공공기관 개인정보파일 관리 2014년 10월 안전행정부 1

목 차 Ⅰ Ⅱ Ⅲ Ⅳ Ⅴ 개인정보파일 등록·공개 개요 용어 정의 개인정보파일의 처리단계별 조치사항 목 차 Ⅰ 개인정보파일 등록·공개 개요 Ⅱ 용어 정의 Ⅲ 개인정보파일의 처리단계별 조치사항 Ⅳ 개인정보 열람, 정정·삭제, 처리정지 Ⅴ 협조사항

I. 개인정보파일 등록·공개 개요 - 3 -

1.1 개인정보파일 관리 필요성 『업무담당자의 인식제고로 공공기관 개인정보파일의 체계적 관리』 국세청 등 주요 정부기관 개인정보 관리부실 지적 (뉴시스, ’11.9.19) 정부기관 개인정보 관리부실 총체적으로 심각한 수준 (전자신문, ’11.9.22) O O 은행, 개인정보 서류를 일반쓰레기로 오인 부실 처리 (SBS TV, ’14.9.1) 공공기관 파일 실태조사 결과 ▶ 개인정보 과다보유 등 최소 수집 원칙 미흡 ▶ 개인정보 기간경과 및 보유기간 과다 산정 등 개인정보관리 미흡, 파기절차 미준수 『업무담당자의 인식제고로 공공기관 개인정보파일의 체계적 관리』 “개인정보 처리의 투명성, 적정성 확보” - 1 -

1.2추진경과 개인정보 보호법 시행 이전 개인정보 보호법 제정에 따라 의무적으로 등록 · 공개하는 제도로 대체 - 2 -

1.3 개인정보파일 현황 공공기관의 개인정보파일 보유 현황 - ‘14. 8월 기준, 공공기관 개인정보 파일 35만개, 개인정보 수는 1,304억건 연도 증감 총계 중앙행정 지방자치 교육기관 2009   375,441 4,883 78,928 291,630 2010 -17.6 309,355 5,682 67,800 235,873 2011 -15.4 261,725 9,796 89,033 162,896 2012 23.6 323,425 14,356 151,400 157,669 2013. 8 3.9 336,195 16,720 168,103 151,372 2014. 8 3.4 347,627 17,330 178,274 152,023 - 3 -

1.4 개인정보파일 등록 ·공개 적용대상(표준지침 제53조) 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관 포함) 및 그 소속기관, 지방자치단체 「국가인권위원회법」에 따른 국가인권위원회 「공공기관의 운영에 관한 법률」에 따른 공공기관 「지방공기업법」에 따른 지방공사 및 지방공단 특별법에 의하여 설립된 특수법인 「초·중등교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 각급 학교 ※ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속기관 포함)는 해당 기관 규칙으로 정함 - 4 -

Ⅱ. 용어 정의 - 8 -

2. 용어정의 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물 개인정보파일이란 ? 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물 개인별 업무분장 또는 정보시스템에 의해 처리하는 단위과제 수준 < 예시 > 지방세 납부 대상자 DB 지방세 고액 납부자 명단 지방세 체납자 명단 과태료 부과 대상자 명단 과태료 체납자 명단 : 등록범위 : 전자파일 형태 외에 민원서류 등 수기문서 포함 개인정보파일의 운용 기관의 업무를 추진하기 위해 수집한 개인정보를 집합물의 형태인 개인정보파일로 생성, 보유, 이용·제공, 삭제 등 - 5 -

Ⅲ. 처리단계별 조치사항 - 10 -

3.1 개인정보파일 등록·변경 내용 등록예외 공공기관이 개인정보파일을 운용하는 경우 다음 사항을 안전행정부에 등록 - 운용을 시작한 날부터 60일 이내 (법 제32조, 영 제33조, 제34조) <개인정보파일 등록사항> 1) 개인정보파일 명칭 2) 개인정보파일 운영근거 및 목적 3) 개인정보 항목 4) 개인정보 처리방법 5) 개인정보 보유기간 6) 개인정보를 통상적, 반복적으로 제공시 제공받는 자 7) 개인정보파일 운용 공공기관의 명칭 8) 보유하고 있는 정보주체의 수 9) 개인정보 처리업무 담당부서 등 안전행정부는 개인정보파일 등록현황을 공개 ※ 개인정보 종합지원 포털 : www.privacy.go.kr, 담당자용 페이지 : intra.privacy.go.kr 등록예외 다음 사유에 해당하는 경우에는 개인정보파일 등록 예외 <개인정보파일 등록제외 사유> 1) 국가안전,외교비밀, 기타 국가의 중대한 이익 관련 파일 2) 범죄수사 등 관련 파일 3) 조세 범칙행위, 관세 범칙행위 조사 파일 4) 공공기관 내부 업무처리만을 위한 파일 5) CCTV 개인영상정보 파일 등 6) 1회성 행사 수행 등의 목적을 위해 운용하는 파일 - 6 - 11

3.1 개인정보파일 등록·변경 개인정보파일 등록 주체 (표준지침 제55조) 개인정보파일 등록 주체 (표준지침 제55조) 개인정보파일을 운용하는 공공기관의 개인정보 보호책임자가 등록 중앙행정기관, 광역자치단체 특별자치시도, 기초자치단체 직접 안전행정부에 등록 중앙행정기관 및 기초자치단체의 소속기관, 기타 공공기관 상위관리기관을 통해 교육청 및 각급 학교 등 교육부를 통해 -7 -

3.1 개인정보파일 등록·변경 개인정보파일 등록(변경) 절차 (표준지침 제56조, 제57조) 기관 구분 해당 기관 교육부 개인정보파일 등록(변경) 절차 (표준지침 제56조, 제57조) 기관 구분　 해당 기관 교육부 상위기관 안전행정부 개인정보취급자 개인정보보호책임자 중앙행정기관 광역자치단체 특별자치시도 기초자치단체 교육청 각급학교 중앙행정기관의 소속기관 지방자치단체의 소속기관 기타 공공기관 개인정보파일 등록신청 시작 공개 적정 여부? 등록 등록현황확인 Yes(승인) No(반려) 개인정보파일 등록신청 시작 공개 적정 여부? 등록 신청 등록현황확인 적정여부? 등록 Yes(승인) No(반려) 초·중학교 : 교육지원청 고등학교 : 시도교육청 개인정보파일 등록신청 시작 공개 적정 여부? 등록 신청 등록현황확인 적정여부? 등록 Yes(승인) No(반려) -8 - 13

3.1 개인정보파일 등록·변경 개인정보파일 등록 화면 설 명 ① ② ③ ④ ⑤ ① 개인정보파일 표준목록 - 전국적으로 동일한 공통업무를 집행함에 따라 다수의 기관에서 공통적으로 발생하는 파일은 업무를 총괄하는 중앙행정기관에서 목록 관리 예) 시군구 개인정보파일 표준목록 · 지역산업 : 석유판매업관리, 도시가스업관리 등 · 농촌 : 농지원부 관리, 농지취득처분 관리 등 ② ② 개인정보파일 운영 근거 개인정보파일 수집·보유 근거 (근거법령의 관련 조항 기술 또는 정보주체 동의 등) ③ 필수항목과 선택항목 고유식별정보, 민감정보에 대한 보유근거 기술 예) 주민번호 : ○○법 시행령 ○ 조 ④ ⑤ 개인정보의 보유기간 (표준지침 제64조) 전체 개인정보가 아닌 개별 개인정보의 수집부터 삭제까지의 주기로 보유목적에 부합된 최소기간 관련 법 또는 기관장의 결재 근거 기술 ※ 별표1. 「개인정보파일 보유기간 책정 기준표」 ⑤ ※ 「공공기록물 관리에 관한 법률 시행령」 기록관리기준표 ※ 정책고객, 홈페이지회원의 경우 2년 주기로 재동의 확인 - 9 -

3.1 개인정보파일 등록·변경 설 명 ⑥ ⑦ ⑥ 통상적 또는 반복적으로 제공하는 경우 통상적 또는 반복적은 1년에 1회 이상 제공 ⑦ 개인정보 열람의 제한 및 거절 법률에 따라 열람이 금지되거나 제한되는 경우 타인의 생명 · 신체, 재산 침해우려가 있는 경우 공공기관의 조세부과 · 징수, 환급, 교육기관의 성적평가, 입학자 선발, 채용시험, 보상금 산정 감사조사 업무 등 ⑦ - 10 -

3.1 개인정보파일 등록·변경 [참고] 개인정보파일 보유기간 책정 기준표 영구 준영구 30년 10년 5년 3년 1년 보유기간 대상 개인정보파일 영구 1. 국민의 지위, 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일 2. 국민의 건강증진과 관련된 업무를 수행하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일 준영구 1. 국민의 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 개인이 사망, 폐지 그 밖의 사유로 소멸되기 때문에 영구 보존할 필요가 없는 개인정보파일 2. 국민의 신분증명 및 의무부과, 특정대상 관리 등을 위하여 행정기관이 구축하여 운영하는 행정정보시스템의 데이터 셋으로 구성된 개인정보파일 30년 1. 관계 법령에 따라 10년 이상 30년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일 10년 1. 관계 법령에 따라 5년 이상 10년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 5년 1. 관계 법령에 따라 3년 이상 5년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 3년 1. 행정업무의 참고 또는 사실 증명을 위하여 1년 이상 3년 미만의 기간 동안 보존할 필요가 있는 개인정보파일 2. 관계 법령에 따라 1년 이상 3년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 3. 각종 증명서 발급과 관련된 개인정보파일 (단 다른 법령에서 증명서 발급 관련 보유기간이 별도로 규정된 경우 해당 법령에 따름) 1년 1. 상급기관(부서)의 요구에 따라 단순 보고를 위해 생성한 개인정보파일 - 11 -

3.2 개인정보 파기 개인정보 파기 (법 제21조, 표준지침 제11조) 파기방법 (영 제16조) 처벌규정 보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을 때는 지체 없이 (5일 이내) 개인정보 파기 (개별 자료의 삭제 포함) 다만, 다른 법령에 따라 보존해야 하는 경우에는 미파기 주민등록 자료(영구) : 주민등록법 소비자 분쟁처리 관련 기록(3년), 요금정산(5년), 계약 및 청약철회(5년) : 전자상거래법 의료기록부(10년), 진단서 등의 부본(3년) : 의료법 시행규칙 파기방법 (영 제16조) 개인정보가 복구 또는 재생되지 아니하도록 파기 - 전자적 파일 형태 : 복원이 불가능한 방법으로 영구 삭제 ※ 복원이 불가능한 방법 : 사회 통념상 현재 기술 수준에서 적절한 비용이 소요되는 방법 (표준지침 제11조제2항) - 기록물, 인쇄물, 서면 등 : 파쇄 또는 소각 처벌규정 위반 시 3천만원 이하의 과태료 - 12 -

3.2 개인정보 파기 ⇨ ⇦ 파기절차 (표준지침 제11조, 제59조) 개인정보파일의 보유기간, 처리목적 등을 반영한 개인정보 파기계획 수립·시행 시행령 제30조제1항에 따른 내부 관리계획에 개인정보 파기계획을 포함하여 시행 가능 정당한 사유가 없는 한 보유기간 종료일 또는 개인정보의 처리가 불필요한 것으로 인정 되는 날로부터 5일 이내에 개인정보 파기하여야 함 파기절차 개인정보취급자   개인정보 보호책임자 개인정보파일 파기요청서 제출 (별지 제4호) ⇨ 파기 검토 개인정보파일 파기 ⇦ 승 인 개인정보파일 등록 삭제 요청 (intra.privacy.go.kr) 파기결과 확인 후 개인정보파일 파기 관리대장 작성(별지 제5호), 공개된 개인정보파일 등록 삭제 - 13 -

3.2 개인정보 파기 [참고] 표준지침의 개인정보파일 파기 관련 서식 <별지 제4호 : 개인정보파일 파기 요청서 > <별지 제4호 : 개인정보파일 파기 요청서 > < 별지 제5호 : 개인정보파일 파기 관리대장 > 작성일   작성자 파기 대상 개인정보파일 생성일자 개인정보취급자 주요 대상업무 현재 보관건수 파기 사유 파기 일정 특기사항 파기 승인일 승인자 (개인정보 보호책임자) 파기 장소 파기 방법 파기 수행자 입회자 폐기 확인 방법 백업 조치 유무 매체 폐기 여부 번호 개인 정보 파일명 자료의 종류 생성일 폐기일 폐기 사유 처리 담당자 부서장   - 14 -

3.3 개선 권고 등록·파기에 대한 개선권고 개인정보 보호책임자의 개선권고 사항(표준지침 제61조) 개인정보파일 등록·변경 신청을 받으면서 개인정보파일이 과다하게 운용되고 있다고 판단되는 경우 등록되지 않은 개인정보파일이 있는 것으로 확인되는 경우 안전행정부장관의 개선권고 사항(법32조제3항, 표준지침 제61조) 개인정보파일이 과다하게 운용되고 있다고 판단되는 경우 등록되지 않은 개인정보파일이 있는 경우 개인정보파일 등록사실이 삭제되었음에도 개인정보파일을 계속 보유하는 경우 개인정보 영향평가를 받은 개인정보파일이 있음에도 그 결과를 등록하지 않은 경우 법 제32조에 따른 개인정보파일 등록 및 공개에 위반되는 사항이 있다고 판단되는 경우 안전행정부장관은 개선권고의 내용 및 결과에 대해 개인정보 보호위원회의 심의·의결을 거쳐 공표할 수 있음(표준지침 제61조제4항) 공공기관의 개인정보파일 등록·파기 현황에 대한 점검을 실시할 수 있음 (표준지침 제61조제5항) - 15 -

Ⅳ. 개인정보 열람, 정정·삭제 - 21 -

4. 개인정보 열람, 정정·삭제, 처리정지 내용 조치사항 처벌규정 정보주체는 자신의 개인정보에 대한 열람, 정정·삭제, 처리정지를 개인정보처리자에 대해 요구할 수 있음 (법 제35조~제37조) 조치사항 개인정보 열람 요구 대응조치 (영 제41조) - 내용적으로 10일 이내에 열람할 수 있도록 조치, - 열람할 수 없는 정당한 사유가 있을 경우 정보주체에게 그 사유를 알리고 열람 연기 (사유가 소멸하면 지체없이 열람) 개인정보 정정·삭제, 처리정지 요구 대응조치 (영 제43조) - 내용적으로 10일 이내에 조치 ※ 처리정지권 (법 제37조) : 정보주체는 공공기관에 등록된 개인정보 파일 중 자신의 개인정보 처리정지 요구 가능 <열람 제한사유> 1) 법률의 규정 2) 타인의 생명, 신체, 재산 침해우려가 있는 경우 3) 공공기관의 조세부과 징수·환급, 교육기관 성적평가·입학자 선발, 채용 시험·보상금 산정·감사조사 업무 처벌규정 위반 시 3천만원 이하의 과태료 - 16 -

이것만은 꼭! DON’Ts (위반사례) DOs (조치사항) 개인정보파일의 보유기간을 근거없이 개별법령의 규정에 그 보유기간이 담당자가 임의로 지정 보유기간 과다 산정 - ○○기관의 △△사랑홈페이지 회원 파일의 보유기간을 영구로 지정 - ○○ 공단은 개인정보파일의 95%를 근거규정 없이 영구 또는 준영구로 지정 보유기간 미지정 - ○○기관의 건설사업정보관리시스템 사용자 파일 등 1개파일에 보유기간 2개 지정 - ○○대학의 학생 생활관 홈페이지 회원관리 파일의 보유기간 : 기타 (준영구) 10년 개별법령의 규정에 그 보유기간이 있는 경우 우선 적용 개별 법령에 보유기간이 없는 경우 개인정보 보호책임자와 협의하여 기관장의 결재를 통해 산정 ※ 표준 개인정보보호 지침 별표1의 개인정보파일 보유기간 책정 기준표에서 제시한 기준과 공공기록물 관리에 관한 법률 시행령에 따른 기록관리기준표를 상회할 수 없음 ※ 정책고객, 홈페이지회원 등의 홍보 및 대국민 서비스 목적의 외부고객 명부는 특별한 경우를 제외하고는 2년을 주기로 정보주체의 재동의 절차를 거쳐 동의한 경우에만 계속 보유 - 17 -

이것만은 꼭! DON’Ts (위반사례) DOs (조치사항) 보유목적 달성, 보유기간이 경과한 개인정보파일의 보유목적 달성 또는 개인정보파일을 삭제·파기하지 않고 보관 ○○기관은 ◇◇개인정보파일의 보유기간을 3년으로 지정하고 있으나, 확인결과 3년이 경과한 개인정보를 파기하지 않고 보관 ○○기관은 △△ 개인정보파일 보유기간을 “허가폐지시”로 지정하고 있으나 단 한번도 허가 폐지된 개인정보파일을 파기한바 없음 ○○공단은 개인정보가 포함된 신청서를 파기 하면서 별도의 파기계획 및 안전조치 없이 매년 실시하는 기록물 이관·폐기 시 처리하여 개인정보 유출 위험 개인정보파일의 보유목적 달성 또는 보유기간이 경과하여 파일보유가 불필요한 경우, 지체없이 삭제·파기 기관의 개인정보파일에 대한 파기 기준과 절차를 수립하여 운영 개인정보파기의 시행 및 확인은 개인정보 보호책임자 책임하에 수행 개인정보파일 파기 시, 파기사실을 개인정보 종합지원 포털을 통해 공개 - 18 -

개인정보파일 관련 Q&A Q 1. 신청서 등으로 수집된 개인정보를 전산 입력 후 관리할 때 이를 각각 개인정보파일로 등록·관리해야 하나요? 개인정보파일 보유목적 및 기록되는 항목, 보유기간 등이 다른 경우에는 별도의 개인정보 파일로 관리 모든 항목이 동일한 경우 하나의 개인정보파일로 등록·관리, 단 수기문서와 전산 매체가 모두 관리되고 있음을 표시해야 함 예) 오프라인 수집(개인의 신청서를 통한 서면 수집), 기타(신청서를 전산입력하여 관리) 체크 Q 2. 공문 등에 첨부되어 전송되는 명단 등을 등록·관리해야 하나요? 공문에 첨부되는 명단을 개인의 PC 등에 지속 보유하는 경우에는 등록.관리 1회성 업무 처리를 위해 첨부되는 명단 등은 개인정보파일 등록대상 아님 ※ 개인정보파일은 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물이므로 전자문서의 첨부파일은 해당사항 없음 - 20 -

개인정보파일 관련 Q&A Q 3. 내부적 업무처리란 무엇인가요? ‘내부적 업무처리’라 함은 당해 공공기관의 내부구성원 인사, 급여, 복지, 교육 등 공공기관의 조직운영을 위해 필요한 업무처리를 말함 직원인사파일, 급여명세서, 직장민방위, 직원비상연락망, 대학교수(강사)명단 등은 등록제외 자문위원회명단, 외부전문가명단 등 기관업무를 수행하기 위한 참고자료(명단)는 제외 ※ 행정처분, 포상, (병무청)민방위대원 명단 등 법령에 따른 사무 및 기관 외부적 사무에 대해서는 개인정보파일 등록·공개 - 19 -

- 27 - 27