2017 2017 2017 2017 2017 2017 2017 2017 2017 2017 2017 2017 2017 2017 2017 2017 2017 2017 2017 2017 개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호개인정보보호내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획내부관리계획 2017 개인정보보호내부관리계획 2017. 9.
목 차 Ⅰ 개요 목적 근거 적용범위 Ⅱ 용어정의 Ⅲ 내부관리계획의수립및시행 내부관리계획의수립및승인 내부관리계획의공표 Ⅳ 개인정보보호조직편제 개인정보보호책임자의지정 개인정보보호책임자의임무 개인정보취급자및임무 개인정보보호체계 개인정보보호추진체계별역할 Ⅴ 개인정보보호원칙 Ⅵ 개인정보수집 이용 제공등 개인정보의수집 이용 고유식별정보의처리동의및제한 주민등록번호의처리제한 민감정보처리제한 정보추체에게서비스의홍보를하는경우 법정대리인의동의 Ⅶ 개인정보의목적외이용및제3자제공처리절차 기본원칙 개인정보제공기준 안전성확보조치 목적외이용 제3자제공시절차 Ⅷ 수탁자에대한관리및감독에관한사항 한세대학교위탁사업현황 수탁자교육및관리 감독계획 Ⅹ 개인정보의안전성확보조치 접근권한관리 비밀번호관리 접근통제시스템설치및운영 개인정보의암호화 접속기록의보관및점검 보안프로그램의설치및운영 물리적인접근제한 관리용단말기의안전조치 재해 재난대비안전조치 Ⅺ 개인정보보호교육 교육목적 교육대상 교육실시 교육내용 Ⅻ 개인정보침해대응및피해구제 개인정보유출등의통지 개인정보유출등의신고 ⅫI 정기감사및결과반영 정기감사및절차 [ 붙임1] 한세대학교개인정보보호교육계획 [ 붙임2] 한세대학교개인정보침해사고대응매뉴얼 [ 붙임3] 한세대학교개인정보처리시스템자율점검표 [ 붙임4] 한세대학교개인정보파일표준목록 [ 붙임5] 한세대학교공문서및기록관리 ( 보관, 보존 ) 규정 Ⅸ 개인정보의파기 - 2 -
2017 개인정보보호내부관리계획 I 개요 목적 개인정보보호법 제 조와동법시행령에따라개인정보처리자가 개인정보를처리함에있어서개인정보가분실 도난 유출 변조 훼손되 지아니하도록안전성을확보하기위한기술적 관리적 물리적조치계획을수립하는것을목적으로한다 근거 개인정보보호법 제 조 안전조치의무 개인정보보호법 시행령제 조 개인정보의안전성확보조치 의제 호 개인정보의안전성확보조치기준 행정자치부고시제 호 교육부개인정보보호지침 교육부훈령 한세대학교개인정보보호규정 적용범위 본계획은정보통신망을통하여수집 이용 제공또는관리되는 개인정보뿐만아니라 서면등정보통신망이외의수단을통해서수집 이용 제공또는관리되는개인정보및영상정보기기 등 에대해서도적용되며 이러한개인정보를취급하는내부직원및외부위탁업체에대해서도적용된다 - 1 -
Ⅱ 용어정의 개인정보 란살아있는개인에관한정보로서성명 주민등록번호 및영상등을통하여개인을알아볼수있는정보 해당정보만으로 는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 를말한다 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 민감정보 : 사상, 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활, 유전정보, 범죄경력정보등에관한정보와그밖에정보주체의사생활을현저히침해할우려가있는개인정보 정보주체 란처리되는정보에의하여알아볼수있는사람으로서 개인정보보호법에의해보호대상이되는정보의주체가되는사람을말한다 개인정보파일 이란개인정보를쉽게검색할수있도록일정한규칙에 따라체계적으로배열하거나구성한개인정보의집합물 을말한다 개인정보처리자 란업무를목적으로개인정보파일을운용 수집 이용 저장 제공 파기등 하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관 법인 단체및개인등을말한다 개인정보의처리 란개인정보를수집 생성 기록 저장 보유 가공 편집 검색 출력 정정 복구 이용 제공 공개 파기 연계 연동그밖에이와유사한행위를말한다 개인정보보호책임자 라함은개인정보처리자의개인정보처리에 관한업무를총괄해서책임지거나업무처리를최종적으로결정하 는자를말하며 개인정보총괄책임자 로통칭한다 개인정보보호담당자 라함은총괄책임자를보좌하여실질적인개인정보보호업무를총괄하여담당하는자로 개인정보총괄담당자 - 2 -
로통칭한다 개인정보보호부서별책임자 란당연직으로서본교기구표및사무분장규정에명시된부서의장을말한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를 처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와 그밖에업무상필요에의해개인정보에접근하여처리하는모든자를말한다 개인정보처리시스템 이라함은개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말한다 접속기록 이라함은개인정보취급자등이개인정보처리시스템에 접속하여수행한업무내역에대하여식별자 접속일시 접속자를 알수있는정보 수행업무등접속한사실을전자적으로기록한것을말한다 바이오정보 란지문 얼굴 홍채 정맥 음성 필적등개인을식별할 수있는신체적또는행동적특징에관한정보로서그로부터생성되거나가공된정보를말한다 보조저장매체 란이동형하드디스크 메모리 등자 료를저장할수있는매체로서개인정보처리시스템또는개인용컴퓨터등과용이하게분리할수있는저장매체를말한다 영상정보처리기기 란일정한공간에지속적으로설치되어사람 또는사물의영상등을촬영하거나이를유 무선망을통하여전송하는장치로서 및네트워크카메라를말한다 개인영상정보 란영상정보처리기기에의하여촬영 처리되는영상 정보중개인의초상 행동등사생활과관련된영상으로서해당개인의동일성여부를식별할수있는정보를말한다 영상정보처리기기운영자 란법제 조제 항각호에따라영상정보처리기기를설치 운영하는자를말한다 - 3 -
Ⅲ 내부관리계획의수립및시행 내부관리계획의수립및승인 개인정보총괄책임자는한세대학교의개인정보보호를위한전반적인사항을포함하여내부관리계획을수립하여야한다 개인정보총괄책임자는개인정보보호를위한내부관리계획의수 립시개인정보보호와관련한법령및관련규정을준수하도록내부관리계획을수립하여야한다 개인정보총괄책임자는개인정보총괄담당자가수립한내부관리 계획의타당성을검토하여개인정보보호를위한내부관리계획을승인하여야한다 개인정보총괄담당자는개인정보보호관련법령의제개정사항 등을반영하기위하여필요에따라내부관리계획의타당성과개 정필요성을검토하여야하며 개정할필요가있다고판단되는 경우내부관리계획의개정안을작성하여개인정보총괄책임자에게보고하고개인정보총괄책임자의승인을받아야한다 내부관리계획의공표 개인정보총괄책임자는전조에따라승인한내부관리계획을전교직원에게공표한다 내부관리계획은교직원이언제든지열람할수있는방법으로비 치하여야하며 변경사항이있는경우에는이를공지하여야한다 - 4 -
Ⅳ 개인정보보호조직편제 개인정보보호책임자의지정 개인정보보호책임자는개인정보보호법 제 조 개인정보보호책임자의지정 및동법시행령제 조 개인정보보호책임자의업무및 지정요건등 에해당하는지위요건에따라본교의행정처장으로함 개인정보보호책임자의임무 개인정보보호책임자는정보주체의개인정보보호를위하여다음각호의업무를수행한다 개인정보보호계획의수립및시행 개인정보처리실태및관행의정기적인조사및개선 개인정보처리와관련한불만의처리및피해구제 개인정보유출및오용남용방지를위한내부통제시스템의구축 개인정보보호교육계획의수립및시행 개인정보파일의보호및관리감독 법제 조에따른개인정보처리방침의수립변경및시행 개인정보보호관련자료의관리 처리목적이달성되거나보유기간이지난개인정보의파기 개인정보보호책임자는업무를수행함에있어서필요한경우개인정 보처리현황 처리체계등에대하여수시로조사하거나관계당사자로부터보고를받을수있다 개인정보보호책임자는개인정보보호와관련하여이법및다른관 계법령의위반사실을알게된경우에는즉시개선조치를하여야 하며 필요하면소속기관또는단체의장에게개선조치를보고하여야한다 - 5 -
개인정보취급자및임무 개인정보취급자는정보주체의개인정보를처리하는업무를수행하는 자를말하며 모든교직원및계약직 파견근로자 시간제근로자및계약에의한외주용역직원등이포함될수있다 개인정보취급자의임무 내부관리계획의준수및이행 개인정보의기술적관리적보호조치기준이행 업무상알게된개인정보를제 자에게제공하지않음 정보주체의개인정보수집 보관 처리 이용 제공 관리또는파 기등의업무를수행 정보주체의개인정보열람청구 정정 삭제 처리정지등권리보 장 기타정보주체의개인정보보호를위해필요한사항의이행등 q 개인정보보호체계 개인정보총괄책임자 행정처장 개인정보보호위원회 개인정보개인정보부서별개인정보전산책임자총괄담당자책임자학술정보원장행정처팀장부서장 개인정보전산담당자정보보호팀장개인정보전산처리자전산정보, 정보보호팀원 개인정보부서별담당자 부서팀장 개인정보취급자 부서팀원등 - 6 -
q 개인정보보호추진체계별역할 구분담당자역할 개인정보총괄책임자 ( 개인정보보호법제 31 조에의해본교의개인정보보호책임자로지정 ) 행정사무총괄하는자 ( 행정처장 ) [ 개인정보보호법시행령제 32 조제 2 항 ] 1 개인정보총괄책임자는정보주체의개인정보보호를위하여다음각호의업무를수행한다. 1. 개인정보보호계획의수립및시행 2. 개인정보처리실태및관행의정기적인조사및개선 3. 개인정보처리와관련한불만의처리및피해구제 4. 개인정보유출및오용 남용방지를위한내부통제시스템의구축 5. 개인정보보호교육계획의수립및시행 6. 개인정보파일의보호및관리감독 7. 법제 30 조에따른개인정보처리방침의수립 변경및시행 8. 개인정보보호관련자료의관리 9. 처리목적이달성되거나보유기간이지난개인정보의파기 2 개인정보총괄책임자는업무를수행함에있어서필요한경우개인정보처리현황, 처리체계등에대하여수시로조사하거나관계당사자로부터보고를받을수있다. 3 개인정보총괄책임자는개인정보보호와관련하여이법및다른관계법령의위반사실을알게된경우에는즉시개선조치를명해야한다. 개인정보보호위원회 위원장-행정처장부위원장 -학술정보원장 -개인정보보호규정의수립및개정에관한사항교무처장 -분야별개인정보보호대책의수립에관한사항학생인재개발처장 -개인정보유출시소송및분쟁조정, 기타피해구제사항입학홍보처장 -개인정보유출통제및내부감사에관한사항대학원장 -개인정보보호법위반자심사및처리에관한사항국제교류교육원장 -개인정보보호규정이행상태및확인처리에관한사항미래지식교육원장 -기타위원장이필요하다고인정하는사항간사-인사총무팀장 개인정보총괄담당자 인사총무팀장 - 개인정보보호내부관리계획의수립 - 개인정보의관리적보호조치이행 - 개인정보침해행위에대한점검, 대응, 사후조치이행 - 교직원에대한개인정보보호교육실시 - 개인정보보호와관련된제반조치의시행 - 그밖의개인정보보호관련법령의준수를위해필요한사항 개인정보부서별책임자 개인정보취급부서의부서장 - 소속부서의개인정보보호관련업무의지도및총괄 - 소속부서내교직원의개인정보보호업무감독 - 소속부서의개인정보제공 이용요청의검토및승인 - 소속부서내개인정보내부관리계획의수립 - 소속부서내부서별담당자및정보취급자지정 - 그밖의개인정보보호관련법령의준수를위해필요한사항 개인정보부서별담당자 개인정보취급부서내팀장 - 소속부서내정보취급자의관리감독 - 소속부서의개인정보침해행위예방및점검 - 7 -
개인정보취급자 개인정보를처리하는부서의팀원 ( 정규직, 임시직, 파견근로자, 시간제근로자포함 ) - 소속부서의개인정보보호관련민원업무처리 - 소속부서내개인정보내부관리계획의이행 - 그밖의개인정보보호관련법령의준수를위해필요한사항 - 개인정보보호활동참여 - 내부관리계획의준수및이행 - 개인정보의기술적 관리적보호조치기준이행 - 소속직원또는제 3 자에의한위법 부당한개인정보침해행위에대한점검등 - 업무상알게된개인정보를제 3 자에게제공하지않음 개인정보전산책임자 개인정보전산담당자 학술정보원장 정보보호팀장 - 본교의개인정보처리시스템의기술적보호조치이행총괄 - 본교의개인정보처리시스템보호와관련된제반조치총괄 - 본교의개인정보처리시스템에관한업무의관리감독 - 그밖의개인정보보호관련법령의준수를위해필요한사항 - 본교의개인정보처리시스템의기술적보호조치이행 - 본교의개인정보처리시스템보호와관련된제반조치시행 - 본교의개인정보처리시스템에대한위법, 부당한침해점검 - 본교의개인정보처리시스템에접근처리하는업무관리감독 - 그밖의개인정보보호관련법령의준수를위해필요한사항 개인정보전산처리자 전산정보, 정보보호팀원 - 개인정보처리시스템에접근하여관리및처리하는업무 - 개인정보의기술적 관리적보호조치기준이행 - 그밖의개인정보보호관련법령의준수를위해필요한사항 Ⅴ 개인정보보호원칙 개인정보처리자는개인정보처리목적을명확하게하고 그목적에 필요한범위에서최소한의개인정보만을적법하고정당하게수집하여직접적으로필요한범위내에서만개인정보를처리하여야하며 그목적외의용도로활용하지않아야한다 개인정보처리자는개인정보의처리목적에필요한범위에서개인정보의정확성 완전성및최신성이보장되도록하여야한다 개인정보처리자는개인정보의처리방법및종류등에따라정보주 체의권리가침해받을가능성과그위험정도를고려하여적절한기 술적 관리적및물리적보안조치를통하여개인정보를안전하게관리하여야한다 - 8 -
개인정보처리자는개인정보처리방침등개인정보의처리에관한사항을공개하며 열람청구권등정보주체의권리를보장하여야한다 개인정보처리자는정보주체의사생활침해를최소화하는방법으로개인정보를처리하여야한다 개인정보처리자는개인정보의처리에관한정보주체의동의를얻은 경우라도구체적인업무의특성상가능한경우에는익명처리등특정개인을알아볼수없는형태로개인정보를처리하여야한다 개인정보처리자는관계법령에서규정하고있는책임과의무를준수 하고실천함으로써정보주체의신뢰를얻기위하여노력하여야한다 Ⅵ 개인정보수집 이용 제공등 개인정보의수집이용 개인정보의수집은법률에서규정하는경우와정보주체의동의에의하며, 최소한의범위내에서수집하여야한다. 2 고등교육법시행령제4조 ( 학칙 ) 및제4조의4( 교육통계조사의조사내용등 ) 에따라별도의개인정보수집 이용에대한동의를받지않으나, 그외의경우에는정보주체의동의를받아야한다. 3 정보주체의동의를받아개인정보를수집하는경우아래사항을반드시알려야한다. 1. 개인정보의수집 이용목적또는법적근거 2. 수집 이용하려는개인정보의항목 3. 개인정보의보유및이용기간 - 붙임5. 본교공문서및기록관리 ( 보관 보존 ) 규정 참조하여산정 4. 동의를거부할권리가있다는사실및동의거부에따른불이익이있는경우에는그불이익의내용 - 9 -
고유식별정보의처리동의및제한 개인정보처리자가법제 조제 항제 호에따라고유식별정보의처리 를위하여정보주체에게동의를받고자하는경우에는다른개인정 보와고유식별정보를구분하여고유식별정보에대하여는정보주체가별도로동의할수있도록조치를취하여야한다 개인정보처리자는동의를받을때에는다음각호의사항을정보주 체에게알려야한다 다음각호의어느하나의사항을변경하는경우에도이를알리고동의를받아야한다 고유식별정보의수집 이용목적 수집하려는고유식별정보의항목 고유식별정보의보유및이용기간 동의를거부할권리가있다는사실및동의거부에따른불이익이 있는경우에는그불이익의내용 3 개인정보처리자가고유식별정보를처리하는경우에는그고유식별정 보가분실 도난 유출 위조 변조또는훼손되지아니하도록 개인정 보의안전성확보조치기준 에따라암호화등안전성확보에필요한조치를하여야한다 주민등록번호의처리제한 주민등록번호는 주민번호수집법정주의 에의해원칙적으로수집이 금지되며 유출시과징금이부과됨 주민등록번호는법령상근거에의해서만수집할수있으며 대학에 서는아래와같은사항으로고등교육법시행령제 조에의하여주민등록번호를수집할수있음 학적부작성관리등교육의과정기록에관한사무를수행하기 위해불가피한경우 - 10 -
민감정보처리제한 개인정보처리자가민감정보의처리를위하여정보주체에게동의를 받고자하는경우에는다른개인정보와민감정보를구분하여민감정 보에대하여는정보주체가별도로동의할수있도록조치를취하여야하며 다음각호의사항을알려야한다 민감정보의수집 이용목적 수집하려는민감정보의항목 민감정보의보유및이용기간 동의를거부할권리가있다는사실및동의거부에따른불이익 이있는경우에는그불이익의내용 정보주체에게서비스의홍보를하는경우 개인정보처리자가서비스를홍보하기위해개인정보수집을하게되 는경우에는정보주체에게동의또는동의거부를선택할수있음을명시적 별도의동의체크항목을기재 으로알려야한다 법정대리인의동의 개인정보처리자는만 세미만아동의개인정보를처리하기위하여 개인정보보호법에따른동의를받아야할때에는그법정대리인의 동의를받아야한다 이경우법정대리인의동의를받기위하여성 명 연락처에관한정보를수집할수있으며 해당아동에게자신의 신분과연락처 법정대리인의성명과연락처를수집하고자하는이유를알려야한다 법정대리인의동의거부가있거나법정대리인의동의의사가확인되지않는경우수집일로부터 일이내에파기해야한다 - 11 -
Ⅶ 개인정보의목적외이용및제 3 자제공처리절차 기본원칙 자료제공판단기준 자료제공이필요한경우목적의정당성 수단의적정성 피해의 최소성 법익의균형성에대하여종합적으로검토한후필요한최소한의범위내에서제공하여야한다 목적의정당성 : 구체적으로어떠한목적을위하여당해개인정보가필요한지? 수단의적정성 : 당해개인정보를제공함으로써공익목적을달성할수있는것인지? 피해의최소성 : 목적달성을위하여필요한최소한의정보는어디까지인지? 법익의균형성 : 제공에따른이익과정보주체가받을수있는예상피해를비교하여전자가우월하다고할수있는지여부판단 요청기관의적격여부확인 자료제공이필요한경우제공가능여부를아래의기준에따라확인하고제공하여야한다 요청기관의개별법에자료요청의근거조항이구체적으로명시된경우제공가능 요청기관의개별법에자료요청근거법이없는경우, 정보주체의동의가있었는지여 부등예외적제공가능사항에해당되는지확인한후제공여부결정 제공항목판단 직접수집한정보여부확인하여야한다 본교에서직접수집 생산한정보가아닌경우자료제공불가 요청목적에부합하는최소항목만제공 개인정보최소제공원칙 - 12 -
고유식별정보 주민등록번호 여권번호 운전면허번호 외국인등록번호 는법령 법률 시행령 시행규칙 에처리를요구 허용 하도록규정되어있는경우만제공하여야한다 개인정보제공기준 수집목적범위내에서제공하는경우 정보주체의동의를받은경우개인정보의제 자제공이가능하다 개인정보보호법제 조제 항제 호 제 호및제 호에따라개인정보를수집한목적범위에서개인정보를제공하는경우제 자제공이가능하다 수집목적외의용도로제공하는경우 개인정보보호법 제 조제 항각호에해당하는경우는예외 적으로제공가능다만 정보주체또는제 자의권익을부당하게침해할우려가있다고인정되는때에는제공불가하다 업무의일부또는전부를위탁하는경우 개인정보처리업무를위탁하는경우위탁업무의목적등이포함된 문서에의하여야하며위탁사항에구체적으로표기된범위내에서제공하여야한다 안전성확보조치 개인정보자료제공은문서로시행되어야하며 문서에제공목적이 외의이용금지 사용목적달성후폐기 사후관리실태확인등의안전성확보조치문구를표기하여시행하여야한다 - 13 -
목적외이용 제 자제공시절차 절차 주요내용 1. 법적근거검토 - 목적외이용 제 3 자제공이가능한경우에해당하는지법적근거검토 2. 동의절차이행 3. 제공승인획득 - 법적근거가없는경우정보주체로부터별도의동의를받아야함 동의서는 [ 별지 2 서식 ] 참조 - 개인정보총괄책임자로부터목적외이용 제공승인절차진행 업무협조또는메모보고등 - 개인정보의목적외이용및제 3 자제공대장 을기록 관리하여야함 ( 개 4. 대장기록 관리 인정보부서별책임자 ) 교육부개인정보보호지침 [ 서식 8] 개인정보의목적외이용및제 3 자제공대장활용 5. 보호조치요구 - 제 3 자제공시에는이용목적, 이용방법, 이용기간, 이용형태등을제한하 거나개인정보의안전성확보를위하여필요한조치 ( 라. 안전성확보조 치 참조 ) 를마련하도록문서로요청 6. 조치결과제출 - 안전성확보조치요청을받은자 ( 제공받는자 ) 는그에따른조치를취한후, 그 결과를개인정보를제공한개인정보처리자에게문서로알려야함 7. 주요내용공개 - 30 일이내에관보또는인터넷홈페이지에 10 일이상계속개재 - 14 -
Ⅷ 수탁자에대한관리및감독에관한사항 한세대학교위탁사업현황 본교홈페이지하단부에개시되어있는개인정보처리방침 개정 을참조 수탁자교육및관리 감독계획 위탁자는업무위탁으로인하여정보주체의개인정보가분실 도난 유출 변조또는훼손되지않도록수탁자를교육하고 처리현황점검등수탁자가개인정보를안전하게처리하는지감독하여야한다 수탁자개인정보처리관리 감독 일정 수탁자관리 감독계획수립 년간점검실시 점검내용 개인정보보호체크리스트에따른이행여부점검 점검결과 미흡항목개선계획및조치결과제출 수탁자개인정보보호교육 일정 수탁자개인정보보호계획수립 년간교육실시 교육내용 개인정보처리방법 안전성확보를위한기술적 관리적조치등 교육대상 수탁자중개인정보를취급 관리하는전직원대상 - 15 -
Ⅸ 개인정보의파기 개인정보처리자는개인정보의보유및이용기간경과또는목적 달성시지체없이복구불가능한방법 파쇄 소각등 으로파기하 여야하며 파기전개인정보파일명 개인정보항목 수집및이 용기간 파기일자 파기담당자 파기사유등을개인정보총괄책임자에게신고하여야한다 개인정보의보유및이용기간경과또는목적이달성되었다고 하더라도법령에따라보존하여야하는경우 다른개인정보와 분리하여저장 관리 전문업체에위탁할경우개인정보처리위탁계약을하여야하 며 개인정보보호및정보보안서약서징구및파기완료에대 한확인을문서로서작성 보관 개인정보파기절차 절차주요내용담당자비고 1 - 개인정보파기요청서작성및제출 교육부개인정보보호지침 [ 서식 9] 개인정보파일파기요청서참조 2 - 파기요청검토및승인 반려 3 - 승인시, 개인정보파일파기실시 ( 접속로그기록확인 ) - 개인정보파일파기관리대장작성 ( 업무분야별작성 ) 교육부개인정보보호지침 [ 서식 10] 개인정보파일파기관리대장참조 - 개인정보파일파기결과보고 4 - 개인정보파일파기결과확인 개인정보취급자개인정보총괄책임자개인정보총괄담당자개인정보취급자개인정보총괄책임자개인정보총괄담당자 담당부서 5 - 행정자치부개인정보보호종합지원시스템파일삭제 - 개인정보처리방침에공개된개인정보파일삭제 개인정보총괄책임자 담당부서 - 16 -
Ⅹ 개인정보의안전성확보조치 접근권한관리 개인정보처리자는개인정보처리시스템 입시 학적 인사 행정등 에 대한접근권한을업무수행에필요한최소한의범위로차등부여하여야한다 개인정보처리자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템 입시 학적 인사 행정등 의접근권한을변경또는말소하여야한다 그기록은최소 년간보관하여야한다 개인정보의안전성확보조치기준 행정자치부고시제 호 제 조 개인정보처리자는개인정보처리시스템에접속할수있는사용자 계정을발급하는경우 개인정보취급자별로한개의사용자계정을발급하여야하며 다른개인정보취급자와공유되지않도록하여야한다 개인정보취급자또는정보주체중복로그인방지기능도입 개인정보처리자는개인정보처리시스템의계정정보또는비밀번호를 일정횟수이상잘못입력한경우개인정보처리시스템에대한접근을제한하는방법등필요한기술적조치를하여야한다 비밀번호관리 한세포털비밀번호 개인정보처리자는개인정보취급자또는정보주체가안전 한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야한다 비밀번호최소길이 최소 자리에서 자리로구성하며영문 숫자 특수문자를반드시포함하여야한다 추측하기어려운비밀번호생성 생일 주민등록번호 전화번호등개인관련정보를비밀번호로사용하지않도록조치 - 17 -
생성한비밀번호에 등과같은일련번호 전화번호등쉬운문자열포함금지 등과같은잘알려진단어 처럼키보드상나란히있는문자열금지 비밀번호주기적변경 비밀번호유효기간 개월 설정 장기간사용금지 동일한비밀번호사용제한 개의비밀번호교대사용금지안내 행정용연구용 비밀번호 개인정보처리자는개인정보취급자또는정보 주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야한다 비밀번호최소길이 최소 자리이상으로구성하며영문 숫자 특수문자중 가지이상의문자를포함하여야한다 비밀번호주기적변경 비밀번호유효기간 개월 설정 장기간사용금지 접근통제시스템설치및운영 개인정보처리자는정보통신망을통한불법적인접근및침해사고방지를위해다음의사항을포함한시스템설치 운영하여야한다 개인정보처리시스템에대한접속권한을 혹은 주소등으로 제한하여인가받지않은접근을제한 개인정보처리시스템에접속한 주소등을분석 하여불법적인개인정보유출시도를탐지 개인정보처리자는개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속하려는경우에는가상사설망 또는전용선등안전한접속수단을적용하 거나안전한인증수단을적용하여야한다 외부망으로부터개인정보처리시스템에대한접속은원칙적으로차단 업무용컴퓨터 노트북등 모바일기기등으로외부에서정보통신망 을통해개인정보처리시스템에접속하는경우에도가상사설망 전용 선등안전한접속수단적용 개인정보처리자는인터넷홈페이지에서다른법령에근거하여 정보주체의본인확인을위해성명 주민등록번호를사용할수 - 18 -
있는경우에도정보주체의추가적인정보를반드시확인하여야한다 추가적정보확인방법 공인인증서 휴대전화 주민등록증발급일자 주소 개인정보처리자는취급중인개인정보가인터넷홈페이지 공유설정 공개된무선망이용등을통하여열람권한이없는자 에게공개되거나외부에유출되지않도록개인정보처리시스템및업무용컴퓨터에조치를취하여야한다 잘알려진웹취약점항목들을포함한웹취약점점검 조치 사용되지않거나관리되지않는사이트또는 에대한삭제 차단조치 관리자페이지홈페이지에대해노출차단등의보호조치 개인정보노출점검및차단솔루션도입 개인정보처리자는취급중인개인정보가인터넷홈페이지 공유설정 공개된무선망이용등을통하여열람권한이없는자 에게공개되거나유출되지않도록개인정보처리시스템 업무용 컴퓨터 모바일기기및관리용단말기등에접근통제등에관한조치를하여야한다 드라이브전체또는불필요한폴더공유금지 공유폴더에개인정보파일이포함되지않도록정기적점검 조치 개인정보처리자는공개된무선망을이용하여개인정보를처리하 는경우개인정보가신뢰되지않은무선접속장치 무선전송 구간및무선접속장치 의취약점에의해공개또는유출되지않도록안전조치를하여야한다 개인정보송 수신시 등의보안기술이적용된전용프 로그램을사용하여송 수신또는암호화송 수신 개인정보가포함된파일송 수신시파일암호화저장후송 수신 개인정보유출방지조치가적용된공개된무선망이용 고유식별정보를처리하는개인정보처리자는인터넷홈페이지를 통해고유식별정보가유출 변조 훼손되지않도록연 회이상취 - 19 -
약점을점검하고필요한보완조치를하여야한다 웹취약점점검시잘알려진웹취약점항목들을포함하여점검 시큐어코딩적용 관리자페이지노출및웹쉘등정기적점검 조치 홈페이지취약점점검시 기록을남겨책임추적성확보및 향후개선조치에이용 개인정보처리자는개인정보처리시스템에대한불법적인접근및 침해사고방지를위하여개인정보취급자가일정시간이상업무 처리를하지않는경우에는자동으로시스템접속이차단되도록하여야한다 개인정보처리자는업무용모바일기기의분실 도난등으로개인 정보가유출되지않도록해당모바일기기에비밀번호설정등의보호조치를하여야한다 비밀번호 패턴 등을사용하여화면잠금설정 디바이스암호화로애플리케이션 데이터등을암호화 개인정보의암호화 개인정보처리자는고유식별정보 주민등록번호 운전면허번호 외국인 등록번호 여권번호 비밀번호 바이오정보등개인정보는암호화하여야한다 저장한개인정보는암호화하여저장 관리 특히비밀번호는복 호화되지않도록일방향암호화 해쉬함수 하여저장 관리 개인정보처리자는인터넷구간및인터넷구간과내부망의중간 지점 에고유식별정보를저장하는경우에는이를암호화하여야한다 개인정보처리자는정보주체의개인정보를정보통신망을통하여 - 20 -
송 수신하거나보조저장매체등을통하여전달하는경우에는이를암호화하여야한다 개인정보처리자 개인정보취급자는업무용컴퓨터 에개인정보를 저장하여관리하는경우상용암호화소프트웨어또는안전한암호화알고리즘을사용하여저장하여야한다 개인정보처리자는암호화된개인정보를안전하게보관하기위하여 안전한암호키생성 이용 보관 배포및파기등에관한절차를수립 시행하여야한다 접속기록의보관및점검 개인정보처리자는개인정보취급자가개인정보처리시스템에접속한기록을최소 개월이상보관 관리하여야한다 접속기록보관내용 식별자 접속일시 접속자 주소 수행업무등 개인정보의안정성확보조치기준 행정자치부고시제 호 개인정보처리자는개인정보의유출 변조 훼손등에대응하기위 하여개인정보처리시스템의접속기록등을반기별로 회이상점검하여야한다 비인가된개인정보처리 대량의개인정보의조회 정정 다운로드 삭제등의비정상행위탐지하여적절한대응조치 개인정보처리자는개인정보취급자의접속기록이위 변조및도난 분실되지않도록해당접속기록을안전하게보관하여야한다 정기적인접속기록백업수행 별도의보조저장매체나저장장치에보관 보안프로그램의설치및운영 개인정보취급자는악성프로그램으로부터정보추체의개인정보가손상 유출이되지않도록업무용컴퓨터에백신소프트웨어등의보안프로그램을설치 운영하여야하며 다음사항을준수하여야한다 - 21 -
보안프로그램의자동업데이트기능을사용하거나일 회이상 업데이트실시하여최신의상태로유지 악성프로그램관련경보가발령된경우또는사용중인응용프로그램이나운영체제소프트웨어의제작업체에서보안업데이트공지가있는즉시업데이트실시 물리적인접근제한 개인정보처리자는전산실 자료보관실등개인정보를보관하고 있는물리적보관장소를별도로두고있는경우에는이에대한출입통제절차를수립 운영하여야한다 물리적접근방지를위한장치 예시 비밀번호기반출입통제 장치 스마트카드기반출입통제장치 지문등바이오정보기반 출입통제장치등 개인정보처리자및개인정보취급자는개인정보가포함된서류 보조저장매체등을잠금장치가있는안전한장소에보관하여야한다 보조저장매체보유현황파악및반 출입관리계획수립 개인정보취급자 교 직원 파견근로자 시간제근로자등 및용역업 체의직원등에의한비인가된보조저장매체반 출입에대한대응 관리용단말기의안전조치 개인정보처리자는개인정보유출등개인정보침해사고방지를 위하여관리용단말기에대해다음각호의안전조치를하여야한다 인가받지않은사람이관리용단말기에접근하여임의로조 작하지못하도록조치 본래목적외로사용되지않도록조치 악성프로그램감염방지등을위한보안조치적용 - 22 -
재해 재난대비안전조치 개인정보처리자는화재 홍수 단전등의재해 재난발생시개인 정보처리시스템보호를위한위기대응매뉴얼등대응절차를마련하고정기적으로점검하여야한다 개인정보처리자는재해 재난발생시개인정보처리시스템백업및복구를위한계획을마련하여야한다 Ⅺ 개인정보보호교육 교육목적 안전하게개인정보가관리될수있도록개인정보총괄책임자 총괄담당자 취급자가개인정보보호에대한인식을제고시키고개인정보보호대책의필요성을이해시키기위한교육을실시한다 교육대상 개인정보총괄책임자 총괄담당자 부서별담당자 취급자 교육실시 개인정보총괄책임자 연 회이상이수 개인정보총괄담당자 연 회이상이수 개인정보취급자 연 회이상이수 신규입사자 전입자 연 회실시 교육부정보보호교육센터 (sec.keris.or.kr) 을통해개인정보보호교육이수상시가능 교육내용 개인정보보호의중요성설명 - 23 -
내부관리계획의준수및이행 위험및대책이포함된조직보안정책 보안지침 지시사항 위험관리전략 개인정보시스템하드웨어및소프트웨어를포함한시스템의정확한사용법 개인정보의기술적 관리적보호조치기준이행 개인정보보호위반을보고해야할필요성 개인정보보호업무의절차 책임 작업설명 개인정보보호관련자들의금지항목들 개인정보보호준수사항이행관련절차등 Ⅻ 개인정보침해대응및피해구제 개인정보유출등의통지 개인정보총괄책임자는개인정보가유출됨을알게되었을때에는지체없이개인정보처리자에게알려야한다 개인정보처리자는 정보주체에게다음의사실을알려야한다 다만 유출된개인정보의 확산및추가유출을방지하기위하여접속경로의차단 취약점 점검 보완 유출된개인정보의삭제등긴급한조치가필요한경우 에는그조치를한후정보주체에게알릴수있다 유출된개인정보의항목 유출된시점과그경위 유출로인하여발생할수있는피해를최소화하기위하여정보 - 24 -
주체가할수있는방법등에관한정보 대응조치및피해구제절차 정보주체에게피해가발생한경우신고등을접수할수있는담당부서및연락처 만명이상의정보주체에관한개인정보가유출된경우에는서면 등의방법과함께인터넷홈페이지에정보주체가알아보기쉽도 록위의고지사항을 일이상게재해야한다 개인정보처리자는개인정보가유출된경우그피해를최소화하기 위하여 침해사고대응팀 을구성하고대응매뉴얼에따라필요한 조치를해야한다 개인정보유출등의신고 명이라도정보주체에관한개인정보가유출된경우에는유출내용 및조치결과를 일이내에교육부정보보호팀에신고하여야한다 개인정보처리자는 만명이상의개인정보가유출된경우에는 개인 정보보호법 시행령제 조 개인정보유출신고의범위및기관 에 따라한국정보화진흥원 한국인터넷진흥원에신고하여야한다 - 25 -
ⅫI 정기감사및결과반영 정기감사및절차 개인정보총괄책임자는개인정보보호를위한내부관리계획및관련법령에서정하는개인정보보호규정을성실히이해하는지를정기적으로감사또는점검하여야한다 개인정보총괄책임자는개인정보자체감사를위한감사대상 감사 절차및방법등감사의실시에필요한별도의계획을수립하여 매년 회이상실시할수있다 정기감사결과반영 개인정보총괄책임자는개인정보보호를위한자체감사실시결과개인정보의관리 운영상의문제점을발견하거나개인정보취급자가본계획의내용을위반할때에는시정 개선등필요한조치를취하여야한다 개인정보총괄책임자는개인정보위반사실에대한시정 개선조치 가이행되지않거나 개인정보보호에심각한영향이발생할수있는우려가되는경우개인정보취급자등에대하여인사위원회심의요구등필요한추가조치를취할수있다 붙임 한세대학교개인정보처리시스템자율점검표및가이드라인참조 - 26 -
붙임 1 한세대학교개인정보보호교육계획 목적 한세대학교교 직원의개인정보보호인식제고를통해유 노출사고 예방 대응역량강화등개인정보관리수준향상 대상 교내개인정보보호부서별담당자 취급자 학과조교등 시기 개인정보처리의오 남용 유출등을적극예방하기위해매년 회이상 개인정보보호교육실시 교내개인정보취급자및부서별담당자 신규 파견자및외부위탁운영업체 교육방법 집합교육 외부기관행사참여 개인정보보호종합지원포털등 교육내용 구분교육내용시기시간교육대상비고 상 / 하반 기 실시 ㆍ개인정보보호와업무처리ㆍ개인정보보호처리절차별유의사항 ㆍ 개인정보보호법 및 교육부개인정보보호지침 개정사항ㆍ사례를통한개인정보 Life-cycle ㆍ개인정보유 노출, 위반사례소개등 - O 시간 - O 시간 - O 시간 부내과 ( 팀 ) 별개인정보취급자부내신규 파견자및외부위탁운영업체직원 교내전직원 ( 개인정보취급자포함 ) 연 중 ㆍ개인정보보호관련교육 ( 행사 ) 참여 - 1회이상 개인정보총괄책임자 사이버 또는 - 1회이상 개인정보보호담당자 집합교육 - 27 -
붙임 2 한세대학교개인정보침해사고대응매뉴얼 제 1 장총칙 제1조 ( 목적 ) 본지침은한세대학교 ( 이하 본대학 이라한다 ) 에서발생하는개인정보침해사고에신속하게대응하기위한사고대응및처리방법과이를위한사전준비사항에대하여침해사고로부터의피해를최소화하고후속보안대책을세울수있도록하는데그목적이있다. 제 2 조 ( 적용범위 ) 본지침의적용범위는본대학의개인정보를취급하는대학내부교직 원 ( 계약직등비정규직포함 ) 을대상으로한다. 제3조 ( 용어정의 ) 개인정보의유출 이란법령이나개인정보처리자의자유로운의사에의하지않고, 정보주체의개인정보에대하여개인정보처리자가통제를상실하거나권한없는자의접근을허용한것으로서, 다음각호의어느하나에해당하는경우를말한다. 1. 개인정보가포함된서면, 이동식저장장치, 휴대용컴퓨터등을분실하거나도난당한경우 2. 개인정보가저장된데이터베이스등개인정보처리시스템에정상적인권한이없는자가접근한경우 3. 개인정보처리자의고의또는과실로인해개인정보가포함된파일또는종이문서, 그밖에저장매체가권한이없는자에게잘못전달된경우 4. 그밖에권한이없는자에게개인정보가전달되거나개인정보처리시스템등에접근가능하게된경우 제 2 장개인정보침해사고대응에관한역할 제 4 조 ( 개인정보총괄책임자 ) 1 개인정보총괄책임자는개인정보침해사고예방, 처리 및재발방지의총괄관리를한다. 2 개인정보총괄책임자는개인정보침해사건발생시침해사고처리책임자를지정 - 28 -
하고개인정보침해사고대응팀을소집하여운영한다. 제 5 조 ( 개인정보침해사고대응팀 ) 개인정보보호분야별책임자로구성되며개인정보총 괄책임자가해당침해사고분석, 대응및복구에필요한관련자를지정하여소집한다. 필 요시업무담당자, 외부전문가등이포함될수있다. 제 6 조 ( 침해사고처리책임자 ) 해당침해사고의발생부서 ( 학과 ) 의장으로지정되며처리 및재발방지에대한책임을지고개인정보침해사고대응팀과협력하여사고를해결한다. 제7조 ( 개인정보총괄당자 ) 1 개인정보침해사고를접수하고본지침제10조의기준에따라등급을분류하여침해사고대응절차를개시한다. 2 개인정보침해사고대응팀의간사로서대내외비상연락망을관리하고팀내연락및조정을담당한다. [ 붙임5] 참조 3 개인정보침해기록을관리하고필요시관련자및기관에보고한다. 제 8 조 ( 정보보안담당자 ) 정보보안담당자는침해사고발생시기술적인분석을제공한다. 제 9 조 ( 전직원 ) 대학의내부교직원 ( 계약직등비정규직포함 ) 은개인정보에대한침해가 발생한것을인지한경우, 지체없이개인정보총괄담당자에게신고하여야한다. 제 3 장침해사고의분류 제10조 ( 개인정보침해의분류 ) 개인정보침해사고는다음과같이 3등급으로분류한다. 침해등급내용예시 1등급 법적근거, 규정또는본인의동의 해킹, DDOS, 내부자에의한개인정보유출없이개인정보가대학외부의 본인동의없이목적외이용또는제3자제공등제3자에게노출또는제공 2등급 개인정보취급권한이없는직원이개인정보법적근거, 규정또는본인의취급 훼손동의없이개인정보를수집, 접근, 개인정보취급자에의한개인정보훼손 침해분석, 이용, 내부자에게제공, 이용자의동의없는개인정보수집 / 이용저장, 파기 과도한개인정보수집등 안전하지않은상태로개인정보를 주요개인정보 ( 고유식별번호등 ) 암호화미실시 3등급 저장하거나, 파기해야할정보를 개인정보에대한기술적 관리적조치미비파기하지않는등세부지침의 개인정보수집또는제공받은목적달성후 규정위반 개인정보미파기등 - 29 -
제 4 장개인정보침해대응절차 제11조 ( 개인정보침해예방및탐지 ) 1 개인정보총괄담당자는웹사이트를통한개인정보유출을예방하기위하여개인정보유출차단시스템을운영 관리한다. 2 게시판등에자료를게재할때개인정보유출에대하여주의를환기시키기위한경고를제공하여야한다. 3 개인정보총괄담당자는년 1회웹사이트의개인정보노출취약점점검을시행하고개인정보총괄책임자에게결과를보고한다. 제12조 ( 개인정보침해의신고 ) 1 대학의전직원 ( 계약직등비정규직포함 ) 이취급하는개인정보에대하여본지침제10조에서정의한침해가발생한것을인지한경우또는그러한침해의발생이의심되는경우지체없이소속부서의부서별담당자에게신고하며부서별담당자는개인정보총괄담당자에게신고하여야한다. 2 개인정보침해사고발생시고의적으로신고를누락한경우개인정보총괄책임자는관련자에대한처분 ( 징계등 ) 을요청할수있다. 제 13 조 ( 개인정보침해사고의접수 ) 1 개인정보총괄담당자는개인정보침해사고를접수 한경우 [ 붙임 1] 개인정보침해사고관리대장 에사고접수를기록한다. 2 개인정보총괄담당자는접수후지체없이개인정보총괄책임자에게보고한다. 제14조 ( 개인정보침해사고대응팀구성 ) 1 개인정보총괄책임자는유출또는제공된정보의종류에따라, 발생부서 ( 학과 ) 의장으로침해사고처리책임자를지정하고개인정보침해사고대응팀을구성한다. 2 발생부서 ( 학과 ) 를적시할수없거나발생부서 ( 학과 ) 의장이침해사고에연루된경우개인정보총괄책임자가임의로침해사고처리책임자를지정할수있다. 3 개인정보침해사고대응팀은분야별책임자중에서사안에따라선정한다. 4 2, 3등급침해의경우개인정보총괄책임자는침해사고처리책임자와협의하여개인정보침해사고대응팀을구성하지않을수있다. 5 개인정보총괄책임자는필요시외부전문가에게분석을의뢰할수있다. 제15조 ( 침해사고의분석 ) 1 침해사고처리책임자는침해사실여부를확인하고사실로확인될경우침해의규모, 경위, 방법, 원인및관련자를조사한다. 2 침해사고처리책임자는필요한경우개인정보침해사고대응팀또는개인정보총괄책임자가승인한외부전문가의지원을받아증거자료를수집한다. - 30 -
제16조 ( 침해사고의대응및복구 ) 1 1등급침해의경우침해사고처리책임자는해당개인정보를파기또는회수하기위한조치를취한다. 2 2등급의경우침해사고책임자는해당개인정보를파기, 회수또는복구하기위한조치를취하거나정보주체의사후동의를받아근거를마련한다. 3 3등급의경우침해사고처리책임자는해당개인정보를적절히보호하거나파기하기위한조치를취한다. 4 침해사고처리책임자는즉각적조치가가능한경우재발방지조치를취한다. 제17조 ( 침해사고의종료 ) 1 침해사고처리책임자는 [ 붙임2] 개인정보침해사고처리보고서를작성하여개인정보총괄책임자에게제출한다. 2 개인정보총괄책임자는개인정보침해사고처리보고서를검토하고승인한다. 3 개인정보총괄책임자는개인정보침해관련자에대한처분 ( 징계등 ) 을해당부서에요청할수도있다. 4 개인정보총괄담당자는개인정보침해사고처리보고서를관리하고처분 ( 징계등 ) 결과를기록한다. 제18조 ( 침해사고사후분석 ) 1 침해사고처리책임자는처리보고서제출후 30일이내근본원인분석, 교훈및예방을위한개선대책을마련하여개인정보총괄책임자에게제출한다. 2 개인정보총괄책임자는개선안을검토하여시행및변경여부와시기를결정한다. 3 개인정보총괄책임자는필요하다고판단할경우사고의교훈을적절한대상을지정하여전파및교육을할수있다. 4 개인정보총괄책임자는개선안시행, 교훈전파및교육후그성과를검토한다. 제 5 장개인정보침해사고의관리 제 19 조 ( 개인정보침해사고의보고 ) 개인정보총괄책임자는 1 등급사고의경우발생즉시 및수시로그진행현황을 CPO 에게보고한다. 제 20 조 ( 개인정보침해사고의현황관리 ) 개인정보총괄책임자는개인정보침해사고현황 을분석하여추가적인개선대책이필요한경우개선대책을마련하여시행한다. 개선 대책에는교육자료활용등을포함할수있다. 제 21 조 ( 개인정보침해사고교육훈련 ) 개인정보총괄책임자는전직원에게연 1 회이상개인 - 31 -
정보침해사고의유형과보고방법을교육하여야한다. 제 6 장개인정보의유출 침해시처리방안 제22조 ( 개인정보유출통지시기및항목 ) 1 개인정보보호담당자는실제로유출사고가발생한것으로확인된때에는정당한사유가없는한 5일이내에해당정보주체에게다음각호의사항을알려야한다. 1. 유출된개인정보의항목 2. 유출된시점과그경위 3. 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보 4. 개인정보처리자의대응조치및피해구제절차 5. 정보주체에게피해가발생한경우신고등을접수할수있는담당부서및연락처 2 개인정보총괄담당자는제1항제2호의경우개인정보유출사고가최초발생한시점과알게된시점사이에시간적차이가있는경우에는이에대한과실유무를입증하여야한다. 3 개인정보총괄담당자는제1항각호의조치를취한이후에는정보주체에게다음각호의사실만을일차적으로알리고, 추후확인되는즉시알릴수있다. 1. 정보주체에게유출이발생한사실 2. 제1항의통지항목중확인된사항 제23조 ( 개인정보유출통지방법 ) 1 개인정보총괄담당자는정보주체에게제22조제 1항각호의사항을통지할때에는서면, 전자우편, 모사전송, 전화, 휴대전화문자전송또는이와유사한방법을통하여 5일이내에정보주체에게알려야한다. 2 개인정보총괄담당자는제1항의통지방법과동시에, 홈페이지등을통하여제22조제 1항각호의사항을공개할수있다. 제24조 ( 개인정보유출보고절차 ) 1 개인정보총괄담당자는정보주체에관한개인정보유출내용및조치결과를 5일이내에교육부에보고하여야한다. 다만 1만명이상의개인정보가유출된경우에는행정자치부장관또는개인정보보호법시행령제39조제 2항각호의전문기관 ( 한국인터넷진흥원, 한국정보화진흥원 ) 중어느하나에신고하여야한다. 2 제1항에따른신고는 [ 붙임4] 개인정보유출신고서를작성하여공문으로신고하여야한다. 3 개인정보총괄담당자는전자우편, 모사전송또는인터넷사이트를통하여유출보고또 - 32 -
는신고를할시간적여유가없거나그밖에특별한사정이있는때에는먼저전화를통하여제22조제 1항각호의사항을신고한후, [ 붙임4] 개인정보유출신고서를제출할수있다. 4 유출통지는서면, 전자우편, 팩스, 전화, 문자전송등의방법으로정보주체에게개별통지하여야하며, 1만명이상개인정보유출시에는개별통지와함께홈페이지에유출통지내용 (5개항목 ) 을 7일이상게시하여야합니다. 제25조 ( 개인정보침해신고자의보호 ) 1 개인정보침해신고자의신분은침해사고대응에반드시필요한경우반드시필요한담당자및권한자에게만제공되어야하며외부로노출되어서는아니된다. 2 개인정보침해신고자는어떠한경우에도신고로인해불이익을당하는경우가없어야한다. 제 26 조 ( 개인정보침해신고에대한대응 ) 개인정보에관한권리또는이익을침해받은사람은 개인정보침해신고센터에침해사실을신고한경우, 해당기관이사실의조사 확인을통해필요 한조치를취하므로사실조사에적극협조하여야한다. 제27조 ( 개인정보침해구제절차 ) 개인정보침해구제절차는다음과같습니다. 1 개인정보침해에대한신고 ( 118, privacy.kisa.or.kr) 2 개인정보침해신고센터의사실조사 ( 서면, 방문조사등 ) 3 사실조사결과통보및위법사실발견시조치 ( 수사의뢰, 과태료등 ) 4 손해배상, 침해행위중지, 재발방지등에대한분쟁조정 ( 118, privacy.kisa.or.kr) 동일피해를입은정보주체가 50명이상인경우집단분쟁조정신청가능 5 분쟁조정위원회자료조사및조정안작성 6 조정안제시 ( 당사자들이조정안수용시재판상화해의효력을갖음 ) 7 분쟁조정이실패할경우민사소송또는단체소송제기가능 ( 관할지방법원 ) 단체소송은권리침해행위의금지 중지를구하는소송 - 33 -
[ 붙임 1] 개인정보침해사고관리대장 일시 접수 신고자유형 신고개요등급처리유형종결일자처리내용비고 * 일시는접수일시를기록 * 신고자유형은직원 / 고객으로구분 * 신고개요는신고내용을개록 * 등급은 1/2/3 등급으로구분 * 처리유형은사실확인중 / 상담및자료제공 / 타기관이송 / 위법성통보 / 수사의뢰 / 법위반확인불가 / 기타 ( 징계위원회회부 ) 로구분 * 정결일자는개인정보침해사고처리보고서접수일을기준으로기록 * 처리내용은처분유형을사법처리 ( 징역, 벌금, 추징, 재판계류중, 수사중 )/ 징계처분 ( 파면, 해임, 정직, 감봉, 견책, 기타 ) 로구분 * 비고란에는처리보고서문서번호를기록 - 34 -
[ 붙임 2] 개인정보침해사고처리보고서 보고일자 문서번호 침해신고 / 접수정보 일반개인정보 침해등급 1 등급 2 등급 3 등급침해대상정보 주민등록번호 계좌번호 접수일시 신고일자 침해사고 처리책임자 신고자연락처 신고내용 대응과정 일시 대응활동 확인된침해정보의세부사항, 규모및침해방법 ( 노출, 외부자제공, 수집, 침해내용 접근, 분석, 이용, 내부자제공, 불법저장, 불안전한저장, 파기, 비파기등 세부사항 ) 침해발생경위 관련자 침해발생원인 증거자료 복구및 재발방지조치 처분 - 35 -
[ 붙임 3] 개인정보침해사실신고서 성명 생년월일 신고인 전화번호 ( 핸드폰 ) 연락처 전자우편 주소 부서명 접수부서 전화번호 연락처 주소 신고내용 위와같이개인정보침해사실을신고합니다 붙임 : 년월일 신고인 : ( 서명또는인 ) - 36 -
[ 붙임 4] 개인정보유출신고 ( 보고 ) 서 - 37 -
[ 붙임 5] 침해사고비상연락망 구분직책성명내선 총괄책임자개인정보총괄책임자 간사개인정보총괄담당자 행정처장김지현 인사총무팀장송기백 침해사고처리책임자침해사고발생한부서장 부서별담당자침해사고발생한부서팀장 - 38 -
[ 별표 1] 개인정보침해사고모의시나리오 구분행동요령행위자비고 o 침해가발생한것을인지한경우또는개인정보홈페이지개인정보처리방침의그러한침해의발생이의심되는경우침해사고전직원개인정보침해신고서다운및지체없이개인정보총괄담당자에게신의발생작성고 o 개인정보총괄담당자는개인정보침해사고를개인정보접수한경우 개인정보침해사고관리대장 개인정보 1등급침해사고의경우발생그침해사고에사고접수를기록한다. 총괄담당자즉시및수시로 CPO에게보고의접수 o 개인정보총괄담당자는접수후지체없이개인정보총괄책임자에게보고한다. 2,3 등급침해의경우개인정보 총괄책임자는 침해사고처리책임 자와협의하여개인정보침해사 개인정보침해사고대응팀구성 o 노출또는제공된정보의종류에따라, 발생부서의분야별책임자로침해사고처리책임자를지정하고개인정보침해사고대응팀을구성한다. 개인정보 총괄책임자 고대응팀을구성하지않을수있다. 개인정보총괄담당자는개인정보가유출된경우에는개인정보 침해통지및조치결과를지체 없이교육부에공문으로신고 하여야한다. o 침해의규모, 경위, 방법, 원인및관련자를 조사 개인정보침해사고의분석 o 필요시개인정보침해사고대응팀또는개인정보총괄책임자가승인한외부전문가의지원을받아증거자료를수집한다. o 개인정보유출사실을인지하였을경우 침해사고처리책임자 지체없이해당정보주체에게관련사실을 통지한다. o 1 등급의경우침해사고처리책임자는해 당개인정보를파기또는회수하기위 개인정보 한조치를취한다. 침해사고 o 2 등급의경우침해사고책임자는해당 침해사고 의대응 개인정보를파기, 회수또는복구하기 처리책임자 및복구 위한조치를취하거나정보주체의사후 동의를받아근거를마련한다. o 3 등급의경우침해사고처리책임자는해 - 39 -
개인정보침해사고의종료개인정보침해사고사후분석 당개인정보를적절히보호하거나파기하기위한조치를취한다. o 침해사고처리책임자는즉각적조치가가능한경우재발방지조치를취한다. o 침해사고처리책임자는개인정보침해사고처리보고서를작성하여개인정보총괄책임자에게제출한다. o 개인정보총괄책임자는개인정보침해사고처리보고서를검토하고승인한다. o 개인정보총괄책임자는개인정보침해관련자에대한처분 ( 징계등 ) 을해당부서에요청한다. o 개인정보총괄담당자는개인정보침해사고처리보고서를관리하고처분 ( 징계등 ) 결과를기록한다. o 침해사고처리책임자는처리보고서제출후 30일이내근본원인분석, 교훈및예방을위한개선대책을마련하여개인정보총괄책임자에게제출한다. 침해사고처리책임자 / 개인정보총괄책임자및담당자침해사고처리책임자 - 40 -
붙임 3 한세대학교개인정보처리시스템자율점검표 개인정보처리현황 일련번호개인정보처리시스템개인정보파일 - 41 -
개인정보처리일반사항점검표 ( 년월일 ) 법조항항목세부점검내용 Y N 해당없음 개선기한 (N 해당시 ) 제26조 10-1 제26조 10-2 제29조 11-1-1 제29조 11-1-2 제29조 11-6-1 제29조 11-6-2 위탁시필수사항 (7) 포함한문서 ( 계약서 ) 에의한계약여부 * 7 개 : 목적외처리금지, 기술 관리적보호조치, 목적 범위, 재위탁제한, 접근제한등안전조치, 관리 감독사항, 손해배상책임 위탁업무의내용과수탁자 ( 위탁받아처리하는자 ) 를공개하고있는가? 개인정보의안전한처리를위한내부관리계획수립되어있는가? 내부관리계획의필수반영사항 (4 개 *) 포함여부 * 5 개 : 보호책임자지정, 보호책임자 / 취급자의역할 책임, 안전성확보조치, 취급자교육, 수탁자에대한관리 감독 전산실, 자료보관실등물리적보관장소에대한출입통제절차를수립 운영하고있는가? 개인정보가포함된서류, 보조저장매체등을잠금장치가있는안전한장소보관여부 제 30 조 12-1 개인정보처리방침의수립여부 제 30 조 12-2 개인정보처리방침에필수항목 (8 개 *) 포함여부 * 8 개 : 처리목적, 처리및보유기간, 제 3 자제공사항 ( 해당시 ), 위탁사항 ( 해당시 ), 정보주체권리 의무및행사방법, 처리항목, 파기사항, 안전성확보조치사항 제 30 조 12-3 개인정보처리방침을홈페이지등에공개하고이력관리를하고있는가? 제 31 조 13-1 개인정보보호책임자가지정되어있는가? 제 32 조 14-1 개인정보파일을운용하는경우, 개인정보보호종합지원시스템 (intra.privacy.go.kr) 에등록하였으며, 개인정보파일의보유기간은타당한가? - 42 -
개인정보파일별점검표 ( 개인정보파일명 : ) 법조항항목세부점검내용 Y N 제 15 조 1-1 개인정보수집시 ( 회원가입, 게시판등 ), 정보주체의동의를받고있는가? 제 15 조 1-2 정보주체동의시필수고지항목 (4 개 *) 고지여부 제 15 조 1-3 필수고지항목 (4 개 *) 내용의적정여부 * 4 개 : 목적, 항목, 보유및이용기간, 거부권및불이익 제 16 조 2-1 목적에필요한최소한의개인정보수집여부 제 16 조 2-2 제 17 조 3-1 최소한정보외의개인정보수집에대한미동의를이유로재화또는서비스제공거부여부제3자제공에관한사항을정보주체에게알리고동의를받는가? 제 17 조 3-2 정보주체동의시필수고지항목 (5 개 *) 고지여부 제 17 조 3-3 필수고지항목 (5 개 *) 내용의적정여부 * 5 개 : 제공받는자, 목적, 항목, 보유및이용기간, 거부권및불이익 제 18 조 4-1 개인정보목적외이용 제공근거 제 18 조 4-2 제 18 조 4-3 제 21 조 5-1 동의에의한목적외이용, 목적외제 3 자제공시필수고지항목 (5 개 *) 고지여부 필수고지항목 (5 개 *) 내용의적정여부 * 5 개 : 제공받는자, 목적, 항목, 보유및이용기간, 거부권및불이익 보유기간경과, 처리목적 ( 제공받은경우제공받은목적 ) 달성후지체없이개인정보파기여부 제 21 조 5-2 법령에따라보존할경우별도분리보관여부 제 22 조 6-1 동의사항의구분동의여부 제 22 조 6-2 제 22 조 6-3 제 22 조 6-4 제 22 조 6-5 동의가필요한정보와동의없이처리할수있는정보의구분동의여부 홍보권유에활용하기위한정보와그렇지않은정보의구분동의여부 선택항목및홍보권유정보의미동의를이유로재화또는서비스제공거부여부 만 14 세미만아동의개인정보수집시, 법정대리인에게동의를받고있는가? 제 23 조 7-1 민감정보처리근거 제 24 조 8-1 제 24 조의 2 제 24 조의 2 고유식별정보 * 처리근거 * 고유식별정보 : 여권번호, 운전면허번호, 외국인등록번호 9-1 법에근거하지않은주민등록번호수집및처리여부 9-2 주민등록번호외회원가입방법제공여부 해당없음 개선기한 (N 해당시 ) - 43 -
개인정보처리시스템별점검표 ( 개인정보처리시스템명 : ) 법조항항목세부점검내용 Y N 해당없음 개선기한 (N 해당시 ) 제 29 조 11-2-1 제 29 조 11-2-2 제 29 조 11-2-3 개인정보처리시스템의중요도 ( 민감도 ) 및업무연관성등을고려하여담당자별차등접근권한절차를마련하는가? 전보 퇴직등인사이동으로취급자가변경될경우시스템접근권한을즉시변경또는말소하는가? 접근권한의부여 변경 말소내역의기록관리및최소 3 년간보관하고있는가? 제 29 조 11-2-4 취급자별로개별계정발급및계정미공유여부 제29조 11-2-5 제29조 11-2-6 제29조 11-2-7 제29조 11-2-8 제29조 11-2-9 비밀번호작성규칙을수립하여개인정보처리시스템에적용하고있는가? 불법적접근및침해사고방지를위한시스템설치 운영여부, 침입차단 (F/W) 방지 (IPS) 탐지 (IDS) 등접근통제시스템을설치 운영하는가? 외부에서정보통신망을통한접속시가상사설망, 전용선등안전한접속수단제공여부 본인확인을위해성명, 주민등록번호를사용할수있는경우에도정보주체의추가적인정보확인여부 P2P, 웹하드등비인가프로그램, 공유설정등에대한접속차단을실시하고있는지여부 제 29 조 11-2-10 고유식별번호처리시연 1 회이상취약점점검실시여부 제 29 조 11-2-11 업무용모바일기기에비밀번호설정여부 제29조 11-3-1 제29조 11-3-2 제29조 11-3-3 제29조 11-3-4 고유식별정보, 비밀번호및바이오정보를정보통신망을통하여송 수신하거나보조저장매체를통하여전달시암호화조치여부 비밀번호및바이오정보의저장시암호화조치여부 ( 단, 비밀번호의경우일방향암호화 ) 고유식별정보의인터넷과내부망의중간지점 (DMZ) 저장시암호화조치여부 고유식별정보를내부망에저장시암호화조치또는그에상응하는조치적용여부 - 44 -
법조항항목세부점검내용 Y N 해당없음 개선기한 (N 해당시 ) 제 29 조 11-3-5 제 29 조 11-3-6 고유식별정보, 비밀번호및바이오정보를암호화하여저장시안전한암호알고리즘사용여부확인 고유식별정보를업무용컴퓨터또는모바일기기에저장시안전한암호화알고리즘사용여부확인 제 29 조 11-4-1 취급자의접속기록을최소 6 개월이상보관 관리여부 제29조 11-4-2 제29조 11-4-3 제29조 11-4-4 제29조 11-5-1 제29조 11-5-2 접속기록의항목 (4 개 *) 이적정한지여부 * 4 개 : ID, 날짜및시간, 접속자 IP 주소, 수행업무 ( 열람, 수정, 삭제, 인쇄, 입력등 ) 개인정보처리시스템의접속기록점검및후속조치를반기별로 1 회이상수행하는가? 접속기록이위 변조및도난, 분실되지않도록접속기록을안전하게보관여부 보안프로그램의설치 운영여부-개인정보를처리하는시스템 업무용컴퓨터에백신소프트웨어를설치 운영하는가? 보안프로그램의자동업데이트또는일 1 회이상업데이트실시여부 - 45 -
붙임 4 한세대학교개인정보파일표준목록 본교개인정보파일보유목록 개인정보파일명장학관리졸업관리성적관리학적관리장학관리 ( 대학원 ) 수집항목이름, 집주소, E-Mail, 집연락처, 핸드폰 ( 연락처 ), 주민번호, 기타 ( 학사정보 ( 학적, 성적 ), 등록금수납정보, 장학정보 ( 장학금수혜내역 ), 보훈번호 ) 이름, 집주소, E-Mail, 집연락처, 핸드폰 ( 연락처 ), 주민번호, 기타 ( 학번, 졸업사정정보, 졸업년도 학기, 성적정보, 전공정보, 학위명, 학위번호, 졸업증서번호, 논문제목 ) 이름, 기타 ( 학번, 소속, 성별, 학년 학기 ( 계절학기 ) 별신청학점 취득학점 평점평균 석차, 유급여부, 과목별성적정보, 총신청학점, 총취득학점, 총평점평균, 브전공정보, 졸업시험 ( 논문 ), 성적정보 ) 이름, 집주소, E-Mail, 집연락처, 핸드폰 ( 연락처 ), 주민번호, 기타 ( 소속, 학번, 성별, 입학일, 졸업일, 학위번호, 학위명, 출신학교, 입학정보, 학적변동정보, 등록정보, 학적부정정기록 ) 이름, 집주소, E-Mail, 집연락처, 핸드폰 ( 연락처 ), 주민번호, 기타 ( 학사정보 ( 학적, 성적 ), 등록금수납정보, 장학정보 ( 장학금수혜내역 ), 보훈번호 ) 운영 보유 목적보유부서보유근거 기간 장학 업무 지원 졸업 업무 지원 성적 업무 지원 학적 업무 지원 장학 업무 지원 학생인재개 발처 학생복지지 원팀 교무입학처 교무팀 교무입학처 교무팀 교무입학처 교무팀 대학원 교학팀 대학등록금에관한규칙 제 3 조 고등교육법 시행령제 73 조 본교 공문서및기록관리규정 고등교육법시행령제 4 조,73 조 본교 공문서및기록관리규정 고등교육법시행령제 4 조,73 조 본교 공문서및기록관리규정 고등교육법시행령제 4 조,73 조 본교 공문서및기록관리규정 대학등록금에관한규칙 제 3 조 고등교육법 시행령제 73 조 본교 공문서및기록관리규정 5 년 영구 영구 영구 5 년 졸업관리 ( 대학원 ) 이름, 기타 ( 학번, 소속, 성별, 학년 학기 ( 계절학기 ) 별신청학점 취득학점 평점평균 석차, 유급여부, 과목별성적정보, 총신청학점, 총취득학점, 총평점평균, 졸업 업무 지원 대학원 교학팀 고등교육법시행령제4 조,73조본교공문서및기록관리규정 영구 - 46 -
브전공정보, 졸업시험 ( 논문 ), 성적정보 ) 이름, 기타 ( 학번, 성적관리 ( 대학원 ) 소속, 성별, 학년 학기 ( 계절학기 ) 별신청학점 취득학점 평점평균 석차, 유급여부, 과목별성적정보, 총신청학점, 총취득학점, 총평점평균, 성적업무지원 대학원교학팀 고등교육법시행령제4 조,73조본교공문서및기록관리규정 영구 브전공정보, 졸업시험 ( 논문 ), 성적정보 ) 학적관리 ( 대학원 ) 이름, 집주소, E-Mail, 집연락처, 핸드폰 ( 연락처 ), 주민번호, 기타 ( 소속, 학번, 성별, 입학일, 졸업일, 학위번호, 학위명, 출신학교, 입학정보, 학적변동정보, 등록정보, 학적부정정기록 ) 학적업무지원 대학원교학팀 고등교육법시행령제4 조,73조본교공문서및기록관리규정 영구 주민번호, 이름, 연락처, 전자우편, 주 입학 고등교육법시행령제 35 입학생관리 ( 학부 ) 소및주소변동내역, 출신학교 ( 기관 ) 성적자료및기타성적자료 ( 수능, 어 생업무 교무입학처입학팀 조본교 5 년 학성적등 ), 계좌번호등 지원 공문서및기록관리규정 입학지원자명단 ( 학부 ) 이름, 집주소, E-Mail, 집연락처, 핸드폰 ( 연락처 ), 주민번호, 기타 ( 출신학교성적자료, 수능성적, 어학성적, 계좌번호, 출입국내역 ) 입학지원업무 교무입학처입학팀 고등교육법시행령제35 조본교공문서및기록관리규정 5 년 이름, 집주소, E-Mail, 집연락처, 입학생관리 ( 대학원 ) 핸드폰, 주민번호 ( 외국인등록번호, 여권번호 ), 직장명, 직장연락처, 직장주소, 기타 ( 최종학력정보, 졸업 ( 예정 ) 년도환불계좌정보, 입학생업무지원 대학원교학팀 고등교육법시행령제35 조본교공문서및기록관리규정 5 년 출석교회정보 ) 입학지원자명단 ( 대학원 ) 국제교류학생관리외국인입학지원자명단 ( 학부, 대학원 ) 이름, 집주소, 직장주소, E-Mail, 직장연락처, 핸드폰 ( 연락처 ), 주민번호, 기타 ( 병역, 출석교회, 출신학교 ( 기관 ) 성적자료및기타성적자료, 출입국내역 ) 이름, 집주소, E-Mail, 집연락처, 핸드폰 ( 연락처 ), 생년월일, 여권번호, 외국인등록번호, 기타 ( 국적 ) 이름, 집주소, 직장주소, E-Mail, 직장연락처, 핸드폰 ( 연락처 ), 외국인등록번호, 기타 ( 출신학교 ( 기관 ) 성적자료, 출입국내역등 ) 대학원입학지원관리국제교류학생지원업무학부, 대학원입학 대학원교학팀국제교류교육원국제교류센터한국어학당국제교류교육원국제교류센터 고등교육법시행령제35 조본교공문서및기록관리규정국제교류교육원운영규정고등교육법시행령제4 조,73조고등교육법시행령제35 조,73조 5년준영구 5년 - 47 -
지원 외국인입학생관리 이름, 집주소, 직장주소, E-Mail, 집연락처, 직장연락처, 핸드폰 ( 연락처 ), 외국인등록번호, 기타 ( 출신학교 ( 기관 ) 성적자료및기타 성적자료, 출입국내역 ) 이름, E-Mail, 핸드폰 ( 연락처 ), 관리입학생업무지원 국제교류교육원국제교류센터한국어학당 고등교육법시행령제35 조,73조 5 년 도서관 생년월일, 기타 ( 학번, 학과, 성별, FAX, 휴 복학상태, 퇴학 제적사항, 자료대출 반납 연체 예약 구입신청사항, 연체료납 도서관관리 학술정보원학술정보협력팀 도서관법제 35 조 준영구 부여부 ) 기숙사 이름, 집주소, E-Mail, 집연락처, 핸드폰 ( 연락처 ), 기타 ( 학번, 전공, 결핵확인서, 계좌번호, 보호자연락처 ) 기숙사관리 학생인재개발처학생복지지원팀 개인정보보호법제15조개인정보수집동의 5 년 평생교육 ( 학점은행제 ) 평생교육원 ( 전문교육과정 ) 이름, 집주소, E-Mail, 집연락처, 핸드폰 ( 연락처 ), 주민번호, 기타 ( 소속, 보호자인적사항, 곈좌번호 ) 성명, 생년월일, 이메일, 연락처, 식별번호, 기타 ( 전공, 최종학력, 연락처, 졸업일자, 졸업학교 ) 이름, 집주소, 직장주소, E-Mail, 평생교육원업무평생교육원업무 미래지식교육원교학팀미래지식교육원교학팀 평생교육법시행규칙제4조고등교육법시행령제73 조개인정보보호법제15조개인정보수집동의 준영구 5년 집연락처, 직장연락처, 핸드폰 ( 연락처 ), 주민번호, 기타 취업관리 ( 사진, 학사정보 ( 학번, 학과, 전공, 성적, 학적 ), 경력 DB, 어학성적, 자격증, 사회봉사실적, 정보화 능력, 취업 ( 진로 ) 상담실적, 해외 ( 국내 ) 연 수실적, 인턴십참여현황, 수상경력, 취업 취업지원, 통계업무 학생인재개발처인재취업센터 교육과학기술부령제235호및통계청일반조사승인번호제33403호고등교육법시행령제73 조 5 년 프로그램참가신청및참가 현황, 개인상담내용, 구직활동기록, 추천신청 ) 학생인재개 보건관리 이름, 집연락처, 핸드폰 ( 연락처 ), 기타 ( 학과, 학번 ) 보건업무 발처학생복지지 학교보건법제 7 조의 3 10 년 원팀 - 48 -
포털 및 포탈홈페이지 이름, 아이디, 비밀번호, E-Mail, 생년월일, 학번 ( 사번 ) 업무시스 정보보호팀개인정보보호법제15조졸업시 템 이용회계 발전기금후원자관리 이름, 집주소, E-Mail, 집연락처, 핸드폰 ( 연락처 ), 주민번호, 기타 ( 약정금액, 기부종류, 거래은행, 계좌번호 ) 처리및기부자에대한예 대학지원팀 발전기금관리규정제11 조및후원신청서국세기본법제6조 ~ 제8조 준영구 학생상담관리예비군편입관리 이름, 집주소, E-Mail, 집연락처, 핸드폰 ( 연락처 ), 기타 ( 소속, 학번, 성별, 전공정보, 성적정보, 상담내역 ) 이름, 학번, 소속, 주민등록번호, 이메일, 주소, 연락처, 핸드폰, 보호자연락처, 보호자, 구별, 계급, 군번, 역종, 입영년월, 전역년월, 전역부대, 전역직책, 전역사유 우학생삼담예비군대상자관리 상담센터개인정보보호법제15조향토예비군설치법제3조2, 제6조3 예비군대대동법시행령제5조, 제11조1, 제14조 탈퇴시까지준영구 장애학생 관리 이름, 학번, 소속, 장애유형, 장애등급, 입학년도, 전형구분, 연락처, 학적구분, 변동일자 장애학생지원업무 학생인재개발처장애학생지원센터 장애인등에대한 특수교육법제 30 조 준영 구 개인정보제 3 자제공목록 개인정보 파일명 제공 받는자 제공근거제공목적제공항목 제공 주기 관리 부서 입학지원자명단 ( 수시, 정시, 추가 모집 ) 지원자 출신 고등학교 개인정보보호법 제 17 조 고교별지원자 합격자조회 합격여부수시입학팀 국세기본법시행령 성명, 지급명세서 ( 기타소득 ) 국세청 제68조, 소득세법제164조, 과세자료제출 주민등록번호, 주소, 지급일자, 연 1 회 행정처 재무팀 소득세법시행령 소득구분코드, - 49 -
지급액, 제 213 조, 필요경비율, 소득세법시행규칙 필요경비, 별지제 23 호서식, 소득금액, 세율, 별지제 24 호서식 소득세, 지방소득세 지급명세서 ( 일용근로소득 ) 국세청 국세기본법시행령제68조, 소득세법제164조, 소득세법시행령제213조, 소득세법시행규칙별지제24호서식 과세자료제출 성명, 주민등록번호, 주소, 지급월, 근무월, 근무일수, 지급액, 비과세금액, 소득세, 지방소득세, 연 4회 행정처재무팀 연말정산간소화교육비세액공제증명자료 국세청 국세기본법시행령제68조, 소득세법제165조, 소득세법시행령제216조의3 연말정산간소화서비스를통한교육비세액공제자료조회 학생성명, 주민등록번호, 등록금납부금액 연 1회 행정처재무팀 국세기본법시행령 제 68 조, 연말정산간소 기부자성명 ( 또는 연말정산간소화 법인세법 화서비스를 업체명 ), 기부금세액공제 국세청 제112조의2, 소득세법 통한기부금 주민등록번호 ( 또는사업자등록번호 ), 연 1회 행정처재무팀 증명자료 제 160 조의 3, 세액공제자료 입금일자, 소득세법시행령 조회 기부금액 제 208 조의 3 주민등록번호, 학과, 학년, 학번, 국가장학금신청자명단, 학자금대출신청자명단 한국장학재단 한국장학재단설립등에관한법률제16조 장학생추천 성명, 취득학점, 평점, 백분율, 입학년도, 졸업년도, 등록금, 연2 회이상 학생복지지원팀 ( 장학 ) 교내장학, 교외장학 장학생추천자료 지방자치단체전국장학 고등교육법시행령제4조 장학생추천 학과, 학년, 학번, 성명, 등록금, 장학내역 수시 학생복지지원팀 - 50 -
졸업생명부개인창작활동종사자증명자료 U6연합캠프참가자 재단 ( 장학 ) 성명, 소속, 학과소분류명, 학번, 주민등록번호, 집주소, 집전화번호, 휴대폰번호, 이메일주소, 입학년월, 고등교육기관졸업생졸업년월, 인재한국교육졸업자건강보험취업통계및연1 부전공명, 취업센개발원및국세DB연계취업률회복수전공명, 터취업통계조사인정자료편입여부, 산업체위탁생여부, 출신고교, 국가기술자격여부, 교직과정이수여부, 예비역여부, 해외연수여부, 토익점수, 진학기관명고등교육기관성명, 소속, 인재한국교육졸업자건강보험졸업생취업률주민등록번호, 연취업센개발원및국세DB연계인정자료주소, 공연및 1회터취업통계조사전시계약서, 성명, 주소, 취업프로그램인재 커리어개인정보보호법핸드폰번호, 연1 운용및취업센넷제15조, 제17조주민번호, 이메일회상해보험가입터등 졸업생취업지원프로그램참가자 잡코리아 개인정보보호법제15조, 제17조 취업지원프로그램참가자지원및운용 소속, 성명, 핸드폰번호, 주민번호, 이메일등 연1 회 인재취업센터 직업기초능력직무능력검사, 직업기초능력직무인성검사 진학사 개인정보보호법제15조, 제17조 검사지결과분석 성명, 소속, 학번 발생시 인재취업센터 발전기금기탁자국세청법인세법제 24 조, 연말정산성명, 년대학지 - 51 -
관리 소득세법제160조의3, 소득세법시행령제208조의3 주민등록번호, 기부일자, 기부금액 1 회원팀 학적변동자 통보 병무청 병역법제60조및제80조 병무행정에 대한 협조 성명, 학번, 주민등록번호, 이메일, 전화번호 매학기 예비군대대 학점은행제학습자정보 국가평생교육진흥원 학점등에관한법률 학점은행제학습자이력정보조회 이름, 주민등록번호, 학습과목, 성적 매학 기 평생교육원 외국인유학생명단 출입국관리사무소 출입국관리법제19조의4, 동법시행령 110조 유학생관리 국적, 비자종류, 학사과정, 학번, 입학일자, 외국인등록번호, 성명 수시 국제교류센터한국어학당 개인정보처리의위탁목록 개인정보파일명 수탁자 입학지원자명부 ( 수시, 정시, 추가, 편입 ) 유웨이어플라이 위탁목적 학부입시인터넷원서접수 대행 위탁 기간관리부서 1년 입학팀 입학지원자명부 ( 수시, 정시, 추가, 편입 ) 엠엔씨에이프로 학부입시입학관리시스템 관리 1 년입학팀 ( 주 ) 중소기업은행 등록금고지파일 ( 주 ) 삼성카드 학부, 대학원신입생, 재학생 등록금수납 목적달 성시 재무팀 ( 주 ) 현대카드 재학생명부기업은행학생증발급업무 목적달 성시 학생복지 지원팀 참가신청서, 임용지원서, 자기소개서 잡코리아취업프로그램위탁운영 1 년 인재취업 센터 참가신청 박문각 직무능력향상온라인공인 자격증과정 1 년 인재취업 센터 재학생, 교직원재직자라이브텍도서관시스템유지보수 1 년 재학생, 교직원재직자와이즈네스코도서관출입관리 1 년 학술정보협력팀학술정보협력팀 - 52 -
학사행정 Database 한국지엘진흥 DB유지보수 1년 전산정보팀 한세포털홈페이지, 전산정보대표홈페이지, 솔트웨어포털홈페이지유지보수 1년팀입시홈페이지 학적, 성적, 경력파일등 디지털존 증명서발급 5년 교무팀 재학생파일 네오데이즈 학생메일및 SMS 발송 1년 전산정보팀 교직원재직자 비즈웰 그룹웨어유지보수 1년 전산정보팀 교직원재직자 유니오스 개인정보파일암호화정보보호 1년유지보수팀 재학생, 교직원재직자 유니오스 내PC 지키미, V3 유지보수 1년 전산정보팀 수강파일 아이맥스 e-class 유지보수 1년 전산정보팀 재학생, 교직원재직자 코어빌더 오피스365 유지보수 1년 전산정보팀 교직원재직자 더존 연말정산 1년 재무팀 학사 행정업무시스템 투비소프트 학사 행정업무시스템전산정보 1년유지보수팀 전자출결관리시스템 씨드시스템 전자출결관리시스템전산정보 1년유지보수팀 학생경력개발시스템 포도소프트웨어 학생경력개발시스템 유지보수 1 년 교육혁신 센터 기부자명단금융결제원기부금청구를위한자동이체목적달 평생교육원홈페이지지키미커뮤니케이션평생교육원홈페이지관리 1 년 성시 대학지원팀평생교육원 - 53 -
붙임 5 한세대학교공문서및기록관리 ( 보관, 보존 ) 규정 1. 영구보존문서 (1 종 ) 연혁자료규정, 세칙, 내규, 예규등의원본예산회계장부시설공사의설계도면졸업대장세입, 세출, 결산자료인사관계문서및기록카드졸업생조서박물관소장품대장학칙인가서각종결산서및결산자료 학적부각종중요비품대장시설계약관계문서보존문서기록대장교직원및학생의제적, 포상, 징계에관한원본교직과정개설인가서기록대장기타전각호에준하는것으로특히영구보존의필요가있다고인정되는문서 2. 준영구보존문서 (2 종 ) 예산서관계문서차량대장포상, 징계, 제적관계장부연금신청문서강사위촉문서도서및시청각자료목록기타비품대장급여관계문서 건설공사준공검사대장자매결연문서연금카드및납입내역서교원임용관계문서각종주요회의록졸업논문및방법전각호에준하는것으로준영구보존의필요가있다고인정되는문서 - 54 -
3. 10 년보존문서 (3 종 ) 결산서작성지침및보고문서수입지출결의서기본기획관계문서구매계약및품의서납입금결정관계문서각종회의록징계관계결정문서편입, 재입학관계문서사무인수인계서원천과세징수보고자료 손망실처리문서불용품매각관계문서인사관리지침학생신상카드합격자사정표및대장교과목등록및수강표신입학에따른지침문서기타전각호에준하는문서로서 10년보존의필요가있다고인정되는문서 4. 5 년보존문서 (4 종 ) 각종기획서류시설공사품의서시설공사및자제물품검수대장소방, 민방위관계문서예산회계보고서간행물등록대장병사관계문서졸업사정표휴학, 복학허가문서각종자격취득관계문서졸업생취업관계문서학생주소록예, 결산의사업계획보고문서직인사용대장제증명발급대장 회게일람표입학원서통관및용도확인신청문서보안업무지침은행융자문서장학관계문서각종여비지급문서교원연구실적보고관계문서사업기본운영지침기타전각호에준하는문서로서 5년보존의필요가있다고인정되는문서 - 55 -
5. 3 년보존문서 (5 종 ) 학칙신청문서당직, 수위, 순찰기록문서문서수발대장총학생회관계문서강의시간표시설보수및건축시공관계문서 예산편성지침학생지도지침문서출근부추천서발급문서기타전각호에준하는문서로서 3년보존의필요가있다고인정되는문서 6. 1 년보존문서 (6 종 ) 전각항에해당되는않는문서로서극히경미한문서일시사용으로그치는서류및장부경비한통지서류, 신고서류, 조사서류, 참고서류등기타전각호에준하는문서로서 1년이상보존의필요가없다고인정되는문서 - 56 -