Download presentation
Presentation is loading. Please wait.
1
개인정보보호법 주요 내용
2
개인정보보호법 주요 내용 개인정보의 정의(개인정보보호법 제2조)
살아있는 개인에 관한 정보로서 특정 개인을 알아볼 수 있는 정보 당해 정보만으로는 개인을 식별할 수 없더라도 다른 정보와 용이하게 결합하여 알아볼 수 있는 것을 포함 고유식별정보 학력, 자격증 교육이수 이름, 주소 휴대전화번호 교육 및 훈련정보 가족성명, 직업 소득 학생건강검사기록 예방접종기록 일반적 정보 금융거래 신용 재산정보 성적 종교, 소득분위 습관 및 민감정보 주민등록번호 여권번호,운전면허번호 외국인등록번호 가족정보 신체정보
3
개인정보보호법 주요 내용 개인정보의 정의 개인정보파일
- 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물 개인정보처리자 - 개인정보업무를 목적으로 개인정보 파일을 운용하기 위하여 개인정보를 처리하는 공공기관, 법인, 단체, 개인 등 개인정보보호책임자 - 개인정보의 처리에 관한 업무를 총괄하여 책임지는 자 개인정보취급자 - 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자 등 개인정보처리시스템 - 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스 시스템
4
개인정보보호법 주요 내용 개인정보 보호의 의미 수집·이용 권리 보장 안전성 확보
정당한 개인정보 수집·이용 정보주체의 권리 보장 개인정보파일 안전성 확보 개인정보 보호(Privacy)는 정보주체의 자기정보 결정권을 지키는 것 ※ 정보주체는 본인의 개인정보의 공개와 이용에 관하여 스스로 결정할 권리를 가진다. (헌법재판소)
5
개인정보보호는 개인 ∙ 교육기관 ∙ 국가 안전 및 발전의 필수 요소
개인정보보호법 주요 내용 개인정보 보호의 중요성 국가 교육기관 개인 신분증(학생증) 위조·명의도용·유괴 등 각종 범죄에 악용 우려 스미싱(Smishing)·파밍(Pharming) 등에 의한 금적적 손해 개인정보 유출 교육(행정)기관 이미지 실추 집단 손해배상 및 행정처분 등 재정적 타격 정부, 공공행정의 신뢰성 하락, 국가 브랜드 하락 프라이버시 라운드 대두에 따른 산업 전반의 손해 개인정보보호는 개인 ∙ 교육기관 ∙ 국가 안전 및 발전의 필수 요소 개인정보가 유출 될 경우! * *프라이버시 라운드 : 국제통상 관련 적절한 개인정보 보호수준을 갖춘 국가로만 개인정보 이전
6
수집 이용 저장 관리 제공 위탁 정보 파기 개인정보 처리단계별 준수사항 권리 보장 처리위탁 시 필수사항 (7항목)포함 계약
처리위탁 시 필수사항 (7항목)포함 계약 제3자 제공 시 동의 및 법적 근거 확인 불필요하게 되었을 경우, 지체없이 복구 불가능한 방법으로 파기 개인정보 파기 개인정보 안전성 확보조치 개인정보 보호책임자 및 분야별 책임자 지정 내부관리계획 수립 동의 및 법적 근거 확인 개인정보 최소 수집의 원칙 최소한 개인정보 수집 입증 개인정보처리자 부담 수집 이용 저장 관리 제공 위탁 정보 파기 권리 보장 개인정보 유출통지 신고 및 개인정보 침해신고 개인정보 열람, 정정·삭제, 처리정지권 권리침해 중지 단체소송
7
개인정보 수집 및 이용(법 제15조) 개인정보 수집·이용이 가능한 범위
개인정보 수집·이용이 가능한 범위 ▶ 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 ▶ 정보주체의 동의를 받은 경우 ※ 동의시 : 수집·이용 목적, 수집항목, 보유·이용기간, 동의거부권 등 고지 필요 ▶ 공공기관이 법령 등에서 정하는 소관업무의 수행을 위하여 불가피한 경우 ▶ 정보주체와의 계약 체결 및 이행을 위하여 불가피하게 필요한 경우 ▶ 정보주체 및 법정대리인의 의사 확인을 못하지만 명백하게 정보주체에게 이득인 경우 ▶ 정보주체의 권리보다 우선하지만, 개인정보처리자의 정당한 이익달성에 필요한 경우 사생활을 현저히 침해할 우려가 있는 민감정보 및 고유식별정보는 처리 금지 ▶ 다만, 정보주체에게 별도의 동의를 얻거나, 법령에서 구체적으로 허용된 경우에 한하여 예외적으로 처리 허용 (단, 주민등록번호는 법령에서 허용된 경우에만 처리 가능 정보주체의 동의 시 고지할 사항 ▶ 개인정보의 수집·이용 목적 ▶ 수집하려는 개인정보의 항목 ▶ 개인정보의 보유 및 이용 기간 ▶ 동의 거부할 권리 및 동의 거부에 따른 불이익 경우 불이익의 내용
8
고유식별정보 암호화(법 제24조 제3항, 제24조의2 제2항)
개인정보보호법 주요 내용 주민등록번호 수집금지 : 법 개정(‘ 시행) 고유식별정보 암호화(법 제24조 제3항, 제24조의2 제2항) 2016년 8월 6일 까지 법령 근거없는 주민등록번호는 언제까지 파기?
9
개인정보보호법 주요 내용 개인정보의 위탁 위탁 절차 법 제26조
- 개인정보처리자가 개인정보 처리 업무를 위탁하는 때에는 문서로 처리 - 수탁자를 정보주체가 쉽게 알 수 있도록 공개 - 수탁자가 안전하게 개인정보를 처리하는지 감독 실시 위탁 절차 개인정보취급자 위탁관리계획수립 위탁관리계약체결 개인정보보호책임자 위탁관리사실 공개 수탁자 실태점검 및 교육 위탁관리업무 지도감독 수 탁 자 개인정보의 안전성 확보 조치 업무범위를 초과한 이용 및 제3자 제공 금지
10
개인정보보호법 주요 내용 개인정보의 위탁 위탁 문서에 포함되어야 할 내용 (위탁계약서 작성)
- 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 - 개인정보의 기술적·관리적 보호조치에 관한 사항 - 위탁업무의 목적 및 범위 - 재위탁 제한에 관한 사항 - 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항 - 위탁업무와 관련하여 보유하고 있는 개인정보의 관리현황 점검 등 감독에 관한 사항 - 수탁자가 준수해야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항 ☞ 표준 개인정보처리위탁 계약서 서식 : [업무포털] – [정보보호] 895번 게시물
11
개인정보보호법 주요 내용 개인정보의 제3자 제공 법 제17조 ~ 제20조
- 개인정보 목적 외 이용 및 제3자 제공은 원칙적 불가 - 법 제18조 2항에 의한 경우 제3자 제공 가능 (개인정보 수집 목적 범위 내, 정보주체의 동의를 받은 경우, 법률에 규정이 있는 경우 등) 개인정보 제3자 제공 시 제3자 제공 동의 시 고지항목 개인정보를 제공받는 자 개인정보의 이용 목적 이용 또는 제공 항목 보유 및 이용기간 거부할 권리 및 동의 거부에 따른 불이익 내용 목적 외 이용, 제3자 제공의 공고 개인정보를 목적 외 이용 등을 한 날부터 30일 이내에 홈페이지 게제 하여야 함. 홈페이지 게제 시 10일 이상 계속 게제 게제 항목 : 목적 외 이용한 날짜, 법적 근거, 목적, 개인정보의 항목
12
개인정보보호법 주요 내용 위탁사례 3자 제공 사례 위탁 과 제3자 제공의 차이점 졸업앨범 수학여행 여행자 보험 학생증 제작 등
구 분 개인정보처리 위탁 개인정보 제3자 제공 관련 조항 법 제26조 법 제17조~20조 이전 목적 위탁자의 이익을 위하여 처리 (수탁업무 처리) 제3자의 이익을 위하여 처리 예측가능성 정보주체가 사전 예측 가능 정보주체가 사전 예측 곤란 이전 방법 원칙 : 위탁사실 공개 예외 : 위탁사실 고지 원칙 : 제공목적 등 고지 후 정보주체 동의 획득 관리·감독책임 위탁자 책임(사용자 책임) 제공받는 자 책임 손해배상 책임 위탁자 부담(사용자 책임) 제공받는 자 부담 법적 조치사항 - 위탁계약서 작성 - 위탁 업무 내용 등을 홈페이지 에 공개 - 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무 위탁 시 정보주체에게 고지 - 수탁자에 대한 개인정보 안전처리 여부 관리감독(수탁자 교육, 지도점검 등) - 개인정보 제3자 제공 가능한 경우 정보주체의 동의 획득 법률에 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 등 (수집 목적 범위에서 제공) - 정보주체 목적 외 3자 제공에 대한 별도 동의 획득 시, 고지의무 없음 위탁사례 졸업앨범 수학여행 여행자 보험 학생증 제작 등 (카드기능 연계 하지 않을 경우) 3자 제공 사례 시·군청 등에 학생정보 제공 민간단체 등의 장학금 지급을 위한 학생정보 제공 등 신원조사
13
No!!! 개인정보보호법 주요 내용 무조건 파기! 개인정보의 파기 파기 절차 법 제21조
- 개인정보처리자는 보유기간 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에 지체없이(5일이내) 개인정보를 파기 개인정보 파기계획 수립·시행(개인정보보호책임자) 파기 요청서 제출(개인정보취급자) 파기 승인(개인정보보호책임자) 개인정보 파기(개인정보취급자) 파기 결과 확인(개인정보보호책임자) 개인정보 파기대장 작성(개인정보보호책임자) 「개인정보보호종합지원시스템」에 파기 등록 요청(개인정보 취급자) 「개인정보보호종합지원시스템」 : 무조건 파기! No!!! 파기 절차 문서로 등록하였을 경우 기록물법에 따라 파기!!! 무단파기 금지
14
개인정보보호법 주요 내용 개인정보의 파기 파기 방법 개인정보 전체를 파기하는 경우 - 완전파괴 (소각, 파쇄 등)
- 전용 소자장비를 이용하여 삭제 - 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행 개인정보 일부만을 파기하는 경우 - 전자적 파일 형태 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독 - 기록물, 인쇄물, 서면 등 : 해당 부분을 마스킹, 천공 처리
15
개인정보보호법 주요 내용 유 출 노 출 개인정보 유출 신고 개인정보 유출이란? 개인정보 노출은?
개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실 또는 도난 당한 경우 개인정보가 저장된 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 고의 또는 과실로 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우, 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우 법 제34조, 시행령 제39조~40조, 교육부 지침 제50조~53조 - 개인정보 1만 명 이상 유출 시, 한국인터넷진흥원에 신고(미신고시, 3천 만원 과태료) 개별통보 및 홈페이지에 유출 사실 7일 이상 게제(미 게제 시, 시정조치 명령) - 1명 이상 개인정보 유출 시, 상급기관 경유 5일 이내 유출내용 및 조치결과 교육부에 보고 개인정보 유출 시, 정보주체에게 알려야 할 사항 1. 유출된 개인정보의 항목 유출된 시점과 그 경위 3. 피해 최소화를 위한 정보주체의 조치 방법 4. 기관(학교)의 대응조치 및 피해 구제절차 피해 신고접수 담당부서 및 연락처 개인정보 노출은? 일반 이용자가 해킹 등 특별한 방법을 이용하지 않고, 정상적으로 인터넷을 이용하면서 타인의 개인정보를 취득할 수 있도록 인터넷에 방치되는 경우 개인정보 유출 사고 시 지체없이(5일 이내) 알리지 않은 경우: 과태료 3천만원이하 부과 피해 최소화 대책을 마련하지 않거나 필요한 긴급 조치를 하지 않은 경우: 시정조치명령 유 출 개인정보 포함 문서, 이동식 저장장치, 휴대용 컴퓨터 등을 분실 또는 도난 당한 경우 개인정보 포함된 데이터베이스 등이 정상적인 권한이 없는 자가 접근한 경우 고의·과실로 개인정보가 포함된 파일 또는 문서, 저장매체가 권한 없는 자에게 잘못 전달된 경우 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우 노 출 일반 인터넷 이용자가 해킹 등 특별한 방법을 이용하지 않고, 정상적인 인터넷을 이용하면서 타인의 개인정보를 취득할 수 있도록 인터넷에 방치되는 경우
16
최근 이슈사항
17
공공기관의 정보공개에 관한 법률 제9조(비공개 대상 정보) 제1항 제6호에 의거 성명, 직위는 공개 대상임.
최근 이슈사항 홈페이지에 교직원 명단 공개(국민신문고 민원) 공공기관의 정보공개에 관한 법률 제9조(비공개 대상 정보) 제1항 제6호에 의거 성명, 직위는 공개 대상임. 패찰
18
최근 이슈사항 정보공개포털 원문공개에 의한 개인정보 노출
19
최근 이슈사항 가정통신문 개인정보 노출
20
최근 이슈사항 패찰용 학생증에 주민등록번호 표기 패찰용 학생증에 주민등록번호 표기로 개인정보 노출
법령에서 구체적으로 주민등록번호 처리를 요구하거나 허용한 경우를 제외하고는 처리 금지 (개인정보보호법 제24조의2) 학생증에 주민등록번호를 표기하여 사용할 법적 근거가 없으므로 삭제 조치 (필요 시 생년월일 사용 권장) ※ 교육부 개인정보보호 업무사례집 (96페이지)
21
최근 이슈사항 학생증 발급 시 스마트카드 연동을 위한 주민등록번호 제공
카드사(은행)에서 학생의 주민등록번호를 처리하기 위해서는 정보주체가 직접 카드사(은행)을 방문하여 주민등록번호를 제공 학교는 신용카드 발급을 원하지 않는 학생을 위한 대책을 강구하여 정보제공의 주체인 학생의 선택권을 보장 카드사 책임하에 신용카드(체크카드)의 기능이 결합된 학생증 제작을 목적으로 학생증을 발급하는 경우, 학교가 업무를 위탁한 것이 아닌 제3자인 카드사(은행)에 학생들의 개인정보(주민등록번호 제외)를 제공하는 것 학교에서 카드사(은행) 연계 학생증 발급을 위해 학생 주민등록번호를 제3자에게 제공하는 것은 법적 근거가 없음. - 정보주체의 동의와 상관없이 제3자에게 제공할 수 없다. <개인정보보호법 제24조의2>
22
최근 이슈사항 개인정보 부정 사용 00학교장 특정 교직원 CCTV 녹화물 무단 열람, 개인정보 부정 사용
비위사실 조사 목적으로 영상정보처리기기를 활용한 경우 개인정보보호법 제72조 제1호(영상정보처리기기의 설치목적과 다른 조작)에 해당하여 처벌
23
최근 이슈사항 민감정보 처리 00시 모 중학교에서 예비소집 학생들의 신상정보를 누구나 볼 수 있는 곳에 부착
- 학생들 학업수준 등의 민감정보 민감한 개인 신상정보는 외부에 공개되지 않도록 조치 <개인정보보호법 제 23조>
24
최근 이슈사항 기타 이슈사항 국민신문고 민원 사항
-민간단체 주도 진학설명회에 학교에서 학부모 문자발송 => 개인정보 유출 원문정보공개시스템 개인정보 노출 - 학교폭력 관련 문서 상급기관 보고 시, 공개로 지정 => 언론 보도 학교방문 일지 - 학교 방문 시, 정문에서 학교 방문일지 작성시 개인정보 노출 민원 제기 동창회 100년사 등 작성 - 학교 동창회 100년사 제작을 이유로 졸업생 개인정보 요구 인증서 공유 금지: 인증서는 사이버상의 인감도장과 동일함.(연금공단 등 접속가능) 학교운영위원회 선거인 명부 - 선출관리위원회장이 선거인명부 작성, 학부모 동의를 받아서 작성하여야 함. 학생증 카드사와 연계 제작 - 주민번호 제공 불가, 은행직원이 직접 수집하여야 함.
25
개인정보보호 주요 위반 사례
26
정보보안감사 주요 위반 사례 개인정보보호 개인정보 수집 동의 절차 미준수 (법 제15조, 제17조, 제18조, 제22조~24조) - 홈페이지 회원 가입 시 동의 절차 누락 - 만 14세 미만 아동에 대하여 법정 대리인 동의 절차 누락 - 각종 채용 원서 등에 법적 근거 없는 주민번호 및 과도한 개인정보 수집 개인정보 수집기준 위반, 법정대리인 동의 미획득 (5천만원 이하 과태료) 고유식별정보(주민번호,여권번호,운전면허번호,외국인번호) 처리 기준 위반 (5년 이하 징역 또는 5천만원 이하 벌금)
27
정보보안감사 주요 위반 사례 개인정보보호 개인정보의 안정성 확보 조치 기준 미이행 (법 제29조, 시행령 제30조)
개인정보의 안정성 확보 조치 기준 미이행 (법 제29조, 시행령 제30조) - 내부관리계획 미수립 - 주민등록번호가 포함된 파일에 대하여 비밀번호 설정 없이 업무용 PC에 보관 - 졸업생 학적관리 프로그램 (알리안스, 증명박사, 스쿨폼 등) DB에 대하여 암호화 조치 없이 인터넷이 연결된 PC에서 작업 개인정보 안전성 확보 조치 의무 위반 (3천만원 이하 과태료) 암호화 조치 없이 유출 또는 훼손, 분실 (2년이하 징역 또는 1천만원 이하 과태료)
28
정보보안감사 주요 위반 사례 개인정보보호 개인정보 위탁 업무 처리 절차 미흡 (법 제26조, 시행령 제28조)
개인정보 업무(졸업생 앨범 제작, 학생증 제작 등) 처리를 위탁하는 경우에는 위탁계약서를 작성하고, 위탁 내용을 기관(학교) 홈페이지 개인정보처리방침에 공개를 하여야 하나 이행하지 않은 사례 업무 위탁 시 공개의무 위반 (1천만원 이하 과태료)
29
정보보안감사 주요 위반 사례 개인정보보호 개인정보 파기 절차 이행 미흡 (법 제21조)
- 파기 계획 수립 및 파기 관리대장 기록·관리 미흡 - 보유기간이 경과한 개인정보는 지체없이(5일이내) 파기하여야 함 3천만원 이하 과태료 개인정보 보유 목적 외 제3자 제공에 대한 절차 미흡 (법 제18조, 시행령 제15조) - 개인정보를 보유 목적 외 제3자에게 제공할 경우 제3자 제공대장에 기록·관리하고, 홈페이지에 공개하여야 함 5년 이하 징역 또는 5천만원 이하 과태료
30
정보보안감사 주요 위반 사례 개인정보보호 영상정보처리기기(CCTV) 설치 운영 기준 위반 (법 제25조)
3천만원 이하 과태료 (○) (×)
31
정보보안감사 주요 위반 사례 개인정보보호 CCTV 설치·운영 기준 위반(법 제25조) - CCTV 관리자 화면 노출
- 접근 가능 IP 제한 - 관리자 패스워드 변경 3천만원 이하 과태료
32
정보보안감사 주요 위반 사례 개인정보보호 CCTV 설치·운영 기준 위반(법 제25조) - CCTV 음성 녹음 기능 사용
3년이하 징역 또는 3천만원 이하 벌금
33
개인정보보호를 위한 필수 준수사항
34
1 2 개인정보보호를 위한 필수 준수사항 준수사항 개인정보는 동의 받아 수집하세요 서비스나 업무처리에
회원가입 등 고객의 개인정보를 수집할 때에는 동의를 받으시고, 수집이용 목적, 수집항목, 보유 기간, 거부 시 불이익을 알리고 동의를 받으셔야 합니다. 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집하세요 2 개인정보는 서비스나 업무처리에 꼭 필요한 정보만 수집하며, 주민등록번호나 민감정보는 원칙적으로 수집하지 않습니다.
35
3 4 개인정보보호를 위한 필수 준수사항 준수사항 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공하지 마세요
개인정보를 당초 수집 목적과 다르게 이용하거나 제3자에게 제공할 경우에는 반드시 정보주체의 동의를 받아야 합니다. 개인정보처리업무 위탁은 반드시 문서로 하고 위탁사실을 공개하세요 4 외부에 개인정보의 처리를 위탁하는 경우 홈페이지에 위탁내용과 수탁자를 공개해야 합니다.
36
5 6 개인정보보호를 위한 필수 준수사항 준수사항 개인정보는 안전하게 관리.보관하세요 개인정보는 이용 목적이 달성되면
개인정보 내부관리계획을 수립하고, 개인정보 접근통제, 암호화, 보안 프로그램 등을 설치하고, 개인정보 보관 장소의 출입 통제 또는 잠금장치 등을 마련합니다. 개인정보는 이용 목적이 달성되면 반드시 파기하세요 6 개인정보의 보유기간이 경과하거나, 개인정보의 처리목적이 달성되어 더 이상 불필요한 경우 지체 없이 파기하며, 복구 또는 재생되지 않도록 주의합니다.
37
감사합니다.
Similar presentations