업무사례 중심의 개인정보보호법 이해 2013. 12. 19 교육기관 기관별 정보보안 역할.

Slides:



Advertisements
Similar presentations
제주특별자치도교육청. 목 차 일상생활 속에서의 정보보안 안전한 컴퓨터 사용  보안업데이트 자동설정  가짜 백신 프로그램 주의  믿을 수 있는 웹사이트만 접속  자동 로그인 기능 사용 안함  사용 후 반드시 로그아웃 확인 
Advertisements

2013 년 조사연구위원회 위촉식 및 활동 설명회 2013 년 조사연구위원회 위촉식 및 활동 설명회
COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved 년 5월 2013 개인정보보호 및 정보보안 연수 대호중학교 교육정보부.
 0 / 32 CATI 시스템 소개  사업 개요  CATI 시스템의 특징  기대효과  추진 일정  CATI 시스템 주요화면 설명  시연 및 질의응답.
공주교육대학교 한규정 ICT 활용교육 공주교육대학교 한규정
III. 민족 운동의 전개 1. 일제의 식민지 지배 정책 조선 총독부.
2015년 아동·청소년대상 성범죄 신고의무기관 및 성범죄자 취업제한기관 종사자 등의 교육.
개인정보보호법 주요내용 및 이행사항 2012년 5월 경기도화성오산교육지원청 1.
개인정보 암호화 법령 현황 - 개인정보 유출 소송 사례와 대응 방안 -
목 차 I 방위산업의 정의 II 방위산업의 특성 III 방위산업의 현황.
배움과 돌봄으로 꿈을 키우는 행복한 학교 실현을 위한
경상대학교 TOEIC 접수 매뉴얼 경상대학교 접수페이지 페이지 설명
개인정보 담당자의 고민.
음성 인식 프로그램 설치 가이드 (Windows Vista 용)
제 1 부 2013년 노인일자리사업 안내 안동시니어클럽.
홍보출판 위원회 출판국 2010년 사역 계획서 발표자 : 출판국 국장 / 박수만권사 일시: 2010년 01월 17일(일) 1.
경주 3코스 양반문화와 전통 다크호스 백 지연 다크호스 백지연 4학년.
目 次 I. 총칙 II. 특허 요건 III. 특허 출원 IV. 심사 절차 V. 특허 등록 및 특허권 VI. 특허권자 보호
2002년 낙동고 4기 동기회 모임 낙동고 4기 동기회.
저출산 고령사회 대응 및 여성 농업인 권익 향상을 위한 정책토론회
역대 정부개편의 교훈과 새로운 정부조직개편의 방향
기록관리 업무담당자 교육 2017년 경상북도문경교육지원청.
17 20 정보보안 개인정보보호 능력 향상 마침표 없는 정보보호!.
2015년 개인정보 관리실태 점검 방향 및 사례
김종찬 김정석 이상미 임성규 담당 교수님 최병수 교수님
체위변경과 이동 요양보호 강사 : 이윤희.
게시판이용자의 본인확인 - 제한적 본인확인제
2017년 정보보호 실무 요령 (정보보안, 개인정보보호, 인증서 관리)
중화학 공업이 발달한 남동 임해 공업 지역 사회 1학년 1학기
[영화도서관] 서비스 2011년 무비넷, 웨어메이트에서 제공하는 …..
올바른 이메일 사용법
[ 포털 사이트 연관검색어/자동완성 등록 서비스 ]
사업/성과관리시스템(SMART) 전산접수 매뉴얼 (수행기관용) 2013년 정보서비스팀.
공인인증서 신청 및 발급 제일 먼저 은행에 직접 방문하여 인터넷뱅킹 신청.
단 원 명 한 국 음 악 사.
구약의 맥 I (서론, 원역사) 2014 동안성결교회 수요신학강좌 정석규 LA 목회자 세미나.
나이스 진로정보 초‧중‧고 연계 서비스 안내 (수) 한국교육학술정보원 교육행정부 김지광 선임연구원
공공기관 개인정보파일 관리 2014년 10월 안전행정부 1.
정보보호 신규 업무담당자 교육. 정보보호 신규 업무담당자 교육 시 간 교육내용 비 고 ~ 13:00 ■ 교육 등록 13:00 ~ 13:10 ■ 개회 및 인사 말씀 13:10 ~ 14:40 ■ 개인정보보호 ‧ 개인정보보호 유‧노출 사례 ‧ 개인정보보호 기본 개념 및.
물류단지 총량제 폐지 이후 물류시설 공급정책 방향 국 토 교 통 부.
중앙대 원격교육원 범용공인인증서 홈페이지 등록 방법 .
신 윤 호 ㈜엘림에듀 초등사업본부장, 중앙대학교 체육학박사
장애인과 함께하는 시민도서관 “신체적, 사회적 여건에 관계없이 공평하게 이용해야 할 것” 큰글자도서, 촉각도서, 오디오북, DVD, CD-ROM 등의 특수자료와 62만 여권의 도서를 장애인정보누리터와 각 자료실에.
안심하고 맡길 수 있는 어린이집을 위한 어린이집 관리 강화대책 서 울 특 별 시 (여성가족정책실)
컴퓨터 저녁반 강의 안내 기본 소개 컴퓨터저녁기초반 교육과정 주차별 강의계획안 문의 : 과천시시설관리공단
MF-4150(K) 설치 Guide (소프트웨어) XP기준
정보보안 및 개인정보 보호의 이해 충청북도교육청.
2011년 정기총회 일시 : (토) 오후 2시 장소 : 교하도서관 2층 문화강연실
동국대학교 경주캠퍼스 전자행정업무편람 정보기획운영팀 1.
2-3-1 민주 시민의 경제적 구실 3 (3)민주시민의 다양한 경제적 역할 주요 학습 내용 민주 시민의 다양한 경제적 역할
지적재조사 홍보컨텐츠 개발현황 브랜드 네임 심볼마크 슬로건.
학습지도안 단원명 대단원 III유전과 진화 중단원:1.세포분열 소단원 (1)체세포분열 작성자 신동명.
하나님은 허망한 사람을 아시나니 악한 일은 상관하지 않으시는 듯하나 다 보시느니라 욥기 11장 11절 말씀 -아멘-
민박농가 고객감동 서비스교육                                                                 양평 그린토피아펜션사례.
대한공중보건의사협의회 구강보건사업단 심 수 영
건축물 에너지 절약계획서 시스템 사용자 지침서
사람을 물건처럼 매매함으로써 타인에 대하여 예속적인 상태에 두는 일.
2-3-1 민주 시민의 경제적 구실 2 (2)민주 시민으로서의 생산자 역할 바람직한 기업의 활동 주요 기업의 사회적 책임 학습
교육기부 진로체험기관 인증제와 지역 센터 운영 방안 한국직업능력개발원 김승보.
평화로운 학교를 위한  퀴즈 대회 000학교.
제9주 예산 수립과 집행.
양초 한 자루의 과학 과학영재교육 전공 김 연 주 류 은 희 이 상 희.
매물장 로그인 직원을 미리 생성하시면 직원 ID로 로그인 가능.
정신과 전문병원 내에서 인권문제 국가인권위 권고사항을 중심으로.
맞춤형 사법서비스 구축 4단계 주요 변경업무 전자공탁
대관시스템 매뉴얼 : 대관회원가입 및 공연장 대관신청
사전연명의료의향서 등록기관 지정 신청 안내 (재) 국가생명윤리정책원 연명의료관리센터 ( )
2013년 학교정보공시 학교 총괄담당자 연수
과목명: 사회 학년 학기: 3학년 1학기 시장경제의 이해> 시장경제의 특성 ( 1 / 7 )
신입사원 OJT교육.
Presentation transcript:

업무사례 중심의 개인정보보호법 이해 2013. 12. 19 교육기관 기관별 정보보안 역할

목 차 I 개인정보 보호법 개관 II 개인정보보호 업무 사례 및 대응 방안 III 개인정보 유출 사례 및 대응 방안

Ⅰ 개인정보 보호법 개관 개인정보 보호법의 구성 개인정보 보호법 해설

1. 개인정보 보호법의 구성 개인정보보호법 제 1 장 총칙 - 목적, 정의, 개인정보보호원칙, 다른 법률과의 관계 등 제 3 장 개인정보의 처리 - 수집·이용·제공 등 처리기준, 민감정보·고유식별정보 제한, 영상정보처리기기 제한 등 제 6 장 개인정보분쟁조정위원회 - 분쟁조정위원회 설치·구성, 분쟁조정의 신청방법·절차, 효력, 집단분쟁조정제도 등 제 2 장 개인정보보호정책의 수립 등 - 개인정보보호위원회, 기본계획·시행계획 수립, 개인정보보호지침, 자율규제촉진 등 제 4 장 개인정보의 안전한 관리 - 안전조치의무, 개인정보파일 등록·공개, 개인정보영향평가, 유출통지제도 등 제 5 장 정보주체의 권리 보장 - 열람요구권, 정정·삭제요구권, 처리정지요구권, 권리행사방법 및 절차, 손해배상책임 등 제 8 장 부칙 - 적용제외, 금지행위, 침해사실신고, 시정조치 등 제 9 장 벌칙 – 벌칙, 과태료 및 양벌 규정 등 제 7 장 개인정보 단체소송 – 단체소송 대상, 소송허가요건, 확정판결의 효력 등 부칙 : 시행일, 경과조치, 다른 법률의 개정 등

2. 개인정보 보호법 해설 1) 개인정보 보호의 개념 개인정보란? 살아있는 개인에 관한 정보로서 특정개인을 식별하거나 식별할 수 있는 정보 당해 정보만으로는 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 식별할 수 있는 것을 포함 살아있는 : 생존하는 자에 대한 정보(O), 사자(死者)의 정보(X) 개인 : 자연인(O), 법인이나 단체(X) 정보 : 정보의 종류・형태 제한 없음(문자・음성・부호・영상 등) 식별하거나 식별할 수 있는 : 다른 사람과의 구분 가능 다른 정보와 쉽게 : 일률적으로 판단 불가, 다른 개인정보의 종류 등 상황에 따라 다름

2. 개인정보 보호법 해설 1) 개인정보 보호의 개념 초·중·고에서 수집·이용 가능한 개인정보 인적사항 신체의 발달상황 학교생활기록 학생건강검사기록 인적사항 학적사항 출결상황 자격증 및 증취득상황 교과 학습발달상황 행동특성 및 종합의견 학교정보 학생의 수상경력 학생의 진로 희망 사항 학생의 창의적 체험활동상황 학생의 독서 활동상황 신체의 발달상황 신체의 능력 건강조사 및 건강검진 결과

2. 개인정보 보호법 해설 1) 개인정보 보호의 개념 개인정보 처리자, 보호책임자, 취급자의 개념 업무 목적의 개인정보파일 운용 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등 개인정보 처리자 개인정보 보호책임자 개인정보 처리에 관한 업무 총괄 책임 개인정보 취급자 개인정보처리자의 지휘·감독을 받아 개인정보 처리

2. 개인정보 보호법 해설 2) 개인정보의 처리 개인정보 수집 및 이용 개인정보 수집 및 이용 허용 사유 정보주체의 동의를 받은 경우 법률에 특별한 규정이 있거나 법령상 의무 준수 시 불가피한 경우 공공기관이 법령 등의 소관 업무 수행을 위하여 불가피한 경우 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 정보주체 또는 그 법정대리인이 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우 개인정보처리자의 정당한 이익 달성을 위해 명백하게 정보주체의 권리보다 우선하는 경우. (개인정보처리자의 정당한 이익과 상당한 관련이 있고 합리적인 범위를 초과하지 아니하는 경우) ※ 목적 이외에 개인정보 이용 시, 별도 동의 필요

2. 개인정보 보호법 해설 2) 개인정보의 처리 개인정보의 제공(법 제17조, 제18조) 개인정보 외부 제3자제공 개인정보의 목적 외이용 및 제3자 제공은 원칙적 불가 개인정보 수집 목적 범위 내, 정보주체의 동의를 받은경우, 법률에 규정이 있는 경우 등 법 제18조 2항에 규정에 의한 경우 제공가능 동의를 받을 때에는 제공받는 자, 이용목적, 개인정보 항목, 보유・이용기간, 동의거부권 에 대한 고지 개인정보 운영 방법 공개 서면, 전자우편, 모사전송, 전화, 전화 문자전송, 홈페이지 게시

2. 개인정보 보호법 해설 2) 개인정보의 처리 개인정보의 파기(법 제21조) 파기 시점 수집 및 이용목적 달성 후 지체 없이 파기 파기 방법 개인정보 파기 후 복구 또는 재생되지 아니하도록 조치 개인정보 기록된 출력물, 서면 등 파쇄 또는 소각 전자적 파일 복원 불가능한 방법으로 영구 삭제 파기 사유 개인정보 수집 및 목적이 달성된 경우 보유 및 이용 기간이 종료된 경우 사업을 폐지하는 경우

2. 개인정보 보호법 해설 2) 개인정보의 처리 민감정보(법 제23조) 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보 개인정보보호법 예외적 허용 사유 민감정보? 사상·신념, 노동조합·정당 가입·탈퇴, 정치적 견해, 건강, 성생활 등의 정보 1. 정보주체의 별도 동의 2. 법령에서 구체적으로 처리를 요구하거나 허용하는 경우 민감정보 원칙적 처리 금지 3. 공공기관이 법률에서 정한 소관업무 수행을 위해 불가피한 경우

2. 개인정보 보호법 해설 2) 개인정보의 처리 고유식별정보(법 제24조) 개인을 고유하게 구별하기 위해 부여된 정보 개인정보보호법 예외적 허용 사유 주민등록번호, 운전면허번호, 여권 번호, 외국인등록번호 고유식별정보 원칙적 처리 금지 주민등록번호 외의 회원가입 방법 제공 고유식별정보 처리 시, 암호화 등 안전성 확보조치 1. 정보주체의 별도 동의 2. 법령에서 구체적으로 처리를 요구하거나 허용하는 경우 3. 공공기관이 법률에서 정한 소관업무 수행을 위해 불가피한 경우

영상정보처리기기의 설치·운영 제한(법 제25조) 2. 개인정보 보호법 해설 2) 개인정보의 처리 영상정보처리기기의 설치·운영 제한(법 제25조) 공개된 장소에서 설치∙운영하는 영상정보처리기기 규제를 민간분야까지 확대 법령 범죄예방, 수사 시설안전, 화재예방 교통단속 교통정보 수집 [예외] 법령, 범죄예방 및 수사, 시설안전, 화재예방, 교통단속, 교통정보 수집분석을 위해서만 설치 가능 불특정 다수가 이용하는 사생활 침해 우려가 큰 장소에 설치 금지 [예] 공중화장실, 목욕탕, 탈의실 등 설치 금지 13

2. 개인정보 보호법 해설 2) 개인정보의 처리 개인정보 처리업무 위탁(법 제26조) 처리업무 위탁 시 목적・범위 , 재 위탁 제한, 안전성 확보조치, 점검 등 문서화 위탁 업무의 내용, 수탁자 공개 의무 재화나 서비스의 홍보 및 판매권유 업무의 위탁 시 정보주체에 대한 고지의무 개인정보의 보호를 위한 수탁자 교육, 처리현황 점검 등 감독책임 위탁 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공 금지 손해배상책임 발생 시 수탁자는 개인정보처리자의 소속직원으로 간주

개인정보 안전성 확보조치(법 제29조, 시행령 제30조) 2. 개인정보 보호법 해설 3) 개인정보의 안전한 관리 조치 개인정보 안전성 확보조치(법 제29조, 시행령 제30조) 교육 내부관리 매체 관리 내부관리계획 수립 주기적인 갱신 사내 직원 대상 교육 위탁개인정보처리자 대상 교육 서면, 입출력 자료 보관 및 관리 이동식 저장매체 관리 내부관리계획 기반의 관리업무 (데이터 파일 및 문서포함) 개인 정보 관리적 보호조치 (수탁자 관리 감독 포함) 계획

2. 개인정보 보호법 해설 3) 개인정보의 안전한 관리 조치 개인정보 처리방침 수립 및 공개(법 제30조) 개인정보처리방침 필수 공개항목 개인정보의 처리 목적 개인정보의 처리 및 보유 기간 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 정보주체의 권리·의무 및 그 행사방법에 관한 사항 처리하는 개인정보의 항목 개인정보의 파기에 관한 사항 개인정보 보호책임자에 관한 사항 개인정보 처리방침의 변경에 관한 사항 시행령 제31조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항

2. 개인정보 보호법 해설 3) 개인정보의 안전한 관리 조치 개인정보 처리방침 수립 및 공개(법 제30조) 개인정보처리방침 공개방법 인터넷 홈페이지에 지속적으로 게재 인터넷 홈페이지에 게재할 수 없는 경우 사업장등 보기 쉬운 장소에 게시 관보나 일반일간신문・일반주간신문・인터넷신문에 싣는 방법 연 2회 이상 발행 배포하는 간행물·소식지·홍보지 또는 청구서 등에 싣는 방법 정보주체와 체결한 계약서 등에 실어 정보 주체에게 발급하는 방법

개인정보파일 등록 및 개인정보 열람 등(법 제32조) 2. 개인정보 보호법 해설 3) 개인정보의 안전한 관리 조치 개인정보파일 등록 및 개인정보 열람 등(법 제32조) <등록․신청> <경유·예비검토> <공 개> 개인정보 보호책임자 ⇨ 교육부 장관 (소속․산하기관 → 본부 정보보호팀) 안전행정부 장관 (개인정보보호과) 파일 보유 60일 이내 개인정보보호종합지원시스템(intra.privacy.go.kr)에 등록 본부및 산하기관 개인정보 신청파일 예비 검토 진행 본부 검토가 완료 시 개인정보보호종합지원포탈(www.privacy.go.kr)에 공개 ☞ 등록 항목 변경 시, 60일 이내 재등록 필요 단, 생성·변경 상시적인 경우 1년 1회 변경 등록 가능

2. 개인정보 보호법 해설 3) 개인정보의 안전한 관리 조치 개인정보 영향평가 제도(법 제33조) 공공기관에서 개인정보를 처리하는 정보화 사업추진 시, 개인정보 침해사고 예방을 위한 사전 개인정보 영향평가 실시 의무화 정보화 사업 추진 신규 정보화 사업에 대한 개인정보 위험 요인 분석 및 개선조치 후 서비스 제공 개인정보 영향평가 침해요인 분석 개인정보 영향평가 제도란? 개인정보파일 구축, 상호연계 등 사업 추진 시 사전에 개인정보 유출, 오·남용 등 정보주체의 권익침해 위험 조사, 예측, 검토 개선 제도 공공기관 평가기관 정보주체

2. 개인정보 보호법 해설 3) 개인정보의 안전한 관리 조치 개인정보 유출신고 제도(법 제34조) 개인정보 유출 시 정보주체에 관련사항 통지 및 전문기관 신고의무 부과, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우 해당 조치 후 통지가능 1만 명 이상 정보유출 시 정보주체에게 통지 후, 직상급기관 (교육청 및 교육부)과 안전행정부 또는 전문기관에 신고 (한국정보화진흥원 및 한국인터넷진흥원)에 개인정보 유출 신고 의무화 1만명 이하의 경우 직상급기관(교육청 및 교육부)에 보고 ※ 교육부 개인정보보호 지침 신설

2. 개인정보 보호법 해설 4) 정보주체의 권리보장 집단분쟁 조정제도 및 단체소송(법 제49, 51조) 다수의 정보주체에게 비슷한 침해가 일어난 경우, 일괄 분쟁조정하거나 단체로 권리침해 중지를 요구할 수 있는 소송제도 도입

II 개인정보보호 업무 사례 및 대응 방안 개인정보의 개념 개인정보의 처리 개인정보의 처리 제한 개인정보의 안전한 관리 개인주체의 권리 보장

개인정보의 개념 1) 개인정보처리자, 보호책임자, 취급자의 개념 분야별 책임자 지정 사항 질의 : 개인정보 관련 업무가 분산되어 있을 경우 분야별 책임자를 지정할 수 있는가? 관계법령 근거 개인정보 보호법 제31조 개인정보 분야별 책임자에 대한 제약 조건 없음 교육부 개인정보 보호지침 각 업무부서 장을 개인정보보호 분야별 책임자로 지정 가능 대응 방안 업무 특성을 고려하여 분야별 책임자를 지정 가능

2. 개인정보의 처리 1) 개인정보의 수집 법률 특별 규정·법령상 의무 준수 질의 : 학교에서 학생생활기록부 작성·유지·관리를 위해 학생, 학부모 정보를 수집 할 수 있는가? 관계법령 근거 개인정보보호법 제15조 법률 특별 규정·법령상 의무 준수를 위해 불가피한 경우 교육기본법 제16조, 초·중등교육법 제25조 학생 선발을 위한 학교생활기록 작성·관리 사항 대응 방안 법률에 직접 근거하여 학생, 학부모의 정보 동의 없이 수집 및 이용 가능

2. 개인정보의 처리 1) 개인정보의 수집 법률 특별 규정·법령상 의무 준수 질의 : 학교발전기금 기탁자 관리 시 주민등록번호, 주소, 전화번호 등 수집 할 때, 개인정보 수집에 대한 동의를 받아야 하는가? 관계법령 근거 학교발전기금의 조성‧운용 및 회계관리에 관한 규칙 제9조 학교발전기금 운용계획서, 기탁서, 접수대장, 납부 및 회계 결산 보고서 별지 서식에 작성·관리 할 개인정보 항목 지정 대응 방안 법률에 특별한 규정이 있는 경우로서 정보주체의 동의 없이 수집·이용 가능

2. 개인정보의 처리 1) 개인정보의 수집 법령 등에서 정하는 소관 업무의 수행 질의 : 보건교사가 내부 업무처리를 위하여 要양호자 현황을 조사∙관리 하고자 할 경우 별도의 동의서를 받아 수집하여야 하는가? 관계법령 근거 학교보건법 시행령 제23조제3항제1호 보건교사의 직무 정의 학생과 교직원의 건강관찰, 학생건강기록부의 관리 등의 업무 대응 방안 법령 등에서 정하는 소관 업무의 수행을 위한 경우에 해당 하므로 정보주체의 동의 없이 수집 가능

2. 개인정보의 처리 1) 개인정보의 수집 기타(계약에 의한 개인정보 수집 등) 질의 : 시험감독 관리요원 선정 시 공문으로 관리요원 희망자의 인적사항을 요구하는 경우 개인의 동의를 받아야 하는가? 관계법령 근거 개인정보보호법 제15조 정보주체와의 계약 체결 및 이행을 위하여 불가피한 경우 대응 방안 시험감독 요청기관과 감독요원간의 계약의 체결 또는 이행을 위한 경우라고 판단되며, 상호간 계약 이행을 위해 불가피한 경우 정보주체의 별도 동의 없이 개인정보의 수집·이용이 가능

2. 개인정보의 처리 1) 개인정보의 수집 정보주체의 동의를 받은 경우 질의 : 학교에서 시간제 근로자에 대한 성범죄 경력조회를 하고자 할 때 개인정보 수집·이용에 대한 동의를 받아야 하는가? 관계법령 근거 아동․청소년의 성 보호에 관한 법률 제56조 취업, 노무를 제공하려는 자에 대하여 성범죄 경력 확인 동의를 받아 관계 기관의 장에게 성범죄의 경력 조회 요청 대응 방안 개인정보보호법과는 무관하게 법령에서 직접 본인의 동의를 받도록 규정

2. 개인정보의 처리 1) 개인정보의 수집 민감정보의 수집 질의 : 취학전 병력 사항을 수집이 가능한가? 관계법령 근거 개인정보보호법 제23조 정보주체의 동의를 받지 않거나, 법령의 허용 사유가 아닌 경우, 수집·이용 불가 대응 방안 취학전 병력 사항 정보는 학생건강기록부의 필수 작성항목 아님 수집 목적 등을 정보주체에게 통보 후, 개인정보의 처리에 대한 동의 및 별도 동의 필요

2. 개인정보의 처리 1) 개인정보의 수집 고유식별정보의 수집 질의 : 학교 홈페이지 회원 가입 시 본인 확인절차로 주민등록번호 외의 회원가입 방법을 별도로 제공하여야 하는가? 관계법령 근거 개인정보보호법 제24조 홈페이지 회원가입 시, 주민등록번호 외의 가입 방법 제공 대응 방안 아이핀(i-PIN) 및 공인인증서, 전자서명, 휴대폰인증 등의 대체가입수단 제공 필요

2. 개인정보의 처리 1) 개인정보의 수집 개인정보의 범위(기타) 질의 : 정보주체의 동의를 받은 경우 수집 범위 임의 지정이 가능한가? 관계법령 근거 개인정보보호법 제16조 목적에 필요한 최소한의 개인정보만을 적법하고 정당하게 수집 대응 방안 개인정보의 수집 목적과 범위를 명확하게 하여 처리

2. 개인정보의 처리 1) 개인정보의 수집 동의 주체 및 방법 질의 : 학기 초, 수학여행, 현장학습, 졸업앨범, 홍보물 제작 등을 위해 각각의 동의를 선택하도록 해서 한 번에 받을 수 있는가? 관계법령 근거 개인정보보호법 제22조 정보주체의 동의를 받을 때 각각 동의 필요 대응 방안 각각의 사안별로 동의를 선택하도록 한 경우 일괄 동의도 가능

2. 개인정보의 처리 2) 개인정보의 이용·제공 개인정보의 목적 내․외 이용 질의 : 학생의 정신질환에 대해 교직원회의에서 반, 번호, 이름을 알려 수업 시 고려하도록 해도 되는가? 관계법령 근거 개인정보보호법 제15조 공공기관 소관 업무 수행을 위해 수집 목적의 범위 내 이용 가능 학교보건법 제12조 학교의 장은 학생의 안전사고 예방을 위한 조치를 하여야 함 대응 방안 사용 목적 내 이용 여부 판단하여 사용 가능

2. 개인정보의 처리 2) 개인정보의 이용·제공 개인정보의 목적 내․외 이용 질의 : 학생증 발급 시 카드사를 통해 스마트카드 형태로 발급 할 경우 정보 제공 동의가 필요한가? 관계법령 근거 개인정보보호법 제17조 공공기관 소관 업무 수행을 위해 수집 목적의 범위 내 제3자 제공가능 대응 방안 카드사를 통한 학생증 발급의 경우 공공기관의 소관 업무 아님 제3자 제공을 위해서 정보주체 개인정보 제공 동의 필요

2. 개인정보의 처리 2) 개인정보의 이용·제공 법률에 의한 개인정보 제3자 제공 질의 : 국정감사, 행정사무감사 등 감사원에서 각급 학교 등에 개인정보 자료를 요구할 경우 제출 할 수 있는가? 관계법령 근거 개인정보보호법 제18조 다른 법률에 특별한 규정이 있는 경우 제3자에게 제공 가능 대응 방안 국정감사, 감사원감사, 행정사무감사 등 자료 제출요구는 정보주체의 동의 없이 개인정보 제공 가능 명확한 사항이 아닐 경우 개인을 식별하지 못하도록 **처리하여 제공

2. 개인정보의 처리 3) 개인정보의 파기 파기절차 질의 : 개인정보의 보유기간 만료 또는 처리목적 달성 등 개인정보가 불필요하게 되었을 때 파기 절차는 어떻게 되는가? 관계법령 근거 개인정보보호법 제21조 개인정보가 불필요하게 된 경우 지체 없이 파기 대응 방안 개인정보 보호책임자 : 개인정보 파기 시행 후 파기 결과 확인 개인정보처리자 : 개인정보 파기에 관한 사항 기록・관리 개인정보취급자 : 개인정보 보호책임자에게 개인정보파일 등록사실 삭제 요청 개인정보 보호책임자 : 지체 없이 등록 사실 삭제 후 안전행정부 통보

3. 개인정보의 처리 제한 1) 개인정보 처리업무 위탁 업무 위탁 질의 : 개인정보의 처리 업무를 위탁하는 경우 공개하여야 하는 사항과 위탁사실을 공개하는 방법은 무엇인가? 관계법령 근거 개인정보보호법 제26조 위탁업무 내용과 수탁자 정보를 정보주체가 쉽게 확인할 수 있도록 공개 대응 방안 위탁자의 인터넷 홈페이지에 지속적으로 게재 인터넷 홈페이지에 게재할 수 없는 경우 위탁자의 사업장등 보기 쉬운 장소에 게시 관보나 일반일간신문・일반주간신문・인터넷신문에 싣는 방법 연 2회 이상 발행 배포하는 간행물·소식지·홍보지 또는 청구서 등에 싣는 방법 위탁자와 정보주체가 작성한 계약서 등에 실어 정보 주체에게 발급하는 방법

3. 개인정보의 처리 제한 2) 영상정보처리기기 영상정보처리 설치·운영 질의 : 학교에 설치된 CCTV 모두 설치 현황을 게재해야 하는가? 관계법령 근거 개인정보보호법 시행령 제24조 영상정보처리기기 설치·운영 안내판 설치 등 필요한 조치 대응 방안 건물 안에 여러 개의 영상정보처리기기를 설치하는 경우 출입구 등에 영상정보처리기기 설치 지역임을 안내 가능

4. 개인정보의 안전한 관리 1) 안전조치의무 안전한 개인정보 관리 질의 : 담임교사가 담당 학생의 개인정보(주민등록번호, 주소, 연락처, 부모 연락처 등)가 담긴 한글 파일을 개인 USB에 보관하여도 되는가? 관계법령 근거 개인정보보호법 제29조 개인정보 분실·도난·유출·변조 또는 훼손 예방 안전성 확보 조치 대응 방안 개인정보가 담긴 파일에 비밀번호 설정 권장 보조저장매체는 잠금 장치가 있는 안전한 장소에 보관

4. 개인정보의 안전한 관리 2) 개인정보 영향평가 영향평가 질의 : 개인정보 영향평가의 대상은 무엇인가? 관계법령 근거 개인정보보호법 제33조 영향평가 실시 및 결과 제출에 관한 사항 대응 방안 영향평가 대상 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 다른 개인정보파일과 연계한 결과 50만명 이상의 개인정보가 포함된 파일 일반적인 개인정보파일에 100만명 이상의 개인정보가 포함된 파일 영향평가를 받은 후 개인정보파일 중 변경된 부분

4. 개인정보의 안전한 관리 3) 개인정보 유출대응 개인정보 유출 사고 대응 질의 : 개인정보 유출 사고가 발생하였을 때 어떻게 처리하여야 하는가? 관계법령 근거 개인정보보호법 제34조 개인정보 유출 시 조치 사항 대응 방안 1만명 이상 개인정보 유출 시 지체 없이 교육부 및 안전행정부장관 또는 전문기관(한국정보화 진흥원, 한국인터넷진흥원)에 신고 ☞ 소속․산하기관, 대학은 1만명 이하 유출 시 즉시 교육부에 보고 ☞ 각급학교, 학원․교습소 등 상급기관(교육청)에 보고 후 교육부에 보고

III 개인정보 유출 사례 및 대응 방안 개인정보 처리 단계별 조치 사항 주요 위반에 따른 행정처분 사례 주요 유출사례 및 대응 방안

개인정보 처리 단계별 조치사항과 개인정보처리자 주요 문제점 I. 개인정보 처리 단계별 조치 사항 개인정보 처리 단계별 조치사항과 개인정보처리자 주요 문제점 수집목적· 항목, 동의방법 위탁고지, 제공 시 동의방법 수집동의 위탁제공 개인정보처리 안전조치 의무 저장관리 정보관리 개인정보 정정 및 삭제 시기와 방법 정정파기 권리보장 위탁과 제3자 제공 구분 수탁자 관리·감독 제3자 제공 시 동의 절차 기술적·관리적·물리적 조치 접근권한 관리 자체 감사 정정 및 파기·삭제 열람 및 처리중지 별도의 동의절차 부재 동의 항목 기본 설정 미흡 위탁/제3자 제공 구분 미흡 수탁업체 관리·감독 부재 제3자 제공시 고지 미흡 검색 사이트 개인정보 노출 DB 암호화 미적용 복잡한 회원탈퇴 삭제 수단 미흡 개인정보 영구보관(미파기) 개인정보 수집 관련 동의 고지항목 명시 개별 고지 및 동의 주요 문제점

2013년 상반기 개인정보보호법 위반에 따른 행정처분 사례 II. 주요 위반에 따른 행정처분 사례 2013년 상반기 개인정보보호법 위반에 따른 행정처분 사례 정부 및 공공기관 대학교 위탁 계약 시 필수사항 미반영 위탁 시 수탁사 미공개 비밀번호 일방향 암호화 미적용 고유식별정보 및 비밀번호 저장∙전송 시 암호화 미적용 관리자 페이지 안전한 접속수단 미적용 홈페이지 개인정보 노출 비밀번호 작성 규칙 미 적용 계정 공유(권한 관리 미흡) 수집 동의 시 고지사항 미 고지 내부 관리계획 미 수립 위탁 시 수탁사 미공개 접근권한 부여∙변경∙말소기록 미관리 개인정보처리시스템 접속기록 미관리 고유식별정보 및 비밀번호 저장∙전송 시 암호화 미적용 수집 동의 시 고지사항 미 고지 내부 관리계획 미 수립 업무용 PC에 고유식별정보 저장시 암호화 미적용 처리방침 공개 시 필수항목 누락

III. 주요 유출사례 및 대응 방안 유출사례 : 모두가 볼수 있는 홈페이지 게시판에 개인정보가 포함된 첨부자료 업로드 엑셀의 셀 숨기기 기능을 이용하여 셀을 숨기고 게시

III. 주요 유출사례 및 대응 방안 보고서 작성시 그래프를 엑셀 OLE개체로 삽입한 경우 원문 엑셀 파일안의 개인정보 노출

III. 주요 유출사례 및 대응 방안 대응방안 : 보고서 내의 개인정보 첨부 여부 확인 및 개인정보의 전달이 필요한 경우 공개용 소프트웨어, 압축도구 또는 OA프로그램의 암호화 기능을 이용하여 암호화 중요문서는 PC내에 저장하지 말고, 외부 저장장치에 저장하자. PC에 중요문서 저장 시 PC의 취약점으로 인해서 중요문서가 외부로 유출될 수 있음 외부저장 장치를 사용할 경우 암호화를 활용하자. 외부저장 장치 구입 시 제공되는 암호화 솔루션 또는 공개 혹은 상용 암호화 솔루션을 통해 폴더 및 파일을 암호화 하여 외부로 유출 시에도 중요문서가 노출되지 않게 함 공개 압축프로그램으로 암호화 하자. 현재 나온 공개용 압축프로그램들은 자체 암호화 기능을 제공함 Office로 문서를 암호화하자. Office자체 암호화 기능을 이용하여 문서를 보호할 수 있음

III. 주요 유출사례 및 대응 방안 [공개소프트웨어] [압축도구]

III. 주요 유출사례 및 대응 방안 [워드 암호화 설정] [엑셀 암호화 설정]

III. 주요 유출사례 및 대응 방안 [파워포인트 암호화 설정] [한글 문서 암호화 설정]

Firefox의 No Script로 접근시 III. 주요 유출사례 및 대응 방안 유출사례 : 관리자 로그인 페이지의 외부 노출에 의한 개인정보 노출 Explorer로 접근시 Firefox의 No Script로 접근시

글쓰기 권한 설정 시 ID값 등을 주민등록번호로 설정하여 소스코드 보기에서 주민등록번호 노출 III. 주요 유출사례 및 대응 방안 유출사례 : 홈페이지 취약점 미조치에 의한 개인정보 노출 디렉토리 리스트 노출에 의한 개인정보 노출 글쓰기 권한 설정 시 ID값 등을 주민등록번호로 설정하여 소스코드 보기에서 주민등록번호 노출

III. 주요 유출사례 및 대응 방안 대응방안 : 홈페이지 관리를 위한 보안 적용 홈페이지 관리자 페이지의 외부 노출 차단 홈페이지 관리자 페이지는 내부 특정 IP(관리용 PC)에서만 접근하도록 설정 일방향 암호화하여 저장 정보시스템 접근 비밀번호 및 바이오 정보는 복호화되지 않토록 일방향 암호화 저장 개인정보 및 인증정보 송ㆍ수신 시 보안서버 구축 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송ㆍ수신 하는 기능 포함 홈페이지 웹서버 설정 시 웹서버 보안취약점 대응가이드 적용 홈페이지 웹서버의 설정 오류로 인한 디렉토리 리스트 노출 등의 문제점이 일어나지 않도록 설정 변경 및 관리

III. 주요 유출사례 및 대응 방안 유출사례 : 하교하는 아동을 대상으로 이름 / 학년 / 반 / 전화번호 / 부모 연락처 / 직업 등의 개인 정보를 법정대리인 동의 없이 수집

III. 주요 유출사례 및 대응 방안 대응방안 : 만 14세 미만 아동의 개인정보 수집 시 휴대폰, 팩스, 전자우편 인증 등의 방법을 통하여 법정대리인의 동의 획득(법정대리인 동의 획득 방법)

III. 주요 유출사례 및 대응 방안 유출사례 : 내부직원에 의해 개인정보가 유출되었으나, 개인정보 접근사실을 기록하지 않아 유출자 확인 불가능

III. 주요 유출사례 및 대응 방안 대응방안 : 개인정보 처리시스템에 대한 접속기록을 최소 6개월 이상 저장관리 함 접속기록 확인 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 처리 일시, 처리내역 등 접속기록을 최소 6개월 이상 저장하고 이를 월 1회 이상 정기적으로 확인·감독 접속기록 항목(예시) 접속기록 관리 방법 및 절차 기록 유지ㆍ관리가 필요한 주요 접속기록 식별 개인정보처리시스템에서 생성되는 접속기록 파일 내용 확인 접속 기록 파일의 생성량 및 생성주기 확인 요구되는 보안성에 따른 분석 주기 결정 접속기록 파일 생성 및 보관정책 점검 등 정보주체 식별정보 취급자 식별정보 접속 일시 접속지 수행업무 123456789 홍길동 2011.06.16, 15:00:00 172.168.168.1 조회

III. 주요 유출사례 및 대응 방안 위ㆍ변조 방지를 위한 저장 매체 사용 대응방안 : 위·변조가 불가능한 저장 매체를 활용하여 접속기록을 보관 개인정보처리시스템의 접속 기록의 저장 데이터 손실 및 망실에 대비하여 별도의 물리적인 저장 장치에 보관하고 정규적인 백업 수행 접속기록에 대한 위∙변조를 방지하기 위해 CD-ROM 등과 같은 덮어쓰기 방지 매체를 사용 접속기록을 수정 가능한 매체(HDD 또는 테이프)에 백업하는 경우에는 무결성 보장을 위해 위∙변조 여부를 확인할 수 있는 정보를 별도의 장비에 보관∙관리 위ㆍ변조 방지를 위한 저장 매체 사용

III. 주요 유출사례 및 대응 방안 인근 고물상 학부모 휴대전화 유출사례 : 학부모의 휴대전화 정보 및 상담기록 정보가 담긴 서류와 일반 서류를 합한 종이를 인근 고물상에 판매 학부모 휴대전화 개인정보가 담긴 서류의 파기를 요청 인근 고물상

III. 주요 유출사례 및 대응 방안 대응방안 : 개인정보를 파기한 경우 그 파기 사실을 대장으로 기록 관리하고 전자적 파일 형태는 로그파일을 입출력자료관리 대장으로 활용 종류 저장 형태별 파기 시 조치사항 전자적 파일형태 재생 불가능한 기술적 방법을 사용하여 파기 파기 여부 확인 ※ 컴퓨터 등의 불용처분 및 매각 시 저장된 내용 완전삭제 출력물 폐·휴지 수집업자에 출력물의 원형으로 매각 등 금지 ※ 원형으로 매각 할 경우 제지공장 용해작업을 현장 확인 직접 파쇄 조치 후 매각(분쇄기로 분쇄 혹은 소각 처리) ※ 매각 및 처리를 위탁할 경우에는 사전에 대책 강구

III. 주요 유출사례 및 대응 방안 유출사례 : 개인정보처리시스템에 대한 해킹사고 발생으로 개인정보 노출사고 발생

III. 주요 유출사례 및 대응 방안 대응방안 : 교육사이버안전센터 사이버공격 대응 방안 활용 종류 세부 조치 사항 정보시스템 보안강화 보안 관리시스템에 대한 관리자 및 업데이트 서비스 외 접근 차단 정보시스템 계정의 비밀번호 복잡성 유지 및 정기적 변경 정보시스템 관리용 단말기(PC 등) 인터넷 연결 차단 정보시스템의 불필요 서비스 중지 및 포트 차단 정기적인 모의 훈련(모의침투, 재난 복구 등) 실시 정보시스템 재개편 시 보안 취약점 점검 실시 중요 개인정보 DB 암호화 PC보안강화 주요 응용프로그램(한글, PDF, JAVA 등) 최신 보안 패치 강화 불필요한 응용 프로그램 설치 금지 최신 엔진의 백신 사용 및 정기적인 수동검사 실시 관리자 PC 공개용 보안소프트웨어 사용 지양 및 인터넷 차단

감사합니다