개인정보내부관리계획
개정이력 버전작성일변경내용작성자승인자 1.0 2016.5.10. 계획수립총무과 1.1 2016.11.4. 개인정보파일등록, 처리방침, 정보주체의권리보장등내용추가 총무과
목 차 Ⅰ. 개요 1 Ⅱ. 용어정의 2 Ⅲ. 개인정보보호조직편제 4 Ⅳ. 개인정보의안전성확보조치 7 Ⅴ. 개인정보보호교육 14 Ⅵ. 수탁자에대한관리및감독에관한사항 15 Ⅶ. 개인정보침해대응및피해구제 17 Ⅷ. 개인정보의목적외이용및제3자제공처리절차 18 Ⅸ. 정기감사및결과반영 20 Ⅹ. 개인정보파일의등록 21 Ⅺ. 개인정보처리방침 23 Ⅻ. 정보주체의권리보장 24 첨부 1. 개인정보침해사고대응매뉴얼 29 첨부 2. 관련서식 54
개인정보내부관리계획 개인정보보호법 및같은법시행령에따라개인정보처리자가개인정보를처리함에있어서개인정보가분실 도난 유출 변조 훼손되지아니하도록안전성을확보하기위한기술적 관리적 물리적계획을수립하는것을목적으로함 개요 근거 개인정보보호법 제29조 ( 안전조치의무 ) 개인정보보호법 시행령제30 조 ( 개인정보의안전성확보조치 ) 의제1호개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7 호, 2014.12.30) 교육부개인정보보호지침 ( 교육부훈령제135호, 2015.4.20) 적용범위이계획은정보통신망을통하여수집 이용 제공또는관리되는개인정보뿐만아니라, 서면등정보통신망이외의수단을통해서수집 이용 제공또는관리되는개인정보및영상정보기기 (CCTV 등 ) 에대해서도적용되며, 이러한개인정보를취급하는내부직원및외부위탁업체에대해서도적용됨필요시처리기준, 절차, 양식등은 교육부개인정보보호지침 에의하여시행함
용어정의 개인정보 란살아있는개인에관한정보로서성명 주민등록번호및영상등을통하여개인을알아볼수있는정보 해당정보만으로는특정개인을알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 를말한다 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 민감정보 - 사상, 신념, 노동조합 정당의가입 탈퇴, 정치적견해, 건강, 성생활, 유전정보, 범죄경력정보등에관한정보와그밖에정보주체의사생활을현저히침해할우려가있는개인정보 정보주체 란처리되는정보에의하여알아볼수있는사람으로서 개인정보보호법 에의해보호대상이되는정보의주체가되는사람을말한다 개인정보파일 이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물 을말한다 개인정보처리자 란업무를목적으로개인정보파일을운용 수집 이용 저장 제공 파기등 하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관 법인 단체및개인등을말한다 개인정보의처리 란개인정보를수집 생성 기록 저장 보유 가공 편집 검색 출력 정정 복구 이용 제공 공개 파기 연계 연동그밖에이와유사한행위를말한다 개인정보보호책임자 라함은개인정보의처리에관한업무를총괄해서책임지는자를말한다 개인정보보호분야별책임자 란업무를위하여개인정보파일을처리하는부서의과 실장으로개인정보보호책임자가지정한자를말한다
개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖의업무상필요에의해개인정보에접근하여처리하는모든자를말한다 개인정보처리시스템 이라함은개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말한다 접속기록 이라함은개인정보취급자등이개인정보처리시스템에접속하여수행한업무내역에대하여식별자 접속일시 접속자를알수있는정보 수행업무등접속한사실을전자적으로기록한것을말한다 바이오정보 란지문 얼굴 홍채 정맥 음성 필적등개인을식별할수있는신체적또는행동적특징에관한정보로서그로부터생성되거나가공된정보를말한다 보조저장매체 란이동형하드디스크 메모리 등자료를저장할수있는매체로서개인정보처리시스템또는개인용컴퓨터등과용이하게분리할수있는저장매체를말한다 위험도분석 이란개인정보유출에영향을미칠수있는다양한위험요소를식별 평가하고해당위험요소를적절하게통제할수있는방안마련을위한종합적으로분석하는행위를말한다 영상정보처리기기 란일정한공간에지속적으로설치되어사람또는사물의영상등을촬영하거나이를유 무선망을통하여전송하는장치로서 및네트워크카메라를말한다 개인영상정보 란영상정보처리기기에의하여촬영 처리되는영상정보중개인의초상 행동등사생활과관련된영상으로해당개인의동일성여부를식별할수있는정보를말한다 영상정보처리기기운영자 란 개인정보보호법 제 조제 항각호에따라영상정보처리기기를설치 운영하는자를말한다
개인정보보호조직편제 개인정보보호추진체계별역할 구분담당자역할 개인정보보호책임자 개인정보보호담당자 교무위원에상당하는행정사무총괄하는자 ( 사무국장 ) - 개인정보보호계획의수립및시행 - 개인정보처리실태및관행의정기적인조사및개선 - 개인정보처리와관련한불만의처리및피해구제 - 개인정보유출및오용남용방지를위한내부통제시스템의구축 - 개인정보보호교육계획의수립및시행 - 개인정보파일의보호및관리감독 - 개인정보처리방침의수립 변경및시행 - 개인정보보호관련자료의관리 - 처리목적이달성되거나보유기간이지난개인정보의파기 - 그밖에개인정보의적절한처리를위해필요한사항 -개인정보에대한접근권한, 규정관리업무 -개인정보를위한교육및홍보에관한업무 -개인정보취급현황및취급자관리업무 -개인정보파일의보호및관리감독개인정보보호 -개인정보처리방침의수립 변경및시행책임자가지정한자 -기타개인정보의관리적 물리적보호조치에관한업무 -정보시스템의부당한접근및외부침입등을방지하기위한정보시스템의구축및관리업무 -정보의정확성및최신성확보를위한시스템관리업무 -침해사고예방, 복구및보호등의업무 -기타개인정보의기술적보호조치에관한업무 개인정보보호분야별책임자 개인정보보호분야별담당자 개인정보취급자 개인정보취급부서의과 실장 개인정보보호분야별책임자가지정한자 서비스운영자및개인정보접근가능자 - 분임보안담당관이분야별책임자가되고, 지정되어있지않은부서는과 실장으로지정 - 개인정보보호분야별담당자관리 지원 - 개인정보보호기술적 관리적보호, 법정서식및대장작성 유지 - 개인정보보호실태에대한자체점검표취합 통보 - 개인정보보호활동참여 - 내부관리계획의준수및이행 - 개인정보파일의등록, 변경신청 - 개인정보파일의파기절차에따른파기수행 - 개인정보의기술적 관리적보호조치기준이행 - 소속직원또는제 3 자에의한위법 부당한개인정보침해행위에대한점검등
분야별책임자의역할분야별책임자는개인정보취급자를지정하고수시로관리 감독하여야하며 개인정보보호교육및개인정보서약서 개인정보파일의파기 등록사항관리감독등을통하여개인정보를안전하게관리하여야함분야별책임자는다음의업무를수행함 개인정보내부관리계획및처리방침이행 개인정보취급자에대한교육및관리 감독 개인정보처리실태점검및관리 개인정보침해대응및기술적 관리적 물리적안전조치 개인정보의처리기준이행 개인정보파일의보호 파기 등록등의관리 감독 개인정보보호법관련업무전반이행 열람청구 정정 삭제 처리정지등정보주체의권리보장 개인정보보호책임자가위임한개인정보보호와관련된업무등 처리목적이달성되거나보유기간이지난개인정보의파기 개인정보보호담당자의역할보호담당자는보호책임자를보좌하여개인정보의안전성을강화하기위한관리적 기술적보호조치실무업무를행함보호담당자는다음의업무를수행함 개인정보보호업무에대한관리및실무 개인정보보호내부관리계획수립및운영 개인정보관리실태점검 개인정보교육계획및실시 개인정보파일유지및관리 개인정보처리방침수립및유지관리 개인정보노출현황점검및공지
개인정보취급자에대한감독개인정보처리자는개인정보를처리함에있어서개인정보가안전하게관리될수있도록임직원 파견근로자 시간제근로자 수탁사직원등개인정보처리자의지휘 감독을받아개인정보를처리하는자 이하 개인정보취급자 라한다 에대하여적절한관리 감독을행하여야함개인정보처리자는개인정보의적정한취급을보장하기위하여개인정보취급자에게정기적으로필요한교육을실시하여야함개인정보처리자는개인정보취급자를업무상필요한한도내에서최소한으로두어야하며 개인정보취급자의개인정보처리범위를업무상필요한한도내에서최소한으로제한하여야함개인정보처리자는개인정보처리시스템에대한접근권한을업무의성격에따라당해업무수행에필요한최소한의범위로업무담당자에게차등부여하고접근권한을관리하기위한조치를취해야함개인정보처리자는개인정보취급자에게개인정보보호서약서를제출하도록하는등적절한관리 감독을해야하며 인사이동등에따라개인정보취급자의업무가변경되는경우개인정보에대한접근권한을변경또는말소해야함정확한개인정보취급자현황을파악하기위해서분야별책임자는개인정보취급자명단을작성하여개인정보보호책임자에게보고하고정기적으로갱신및관리함
개인정보의안전성확보조치 접근권한관리개인정보처리자는개인정보처리시스템에대한접근권한을업무수행에필요한최소한의범위로차등부여하여야함개인정보처리자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소하여야하며 그기록은최소 년간보관하여야함 개인정보의안전성확보조치기준 ( 행정자치부고시제 2014-7 호 ) 제 4 조 개인정보처리자는개인정보처리시스템에접속할수있는사용자계정을발급하는경우 개인정보취급자별로한개의사용자계정을발급하여야하며 다른개인정보취급자와공유되지않도록하여야함 개인정보취급자또는정보주체중복로그인방지기능도입 한명의개인정보취급자가여러업무를수행해야하는경우 해당개인정보취급자에게각업무별로사용자계정을발급할수있음 개인정보취급자 1명이서로권한이다른조회, 삭제등 2개의업무수행시, 조회업무용과삭제업무용으로구분하여 2개의사용자계정발급가능 비밀번호관리개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야함 비밀번호최소길이 구성문자의종류에따라 자리또는 자리이상으로구성
최소 자리이상 영대문자 개 영소문자 개 숫자 개 및특수문자 개 중 종류이상으로구성한경우 최소 자리이상 영대문자 개 영소문자 개 숫자 개 및특수문자 개 중 종류이상으로구성한경우 추측하기어려운비밀번호생성 생성한비밀번호에 등과같은일련번호 전화번호등쉬운문자열포함금지 등과같은잘알려진단어 키보드상나란히있는문자열포함금지 비밀번호주기적변경 비밀번호유효기간 개월 설정 장기간사용금지 동일한비밀번호사용제한 개의비밀번호교대사용금지 국가정보보안기본지침제 조 비밀번호관리 및개인정보안전성확보조치기준제 조 접근권한의관리 준수접근통제시스템설치및운영개인정보처리자는정보통신망을통한불법적인접근및침해사고방지를위해다음의사항을포함한시스템설치 운영하여야함 개인정보처리시스템에대한접속권한을 주소등으로제한하여인가받지않은접근을제한 개인정보처리시스템에접속한 주소등을분석하여불법적인개인정보유출시도를탐지개인정보처리자는개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속하려는경우에는가상사설망 또는전용선등안전한접속수단을적용하여야함 외부망으로부터개인정보처리시스템에대한접속은원칙적으로차단 업무용컴퓨터 노트북등 모바일기기등으로외부에서정보통신망을통해개인정보처리시스템에접속하는경우에도가상사설망 전용선등안전한접속수단적용
개인정보처리자는인터넷홈페이지에서다른법령에근거하여정보주체의본인확인을위해성명 주민등록번호를사용할수있는경우에도정보주체의추가적인정보를반드시확인하여야함 추가적정보확인방법 공인인증서 휴대전화 주민등록증발급일자 주소개인정보처리자는취급중인개인정보가인터넷홈페이지 공유설정 공개된무선망이용등을통하여열람권한이없는자에게공개되거나외부에유출되지않도록개인정보처리시스템및업무용컴퓨터에조치를취하여야함 잘알려진웹취약점항목들을포함한웹취약점점검 조치 사용되지않거나관리되지않는사이트또는 에대한삭제 차단조치 관리자페이지홈페이지에대해노출차단등의보호조치 개인정보노출점검및차단솔루션도입개인정보처리자는개인정보처리시스템 업무용컴퓨터 모바일기기에서 공유설정은기본적으로사용하지않는것이원칙이나 업무상꼭필요한경우 권한설정등의조치를통해권한이있는자만접근할수있도록설정하여 열람권한이없는자에게처리중인개인정보가공개되거나유출되지않도록하여야함 드라이브전체또는불필요한폴더공유금지 공유폴더에개인정보파일이포함되지않도록정기적점검 조치개인정보처리자는공개된무선망을이용하여개인정보를처리하는경우개인정보가신뢰되지않은무선접속장치 무선전송구간및무선접속장치 의취약점에의해공개또는유출되지않도록안전조치를하여야함
개인정보송 수신시 등의보안기술이적용된전용프로그램을사용하여송 수신또는암호화송 수신 개인정보가포함된파일송 수신시파일암호화저장후송 수신 개인정보유출방지조치가적용된공개된무선망이용고유식별정보를처리하는개인정보처리자는인터넷홈페이지를통해고유식별정보가유출 변호 훼손되지않도록연 회이상취약점을점검하여야함 웹취약점점검시잘알려진웹취약점항목들을포함하여점검 웹취약점점검항목예시 : SQL_Injection. Cross-site-script 취약점, File-Upload 취약점, Zero board취약점, Directory Listing취약점, File Download 취약점등 시큐어코딩적용 관리자페이지노출및웹쉘등정기적점검 조치 홈페이지취약점점검시 기록을남겨책임추적성확보 향후개선조치에이용개인정보처리자가별도의개인정보처리시스템을이용하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는업무용컴퓨터또는모바일기기의운영체제 나보안프로그램등에서제공하는접근통제기능을이용할수있음개인정보처리자는업무용모바일기기의분실 도난등으로개인정보가유출되지않도록해당모바일기기에비밀번호설정등의보호조치를하여야함 비밀번호 패턴 등을사용하여화면잠금설정 디바이스암호화로애플리케이션 데이터등을암호화 카드에저장된개인정보보호를위한 카드잠금설정 모바일기기제조사및이동통신사가제공하는기능을이용한원격잠금 원격데이터삭제등의조치
중요한개인정보를처리하는모바일기기는 등모바일단말관리프로그램을설치 원격잠금 원격데이터삭제 접속통제등의조치개인정보의암호화개인정보처리자는고유식별정보 주민등록번호 운전면허번호 외국인등록번호 여권번호 비밀번호 바이오정보등개인정보는암호화하여야함 저장한개인정보는암호화하여저장 관리 특히비밀번호는복호화되지않도록일방향암호화 해시함수 하여저장 관리 개인정보처리자는인터넷구간및인터넷구간과내부망의중간지점 에고유식별정보를저장하는경우에는이를암호화하여야함개인정보처리자는개인정보를정보통신망을통하여송 수신하거나보조저장매체등을통하여전달하는경우에는이를암호화하여야함개인정보처리자가내부망에고유식별정보를저장하는경우에는다음의기준에따라암호화의적용여부및적용범위를정하여시행할수있음 법제 조에따른개인정보영향평가의대상이되는공공기관의경우에는해당개인정보영향평가의결과 암호화미적용시위험도분석에따른결과 위험도분석 을위한세부기준은행정자치부의 개인정보위험도분석기준및해설서 로함 다만 주민등록번호에대해서는 개인정보보호법 에따라 년 월 일부터내부망에저장시에도개인정보영형평가나위험도분석의결과에관계없이암호화하여야함개인정보처리자 개인정보취급자는업무용컴퓨터 에개인정보를저장하여관리하는경우상용암호화소프트웨어또는안전한암호화알고리즘을사용하여저장하여야함
접속기록의보관및점검개인정보처리자는개인정보취급자가개인정보처리시스템에접속한기록을최소 개월이상보관 관리하여야함 접속기록보관내용 식별자 접속일시 접속자 주소 수행업무등 개인정보의안정성확보조치기준 행정자치부고시제 호 개인정보처리자는개인정보의유출 변조 훼손등에대응하기위하여개인정보처리시스템의접속기록등을반기별로 회이상점검하여야함 비인가된개인정보처리 대량의개인정보의조회 정정 다운로드 삭제등의비정상행위탐지하여적절한대응조치개인정보처리자는개인정보취급자의접속기록이위 변조및도난 분실되지않도록해당접속기록을안전하게보관하여야함 정기적인접속기록백업수행 별도의보조저장매체나저장장치에보관 접속기록위 변조방지위해 등덮어쓰기방지매체사용 수정가능매체를활용하여백업시 위 변조확인가능한별도장비에보관 관리악성프로그램등방지개인정보취급자는악성프로그램으로부터정보주체의개인정보가손상 유출이되지않도록업무용컴퓨터에백신소프트웨어등의보안프로그램을설치 운영 보안프로그램의자동업데이트기능을사용하거나일 회이상업데이트실시하여최신의상태로유지 악성프로그램관련경보가발령된경우나사용중인응용프로그램이나운영체제소프트웨어의제작업체에서보안업데이트즉시실시
물리적인접근제한개인정보처리자는전산실 자료보관실등개인정보를보관하고있는물리적보관장소를별도로두고있는경우에는이에대한출입통제절차를수립 운영하여야함 물리적접근방지를위한장치 예시 비밀번호기반출입통제장치 스마트카드기반출입통제장치 지문등바이오정보기반출입통제장치등개인정보처리자및개인정보취급자는개인정보가포함된서류 보조저장매체등을잠금장치가있는안전한장소에보관하여야함 보조저장매체보유현황파악및반 출입관리계획수립 개인정보취급자 교 직원 파견근로자 시간제근로자등 및용역업체의직원등에의한비인가된보조저장매체반 출입에대한대응개인정보의파기개인정보처리자는개인정보의보유및이용기간경과또는목적달성시지체없이복구불가능한방법 파쇄 소각등 으로파기하여야하며 파기전개인정보파일명 개인정보항목 수집및이용기간 파기일자 파기담당자 파기사유등을개인정보보호책임자에게신고하여야함 개인정보의보유및이용기간경과또는목적이달성되었다고하더라도법령에따라보존하여야하는경우 다른개인정보와분리하여저장 관리 전문업체에위탁할경우개인정보처리위탁계약을하여야하며 개인정보보호및정보보안서약서징구및파기완료에대한확인을문서로서작성 보관
개인정보파기절차 절차주요내용담당자비고 1 - 개인정보파일파기요청서작성및제출 [ 별지제 8 호서식 ] 개인정보파일파기요청서참조 2 - 파기요청검토및승인 반려 3 - 승인시, 개인정보파일파기실시 ( 접속로그기록확인 ) - 개인정보파일파기관리대장작성 ( 업무분야별작성 ) [ 별지제 9 호서식 ] 개인정보파일파기관리대장참조 - 개인정보파일파기결과보고 4 - 개인정보파일파기결과확인 5 - 행정자치부개인정보보호종합지원시스템파일삭제 - 개인정보처리방침에공개된개인정보파일삭제 개인정보취급자 개인정보보호책임자개인정보보호담당자 개인정보취급자 개인정보보호책임자개인정보보호담당자 개인정보보호책임자 담당부서 담당부서 개인정보보호교육 교육목적 안전하게개인정보가관리될수있도록개인정보보호책임자 담당자 취급자별개인정보보호에대한인식을제고시키고개인정보보호대책의필요성을이해시키기위한교육을실시함교육대상개인정보보호책임자 담당자 취급자교육실시개인정보보호책임자 연 회이상이수개인정보보호담당자 연 회이상이수개인정보취급자 연 회이상이수신규입사자 전입자 연 회실시 교육부정보보호교육센터 (sec.keris.or.kr) 을통해개인정보보호교육이수상시가능
교육내용개인정보보호의중요성설명내부관리계획의준수및이행위험 대책이포함된조직보안정책 보안지침 지시사항 위험관리전략개인정보시스템하드웨어및소프트웨어를포함한시스템의정확한사용법개인정보의기술적 관리적보호조치기준이행개인정보보호위반을보고해야할필요성개인정보보호업무의절차 책임 작업설명개인정보보호관련자들의금지항목들개인정보보호준수사항이행관련절차등 담당자역할및처리업무특성에따라교육내용차등구성 수탁자에대한관리및감독에관한사항 수탁자교육및관리 감독계획위탁자는업무위탁으로인하여정보주체의개인정보가분실 도난 유출 변조또는훼손되지않도록수탁자를교육하고 처리현황점검등수탁자가개인정보를안전하게처리하는지감독하여야함 수탁자개인정보처리관리 감독 일정 분기별점검실시 점검내용 개인정보보호체크리스트에따른이행여부점검 * 개인정보처리수탁사체크리스트 [ 별지제 12 호서식 ] 점검방식 명 개조점검반편성 하여서비스별업무위탁기관점검실시 * 개인정보보호담당자및분야별담당자로구성
점검결과 미흡항목개선계획및조치결과제출 수탁자개인정보보호교육 일정 분기별교육실시 교육내용 개인정보처리방법 안전성확보를위한기술적 관리적조치등 교육대상 수탁자중개인정보를취급 관리하는전직원대상 개인적인사정으로교육불참의경우, 수탁자자체교육실시건도교육으로인정 업무위탁에따른개인정보의처리제한개인정보처리자가제 자에게개인정보의처리업무를위탁하는경우에는다음내용이포함된문서에의하여야함 위탁업무수행목적외개인정보의처리금지에관한사항 개인정보의기술적 관리적보호조치에관한사항 위탁업무의목적및범위 재위탁제한에관한사항 개인정보에대한접근제한등안전성확보조치에관한사항 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 법제 조제 항에따른수탁자가준수하여야할의무를위반한경우의손해배상등책임에관한사항개인정보의처리업무를위탁하는개인정보처리자 위탁자 는위탁하는업무의내용과개인정보처리업무를위탁받아처리하는자 수탁자 를정보주체가언제든지쉽게확인할수있도록공개하여야함
개인정보침해대응및피해구제 개인정보유출등의통지개인정보보호책임자는개인정보가유출됨을알게되었을때에는지체없이개인정보처리자에게알려야함 개인정보처리자는정보주체에게다음의사실을알려야함 다만 유출된개인정보의확산및추가유출을방지하기위하여접속경로의차단 취약점점검 보완 유출된개인정보의삭제등긴급한조치가필요한경우에는그조치를한후정보주체에게알릴수있음 유출된개인정보의항목 유출된시점과그경위 유출로인하여발생할수있는피해를최소화하기위하여정보주체가할수있는방법등에관한정보 대응조치및피해구제절차 정보주체에게피해가발생한경우신고접수할수있는담당부서및연락처 만명이상의정보주체에관한개인정보가유출된경우에는서면등의방법과함께인터넷홈페이지에정보주체가알아보기쉽도록위의고지사항을 일이상게재해야함개인정보처리자는개인정보가유출된경우그피해를최소화하기위하여 침해사고대응팀 을구성하고대응매뉴얼에따라필요한조치를해야함개인정보유출등의신고 명이라도정보주체에관한개인정보가유출된경우에는유출내용및조치결과를 일이내에교육부정보보호팀에신고하여야함
개인정보처리자는 만명이상의개인정보가유출된경우에는개인정보보호법시행령제 조 개인정보유출신고의범위및기관 에따라한국정보화진흥원 한국인터넷진흥원에신고하여야함 개인정보의목적외이용및제 3 자제공처리절차 기본원칙자료제공판단기준 자료제공이필요한경우목적의정당성 수단의적정성 피해의최소성 법익의균형성에대하여종합적으로검토한후필요한최소한의범위내에서제공하여야함 목적의정당성 : 구체적으로어떠한목적을위하여당해개인정보가필요한지? 수단의적정성 : 당해개인정보를제공함으로써공익목적을달성할수있는것인지? 피해의최소성 : 목적달성을위하여필요한최소한의정보는어디까지인지? 법익의균형성 : 제공에따른이익과정보주체가받을수있는예상피해를비교하여전자가우월하다고할수있는지여부판단 요청기관의적격여부확인 자료제공이필요한경우제공가능여부를아래의기준에따라확인하고제공하여야한다 요청기관의개별법에자료요청의근거조항이구체적으로명시된경우제공가능 요청기관의개별법에자료요청근거법이없는경우, 정보주체의동의가있었는지여부 등예외적제공가능사항에해당되는지확인한후제공여부결정 제공항목판단 직접수집한정보여부확인하여야함 이대학교에서직접수집 생산한정보가아닌경우자료제공불가 단, 정보주체의별도동의가있는경우제공가능
요청목적에부합하는최소항목만제공 개인정보최소제공원칙 고유식별정보 주민등록번호 여권번호 운전면허번호 외국인등록번호 는법령 법률 시행령 시행규칙 에처리를요구 허용 하도록규정되어있는경우만제공하여야함개인정보제공기준수집목적범위내에서제공하는경우 정보주체의동의를받은경우개인정보의제 자제공이가능함 개인정보보호법 제 조제 항제 호 제 호및제 호에따라개인정보를수집한목적범위에서개인정보를제공하는경우제 자제공이가능함수집목적외의용도로제공하는경우 개인정보보호법 제 조제 항각호에해당하는경우는예외적으로제공가능하지만 다만 정보주체또는제 자의권익을부당하게침해할우려가있다고인정되는때에는제공불가함업무의일부또는전부를위탁하는경우 개인정보처리업무를위탁하는경우위탁업무의목적등이포함된문서에의하여야하며위탁사항에구체적으로표기된범위내에서제공하여야함 위탁자의이익을위해처리하는경우는업무위탁에해당되며개인정보를제공받는제3자의이익을위해처리하는경우에는제3자제공에해당 안전성확보조치개인정보자료제공은문서로시행되어야하며 문서에제공목적이외의이용금지 사용목적달성후폐기 사후관리실태확인등의안전성확보조치문구를표기하여시행하여야함
목적외이용 제 3 자제공시절차 절차 주요내용 1. 법적근거검토 - 목적외이용 제 3 자제공이가능한경우에해당하는지법적근거검토 2. 동의절차이행 - 법적근거가없는경우정보주체로부터별도의동의를받아야함 3. 제공승인획득 4. 대장기록 관리 5. 보호조치요구 6. 조치결과제출 - 개인정보보호책임자로부터목적외이용 제공승인절차진행 업무협조또는메모보고등 - 개인정보의목적외이용및제3 자제공대장 을기록 관리하여야함 ( 개인정보보호분야별책임자 ) [ 별지제7호서식 ] 개인정보의목적외이용및제3자제공대장활용 - 제3자제공시에는이용목적, 이용방법, 이용기간, 이용형태등을제한하거나개인정보의안전성확보를위하여필요한조치 ( 라. 안전성확보조치 참조 ) 를마련하도록문서로요청 - 안전성확보조치요청을받은자 ( 제공받는자 ) 는그에따른조치를취한후, 그결과를개인정보를제공한개인정보처리자에게문서로알려야함 7. 주요내용공개 - 30 일이내에관보또는인터넷홈페이지에 10 일이상계속개재 정기감사및결과반영 정기감사및절차개인정보보호책임자는개인정보보호를위한내부관리계획및관련법령에서정하는개인정보보호규정을성실히이해하는지를정기적으로감사또는점검하여야함 개인정보보호책임자는개인정보자체감사를위한감사대상 감사절차및방법등감사의실시에필요한별도의계획을수립하여매년 회이상실시할수있음
정기감사결과반영 개인정보보호책임자는개인정보보호를위한자체감사실시결과개인정보의관리 운영상의문제점을발견하거나개인정보취급자가이계획의내용을위반할때에는시정 개선등필요한조치를취하여야함 개인정보보호책임자는개인정보위반사실에대한시정 개선조치가이행되지않거나 개인정보보호에심각한영향이발생할수있는우려가되는경우개인정보취급자등에대하여인사위원회심의요구등필요한추가조치를취할수있음 개인정보파일의등록 개인정보취급자는개인정보파일을운용하는경우에는다음의사항을개인정보보호종합포털에접속하여개인정보파일의등록 변경 파기등을신청하여야함 개인정보파일의명칭 개인정보파일의운영근거및목적 개인정보파일에기록되는개인정보의항목 개인정보의처리방법 개인정보의보유기간 개인정보를통상적또는반복적으로제공하는경우에는그제공받는자 그밖의법령에서정하는사항으로 개인정보파일을운용하는공공기관의명칭 개인정보파일로보유하고있는개인정보의정보주체수 해당공공기관에서개인정보처리관련업무를담당하는부서 법제 조에따른개인정보의열람요구를접수 처리하는부서 개인정보파일의개인정보중법제 조제 항에따라열람을제한
하거나거절할수있는개인정보의범위및제한또는거절사유다음의어느하나에해당하는개인정보파일에대하여는위의내용을적용하지아니함 국가안전 외교상비밀 그밖의국가의중대한이익에관한사항을기록한개인정보파일 범죄의수사 공소의제기및유지 형및감호의집행 교정처분 보호처분 보안관찰처분과출입국관리에관한사항을기록한개인정보파일 조세범처벌법 에따른범칙행위조사및 관세법 에따른범칙행위조사에관한사항을기록한개인정보파일 공공기관의내부적업무처리만을위하여사용되는개인정보파일 다른법령에따라비밀로분류된개인정보파일 공공기관이처리하는개인정보중 통계법 에따라수집되는개인정보 국가안전보장과관련된정보분석을목적으로수집또는제공요청되는개인정보 공중위생등공공의안전과안녕을위하여긴급히필요한경우로서일시적으로처리되는개인정보 언론 종교단체 정당이각각취재 보도 선교 선거입후자추천등고유목적을달성하기위하여수집 이용하는개인정보 등영상정보처리기기를통하여처리되는개인영상정보 자료 물품또는금전의송부 회성행사수행등의목적만을위하여운영하는경우로서저장하거나기록하지않고폐기물목적으로수집된개인정보 금융실명거래및비밀보장에관한법률 에따라금융기관이금융업무취급을위해보유하는개인정보
개인정보보호책임자는개인정보파일의그운용을시작한날로부터 일이내에개인정보보호종합포털에등록을신청하여야하며 등록후등록한사항이변경된경우에도또한같음개인정보취급자는행정자치부개인정보보호종합포털에개인정보파일을등록하고개인정보보호책임자에게문서로보고하거나 개인정보보호책임자에게개인정보파일등록을신청하여야하며 별지제 호서식의 개인정보파일등록 변경등록신청서 를활용하며 등록후등록한사항이변경된경우에도또한같음교육기관 대학포함 은전국적으로단일한공통업무를집행하고있는기관으로교육부에서제공하는 개인정보파일표준목록 에따라등록해야함 개인정보처리방침 개인정보처리자는다음의사항이포함된개인정보의처리방침을정하여인터넷홈페이지에지속적으로공개함 개인정보의처리목적 처리하는개인정보의항목 개인정보의처리및보유기간 인터넷접속정보파일등개인정보를자동으로수집하는장치의설치 운영및그거부에관한사항 해당하는경우에만정함 개인정보의제 자제공에관한사항 해당하는경우에만정함 개인정보의파기에관한사항 개인정보처리업무를위탁하는업무의내용과수탁자 수탁자담당자연락처 수탁자의관리현황점검결과등개인정보처리위탁에관한사항 해당하는경우에만정함 시행령제 조제 항에따른개인정보의안전성확보조치에관한사항
개인정보의열람 정정 삭제 처리정지요구권등정보주체와법정대리인의권리 의무및그행사방법에관한사항 개인정보처리방침의변경에관한사항 개인정보보호책임자의성명또는개인정보보호업무및관련고충사항을처리하는부서의명칭과전화번호등연락처 개인정보의열람청구를접수 처리하는부서 정보주체의권익침해에대한구제방법개인정보처리자가개인정보처리방침을변경하는경우에는변경및시행의시기 변경된내용을지속적으로공개하여야하며 변경된내용은정보주체가쉽게확인할수있도록변경전 후를비교하여공개하여야함 정보주체의권리보장 개인정보의열람정보주체는개인정보처리자가처리하는자신의개인정보에대한열람을서면으로개인정보처리자에게청구할수있음개인정보처리자는열람청구를받은때에는열람제한사항의어느하나에해당하는경우를제외하고는청구서를받은날부터 일이내에청구인으로하여금당해처리정보를열람할수있도록하여야함 이경우 일이내에열람하게할수없는정당한사유가있는때에는청구인에게그사유를통지하고열람을연기할수있으며 그사유가소멸한때에는정당한사유가없는한사유가소멸한날로부터 일이내에열람하게하여야함정보주체는개인정보의열람등요구할때에는별지제 호서식의 개인정보 열람 정정 삭제 처리정지 요구서 전자문서포함함 로
하여야하며 다음사항중열람하려는사항을표시한개인정보열람요구서를우리대학교에제출하여야함 개인정보의항목및내용 개인정보수집 이용의목적 개인정보보유및이용기간 개인정보의제 자제공현황 개인정보처리에동의한사실및내용 개인정보의열람제한개인정보처리자는열람을청구한청구인으로하여금당해처리정보를열람하도록하는것이다음어느하나에해당하는경우에는그사유를통지하고당해개인정보의열람을제한할수있음 법률에따라열람이금지되거나제한되는경우 다른사람의생명 신체를해할우려가있거나다른사람의재산과그밖의이익을부당하게침해할우려가있는경우 공공기관이다음어느하나에해당하는업무를수행할때중대한지정을초래하는경우 조세의부과 징수또는환급에관한업무 초 중등교육법 및 고등교육법 에다른각급학교 평생교육법 에다른평생교육시설 그밖의다른법률에따라설치된고등교육기관에서의성적평가또는입학자선발에관한업무 학력 기능및채용에관한시험 자격심사에관한업무 보상금 급부금산정등에대하여진행중인평가또는판단에관한업무 다른법률에따라진행중인감사및조사에관한업무
개인정보처리자는열람이제한되는사항을제외한부분은열람할수있도록하여야하며 정보주체의열람을연기하거나거절하려는경우에는열람요구를받은날부터 일이내에연기또는거절의사유및이의제기방법을별지제 호서식의 개인정보 열람 일부열람 열람연기 열람거절 통지서 로해당정보주체에게알려야함 개인정보의정정 삭제본인의처리정보를열람한정보주체는개인정보처리자에게서면으로당해처리정보의정정또는삭제를청구할수있음개인정보처리자는개인정보의정정 삭제요구를받았을때에는정당한사유가없는한요구를받은날로부터 일이내에그개인정보를조사하여정보주체의요구에따라정정 삭제등필요한조치를한후그결과를별지제 호서식의 개인정보 정정 삭제 처리정지 요구에대한결과통지서 에따라정보주체에게알려야함정보주체의정정 삭제요구가다른법령에서그개인정보가수집대상으로명시되어있는경우에는정당한사유가없는한요구를받은날로부터 일이내에삭제를요구할수없는근거법령의내용을정보주체에게알려야함 개인정보의처리정지개인정보처리자는정보주체로부터개인정보처리를정지하도록요구받은때에는다음에해당하지않고다른정당한사유가없는한요구를받은날로부터 일이내에개인정보의처리의일부또는전부를정지하여야함 법률에특별한규정이있거나법령상의무를준수하기위하여
불가피한경우 개인정보를처리하지아니하면다른법률에서정하는소관업무를수행할수없는경우 개인정보를처리하지아니하면정보주체와약정한서비스를제공하지못하는등계약의이행이곤란한경우로서정보주체가그계약의해지의사를명확하게밝히지아니한경우개인정보처리자는정보주체의요구에따라처리가정지된개인정보에대하여는정당한사유가없는한처리정지의요구를받은날로부터 일이내에해당개인정보의파기등정보주체의요구에상응하는조치를취하고그결과를 단서에해당하여처리정지요구에따르지아니한경우에는그사실및이유와이의제기방법을별지제 호서식의 개인정보 정정 삭제 처리정지 요구에대한결과통지서 에따라정보주체에게알려야함 권리행사의방법및절차정보주체의개인정보열람의요구 개인정보정정 삭제요구 개인정보처리정지요구는별지제 호의서식의 개인정보 열람 정정 삭제 처리정지 요구서 에따름정보주체의요구에대한개인정보처리자의개인정보열람및일부열람의통지 개인정보열람연기의통지 열람거절의통지는별지제 호서식의 개인정보 열람 일부열람 열람연기 열람거절 통지서 에따름개인정보처리자는개인정보를수집하는방법과동일하거나보다쉽게정보주체가열람요구등권리를행사할수있도록간편한방법을제공하여야하며 개인정보의수집시에요구되지않았던증빙서류등을요구하거나추가적인절차를요구할수없음
이는본인또는정당한대리인임을확인 별지제 호서식의정보주체의 위임장 제출 하고자하는경우와수수료와우송료의정산에도마찬가지로적용됨 이의제기개인정보처리자의개인정보 정정 삭제 처리정지 요구에대한결과통지또는개인정보열람및일부열람의통지 개인정보열람연기의통지 열람거절의통지에대하여정보주체가별지제 호서식 개인정보열람등조치에대한이의신청서 에따라이의를제기한경우에는이의제기를받은날로부터 일이내에이의제기내용을검토한후그결과에따라조치하고별지제 호서식또는별지제 호서식에따라정보주체에게알려야함 수수료등열람청구또는정정 삭제 처리정지를청구를하는자는수수료와우송료 처리정보사본의우송을청구하는때에한함 발생시에이를납부하여야함 대리인의범위등법제 조에따라정보주체를대리할수있는자는다음과같음 정보주체의법정대리인및정보주체로부터위임을받은자위항목에따른대리인이법제 조에따라정보주체를대리할때에는개인정보처리자에게행정자치부령으로정하는정보주체의위임장 별지제 호서식의 위임장 을제출하여야함 정보주체또는대리인의확인개인정보처리자는열람의요구 정정 삭제의요구또는처리정리의요구를받았을때에는열람등요구를한자가본인이거나정당한대리인인지를확인하여야함
첨부 개인정보침해사고대응매뉴얼 Ⅰ 총칙목적 개인정보보호법 제 조 개인정보유출통지등 에의하여개인정보유출및침해사고발생시사고대응및처리방법등을정의하여 침해 유출사고가발생할경우체계적이고신속한대응으로피해를최소화하려는데목적이있음적용범위이대학교에서처리하는모든개인정보및그개인정보를취급하는개인정보취급자 외부인력포함 의침해 유출사고대응절차를기술내 외부적요인으로개인정보침해및유출사고가발생할경우적용용어정의침해사고 비인가된접근 전산시스템의오남용 비인가된사용 을의미한다 비인가된시스템사용또는사용자의계정도용 악성코드유입및실행 정보서비스의방해뿐만아니라해킹사고와바이러스사고도포함한다 또한보안정책에위반되는행위역시침해사고로정의한다 침해사고대응팀은본침해사고의범위에정의된사고를중심으로대응조치를취하도록한다 개인정보유출 개인정보의유출이라함은법령이나개인정보처리자의자유로운의사에의하지않고 정보주체의개인정보에
대하여개인정보처리자가통제를상실하거나또는권한없는자의접근을허용한것으로서 다음의어느하나에해당하는경우를말한다 개인정보가포함된서면 이동식저장장치 휴대용컴퓨터등을분실하거나도난당한경우 개인정보가저장된데이터베이스등개인정보처리시스템에정상적인권한이없는자가접근한경우 개인정보처리자의고의또는과실로인해개인정보가포함된파일또는종이문서 그밖에저장매체가권한이없는자에게잘못전달된경우 그밖에권한이없는자에게개인정보가전달되거나개인정보처리시스템등에접근가능하게된경우악성프로그램유포 제작자가의도적으로다른정보통신이용자에게피해를주고자하는악의적목적으로만든프로그램및실행가능한코드를의미한다 악성코드 라표현하기도하며 이메일 메신저 문서의매크로기능등을이용하여악성프로그램을유포시키고공격에사용한다 주요형태로는컴퓨터바이러스 인터넷웜 트로이목마등이공격에이용된다 서비스거부공격 시스템또는네트워크서비스의정상적인운영을방해하는공격으로 시스템을다운시키거나 네트워크에과부하의트래픽을유발시켜사용자들이서비스를이용하지못하게하는공격이다 시스템침입 비인가된접근 시스템또는네트워크의취약성을이용하여시스템에침입하는공격이다 보통특정취약점을공격하는해킹프로그램을이용하거나 잘못된서버운영상의문제 예 디폴트패스워드를사용하는경우등 를이용하여시스템에침입한다
오남용 비인가된사용 시스템및네트워크자원을허가받지않은방법으로사용하거나악용하는공격이다 스팸메일을보낼때다른사이트의시스템을이용하는방법이나다른사람의계정을도용하는행위등이대표적인예이다 정보수집 특정사이트의시스템및네트워크에대한정보를수집하기위한공격으로포트스캔 전화번호스캔등이있다 공격자는정보수집을통해특정사이트에어떠한시스템이존재하는지 어떠한서비스가제공되는지 어떠한네트워크구조를갖고있는지 그리고어떠한취약성이있는지를조사하게된다 침해사고대응팀 해킹또는바이러스 개인정보유 노출사고발생에따른사고의분석 처리 사후복구 사후예방조치등을주요업무로하는침해사고대응팀을말한다 개인정보보호책임자 침해사고대응체계를수립하고관련내용을개인정보보호담당자에게교육및훈련시키도록한다 개인정보보호담당자 침해사고와관련된내용을숙지하고 침해사고발생시본매뉴얼에따라대응할수있도록한다 개인정보취급자 침해사고와관련된내용을숙지하고 침해사고발생시본매뉴얼에따라개인정보보호책임자또는개인정보보호담당자에게보고해야한다 관련법규법적근거 개인정보보호법 및시행령 대통령령제 호 국가사이버안전관리규정 대통령훈령제 호 정보통신기반보호법 전자정부법
기타사항 표준개인정보보호지침 안전행정부고시제 호 개인정보의안전성확보조치기준 행정자치부고시제 호 교육부개인정보보호지침 교육부훈령제 호 사고유형 사고유형내용인지경로 정보주체의동의또는법적근거없이개인정보를과실로인한제3자에게제공하는등개인정보의관리 ( 수집 저장 개인정보침해이용 파기 ) 가미흡하여정보주체에게침해를주는경우 개인정보가포함된서면, 이동식저장장치, 휴대용 1 창원대학교과실로인한컴퓨터를분실또는도난당한경우 2KERIS 개인정보보호부개인정보유 노출 권한이없는자에게개인정보를잘못전달한경우 3 침해신고오 남용으로인한 개인정보부당이용또는사적유용을목적으로유출 4 상시모니터링개인정보유출하는경우외부침투에의한 홈페이지해킹등외부침투에의해정보주체의개인정보유출개인정보가유출되는경우 Ⅱ 침해 유출사고시조치방법 침해 유출사고시단계별조치방법 단계조치방법세부조치사항 확인 단계 조치 단계 1 사고인지 접수 2 확인조사실시 3 피해확산 여부확인 4 유출통지 5 유출통지신고 6 사례전파및 시스템보완 침해 유출사고상황파악 개인정보보호책임자에게보고 침해 유출사고대응팀설치 침해 유출사고내용 ( 원인, 규모등 ) 세부조사 - 법령위반사실증빙자료취합 확인조사결과에따른분석을통해추가유출가능성및피해확산여부확인 해명보도자료등배포 정보주체에게 5일이내통지 행정자치부또는한국인터넷진흥원 (KISA), 한국정보화진흥원 (NIA) 에 5일이내신고 기술적, 관리적보완조치
사고유형별조치방법 과실로인한개인정보침해사고 정보주체의동의또는법적근거없이개인정보를제 3 자에게제공하는등 개인정보의관리가미흡하여정보주체에게침해를주는경우 침해사고인지및접수 개인정보보호담당자는정기실태점검또는침해신고 접수 를통해발생부서의개인정보관리침해사실인지및접수 개인정보보호담당자는개인정보관리가미흡한부서에대하여개인정보보호책임자에게보고 개인정보보호책임자는침해사고대응팀설치 확인조사실시 침해사고대응팀에서는개인정보침해사고가인지또는접수되어침해사고발생이우려되는부서에대하여확인조사및위험사실확인 필요시외부전문가협조요청 사고발생부서는침해사고대응팀의현장확인조사시적극협조 개선조치및사례전파 침해사고대응팀은확인조사결과를분석하여개인정보보호책임자에게보고 침해사고대응팀은개인정보침해사고발생을방지하기위한대책을해당부서에제시하고필요한경우개선권고요청 침해사고대응팀은관리미흡에의한사고사례를내부에전파하고 유사한사례가발생하지않도록조치 실태점검항목강화등개인정보관리철저를위한대책강구
과실로인한개인정보유노출사고 - 개인정보가포함된서면, 이동식저장장치, 휴대용컴퓨터를분실또는 도난당한경우 - 권한이없는자에게개인정보를잘못전달한경우 유노출사고인지및접수 개인정보보호담당자는상시모니터링 실태점검을통한부주의등과실로인한개인정보유노출사실확인또는내 외부침해신고접수를통해유노출사고인지 개인정보보호담당자는위반사항이중대한경우개인정보보호책임자에게보고 개인정보보호책임자는침해사고대응팀설치 확인조사실시 침해사고대응팀은자체점검을위한자료 서비스종류및로그값 를확보하고 현장확인조사를통해과실여부 침해규모 경위 방법등을조사 필요시외부전문가협조요청 사고발생부서는침해사고대응팀의현장확인조사시적극협조 피해확산여부확인 침해사고대응팀은확인조사결과에따른분석을통해추가유 노출가능성및피해확산여부확인 인터넷등언론동향대응을위한보도자료등배포 유출통지 침해사고대응팀은개인정보가유출되었을경우 유출사실을지체없이 일이내 정보주체에게통지
다만 유출된개인정보의확산및추가유출을방지하기위하여접속경로의차단 취약점점검 보완 유출된개인정보의삭제등긴급한조치가필요한경우에는그조치를한후지체없이정보주체에게통지 만명이상의정보주체에관한개인정보가유출된경우에는서면등의방법과함께인터넷홈페이지에정보주체가알아보기쉽도록 일이상게재 유출통지신고 명이라도정보주체에관한개인정보가유출된경우에는유출내용및조치결과를 일이내에교육부정보보호팀에신고 만명이상유출된경우에는정보주체에게유출사실을통지한사항및피해를최소화하기위한대책과필요한조치결과를행정자치부또는전문기관 한국인터넷진흥원 한국정보화진흥원 에신고 사례전파로동일사례발생방지 부주의등과실로인한개인정보유노출사고사례를내부에전파하고 유사한사례가발생하지않도록조치 재발방지를위한기술적조치와개인정보보호교육및실태점검강화 사고내용세부조사 침해사고대응팀은확인조사결과세부조사가필요하다고판단되는경우 개인정보보호책임자에게필요성보고 해당자처분및조치 개인정보보호책임자에게세부조사결과보고 위반사항의중요도에따라처분및조치요청
오남용으로인한개인정보유출사고 유출사고인지및접수 개인정보보호담당자는상시모니터링 실태점검등을통한고의적유출사실확인또는내 외부침해신고접수를통해사고인지 침해사고대응팀은사고사실을개인정보보호책임자에게보고 개인정보보호책임자는침해사고대응팀설치 확인조사실시 침해사고대응팀은자체점검을위한자료 서비스종류및로그값 를확보하고 현장확인조사를통해과실여부 침해규모 경위 방법등을조사 필요시외부전문가협조요청 사고발생부서는사고대응팀의현장확인조사시적극협조 피해확산여부확인 침해사고대응팀은확인조사결과에따른분석을통해추가유 노출가능성및피해확산여부확인 인터넷등언론동향대응을위한보도자료등배포 유출통지 침해사고대응팀은개인정보가유출되었을경우 유출사실을지체없이 일이내 정보주체에게통지 다만 유출된개인정보의확산및추가유출을방지하기위하여접속경로의차단 취약점점검 보완 유출된개인정보의삭제등긴급한조치가필요한경우에는그조치를한후지체없이정보주체에게통지
만명이상의정보주체에관한개인정보가유출된경우에는서면등의방법과함께인터넷홈페이지에정보주체가알아보기쉽도록 일이상게재 유출통지신고 명이라도정보주체에관한개인정보가유출된경우에는유출내용및조치결과를 일이내에교육부정보보호팀에신고 만명이상유출된경우에는정보주체에게유출사실을통지한사항및피해를최소화하기위한대책과필요한조치결과를행정자치부또는전문기관 한국인터넷진흥원 한국정보화진흥원 에신고 사례전파로동일사례발생방지 부주의등과실로인한개인정보유노출사고사례를내부에전파하고 유사한사례가발생하지않도록조치 재발방지를위한기술적조치와개인정보보호교육및실태점검강화 사고내용세부조사 침해사고대응팀은확인조사결과세부조사가필요하다고판단되는경우 개인정보보호책임자에게필요성보고 해당자처분및조치 개인정보보호책임자에게세부조사결과보고 위반사항의중요도에따라처분및조치요청 세부조사결과개인정보부당이용또는사적유용을목적으로유출된경우고발조치
외부침투에의한개인정보유출사고 외부침투에의한유출사고확인 개인정보보호담당자는외부침투 해킹등 에의한개인정보유출사실확인 사이버공격대응절차에따른경계단계별대응팀가동상태확인 개인정보보호담당자는확인한침해사실을개인정보보호책임자에게보고 개인정보보호책임자는침해사고대응팀설치 피해확산여부확인 침해사고대응팀은확인조사결과에따른분석을통해추가유 노출가능성및피해확산여부확인 인터넷등언론동향대응을위한보도자료등배포 유출통지 침해사고대응팀은개인정보가유출되었을경우 유출사실을지체없이 일이내 정보주체에게통지 다만 유출된개인정보의확산및추가유출을방지하기위하여접속경로의차단 취약점점검 보완 유출된개인정보의삭제등긴급한조치가필요한경우에는그조치를한후지체없이정보주체에게통지 만명이상의정보주체에관한개인정보가유출된경우에는서면등의방법과함께인터넷홈페이지에정보주체가알아보기쉽도록 일이상게재 유출통지신고 만명이상유출된경우에는정보주체에게유출사실을통지한사항및피해를최소화하기위한대책과필요한조치결과를행정자치부또는전문기관 한국인터넷진흥원 한국정보화진흥원 에신고
사고사례전파및시스템보완 침해사고대응팀은개인정보유출및침해에관한사고사례를전파하고유사사례가발생하지않도록조치 정보화담당자는보안시스템점검강화등의기술적인보안조치 해킹사고세부조사및조치 침해사고대응팀은교육사이버안전센터 행정자치부등에세부조사의뢰 세부조사결과 해킹사고의업무상과실등책임이있는담당자를확인하여고발조치
Ⅲ 침해사고대응팀조직및역할 침해사고대응팀조직체계 개인정보보호책임자 사무국장 개인정보보호담당자 총무과정보전산원 개인정보보호분야별책임자 과 실장 개인정보보호분야별담당자 개인정보취급자 역할 조직별담당자담당업무 개인정보보호책임자 개인정보 침해사고 대응팀 사고 발생부서 사무국장개인정보보호담당자, 개인정보보호분야별책임자, 정보보안담당자, IT담당자, 기타협조부서개인정보취급자 개인정보침해사고대응총괄지휘 개인정보침해사고인지 접수 개인정보침해사고대응절차수립 개인정보침해사고사실확인조사실시 정보주체에게유출사실통지 행정자치부또는전문기관에유출통지신고 외부요인에의한유출의경우, 교육사이버안전센터, 행정자치부등과협조하여사고해결 사고내용세부조사및사후인사조치가필요한경우유관부서와협조 내부요인에의한침해 유출의경우, 사고대응팀에사고내용신고 침해사고대응팀과협력하여사고처리적극지원 사고신고자정보주체 개인정보를침해받은피해자
개인정보침해사고대응절차도
개인정보침해사고대응절차요약 개인정보침해사고유형 - 개인정보가포함된서면, 저장매체, 휴대용컴퓨터등을분실또는도난당한경우 - 개인정보가포함된파일또는문서, 저장매체가권한이없는자에게잘못전달된경우 - 그밖에권한이없는자에게개인정보가전달된경우 전직원 ( 취급자 ) 개인정보침해사고의심분야별책임자개인정보침해상황파악분야별책임자침해사고처리책임자역할수행개인정보보호담당자침해사고대응절차수행개인정보보호책임자침해사고대응총괄지휘 침해가발생한것을인지한경우또는그러한침해의발생이의심되는경우지체없이소속부서의분야별책임자에게신고 분야별책임자는소속부서직원의신고에따라유출여부, 유출시기, 유출원인및유출규모 ( 수량 ) 를신속하게확인 소속부서 ( 학과 ) 의장에게보고한후개인정보보호담당자에게신고 분야별책임자는침해사고처리책임자로지정되며처리및재발방지에대한책임을지고침해사고대응팀과협력하여사고해결노력 침해신고내용을개인정보보호책임자에게보고 개인정보침해사고를접수하고침해사고대응절차개시 침해사고대응총괄지휘
개인정보침해사고정보주체통지세부내용 구분 통지방법 내용 1. 서면, 전자우편, 모사전송, 전화, 문자전송또는이와유사한방법 ( 필수사항 ) 2. 1번통지방법과동시에홈페이지등을통하여공개 (1번통지방법으로연락불가시홈페이지게시, 단 1만명이상정보주체의개인정보유출시에는홈페이지에 7일이상게시 ) * 개인정보보호법 시행령제 40 조 * 교육부개인정보보호지침 제 52 조 통지내용 1. 유출된개인정보의항목 2. 유출된시점과그경위 3. 유출피해최소화하기위하여정보주체가할수있는방법등에대한정보 4. 개인정보처리자의대응조치및피해구제절차 5. 정보주체에게피해가발생한경우신고등을접수할수있는담당부서및연락처 * 개인정보보호법 제 34 조 * 교육부개인정보보호지침 제 51 조 통지시기 개인정보유출사고를안때부터지체없이 (5일이내 ) 통보단, 개인정보구체적인유출내용확인불가한경우다음사항알리고추후확인된사항, 추가안내가능 1. 정보주체에게유출이발생한사실 2. 통지내용중확인된사항 * 개인정보보호법 시행령제 40 조 * 교육부개인정보보호지침 제 51 조 통지결과신고 통지결과 ( 통지내용 결과, 홈페이지에게시한경우게시기간및내용화면캡처등입증자료첨부 ) 등지체없이신고기관에신고 * 개인정보보호법 제34조 * 교육부개인정보보호지침 제53조
Ⅳ 사고예방사고예방활동개인정보침해 유출사고를대비하여사정사고예방활동실시 개인정보보호관리수준현장조사 개인정보통합관제실시 웹사이트개인정보노출점검실시사고요인점검수집단계에서의침해 유출사고요인검검 불필요한개인정보수집여부점검 수집된개인정보의개인정보보호처리방침게재여부점검 개인정보수집시정보주체동의여부점검저장및관리단계에서의침해 유출사고요인검검 수집된개인정보불법적인유출위협상태점검 수집목적달성또는보유기간초과여부점검 관리자또는이용자의실수로인한개인정보노출여부점검 권한관리등시스템오류로인한개인정보노출여부점검이용및제공단계에서의침해 유출사고요인검검 개인정보보호처리방침에명시되지않은위탁사업자나제 의서비스제공자에게개인정보제공여부점검 개인정보를제 자에게양도하는등불법적거래여부점검파기단계에서의침해 유출사고요인검검 수집목적달성또는보유기간초과한개인정보파기여부점검 권한이없는이용자의개인정보파기여부점검
개인정보특별점검실시 개인정보의관리미흡으로개인정보유출사고발생가능성이우려되는경우 개인정보특별점검실시 대상 개인정보취급자및일반직원 Ⅴ 개인정보침해구제절차침해신고자의보호개인정보침해신고자의신분은침해사고대응에반드시필요한경우담당자및권한자에게만제공되어야하며외부로노출되어서는아니됨침해구제절차개인정보침해에대한신고 개인정보침해신고센터의사실조사 서면 방문조사등 사실조사결과통보및위법사실발견시조치 수사의뢰 과태료등 손해배상 침해행위중지 재발방지등에대한분쟁조정분쟁조정위원회자료조사및조정안작성조정안제시 당사자들이조정안수용시재판상화해의효력을가짐 분쟁조정이실패할경우민사소송또는단체소송제기가능 관할지방법원
[ 서식 1] 개인정보침해사고관리대장 일시 접수 신고자유형 신고개요등급처리유형종결일자처리내용비고 * 일시는접수일시를기록 * 신고자유형은직원 / 고객으로구분 * 신고개요는신고내용을개록 * 등급은 1/2/3 등급으로구분 * 처리유형은사실확인중 / 상담및자료제공 / 타기관이송 / 위법성통보 / 수사의뢰 / 법위반확인불가 / 기타 ( 징계위원회회부 ) 로구분 * 정결일자는개인정보침해사고처리보고서접수일을기준으로기록 * 처리내용은처분유형을사법처리 ( 징역, 벌금, 추징, 재판계류중, 수사중 )/ 징계처분 ( 파면, 해임, 정직, 감봉, 견책, 기타 ) 로구분 * 비고란에는처리보고서문서번호를기록
[ 서식 2] 개인정보침해사고처리보고서 보고일자 문서번호 침해신고 / 접수정보 일반개인정보 침해등급 1 등급 2 등급 3 등급침해대상정보 주민등록번호 계좌번호 접수일시 신고일자 침해사고 처리책임자 신고자연락처 신고내용 대응과정 일시 대응활동 확인된침해정보의세부사항, 규모및침해방법 침해내용 ( 노출, 외부자제공, 수집, 접근, 분석, 이용, 내부자제공, 불법저장, 불안전한저장, 파기, 비파기등세부사항 ) 침해발생경위 관련자 침해발생원인 증거자료 복구및 재발방지조치 처분
[ 서식 3] 개인정보침해사실신고서 성명 생년월일 신고인 전화번호 ( 핸드폰 ) 연락처 전자우편 주소 부서명 접수부서 전화번호 연락처 주소 신고내용 위와같이개인정보침해사실을신고합니다 붙임 : 년월일 신고인 : ( 서명또는인 )
[ 서식 4] 개인정보유출신고 ( 보고 ) 서
[ 별표 1] 침해사고비상연락망 총괄책임자 개인정보보호책임자 간사 개인정보보호담당자 침해사고처리책임자 분야별책임자 구분부서분야별책임자 내선번호 ( 공통국번 : 213) 총괄책임자개인정보보호책임자 간사개인정보보호담당자 사무국장 2017 총무과담당자 2425 정보전산원전산실장 2510 교무과 과장 ( 분임보안담당관 ) 2030 학사지원과 과장 2050 학생과 과장 ( 분임보안담당관 ) 2060 입학관리과 과장 2190 기획평가과 과장 ( 분임보안담당관 ) 2080 침해사고처리책임자 ( 분야별책임자 ) 총무과과장 ( 보안담당관 ) 2100 재정과과장 2120 시설과과장 2140 산학기획실실장 2820 산학협력실실장 2810 인문예술대학실장 ( 분임보안담당관 ) 2302
사회과학대학 실장 ( 분임보안담당관 ) 2322 경영대학 실장 ( 분임보안담당관 ) 2332 자연과학대학 실장 ( 분임보안담당관 ) 2352 공과대학 실장 ( 분임보안담당관 ) 2363 대학원행정실 실장 ( 분임보안담당관 ) 2391 학술정보과 과장 ( 분임보안담당관 ) 2402 산학협력선도대학육성사업단 실장 2922 박물관 실장 2431 학생생활관 실장 2050 보육교사교육원 담당자 2462 평생교육원 실장 2566 어학교육원 실장 2441 국제교류원 실장 2631 봉림고시원 담당자 2543 공동실험실습관 실장 2551 종합인력개발원 실장 2611 대학발전협력원 실장 2120 미디어센터 담당자 2540 대학언론사 담당자 2530 기초교육원 실장 2661 특성화사업추진본부 실장 2981 ACE사업단 실장 2791 다문화진흥원 실장 2631 정보전산원 실장 ( 정보보안담당관 ) 2501
[ 별표 2] 개인정보침해사고모의시나리오 구분행동요령행위자비고 개인정보 침해사고의 발생 o 침해가발생한것을인지한경우또는 그러한침해의발생이의심되는경우 지체없이개인정보보호담당자에게신고 전직원 개인정보침해신고서다운및 작성 o 개인정보보호담당자는개인정보침해사고를 개인정보 침해사고의 접수 접수한경우 개인정보침해사고관리대장 에사고접수를기록 o 개인정보보호담당자는접수후지체없이 개인정보 보호담당자 1 등급침해사고의경우발생그 즉시및수시로총장에게보고 개인정보보호책임자에게보고 2,3 등급침해의경우개인정보 보호책임자는침해사고처리책 임자와협의하여개인정보침해 개인정보침해사고 o 노출또는제공된정보의종류에따라, 발생부서의분야별책임자를침해사고처리 개인정보 사고대응팀을구성하지않을수있음 대응팀구성 책임자를지정하고개인정보침해사고대응팀을구성 보호책임자 개인정보보호담당자는개인정보가유출된경우에는개인 정보침해통지및조치결과를 지체없이교육부에공문으로 신고하여야함 o 침해의규모, 경위, 방법, 원인및관련자 조사 개인정보 침해사고의 분석 o 필요시개인정보침해사고대응팀또는개인정보보호책임자가승인한외부전문가의지원을받아증거자료를수집 o 개인정보유출사실을인지하였을경우 침해사고 처리책임자 지체없이해당정보주체에게관련사실을 통지 o 1 등급의경우침해사고처리책임자는해당 개인정보침해사고의대응및복구 개인정보를파기또는회수하기위한조치를취함 o 2등급의경우침해사고책임자는해당개인정보를파기, 회수또는복구하기위한조치를취하거나정보주체의사후 침해사고 처리책임자 동의를받아근거를마련
o 3등급의경우침해사고처리책임자는해당개인정보를적절히보호하거나파기하기위한조치를취함 o 침해사고처리책임자는즉각적조치가가능한경우재발방지조치를취함 개인정보 침해사고의 종료 o 침해사고처리책임자는개인정보침해사고처리보고서를작성하여개인정보보호책임자에게제출 o 개인정보보호책임자는개인정보침해사고처리보고서를검토하고승인 o 개인정보보호책임자는개인정보침해관련자에대한처분 ( 징계등 ) 을해당부서에요청 o 개인정보보호담당자는개인정보침해사고처리보고서를관리하고처분 ( 징계등 ) 결과를기록 침해사고처리책임자 / 개인정보보호책임자및담당자 개인정보 침해사고 사후분석 o 침해사고처리책임자는처리보고서제출후 30일이내근본원인분석, 교훈및예방을위한개선대책을마련하여개인정보보호책임자에게제출 침해사고 처리책임자
첨부 관련서식 [ 별지제 1 호서식 ] 아래작성방법을읽고굵은선안쪽의사항만적어주시기바랍니다. ( 앞쪽 ) 접수번호접수일처리기간 10일이내 성명 전화번호 정보주체 생년월일 주소 성명 전화번호 대리인 생년월일 주소 정보주체와의관계 요구내용 [ ] 열람 [ ] 개인정보의항목및내용 [ ] 개인정보수집ㆍ이용의목적 [ ] 개인정보보유및이용기간 [ ] 개인정보의제3자제공현황 [ ] 개인정보처리에동의한사실및내용 [ ] 정정ㆍ삭제 정정ㆍ삭제하려는개인정보의항목과그사유를적습니다. [ ] 처리정지 개인정보의처리정지를원하는대상ㆍ내용및그사유를적습니다. 개인정보보호법 제35조제1항ㆍ제 2항, 제36조제1항또는제37조제1항과같은법시행령제41조제1항, 제43조제1항또는제44조제1항에따라위와같이요구합니다. 년 월 일 요구인 ( 서명또는인 ) 창원대학교 귀하 작성방법 1. 대리인 란은대리인이요구인일때에만적습니다. 2. 개인정보의열람을요구하려는경우에는 열람 란에 [ ] 표시를하고열람하려는사항을선택하여 [ ] 표시를합니다. 표시를하지않은경우에는해당항목의열람을요구하지않은것으로처리됩니다. 3. 개인정보의정정ㆍ삭제를요구하려는경우에는 정정ㆍ삭제 란에 [ ] 표시를하고정정하거나삭제하려는개인정보의항목과그사유를적습니다. 4. 개인정보의처리정지를요구하려는경우에는 처리정지 란에 [ ] 표시를하고처리정지요구의대상ㆍ내용및그사유를적습니다.
[ 별지제 2 호서식 ] 성명전화번호 위임받는자 생년월일정보주체와의관계 주소 성명전화번호 위임자 생년월일 주소 개인정보보호법 제 38 조제 1 항에따라위와같이개인정보의 ( 열람, 정정 삭제, 처리정지 ) 의 요구를위의자에게위임합니다. 년월일 위임자 ( 서명또는인 ) 창원대학교 귀하
[ 별지제 3 호서식 ] ( 앞쪽 ) 수신자 ( 우편번호 :, 주소 : ) 요구내용 열람일시 열람장소 통지내용 ([ ] 열람 [ ] 일부열람 [ ] 열람연기 [ ] 열람거절 ) 열람형태및방법 납부금액 열람형태 열람방법 1 수수료 수수료산정명세 [ ] 열람ㆍ시청 [ ] 사본ㆍ출력물 [ ] 전자파일 [ ] 복제물ㆍ인화물 [ ] 기타 [ ] 직접방문 [ ] 우편 [ ] 팩스 [ ] 전자우편 [ ] 기타 2우송료원 계 (1+2) 원 원 사유 이의제기방법 개인정보열람등의요청에대한통지결과에이의가있는경우, 개인정보열람등조치에대한이의신청서 를작성하여해당열람청구부서에제출합니다. 개인정보보호법 제 35 조제 3 항ㆍ제 4 항또는제 5 항과같은법시행령제 41 조제 4 항또는제 42 조제 2 항에 따라귀하의개인정보열람요구에대하여위와같이통지합니다. 창원대학교직인 장년월일
[ 별지제 4 호서식 ] 수신자 ( 우편번호 :, 주소 : ) 요구내용 정정ㆍ삭제 처리정지조치내용 정정ㆍ삭제 처리정지결정사유 이의제기방법 개인정보열람등의요청에대한통지결과에이의가있는경우, 개인정보열람등조치에대한이의신청서 를작성하여해당열람청구부서에제출합니다. 개인정보보호법 제 36 조제 6 항및같은법시행령제 43 조제 3 항또는같은법제 37 조제 5 항및같은법 시행령제 44 조제 2 항에따라귀하의요구에대한결과를위와같이통지합니다. 장년월일 창원대학교 직인 유의사항 개인정보의정정ㆍ삭제또는처리정지요구에대한결정을통지받은경우에는개인정보처리자가 이의제기방법 란에적은 방법으로이의제기를할수있습니다.
[ 별지제 5 호서식 ] 변경정보및변경사유 란은변경등록시에만작성합니다. 접수번호접수일처리기간 7 일 공공기관명칭주소등록부서전화번호 개인정보파일명칭 등록항목등록정보변경정보및변경사유 개인정보파일의운영근거및목적 개인정보파일에기록되는개인정보의항목 개인정보의처리방법 개인정보의보유기간 개인정보를통상적또는반복적으로제공하는경우그제공받는자 개인정보파일을운용하는공공기관의명칭 개인정보파일로보유하고있는개인정보의정보주체수 해당공공기관에서개인정보처리관련업무를담당하는부서 개인정보의열람요구를접수ㆍ처리하는부서 개인정보파일에서열람을제한하거나거절할수있는개인정보의범위및그사유 개인정보보호법 제 32 조제 1 항과같은법시행령제 34 조제 1 항에따라위와같이 개인정보파일 ([ ] 등록 [ ] 변경등록 ) 을신청합니다. 년월일 행정자치부장관 귀하 신청기관 ( 서명또는인 )
[ 별지제 6 호서식 ] 기관명칭주소등록부서전화번호
[ 별지제 7 호서식 ] 개인정보또는 개인정보파일명칭 이용또는제공구분 [ ] 목적외이용 [ ] 제 3 자제공 소 속 목적외이용기관의명칭 ( 목적외이용의경우 ) 담당자 성 명 전화번호 성 명 제공받는기관의명칭 ( 제 3 자제공의경우 ) 담당자 소 속 전화번호 이용하거나제공한날짜, 주기또는기간 이용하거나제공한형태 이용또는제공의법적 근거 이용목적또는 제공받는목적 이용하거나제공한 개인정보의항목 개인정보보호법 제18조제 5항에따라제한을하거나필요한조치를마련할것을요청한경우에는그내용
[ 별지제 8 호서식 ]
[ 별지제 9 호서식 ]
[ 별지제 10 호서식 ]
[ 별지제 11 호서식 ] 개인영상정보관리대장
[ 별지제 12 호서식 ] 개인정보처리위탁관련개인정보보호점검표 〇수탁사명 : 〇점검일 : 점검항목예아니오해당없음 비고 1. 개인정보보호책임자의지정여부법제 31 조 2. 내부관리계획의수립여부법제 29 조 3. 개인정보처리방침의수립및공개여부법제 30 조 4. 개인정보취급자의개인정보보호서약서작성여부표준지침제 18 조 5. 개인정보취급자에대한교육실시여부법제 28 조 고유식별정보의내부저장, 외부송 수신시암호화조치여부 6. 개인정보암호화 7. 접근통제시스템 안전한암호키생성, 이용, 보관, 배포및파기등에관한절차수립 시행여부 바이오정보의내부저장, 외부송 수신시암호화조치여부 비밀번호의내부저장, 외부송 수신시암호화조치여부 침입차단시스템또는침입탐지시스템의설치및운영여부 비인가된 p2p, 웹하드, 공유설정에대한차단여부 안전성확보조치기준고시제 7 조 안전성확보조치기준고시제 6 조 8. 보안프로그램설치및정기적업데이트수행여부 안전성확보조치기준고시제 9 조 9. 관리용단말기에대해다음의안전조치적용여부 9-1. 인가받지않은사람이관리용단말기에접근하여임의로조작하지못하도록조치 9-2. 본래목적외로사용되지않도록조치 9-3. 악성프로그램감염방지등을위한보안조치적용 안전성확보조치기준고시제 10 조
점검항목예아니오해당없음 비고 전산실, 자료보관실등물리적보관 장소에대한출입통제절차수립여부 10. 물리적 접근방지 개인정보가포함된서류및저장장치를 안전한장소에보관여부 안전성확보조치기준고시제 11 조 개인정보가포함된보조저장매체의 반출 입통제를위한보안대책을마련 11. 개인정보처리시스템에대한접근권한차등여부 안전성확보조치기준고시제 4 조 12. 접속기록의보 관및점검 12-1. 개인정보처리시스템접속기록의보관및접속기록의위변조및도난, 분실되지않도록관리 ( 보관 ) 여부 12-2. 개인정보의분실 / 도난 / 유출 / 위조 / 변조 / 훼손등에대응하기위하여개인정보처리시스템의접속기록을반기별 1회이상점검여부 안전성확보조치기준고시제 8 조 13. 개인정보목적달성시지체없이파기여부법제 21 조 14. 출력물폐기시안전한방법으로파기여부법제 21 조 15. 재위탁시위탁사의승인획득여부 개인정보처리위탁계약서 수탁사의개인정보처리에해당하는항목에대하여점검함 각점검항목에대한점검결과에대한근거자료를첨부함 관리용단말기 란개인정보처리시스템의관리, 운영, 개발, 보안등의목적으로개인정보처리시스템에직접접속하는단말기를말함 〇수탁사확인부서 : 직책 : 성명 ( 서명 ) 〇관리부서확인부서 : 직책 : 성명 : ( 서명 )
[ 별지제 13 호서식 ] 개인정보열람등조치에대한이의신청서 아래작성방법을읽고굵은선안쪽의사항만적어주시기바랍니다. ( 앞쪽 ) 접수번호접수일처리기간 10 일이내 성명 전화번호 정보주체 생년월일 주소 성명 전화번호 대리인 생년월일 주소 정보주체와의관계 거절통지수령일자 이의신청 사항과사유 이의신청으로요구하는사항과이의신청하는사유를적습니다. 개인정보보호법 제 38 조제 5 항에따라위와같이이의를제기합니다. 년월일 요구인 ( 서명또는인 ) 창원대학교총장귀하 작성방법 1. 대리인 란은대리인이요구인일때에만적습니다. 2. 거절통지수령일자는정보주체가창원대학교에개인정보의열람, 정정, 삭제요청을하였으나그요청의일부또는전부를거절한다는결과 통지를수령한일자를적습니다.