Ⅰ. 목적

21세기 정보 사회를 맞이하여 개인정보 수집․활용과 유통의 급증으로 각종 컴퓨터범죄와 프라이버시 침해 등 부작용 발생이 우려되고, 개인의 안전을 위협하고 있다. 이에 학교의 개인정보 보호업무 추진을 위해 필요한 사항을 규정함으로써 개인정보 보호업무의 적법성․절차적 정당성을 확보하고 개개인의 권익보호 및 공공업무의 적정한 수행을 도모 하는데 목적이 있음.

Ⅱ. 추진 배경 및 필요성

1. 개인정보 수집 및 활용 증대

가. 정보기술의 발달, 행정서비스의 전자화, 복지행정 강화 등에 따라 수집․이용되는 개인정보 확대

2. 개인정보 오․남용의 위험성

가. 정보화의 진전에 따라 국민생활의 질적 향상이 이루어진 반면, 개인정보의 수집․활용과 유통의 급증으로 각종 컴퓨터 범죄와 프라이버시 침해 등 부작용 수반

나. 개인정보를 이용한 범죄 등으로 개인의 안전을 위협

다. 개인정보를 이용한 분류․선발 등으로 교육․고용․주택․신용 등 삶의 기회로부터 개인 배제 현상 초래

3. 개인정보의 범위 확대

가. 지식정보사회의 발달과 더불어 전자우편주소, 신용카드 비밀번호, 로그파일, 쿠키정보, GPS위치정보, DNA정보 등 새로운 개인정보 등장

4. 관계법령 및 지침

가. 개인정보보호법(2011. 09. 31. 시행)

나. 교육부 개인정보 보호지침(제 35조)

다. 충청북도교육청 개인정보 보호지침(과학직업교육과-1806호, 2015. 2. 10.)

Ⅲ. 세부추진 계획

1. 개인정보 관리 체계

가. 개인정보 보호책임자 지정

나. 관리 체계

다. 역할별 주요임무

2. 개인정보의 안전성 확보 조치

가. 개인정보처리시스템의 접근 권한 관리

1) 접근권한은 업무 수행에 필요한 최소범위로 담당자별 차등 부여

2) 개인정보취급자 변경 시에는 지체없이 접근권한 변경 또는 말소

3) 시스템 사용자 계정은 타인과 공유 금지

4) 시스템 접속 비밀번호 생성/변경 시에는 안전한 비밀번호 적용

나. 개인정보처리시스템의 접근 통제

1) 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한

2) 개인정보처리시스템에 대한 접속 권한을 IP주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응

3) 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망이나 전용선을 이용하여 접속

4) 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기에서 P2P, 공유설정 사용 금지

5) 개인정보처리자가 업무용 모바일 기기를 사용할 경우 분실・도난 등으로 개인정보가 유출되지 않도록 비밀번호 설정

다. PC 보안 강화 및 개인정보 암호화

1) 악성프로그램 감염방지를 위한 백신, 패치관리 소프트웨어 설치·운영

① 최신 중요 보안 패치 적용

- 바탕화면 내컴퓨터 →속성 →자동업데이트 →자동(권장) 체크 →확인

② 백신 V3(안철수 바이러스) 설치

- 구입한 백신 S/W를 컴퓨터에 설치.

- 교육청 파일주소 : 패치관리 210.106.100.92 , 백신관리 210.106.100.93

2) PC 비밀번호 생성/변경 시에는 안전한 비밀번호 적용

① 알파벳, 숫자, 특수문자 혼합하여 9자리 이상 설정, 분기 1회 이상 변경

② 일련의 숫자, 개인 신상과 관련된 전화번호, 차량번호 등 타인의 추측으로 알아낼 수 있는 비밀번호 사용은 금지

3) 부팅암호 설정 방법(<주의> 기종에 따라서 약간의 차이가 있을 수 있음)

① 삼성 컴퓨터 : 부팅시 F2 → 보안 → 관리자비밀번호 설정 → 변경된 내용을 저장하고 종료 → 환경설정의 변경사항을 저장하고 지금 종료하겠습니까? → Y

② 엘지 컴퓨터 : 부팅시 Del → Security → Set Supervisor Password → 새로운 비번 입력 →Exist → Exist Saving Change

4) 윈도우 로그인 패스워드 설정

① 사용자 계정 만들기

- 시작 →설정 →제어판 →사용자계정 →새 계정 만들기 →새 이름입력 → 다음 →계정 만들기

② 암호 만들기

- 시작 →설정 →제어판 →사용자 계정 →생성된 계정 클릭 →암호 만들기[내 암호 변경] →암호 입력(9자리 이상) →암호 만들기

③ 암호 변경

- 시작 →설정 →제어판 →사용자 계정 →생성된 계정 클릭 →암호 만들기[내 암호 변경] →현재 암호 입력 →새 암호 입력 →확인을 위한 새 암호 입력 →암호 변경

5) 화면 보호기 비밀번호 설정

① 바탕화면에서 오른쪽 마우스버튼 →속성 →화면 보호기 →“다시 시작할 때 암호로 보호” 체크 →확인

② 화면 보호시간(대기시간)은 10분 이내로 하시기 바람.

6) 매월 ‘사이버보안진단의 날’에 PC 보안 진단 및 PC 내 개인정보 보유 여부 전수 검사

7) 개인정보가 포함된 파일은 개인정보보호프로그램(Privacy-i)를 활용하여 암호화하여 저장하고, 개인 간 전송 시에도 암호화(또는 암호설정) 처리

8) 고유 식별 정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나, 보조 저장 매체 등을 통하여 전달할 경우 대상정보 암호화(일방향 암호화)

9) 전자문서시스템 ID 및 비밀번호 관리

① 변경 시기 : 분기 1회 이상 변경 사용 권장

② 변경 방법 : 전자문서시스템 접속 →환경설정 →암호설정 →로그인 암호변경 체크 →암호 입력 →저장

10) 중요 문서 보호

① 공문서 작성 시 보안을 요하는 문서는 반드시 보안결재로 작성

- 보안결재 : 결재선만 열람 가능(다른 직원 열람 불가)

- 제한종료일 : 보안결재 유지 기간 설정

- 영구 : 보안유지 기간을 영구로 설정

- 보안등급 : 설정 등급 자 이상만 열람 가능

② 보안문서나 개인정보가 포함된 문서는 반드시 비공개 문서(6항)로 발송하여 정보공개가 되지 않도록 주의

※ 공공기관의 정보공개에 관한 법률 제9조제1항의 비공개대상정보 세부기준

③ 중요 정보를 다루는 문서와 보안을 유지하는 문서 파일에는 반드시 암호를 걸어 관리하고, 특히 인사, 근평, 시험 문제, 성적, 및 학생 신상 관련 파일들은 반드시 암호를 걸어 정보가 유출되지 않도록 하여야 합니다.

- 한글 2010 : 한글 실행 → 파일 → 문서암호 입력 → 설정

- 엑셀 2007 : 엑셀 실행 → 도구 → 옵션 → 보안 → 열기 암호나 쓰기 암호 상자에 암호 입력 → 저장

11) 업무포탈정보시스템 인증서 보안

① 인터넷상의 인감증명서에 해당하므로 비밀번호 유출 및 분실에 주의

② 타인의 컴퓨터에 인증서 설치는 절대 금지

③ 인증서 삭제 방법

: C:\Program Files\NPKI\NCASign\USER\ 본인이름 폴더 삭제

라. 접속기록의 보관 및 점검

1) 개인정보처리시스템에 접속한 기록을 6개월 이상 보관 및 관리

2) 개인정보의 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검

3) 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관

4) 나이스・에듀파인 등 일괄 관리하는 시스템은 충청북도교육정보원에서 접속기록을 보관 및 점검(별도의 시스템을 운영하는 기관에서는 자체 보관 및 점검)

마. 물리적 보호조치

1) 개인정보를 대량으로 보관하고 있는 전산실, 자료보관실 등은 비인가자의 접근으로 개인정보가 절도, 파괴되지 않도록 출입통제 수행

2) 개인정보 포함 서류, 휴대용저장매체 등은 잠금장치가 있는 안전한 장소에 보관

3) 업무용으로 등록된 휴대용저장매체 반·출입 통제 절차 적용

바. 개인정보의 파기

1) 개인정보의 보유기간 경과, 처리목적 달성 시에는 보호책임자 승인을 득한 후 즉시 파기

2) 파기 결과는‘개인정보파일 파기 관리대장’에 기록 관리하고, 개인정보 처리방침과 개인정보보호종합지원시스템(intra.privacy.go.kr) 내역 정비

3) 인터넷 익스플로러 쿠키 삭제 및 파일 삭제

① 쿠키 및 파일삭제, 목록지우기 방법

- 인터넷 익스플로러 실행 →도구 →인터넷옵션 →쿠키삭제, 파일삭제, 설정에서 페이지를 열 때 마다에 체크 →목록지우기 →확인

② 자동 완성 기능 해제

- 인터넷 익스플로러 실행 →도구 →인터넷옵션 →내용 탭 →자동완성 →체크안함 →폼지우기, 암호지우기 →확인

사. PC 인수·인계시 조치 사항

1) 인계

① 업무자료 관리 철저

- 업무변경 또는 조직 이동 시 이전 업무 자료 무단 복사⋅이동 금지

※ 특히 생활기록부, 건강기록부 등 학생의 민감 개인정보를 포함한 파일 관리 철저

- 인계 대상 업무 자료는 하나의 폴더에 정리하여 후임자에게 인계

② 행정전자서명인증서(공인인증서) 관리 철저

- 인계대상 업무용 컴퓨터에서 본인의 인증서 삭제

※ 공인인증서(C:\GPKI) 및 개인용 금융인증서(C:\Program Files\NPKI)

③ 업무와 무관한 프로그램 삭제

- 기본 사무용 프로그램(워드, 오피스 등)외 개인의 편의에 따라 설치한 기타프로그램은 모두 삭제

2) 인수

① 업무자료 관리 철저

- 개인정보를 포함한 업무 자료 확인 및 암호 설정

② PC 보안관리

- 사용자 및 관리책임자 지정

- PC 비밀번호(부팅 암호, 원도우 사용자 암호) 변경 및 대장 정리

3. 개인정보 보호 교육 실시

※ 정보보안 및 개인정보 보호담당자는 연간 15시간 이상 정보보안 및 개인정보 보호 교육 이수

※ 개인정보 보호책임자(CPO)는 상급기관에서 실시하는 연수에 참석 이수

4. 개인정보 보호 관련 현황 정비 및 제도 이행

가. 개인정보파일 및 개인정보 처리방침 정비

1) 도교육청의 업무추진 계획에 따라 개인정보파일 일제정비 실시

2) 개인정보파일 일제정비 내용을 개인정보 처리방침에 반영

3) 개인정보 처리방침은 홈페이지에 식별이 용이하도록 표시하여 게재

나. 개인정보 수집·이용·제공에 관한 사항

1) 법률에 근거하지 않는 주민등록번호는 수집 금지

2) 주민등록번호를 제외한 개인정보는 정보주체로부터 사전에 동의를 받은 경우, 법률에서 허용한 경우 등에 한하여 수집·이용

3) 학생·학부모 개인정보 수집 시에는 교육목적에 해당되는 최소한 개인정보만 수집(가정양육상태, 주거현황, 학부모직업, 수입, 건강상태 등은 수집 제한)

4) 채용업무 처리 시 개인정보 과다 수집 주의

① 채용지원서 접수 시 지원자 확인ㆍ연락에 필요한 최소 정보만 수집

② 채용지원서 및 이력서 서식에 주민등록번호 기재 항목 삭제(생년월일로 대체)

③ 주민등록번호가 기재되는 증빙서류(자격, 학위, 경력 증명서 등)는 주민등록번호 뒷자리는 미포함 처리하여 발급받도록 안내

④ 주민등록번호는 채용 확정 시에 수집(임금대장 관리 등의 목적)

5) 개인정보의 목적 외 이용 및 제3자제공은 법 제18조제2항에 해당하는 경우를 제외하고는 제한함

① 개인정보를 수집 목적 외의 용도로 이용 제공하는 경우는 ‘개인정보 목적 외 이용 및 제3자 제공 대장’에 기록하여 관리

② 개인정보 제3자 제공 현황은 개인정보 처리방침에 포함하여 공개

다. 개인정보 처리 업무 위탁 시 규정 준수 (위탁 시에 한함)

1) 개인정보 처리 업무를 제3자에게 위탁 시 문서에 의해 위탁

2) 위탁 사실은 개인정보 처리 방침에 포함하여 홈페이지에 공개

① 공개내용: 위탁업무의 내용, 위탁기간, 수탁자 현황

3) 수탁자를 대상으로 1회 이상 개인정보 처리 현황 점검 및 안전성 관리·감독

5. 개인정보 유·노출 방지 및 유출 대응 절차 이행

가. 홈페이지 개인정보 노출 방지

1) 홈페이지 자료 게재 시 주민등록번호 등 고유식별정보 포함 여부 확인 후 게재

2) 각종 명단(채용 및 신입생 합격자, 기숙사 입소자, 반편성 자료 등) 홈페이지 공개 시 개인정보 노출에 주의하여 처리

① 수험번호 등 개인을 식별할 수 있는 최소 정보만 공개

② 전화번호 끝 4자리와 성명 일부 마스킹 처리 후 공개(1234, 홍*동)

③ 당사자 개별 통보(전화 또는 이메일)

④ 개인 식별이 우려되는 게시물은 게시기간 만료 후 삭제 조치

나. 개인정보 유출 시 대응

1) 개인정보 유출을 인지하거나 유출 발생이 의심되는 경우 개인정보취급자는 개인정보 보호담당자 및 개인정보 보호책임자에게 즉시 보고

2) 유출사고가 발생된 것으로 확인된 경우에는 긴급조치 실시

① 유출된 개인정보의 확산 및 추가유출 방지를 위한 접속경로 차단

② 유출된 정보의 삭제 및 외부 접근기록 등 증거 보존 조치, 취약점 보완 등

③ 5일 이내에 정부주체에게 아래 항목 통지

- 유출된 개인정보의 항목, 유출된 시점과 그 경위

- 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

- 대응조치 및 피해구제 절차

- 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

3) 유출 사고 피해 상황을 파악하고 증거 수집 대책 마련

4) 충청북도교육청 신고 창구(충청북도교육청 개인정보 보호담당자)로 신고 및 지도감독기관으로 개인정보 유출신고서 제출

5) 유출 사고 재발 방지 대책에 대한 이행 점검 실시

6. 영상정보처리기기 설치 및 관리

가. 영상정보처리기기 설치

1) 영상정보처리기기 설치 시에는 사전에 의견 수렴 실시 (지역주민, 학교운영위원회 의견수렴 등)

2) 설치한 장소마다 아래 사항이 기재된 안내판 설치

① 설치목적 및 장소, 촬영 범위 및 시간, 관리책임자의 성명(직책) 및 연락처, 영상정보처리기기 설치·운영을 위탁한 경우 위탁받는 자의 명칭 및 연락처

※ 건물 안에 여러 개의 영상정보처리기기를 설치하는 경우에는 출입구 등 잘 보이는 곳에 해당시설 또는 장소전체가 영상정보처리기기 설치지역임을 표시하는 안내판 설치 가능

나. 개인영상정보 처리 및 보호조치

1) 개인영상정보의 보유기간은 30일 이내로 설정

2) 개인영상정보를 수집 목적 이외로 이용, 제3자에게 제공, 파기, 정보주체의 영상정보 열람·제공 요청 시(법정서식에 의함)에는 ‘개인영상정보 관리대장’에 기록·관리

※ 파기시 다음사항을 기재

․ 파기하는 개인영상정보 파일의 명칭

․ 개인영상정보 파기일시(사전에 파기 시기 등을 정한 자동 삭제의 경우에는 파기 주기 및 자동 삭제 여부에 대한 확인 시기)

․ 개인영상정보 파기 담당자

3) 영상정보처리기기가 설치된 장소 및 영상정보가 실제로 열람/재생되는 장소는 출입제한구역으로 지정하고 접근권한이 부여된 자 외의 출입을 통제

4) 영상정보처리기기의 설치 목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 행위, 녹음기능 사용 금지

5) 영상정보처리기기 운영·관리 방침 마련하여 개인정보 처리방침에 포함 공개