개인정보보호 방안 제주도교육청 (교육정보화과)

개인정보보호 방안 I. 개인정보의 개관 II. 개인정보 보호 방안 III. 개인정보 처리시 유의사항 IV. 인증서 관리

I. 개인정보의 개관 1. 개인정보보호의 배경 2. 개인정보보호의 필요성 - 정보화 사회의 진전에 의한 행정서비스의 전자화와 복지행정기능이 강화됨에 따라 개인정보 수집 · 활용과 유통의 급증으로 각종 컴퓨터 범죄와 프라이버시 침해 등 부작용 발생이 우려되고, 개인의 안전을 위협 2. 개인정보보호의 필요성 - 개인정보는 개인의 기본권(인격권)적 성격과 자산으로서의 성격을 지님 - 전자상거래의 발달로 기업의 개인정보 활용 · 유통이 증가하고 개인정보 분석을 통해 부가가치 창출

I. 개인정보의 개관 3. 개인정보의 개념 및 유형 o 개인정보의 의의 - 생존하는 개인에 관한 정보(주체적 요건) · 생존하지 않는 “사망자”, 자연이이 아닌 “법인 또는 단체” 제외 - 개인을 식별할 수 있는 정보(징표적 요건) · 당해 정보에 포함되어 있는 요소(주민등록번호, 성명 등)에 의해 개인을 식별할 수 있는 정보(직접적) · 다른 정보와 용이하게 결합하여 개인을 식별할 수 있는 요소(간접적)

I. 개인정보의 개관 ▶ 일반적 의미에서의 개인정보 ▶ ‘정보통신망법’ 에서의 개인정보 이름, 주민등록번호, 주소 등 개인에 대한 일반적 정보뿐만 아니라, 가족정보, 학력, 의료 등 인적 정보 일체를 의미 ▶ ‘정보통신망법’ 에서의 개인정보 제2조제1항제6호는 ‘개인정보’를 생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의해 당해 개인을 알아볼 수 있는 부호, 문자, 음성, 등의 정보

I. 개인정보의 개관 ▶ ‘개인정보보호법’ 에서의 개인정보 - 공공기관의개인정보보호에관한법률 제2조제2호는 ‘개인정보’를 생존하는 개인에 관한 정보로서 당해 정보에 포함되어 있는 성명, 주민등록번호 등의 사항에 의하여 당해 개인을 식별할 수 있는 정보 - 개인정보는 개인의 정신, 신체 , 재산, 사회적 지위, 신분 등에 관한 사실, 판단, 평가를 나타내는 공공기관의 컴퓨터에 의하여 처리되는 개인식별이 가능한 일제의 개인정보 o 개인정보의 유형 - 개인정보는 고정, 고착되어 있는 것이 아니라 사회변화와 함께 생성 · 변화 · 확대되는 개념

I. 개인정보의 개관 ◆ 정보의 축적 · 생산과정에 따른 분류 구 분 정태적 정보 동태적 정보 신체 · 의료 구 분 정태적 정보 동태적 정보 신체 · 의료 혈액형, DNA, 지문 병력기록 인적 사항 이름, 주민등록번호 주거기록 교육 · 훈련 학력, 성적, 자격증 상벌기록 통신 · 위치 위치정보, ID, 전화번호 통화기록, 접속로그

성명, 주민등록번호, 운전면허번호, 주소, 본적지 등 I. 개인정보의 개관 ◆ 내용에 따른 분류 구 분 개인정보의 예시 일반정보 성명, 주민등록번호, 운전면허번호, 주소, 본적지 등 의료정보 병력, 신체장애, 혈액형, 신체검사기록 등 교육 · 훈련 학력사항, 상벌사항, 기술자격증, 전문면허 등 소득정보 연봉, 이자소득, 사업소득, 기타 소득원천

I. 개인정보의 개관 ◆ 민감성에 따른 분류 구 분 개인정보의 유형 1급 구 분 개인정보의 유형 1급 의료, 인종, 혈통, 범죄, 국가안보와 관련된 비밀정보 등 2급 교육, 금융신용, 주민등록번호, 지문, 출입국정보 등 3급 개인제출 정보, 프로파일된 개인정보, 법령에 의한 수집정보 등 4급 기관의 견해, 정보기관의 응답, 공개 가능한 통신문 등 5급 연구목적, 통계목적, 학술자료 기타 집합적으로 활용되는 정보 등

I. 개인정보의 개관 4. 개인정보의 수집 5. 개인정보의 가공 및 결합 - 개인에 관한 정보를 정보주체의 승낙이나 동의를 구하고 수집 · 저장 - 개인정보가 수집되는 목적은 정보의 수집과 동시에 공개 - 수집 목적에 필요한 범위 내에서만 최소한으로 수집 5. 개인정보의 가공 및 결합 - 정보주체의 동의 및 승낙 하에 수집 · 저장한 개인정보라도, 해당 정보의 가공 및 결합단계에서 편집오류 또는 고의적 변조 · 조작의 위험 - 다만, 정보주체와 체결한 계약의 목적을 달성하기 위한 경우나 신뢰관계에 기초한 목적범위 내 등 필요한 경우에는 어느 정도의 임의적 가공이 허용 본질적인 내용을 침해하여서는 안됨

I. 개인정보의 개관 6. 개인정보의 유통 - 수집 · 저장 · 가공된 정보를 제3자에게 이전하거나 이를 열람할 수 있도록 하는 방법으로 제공하는 것 - 최근에는 대가를 지불하고 개인정보를 매수하여 이를 제3자에게 판매 또는 대여하는 정보중개업을 전문으로 하는 기업까지 등장 - 인터넷의 발달로 인해 개인정보의 국가간 이동에 의한 프라이버시 침해 문제가 크게 대두되고 있음

I. 개인정보의 개관 7. 개인정보의 오류 - 수집과정에서 정보주체 모르게 잘못된 내용으로 작성될 가능성이 상존 - 고의적 사고로 인하여 데이터베이스에 오류가 발생 가능 - 정보주체에게는 심각한 프라이버시의 침해를 가져옴 - 정보관리자는 개인정보를 정확하게 수집 · 보존 · 관리 - 정보주체에게는 개인정보가 어떻게 관리되고 있다는 점이 알려져야 함 - 자신의 정보에 대한 열람 · 정정권을 보장함으로써 정보의 오류를 시정

I. 개인정보의 개관 8. 개인정보에 부당한 접근 9. 개인정보 취급자의 의무(공공기관의개인정보보호에관한법률제11조) - 개인정보를 처리할 정당한 권한을 가진 자 이외의 자가 저장 · 수집 · 관리되는 타인의 개인정보에 부당하게 접근하여 이를 남용하는 경우 - 해킹 등과 같이 정보처리시스템에 무단으로 침입하여 타인의 개인정보에 접근하거나 이를 조작 · 파괴하는 경우 - 정보관리 조직내의 자가 정당한 권한이 없음에도 불구하고 이를 함부로 조작 · 유출하는 경우 9. 개인정보 취급자의 의무(공공기관의개인정보보호에관한법률제11조) - 업무에 종사를 통해 직무상 알게 된 개인정보의 누설 금지 - 권한 없는 처리 및 타인의 이용에 제공 등 부당한 목적으로 사용 금지

II. 개인정보 보호 방안 1. 개인정보보호 8원칙 - 수집 제한의 원칙 · 정보주체에 알리거나 동의를 얻은 후 합법적이고 공정한 절차에 따라 개인정보를 수집 - 정확성의 원칙 · 개인정보는 이용목적에 필요한 범위내에서 정확하고 최신의 상태를 유지 - 목적 명확화의 원칙 · 개인정보 수집시 수집목적이 명확히 제시되어야 함 - 사용 제한의 원칙 · 수집시 명확히 제시된 수집목적외의 다른 목적으로 개인정보를 이용· 제공 해서는 안됨

II. 개인정보 보호 방안 1. 개인정보보호 8원칙 - 보안 확보의 원칙 · 안전조치를 통해 개인정보의 유출, 불법적 접근, 수정, 파괴 등을 방지 - 공개의 원칙 · 개인정보의 처리와 관련된 정보처리장치의 설치, 활용, 처리방침 등을 일반인에게 공개 - 개인참가의 원칙 · 개인은 자신의 개인정보를 열람하고 폐기, 정정 및 보완을 청구할 수 있는 권리를 가짐 - 책임의 원칙 · 정보 관리자는 위의 원칙들이 지켜지도록 제반조치를 위할 책임을 진다.

II. 개인정보 보호 방안 2. 개인정보보호 관련 주요 법률 - 헌법 · 제17조 모든 국민은 사생활의 비밀과 자유를 침해받지 아니한다. · 제10조 모든 국민은 인간으로서의 존엄과 가치를 가지며, 행복을 추구할 권리를 가진다. - 공공부문 · 공공기관의개인정보보호에관한법률(공공부문 일반) · 교육기본법, 초 · 중등교육법(교육 및 교육행정부문) - 민간부문 · 정보통신망 이용촉진 및 정보보호 등에 관한 법률

II. 개인정보 보호 방안 - 공공기관의 컴퓨터에 의하여 처리되는 개인정보의 보호를 위하여 취급에 ◆ 공공기관의개인정보보호에관한법률 - 공공기관의 컴퓨터에 의하여 처리되는 개인정보의 보호를 위하여 취급에 관하여 필요항 사항을 정함으로써 공공업무의 적정한 수행을 도모함과 아울러 국민의 권리와 이익을 보호함을 목적 - 개인정보의 수집 및 처리 · 개인정보의 수집규제, 개인정보화일의 보유범위, 개인정보화일대장 작성 · 개인정보의 안전성, 정확성, 최신성 확보, 개인정보취급자의 의무 - 개인정보의 열람, 정정 등 · 처리정보의 열람, 열람제한, 정정 등

II. 개인정보 보호 방안 - 개인정보의 수집 및 제한(제22조, 제23조) - 개인정보의 이용 및 제공(제24조~제29조) ◆ 정보통신 이용촉진 및 정보보호 등에 관한 법률 - 개인정보의 수집 및 제한(제22조, 제23조) - 개인정보의 이용 및 제공(제24조~제29조) · 개인정보의 이용 · 제공규제 · 개인정보수집 등의 위탁, 개인정보관리책임자의 지정, 개인정보의 보호조치, 파기 - 이용자의 권리(제30조~제32조) - 개인정보분쟁조정위원회(제33조) - 정보통신서비스제공자외의 자에 대한 준용(제58조)

II. 개인정보 보호 방안 3. 개인정보 피해 사례 및 예방법 ◆. 휴대전화로 사이버 결제 가능 이후 ‘ 개인정보관리 소홀’ 피해 증가 - 상당수 인터넷 게임이나 음란사이트 등이 아이디와 휴대전화번호를 입력 하면 인증번호가 휴대전화 메시지로 전달, 손쉽게 이용할 수 있어 남의 개인정보를 악용하는 소액결재 피해 사례 증가 ◆. 국가기관의 개인정보 유출 - ooo시의 한 동사무소 직원이 10만 여장의 주민등록초본을 발급, 수수료도 제대로 받지 않고 아내가 근무하는 신용정보회사에 넘겨준 사건이 있었고, ooo공단 직원들이 개인정보 3964건을 업무 외 용도로 열람하고 그 중 일부를 보험회사와 병원 등에 유출한 협의가 있었다.

II. 개인정보 보호 방안 - 요보호 아동 및 가출노인, 행여자, 행여사망자 뿐만 아니라 모든 시·도에서 ◆. 지자체 홈페이지 주민등록번호 줄줄이 노출 - 요보호 아동 및 가출노인, 행여자, 행여사망자 뿐만 아니라 모든 시·도에서 발생한 사안까지 총망라하여 가족을 조속히 찾을 수 있도록 ‘가족찾아주기’ 홈페이지를 운영하고 있으나 가출인들의 성명과 주민등록번호, 주소 등이 고스란히 노출되어 있었다. - 공고란에 주민등록번호 뒷자리만 가린채 수백명의 이름과 주소가 일목요연하게 나와있어 정보인권 침해 가능성

II. 개인정보 보호 방안 - 자료의 공유 및 다운로드 등 P2P S/W의 활용과정에서 PC의 개인정보가 담긴 폴더를 ‘공유’로 설정함으로써 타인이 당해 정보를 검색, 수집한 후 전전 유통되는 경우 주의) o 프로그램 설치 전 작동원리 등 프로그램에 대한 기본적인 사항 확인 o 신뢰할 수 없는 사람으로부터 파일 수신 금지, 합법적인 파일만을 공유 o 인터넷뱅킹기록, 신용카드 거래내역등 민감한 개인정보의 공유여부에 대한 확인 필수

II. 개인정보 보호 방안 - 법정대리인 등의 없는 아동의 개인정보 수집 건으로 1,300만명의 회원을 ◆. 온라인게임 및 사이버캐쉬충전 피해 - 법정대리인 등의 없는 아동의 개인정보 수집 건으로 1,300만명의 회원을 보유하고 있는 온라인게임 사업자인 A사는 부모의 동의 없이 아동을 회원 으로 가입시킨 후, 전화요금 결제방식을 통해 월 수만원에서 수십만원씩의 이용요금을 부당하게 징수하였다. 주의) o 의료보험증, 주민등록증 등 부모의 주민등록번호에 대한 철저한 관리 o 인터넷을 통한 비대면 접촉(채팅)은 위험 o 문제 발생시 해당 기관 또는 피해구제기구로 신속히 연락

II. 개인정보 보호 방안 - 자주가는 PC방에서 자동로그인 기능을 사용하였기 때문에 웹사이트 이름을 치자마자 바로 로그인이 되었고 즉시 게임을 시작했다. 어느날 집에서 게임 을 즐기고자 로그인을 한 길동은 자신이 저장해 온 모든 게임아이템이 없어 진 사실을 알았다. 알고보니 누군가가 자신의 아이디로 로그인하여 아이템을 훔쳐갔던 것이다. 주의) o 공공장소에서 PC를 이용할 경우 ID, 패스워드, 성명, 주민등록번호 등 개인정보 입력 자제(공공장소에서 웹사이트 회원가입 자제) o ID, 패스워드 등 개인정보 입력할 때 이용대기자 등이 내용을 확인 하지 못하도록 각별한 주의 필요

II. 개인정보 보호 방안 ‘피싱사기’ 극성 이메일 · 게시판 링크 사이트 이용말아야 ◆. 신용정보 줄줄 새는데 금융기관 숨기기 바빠 개인 금융정보 훔치는 ‘피싱사기’ 극성 이메일 · 게시판 링크 사이트 이용말아야 - 인터넷 뱅킹의 개인 금융정보가 유출 위험에 무방비로 노출돼 있다. 2000년 대 이후 국내에는 이동통신사 대리점, 카드모집인을 통한 각종 개인정보 유출 사고가 잇따랐다. 하지만 인터넷 뱅킹 등 전자금융정보는 ‘안전지대’로 알려져 있다. 하지만 이젠 이분야도 더 이상 안전하다고 할 수 없게 됐다. 전자금융에 대한 가장 큰 위협은 이른바 ‘피싱(Phishing = Private data fishing의 합성어, 개인정보 낚시)’ 이다. 금융기관 사이트를 가장해 개인 신용정보를 훔치는 ‘ 피싱 사기’ 사이트가 발견됐다.

II. 개인정보 보호 방안 주의) o 무엇보다 출처가 불분명한 이메일이나 첨부파일은 열지 말고 삭제하는 것이 안전 o 안전하지 않은 PC방 등지에서는 인터넷 금융거래를 이용하지 않기 o 이메일 또는 온라인 게시판에 링크된 금융회사 사이트는 이용하지 말고, 의심스러운 사이트나 게시물에 링크된 금융회사 홈페이지에도 개인정보를 입력하지 않기

III. 개인정보 처리시 유의사항 1. 정보보호 책임관과 협의 후 처리 2. 전자우편 등 개인정보 송수신시 - 개인정보 업무를 처리하고자할 경우 반드시 기관내 개인정보보호책임관과 협의 후 처리 - 처리 전에 관련 법령 반드시 확인 2. 전자우편 등 개인정보 송수신시 - 암호화 등 안전조치 없이 전자우편 등을 통한 개인정보 전송 가능한 지양 - 부득이 전송하여야 할 경우 식별요소 삭제 또는 최소화

III. 개인정보 처리시 유의사항 3. PC 등 정보처리기기 교체시 4. 민간업체의 프로그램을 통한 학생자료 처리시 개인정보 삭제 조치 ※ 특히, NEIS를 사용하는 개인인증서(NPKI폴더)를 백업후 폐기할 PC의 인증서 삭제 조치 4. 민간업체의 프로그램을 통한 학생자료 처리시 - 외부 서버와 연계된 웹브라우져에서 처리하는 프로그램 등 ON-Line 처리방식의 프로그램 사용 금지 (외부기관의 서버에 학생자료를 탑재하는 행위 등)

III. 개인정보 처리시 유의사항 5. 홈페이지 운영 관련 - 자유게시판 등 사용자가 직접 올리는 자료는 개인정보 항목은 탑재하지 않도록 안내, 점검 - 탑재된 정보는 꼭 필요한 사람에게만 공개(비밀번호 부여) - 관리자의 주기적인 점검과 모니터링 실시 - 탑재된 정보가 외부에 공개될 수 있다는 사실, 이용목적과 범위 등을 시스템상에서 알리고 사전 동의를 받는 시스템을 갖추도록 개선 ※ 기간제교사신청, 인력풀메뉴 등 홈페이지의 부서별 메뉴 운영시 주민등록번호, 연락처 등 개인정보를 타인에게 보이지 않도록 하고 수집 · 사용하지 않도록 유의

III. 개인정보 처리시 유의사항 6. 앨범제작시 유의사항 7. 서비스이용약관과 개인정보보호 방침 확인 - 최근 앨범 제작과 관련하여 학생정보가 유출되어 사회적 파장 일으킴 - 제작업체와의 용역 계약시 계약서에 학생자료의 외부 유출 금지, 제작완료 후 자료 반납 또는 폐기사실 명기 7. 서비스이용약관과 개인정보보호 방침 확인 - 개인정보관리 책임자의 지정과 연락처의 명시, 개인정보 보호를 위한 기술적 조치, 제3자에게 제공하는 경우의 사항등에 대해서 이용자에게 알려주어야 할 의무 - 사업자가 기술한 약관이나 정책 등의 사항을 잘 준수하고 있는지의 여부를 확인, 예컨대 개인정보관리책임자의 연락처, 이용자의 권리와 행사방법 등을 확인

III. 개인정보 처리시 유의사항 8. 이용자 스스로 자신의 정보 보호해야 - 무엇보다도 이용자 개인은 스스로 자신이 정보의 주체가 된다는 것을 자각하여 자신의 중요한 정보가 타인에게 유출되어 사생활을 침해당 하거나 중대한 경제적 손실을 입지 않도록 주의

III. 개인정보 처리시 유의사항 9. 전자금융거래 사용자 10계명 - 쉽게 추측할 수 있는 비밀번호를 사용하지 말 것 - 비밀번호는 정기적으로 바꾸고, 노출되었다고 의심될때 바로 바꿀 것 - 공인인증서는 하드디스크보다 이동식 저장매체에 저장 - 출처가 불분명한 이메일, 게시판은 읽지 말 것 - 개방된 컴퓨터는 사용하지 말 것 - PC에 백신프로그램과 윈도우 보안패치를 설치할 것 - 전자금융거래에 필요한 정보를 수첩에 기록하지 말 것 - 거래 관련 정보를 타인에게 위탁하거나 알려주지 말 것 - 이용내역을 문자서비스등으로 알려주는 서비스 이용할 것 - 전자금융거래의 1회 이체한도를 적절히 설정할 것

IV. 인증서 관리 1. 인사이동에 등에 따른 전출입자 인증서 관리 요령 - 전출자 · 한국전산원 공인인증센터 홈페이지의 “인증서발급/관리” 메뉴에서 “인증서 저장매체 변경” 을 선택하여 플로피디스크 또는 USB에 저장 · 인증서가 복사되었는지를 확인한 후 “C/Program files/NPKI/NCASign/ USER” 폴더에 있는 본인 인증서를 shift + delete key를 이용하여 삭제 · 플로피디스크 등에 있는 인증서가 지워지지 않도록 안전하게 보관

IV. 인증서 관리 1. 인사이동에 등에 따른 전출입자 인증서 관리 요령 - 전입자 · 한국전산원 공인인증센터 홈페이지의 “인증서발급/관리” 메뉴에서 “인증서 저장매체 변경” 을 선택하여 플로피디스크 또는 USB에 저장된 인증서를 안전하게 하드디스크로 이동 · 인증서를 플로피디스크 등에 저장하여 사용할 때는 인증서 저장 위치를 “NPKI/NCASign/USER” 디렉토리 아래에 두고 사용

IV. 인증서 관리 2. ID 입력 오류 - 에러 메시지 원인 · 다른 시·도교육청 URL에 접속하는 경우 (대 · 소문자 미구분, 특수문자 사용 오류) - 해결방법 · 시·도교육청 NEIS홈페이지 주소를 확인 · ID 재확인

IV. 인증서 관리 3. 인증서 정보와 NEIS 사용자 Table 정보가 일치하지 않는 경우 - 에러 메시지 원인 · 타 인증서로 로그인 하려고 한 경우 · 인증서 재발급 등으로 인해 인증서 식별 명칭이 변경된 경우

IV. 인증서 관리 4. N/W 장애 - 에러 메시지 원인 · N/W 장애로 NEIS서버와의 통신이 원활 하지 못한 경우 · NEIS서버의 부하로 PC와 서버간 통신이 원활하지 못한 경우 - 해결방법 · 익스풀로러 창을 닫고 새창을 열어 다시 로그인을 한다.

IV. 인증서 관리 5. 사용자 ID를 사용할 수 없는 경우 - 에러 메시지 - 원인 잘못된 경우

IV. 인증서 관리 6. 인증서를 갱신하는 과정에서 “알 수 없는 에러가 발생했습니다” 라는 메시지가 뜨는 현상    - 원 인 : 인증서가 읽기 전용으로 체크되있는 경우, 시스템 rollback 처리가 안되는 경우    - 해결방법 : 인증서의 Signcert.der의 속성에 들어가서 “읽기전용”을 해지하여 인증서 갱신한다.

IV. 인증서 관리 7. “한국전산원 정보인증센터의 암호키 분배용 인증서가 유효하지 않습니다. 인증서의 유효기간이 만료되었거나 시작전입니다” 라는 메시지가 뜨고 인증서 발급이 안되는 현상    - 원인 :      · 인증서 발급시 신원확인정보를 인증서에 탑재하기 위해 암호키분배용 인증서 를 이용합니다. 암호키 분배용인증서(KMCERT.DER)의 유효기간이 만료된 경우 한국전산원으로부터 새로 인증서를 받아와 설치하지만 몇몇 PC의 경우 신규설치되지 않는 문제 발생    - 해결방법 :       - 윈도우 탐색기를 이용하여 C/Program Files/NPKI/NCASIGN/KMCERT.DER 파일을 수동으로 삭제하신후, 한국전산원 정보인증센터 홈페이지에 접속하시 면 자동으로 신규 암호키 분배용인증서가 설치됩니다.