Transcript 3.개인정보보호법_교과부발표자료

개인정보보호
각급기관 이행사항
2011.11.
교육과학기술부
목차
교육·연구기관
1
2
개인정보보호법
순회교육
개인정보 처리 주요내용
3
안전성 확보를 위한 관리적 조치
2011.05
안전성 확보를 위한 기술적 조치
4
교육과학기술부 추진사항
교육과학기술부
01 개인정보 처리
주요내용
(수집 ·이용 · 제공 · 파기)
1. 개인정보의 수집․이용 기준(1)
[법 15조]
학교의 학생정보=>법령에 의거수집
(초중등교육법 생활기록부관리명시)
=>동의 없이 수집가능
1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우
3. 법률 등에서 정한 공공기관의 소관업무 수행을 위해 불가피한 경우
4. 정보주체와의 계약 체결·이행을 위해 불가피한 경우
5. 정보주체 등의 생명, 신체, 재산의 이익 보호 (사전동의 받기 곤란한 경우)
6. 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우
- 명백하게 정보주체의 권리보다 우선
(정보주체의 과도한 프라이버시 침해는 허용 불가)
1. 개인정보의 수집․이용 기준(2)
 공공기관이 법령 등에서 규정한 소관업무 수행 등을 위해 필요한
경우 개인정보 수집·이용 가능
 ‘법령 등에서 정하는 소관업무 수행’을 위해 불가피한 경우 에만
동의 없이 개인정보 수집·이용 가능
- 법령 등에서 구체적으로 규정하고 있는 소관업무 수행과 관련된
경우가 아니면 개인정보 수집·이용 불가능
- 법령 : 법률, 시행령, 시행규칙 (자치조례X, 규칙 X)
2. 개인정보의 수집·이용 절차·방법(1)
공공기관이 정보주체의 동의를 받아 개인정보를 수집·이용하고자 하는
경우 미리 정보주체에게 개인정보의 수집·이용 목적 등을 고지
<고지항목(제15조제2항)>
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는
그 불이익의 내용
수집목적에 필요한 최소한의 개인정보만을 수집하여야 하며, 최소한의
개인정보라는 입증책임을 공공기관이 부담
- 정보주체가 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는
이유로 정보주체에게 재화 또는 서비스제공 거부 금지
2. 개인정보의 수집·이용 절차·방법(2)
개인정보 수집 시 수집의 법적 근거 등을 문서
또는 인터넷 홈페이지를 통해 정보주체가
그 내용을 쉽게 확인할 수 있도록 안내
- 개인에 대한 개별적인 고지 시스템 도입 필요
입증책임을 공공기관에 부과하고 위반시 처벌
3. 개인정보 처리에 대한 동의 방법ㆍ절차(1)
정보주체의 동의를 받을 때 각각의 동의사항을 구분하여 정보주체가
명확히 인지할 수 있도록 알리고 동의
동의 없이 처리할 수 있는 개인정보와 동의가 필요한 개인정보 구분
홍보ㆍ판매 권유 목적의 개인정보 처리에 대한 동의를 받을 때에는
정보주체에게 그 사실을 명확히 알리고 동의
- 일괄동의 X
- 종이로 동의를 받아 전자화하는 경우 전자화한다
는 문구 꼭 명시하여 동의 받아야 함
4. 개인정보 처리에 대한 동의 방법ㆍ절차(2)
서비스 제공 등을 위해 필수적인 최소한의 개인정보 외에는 개인정보
처리의 동의 여부, 동의 범위 등을 정보주체가 자유스럽게 선택할 수
있도록 조치
- 개인정보 처리거부를 이유로 재화 또는 서비스 제공 거절 불가
14세 미만 아동의 개인정보도 반드시 법정 대리인의 동의를 받아야
가능
 초·중학교 회원정보는(학교홈페이지 등) 학부모 동의 필요
(사전정보) 대리인의 동의 없이
최소한의 정보를 수집할 수 있다
9
5. 개인정보 제공·공유 기준
법령 등에서 정하는 공공기관의 소관업무 수행 등을
위해 필요한 경우 개인정보 제3자 제공 또는 공유 가능
- 공공기관도 법령 등에서 정한 소관업무를 통해, 국민의 생명·신체·재
산 보호 등을 위해 제3자 제공 및 공유 가능
※개인정보 수집·이용의 경우와 달리 계약 체결 및 이행,
개인정보 처리자의 정당한 이익달성 목적으로는 제3자
제공·공유 불가
6. 개인정보 제공·공유 절차·방법
정보주체의 동의를 받아 개인정보를 제3자에게 제공 또는 공유하고자
하는 경우에는 미리 정보주체에게 제공받는 자 등을 미리 고지
<고지항목(법 제17조제2항)>
1. 개인정보를 제공받는 자
2. 개인정보를 제공받는 자의 개인정보 이용 목적
3. 제공하는 개인정보의 항목
4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
개인정보를 국외의 제3자에게 제공할 때에도 제17조제2항의 사항을
정보주체에게 알리고 동의 획득 필요
- 이 법을 위반하는 내용으로 개인정보 국외이전에 관한 계약체결 금지
7. 개인정보 목적 외 이용ㆍ제공 기준
개인정보는 법령에서 정하고 있거나 사전에 이용ㆍ제공의 목적을 고지
하고 동의 받은 범위 내에서만 이용 또는 제공 가능
<목적 외 이용 및 제3자 제공이 가능한 경우>
1. 정보주체의 별도 동의
학생정보->목적외:외부기관제공
목적내:학교내이용
2. 통계작성ㆍ학술연구 등의 목적을 위하여 필요한 경우, 개인정보보호위원회의
심의ㆍ의결을 거친 경우
3. 범죄의 수사, 공소 제기 및 유지, 법원의 재판업무 수행을 위해 필요한 경우 등
- 정보주체 또는 제3자의 이익을 침해할 우려가 있는 때에는 목적 외의
용도로 이용하거나 제3자에게 제공 불가
- 목적 외 이용 또는 제공을 위해서는 별도의 동의를 받아야 함
[참고] 개인정보의 목적 외 이용ㆍ제공 기준[법 제18조2항]
1. 정보주체의 동의 또는 정보주체에게 제공하는 경우
2. 다른 법률에 특별한 규정이 있는 경우
3. 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산 이익을 위해 필요한 경우
(의사표시 불능상태, 주소불명 등 사전동의를 받을 수 없는 경우)
4. 통계작성, 학술연구 등을 위한 목적으로 개인을 알아볼 수 없는 형태로 제공
5. 다른 법률상의 소관업무 수행 불가한 경우 (보호위원회의 심의ㆍ의결)
6. 조약, 국제협정 이행을 위해 외국정부ㆍ국제기구 제공에 필요한 경우
7. 범죄의 수사, 공소의 제기ㆍ유지를 위해 필요한 경우
8. 법원의 재판업무 수행을 위해 필요한 경우
9. 형(刑) 및 감호, 보호처분 집행
※ 제5호 ~ 제9호는 공공기관만 해당
8. 개인정보 목적 외 이용ㆍ제공 절차ㆍ방법
정보주체의 별도 동의를 받아 개인정보를 목적 외로 이용 또는 제공하
고자 하는 경우에는 미리 정보주체에게 제공받는 자 등을 미리 고지
<고지항목(제18조 제3항)>
1. 개인정보를 제공받는 자
2. 개인정보의 이용 목적(제공 시에는 제공받는 자의 이용 목적을 말한다)
3. 이용 또는 제공하는 개인정보의 항목
4. 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
정보주체의 별도 동의 없이 목적 외로 이용하거나 제3자에게 제공하는
경우 그 법적 근거, 목적, 범위 등에 관한 사항을 관보ㆍ홈페이지 등에
게재
9. 정보주체 이외로부터 개인정보 수집ㆍ이용 기준
정보주체의 이외로부터 수집 시 수집 출처 등 고지 의무화(법 제20조)
정보주체의 요구가 있으면 수집출처, 처리목적, 개인정보 처리정지
요구권이 있다는 사실을 고지할 의무 발생
<고지의무 예외 사항>
1. 국가안전, 외교상 비밀, 범죄수사 등 목적의 일부 개인정보파일의 경우
2. 고지로 인해 타인의 생명ㆍ신체를 해할 우려가 있거나 타인의 재산 등 이익에 대한
부당한 침해 우려가 있는 경우
10. 업무위탁에 따른 개인정보 처리 기준
개인정보 처리 업무 위탁 시 문서에 의하도록 의무화
[문서작성 의무] 개인정보 처리 업무를 위탁시 문서에 의해야 함
[고지 의무] 위탁업무 내용 및 수탁자를 언제든지 확인가능하도록 공개
[관리감독 의무] 그 밖에 공공기관은 개인정보 분실ㆍ도난ㆍ훼손 등을
방지하기 위해 수탁자에 대한 교육, 처리상태 점검 등 수탁자에 대한
관리 감독 책임
[재 제공 금지 의무] 수탁자는 위탁 받은 업무 범위를 초과한 개인정보
이용 및 제3자 제공 불가
•학교홈페이지 외부업체 호스팅의 경우 주의
•보험가입, 수학여행처리등 외부업체 정보제공
* NEIS 개인정보처리->위탁X, 정보처리주체->학교
11. 민감정보의 처리 기준
민감정보는 원칙적으로 ‘처리’ 금지
예외적으로만 처리 가능
<민감정보의 정의>(법 제23조)
사상·신념, 노동조합·정당의 가입·탈퇴, 건강, 성생활 등에 관한 정보 및
그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보
<예외적 허용>
1. 다른 개인정보의 처리에 대한 동의와 별도로 정보주체의 동의를
받은 경우
2. 법령에서 민감정보의 처리를 요구하거나 허용하는 경우
12. 고유식별정보의 처리 기준
주민등록번호 등 고유식별정보는 원칙적 처리금지(법 제24조)
<고유식별정보의 정의>
법령에 따라 개인을 고유하게 구별하기 위해 부여된 식별정보
(주민등록번호, 운전면허번호, 여권번호, 외국인등록번호 등)
<예외적 허용>
1. 다른 개인정보의 처리에 대한 동의와 별도로 정보주체의 동의를 받은 경우
2. 법령에서 고유식별정보의 처리를 요구하거나 허용하는 경우
법령에서 구체적으로 처리를 요구하거나 허용하는 경우만 처리가능
-정보주체의 동의받아 민감정보 처리시 다른 정보와 구분해 별도
동의 필요
13. 고유식별정보의 처리 방법·절차
인터넷 본인확인을 위한 대체수단 강구 의무화
 회원가입절차를 화면에 명시
 2개의 가입방법을 하나의 화면에 제공
대체수단
이용방법
 주민번호를 사용하지 않고 회원으로 가입할 수 있는
주민번호
이용방법
 암호화
 안전성 확보조치 필수
방법 제공(전자서명, I-PIN, 휴대전화인증 등)
14. 개인정보 파일관리(1)
개인정보파일대장 작성
개인정보파일목록전수조사 필히
12.31까지 완료(전자파일 목록 만)
1개의 개인정보 파일애 1개의 대장 작성
※ 개인정보 보호법 시행규칙 [별지 제2호서식] 참고
보유기간
산정
개별 법령의 규정에 명시된 보존기간에 따라 산정
보유기간이 명시되지 않은 경우
개인정보 보호책임자와 협의 후
기관장 결재로 산정
개인정보파일 보유기간 책정 기준표 활용
보유기간
책정
공공기록물 관리에 관한 법령
기록관리기준표 상회 금지
14. 개인정보 파일관리(2)
2년 주기 정보주체의 재동의시 계속 보유
[표준 개인정보 보호지침 제64조]
정책고객
보유
홈페이지회원
대국민서비스
고객명부
15. 개인정보 파기의 방법·절차
공공기관이 개인정보의 처리 목적 달성 등으로 해당 개인정보가
불필요하게 되었을 때는 지체 없이 파기
개인정보의 파기 시기
- 보유기간의 경과된 경우 : 종료일로부터 5일 이내
- 처리 목적 달성 등 불필요 경우 : 불필요 인정일 부터 5일 이내
개인정보의 파기 방법
- 복원 불가능하게 영구삭제
- 전자적 파일 형태 : 현재 기술수준에서 적절한 비용 소요 방법
- 기록물, 인쇄물, 기타 기록매체 : 파쇄 또는 소각
(물리적파기,전자소거)
다른법령에 따라 보존할 경우
개인정보 및 개인정보파일을 다른 정보와 분리하여 저장․관리
02
안전성 확보를 위한
관리적 조치
1. 개인정보 처리자 관리적 조치
개인정보 처리자 관리적 조치 의무
 안전한 처리를 위한 내부관리계획 수립 및 시행
개인정보보호
세부추진계획
 개인정보를 직접 처리하는 직원, 수탁자 등 교육
 내부관리계획에 대한 정기적인 자체 감사
내부관리계획의 수립시 포함할 내용
 개인정보 보호책임자의 지정에 관한 사항
 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
 개인정보의 안전성 확보에 필요한 조치에 관한 사항
 개인정보취급자에 대한 교육에 관한 사항
☞ 예시 붙임1 참조
2. 개인정보 보호책임자 지정기준
개인정보 책임자 지정
1. 중앙행정기관 : 고위공무원단
2. 시도교육청 : 3급 이상
3. 교육지원청 : 4급 이상
4. 대 학 : 처․실․국장 등
5. 초.중.고 : 행정사무 총괄(교장)
6. 공공기관 : 개인정보처리 관련 담당 부서장
3. 개인정보파일 등록·공개
개인정보파일 등록 사항
 개인정보파일의 명칭, 운영 근거 및 목적
 개인정보파일에 기록되는 개인정보의 항목
 개인정보의 처리방법 및 보유기간
 개인정보를 통상적 또는 반복적으로 제공하는 경우에는
그 제공받는 자
 그 밖에 대통령령으로 정하는 사항
4. 개인정보 파일 등록
개인정보파일 등록
 대상기관 : 교육청 및 각급학교, 소속기관, 공공기관
 등록시스템 : 개인정보보호 종합지원시스템(intra.privacy.go.kr)
 등록시기 : 시스템 운영일로 부터 60일 이내
※ 기존파일 변경 및 미등록 기관(11.30까지 등록)
 개인정보 침해가 우려될 경우 영향평가 수행 후 등록
개인정보파일 등록 절차
 개인정보 보호책임자는 등록, 변경 사항 검토 및 적정성 판단
 각급기관에서 종합지원시스템(intra.privacy.go.kr)에 입력
 공통업무 개인정보파일 표준목록 참고(표준목록 이외도 대상 임)
 교육과학기술부의 승인 후 행정안전부에 등록
5. 개인정보파일 등록 면제 대상
▪ 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록
한 개인정보파일
▪ 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호
처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일
▪ 조세범처벌법에 따른 범칙행위 조사 및 관세법에 따른 범칙행위 조사에
관한 사항을 기록한 개인정보 파일
▪ 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일
※ 급여, 인사, 회계, 예비군 등/CCTV영상, 1회성 파일
▪ 다른 법령에 따라 비밀로 분류된 개인정보파일
5. 개인정보 처리방침 수립·시행
공공기관은 개인정보처리방침을 정해 정보주체가 쉽게 확인
할 수 있는 방법으로 공개 (홈페이지)
개인정보 처리방침에 포함해야 할 사항
개인정보의 처리 목적
개인정보의 처리 및 보유 기간
개인정보의 제3자 제공에 관한 사항(해당되는 경우)
개인정보처리의 위탁에 관한 사항(해당되는 경우)
정보주체의 권리·의무 및 그 행사방법에 관한 사항
처리하는 개인정보의 항목
개인정보의 파기에 관한 사항
개인정보의 안전성 확보조치에 관한 사항
※ 방침 수립 및 공개에 관한 지침은 추후 제공(2011. 11월 중)
※ 홈페이지가 여러 개인 경우 메인 홈페이지에 게시하고 링크하여 공유
6. 개인정보 처리방침 공개방법
홈페이지 게재 방법
인터넷 홈페이지를 통해 지속적으로 게재
홈페이지 첫 화면 또는 연결 화면
글자크기, 색상 등을 활용 다른 고지와 구분
홈페이지에 게재 할 수 없는 경우
관보, 신문(시․도 이상 주된 보급지역),인터넷 신문
간행물, 소식지, 홍보지, 청구서 등 지속적 게재
글자크기, 색상 등을 활용 다른 고지와 구분
7. 개인정보 영향평가
영향평가 대상
전자적 처리의 개인정보파일
• 구축ㆍ운용, 변경시 5만명 이상(민감, 고유정보)
• 내부, 외부의 개인정보파일과 연계 50만명 이상
• 100만명 이상의 개인정보파일
• 영향평가 실시 후 변경은 변경 부분만 평가
영향평가 시기 및 방법
 신규시스템 : 시스템 설계 단계(3개월 이내 계획수립 ‘12. 9.30 완료)
 현재 운용 및 구축 중인 기관은 5년 이내 평가 후 행안부에 제출
 영향평가 방법 : 행정안전부가 지정한 평가기관에 의뢰
03
안전성 확보를 위한
기술적 조치
1. 접근 권한의 관리(1)
대상 시스템
 개인정보처리시스템
 개인정보처리시스템은 개인정보의 체계적인 처리를 위한
DBMS을 말함
 개인정보처리 제외
 PC, 노트북 등 업무용 컴퓨터는 제외
접근권한 범위
 업무수행 은 최소한의 범위로 차등부여
 개인정보 책임자 : 읽기/쓰기/변경 권한
 개인정보 취급자 : 읽기권한
1. 접근 권한의 관리(2)
접근권한 조치 시기
 개인정보 취급자 변경 시
전보, 퇴직, 인사이동 시 지체 없이 변경 또는 말소
접근권한 기록보관
 최소 3년
 개인정보 책임자 : 읽기/쓰기/변경 권한
 개인정보 취급자 : 읽기권한
계정(ID) 발급
 1인당 1개(책임 추적성 확보)
동일 업무 수행 시 계정(ID) 공유 불허
2. 비밀번호 관리
비밀번호 작성 규칙 수립 적용
 개인정보처리시스템 및 접근통제시스템 등에 적용
 비밀번호 설정 원칙
 문자 종류에 따라 구성(문자, 숫자, 특수문자)
※ 최소 10자리(2종류) 또는 9자리(3종류) 이상
추측하기 어려운 비밀번호 생성
동일한 비밀번호 사용 제한 : 2개 비밀번호 교대 사용
비밀번호 변경 주기
 비밀번호에 유효기간 설정, 최소 6개월 마다 변경
비밀번호 안전성 검증
 한국인터넷진흥원(KISA)에서 안전성 검증 소프트웨어 보급
3. 접근통제 시스템 설치 및 운영
침입차단시스템
• 방화벽(Firewall)
• 웹방화벽
• 보안 OS
침입방지시스템
• 침입탐지(IDS)
• 차단기능
• 네트워크 ACL
접속권한은 IP 주소로 한정하여 인가 받지 않은 접근을 제한
접속한 IP주소 분석으로 불법적인 유출 시도 탐지
업무용 컴퓨터 및 개인정보처리시스템 P2P, 사용 공유금지
개인정보처리시스템의 외부망 접속은 원칙적으로 차단
※ 외부에서 접속 시 VPN, 전용선 사용
4. 개인정보 전송 전달시 암호화
정보통신망을 통하여 개인정보를 내/외부에 송/수신
암호화
대상
개인정보를 저장매체 등을 통하여 전달 시 암호화
※ 암호화 정보 : 고유식별정보, 비밀번호, 바이오정보
학교홈페이지 등 SSL적용
12.31까지 적용 완료
보안서버(SSL : Secure Socket Layer)
암호화
방법
표준보안 API(GPKI)나 암호화 SW 사용
암호기능 보조저장매체 사용
개인정보 암호화 저장
5. 개인정보 저장시 암호화
비밀번호
 복호화 되지 않도록 일방향 암호화
바이오정보(지문,홍채) 암호화
암호화
대상
 양방향(식별 및 인증에 대한 고유기능에 한정)
고유식별정보 암호화
 의무적용 : 인터넷 구간과 DMZ 구간
 선택적용 : 내부망(영향평가, 위험도분석) 결과 적용
※ 내부망은 접근통제시스템에 의해 차단되어
외부에서 직접 접근이 불가능한 영역
6. 개인정보 저장시 암호화 망 구성도
예) 내부망 구성도
39
7. 개인정보 저장 암호화(1)
암호화 방법
안전한 암호알고리즘 사용
⇒ 미국 NIST, 일본 CRYPTREC, 유럽 ECRYPT 등의
국내외 암호 연구기관에서 권고하는 알고리즘
속도 및 성능을 고려한 암호화
⇒ 일부 정보만 암호화 조치(주민번호 뒤 6개 이상)
예) 701001-1#####&
⇒ 주민등록번호 등과 매핑한 서비스번호 부여 사용
※ 서비스번호 및 매핑 주민번호는 암호화
7. 개인정보 저장 암호화(2)
암호화 계획
조직내 의사결정권자의 결재로 암호화 적용
암호화 시기
정보시스템을 신규 구축하는 경우, 즉시 이행
저장관리
고유식별정보 및 서버의 자료를 PC에 내려 받아 저장하는 경우
⇒ 원칙 PC저장금지(암호기능 있는 보조기억매체 저장)
⇒ 암호화 소프트웨어 등을 이용하여 암호화
8. 접속기록의 보관 및 위ㆍ변조 방지
보관내용
필수항목
내용
ID
개인정보취급자 식별정보
날짜 및 시간
접속일시
접속자 IP 주소
접속지 정보
수행업무
입력, 열람, 수정, 삭제, 인쇄 등
※ 보관기간 : 6개월 이상
보관방법
전자적으로 자동 로그파일 생성
정기적으로 백업, 별도의 저장매체에 보관
⇒ 덮어쓰기 방지매체 사용 권장(CD-ROM)
⇒ HDD 등은 위ㆍ변조 확인정보를 별도 HDD에 보관
9. 보안프로그램 설치 및 운영
백신 SW 설치 및 운영
 악성프로그램 방지 및 치료
 바이러스, 인터넷 웜, 스파이웨어 등
보안 프로그램의 자동업데이트
 자동업데이트 또는 일 1회 이상 주기적 업데이트 설치
 백신 자동업데이트(VMS), PMS
악성 프로그램 경보발령 및 보안 업데이트 공지
 OSㆍ응용프로그램 취약점 즉시 업데이트
 자동 보안 업데이트 설정 방법은 보호나라 웹사이트 참고
www.boho.or.kr
10. 개인정보보호법 경과 조치(1)
법률적용
고유식별정보의 처리 제한 대체수단(I-PIN) 적용(2012. 3. 30)
처리 중인 개인정보에 관한 경과조치
 법 시행전 다른 법령에 따라 적법하게 처리된 정보는
이 법에 따라 처리된 것으로 봄
벌칙의 적용에 관한 경과조치
 종전의 공공기관의 개인정보에 관한 법률을 위반한
행위는 종전 법률 적용 (법 소급적용 X)
10. 개인정보보호법 경과 조치(2)
시행령 적용
대체가입수단(I-PIN) 제공 의무자 및 과태료부과 시행
(2012. 3. 30)
※ 위반 행위별 과태료 부과기준(붙임2 참고)
개인정보 암호화 적용 : 2012. 12. 31
개인정보파일 등록
 시행일부터 60일 이내(시행전 등록기관 제외)
영향평가 적용
 구축․운영 및 구축 중인 기관 5년 이내
10. 개인정보보호법 경과 조치(3)
처리중인 개인정보에 관한 경과조치
법 시행 전 수집된 개인정보
근거법령 없이 개인정보를 수집한 경우
 당해 개인정보를 보유하고, 수집목적 범위의 처리는 적법
근거법률 없이 제3자로부터 제공받은 경우
 목적 외의 용도 이용자는 정보주체의 동의 필요
새롭게 정보주체의 동의를 받을 경우
법 시행 전에 수집한 개인정보를 포함하여 이용 가능
04
개인정보보호법 관련
교육과학기술부
추진사항
1. 개인정보 수집을 위한 법령 개정 및 근거마련
교육과학기술부에서 개정중인 법령(7개)
고등교육법시행령 제4조(학칙)제1항
⇒ 학적관리, 주민등록번호 등 개인정보 수집에 대한 근거 미비
고등교육법 시행령
⇒ 학적부 작성․관리 등 학사관리에 관한 사무를 수행하기 위해
반드시 필요
⇒ 대입원서, 학생부, 수학능력시험정보 등 다양한 입학전형
자료를 구분
2. 교육과학기술부에서 개정중인 법령
기술사법 시행령
 허위신고․등록 방지 및 과태료 부과를 위한 본인확인
유아교육법 시행령(11월중 완료)
 유치원 설립자의 신원 조회 등
 유아학비 지원신청과 관련한 정보시스템 운영
취업후 학자금 상환 특별법 시행령
 취업 후 학자금 대출 상환관리(소득에 따른 의무적 상환)
2. 교육과학기술부에서 개정중인 법령
평생교육법 시행령
 학습계좌 증명서의 사회적 통용을 위하여 본인 여부 확인
학점인정 등에 관한 법률 시행령
 학위수여를 위해 고유식별정보를 통한 학력인정 사항 확인
한국장학재단 설립 등에 관한 법률 시행령
 학자금 지원관련으로 본인, 부모, 배우자의 근로소득, 재산
소득, 금융소득 등 관련자료를 학자금 지원업무 수행시
관련기관에 요청
3. 안전성 확보를 위한 기술지원
 대체수단(I-PIN) 적용을 위한 기술지원 서비스 운영
 I-PIN 시스템 구축 상담 지원
 http://g-pin .go.kr/ 및 공공 I-PIN 사업단 문의
 안전한 개인정보 송․수신을 위한 보안서버(SSL) 기술 지원
 보안서버 시스템 구축 설치 안내 및 교육
 원격 기술지원 및 구축 독려(매월말)
 보안서버 자가진단 시스템 운영
 전자서명인증센터(secure.epki.go.kr)
 콜센터 02-2118-1755
 전자서명 보안서버(API) 기술 지원
 구축대상 기관 기술교육
 시스템 구축 컨설팅 및 기술지원
 3자단가 계약에 의한 컨설팅 및 방문 설치 지원
붙임
붙임 1. 개인정보 내부관리계획 목차 (예시)
제1장 총칙
제1조(목적)
제2조(적용범위)
제3조(용어 정의)
제2장 내부관리계획의 수립 및 시행
제4조(내부관리계획의 수립 및 승인)
제5조(내부관리계획의 공표)
제3장 개인정보보호책임자의 의무와 책임
제6조(개인정보보호책임자의 지정)
제7조(개인정보보호책임자의 의무와 책임)
제8조(개인정보취급자의 범위 및 의무와 책임)
붙임 1. 개인정보 내부관리계획 목차 (예시)
제4장 개인정보의 처리단계별 기술적·관리적 안전조치
제9조(개인정보취급자 접근 권한 관리 및 인증)
제10조(접근통제)
제11조(개인정보의 암호화)
제12조(접근기록의 위변조 방지)
제13조(보안프로그램의 설치 및 운영)
제14조(물리적 접근제한)
제5장 개인정보보호 교육
제6장 개인정보 침해대응 및 피해구제
붙임 2. 과태료의 부과기준
(단위 : 만원)
위반행위
가. 법 제15조제1항을 위반하여 개인정보를 수집한 경우
근거 법조문
법 제75조
제1항제1호
나. 법 제15조제2항, 제17조제2항, 제18조제3항 또는 제26조 제3항을 법 제75조
위반하여 정보주체에게 알려야 할 사항을 알리지 않은 경우
다. 법 제16조제2항 또는 제22조제4항을 위반하여 재화 또는
서비스의 제공을 거부한 경우
라. 법 제20조제1항을 위반하여 정보주체에게 같은 항 각 호의
사실을 알리지 않은 경우
마. 법 제21조제1항을 위반하여 개인정보를 파기하지 않은 경우
바. 법 제21조제3항을 위반하여 개인정보를 분리하여
저장ㆍ관리하지 않은 경우
사. 법 제22조제1항부터 제3항까지의 규정을 위반하여 동의를
받은 경우
아. 법 제22조제5항을 위반하여 법정대리인의 동의를 받지 않은 경우
제2항제1호
법 제75조
제2항제2호
법 제75조
제2항제3호
법 제75조
제2항제4호
법 제75조
제3항제1호
법 제75조
제3항제2호
법 제75조
제1항제2호
과태료 금액
1회 위반 2회 위반
3회 이상
1000
2000
4000
600
1200
2400
600
1200
2400
600
1200
2400
600
1200
2400
200
400
800
200
400
800
1000
2000
4000
붙임 2. 과태료의 부과기준
(단위 : 만원)
위반행위
자. 법 제24조제2항을 위반하여 정보주체가 주민등록번호를
사용하지 않을 수 있는 방법을 제공하지 않은 경우
차. 법 제24조제3항, 제25조제6항 또는 제29조를 위반하여
근거 법조문
법 제75조
제2항제5호
법 제75조
안전성 확보에 필요한 조치를 하지 않은 경우
제2항제6호
카. 법 제25조제1항을 위반하여 영상정보처리기기를
법 제75조
설치ㆍ운영한 경우
타. 법 제25조제2항을 위반하여 영상정보처리기기를
설치ㆍ운영한 경우
파. 법 제25조제4항을 위반하여 안내판 설치 등 필요한 조치를
하지 않은 경우
하. 법 제26조제1항을 위반하여 업무 위탁 시 같은 항 각 호의
내용이 포함된 문서에 의하지 않은 경우
거. 법 제26조제2항을 위반하여 위탁하는 업무의 내용과 수탁자를
공개하지 않은 경우
제2항제7호
법 제75조
제1항제3호
법 제75조
제3항제3호
법 제75조
제3항제4호
법 제75조
제3항제5호
과태료 금액
1회 위반
2회 위반
3회 이상
600
1200
2400
600
1200
2400
600
1200
2400
1000
2000
4000
200
400
800
200
400
800
200
400
800
붙임 2. 과태료의 부과기준
(단위 : 만원)
위반행위
너. 법 제27조제1항 또는 제2항을 위반하여 정보주체에게
개인정보의 이전 사실을 알리지 않은 경우
더. 법 제30조제1항 또는 제2항을 위반하여 개인정보 처리방침을
정하지 않거나 이를 공개하지 않은 경우
러.법 제31조제1항을 위반하여 개인정보 보호책임자를 지정하지
않은 경우
머. 법 제34조제1항을 위반하여 정보주체에게 같은 항 각 호의
사실을 알리지 않은 경우
버. 법 제34조제3항을 위반하여 조치 결과를 신고하지 않은 경우
서. 법 제35조제3항을 위반하여 열람을 제한하거나 거절한 경우
근거 법조문
법 제75조
제3항제6호
법 제75조
제3항제7호
1회 위반
2회 위반
3회 이상
200
400
800
200
400
800
법 제75조
500
제3항제8호
법 제75조
제2항제8호
법 제75조
제2항제9호
법 제75조
제2항제10호
어. 법 제35조제3항ㆍ제4항, 제36조제2항ㆍ제4항 또는 제37조제3 법 제75조
항을 위반하여 정보주체에게 알려야 할 사항을 알리지 않은 경우
과태료 금액
제3항제9호
600
1200
2400
600
1200
2400
600
1200
2400
200
400
800
붙임 2. 과태료의 부과기준
(단위 : 만원)
위반행위
저. 법 제36조제2항을 위반하여 정정ㆍ삭제 등 필요한 조치를
근거 법조문
법 제75조
과태료 금액
1회 위반 2회 위반
3회 이상
600
1200
2400
600
1200
2400
1) 자료를 제출하지 않은 경우
100
200
400
2) 자료를 거짓으로 제출한 경우
200
400
800
200
400
800
600
1200
2400
하지 않은 경우
처. 법 제37조제4항을 위반하여 처리가 정지된 개인정보에 대하여
파기 등 필요한 조치를 하지 않은 경우
커. 법 제63조제1항에 따른 관계 물품ㆍ서류 등 자료를 제출하지
않거나 거짓으로 제출한 경우
터. 법 제63조제2항에 따른 출입ㆍ검사를 거부ㆍ방해 또는
기피한 경우
퍼. 법 제64조제1항에 따른 시정명령에 따르지 않은 경우
제2항제11호
법 제75조
제2항제12호
법 제75조
제3항제10호
법 제75조
제3항제11호
법 제75조
제2항제13호
붙임 3. 공통업무 개인정보파일 표준목록
구분
업무분야
교무
초중고
등학교
개인정보파
일명
보유목적
보유근거
학적
학생 변동사항 등을 관리하여
초중등교육법 제25조, 학교생활기록
학생지도 및 상급학교 학생선발
의 작성 및 관리에 관한 규칙 제3조
에 활용
성적
학생의 학업성취도 평가를 통한 초중등교육법 제25조, 학교생활기록
내실화 도모
의 작성 및 관리에 관한 규칙 제3조
학교생활기 학생의 학업성취도 평가를 통한 초중등교육법 제25조, 학교생활기록
록부
내실화 도모
의 작성 및 관리에 관한 규칙 제3조
학부모서비
학부모서
스신청자명
비스
단
학부모의 자녀정보 열람
체육
운동선수(지도자) 관리 및 학교
운동부관리
체육의 원활한 운영 지원
보건
학생건강기
록부관리
학생건강기록 관리
교육기본법 제23조의3
국민체육진흥법시행령 제6조
학교신체검사규칙제9조, 학생건강기
록부등전산처리및관리지침 제14조
보유기간
비고
준영구
학교생활기록
작성 및 관리
지침
준영구
학교생활기록
작성 및 관리
지침
준영구
학교생활기록
작성 및 관리
지침
회원탈퇴시까지
3년
공공기록물관
리법시행령제
26조
졸업후5년
붙임 3. 공통업무 개인정보파일 표준목록
구분
초중고
등학교
업무분야
개인정보파일명
보유목적
발전기금
발전기금기탁자 학교발전기금 기탁자 및 내 학교발전기금의조성운용및회계관리
관리
역관리
에관한규칙제9조
홈페이지
○○홈페이지회
원정보
홈페이지 회원 관리
보유근거
정보주체 동의(2년 주기)
표준지침 제64조
보유기간
비고
5년
회원탈퇴시까
지
민원사무처리에관한법률시행령 제8
조, 민원사무처리에관한법률시행규칙
제13조
10년
위원회
학교운영위원회 학교운영위원회 구성 및 운 초중등교육법 제34조, 초중등교육법
명부
영관리
시행령 제62조
2년
도서관
도서관대출관리
학교도서관 대출 및 반납관
리
도서관법 제38조, 정보주체동의
회원탈퇴시까지
청소년단체
청소년단체대원
관리
청소년단체 대원 관리
청소년기본법 제2조, 정보주체동의
단체 탈퇴시까지(2년)
민원
민원사무처리부
민원접수및처리관리
엔딩 1
수고 하셨습니다
개인정보보호는 수집 않는 것이 최선이다