정보보호 신규 업무담당자 교육
시 간 교육내용 비 고 ~ 13:00 ■ 교육 등록 13:00 ~ 13:10 ■ 개회 및 인사 말씀 13:10 ~ 14:40 ■ 개인정보보호 ‧ 개인정보보호 유‧노출 사례 ‧ 개인정보보호 기본 개념 및 처리 ‧ 개인정보보호 지침 작성․관리 ‧ PC개인정보보호시스템(PC필터) 운영 개인정보 보호담당자 <주무관 김진우> 14:40 ~ 15:00 ■ 휴 식 15:00 ~ 16:30 ■ 정보보안 ‧ 정보보안 침해 사례 시연 ‧ 정보보안 기본 개념 및 처리 ‧ 유형별 정보보안 관리 방안 ‧ 정보보안 수준진단 자율점검 활용 정보보안 담당자 <주무관 임상훈> 16:30 ~ 17:00 ■ QnA 17:00 ■ 폐 회
정 보 보 호 개 요
교육(행정)기관에서의 정보화 교육활동에 스마트폰, 태블릿 등 최신 정보화기기 도입·활용 대화방 개설을 통해 학생/학부모와 소통 활성화 학생 등하교 현황 알림 무선랜을 통한 수업 혁신 디지털 교과서 온라인 화상 영어 회화
교육(행정)기관에서의 정보화 교육(행정) 업무가 PC, 정보통신망, 정보시스템 등을 통해 처리됨 홈페이지 활용 나이스<복무, 인사기록 관리> 서버<자료의 집적> 에듀파인<예산, 회계> 업무관리<공문서 생산·관리> 업무용 메신저 <소통> 업무자료 작성
정보화의 위험성 정보가 자산이 됨에 따라 불법적인 정보의 획득, 도용 발생 정보화의 효율성, 편의성 강조로 보안의 중요성 간과 중요 정보의 집적에 따라 침해·유출사고 발생시 피해규모가 큼 정보보호에 대한 올바른 인식과 실천을 통해 정보화의 순기능을 더욱 활성화 - 정보보호는 정보화 혜택을 올바로 사용하기 위한 설명서 - 정보보호는 보호 자산의 가치에 비례하기 때문에 개인들이 지키기는 어렵지 않음 정보보호의 실천은 가정에서나 직장에서나 동일함 - ‘업무’에서의 접근은 부담되나 ‘나의 자산’을 보호하기 위하여는 중요 - ‘직장’에서의 정보보호의 실천은 ‘가정‘에서의 자산 보호
정보보호의 개념 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 발생하는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적, 기술적 수단 또는 그러한 수단으로 이루어지는 행위 실무적으로 개인정보보호와 정보보안으로 구분 구분 개인정보보호 정보보안 보호 대상 ■ 학생/학부모/교직원 등 모든 인적사항 ■ 수기 문서로 관리되는 정보 포함 ■ PC, 서버, 네트워크, 시스템, 각종 데이터베이스 등 정보자산 ■ 수기 문서는 일반보안 영역으로 제외 근거 ■ 개인정보 보호법, 시행령, 시행규칙 ■ 표준 개인정보 보호지침 ■ 교육부 개인정보 보호지침 ■ 국가 정보보안 기본지침 ■ 교육부 정보보안 기본지침 ■ 강원도교육청 정보보안 기본지침
보안위협 추이<교육(행정)기관> 시 기 내 용 위 협 인터넷 도입 초창기 ∙ PC 보급 ∙ 단순 검색용 인터넷 활용 ▸ 정보가 자산으로써의 가치가 없었음 ▸ 담당자 실수에 의한 정보 유출․오류 발생 <대응>교직원에 대한 단순 관리적 통제 실시 정보시스템 구축기 ∙ 각종 정보시스템 구축․운영 - 전자문서, NEIS, 에듀파인 ▸ 시스템 내부에 학생/교직원 정보가 집적됨에 따른 해킹 위협 <대응>교육정보시스템 및 PC에 대한 기술적 통제․관리 - DDoS, 방화벽, UTM, 백신, 내PC지키미 등 정보시스템 확산기 ∙ 모든 업무들이 정보시스템을 통해 처리 ∙ 모바일용 시스템 구축 ∙ 범 국가적 IT 이슈 ∙ 개인정보 및 권리 중시 ▸ 정보보호 기술의 발달로 시스템에 대한 직접 공격 제한으로 사회공학적 기법 등 사용자를 통한 집적 정보 위협 ▸ 개인정보의 유출 위협 <대응>사이버 보안 관제 체계 구축․운영, 담당자/교직원 의식 개선 - 통합보안관제시스템 도입․운영, 유관기관 정보공유ㆍ협조, 법ㆍ제도 강화 미래 보안위협에 대한 예측이 어려움에 따라 교직원들의 능동적 보안 의식과 적극적 대응 자세가 무엇보다도 중요 시스템이 아닌 사람의 취약점을 공략하여 원하는 정보를 얻는 공격기법. SMS 문자, 전화사기
개 인 정 보 보 호
I. 개인정보보호 유·노출 사례
스승의 날을 맞아 실시한 재학생 모교방문 행사에서 학교 홍보물 발송을 목적으로 적절한 동의절차 없이 중학생 개인정보 수집 개인정보보호법 위반 사례 스승의 날을 맞아 실시한 재학생 모교방문 행사에서 학교 홍보물 발송을 목적으로 적절한 동의절차 없이 중학생 개인정보 수집 1 개인정보 수집·이용 위반 개인정보 보호법 제15조(개인정보의 수집·이용) 제1항 - 정보주체의 동의나 법령 등 근거없이 개인정보 처리 위반 개인정보 보호법 제75조(과태료) 제1항 제1호 - 5천만원 이하의 과태료 부과 벌칙 처분 불문경고
2 개인정보의 제3자 제공 위반 개인정보보호법 위반 사례 교사가 수업시간에 학생 지도과정에서 학생으로부터 폭행을 당하자 이에 대응하기 위해 다툼 등이 촬영된 동영상을 동의 없이 언론사에 제공 2 개인정보의 제3자 제공 위반 개인정보 보호법 제18조(개인정보의 목적 외 이용·제공 제한) - 정보주체의 동의, 법령 등 근거없이 개인정보를 3자 제공 위반 개인정보 보호법 제71조(과태료) 제1호 - 5년 이하의 징역, 5천만원 이하의 벌금 벌칙 처분 경고
신입생 교복 공동구매 업무 담당자가 학부모 개인정보를 교복 판매업체에 제공 개인정보보호법 위반 사례 신입생 교복 공동구매 업무 담당자가 학부모 개인정보를 교복 판매업체에 제공 3 개인정보의 제3자 제공 위반 개인정보 보호법 제18조(개인정보의 목적 외 이용·제공 제한) - 정보주체의 동의, 법령 등 근거없이 개인정보를 3자 제공 위반 개인정보 보호법 제71조(과태료) 제1호 - 5년 이하의 징역, 5천만원 이하의 벌금 벌칙 처분 경고 ~ 견책
중요 개인정보가 기재된 교직원 일람표를 타인에게 무단 제공 개인정보보호법 위반 사례 중요 개인정보가 기재된 교직원 일람표를 타인에게 무단 제공 4 개인정보의 제3자 제공 위반 개인정보 보호법 제18조(개인정보의 목적 외 이용·제공 제한) - 정보주체의 동의, 법령 등 근거없이 개인정보를 3자 제공 위반 개인정보 보호법 제71조(벌칙) 제1호 - 5년 이하의 징역, 5천만원 이하의 벌금 벌칙 처분 해임
5 개인정보보호법 위반 사례 개인정보의 제3자 제공 위반 안전성 조치 의무 위반 학교 홈페이지에 개인정보 노출 주의, 경고 개인정보 보호법 제18조(개인정보의 목적 외 이용·제공 제한) - 홈페이지는 공개용 서비스로 자료 탑재시 제3자 제공 - 정보주체의 동의, 법령 등 근거없이 개인정보를 3자 제공 위반 개인정보 보호법 제71조(벌칙) 제1호 - 5년 이하의 징역, 5천만원 이하의 벌금 벌칙 안전성 조치 의무 위반 개인정보 보호법 제29조(안전조치의무) - 안전조치 없이 홈페이지에 공개함에 따른 유·노출 위반 개인정보 보호법 제73조(벌칙) 제1호 - 2년 이하의 징역, 2천만원 이하의 벌금 개인정보 보호법 제75조(과태료) 제1항 제6호 - 5천만원 이하의 과태료 부과 벌칙 처분 주의, 경고
교무실에서 학부모에게 교사용 프로그램 ID/비밀번호를 문자로 통보 개인정보보호법 위반 사례 교무실에서 학부모에게 교사용 프로그램 ID/비밀번호를 문자로 통보 개인정보의 제3자 제공 위반 6 개인정보 보호법 제18조(개인정보의 목적 외 이용·제공 제한) - 정보주체의 동의, 법령 등 근거없이 개인정보를 3자 제공 위반 개인정보 보호법 제71조(벌칙) 제1호 - 5년 이하의 징역, 5천만원 이하의 벌금 벌칙 안전성 조치 의무 위반 개인정보 보호법 제29조(안전조치의무) - 안전조치 없이 제공함에 따른 유·노출 위반 개인정보 보호법 제73조(벌칙) 제1호 - 2년 이하의 징역, 2천만원 이하의 벌금 개인정보 보호법 제75조(과태료) 제1항 제6호 - 5천만원 이하의 과태료 부과 벌칙 처분 벌금 300만원
개인정보 처리 부주의 사례 학생 및 교직원 정보를 법령 및 정보주체의 동의 등 근거없이 관행적으로 수집· 처리 → 각종 민원 제기 기관(학교) 홈페이지에 강사 이력 정보(주민등록번호 포함) 게재 → 전산거점, 도교육청, 교육부, 행정자치부 등 홈페이지 노출 점검 수행 → 주요 유·노출 사항 발생시 개인정보 및 정보보안 책임 부과 학생 명단을 안전조치 및 제3자 제공에 대한 동의 없이 홈페이지에 게재·공개 (학급 배치현황, 과거년도 수상 내역 등) → 개인정보 유·노출에 해당 → 장기간 방치시 인터넷을 통한 2차, 3차 유출 가능성 존재
개인정보 처리 부주의 사례 민원인에 대한 정보를 업무 상담·협조 과정에서 다른 교직원에게 제공 → 정보주체의 동의 없이 제3자 제공한 사례로 민원 처리사항이 개인정보 보호법 위반으로 확대 교직원 주민등록번호 등 주요 개인정보가 포함된 문서를 안전조치 없이 시행 → 원문정보공개서비스에 따른 대국민 공개·유출 각종 PC파일, 수기문서 등 개인정보를 파기하지 않고 계속 보관 → PC 유지관리, 인사발령에 따라 외부 유출 가능 개인정보가 담긴 출력물을 파쇄하지 않고 휴지통에 버림 → 청소과정에서 외부 유출 가능
개인정보 처리 부주의 사례 ※ 「개인정보 보호법」은 개인도 처벌 가능 개인정보가 담긴 파일을 사용자 부주의로 다른 기관/담당자에게 송신 (메신저, 이메일) → 개인정보 유·노출에 해당, 외부 기관 전송시 특히 유의 암호화 조치되지 않은 개인정보가 담긴 USB 및 외장하드 분실 → 개인정보 유·노출에 해당, 다량의 개인정보 보관 유의 퇴직시 학생, 학부모, 교직원 관련 개인정보 및 업무용 자료를 파기하지 않고 개인용 PC, 이메일 등에 보관 → 개인정보 유·노출(권한없는 자의 접근) ※ 「개인정보 보호법」은 개인도 처벌 가능
Ⅱ. 개인정보보호 기본 개념 및 처리
1. 개인정보보호 개요 개인정보보호 관련 법규 개인정보 보호법(법률 제13423호, 2016.7.25.) 개인정보 보호법 시행령(대통령령 제26776호, 2016.7.25.) 개인정보 보호법 시행규칙(행정자치부령 제1호, 2014.11.19.) 표준 개인정보 보호지침(행정자치부고시 제2016-21호, 2016.6.30.) 개인정보의 안전성 확보조치 기준(행정자치부고시 제2016-35호, 2016.9.1.) 교육부 개인정보 보호지침(교육부훈령 제135호, 2015.4.20.) 강원도교육청 개인정보 침해사고 대응 계획(지식정보과-9637, 2014.10.27.)
[참고] 개인정보 보호법 제·개정 추이 2011 2012 2013 2014 2015 2016 주민등록번호 수집·이용 최소화 종합대책 마련 (’12.12) 교육부 개인 정보 보호지침 개정 (‘15.4.20) 개인정보 보호법 개정 (‘16.7.25.) 개인정보보호법 개정 (‘14.8.7) 개인정보보호법 제정·시행 (‘11.9.30) 개인정보보호법 개정 (‘13.8.6) 2011 2012 2013 2014 2015 2016 제2차 개인정보보호 기본계획 (’15~‘17년) 제1차 개인정보보호 기본계획 (’12~‘14년) 개인정보 정상화 대책 (‘14.7)
기관(학교)별 관리 대상 구분 대 상 - 내부관리계획 - 개인정보 처리방침<영상정보처리기기 운영·관리방침 포함> 대 상 지침 - 내부관리계획 - 개인정보 처리방침<영상정보처리기기 운영·관리방침 포함> 대장 - 개인정보파일 대장<개인정보보호 종합지원시스템 內> - 개인정보의 목적 외 이용 및 제3자 제공 대장 - 개인정보(파일) 파기대장 - 개인영상정보 관리대장 기타 - 개인정보처리위탁 계약서 ※ 표준 개인정보처리위탁 계약서 - 개인정보 수집(또는 제3자 제공)에 대한 동의서 - 영상정보처리기기 안내판 - 각종 민원서식<개인정보 열람·정정·삭제·처리정지 요구서, 개인영상정보 청구서> - 개인정보 유출신고서(침해·유출사고 발생시)
주요 교육정보시스템 PC개인정보보호시스템 PC 내 고유식별정보 등 각종 파일 점검 및 현황 관리 주요 파일 암호화, 완전삭제 등 안전조치 수행 홈페이지 개인정보 필터링시스템 홈페이지 내 게시판 글쓰기, 첨부파일 탑재시 개인정보 식별 및 탑재 제한 조치 홈페이지 개인정보 노출탐지시스템 홈페이지 내 게시판, 게시글 내의 개인정보 탑재 여부 점검·탐지
2. 개인정보의 개념 개인정보 민감정보 고유식별정보 일반적 개인정보 살아있는 개인에 관한 정보로써 특정 개인을 식별할 수 있는 정보 다른 정보와 결합하여 알아 볼 수 있는 것을 포함 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보 개인적 수치심 또는 사회적 차별을 조장할 수 있는 정보 개인을 고유하게 구별하기 위하여 부여된 식별번호 다른 정보와의 결합없이 자체만으로도 개인을 식별 예시 예시 예시 주민등록번호, 여권번호, 운전면허번호, 외국인 등록번호 성명, 주소, 휴대폰, 이메일 직업, 종교, 사상, 신념, 건강 등 수집·이용·제공 등 개인정보보유 및 처리를 위하여 정보주체의 동의, 법적 근거, 공공기관 소관업무 수행, 계약체계 등의 근거가 필요 일반 개인정보와는 별도로 민감정보 각 항목에 대한 정보주체 동의, 법령 근거가 필요 일반 개인정보와는 별도로 고유식별정보 각 항목별 정보주체 동의, 법령 근거가 필요 ※ 주민번호는 법률, 시행령
개인정보 수집·이용 근거 구 분 일반 개인정보 민감,고유식별정보 주민등록번호 O 구 분 일반 개인정보 민감,고유식별정보 주민등록번호 ▲ 정보주체의 동의를 받은 경우<만 14세 미만은 법정대리인> O ▲ 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 <법률, 시행령> ▲ 공공기관이 법령 등의 소관 업무 수행을 위하여 불가피한 경우 ▲ 정보주체와의 계약 체결 및 이행을 위하여 불가피한 경우 ▲ 명백히 정보주체 및 제3자의 급박한 생명, 신체, 재산상 이익을 위하여 필요한 경우 ▲ 개인정보처리자의 정당한 이익 달성을 위하여 정보주체의 권리보다 우선하는 경우
■ 건강기록부(학교보건법 시행령 제32조의 2)
■ FAX 민원(민원 처리에 관한 법률 시행규칙 별지 제4호 서식)
개인정보의 목적 외 이용 및 제3자 제공 근거 구 분 일반 개인정보 민감,고유식별정보 주민등록번호 O 구 분 일반 개인정보 민감,고유식별정보 주민등록번호 ▲ 정보주체의 동의를 받은 경우<만 14세 미만은 법정대리인> O ▲ 법률에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우 <법률, 시행령> ▲ 명백히 정보주체 및 제3자의 급박한 생명, 신체, 재산상 이익을 위하여 필요한 경우 ▲ 통계작성, 학술연구 등 목적으로 특정 개인을 알아볼 수 없는 형태로 제공하는 경우 ▲ 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우 ▲ 법원의 재판업무 수행, 형 및 감호, 보호처분의 집행을 위하여 필요한 경우
■ 감사원, 국정감사 등 요구자료 제출(감사원 사무처리규칙 제12조의 2) ■ 홈페이지에 사진 등 개인정보가 포함된 자료 탐재(정보주체의 동의)
■ 학생 생활기록부/건강기록부 제공[초·중등교육법 제30조의 6)
동의방법 : 서면, 전화(녹취), 이메일, 인터넷 매체 등 정보주체의 동의 항목 비교 개인정보의 수집 동의서 개인정보의 수집 동의서 개인정보의 제공 동의서 개인정보의 수집 및 이용 목적 수집하려는 개인정보의 항목 개인정보의 보유 및 이용 기간 동의를 거부할 권리가 있는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 개인정보를 제공받는 자 개인정보를 제공받는 자의 개인정보 이용 목적 제공하는 개인정보의 항목 보유 및 이용 기간 동의를 거부할 권리가 있는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 동의방법 : 서면, 전화(녹취), 이메일, 인터넷 매체 등
개인정보 보호 원칙 개인정보는 목적에 적합한 범위 내에서 최소한으로 수집·처리 개인정보 수집·처리의 기본은 “법령"과 “동의" 익명처리가 가능한 경우에는 익명으로 처리 활용 중인 개인정보는 암호화 조치 수행 불필요한 개인정보는 즉시 파기
3. 개인정보파일 등록·관리 개인정보파일의 정의 개인정보파일의 등록·공개 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물 개인정보는 추상적/총괄적 개념으로 실제적으로 관리, 파기 등 처리가 이루어지는 단위는 ‘개인정보파일’이나 ‘개인정보파일’ 내의 개인정보가 됨 개인정보파일의 등록·공개 주기 : 개인정보를 보유·변경한 날로부터 60일 이내 ※ 상시적 변동사항은 연 1회 이상 정비 기관 내부적 업무처리만을 위하여 처리되는 파일, 국가안전보장, 비밀 관련 파일, 통계법에 따라 수집되는 파일, 공공안전을 위하여 긴급히 일시적으로 필요한 파일, CCTV등 영상정보처리기기를 통하여 처리되는 파일, 1회성 행사 등을 목적으로 수집되는 파일 예외
유의사항 기관(학교) 인사발령 시기에 맞춰 정기적으로 등록·정비 ※ 개인정보 처리방침 내 개인정보파일 목록 현행화 관리 철저 처리항목, 보유기간, 정보주체 수 등 입력항목을 충실히 기재 특히, 주민등록번호를 처리할 경우 관련 법률, 시행령 근거 구체적으로 기재 ※ 법률, 시행령 근거 없는 주민등록번호 처리 금지 각급 기관(학교)별 개인정보파일 목록은 「교육부 개인정보파일 표준목록」 및 개인정보보호종합지원시스템 내의 검색 기능 활용
교육부 개인정보파일 표준목록 교육지원청 각급 학교 학원 설립자 관리 학교생활기록부 학원강사 관리 학부모서비스 신청자 명단 교습소 관리 학생건강기록부관리 개인과외교습자 관리 발전기금기탁자관리 무등록 학원/무신고 교습소 관리 홈페이지 회원정보 평생교육시설 관리 민원사무처리부 학교운영위원회 명부 스쿨뱅킹(CMS) 정보 <해당학교>영재학생 관리
4. 개인정보의 목적 외 이용 및 제3자 제공 개인정보의 목적 외 이용 및 제3자 제공 사례 재학중인 학생이 다른 학교나 상급학교로 전/진학시 생활기록부 제공 <초·중등교육법>법령에 따른 제공 병무청 제공자는 NEIS에서 조회 [학적] - [대외기관자료제공관리] - [대외기관자료제공현황] 감사원, 국정감사 요구자료 제출에 따른 학생 정보 제공 <감사원법, 사무처리규칙>법령에 따른 제공 경찰청에서 범죄의 수사를 위하여 학생 관련 정보 제공 요청 범죄의 수사에 따른 제3자 제공
4. 개인정보의 목적 외 이용 및 제3자 제공 개인정보의 목적 외 이용 및 제3자 제공 사례 학교 주관 학생 체험활동시 단체할인 및 신청을 위하여 학생정보 제공 정보주체의 동의에 의한 제공 제3자 제공에 따른 동의서 징구 학교 주관 체험활동시 여행자 보험 가입을 위하여 학생·교직원 정보 제공 정보주체의 동의, 「보험업법」에 의한 제3자 제공 학교안전공제회를 통한 안전보험 가입
개인정보의 목적 외 이용 및 제3자 제공 절차 1. 개인정보의 목적 외 이용 및 제3자 제공에 따른 안전성 확보 개인정보를 제공받는 자에게 개인정보 항목별 필요성 및 처리 근거 확인 익명 처리가 가능한 경우 익명으로 제공 불필요한 정보는 최대한 조종하고, 가능할 경우 통계적 수치만 제공 개인정보자료 송부에 따른 안전성 조치 공통 : 제3자 제공 등에 따른 유의 안내 및 문구 삽입 공문서 : 비공개 6호, 직원열람제한 PC파일, 이메일 : 암호설정, 자료 송부 후 송부파일, 내역 즉시 삭제 수기문서 : 권한없는 자가 열람할 수 없도록 밀봉 조치
2. 「개인정보의 목적 외 이용 및 제3자 제공 대장」 작성 「개인정보 보호법 시행규칙」 별지 제1호서식
3. 목적 외 이용 및 제3자 제공 내역 공개<홈페이지> 공개내용 : 날짜, 목적 외 이용 및 제3자 제공 근거, 목적, 제공하는 개인정보 항목 게재기간 : 목적 외 이용 및 제3자 제공한 날로부터 30일 이내에 10일 이상 게재 공개예외 - 정보주체의 동의를 받은 경우 - 범죄의 수사 요청에 따라 비밀을 요하는 경우
5. 개인정보 처리업무 위탁 개인정보 처리업무 위탁 사례 학생증, 표창증서, 상장, 졸업앨범, 문집, 신문 등 개인정보가 담긴 자료 인쇄 ·제작 등 처리 목적물에 개인정보가 포함된 경우 여행사를 통한 여행자 보험 가입 및 체험학습 등 일정 계획·시행 등 처리 과정에 개인정보가 포함된 경우
5. 개인정보 처리업무 위탁 개인정보 처리업무 위탁 사례 다음의 사례와 같이 처리 대상에 개인정보가 포함된 경우 - 다른 교육기관을 통해 학생상담, 교육 등을 협약·계약 - 행사 참여자에 대한 인원 확인 및 접수를 외부 업체를 통해 처리 - 개인정보가 탑재된 교육정보시스템을 구축하거나 유지관리 - PC에 대한 유지관리를 외부 업체를 통해 처리 - 교육 홍보 등을 목적으로 학생/학부모 정보를 수집하여 외부 업체를 통해 문자, 이메일 등으로 전송하거나 설문
개인정보 처리업무 위탁 절차 1. [계약시] 「표준 개인정보처리위탁계약서」 작성 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 개인정보의 기술적·관리적 보호조치에 관한 사항 위탁업무의 목적 및 범위 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 위탁업무와 관련 보유하고 있는 개인정보의 관리 현황 점검 등 감독사항 수탁자가 준수하여야 할 의무를 위반한 경우 손해배상 등 책임에 관한 사항
2. [계약시] 수탁자 교육 3. [계약시] 개인정보 처리업무 위탁 내역 공개 대상 : 수탁사 대표 및 담당자 등 내용 : 표준개인정보처리위탁계약서 이행에 관한 사항 ※ 교육자료는 내부관리계획 표준(안) 참조 3. [계약시] 개인정보 처리업무 위탁 내역 공개 공개방법 : 홈페이지 게재[개인정보처리방침 內 or 공지사항 등] 공개기간 : 위탁에 따른 개인정보 처리업무 종료시까지 지속적으로 게재 공개내용 : 사업명, 기관(부서명), 위탁업무 내용, 위탁기간, 수탁자(기관명, 주소, 전화번호)
4. [사업진행 중 or 종료시] 수탁사 관리·감독 개인정보의 처리 현황 개인정보의 접근 또는 접속현황 개인정보의 접근 또는 접속 대상자 목적 외 이용·제공 및 재위탁 금지 준수여부 암호화 등 안전성 확보조치 이행여부 그 밖에 개인정보의 보호를 위하여 필요한 사항
개인정보 제3자 제공 vs 개인정보 처리업무 위탁 구 분 제3자 제공 처리업무 위탁 목 적 ■ 제공받는 자의 이익 ■ 위탁자의 이익 관리․감독 책임 ■ 제공받는 자 ■ 위탁자(기관, 학교) 손해배상 책임 ■ 위탁자는 수탁자에 대하여 별도의 손해배상 요구 가능
6. 개인정보파일의 관리·보호 개인정보파일 유형별 관리방법 구분 PC파일 수기문서 시스템 DB 유형 ․업무상 필요에 의해 작성 ․교육정보시스템, 이메일 다운 ․수기문서 스캔 ․각종 수기 대장 ․PC파일 등 출력물 ․업무 수첩, 메모 등 ․나이스, 에듀파인, 업무관리, 홈페이지 등 각종 시스템 DB 관리 방법 ․원본 중심으로 관리<PC파일 등의 출력 및 수기문서 스캔 지양> ※ 원본 개인정보파일 등록 대상 검토 ․사본은 활용 후 즉시 파기 ․암호화/시건 등 잠금조치 생활화 ․법령 개정에 따른 서식 관리 철저 ․클라우드, 이메일, USB 등 분산 저장 유의 ․불필요한 출력 유의 ․PC필터를 통한 암호화 ․불필요한 파일 즉시 삭제 ․서식 주기적 점검 ․불필요한 수집 항목 정비 ․책상, 캐비닛 등 시건 ․민원인 등이 자주 방문하는 장소 에 연락처 등 개인정보 게시 금지 ․업무 권한 정기적 점검 ․다운로드로 사본 생성 유의 ․업무용 인증서 복사․대여 금지 - 주기적 키갱신
업무용 PC 등 관리 철저 주요 개인정보파일이 직·간접적으로 PC를 통해 처리됨에 따라 PC관리 철저 - 정품 S/W 사용, 백신을 통한 주기적 PC 점검·조치 • SNS, 카페 등 개인적 목적으로 개인정보 게시·활용 금지 • 이메일, 메신저 등 자료 전송시 암호화 조치, 전송 완료 후 전송 내역 삭제 기타 정보화기기 보안사항은 ‘정보보안’ 교육자료 참조
7. 개인정보(파일)의 파기 파기의 구분 파기 방법 개인정보파일 파기 개인정보의 수집 동의서 개인정보 파기<일부파기> PC파일의 파기 수기문서 파일철 파기 시스템 DB 상의 테이블 파기 PC파일 내 일부 정보 수기문서 파일철 내 문서 건 시스템 DB 내 테이블 행, 열 파기 방법 복원이 불가능한 방법으로 영구 삭제 전자파일 : PC필터 완전삭제, 하드디스크 자성 소거, 물리적 파괴 수기문서 : 파쇄, 소각, 천공
파기 방법 1. 개인정보(파일) 파기 내역 기록·관리 기록·관리 방법 ① [개인정보 취급자] 내부결재 ② [개인정보 보호담당자] 개인정보(파일) 파기대장으로 현황 관리 개인정보(파일) 파기대장은 정기적(분기 권장)으로 개인정보 보호책임자 결재
2. 개인정보(파일) 파기 3. 개인정보(파일) 파기에 따른 현황 정비 개인정보파일 파기는 개인정보 보호책임자 입회하에 수행 개인정보의 파기는 취급자/업무별 관리책임자 등 확인하에 수행 3. 개인정보(파일) 파기에 따른 현황 정비 개인정보파일 파기시 등록 대상 개인정보파일 파기 요청<개인정보보호종합지원시스템> 개인정보 파기시 등록대상 개인정보파일 정보주체수 변동 현황 정비
참조. 유의사항 개인정보파일 파기는 해당 업무가 종료되거나 정보주체 수가 ‘0’이 되는 경우 매년 개인정보가 파기됨에 따라 정보주체수가 변동되는 경우는 개인정보파일의 파기가 아닌 변동으로 처리 [권고] 매년 1회 이상 정기적으로 파기 일정을 수립하여 기관(학교) 내 전반적 개인정보(파일) 파기
8. 개인정보 민원 처리, 침해사고 조치 개인정보 민원 처리 개인정보 침해사고 처리 개인정보의 열람, 정정, 삭제, 처리정지 등 요구 관련 서류 비치 처리기일 : 10일 이내 정보주체 본인에 대한 정보에 한하여 처리 개인정보 침해사고 처리 1. 상급기관 보고 시기 : 즉시 or 긴급한 조치가 필요한 경우 안전성 조치 후 즉시 서식 : 개인정보 유출 신고서 보고내용 : 유출된 개인정보 항목/규모, 유출 시점/경위, 유출 피해 최소화 대책 등
2. 정보주체 통지 [1만명 이상] 대규모 개인정보 침해·유출 시기 : 5일 이내 내용 : 유출된 개인정보의 항목, 유출된 시점과 그 경위, 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법, 개인정보처리자의 대응조치 및 피해 구제절차, 피해가 발생한 경우 신고 등을 접수할 수 있는 부서 및 연락처 [1만명 이상] 대규모 개인정보 침해·유출 전문기관 신고[5일 이내] : 행정자치부 or 한국인터넷진흥원 ※ 전문기관 피해 확산방지, 피해 복구 등 지원 홈페이지 침해·유출 내역 게재[7일 이상]
9. 총괄적 개인정보보호 개인정보보호 조직 구성 인사이동에 따른 책임자/담당자 현행화 개인정보 보호책임자 : 학교장, 업무 주관 부서장 분야별 보호책임자 : 업무 비주관 부서장 ※ 학교 제외 개인정보 보호담당자 : 기관(학교) 내 개인정보보호를 분장으로 하는 담당자 개인정보 취급자 : 업무 처리상 개인정보를 열람하거나 취급하는 교직원 인사이동에 따른 책임자/담당자 현행화 개인정보 보호책임자 : 개인정보 처리방침 정비 개인정보 보호담당자 : 개인정보 처리방침 정비, 개인정보보호종합지원시스템 사용자 등록 개인정보 취급자 : 개인정보파일 대장 취급자 정보 정비
개인정보 자체 지침 관리·운영 개인정보 처리방침 내부관리계획 개인정보보호 업무추진 계획 • 각급 기관(학교) 홈페이지 메인화면 하단에 설치되어 보유중인 개인정보파일을 중심으로 안전조치, 처리절차, 보호책임자/담당자 현황 등을 안내함으로써 정보주체의 권리를 보장 내부관리계획 • 개인정보 보호책임자, 담당자, 취급자 등의 역할, 임무, 개인정보 관리 및 처리절차 등 교직원을 대상으로 개인정보 보호 방법 및 체계를 규정 • 개인정보 관리·처리를 위한 기관(학교)의 내부 프로세스로 업무절차 정립 및 교직원 교육 등에 활용 개인정보보호 업무추진 계획 • 개인정보 보호책임자의 기관(학교) 내 개인정보 보호를 위한 개인정보 보호 체계 구성, 교직원 교육, 내부지침 관리 등의 활동 계획
10. 영상정보처리기기 관리·운영 영상정보처리기기의 정의 설치·운영 기준 일정한 공간에 지속적으로 설치되어 사람의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치 폐쇄회로 텔레비전, 네트워크 카메라 ※ 업무용 망에 연동 금지, 별도망으로 구성 설치·운영 기준 법령에서 구체적으로 허용한 경우, 범죄의 예방 및 수사를 위하여 필요한 경우 시설 안전 및 화재 예방, 교통단속을 위하여 필요한 경우 등
설치·운영 절차 1. 영상정보처리기기 설치·운영에 대한 관계 전문가 및 이해관계인 의견 수렴 「행정절차법」에 따른 행정예고의 실시 또는 의견 청취 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회·설문조사·여론조사 실시 학교운영위원회 개최를 통한 의견 수렴 2. 영상정보처리기기 설치·운영 개인영상정보 관리대장 작성·운영 - 자동삭제의 경우 삭제 주기에 따라 삭제 여부에 대한 확인 내역 기록
3. 영상정보처리기기 운영·관리에 따른 안전성 조치 안내판 설치 정보주체가 알아보기 쉬운 장소에 누구라도 판독가능하게 설치 설치목적 및 장소, 촬영범위 및 시간, 관리책임자 성명(직책) 및 연락처 (영상정보처리기기 위탁시) 위탁받는 자의 명칭, 연락처 영상정보처리기기 운영·관리방침 작성·운영 개인정보 처리방침 내에 포괄하여 작성·운영 설치근거 및 목적, 설치 대수, 설치 위치, 촬영범위, 관리책임자, 담당 부서, 접근권한이 있는 사람, 촬영시간, 보관기간, 처리방법 등 영상정보처리기기 운영·관리에 관한 사항
유의사항 영상정보처리기기의 설치·운영 사무의 위탁 설치·운영 목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 행위 금지 녹음 기능 사용 금지 공개된 장소에 모니터링 시설 등 설치·운영 금지 영상정보에 대한 책임있는 접근 제한 영상정보처리기기의 설치·운영 사무의 위탁 개인정보 처리업무 위탁에 따른 업무처리절차 준수 - 「표준 개인정보처리위탁 계약서」 작성, 수탁사 교육 및 관리·감독 안내판에 위탁받는 자의 명칭 및 연락처 게재
[참고] 영상정보처리기기 열람 요구시 조치방법 ①, ②, ③ 번 중 선택하여 열람 가능 ① 해당 정보주체만 확인이 가능하도록 열람 조치 - 다른 사람은 열람이 안되도록 마스킹 처리 ② 경찰 입회하에 수사 목적으로 열람 ③ 영상에 포함된 정보주체 모두의 제3자 제공에 대한 동의 후 열람조치 서식 : 개인영상정보(□ 존재확인, □ 열람) 청구서
Ⅲ. 개인정보보호 지침 작성·관리
1. 개인정보 처리방침<영상정보처리기기 방침> 표준(안) 개인정보 처리방침 구성요소 구 분 규정 목록 개인 정보 처리 방침 개인정보 보호법 제30조 · 개인정보의 처리 목적 · 개인정보의 처리 및 보유 기간 · 개인정보의 제3자 제공에 관한 사항(해당시) · 개인정보처리 위탁에 관한 사항(해당시) · 정보주체와 법정대리인의 권리·의무 및 행사방법 · 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충을 처리하는 부서의 명칭과 전화번호 등 연락처 · 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영 및 그 거부에 관한 사항(해당시) 개인정보 보호법 시행령 제31조 · 처리하는 개인정보의 항목 · 개인정보의 파기에 관한 사항 · 개인정보의 안전성 확보 조치에 관한 사항 표준 개인정보 보호지침 제35조 ·개인정보 처리방침을 변경하는 경우 변경 및 시행시기, 변경된 내용<전·후 비교>
1. 개인정보 처리방침<영상정보처리기기 방침> 표준(안) 개인정보 처리방침 구성요소 구 분 규정 목록 영상 정보 처리 방침 개인정보 보호법 시행령 제25조 · 설치 근거 및 목적 · 설치 대수, 설치 위치, 촬영범위 · 관리책임자, 담당부서, 보관장소 및 처리방법 · 촬영시간, 보관기간, 보관장소 및 처리방법 · 영상정보처리기기운영자의 영상정보 확인 방법 및 장소 · 정보주체의 영상정보 열람 등 요구에 대한 조치 · 영상정보 보호를 위한 기술적·관리적·물리적 조치 · 그 밖에 영상정보처리기기의 설치·운영·관리에 관한 사항
개인정보 처리방침 표준(안) 활용 개인정보 처리방침 게시판 구성<홈페이지 內> 게시판명 설 명 • 개인정보처리방침 ‣ 개인정보 처리방침 항목별 내용 기재 • 영상정보 처리방침 ‣ 영상정보 관리·운영 방침 항목별 내용 기재 • 목적 외 이용/제3자 제공 ‣ 개인정보의 목적 외 이용/제3자 제공 내역에 대한 공개·관리 • 개인정보 처리업무 위탁 ‣ 개인정보 처리업무 위탁 내역 공개·관리 • 변경이력 ‣ 개인정보 처리방침 개정에 따른 과거년도 처리방침 게재·관리 ▶ 개인정보 처리방침 게시판 구성 및 기본적 서식, 문구는 학교 통합홈페이지를 통해 일괄 적용함에 따라 기관(학교)별 해당 사항만 관리·운영 ▶ 파란색 이탈릭체 단어는 기관(학교)별 실정에 적합하게 변경 ▶ 붉은색 단어는 참조용으로만 활용하고 실제 처리방침 작성시 반드시 삭제
2. 내부관리계획 표준(안) 내부관리계획 구성요소 구 분 규정 목록 · 개인정보 보호책임자의 지정에 관한 사항 구 분 규정 목록 개인정보의 안전성 확보조치 기준 제3조 · 개인정보 보호책임자의 지정에 관한 사항 · 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 · 개인정보의 안전성 확보에 필요한 조치에 관한 사항 · 개인정보취급자에 대한 교육에 관한 사항 · 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 · 그 밖에 개인정보 보호를 위하여 필요한 사항 표준 개인정보 보호지침 제59조 · 개인정보 파기계획
내부관리계획 표준(안) 활용 ▶ 파란색 이탈릭체 단어는 기관(학교)별 실정에 적합하게 변경 ▶ 붉은색 단어는 참조용으로만 활용하고 실제 처리방침 작성시 반드시 삭제 ▶ 기관(학교)별 현황을 고려하여 내부관리계획 수립 ▶ 교직원에 대한 주기적 교육 자료로 활용 ▶ 보호책임자, 담당자, 취급자별 역할 및 임무 숙지 ▶ 개인정보파일 관리, 제3자 제공, 위탁에 따른 절차 등을 숙지하고 운영 ▶ 개인정보 보호 및 처리를 위한 기관(학교)의 내부적 절차로 외부 유출에 유의
Ⅳ. PC개인정보보호시스템 운영
1. PC개인정보보호시스템 개요 PC개인정보보호시스템 시스템 : ㈜지란지교 PC필터 주요 기능 운영관리 주요 파일 암호화, 완전삭제 등 안전성 조치 운영관리 운영 주체 : 교직원 월 1회(사이버보안진단의 날) 이상 점검하여 PC 내 주요 개인정보파일 검출 및 암호화, 파기 조치 수행 - 실시간 감시 기능으로 업무처리 시 개인정보 처리내역 검출 및 조치
관리자 로그인 지 역 전산거점 접속주소 관리자 춘천, 홍천 춘천 https://180.81.17.79:8443 지 역 전산거점 접속주소 관리자 춘천, 홍천 춘천 https://180.81.17.79:8443 ID : NEIS 기관코드 PASS(초기) : 1234567!a 원주, 횡성, 영월 원주 https://180.81.27.91:8443 강릉, 정선, 평창 강릉 https://180.81.73.81:8443 속초, 양양, 인제, 고성 속초양양 https://180.81.104.79:8443 삼척, 동해, 태백 삼척 https://180.81.94.74:8443 화천, 양구, 철원 화천 https://180.81.86.79:8443
관리자 비밀번호 변경
2. 주요 기능 기관(학교) 개인정보 사용자 관리 등록 : 기관(학교)별 사용시 자동으로 등록 삭제 :[환경설정] – [사용자관리] 메뉴에서 삭제
기관(학교) 개인정보 보유현황 관리 구 분 기 능 비 고 보유현황(관리자 검사) 구 분 기 능 비 고 보유현황(관리자 검사) ■ 전산거점 점검 정책에 따라 전 기관(학교) PC를 대상으로 일괄 점검한 결과 월 1회 보유현황(사용자 검사) ■ 사용자가 개별 PC에서 자체적으로 점검한 결과 상시 보유현황(통합) ■ 관리자 검사와 사용자 검사를 통합하여 해당 PC에서 최근 점검한 결과 - 검사유형 A : 관리자 검사가 최근 검사 - 검사유형 U : 사용자 검사가 최근 검사 ■ 각급 기관(학교) 개인정보 보유현황 관리 자료
개인정보 파일 : 암호화 되지 않은 개인정보 파일 현황 암호화 파일 : 암호화된 개인정보 파일 현황