“Clean Privacy Information Protection”을 위한 심평원의 사례 공공기관 최고의 “Clean Privacy Information Protection”을 위한 심평원의 사례 2012. 5. 10

목차 개인정보 영향평가 관리시스템 구축 • 운영 개인정보 저장매체 관리방안(Red Post Can) I 개인정보 영향평가 관리시스템 구축 • 운영 II 개인정보 저장매체 관리방안(Red Post Can) 개인정보시스템 접근권한 관리방안 III

개인정보영향평가[PIA] 관리시스템 구축 • 운영 주요업무 기능구성도 시스템 구현 및 활용

1. 주요 업무 개인정보 영향평가 주요 업무 국내 개인정보보호 관련 법 제도 요구사항 준수 여부 확인 취급하는 개인정보에 대하여 현황분석 및 위험분석을 통한 Risk 도출 개인정보 활용 시 발생 가능한 프라이버시 문제에 대한 보호대책 수립 개인정보 흐름도 파악 등

2. 기능구성도 (내부 네트워크 구간) (외부 인터넷 구간) 업무 시스템 평가대상 확인 영향평가 요청 영향평가 수행 내부 구성원 Web Browser SMS E-mail 통합 데이터베이스 영향평가 수행이력 보안지식 DB 개인정보 위험통계 업무 시스템 모니터링 시스템 관리자 외부 유관기관 (내부 네트워크 구간) (외부 인터넷 구간) 평가대상 확인 영향평가 요청 영향평가 수행 이행관리 이행점검 및 AUDIT 개인정보 보유 현황 및 흐름분석 서비스유형 별, 부서 별 현황 평가 도메인 및 평가 항목별 현황 정기 운영/통계 보고서

3-1. 시스템 구현 및 활용 임직원 로그인 Hiranet (심평원 그룹웨어) 에 로그인 URL http://pias.hira.or.kr 에 접속 1 2 1 사용자로그인 정보 마지막 접속시간 및 IP정보 2 자신이 진행중인 업무현황 확인 3 각 진행현황 목록 확인

대상확인 사전협의 영향평가 이행조치 3-2. 개인정보 영향평가 프로세스 대상확인 사전협의 개인정보 영향평가 이행조치 사업주관부가 사전협의 및 영향평가 대상인지 확인 사전협의/영향평가 대상 영향평가 대상 사전협의 사업주관부서에서 자체 평가를 수행하고 결과를 보안ㆍ관재부에 통보 사전협의 영향평가 개인정보 영향평가 사업주관부서에서 평가계획 및 평가팀을 구성하여 영향평가를 수행 이행조치 이행조치 보안ㆍ관재부에서 제시한 보안대책 이행계획 및 결과보고

개인정보 저장매체 관리(Red Post Can) II 개인정보 저장매체 관리(Red Post Can) 추진 배경 및 목적 추진 현황 기대효과(성과)

1. 추진 배경 및 목적 추진 배경 및 목적 개인정보 저장매체 관리방안 마련 및 전파(’11.10월) 개인정보보호에 대한 사회적 요구 증대 개인정보보호법 시행(’11.9.30)에 따른 내부 통제 필요 전국민 건강정보를 취급하는 심평원에서는 개인정보가 수록된 대량의 저장매체 (CD 등)를 필수적으로 요양기관으로부터 제출받다 보니 항상 취약점에 노출 이에 개인정보가 수록된 저장 매체에 대한 엄정한 관리 방안 마련 필요 개인정보 저장매체 관리방안 마련 및 전파(’11.10월) 개인정보 저장 매체 취급 절차 접수 ⇨ 업무 담당자 인계 부서 자체 파기 또는 타부서 인계 타부서 활용 및 파기 자료 수거  및 이관

2. 추진 현황 Red Post Can(저장매체 파기함) 제공 및 저장매체 관리방안 전파 전부서 취급 저장매체 양에 “저장매체 관리대장”을 전 부서에 비치하여 시스템 적으로 추적 관리 2 1

3. 기대효과(성과) 기대효과(성과) 개인정보 저장매체에 대한 생성 부터 폐기까지 관리기전 마련을 통한 개인정보 오남용 및 외부 유출 등 보안사고에 대한 사전 방지 “Clean Privacy Information Protection” 을 향한 심평원 토대 구축 소홀히 다룰수 있는 부분에 대한 각 부서별 직접 관리방안을 부여함으로써 개인 정보보호에 대한 인식제고 기여(각 부서에서 생산에서 폐기까지 자체 공간내 처리)

III 개인정보시스템 접근권한 관리방안 추진 목적 및 주요 내용 추진 현황 기대 효과(성과)

1. 추진 목적 및 주요 내용 추진 목적 주요 내용 개인정보보호법 시행(’11.9.30)에 따른 내부 통제 필요 대내외 점검결과를 바탕으로 개인정보가 집적된 정보처리시스템에 대한 접근체계 강화 주요 내용 접근권한 관리시 세부 조치사항을 규정한 “접근권한 관리기준”을 마련 및 전파 인사이동, 휴직자, 퇴직자, 일일근태(휴가,교육,병가) 등에 따른 개인정보처리시스템 접근권한을 실시간 인사시스템과 연동하여 체계적 관리 감독 인사이동 : 인사발령일 기준으로 기존 권한을 시스템적으로 자동 해지처리 하고 신규부서 에서 업무에 따른 권한 신규 신청 휴직자 : 인사명령에 따른 3개월 이상 장기 휴직 발생 시 모든 권한 시스템적으로 자동해지 처리 하고 복귀시 업무에 따른 권한 신규 신청 퇴직자 : 퇴직일을 기준으로 시스템적으로 모든 권한 자동해지 일일근태 : 일일근태를 기준으로 근태(휴가,병가,특휴,교육 등)발생일에 접근권한을 제한토 록 조치하고 근태 미발생시 자동복원

2. 추진 현황 개인정보처리시스템 접근권한 관리 개인정보처리시스템 접근권한 업무처리 절차 프로세스 2 일일근태자의 접근권한 제한 표시 2 1

3. 기대효과(성과) 기대효과(성과) 개인정보처리시스템 접근권한을 실시간 인사시스템과 연동시켜 직원의 일단위 근태까지도 보안관리를 강화함으로써 통한 개인정보 오남용 등 보안사고 방지 강화 “Clean Privacy Information Protection” 을 향한 심평원 토대 구축 불요불급한 개인정보 접근권한을 세부적이고 체계적으로 관리함으로써 실생활적 개인정보 인식제고 강화

감사합니다