 및 시행 제7장 개인정보 침해대응 및 피해구제 24. 권익침해 구제방법

14 개인정보보호법 주요 내용 개인정보의 위탁 위탁 절차 법 제26조
- 개인정보처리자가 개인정보 처리 업무를 위탁하는 때에는 문서로 처리 - 수탁자를 정보주체가 쉽게 알 수 있도록 공개 - 수탁자가 안전하게 개인정보를 처리하는지 감독 실시 위탁 절차 개인정보취급자 위탁관리계획수립 위탁관리계약체결 개인정보보호책임자 위탁관리사실 공개 수탁자 실태점검 및 교육 위탁관리업무 지도감독 수 탁 자 개인정보의 안전성 확보 조치 업무범위를 초과한 이용 및 제3자 제공 금지

15 개인정보보호법 주요 내용 개인정보의 위탁 위탁 문서에 포함되어야 할 내용 (위탁계약서 작성)
- 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 - 개인정보의 기술적·관리적 보호조치에 관한 사항 - 위탁업무의 목적 및 범위 - 재위탁 제한에 관한 사항 - 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 - 위탁업무와 관련하여 보유하고 있는 개인정보의 관리현황 점검 등 감독에 관한 사항 - 수탁자가 준수해야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항 ☞ 위탁계약서 샘플(안): [정부3.0 정보마당] – [정보보호자료실] 24번 게시물

16 개인정보보호법 주요 내용 개인정보의 제3자 제공 법 제17조 ~ 제20조
- 개인정보 목적 외 이용 및 제3자 제공은 원칙적 불가 -법 제18조 2항에 의한 경우 제3자 제공 가능 (개인정보 수집 목적 범위 내, 정보주체의 동의를 받은 경우, 법률에 규정이 있는 경우 등) 개인정보 제3자 제공 시 제3자 제공 동의 시 고지항목 개인정보를 제공받는 자 개인정보의 이용 목적 이용 또는 제공 항목 보유 및 이용기간 거부할 권리 및 동의 거부에 따른 불이익 내용 목적 외 이용, 제3자 제공의 공고 개인정보를 목적 외 이용 등을 한 날부터 30일 이내에 홈페이지 게제 하여야 함. 홈페이지 게제 시 10일 이상 계속 게제 게제 항목 : 목적 외 이용한 날짜, 법적 근거, 목적, 개인정보의 항목

17 개인정보보호법 주요 내용 위탁사례 3자 제공 사례 위탁 과 제3자 제공의 차이점 졸업앨범 수학여행 여행자 보험 학생증 제작 등
구 분 개인정보처리 위탁 개인정보 제3자 제공 관련 조항 법 제26조 법 제17조~20조 이전 목적 위탁자의 이익을 위하여 처리 (수탁업무 처리) 제3자의 이익을 위하여 처리 예측가능성 정보주체가 사전 예측 가능 정보주체가 사전 예측 곤란 이전 방법 원칙 : 위탁사실 공개 예외 : 위탁사실 고지 원칙 : 제공목적 등 고지 후 정보주체 동의 획득 관리·감독책임 위탁자 책임(사용자 책임) 제공받는 자 책임 손해배상 책임 위탁자 부담(사용자 책임) 제공받는 자 부담 법적 조치사항 - 위탁계약서 작성 - 위탁 업무 내용 등을 홈페이지 에 공개 - 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무 위탁 시 정보주체에게 고지 - 수탁자에 대한 개인정보 안전처리 여부 관리감독(수탁자 교육, 지도점검 등) - 개인정보 제3자 제공 가능한 경우  정보주체의 동의 획득  법률에 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 등 (수집 목적 범위에서 제공) - 정보주체 목적 외 3자 제공에 대한 별도 동의 획득 시, 고지의무 없음 위탁사례 졸업앨범 수학여행 여행자 보험 학생증 제작 등 (카드기능 연계 하지 않을 경우) 3자 제공 사례 시·군청 등에 학생정보 제공 민간단체 등의 장학금 지급을 위한 학생정보 제공 등 신원조사

18 No!!! 개인정보보호법 주요 내용 무조건 파기! 개인정보의 파기 파기 절차 법 제21조
- 개인정보처리자는 보유기간 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에 지체없이(5일이내) 개인정보를 파기 개인정보 파기계획 수립·시행(개인정보보호책임자) 파기 요청서 제출(개인정보취급자) 파기 승인(개인정보보호책임자) 개인정보 파기(개인정보취급자) 파기 결과 확인(개인정보보호책임자) 개인정보 파기대장 작성(개인정보보호책임자) 「개인정보보호종합지원시스템」에 파기 등록 요청(개인정보 취급자) 「개인정보보호종합지원시스템」 : 무조건 파기! No!!! 파기 절차 문서로 등록하였을 경우 기록물법에 따라 파기!!! 무단파기 금지

19 개인정보보호법 주요 내용 개인정보의 파기 파기 방법 개인정보 전체를 파기하는 경우 - 완전파괴 (소각, 파쇄 등)
- 전용 소자장비를 이용하여 삭제 - 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행 개인정보 일부만을 파기하는 경우 - 전자적 파일 형태 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독 - 기록물, 인쇄물, 서면 등 : 해당 부분을 마스킹, 천공 처리

20 개인정보보호법 주요 내용 PC의 개인정보 완전 파기 및 사용흔적 지우기

21 개인정보보호법 주요 내용 영상정보처리기기 영상정보처리기기 설치·운영 허용 기준 법 제25조
- 영상정보처리기기는 공개된 장소에 특정 목적으로만 설치·운영 - 설치목적과 다른 목적으로 임의 조작, 녹음기능 사용 금지 영상정보처리기기 설치·운영 허용 기준 1. 법령에서 구체적으로 허용 범죄의 예방 및 수사 3. 시설안전 및 화재예방 교통단속 5. 교통정보의 수집·분석 및 제공 정보주체가 쉽게 인식할 수 있도록 안내판 설치 1) 설치목적 및 장소 2) 촬영범위 및 시간 3) 관리책임자 및 연락처 안내판 설치

22 주민 등록증, 운전면허증, 여권 등 신분 증명 확인서 정보주체 이외의 자가 개인영상 정보를 알아볼 수 없도록 보호조치
개인정보보호법 주요 내용 영상정보 열람 절차 열람·존재 확인 청구 대상 개인정보 확인 거부사유 해당여부 확인 본인, 대리인 여부확인 열람 등 조치 대장 기록 및 관리 개인영상정보 열람·존재 확인 청구서 ① 정보주체 본인 이 촬영된 개인 영상 정보 ② 정보주체의 급박한 이익을 위해 필요한 개인영상정보 ① 범죄 수사 등 중대한 지장 초래 ② 보관기간 경과 후 파기 ③ 정당한 사유 주민 등록증, 운전면허증, 여권 등 신분 증명 확인서 정보주체 이외의 자가 개인영상 정보를 알아볼 수 없도록 보호조치 개인영상정보 열람·존재 확인 청구서 비대상 통지 거부사유 통지 10일이내 영상정보처리기기 운영자는 개인영상정보가 분실․도난․유출․변조 또는 훼손되지 않도록 안전성 확보에 필요한 조치를 강구하여야 함.

23 개인정보보호법 주요 내용 안전성 확보조치 : 기술적·관리적·물리적 보호대책 법 제29조
- 개인정보처리자는 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 내부관리계획 수립, 접속기록 보관 등 안전성 확보에 필요한 조치를 취하여야 함. 접근통제 시스템 설치 및 운영 개인정보의 암호화 및 보안프로그램 설치 운영 접속기록의 보관 및 위·변조 방지 내부 관리계획의 수립 및 시행 개인정보 보호책임자 지정(CPO) 및 개인정보 취급자에 대한 교육 실시 전산실, 자료보관실 등 출입통제 절차 수립 및 운영 개인정보가 포함된 서류, 보조저장매체 등은 잠금장치가 있는 장소에 보관 기술적 관리적 물리적

24 개인정보보호법 주요 내용 개인정보파일 개인정보파일 등록 예외사항
법 제32조, 시행령 제33조~34조, 교육부 지침 제54조~64조 - 개인정보파일 운용 시, 60일이내 행자부 장관(intra.privacy.go.kr)에게 등록 - 개인정보 파일의 보유·파기 현황을 개인정보처리방침에 공개 개인정보파일 등록 예외사항 1. 국가안전, 외교상 비밀, 그 밖의 국가의 중대한 이익에 관한 사항 2. 범죄의 수사, 공소의제기 및 유지, 형 및 감호의 집행, 교정 ·보호처분 등에 관한 사항 3. 「조세범처벌법」 및 「관세법」 에 따른 범칙행위 조사관련 개인정보파일 4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일 5. CCTV 등 영상정보처리기기를 통하여 처리되는 개인영상정보파일 6. 자료·물품 또는 금전의 송부, 1회성 행사 수행의 목적을 위해 수집된 개인정보파일 개인정보파일 등록 시, 교육부가 제공하는 “개인정보파일 표준목록＂에 따라 등록

25 개인정보보호법 주요 내용 유 출 노 출 개인정보 유출 신고 개인정보 유출이란? 개인정보 노출은?
개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실 또는 도난 당한 경우 개인정보가 저장된 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 고의 또는 과실로 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우, 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우 법 제34조, 시행령 제39조~40조, 교육부 지침 제50조~53조 - 개인정보 1만 명 이상 유출 시, 한국인터넷진흥원에 신고(미신고시, 3천 만원 과태료) 개별통보 및 홈페이지에 유출 사실 7일 이상 게제(미 게제 시, 시정조치 명령) - 1명 이상 개인정보 유출 시, 상급기관 경유 5일 이내 유출내용 및 조치결과 교육부에 보고 개인정보 유출 시, 정보주체에게 알려야 할 사항 1. 유출된 개인정보의 항목 유출된 시점과 그 경위 3. 피해 최소화를 위한 정보주체의 조치 방법 4. 기관(학교)의 대응조치 및 피해 구제절차 피해 신고접수 담당부서 및 연락처 개인정보 노출은? 일반 이용자가 해킹 등 특별한 방법을 이용하지 않고, 정상적으로 인터넷을 이용하면서 타인의 개인정보를 취득할 수 있도록 인터넷에 방치되는 경우 개인정보 유출 사고 시 지체없이(5일 이내) 알리지 않은 경우: 과태료 3천만원이하 부과 피해 최소화 대책을 마련하지 않거나 필요한 긴급 조치를 하지 않은 경우: 시정조치명령 유 출 개인정보 포함 문서, 이동식 저장장치, 휴대용 컴퓨터 등을 분실 또는 도난 당한 경우 개인정보 포함된 데이터베이스 등이 정상적인 권한이 없는 자가 접근한 경우 고의·과실로 개인정보가 포함된 파일 또는 문서, 저장매체가 권한 없는 자에게 잘못 전달된 경우 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우 노 출 일반 인터넷 이용자가 해킹 등 특별한 방법을 이용하지 않고, 정상적인 인터넷을 이용하면서 타인의 개인정보를 취득할 수 있도록 인터넷에 방치되는 경우

26 최근 이슈사항

27 공공기관의 정보공개에 관한 법률 제9조(비공개 대상 정보) 제1항 제6호에 의거 성명, 직위는 공개 대상임.
최근 이슈사항 홈페이지에 교직원 명단 공개(국민신문고 민원) 공공기관의 정보공개에 관한 법률 제9조(비공개 대상 정보) 제1항 제6호에 의거 성명, 직위는 공개 대상임. 패찰

28 최근 이슈사항 정보공개포털 원문공개에 의한 개인정보 노출

29 최근 이슈사항 과도한 개인정보 수집

30 가정통신문 개인정보 노출

31 최근 이슈사항 패찰용 학생증에 주민등록번호 표기 패찰용 학생증에 주민등록번호 표기로 개인정보 노출
법령에서 구체적으로 주민등록번호 처리를 요구하거나 허용한 경우를 제외하고는 처리 금지 (개인정보보호법 제24조의2) 학생증에 주민등록번호를 표기하여 사용할 법적 근거가 없으므로 삭제 조치 (필요 시 생년월일 사용 권장) ※ 교육부 개인정보보호 업무사례집 (96페이지)

32 최근 이슈사항 학생증 발급 시 스마트카드 연동을 위한 주민등록번호 제공
카드사(은행)에서 학생의 주민등록번호를 처리하기 위해서는 정보주체가 직접 카드사(은행)을 방문하여 주민등록번호를 제공 학교는 신용카드 발급을 원하지 않는 학생을 위한 대책을 강구하여 정보제공의 주체인 학생의 선택권을 보장 카드사 책임하에 신용카드(체크카드)의 기능이 결합된 학생증 제작을 목적으로 학생증을 발급하는 경우, 학교가 업무를 위탁한 것이 아닌 제3자인 카드사(은행)에 학생들의 개인정보(주민등록번호 제외)를 제공하는 것 학교에서 카드사(은행) 연계 학생증 발급을 위해 학생 주민등록번호를 제3자에게 제공하는 것은 법적 근거가 없음. - 정보주체의 동의와 상관없이 제3자에게 제공할 수 없다. <개인정보보호법 제24조의2>

33 최근 이슈사항 SNS에 개인정보 게시로 인한 피해 대학 합격 학생이 SNS에 자신의 수험응시표를 게시,
이를 질투한 친구가 게시된 개인정보를 이용 시스템에 로그인하여 예치금(등록금) 반환으로 합격 취소 피해자와 피의자 모두 개인정보보호 인식 부족 SNS 이용시 개인정보 보호 조치, 타인의 개인정보 도용은 범죄 SNS 사용자들이 무심코 인터넷상에 올린 개인정보가 여러 범죄에 이용될 수 있으며, 자신도 범죄에 노출될 수 있다는 점을 인식

34 최근 이슈사항 개인정보 부정 사용 00학교장 특정 교직원 CCTV 녹화물 무단 열람, 개인정보 부정 사용
비위사실 조사 목적으로 영상정보처리기기를 활용한 경우 개인정보보호법 제72조 제1호(영상정보처리기기의 설치목적과 다른 조작)에 해당하여 처벌

35 최근 이슈사항 민감정보 처리 00시 모 중학교에서 예비소집 학생들의 신상정보를 누구나 볼 수 있는 곳에 부착
- 학생들 학업수준 등의 민감정보 민감한 개인 신상정보는 외부에 공개되지 않도록 조치 <개인정보보호법 제 23조>

36 최근 이슈사항 기타 이슈사항 국민신문고 민원 사항
-민간단체 주도 진학설명회에 학교에서 학부모 문자발송 => 개인정보 유출 원문정보공개시스템 개인정보 노출 - 학교폭력 관련 문서 상급기관 보고 시, 공개로 지정 => 언론 보도 학교방문 일지 - 학교 방문 시, 정문에서 학교 방문일지 작성시 개인정보 노출 민원 제기 동창회 100년사 등 작성 - 학교 동창회 100년사 제작을 이유로 졸업생 개인정보 요구 인증서 공유 금지: 인증서는 사이버상의 인감도장과 동일함.(연금공단 등 접속가능) 학교운영위원회 선거인 명부 - 선출관리위원회장이 선거인명부 작성, 학부모 동의를 받아서 작성하여야 함. 학생증 카드사와 연계 제작 - 주민번호 제공 불가, 은행직원이 직접 수집하여야 함.

37 PC 개인정보관리시스템(Privacy-i)

38 PC 개인정보관리시스템(Privacy-i)
개인정보 암호화(법 제24조 제2항) 법 제24조 제2항, 시행령 제21조의2 고유식별정보 암호화 프로그램(Privacy-i)을 이용하여 암호화 이행 (고유식별정보: 주민번호, 여권번호, 운전면허번호, 외국인 등록번호 4가지) 위반시 3천만원 이하의 과태료 부과 개인정보보호 책임자 양벌 규정 기 보유 주민번호 법적 근거 없을 경우 까지 모두 파기

39 “전체검사시작”은 매월 세번째 수요일 자동 실행 “관리화면전환”은 사용자가 개별 검사 또는 옵션을 실행할 수 있는 메뉴 임.
1 “전체검사시작”은 매월 세번째 수요일 자동 실행 “관리화면전환”은 사용자가 개별 검사 또는 옵션을 실행할 수 있는 메뉴 임. 2 3

40 PC 개인정보관리시스템(Privacy-i)
관리자페이지 로그인 하기 NEIS 기관코드

41 PC 개인정보관리시스템(Privacy-i)
학교 접속화면(통계표) 학교 접속화면(PC별 암호화 현황) 컴퓨터 이름 IP 패턴(개인정보 건수) 파일(개인정보 파일 개수) 최근점검일

42 개인정보보호 주요 위반 사례

43 정보보안감사 주요 위반 사례 개인정보보호 개인정보 수집 동의 절차 미준수 (법 제15조, 제17조, 제18조, 제22조~24조) - 홈페이지 회원 가입 시 동의 절차 누락 - 만 14세 미만 아동에 대하여 법정 대리인 동의 절차 누락 - 각종 채용 원서 등에 법적 근거 없는 주민번호 및 과도한 개인정보 수집 개인정보 수집기준 위반, 법정대리인 동의 미획득 (5천만원 이하 과태료) 고유식별정보(주민번호,여권번호,운전면허번호,외국인번호) 처리 기준 위반 (5년 이하 징역 또는 5천만원 이하 벌금)

44 정보보안감사 주요 위반 사례 개인정보보호 개인정보의 안정성 확보 조치 기준 미이행 (법 제29조, 시행령 제30조)
개인정보의 안정성 확보 조치 기준 미이행 (법 제29조, 시행령 제30조) - 내부관리계획 미수립 - 주민등록번호가 포함된 파일에 대하여 비밀번호 설정 없이 업무용 PC에 보관 - 졸업생 학적관리 프로그램 (알리안스, 증명박사, 스쿨폼 등) DB에 대하여 암호화 조치 없이 인터넷이 연결된 PC에서 작업 개인정보 안전성 확보 조치 의무 위반 (3천만원 이하 과태료) 암호화 조치 없이 유출 또는 훼손, 분실 (2년이하 징역 또는 1천만원 이하 과태료)

45 정보보안감사 주요 위반 사례 개인정보보호 개인정보 위탁 업무 처리 절차 미흡 (법 제26조, 시행령 제28조)
개인정보 업무(졸업생 앨범 제작, 학생증 제작 등) 처리를 위탁하는 경우에는 위탁계약서를 작성하고, 위탁 내용을 기관(학교) 홈페이지 개인정보처리방침에 공개를 하여야 하나 이행하지 않은 사례 업무 위탁 시 공개의무 위반 (1천만원 이하 과태료)

46 정보보안감사 주요 위반 사례 개인정보보호 개인정보 파기 절차 이행 미흡 (법 제21조)
- 파기 계획 수립 및 파기 관리대장 기록·관리 미흡 - 보유기간이 경과한 개인정보는 지체없이(5일이내) 파기하여야 함 3천만원 이하 과태료 개인정보 보유 목적 외 제3자 제공에 대한 절차 미흡 (법 제18조, 시행령 제15조) - 개인정보를 보유 목적 외 제3자에게 제공할 경우 제3자 제공대장에 기록·관리하고, 홈페이지에 공개하여야 함 5년 이하 징역 또는 5천만원 이하 과태료

47 정보보안감사 주요 위반 사례 개인정보보호 영상정보처리기기(CCTV) 설치 운영 기준 위반 (법 제25조)
3천만원 이하 과태료 (○) (×)

48 정보보안감사 주요 위반 사례 개인정보보호 CCTV 설치·운영 기준 위반(법 제25조) - CCTV 관리자 화면 노출
- 접근 가능 IP 제한 - 관리자 패스워드 변경 3천만원 이하 과태료

49 정보보안감사 주요 위반 사례 개인정보보호 CCTV 설치·운영 기준 위반(법 제25조) - CCTV 음성 녹음 기능 사용
3년이하 징역 또는 3천만원 이하 벌금

50 개인정보보호를 위한 필수 준수사항

51 1 2 개인정보보호를 위한 필수 준수사항 준수사항 개인정보는 동의 받아 수집하세요 서비스나 업무처리에
회원가입 등 고객의 개인정보를 수집할 때에는 동의를 받으시고, 수집이용 목적, 수집항목, 보유 기간, 거부 시 불이익을 알리고 동의를 받으셔야 합니다. 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집하세요 2 개인정보는 서비스나 업무처리에 꼭 필요한 정보만 수집하며, 주민등록번호나 민감정보는 원칙적으로 수집하지 않습니다.

52 3 4 개인정보보호를 위한 필수 준수사항 준수사항 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공하지 마세요
개인정보를 당초 수집 목적과 다르게 이용하거나 제3자에게 제공할 경우에는 반드시 정보주체의 동의를 받아야 합니다. 개인정보처리업무 위탁은 반드시 문서로 하고 위탁사실을 공개하세요 4 외부에 개인정보의 처리를 위탁하는 경우 홈페이지에 위탁내용과 수탁자를 공개해야 합니다.

53 5 6 개인정보보호를 위한 필수 준수사항 준수사항 개인정보는 안전하게 관리.보관하세요 개인정보는 이용 목적이 달성되면
개인정보 내부관리계획을 수립하고, 개인정보 접근통제, 암호화, 보안 프로그램 등을 설치하고, 개인정보 보관 장소의 출입 통제 또는 잠금장치 등을 마련합니다. 개인정보는 이용 목적이 달성되면 반드시 파기하세요 6 개인정보의 보유기간이 경과하거나, 개인정보의 처리목적이 달성되어 더 이상 불필요한 경우 지체 없이 파기하며, 복구 또는 재생되지 않도록 주의합니다.

54 감사합니다.