> 개인정보처리방침

개인정보처리방침

신일중학교 개인정보보호 내부관리계획

·개 정 이 력

순번

·개정일

주요내용

1

2017. 3. 2. 제정

? 개인정보처리방침 및 관리 계획

2

2018. 3. 2. 개정

? 내부관리계획 이행 실태 점검 추가

? 관리용 단말기의 안전조치 추가

? 개인정보처리방침의 기재사항 3개 항목 추가

? 행정안전부 신고 대상 개인정보 유출건수 개정

3

2019. 3. 4. 개정

? 접속기록의 보관 및 점검 추가

? 개인정보보호 교육 추가

? 수탁사 관리·감독 추가

? 용어 정리 및 설명 추가

I. 총칙

1. 목적

? 개인정보보호 내부관리계획(이하 내부관리계획이라 한다)은 개인정보

보호법 제29(안전조치의무) 내부관리계획의 수립 및 시행 의무에 따라

제정된 것으로 개인정보를 처리함에 있어서 개인정보의 분실, 도난, 유출,

위조, 변조 또는 훼손 되지 아니하도록 함을 목적으로 한다.

2. 적용범위

? 내부관리계획은 정보통신망을 통하여 수집, 이용, 제공 또는 관리되는 개인정보뿐만 아니라 서면 등 정보통신망 이외의 수단을 통해서 수집, 이용, 제공 또는 관리되는 개인정보 및 개인영상정보기기(CCTV)에 대해서도 적용되며, 이러한 개인정보를 취급하는 내부 교직원(임시직, 계약직 등 포함) 및 외부위탁업체 직원에 대해 적용된다.

3. 내부관리계획의 수립·시행

? 개인정보 보호 책임자는 개인정보보호를 위한 전반적인 사항을 포함하여 내부관리계획을 수립한다.

? 개인정보 보호 담당자는 개인정보 보호 관련 법령의 제?개정 사항 등을 반영하기 위하여 매년 내부관리계획의 타당성과 개정 필요성을 검토하여, 개정할 필요가 있다고 판단되는 경우 개정안을 작성하여 개인정보 보호 책임자의 승인을 받아 공표한다.

? 개인정보 처리자는 내부 관리계획에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야한다.

? 개인정보 보호책임자는 연1회 이상으로 내부 관리계획의 이행 실태를 점검·관리 하여야 한다.(붙임5)

II. 개인정보 보호책임자 등의 역할 및 책임

구분

지정

역할

개인정보 보호책임자

학교장

1. 개인정보 보호 계획의 수립 및 시행

2. 개인정보 보호 관련 내부 지침 제·개정

3. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

4. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

5. 개인정보의 기술적?관리적 보호조치 기준 이행 총괄

6. 개인정보 보호 교육 계획의 수립 및 시행

7. 개인정보파일의 보호 및 관리·감독

8. 기관 개인정보 처리방침의 수립·변경 및 시행

9. 개인정보보호 분야별책임자 지휘·감독

10. 기타 정보주체의 개인정보보호에 필요한 사항

개인정보 보호분야별 책임자

각 부서의 장

1. 개인정보 취급자 지정·관리·감독·교육

2. 개인정보파일 지정·관리·보호·파기

3. 개인정보 처리와 관련된 요구 처리 및 피해 구제

4. 개인정보의 기술적?관리적 보호조치 기준 이행

5. 개인정보 관련 개선 권고에 따른 조치사항 이행 등

개인정보

보호담당자

학교장이 지정하는 자

개인정보 보호 업무에 대한 실무를 총괄

개인정보 취급자

개인정보업무처리 담당자

(교직원, 파견근로자, 시간제 근로자 등)

1. 개인정보보호 활동 참여

2. 내부관리계획의 준수 및 이행

3. 개인정보의 기술적?관리적 보호조치 기준 이행

4. 업무상 알게 된 개인정보의 남용 및 제3자 제공 금지

5. 기타 정보주체의 개인정보보호를 위해 필요한 사항의 이행

- 개인정보 보호의 날(사이버보안진단의 날)

PC지키미실행 및 보완조치

- 개인정보 암호화처리 점검

III. 개인정보의 처리

1. 개인정보의 목적 외 이용 및 제3자 제공의 절차

절 차

주 요 내 용

1. 법적근거 검토

- 목적 외 이용·3자 제공 가능한 법적근거 검토

(개인정보 보호법 제18조제2)

?

2. 동의절차 이행

- 법적 근거가 없는 경우에는 정보주체로부터 별도의 동의 필요

수집목적, 수집항목, 보유 및 이용기간, 거부할 수 있는 권리 안내

및 거부 시 불이익 내용 명시

?

3. 대장 기록·관리

- 개인정보의 목적 외 이용 및 제3자 제공대장(붙임1)을 기록·관리

?

4. 제공 사실 공고

(관보 또는

인터넷 홈페이지)

- 대 상 : 개인정보 보호법 제18조제22~6,8,9

- 일 정 : 30일 이내 공고 시작하여 10일 이상 공고

- 항 목(4) : 이용한 날짜, 법적 근거, 목적, 개인정보의 항목

공고 예외 : 개인정보 보호법 제18조제2항제1,7

(정보주체로부터 별도 동의 받았거나 수사 목적의 경우)

?

5. 보호조치 요구

(3자 제공시)

- 제공 받는 자에게 문서로 요청

(이용목적, 이용방법, 이용기간, 이용형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 조치를 마련 )

?

6. 조치결과 확인

(3자 제공시)

- 안전성 확보조치 요청을 받은 자는 그에 따른 조치를 취한 후, 그 결과를 개인정보를 제공한 개인정보처리자에게 문서로 알림

2. 개인정보의 파기 절차

개인정보 취급자

개인정보 보호 책임자

개인정보파일 파기요청서 제출

(붙임2)

?

파기 검토

?

개인정보파일 파기

?

승인

?

개인정보파일 삭제 요청

(intra.privacy.go.kr)

?

- 파기결과 확인 후 개인정보파일 파기 관리대장 작성 (붙임3)

- 공개된 개인정보파일 등록 삭제

IV. 개인정보파일 관리

1. 개인정보파일 등록

? 개인정보보호종합지원시스템에 개인정보 파일 및 담당자 등록 관리한다.

- 개인정보보호종합지원시스템 : https://intra.privacy.go.kr

- 개인정보파일 등록 관리 : 개인정보파일 표준목록(붙임4)을 기준으로 함

- 개인정보보호책임자(학교장), 개인정보보호총괄관리자, 개인정보취급자 등록

V. 개인정보보호의 기술적·관리적·물리적 안전조치

1. 개인정보처리방침의 수립 및 공개

? 홈페이지에 지속적으로 공개

- 개인정보의 처리 목적

- 처리하는 개인정보의 항목

- 개인정보의 처리 및 보유기간

- 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

- 개인정보의 파기에 관한 사항

- 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

- 개인정보의 안전성 확보 조치에 관한 사항

- 정보주체와 법정대리인의 권리·의무 및 그 행사방법에 관한 사항

- 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을

처리하는 부서의 명칭과 전화번호 등 연락처

- 개인정보의 열람청구를 접수·처리하는 부서

- 정보주체의 권익침해에 대한 구제방법

- 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치·운영

및 그 거부에 관한 사항(해당되는 경우에만 정한다)

- 개인정보 처리방침의 변경에 관한 사항

? 개인정보처리방침은 변경이 있는 경우에는 이를 즉시 반영하여 공개한다.

2. 개인정보 보호의 날 운영

? 일정 : 매월 세번째 수요일 (사이버 보안 진단의 날)

? 내용

- 개인정보 실태 점검표에 의한 자체 점검

- 고유식별정보가 포함된 개인정보 파일 암호화조치 점검

- PC지킴이 시행

- 홈페이지를 통한 개인정보 노출 여부 점검

3. 접근권한 관리에 관한 사항

? 개인정보 처리 업무(개인정보처리시스템 포함)에 대한 접근 권한을 필요한

최소한의 범위로 차등 부여한다.

개인정보 처리 업무

(개인정보처리시템)

부여 권한

대상자

나이스

업무분장에 의함

업무분장에 의함

에듀파인

업무분장에 의함

업무분장에 의함

업무관리

학교장 권한

학교장

기관시스템운영자 권한

업무관리시스템 담당자

처리과 문서담당자 권한

기관 문서담당자

기타 권한

업무분장에 의함

홈페이지

관리자 권한

업무분장에 의함

게시판 관리자 권한

업무분장에 의함

도서관리 시스템

업무분장에 의함(사서교사)

업무분장에 의함(사서교사)

? 권한부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간

보관한다.

개인정보 처리 업무

(개인정보처리시스템)

접근권한 관리 현황

비고

나이스

시스템관리권한관리사용자권한관리권한보유이력대장

에듀파인

시스템공통조직및권한관리화면접근권한관리권한보유대장

업무관리

시스템관리권한그룹관리

조직별사용자그룹

홈페이지

-시스템에 저장되지 않을 경우 대장으로 관리

(붙임7)

도서관리시스템

-시스템에 저장될 경우 메뉴 위치 기재

-시스템에 저장되지 않을 경우 대장으로 관리

? 비밀번호는서울특별시교육청 정보보안 기본지침 제31(비밀번호 관리)”

작성규칙을 준수한다.

비밀번호 관리 규칙 : 영문자, 숫자, 특수문자 모두 혼합하여 9자 이상

4. 접근통제에 관한 사항

? 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기에서 P2P, 공유설정은

기본적으로 사용하지 않는다.

? 인터넷 홈페이지를 통한 개인정보가 유출되지 않도록 웹 취약점에 대한

조치를 한다.

5. 개인정보의 암호화에 관한 사항

? 암호화 저장 대상 : 고유 식별정보, 비밀번호, 바이오정보

? 업무용 컴퓨터(PC)에서 암호화 방안

- 서울시교육청이 제공하는 상용 암호화 소프트웨어를 사용하여 암호화한 후

저장하여야 한다.

? 암호화에 대한 관리

- 개인정보 보호책임자는 매월 실태 및 현황을 조사

- 개인정보 취급자의 교육 등 실시

6. 접속기록의 보관 및 점검 /* 2019. 개정 (추가)

? 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상

보관하여야 한다.

? 개인정보취급자의 접속기록이 위?변조 및 도난, 분실되지 않도록 해당 접속

기록을 안전하게 보관하여야 한다.

7. 악성프로그램 등 방지에 관한 사항

? 악성프로그램 등을 통해 개인정보가 분실·도난·누출·변조 또는 훼손되지

아니하도록 백신프로그램 등의 보안 프로그램을 설치·운영한다.

? 보안프로그램은 자동 업데이트 기능을 사용하거나, 1회 이상 업데이트를

실시하여 최신의 상태로 유지한다.

8. 관리용 단말기의 안전조치

? 개인정보 처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여

관리용 단말기에 대해 다음의 안전조치를 하여야 한다.

- 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못

하도록 조치

- 본래 목적 외로 사용되지 않도록 조치

- 악성프로그램 감염 방지 등을 위한 보안조치 적용

관리용 단말기 : 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 시스템에

직접 접속하는 단말기(PC )

9. 물리적 접근제한

? 개인정보가 포함된 서류, 보조저장매체 등은 잠금장치가 있는 안전한 장소에

보관한다.

? 관리대장 작성

- 대상 : 개인정보를 보관하고 있는 별도의 보호시설에 출입하거나, 개인

정보를 열람하는 경우

- 내용 : 출입자에 대한 출입사실 및 열람 내용

10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항

? 개인정보 처리과정 전반에 걸쳐 개인정보를 안전하게 관리하고 보호하기

위하여 개인정보 보호조직을 구성하고 운영한다.

개인정보 보호책임자

(학교장)

지원

개인정보 보호담당

(교육연구부 정보팀)

분야별책임자

(각 부서의 장)

개인정보 취급자

VI. 개인정보보호 교육

1. 개인정보보호 교육 계획 수립·시행

? 개인정보 보호책임자는 개인정보 보호에 대한 인식을 제고시키고자 다음의

내용을 포함한 개인정보 보호 교육을 시행한다.

- 교육목적

- 교육일정 및 방법

- 대상자별 교육내용

대 상 자

내 용

일 정

비 고

개인정보 보호책임자

개인정보보호법

학기중 1

개인정보 취급자

개인정보보호법

학기중 1

수탁기관()

개인정보보호법

학기중 1

수련활동

? 개인정보 보호 책임자는 개인정보 보호 교육 실시한 결과 또는 이를 입증할 수

있는 관련 자료 등을 기록·보관 한다. /* 2019. 개정(추가)

VII. 수탁사 관리, 감독

1. 개인정보 처리 업무의 위탁현황

? 개인정보처리자는 개인정보 처리 업무의 위탁현황을 조사하여 관리한다.

수탁업무

수탁(예정)기간

담당부서

비고

수련활동

2019.06.03.~06

자유학기부

보험가입

2. 수탁사 관리·감독

? 개인정보 처리업무를 위탁하는 경우,“표준 개인정보처리 위탁 계약서

내용이 포함된 문서에 의한다.

? 수탁자가 개인정보를 안전하게 처리할 수 있도록 수탁자를 교육하는 등

관리·감독을 하여야 한다.

? 개인정보 보호 책임자는 수탁자를 교육하고 감독한 결과 또는 이를 입증할 수

있는 관련 자료 등을 기록·보관 한다. /* 2019. 개정(추가)

VIII. 개인정보보호 교육

1. 개인정보 유출 유형

? 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나

도난당한 경우

? 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이

없는 자가 접근한 경우

? 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는

종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우

? 기타 권한이 없는 자에게 개인정보가 전달된 경우

2. 개인정보 유출 시 대응방안

? 유출 확산 방지 긴급조치

- 접속 경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등

? 정보주체에게 유출 사실 통지(5일 이내)

- 대상 : 정보주체 (14세 미만 아동의 경우에는 법정대리인)

- 통지항목 : 유출된 개인정보의 항목

유출된 시점과 그 경위

정보주체가 피해를 최소화할 수 있는 방안

개인정보처리자의 대응조치 및 피해 구제절차

피해 발생 시 신고 등을 접수할 수 있는 담당부서 및 연락처

- 통지방법 : 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 등

? 유출 신고

- 1건 이라도 개인정보 유출시 반드시 신고 /*2019. 추가(개정)

- 신고기관 : 서울특별시교육청

(, 1천명 이상 유출 시에는 서울특별시교육청 및 행정안전부)

- 신고방법 : 개인정보유출신고서(붙임6)로 신고기관에 공문으로 제출