개인정보보호 각급기관 이행사항
DESCRIPTION
개인정보보호 각급기관 이행사항. 교육과학기술부. 2011.11. 목차. 교육 · 연구기관 개인정보보호법 순회교육. 1. 개인정보 처리 주요내용. 2. 안전성 확보를 위한 관리적 조치. 2011.05. 3. 안전성 확보를 위한 기술적 조치. 4. 교육과학기술부 추진사항. 교육과학기술부. 01. 개인정보 처리 주요내용. ( 수집 · 이용 · 제공 · 파기 ). 1. 개인정보의 수집 ․ 이용 기준 (1). 학교의 학생정보 => 법령에 의거수집 ( 초중등교육법 생활기록부관리명시 ) - PowerPoint PPT PresentationTRANSCRIPT
2011.11.
개인정보보호
각급기관 이행사항
교육과학기술부
교육과학기술부
2011.05
교육 · 연구기관
개인정보보호법 순회교육
목차
1
2
3
4
개인정보 처리 주요내용
안전성 확보를 위한 관리적 조치
안전성 확보를 위한 기술적 조치
교육과학기술부 추진사항
개인정보 처리주요내용
01( 수집 · 이용 · 제공 · 파기 )
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정 , 법령상 의무 준수를 위해 불가피한 경우
3. 법률 등에서 정한 공공기관의 소관업무 수행을 위해 불가피한 경우
4. 정보주체와의 계약 체결 · 이행을 위해 불가피한 경우
5. 정보주체 등의 생명 , 신체 , 재산의 이익 보호 ( 사전동의 받기 곤란한
경우 )
6. 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 - 명백하게 정보주체의 권리보다 우선 ( 정보주체의 과도한 프라이버시 침해는 허용 불가 )
1.1. 개인정보의 수집․이용 기준 (1)1.1. 개인정보의 수집․이용 기준 (1)
학교의 학생정보 => 법령에 의거수집( 초중등교육법 생활기록부관리명시 )
=> 동의 없이 수집가능
학교의 학생정보 => 법령에 의거수집( 초중등교육법 생활기록부관리명시 )
=> 동의 없이 수집가능
[ 법 15 조 ][ 법 15 조 ]
공공기관이 법령 등에서 규정한 소관업무 수행 등을 위해 필요한
경우 개인정보 수집 · 이용 가능
‘ 법령 등에서 정하는 소관업무 수행’ 을 위해 불가피한 경우 에만
동의 없이 개인정보 수집 · 이용 가능
- 법령 등에서 구체적으로 규정하고 있는 소관업무 수행과 관련된
경우가 아니면 개인정보 수집 · 이용 불가능
- 법령 : 법률 , 시행령 , 시행규칙 ( 자치조례 X, 규칙 X)
1.1. 개인정보의 수집․이용 기준 (2)1.1. 개인정보의 수집․이용 기준 (2)
공공기관이 정보주체의 동의를 받아 개인정보를 수집 · 이용하고자
하는 경우 미리 정보주체에게 개인정보의 수집 · 이용 목적 등을 고지
< 고지항목 ( 제 15 조제 2 항 )> 1. 개인정보의 수집ㆍ이용 목적 2. 수집하려는 개인정보의 항목 3. 개인정보의 보유 및 이용 기간 4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
수집목적에 필요한 최소한의 개인정보만을 수집하여야 하며 ,
최소한의
개인정보라는 입증책임을 공공기관이 부담
- 정보주체가 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는
이유로 정보주체에게 재화 또는 서비스제공 거부 금지
2.2. 개인정보의 수집 · 이용 절차 · 방법 (1)2.2. 개인정보의 수집 · 이용 절차 · 방법 (1)
개인정보 수집 시 수집의 법적 근거 등을 문서
또는 인터넷 홈페이지를 통해 정보주체가
그 내용을 쉽게 확인할 수 있도록 안내
- 개인에 대한 개별적인 고지 시스템 도입 필요
입증책임을 공공기관에 부과하고 위반시 처벌
2.2. 개인정보의 수집 · 이용 절차 · 방법 (2)2.2. 개인정보의 수집 · 이용 절차 · 방법 (2)
정보주체의 동의를 받을 때 각각의 동의사항을 구분하여 정보주체가
명확히 인지할 수 있도록 알리고 동의
3.3. 개인정보 처리에 대한 동의 방법ㆍ절차(1)3.3. 개인정보 처리에 대한 동의 방법ㆍ절차(1)
동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보 구분
홍보ㆍ판매 권유 목적의 개인정보 처리에 대한 동의를 받을 때에는
정보주체에게 그 사실을 명확히 알리고 동의
- 일괄동의 X- 종이로 동의를 받아 전자화하는 경우 전자화한다는 문구 꼭 명시하여 동의 받아야 함
- 일괄동의 X- 종이로 동의를 받아 전자화하는 경우 전자화한다는 문구 꼭 명시하여 동의 받아야 함
9
서비스 제공 등을 위해 필수적인 최소한의 개인정보 외에는 개인정보
처리의 동의 여부 , 동의 범위 등을 정보주체가 자유스럽게 선택할 수
있도록 조치
- 개인정보 처리거부를 이유로 재화 또는 서비스 제공 거절 불가
4.4. 개인정보 처리에 대한 동의 방법ㆍ절차(2)4.4. 개인정보 처리에 대한 동의 방법ㆍ절차(2)
14 세 미만 아동의 개인정보도 반드시 법정 대리인의 동의를 받아야
가능
초 · 중학교 회원정보는 ( 학교홈페이지 등 ) 학부모 동의 필요( 사전정보 ) 대리인의 동의 없이최소한의 정보를 수집할 수 있다( 사전정보 ) 대리인의 동의 없이최소한의 정보를 수집할 수 있다
법령 등에서 정하는 공공기관의 소관업무 수행 등을
위해 필요한 경우 개인정보 제 3 자 제공 또는 공유
가능
※ 개인정보 수집 · 이용의 경우와 달리 계약 체결 및 이행 ,
개인정보 처리자의 정당한 이익달성 목적으로는 제 3 자
제공 · 공유 불가
- 공공기관도 법령 등에서 정한 소관업무를 통해 , 국민의 생명 · 신체
· 재산 보호 등을 위해 제 3 자 제공 및 공유 가능
5.5. 개인정보 제공 · 공유 기준5.5. 개인정보 제공 · 공유 기준
정보주체의 동의를 받아 개인정보를 제 3 자에게 제공 또는 공유하고자
하는 경우에는 미리 정보주체에게 제공받는 자 등을 미리 고지
< 고지항목 ( 법 제 17 조제 2 항 )>
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
개인정보를 국외의 제 3 자에게 제공할 때에도 제 17 조제 2 항의
사항을
정보주체에게 알리고 동의 획득 필요
- 이 법을 위반하는 내용으로 개인정보 국외이전에 관한 계약체결 금지
6.6. 개인정보 제공 · 공유 절차 · 방법6.6. 개인정보 제공 · 공유 절차 · 방법
개인정보는 법령에서 정하고 있거나 사전에 이용ㆍ제공의 목적을
고지하고 동의 받은 범위 내에서만 이용 또는 제공 가능
< 목적 외 이용 및 제 3 자 제공이 가능한 경우 >
1. 정보주체의 별도 동의
2. 통계작성ㆍ학술연구 등의 목적을 위하여 필요한 경우 , 개인정보보호위원회의
심의ㆍ의결을 거친 경우
3. 범죄의 수사 , 공소 제기 및 유지 , 법원의 재판업무 수행을 위해 필요한 경우 등
- 정보주체 또는 제 3 자의 이익을 침해할 우려가 있는 때에는 목적
외 의
용도로 이용하거나 제 3 자에게 제공 불가
- 목적 외 이용 또는 제공을 위해서는 별도의 동의를 받아야 함
7.7. 개인정보 목적 외 이용ㆍ제공 기준7.7. 개인정보 목적 외 이용ㆍ제공 기준
학생정보 -> 목적외 : 외부기관제공 목적내 : 학교내이용학생정보 -> 목적외 : 외부기관제공 목적내 : 학교내이용
1. 정보주체의 동의 또는 정보주체에게 제공하는 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 명백히 정보주체 또는 제 3 자의 급박한 생명 , 신체 , 재산 이익을 위해 필요한 경우
( 의사표시 불능상태 , 주소불명 등 사전동의를 받을 수 없는 경우 )
4. 통계작성 , 학술연구 등을 위한 목적으로 개인을 알아볼 수 없는 형태로 제공
5. 다른 법률상의 소관업무 수행 불가한 경우 ( 보호위원회의 심의ㆍ의결 )
6. 조약 , 국제협정 이행을 위해 외국정부ㆍ국제기구 제공에 필요한 경우
7. 범죄의 수사 , 공소의 제기ㆍ유지를 위해 필요한 경우
8. 법원의 재판업무 수행을 위해 필요한 경우
9. 형 ( 刑 ) 및 감호 , 보호처분 집행
※ 제 5 호 ~ 제 9 호는 공공기관만 해당
[ 참고 ] 개인정보의 목적 외 이용ㆍ제공 기준 [ 법 제 18 조 2항 ][ 참고 ] 개인정보의 목적 외 이용ㆍ제공 기준 [ 법 제 18 조 2항 ]
정보주체의 별도 동의를 받아 개인정보를 목적 외로 이용 또는
제공하고자 하는 경우에는 미리 정보주체에게 제공받는 자 등을 미리
고지< 고지항목 ( 제 18 조 제 3 항 )>
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적 ( 제공 시에는 제공받는 자의 이용 목적을 말한다 )
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간 ( 제공 시에는 제공받는 자의 보유 및 이용 기간 )
정보주체의 별도 동의 없이 목적 외로 이용하거나 제 3 자에게
제 공 하 는
경우 그 법적 근거 , 목적 , 범위 등에 관한 사항을 관보ㆍ홈페이지
등 에
게재
8.8. 개인정보 목적 외 이용ㆍ제공 절차ㆍ방법8.8. 개인정보 목적 외 이용ㆍ제공 절차ㆍ방법
정보주체의 요구가 있으면 수집출처 , 처리목적 , 개인정보 처리정지
요구권이 있다는 사실을 고지할 의무 발생
< 고지의무 예외 사항 >
1. 국가안전 , 외교상 비밀 , 범죄수사 등 목적의 일부 개인정보파일의 경우
2. 고지로 인해 타인의 생명ㆍ신체를 해할 우려가 있거나 타인의 재산 등 이익에 대한
부당한 침해 우려가 있는 경우
9.9. 정보주체 이외로부터 개인정보 수집ㆍ이용 기준9.9. 정보주체 이외로부터 개인정보 수집ㆍ이용 기준
정보주체의 이외로부터 수집 시 수집 출처 등 고지 의무화정보주체의 이외로부터 수집 시 수집 출처 등 고지 의무화 (( 법 제법 제 2020조조 ))
[ 문서작성 의무 ] 개인정보 처리 업무를 위탁시 문서에 의해야 함
10.10. 업무위탁에 따른 개인정보 처리 기준10.10. 업무위탁에 따른 개인정보 처리 기준
[ 재 제공 금지 의무 ] 수탁자는 위탁 받은 업무 범위를 초과한
개인정보
이용 및 제 3 자 제공 불가
[ 고지 의무 ] 위탁업무 내용 및 수탁자를 언제든지 확인가능하도록
공개 [ 관리감독 의무 ] 그 밖에 공공기관은 개인정보 분실ㆍ도난ㆍ훼손
등을
방지하기 위해 수탁자에 대한 교육 , 처리상태 점검 등 수탁자에 대한
관리 감독 책임
개인정보 처리 업무 개인정보 처리 업무 위탁 시 문서에 의하도록 의무화위탁 시 문서에 의하도록 의무화
•학교홈페이지 외부업체 호스팅의 경우 주의•보험가입 , 수학여행처리등 외부업체 정보제공* NEIS 개인정보처리 -> 위탁 X, 정보처리주체 -> 학교
•학교홈페이지 외부업체 호스팅의 경우 주의•보험가입 , 수학여행처리등 외부업체 정보제공* NEIS 개인정보처리 -> 위탁 X, 정보처리주체 -> 학교
민감정보는 원칙적으로 민감정보는 원칙적으로 ‘‘ 처리처리’ ’ 금지금지
예외적으로만 처리 가능 예외적으로만 처리 가능
11. 11. 민감정보의 처리 기준 11. 11. 민감정보의 처리 기준
< 민감정보의 정의 >( 법 제 23 조 )
사상 · 신념 , 노동조합 · 정당의 가입 · 탈퇴 , 건강 , 성생활 등에 관한
정보 및
그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보
< 예외적 허용 >
1. 다른 개인정보의 처리에 대한 동의와 별도로 정보주체의 동의를
받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
< 고유식별정보의 정의 >
법령에 따라 개인을 고유하게 구별하기 위해 부여된 식별정보
( 주민등록번호 , 운전면허번호 , 여권번호 , 외국인등록번호 등 )
< 예외적 허용 >
1. 다른 개인정보의 처리에 대한 동의와 별도로 정보주체의 동의를 받은 경우
2. 법령에서 고유식별정보의 처리를 요구하거나 허용하는 경우
법령에서 구체적으로 처리를 요구하거나 허용하는 경우만
처리가능
- 정보주체의 동의받아 민감정보 처리시 다른 정보와 구분해 별도
동의 필요
주민등록번호 등 고유식별정보는 원칙적 처리금지주민등록번호 등 고유식별정보는 원칙적 처리금지 (( 법 제법 제 2424 조조 ))
12. 12. 고유식별고유식별정보의 처리 기준정보의 처리 기준12. 12. 고유식별고유식별정보의 처리 기준정보의 처리 기준
대체수단이용방법
주민번호를 사용하지 않고 회원으로 가입할 수 있는
방법 제공 ( 전자서명 , I-PIN, 휴대전화인증 등 )
주민번호이용방법
암호화 안전성 확보조치 필수
인터넷 본인확인을 위한 대체수단 강구 의무화 회원가입절차를 화면에 명시
2 개의 가입방법을 하나의 화면에 제공
13. 13. 고유식별고유식별정보의 처리 방법정보의 처리 방법 ··절차절차13. 13. 고유식별고유식별정보의 처리 방법정보의 처리 방법 ··절차절차
14. 14. 개인정보 파일관리 (1)14. 14. 개인정보 파일관리 (1)
개인정보파일대장 작성개인정보파일대장 작성 1 개의 개인정보 파일애 1 개의 대장 작성
※ 개인정보 보호법 시행규칙 [ 별지 제 2 호서식 ] 참고
보유기간
산정
개별 법령의 규정에 명시된 보존기간에 따라 산정
보유기간이 명시되지 않은 경우 개인정보 보호책임자와 협의 후 기관장 결재로 산정
보유기간
책정
개인정보파일 보유기간 책정 기준표 활용
공공기록물 관리에 관한 법령기록관리기준표 상회 금지
개인정보파일목록전수조사 필히 12.31까지 완료 ( 전자파일 목록 만 )
개인정보파일목록전수조사 필히 12.31까지 완료 ( 전자파일 목록 만 )
보유보유정책고객정책고객정책고객정책고객 대국민서비스대국민서비스
고객명부고객명부대국민서비스대국민서비스
고객명부고객명부
홈페이지회원홈페이지회원홈페이지회원홈페이지회원
14. 14. 개인정보 파일관리 (2)14. 14. 개인정보 파일관리 (2)
2 년 주기 정보주체의 재동의시 계속 보유
[ 표준 개인정보 보호지침 제 64 조 ]
15. 15. 개인정보 파기의 방법 · 절차 15. 15. 개인정보 파기의 방법 · 절차
공공기관이 개인정보의 처리 목적 달성 등으로 해당 개인정보가공공기관이 개인정보의 처리 목적 달성 등으로 해당 개인정보가
불필요하게 되었을 때는 지체 없이 파기 불필요하게 되었을 때는 지체 없이 파기
개인정보의 파기 시기개인정보의 파기 시기- 보유기간의 경과된 경우 : 종료일로부터 5 일 이내 - 처리 목적 달성 등 불필요 경우 : 불필요 인정일 부터 5 일 이내
개인정보의 파기 방법개인정보의 파기 방법- 복원 불가능하게 영구삭제복원 불가능하게 영구삭제- 전자적 파일 형태 : 현재 기술수준에서 적절한 비용 소요 방법 ( 물리적파기 , 전자소거 )
- 기록물 , 인쇄물 , 기타 기록매체 : 파쇄 또는 소각
다른법령에 따라 보존할 경우다른법령에 따라 보존할 경우개인정보 및 개인정보파일을 다른 정보와 분리하여 저장․관리
안전성 확보를 위한관리적 조치
02
개인정보 처리자 관리적 조치 의무
안전한 처리를 위한 내부관리계획 수립 및 시행
개인정보를 직접 처리하는 직원 , 수탁자 등 교육
내부관리계획에 대한 정기적인 자체 감사
개인정보 보호책임자의 지정에 관한 사항
개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
개인정보의 안전성 확보에 필요한 조치에 관한 사항
개인정보취급자에 대한 교육에 관한 사항
☞ 예시 붙임 1 참조
내부관리계획의 수립시 포함할 내용
1. 1. 개인정보 처리자 개인정보 처리자 관리적 조치1. 1. 개인정보 처리자 개인정보 처리자 관리적 조치
개인정보보호세부추진계획개인정보보호세부추진계획
개인정보 책임자 지정
1. 중앙행정기관 : 고위공무원단
2. 시도교육청 : 3 급 이상
3. 교육지원청 : 4 급 이상
4. 대 학 : 처․실․국장 등
5. 초 . 중 . 고 : 행정사무 총괄 ( 교장 )
6. 공공기관 : 개인정보처리 관련 담당 부서장
2. 2. 개인정보 보호책임자 지정기준개인정보 보호책임자 지정기준2. 2. 개인정보 보호책임자 지정기준개인정보 보호책임자 지정기준
3. 3. 개인정보파일 등록개인정보파일 등록 ·· 공개공개3. 3. 개인정보파일 등록개인정보파일 등록 ·· 공개공개
개인정보파일의 명칭 , 운영 근거 및 목적
개인정보파일에 기록되는 개인정보의 항목
개인정보의 처리방법 및 보유기간
개인정보를 통상적 또는 반복적으로 제공하는 경우에는
그 제공받는 자
그 밖에 대통령령으로 정하는 사항
개인정보파일 등록 사항개인정보파일 등록 사항
4. 개인정보 파일 등록
개인정보파일 등록개인정보파일 등록
개인정보 보호책임자는 등록 , 변경 사항 검토 및 적정성 판단 각급기관에서 종합지원시스템 (intra.privacy.go.kr) 에 입력
공통업무 개인정보파일 표준목록 참고 ( 표준목록 이외도 대상 임 )
교육과학기술부의 승인 후 행정안전부에 등록
대상기관 : 교육청 및 각급학교 , 소속기관 , 공공기관 등록시스템 : 개인정보보호 종합지원시스템 (intra.privacy.go.kr) 등록시기 : 시스템 운영일로 부터 60 일 이내 ※ 기존파일 변경 및 미등록 기관 (11.30까지 등록 ) 개인정보 침해가 우려될 경우 영향평가 수행 후 등록
개인정보파일 등록 절차개인정보파일 등록 절차
▪ 국가 안전 , 외교상 비밀 , 그 밖에 국가의 중대한 이익에 관한 사항을
기록
한 개인정보파일
▪ 범죄의 수사 , 공소의 제기 및 유지 , 형 및 감호의 집행 , 교정처분 ,
보호
처분 , 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
▪ 조세범처벌법에 따른 범칙행위 조사 및 관세법에 따른 범칙행위
조사에
관한 사항을 기록한 개인정보 파일
▪ 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
※ 급여 , 인사 , 회계 , 예비군 등 /CCTV영상 , 1 회성 파일
▪ 다른 법령에 따라 비밀로 분류된 개인정보파일
5. 개인정보파일 등록 면제 대상개인정보파일 등록 면제 대상
5. 5. 개인정보 처리방침 수립 · 시행5. 5. 개인정보 처리방침 수립 · 시행
개인정보의 처리 목적
개인정보의 처리 및 보유 기간
개인정보의 제 3 자 제공에 관한 사항 ( 해당되는 경우 )
개인정보처리의 위탁에 관한 사항 ( 해당되는 경우 )
정보주체의 권리 · 의무 및 그 행사방법에 관한 사항
처리하는 개인정보의 항목
개인정보의 파기에 관한 사항
개인정보의 안전성 확보조치에 관한 사항
개인정보 처리방침에 포함해야 할 사항개인정보 처리방침에 포함해야 할 사항
공공기관은 개인정보처리방침을 정해 정보주체가 쉽게 확인공공기관은 개인정보처리방침을 정해 정보주체가 쉽게 확인할 수 있는 방법으로 할 수 있는 방법으로 공개 공개 (( 홈페이지홈페이지 ))
※ 방침 수립 및 공개에 관한 지침은 추후 제공 (2011. 11월 중 ) ※ 홈페이지가 여러 개인 경우 메인 홈페이지에 게시하고 링크하여 공유
인터넷 홈페이지를 통해 지속적으로 게재
홈페이지 첫 화면 또는 연결 화면
글자크기 , 색상 등을 활용 다른 고지와 구분
관보 , 신문 ( 시․도 이상 주된 보급지역 ), 인터넷 신문
간행물 , 소식지 , 홍보지 , 청구서 등 지속적 게재
글자크기 , 색상 등을 활용 다른 고지와 구분
6. 6. 개인정보 처리방침 공개방법개인정보 처리방침 공개방법6. 6. 개인정보 처리방침 공개방법개인정보 처리방침 공개방법
홈페이지 게재 방법
홈페이지에 게재 할 수 없는 경우
7. 7. 개인정보 영향평가개인정보 영향평가7. 7. 개인정보 영향평가개인정보 영향평가
영향평가 대상
신규시스템 : 시스템 설계 단계 (3 개월 이내 계획수립 ‘ 12. 9.30
완료 )
현재 운용 및 구축 중인 기관은 5 년 이내 평가 후 행안부에 제출
영향평가 방법 : 행정안전부가 지정한 평가기관에 의뢰
영향평가 시기 및 방법
전자적 처리의 개인정보파일
• 구축ㆍ운용 , 변경시 5 만명 이상 ( 민감 , 고유정보 ) • 내부 , 외부의 개인정보파일과 연계 50 만명 이상• 100 만명 이상의 개인정보파일• 영향평가 실시 후 변경은 변경 부분만 평가
03안전성 확보를 위한
기술적 조치
1. 1. 접근 권한의 관리접근 권한의 관리 (1)(1)1. 1. 접근 권한의 관리접근 권한의 관리 (1)(1)
대상 시스템 대상 시스템 개인정보처리시스템
개인정보처리시스템은 개인정보의 체계적인 처리를 위한
DBMS 을 말함
개인정보처리 제외
PC, 노트북 등 업무용 컴퓨터는 제외
접근권한 범위 접근권한 범위 업무수행 은 최소한의 범위로 차등부여
개인정보 책임자 : 읽기 /쓰기 /변경 권한
개인정보 취급자 : 읽기권한
1. 1. 접근 권한의 관리접근 권한의 관리 (2)(2)1. 1. 접근 권한의 관리접근 권한의 관리 (2)(2)
접근권한 조치 시기접근권한 조치 시기 개인정보 취급자 변경 시
전보 , 퇴직 , 인사이동 시 지체 없이 변경 또는 말소
접근권한 기록보관접근권한 기록보관 최소 3 년
개인정보 책임자 : 읽기 /쓰기 /변경 권한
개인정보 취급자 : 읽기권한
계정계정 (ID) (ID) 발급 발급 1 인당 1 개 ( 책임 추적성 확보 )
동일 업무 수행 시 계정 (ID) 공유 불허
비밀번호 작성 규칙 수립 적용 개인정보처리시스템 및 접근통제시스템 등에 적용
비밀번호 설정 원칙
문자 종류에 따라 구성 ( 문자 , 숫자 , 특수문자 )
※ 최소 10 자리 (2 종류 ) 또는 9 자리 (3 종류 ) 이상
추측하기 어려운 비밀번호 생성 동일한 비밀번호 사용 제한 : 2 개 비밀번호 교대
사용 비밀번호 변경 주기
비밀번호에 유효기간 설정 , 최소 6 개월 마다 변경
비밀번호 안전성 검증 한국인터넷진흥원 (KISA) 에서 안전성 검증 소프트웨어 보급
2. 2. 비밀번호 관리비밀번호 관리2. 2. 비밀번호 관리비밀번호 관리
3. 3. 접근통제 시스템 설치 및 운영3. 3. 접근통제 시스템 설치 및 운영
침입차단시스템• 방화벽(Firewall) • 웹방화벽• 보안 OS
• 침입탐지 (IDS)• 차단기능• 네트워크 ACL
침입방지시스템
접속권한은 IP 주소로 한정하여 인가 받지 않은 접근을 제한
접속한 IP 주소 분석으로 불법적인 유출 시도 탐지
업무용 컴퓨터 및 개인정보처리시스템 P2P, 사용 공유금지
개인정보처리시스템의 외부망 접속은 원칙적으로 차단
※ 외부에서 접속 시 VPN, 전용선 사용
4. 4. 개인정보 전송 전달시 암호화4. 4. 개인정보 전송 전달시 암호화
암호화대상
암호화방법
정보통신망을 통하여 개인정보를 내 /외부에 송 /수신
개인정보를 저장매체 등을 통하여 전달 시 암호화
※ 암호화 정보 암호화 정보 : : 고유식별정보고유식별정보 , , 비밀번호비밀번호 , ,
바이오정보바이오정보
보안서버 (SSL : Secure Socket Layer)
표준보안 API(GPKI) 나 암호화 SW 사용
암호기능 보조저장매체 사용
개인정보 암호화 저장
학교홈페이지 등 SSL적용 12.31까지 적용
완료
학교홈페이지 등 SSL적용 12.31까지 적용
완료
5. 5. 개인정보 저장시 암호화5. 5. 개인정보 저장시 암호화
암호화
대상
비밀번호비밀번호
복호화 되지 않도록 일방향 암호화
바이오정보바이오정보 (( 지문지문 ,, 홍채홍채 ) ) 암호화암호화
양방향 ( 식별 및 인증에 대한 고유기능에 한정 )
고유식별정보 암호화고유식별정보 암호화
의무적용 : 인터넷 구간과 DMZ 구간
선택적용 : 내부망 ( 영향평가 , 위험도분석 ) 결과 적용
※ 내부망은 접근통제시스템에 의해 차단되어
외부에서 직접 접근이 불가능한 영역
39
6. 6. 개인정보 저장시 암호화 망 구성도6. 6. 개인정보 저장시 암호화 망 구성도
예 ) 내부망 구성도
7. 7. 개인정보 저장 암호화 (1)7. 7. 개인정보 저장 암호화 (1)
안전한 암호알고리즘 사용
⇒ 미국 NIST, 일본 CRYPTREC, 유럽 ECRYPT 등의
국내외 암호 연구기관에서 권고하는 알고리즘
속도 및 성능을 고려한 암호화
⇒ 일부 정보만 암호화 조치 ( 주민번호 뒤 6 개 이상 )
예 ) 701001-1#####&
⇒ 주민등록번호 등과 매핑한 서비스번호 부여 사용
※ 서비스번호 및 매핑 주민번호는 암호화
암호화 방법
조직내 의사결정권자의 결재로 암호화 적용
암호화 계획
암호화 시기
정보시스템을 신규 구축하는 경우 , 즉시 이행
저장관리
고유식별정보 및 서버의 자료를 PC 에 내려 받아 저장하는 경우
⇒ 원칙 PC 저장금지 ( 암호기능 있는 보조기억매체 저장 )
⇒ 암호화 소프트웨어 등을 이용하여 암호화
7. 7. 개인정보 저장 암호화 (2) 7. 7. 개인정보 저장 암호화 (2)
필수항목 내용
ID 개인정보취급자 식별정보
날짜 및 시간 접속일시
접속자 IP 주소 접속지 정보
수행업무 입력 , 열람 , 수정 , 삭제 , 인쇄 등
8. 8. 접속기록의 보관 및 위ㆍ변조 방지8. 8. 접속기록의 보관 및 위ㆍ변조 방지
보관내용
※ 보관기간 : 6 개월 이상
보관방법
전자적으로 자동 로그파일 생성 정기적으로 백업 , 별도의 저장매체에 보관
⇒ 덮어쓰기 방지매체 사용 권장 (CD-ROM) ⇒ HDD 등은 위ㆍ변조 확인정보를 별도 HDD 에 보관
9. 9. 보안프로그램 설치 및 운영9. 9. 보안프로그램 설치 및 운영
백신 백신 SW SW 설치 및 운영설치 및 운영 악성프로그램 방지 및 치료
바이러스 , 인터넷 웜 , 스파이웨어 등
보안 프로그램의 자동업데이트보안 프로그램의 자동업데이트 자동업데이트 또는 일 1 회 이상 주기적 업데이트 설치
백신 자동업데이트 (VMS), PMS
악성악성 프로그램 경보발령 및 프로그램 경보발령 및 보안 업데이트 공지보안 업데이트 공지 OS ㆍ응용프로그램 취약점 즉시 업데이트
자동 보안 업데이트 설정 방법은 보호나라 웹사이트 참고
www.boho.or.kr
10. 10. 개인정보보호법 경과 조치개인정보보호법 경과 조치 (1)(1)10. 10. 개인정보보호법 경과 조치개인정보보호법 경과 조치 (1)(1)
법률적용
고유식별정보의 처리 제한 대체수단고유식별정보의 처리 제한 대체수단 (I-PIN) (I-PIN) 적용적용 (2012. 3. (2012. 3.
30)30)
처리 중인 개인정보에 관한 경과조치처리 중인 개인정보에 관한 경과조치
법 시행전 다른 법령에 따라 적법하게 처리된 정보는
이 법에 따라 처리된 것으로 봄
벌칙의 적용에 관한 경과조치벌칙의 적용에 관한 경과조치
종전의 공공기관의 개인정보에 관한 법률을 위반한
행위는 종전 법률 적용 ( 법 소급적용 X)
10. 10. 개인정보보호법 경과 조치개인정보보호법 경과 조치 (2)(2)10. 10. 개인정보보호법 경과 조치개인정보보호법 경과 조치 (2)(2)
시행령 적용
대체가입수단 (I-PIN) 제공 의무자 및 과태료부과 시행 (2012. 3. 30)
※ 위반 행위별 과태료 부과기준 ( 붙임 2 참고 )
개인정보 암호화 적용 : 2012. 12. 31
개인정보파일 등록 시행일부터 60 일 이내 ( 시행전 등록기관 제외 )
영향평가 적용 구축․운영 및 구축 중인 기관 5 년 이내
10. 10. 개인정보보호법 경과 조치개인정보보호법 경과 조치 (3)(3)10. 10. 개인정보보호법 경과 조치개인정보보호법 경과 조치 (3)(3)
처리중인 개인정보에 관한 경과조치법 시행 전 수집된 개인정보
근거법령 없이 개인정보를 수집한 경우 당해 개인정보를 보유하고 , 수집목적 범위의 처리는 적법
근거법률 없이 제 3 자로부터 제공받은 경우 목적 외의 용도 이용자는 정보주체의 동의 필요
새롭게 정보주체의 동의를 받을 경우법 시행 전에 수집한 개인정보를 포함하여 이용 가능
개인정보보호법 관련개인정보보호법 관련
교육과학기술부 교육과학기술부 추진사항추진사항
04
교육과학기술부에서 개정중인 법령 (7개 )
⇒ 학적부 작성․관리 등 학사관리에 관한 사무를 수행하기 위해 반드시 필요⇒ 대입원서 , 학생부 , 수학능력시험정보 등 다양한 입학전형 자료를 구분
1. 개인정보 수집을 위한 법령 개정 및 근거마련
고등고등교육법시행령 제교육법시행령 제 44 조조 (( 학칙학칙 )) 제제 11 항항
⇒ 학적관리 , 주민등록번호 등 개인정보 수집에 대한 근거
미비
고등교육법 시행령고등교육법 시행령
기술사법 시행령기술사법 시행령 허위신고․등록 방지 및 과태료 부과를 위한 본인확인
유아교육법 시행령유아교육법 시행령 (11(11월중 완료월중 완료 ))
유치원 설립자의 신원 조회 등
유아학비 지원신청과 관련한 정보시스템 운영
취업후 학자금 상환 특별법 시행령취업후 학자금 상환 특별법 시행령 취업 후 학자금 대출 상환관리 ( 소득에 따른 의무적 상환 )
2. 2. 교육과학기술부에서 개정중인 법령2. 2. 교육과학기술부에서 개정중인 법령
평생교육법 시행령평생교육법 시행령 학습계좌 증명서의 사회적 통용을 위하여 본인 여부 확인
학점인정 등에 관한 법률 시행령학점인정 등에 관한 법률 시행령 학위수여를 위해 고유식별정보를 통한 학력인정 사항 확인
한국장학재단 설립 등에 관한 법률 시행령한국장학재단 설립 등에 관한 법률 시행령 학자금 지원관련으로 본인 , 부모 , 배우자의 근로소득 , 재산
소득 , 금융소득 등 관련자료를 학자금 지원업무 수행시
관련기관에 요청
2. 2. 교육과학기술부에서 개정중인 법령2. 2. 교육과학기술부에서 개정중인 법령
대체수단대체수단 (I-PIN)(I-PIN) 적용을 위한 기술지원 서비스 운영적용을 위한 기술지원 서비스 운영 I-PIN I-PIN 시스템시스템 구축 상담 지원구축 상담 지원 http://g-pin .go.kr/ http://g-pin .go.kr/ 및 공공및 공공 I-PIN I-PIN 사업단사업단 문의문의
안전한 개인정보 송안전한 개인정보 송․․수신을 위한 수신을 위한 보안서버보안서버 (SSL)(SSL) 기술 지원기술 지원 보안서버보안서버 시스템 구축 설치 안내 및 교육시스템 구축 설치 안내 및 교육 원격 기술지원 및 구축 독려원격 기술지원 및 구축 독려 (( 매월말매월말 )) 보안서버 자가진단 시스템 운영보안서버 자가진단 시스템 운영 전자서명인증센터전자서명인증센터 (secure.epki.go.kr)(secure.epki.go.kr) 콜센터 콜센터 02-2118-1755 02-2118-1755
전자서명 전자서명 보안서버보안서버 (API)(API) 기술 지원기술 지원 구축대상 기관 기술교육구축대상 기관 기술교육 시스템 구축 컨설팅 및 기술지원시스템 구축 컨설팅 및 기술지원 33 자단가 계약에 의한 컨설팅 및 방문 설치 지원자단가 계약에 의한 컨설팅 및 방문 설치 지원
3. 3. 안전성 확보를 위한 기술지원3. 3. 안전성 확보를 위한 기술지원
붙 임붙 임
붙임 붙임 1. 1. 개인정보 내부관리계획 목차 ( 예시 )붙임 붙임 1. 1. 개인정보 내부관리계획 목차 ( 예시 )
제 1 장 총칙
제 1 조 ( 목적 )
제 2 조 ( 적용범위 )
제 3 조 ( 용어 정의 )
제 2 장 내부관리계획의 수립 및 시행
제 4 조 ( 내부관리계획의 수립 및 승인 )
제 5 조 ( 내부관리계획의 공표 )
제 3 장 개인정보보호책임자의 의무와 책임
제 6 조 ( 개인정보보호책임자의 지정 )
제 7 조 ( 개인정보보호책임자의 의무와 책임 )
제 8 조 ( 개인정보취급자의 범위 및 의무와 책임 )
붙임 붙임 1. 1. 개인정보 내부관리계획 목차 ( 예시 )붙임 붙임 1. 1. 개인정보 내부관리계획 목차 ( 예시 )
제 4 장 개인정보의 처리단계별 기술적 · 관리적 안전조치
제 9 조 ( 개인정보취급자 접근 권한 관리 및 인증 )
제 10 조 ( 접근통제 )
제 11 조 ( 개인정보의 암호화 )
제 12 조 ( 접근기록의 위변조 방지 )
제 13 조 ( 보안프로그램의 설치 및 운영 )
제 14 조 ( 물리적 접근제한 )
제 5 장 개인정보보호 교육
제 6 장 개인정보 침해대응 및 피해구제
붙임 붙임 2. 2. 과태료의 부과기준과태료의 부과기준붙임 붙임 2. 2. 과태료의 부과기준과태료의 부과기준
위반행위 근거 법조문과태료 금액
1 회 위반 2 회 위반 3 회 이상
가 . 법 제 15 조제 1 항을 위반하여 개인정보를 수집한 경우법 제 75 조제 1 항제 1
호1000 2000 4000
나 . 법 제 15 조제 2 항 , 제 17 조제 2 항 , 제 18 조제 3 항 또는 제26 조 제 3 항을 위반하여 정보주체에게 알려야 할 사항을 알리지 않은 경우
법 제 75 조제 2 항제 1
호600 1200 2400
다 . 법 제 16 조제 2 항 또는 제 22 조제 4항을 위반하여 재화 또는 서비스의 제공을 거부한 경우
법 제 75 조제 2 항제 2
호600 1200 2400
라 . 법 제 20 조제 1 항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 않은 경우
법 제 75 조제 2 항제 3
호600 1200 2400
마 . 법 제 21 조제 1 항을 위반하여 개인정보를 파기하지 않은 경우법 제 75 조제 2 항제 4
호600 1200 2400
바 . 법 제 21 조제 3 항을 위반하여 개인정보를 분리하여 저장ㆍ관리하지 않은 경우
법 제 75 조제 3 항제 1
호200 400 800
사 . 법 제 22 조제 1 항부터 제 3 항까지의 규정을 위반하여 동의를 받은 경우
법 제 75 조제 3 항제 2
호200 400 800
아 . 법 제 22 조제 5 항을 위반하여 법정대리인의 동의를 받지 않은 경우
법 제 75 조제 1 항제 2
호1000 2000 4000
( 단위 : 만원 )
붙임 붙임 2. 2. 과태료의 부과기준과태료의 부과기준붙임 붙임 2. 2. 과태료의 부과기준과태료의 부과기준
위반행위 근거 법조문과태료 금액
1 회 위반 2 회 위반 3 회 이상
자 . 법 제 24 조제 2 항을 위반하여 정보주체가 주민등록번호를 사용하지 않을 수 있는 방법을 제공하지 않은 경우
법 제 75 조제 2 항제 5 호
600 1200 2400
차 . 법 제 24 조 제 3 항 , 제 25 조 제 6 항 또 는 제 29 조 를 위반하여 안전성 확보에 필요한 조치를 하지 않은 경우
법 제 75 조제 2 항제 6호
600 1200 2400
카 . 법 제 25 조제 1 항을 위반하여 영상정보처리기기를 설치ㆍ운영한 경우
법 제 75 조제 2 항제 7호
600 1200 2400
타 . 법 제 25 조제 2 항을 위반하여 영상정보처리기기를 설치ㆍ운영한 경우
법 제 75 조제 1 항제 3 호
1000 2000 4000
파 . 법 제 25 조제 4항을 위반하여 안내판 설치 등 필요한 조치를 하지 않은 경우
법 제 75 조제 3 항제 3 호
200 400 800
하 . 법 제 26 조제 1 항을 위반하여 업무 위탁 시 같은 항 각 호의 내용이 포함된 문서에 의하지 않은 경우
법 제 75 조제 3 항제 4호
200 400 800
거 . 법 제 26 조제 2 항을 위반하여 위탁하는 업무의 내용과 수탁자를 공개하지 않은 경우
법 제 75 조제 3 항제 5 호
200 400 800
( 단위 : 만원 )
붙임 붙임 2. 2. 과태료의 부과기준과태료의 부과기준붙임 붙임 2. 2. 과태료의 부과기준과태료의 부과기준
위반행위 근거 법조문과태료 금액
1 회 위반 2 회 위반 3 회 이상
너 . 법 제 27 조제 1 항 또는 제 2 항을 위반하여 정보주체에게 개인정보의 이전 사실을 알리지 않은 경우
법 제 75 조제 3 항제 6
호200 400 800
더 . 법 제 30 조 제 1 항 또 는 제 2 항 을 위 반 하 여 개 인 정 보 처리방침을 정하지 않거나 이를 공개하지 않은 경우
법 제 75 조제 3 항제 7
호200 400 800
러 .법 제 31 조제 1 항을 위반하여 개인정보 보호책임자를 지정하지 않은 경우
법 제 75 조제 3 항제 8
호500
머 . 법 제 34 조제 1 항을 위반하여 정보주체에게 같은 항 각 호의 사실을 알리지 않은 경우
법 제 75 조제 2 항제 8
호600 1200 2400
버 . 법 제 34 조제 3 항을 위반하여 조치 결과를 신고하지 않은 경우법 제 75 조제 2 항제 9
호600 1200 2400
서 . 법 제 35 조제 3 항을 위반하여 열람을 제한하거나 거절한 경우법 제 75 조
제 2 항제 10
호600 1200 2400
어 . 법 제 35 조제 3 항ㆍ제 4항 , 제 36 조제 2 항ㆍ제 4항 또는 제37 조제 3 항을 위반하여 정보주체에게 알려야 할 사항을 알리지 않은 경우
법 제 75 조제 3 항제 9
호200 400 800
( 단위 : 만원 )
붙임 붙임 2. 2. 과태료의 부과기준과태료의 부과기준붙임 붙임 2. 2. 과태료의 부과기준과태료의 부과기준
위반행위 근거 법조문
과태료 금액
1 회 위반
2 회 위반 3 회 이상
저 . 법 제 36 조제 2 항을 위반하여 정정ㆍ삭제 등 필요한 조치를 하지 않은 경우
법 제 75 조제 2 항제 11
호600 1200 2400
처 . 법 제 37 조제 4 항을 위반하여 처리가 정지된 개인정보에 대하여 파기 등 필요한 조치를 하지 않은 경우
법 제 75 조제 2 항제 12
호600 1200 2400
커 . 법 제 63 조제 1 항에 따른 관계 물품ㆍ서류 등 자료를 제출하지 않거나 거짓으로 제출한 경우
법 제 75 조제 3 항제 10
호
1) 자료를 제출하지 않은 경우 100 200 400
2) 자료를 거짓으로 제출한 경우 200 400 800
터 . 법 제 63 조제 2 항에 따른 출입ㆍ검사를 거부ㆍ방해 또는 기피한 경우
법 제 75 조제 3 항제 11
호200 400 800
퍼 . 법 제 64 조제 1 항에 따른 시정명령에 따르지 않은 경우법 제 75 조
제 2 항제 13
호600 1200 2400
( 단위 : 만원 )
붙임 붙임 3. 3. 공통업무 개인정보파일 표준목록공통업무 개인정보파일 표준목록붙임 붙임 3. 3. 공통업무 개인정보파일 표준목록공통업무 개인정보파일 표준목록
구분 업무분야개인정보파
일명보유목적 보유근거 보유기간 비고
초중고등학교
교무
학적학생 변동사항 등을 관리하여
학생지도 및 상급학교 학생선발에 활용
초중등교육법 제 25 조 , 학교생활기록의 작성 및 관리에 관한
규칙 제 3 조준영구
학교생활기록 작성 및
관리지침
성적학생의 학업성취도 평가를 통한
내실화 도모
초중등교육법 제 25 조 , 학교생활기록의 작성 및 관리에 관한
규칙 제 3 조준영구
학교생활기록 작성 및
관리지침
학교생활기록부
학생의 학업성취도 평가를 통한 내실화 도모
초중등교육법 제 25 조 , 학교생활기록의 작성 및 관리에 관한
규칙 제 3 조준영구
학교생활기록 작성 및
관리지침
학부모서비스
학부모서비스신청자명
단학부모의 자녀정보 열람 교육기본법 제 23 조의 3 회원탈퇴시까지
체육 운동부관리운동선수 ( 지도자 ) 관리 및 학교체육의 원활한 운영 지원
국민체육진흥법시행령 제 6조 3년공공기록물관리법시행령제
26 조
보건학생건강기록부관리
학생건강기록 관리학교신체검사규칙제 9 조 ,
학생건강기록부등전산처리및관리지침 제 14 조
졸업후 5년
붙임 붙임 3. 3. 공통업무 개인정보파일 표준목록공통업무 개인정보파일 표준목록붙임 붙임 3. 3. 공통업무 개인정보파일 표준목록공통업무 개인정보파일 표준목록
구분 업무분야 개인정보파일명 보유목적 보유근거 보유기간 비고
초중고등학교
발전기금발전기금기탁자
관리학교발전기금 기탁자 및
내역관리학교발전기금의조성운용및회계관리
에관한규칙제 9 조5년
홈페이지○○
홈페이지회원정보
홈페이지 회원 관리정보주체 동의 (2년 주기 )
표준지침 제 64 조
회원탈퇴시까지
민원 민원사무처리부 민원접수및처리관리
민원사무처리에관한법률시행령 제 8조 ,
민원사무처리에관한법률시행규칙제13 조
10년
위원회학교운영위원회
명부학교운영위원회 구성 및
운영관리초중등교육법 제 34 조 ,
초중등교육법시행령 제 62 조2년
도서관 도서관대출관리학교도서관 대출 및
반납관리도서관법 제 38 조 , 정보주체동의 회원탈퇴시까지
청소년단체청소년단체대원
관리청소년단체 대원 관리 청소년기본법 제 2 조 , 정보주체동의 단체 탈퇴시까지 (2년 )
엔딩 1
수고 하셨습니다수고 하셨습니다개인정보보호는 수집 않는 것이 최선이다