개인정보 처리 유의사항 안내
개인정보 수집·이용이 집중되는 시기에 불필요한 개인정보 수집 방지와 개인정보 유출 예방을 위해 준수해야 할 유의사항 안내
이메일, 메신저 등을 이용한 개인정보 처리
❍ 이메일을 이용하여 개인정보가 포함된 파일을 전송할 경우, 수신자(개인·단체) 및 파일 암호설정 여부 반드시 확인
❍ 상호 간에 실시간 정보공유가 가능한 기관 메신저 등을 이용하여 업무정보를 주고받는 경우, 개인정보 탑재 지양
❍ 공문(붙임파일 포함)에 개인정보가 포함된 경우, 보안 결재, 열람범위 지정, 열람제한 등의 기능을 활용하여 개인정보 유‧노출 주의
| ⊙ 개인정보 유출사례 |
| ☞ 개인정보취급자가 개인정보가 포함된 파일을 이메일을 통하여 다수의 사용자에게 무분별하게 발송하는 사례 ☞ SNS 단체 대화방, 메신저 등을 통해 직원이 다수에게 공지사항을 안내하며 개인정보 포함된 자료를 공유하는 사례 ☞ 주소 변경 등을 이유로 다수 학생의 개인정보를 공유하는 사례 ☞ 다수에게 집단메일로 발송하여 타인의 이메일 정보 노출한 사례(개별발송 기능사용) |
개인정보처리시스템, 홈페이지 등에서의 개인정보 처리
❍ 개인정보처리시스템에서 초기 패스워드가 시스템에 의해 할당되는 경우, 개인정보유출 예방을 위해 패스워드 변경 등 관리 철저
❍ 홈페이지 파일(한글, PDF 등) 탑재, 게시판에 자료 공지 시 개인정보 포함여부 반드시 확인
- 홈페이지에 첨부파일을 게시하는 경우, 엑셀문서 지양(PDF변환 게시 권고)
※ 부득이한 경우 비밀번호 설정 및 숨기기 처리된 시트‧행‧열 사전 확인 후 탑재
※ 엑셀 외부링크 연결 기능으로 인해 다른 엑셀 파일의 내용이 포함될 가능성이 있어 점검·삭제 필요
| ⊙ 개인정보 유출사례 |
| ☞ 다수에게 공개되지 않아도 되는 불필요한 개인정보가 포함된 자료를 게시한 사례 ☞ 개인정보가 없음을 육안으로 확인했음에도 엑셀의 숨기기 기능에 의해 드러나지 않던 개인정보가 발견되어 유출되는 사례 |
개인정보 수집·이용
❍ 정보주체의 동의, 법령상 의무 준수, 공공기관의 소관 업무 수행 등을 위해 개인정보 수집·이용 가능(법 제15조)
- (필수 고지사항) 개인정보의 수집 목적, 수집 항목, 이용 기간, 동의 거부권과 그에 따른 불이익 내용 고지 후 동의
- (별도 동의) 민감정보, 고유식별정보(주민등록번호 제외) 등의 수집·이용 동의는 다른 개인정보의 동의와 구분하여 별도 동의 필요
- (주민등록번호 처리 제한) 주민등록번호는 정보주체의 동의가 있어도 법률, 시행령에 근거가 없으면 수집 불가
- (만14세 미만 아동의 개인정보 처리) 법정대리인의 동의 필수
❍ 개인정보는 처리 목적에 따라 필요한 최소한의 정보만 수집하고, 목적에 맞는 용도로 활용(법 제3조, 제16조)
- 업무처리 과정에서 얻은 개인정보를 이용하여 법령에서 금지하는 행위를 하는 경우 처벌될 수 있음을 유의
| ⊙ 법 위반사례 |
| ☞ (최소수집 위반) 개인정보를 과도하게 수집하는 사례 ☞ (개인정보 미동의) 개인정보 수집을 위한 별도의 법적 근거가 없음에도 정보주체의 동의 없이 개인정보를 수집하는 사례 ☞ (필수 고지사항 누락) 온라인(홈페이지 등), 오프라인(종이문서) 등을 통해 동의를 받을 때 4가지 항목* 중 일부 항목만 동의를 받는 사례 * 수집 목적, 수집 항목, 이용 기간, 동의 거부권과 그에 따른 불이익 내용 |
개인정보 제3자 제공·위탁
❍ (제3자 제공) 기 수집한 개인정보를 수집한 목적內 또는 목적外로 제3자에게 이용·제공할 경우, 개인정보 보호법 준수
- (목적內) 정보주체 동의*, 다른 법률에 규정, 공공기관 소관 업무 수행 등의 경우, 수집목적의 범위 내에서 제3자 제공 가능(법 제17조)
* (동의 시 고지사항) 제공 받는 자, 제공 받는 자의 이용 목적, 제공 항목, 제공 받는 자의 보유 및 이용 기간, 동의 거부권 및 그에 따른 불이익 내용
- (목적外) 정보주체 동의, 다른 법률에 규정(국정감사 등), 범죄 수사, 법원 재판 등의 경우, 수집목적 외의 용도로 제3자 제공 가능(법 제18조)
※ 제3자에게 제공한 날로부터 30일 이내, 10일 이상 홈페이지 또는 관보 등에 게재
❍ (위탁) 개인정보처리 위탁 시 문서(표준 개인정보처리 위탁계약서)로 계약을 체결하고, 개인정보 처리방침에 포함하여 홈페이지 공개
※ 수학여행, 졸업앨범 제작 등을 위해 업체 위탁 시 수탁자 관리·감독 철저
| ⊙ 법 위반사례 |
| ☞ 개인정보를 홍보·마케팅 등 수집 목적 범위를 초과하여 이용하거나 제3자에게 제공한 사례 ☞ 민원업무로 알게 된 민원인의 성명, 연락처 등의 개인정보를 정당한 이유 없이 피민원기관에 제공한 사례 ☞ 민원인이 직원의 핸드폰번호를 요구하여, 해당 직원의 동의 없이 핸드폰번호를 제공한 사례 |
개인정보 파기
❍ 개인정보의 보유기간 경과, 처리목적을 달성한 경우, 별도의 보관 기간이 규정되어 있지 않다면, 지체 없이(5일 이내) 파기(법 제21조)
※ CCTV 영상은 특별히 보관기간을 설정하고 있지 않다면 30일 동안 보관 후 파기
❍ 개인정보 파기는 절차와 방법에 따라 기술적‧물리적으로 복원이 불가능하게 파기하여야 하며 파기 후 결과 보고 및 대장 관리 필요
| ⊙ 파기 참고사례 |
| ☞ 재학생 사진 등이 홈페이지 등에 게재된 경우 별도의 동의가 없다면 졸업 후에는 반드시 삭제 처리 ☞ 개인정보가 포함된 인쇄물 등은 이면지로 활용해서는 안 되며, 복원할 수 없도록 파기 처리 ☞ 부득이하게 개인정보를 포함한 파일을 (업무용)PC에 저장할 경우 암호화하여 저장하고 목적 달성 시 즉시 파기 조치 |
영상정보처리기기 운영
❍ (공개된 장소) 공개된 장소에서의 영상정보처리기기 설치는 원칙적으로 금지되고 예외적으로 개인정보보호법 제25조에서 정하는 사유에 해당하는 경우에만 영상정보처리기기 설치·운영 가능
<영상정보처리기기 설치·운영 허용>
| 1. 법령에서 구체적으로 허용하고 있는 경우 2. 범죄의 예방 및 수사를 위하여 필요한 경우 3. 시설안전 및 화재 예방을 위하여 필요한 경우 4. 교통단속을 위하여 필요한 경우 5. 교통정보의 수집·분석 및 제공을 위하여 필요한 경우 |
- 단, 불특정 다수가 이용하여 현저히 사생활 침해 우려가 있는 장소(목욕실, 화장실, 발한실, 탈의실 등)는 영상정보처리기기 설치·운영 금지
| ※ [참고] “공개된 장소” 예시 ☞ 누구나 출입, 접근 또는 통행이 허용되는 장소(학교 운동장, 학교 복도* 등) *학교 건물이 엄격하게 출입통제 및 관리되는 경우 비공개 장소로 볼 수 있음 |
❍ (비공개된 장소) 비공개 장소에 업무를 목적으로 영상정보처리기기를 설치하는 경우에는 개인정보보호법 제15조(개인정보의 수집ㆍ이용)에 따라 설치·운영 가능
| ※ [참고] “비공개된 장소” 예시 ☞ 학생, 교사 등 학교 관계자만 출입이 가능한 학교시설(교실, 실험실 등) |
❍ (안내판 설치) 영상정보처리기기 운영자는 다음의 필수사항이 모두 포함된 안내판 설치 필요
| 안내판 필수사항 | ||
| ① 설치목적 및 장소 ② 촬영범위 및 시간 ③ 관리책임자 성명 및 연락처 ④ 영상정보처리기기 설치·운영 사무를 위탁하는 경우, 수탁자의 명칭 및 연락처 |
||
❍ (열람 등 요구 절차) “10일 이내” 처리 필요
| 열람대상 | 열람 등의 청구 | 본인 또는 정당한 대리인 여부 확인 | ⇒ |
|||
| 1, 정보주체 2. 명백히 정보주체의 급박한 생명,신체,재산의 이익을 위해 필요한 경우 |
⇒ | 정보주체의 개인영상정보 열람 또는 존재확인 요청 | ⇒ | |||
| 열람 여부 결정 | 열람 조치 | 열람 기록·관리 | ||||
| ※ (열람 거부 사유) 1. 법률에 따라 제한된 경우 2. 타인의 생명·신체를 해하거나 재산 등을 침해할 우려가 있는 경우 3. 보관기간이 경과하여 파기한 경우 4. 범죄수사 등 5. 기타 정보주체의 열람 등 요구를 거부할 정당한 사유가 있는 경우 |
⇒ | 비식별조치가 가능한 경우 | 정보주체 외 모자이크 처리 | ⇒ | 개인영상정보 관리대장 기록 및 관리 | |
| 비식별조치가 어려운 경우 | 타 정보주체의 제3자 제공 동의 징구 | |||||
| ⊙ 법 위반사례 |
| ☞ 00고등학교 화장실에 학생 흡연 및 학교 폭력 방지를 위한 목적으로 CCTV를 설치하여 과태료 처분 받은 사례 |
개인정보처리자의 주요업무
❍ 개인정보 내부관리계획에 따라 안전조치의무(법 제29조) 이행사항을 주기적으로 철저하게 관리(개인정보보호위원회 현장점검 시 주요점검 항목)[붙임]참조
- 접속기록(매월 점검, 특히 다운로드 사유 확인), 접근권한 부여 및 관리 등
- 개인정보처리 위탁계약 시 수탁자의 업무 관리‧감독 등
- 안전한 접속수단 및 인증수단 적용, 아이들 타임아웃(Idle Timeout)* 설정, 웹 취약점 점검 및 보완 조치 등 접근통제 강화
* 최대 접속시간 제한 설정
- 전산실·자료보관실의 출입통제 철저 및 서류·보조저장매체 등을 안전한 장소에 보관
| ※ 공무원이 영리를 목적으로 개인정보를 유출한 사건과 유사사례가 발생하지 않도록 개인정보취급자에 대한 접근권한 최소화, 접속기록 점검 등 관리 강화 필요 ※ 시험지 유출 사고 등 PC 보안, 출입 통제 미흡에 따른 개인정보 침해사고가 증가함에 따라 접근 통제 강화 필요 ※ 홈페이지 및 시스템 취약점 점검 등 해킹사고 예방을 위한 안전조치 강화 |
❍ 개인정보 업무담당자, 정보주체 등을 대상으로 개인정보 보호 교육 실시
- 개인정보 담당자(연1회 이상 교육 필수), 취급자는 기본적인 개인정보보호 교육 실시 후 업무 투입(법 제28조)
※ 교육부 정보보호교육센터(https://sec.keris.or.kr) 등의 개설 교육과정 활용
- 원격수업을 실시하는 경우 학생, 교사 등을 대상으로 개인정보의 유출 예방 및 정보주체의 권리 보호를 위한 사전 유의사항 안내
※ 원격수업 중 불법적인 녹음, 녹화 등으로 인한 교육활동 침해 예방(교원지위법 제15조)
❍ 기관별 개인정보 관련 변경사항 발생 시 개인정보파일 (변경)등록, 개인정보 처리방침 및 내부관리계획 현행화 등 추진
❍ 1명 이상의 개인정보 유출 시 상급기관 경유하여 교육부 개인정보보호 포털(https://privacy.moe.go.kr)에 보고하고 신속한 조치*
* 교육부 개인정보 유출사고 대응 매뉴얼, 개인정보보호 업무사례집 참조
※ 1천명 이상의 유출 시, 교육부와 개인정보보호위원회에 신고
참고사항
❍ 개인정보보호 교육 일정, 업무 관련 자료*는 교육부 개인정보보호 포털(https://privacy.moe.go.kr) 참고 (※ 별도 로그인 없이 사용 가능)
* 자료실> 참고자료에 개인정보 보호법령·고시 및 지침 해설서, 업무 사례집, 매뉴얼, 각급학교 수집업무 길잡이(표준개인정보파일목록 포함) 등 탑재
❍ ‘개인정보 보호법‘ 등 관계법령 및 행정규칙은 국가법령정보센터(law.go.kr)에서 확인 가능
개인정보 안전성 확보조치(법제29조) 체크리스트
개인정보처리시스템 자율 점검
업무용PC, 모바일 기기 등에 대한 관리 점검
개인정보보호 홍보용 포스터
'ESG 사업 점검 자료 > 개인정보 및 저작권 보호 관련' 카테고리의 다른 글
| [2023 챗GPT] 챗GPT 활용방법 및 개인정보 주의사항 안내 (0) | 2023.05.26 |
|---|---|
| [개인정보보호 수준진단 점검표 Hwp] 영상정보처리기기 개인영상정보 관리대장 서식 (표준 개인정보 보호지침) (0) | 2023.04.13 |
| [정보 보안 관련]사이버보안 정책 일부 변경 시행 통보(영상정보처리기기(CCTV))」영상정보처리기기 보안정책(정보보안 지침 제89조) (0) | 2023.04.13 |
| [정보 보안 관련]중국 해킹 조직(샤오치잉) 보안관리 요령 및 보안 대책 (0) | 2023.04.12 |
| [개인정보보호] 개인정보보호를 위한 윤리선언문 (0) | 2023.03.15 |