제1장 총칙

제1조(목적)

개인정보보호 내부 관리계획은 「개인정보 보호법」(이하“법”이라 한다) 제29조(안전조치의무) 및 「개인정보 보호법 시행령」(이하“시행령”이라 한다) 제30조(개인정보의 안전성 확보 조치)의 내부 관리계획 수립 및 시행 의무에 따라 제정된 것으로 숭덕학교가 취급하는 개인정보를 체계적으로 관리하여, 개인정보처리자가 개인정보를 처리함에 있어 분실, 도난, 유출, 변조, 훼손, 오.남용 등이 되지 아니하도록 안전성을 확보하기 위한 최소한의 기술적·관리적·물리적 조치 계획을 수립하는 것을 목적으로 한다.

제2조(적용범위)

본 내부 관리계획은 정보통신망을 통하여 수집·이용·제공 또는 관리되는 개인정보 뿐만 아니라, 서면 등 정보통신망 이외의 수단을 통해서 수집·이용·제공 또는 관리되는 개인정보에 대해서도 적용되며, 이러한 개인정보를 취급하는 본교 내부 교직원 및 업무를 위탁받아 처리하는 외부업체 직원에 대해서도 적용한다.

제3조(용어 정의)

본 내부 관리계획에서 사용하는 용어의 정의는 다음 각 호와 같다.

1. “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.

2. “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.

3. “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.

4. “개인정보 보호책임자” 란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 법 제31조 및 시행령 제32조제2항에 해당하는 자를 말한다.

5. “개인정보 보호담당자”란 각급기관(학교)의 실질적인 개인정보 보호업무를 담당하는 자로 개인정보처리자가 지정한 자를 말한다.

6. “개인정보취급자”란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 교직원, 파견근로자, 시간제근로자 등을 말한다.

7. “개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 응용시스템을 말한다.

8. “비밀번호”란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을

가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보를 말한다.

9. “정보통신망”이란 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다.

10. “공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.

11. “모바일 기기”란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다.

12. “바이오정보”란 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.

13. “휴대용 저장매체”란 이동형 하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 용이하게 연결·분리할 수 있는 저장매체를 말한다.

14. “수탁자”란 개인정보 처리 업무를 위탁받아 처리하는 자를 말한다.

15. "접속기록"이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보(접속한 자의 PC, 모바일기기 등 단말기 정보 또는 서버의 IP주소 등), 수행업무(수집, 생성, 연계, 연동, 기록, 저장, 보유 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기 등) 등을 전자적으로 기록한 것을 말한다.

16. “관리용 단말기”란 개인정보처리시스템의 관리, 운영, 개발, 보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기(PC)를 말한다.

제2장 내부 관리계획의 수립 및 시행

제4조(내부 관리계획의 수립 및 승인)

① 개인정보 보호책임자는 개인정보 보호와 관련한 법령 및 규정 등을 준수할 수 있도록 내부 관리계획을 수립하여야 한다.

② 개인정보 보호책임자는 개인정보 보호담당자가 보고한 내부 관리계획의 타당성을 검토하여 내부 관리계획을 승인하여야 한다.

③ 개인정보 보호담당자는 개인정보 보호와 관련한 법령 및 규정의 제·개정 사항을 반영하기 위하여 내부 관리계획의 타당성과 개정 필요성을 검토하여야 하며, 개정할 필요가 있다고 판단될 경우 내부 관리계획의 개정안을 작성하여 개인정보 보호책임자에게 보고하여 승인을 받아야 한다.

④ 개인정보 보호담당자는 내부 관리계획의 이력을 관리하여야 한다.

⑤ 개인정보 보호법 제32조에 따라 등록·공개하는 개인정보파일의 처리목적 및 개인정보 수집항목은 다음과 같다.

⑥ 법령에 따른 개인정보 보유·이용기간 또는 정보주체로부터 개인정보를 수집 시에 동의 받은 개인정보 보유·이용기간 내에서 개인정보를 처리·보유하며 각각의 개인정보 처리 및 보유 기간은 다음과 같다.

제5조(내부 관리계획의 공표)

① 개인정보 보호책임자는 제4조에 따라 승인된 내부 관리계획을 모든 교직원 및 관련자에게 알림으로써 이를 준수하도록 하여야 한다.

② 내부 관리계획은 전 교직원 등이 언제든지 열람할 수 있는 방법으로 비치하거나 제공하여야 하며, 변경사항이 있는 경우에는 이를 공지하여야 한다.

제6조(내부 관리계획의 이행 실태 점검·관리)

① 개인정보 보호책임자는 개인정보 보호를 위한 내부 관리계획 및 관련 법령 등에서 정하는 개인정보 보호 규정을 성실히 이행하는지를 연1회 이상 점검·관리하여야 한다.

② 개인정보 보호책임자는 개인정보 보호를 위한 이행 실태 점검 결과 개인정보의 관리·운영상의 문제점 및 개인정보취급자의 위반사항에 대하여 시정·개선 등 필요한 조치를 취하여야 한다.

③ 내부 관리계획의 이행 실태 점검 시 [별지 제1호]의 점검표를 활용할 수 있다.

제7조(정보주체의 권리·의무 및 행사 방법)

① 정보주체는 숭덕학교에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있다.

1. 자신 및 14세 미만 아동의 개인정보의 조회, 수정 및 가입 해지의 요청

2. 개인정보의 오류에 대한 정정 및 삭제를 요청한 경우(정정 및 삭제를 완료할 때까지 당해 개인정보를 이용 또는 제공하지 않고, 잘못된 개인정보를 이용 또는 제공한 경우는 즉시 수정)

단, 「개인정보보호법」제35조 5항 및 제27조 2항에 의하여 열람 및 처리정리의 요구를 제한할 수 있다.

1. 법률에 따라 열람이 금지되거나 제한되는 경우

2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 있는 경우

3. 공공기관이 다음 각 목의 어느 하나에 해당하는 업무를 수행할 때 중대한 지장을 초래하는 경우

가. 조세의 부과·징수 또는 환급에 관한 업무

나. 「초·중등교육법」 및 「고등교육법」에 따른 각급 학교, 「평생교육법」에 따른 평생교육시설, 그 밖의 다른 법률에 따라 설치 된 고등교육 기관에서의 성적 평가 또는 입학자 선발에 관한 업부

다. 학력·기능 및 채용에 관한 시험, 자격 심사에 관한 업무

라. 보상금·급부금 산정 등에 대하여 진행 중인 평가 또는 판단에 관한 업무

마. 다른 법률에 따라 진행 중인 감사 및 조사에 관한 업무

제8조(개인정보 열람청구)

① 정보주체는 개인정보 보호법 제35조에 따라 개인정보의 열람 청구를 아래의 부서에 할 수 있다. 숭덕학교는 정보주체의 개인정보 열람청구가 신속하게 처리되도록 노력한다.

② 정보주체는 제1항의 열람청구 접수·처리 부서 이외에 행정안정부의 ‘개인정보보호 종합지원 포털’웹사이트(www.privacy.go.kr)를 통하여서도 개인정보 열람청구를 할 수 있다.

▶행정안전부 개인정보보호 종합지원 포털→개인정보 민원→개인정보 열람등 요구(공공아이핀을 통한 실명인증 필요)

제9조(권익침해 구제방법)

① 정보주체는 개인정보 침해로 인한 구제를 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁 해결이나 상담 등을 신청할 수 있다. 이 밖에 기타 개인정보 침해의 신고, 상담과 관련해서는 아래의 기관에 문의할 수 있다.

1. 개인정보분쟁조정위원회 : (국번없이)118(내선 2번)

2. 정보보호마크인증위원회 : 02-580-0533~4 (http://eprivacy.or.kr)

3. 대검찰청 첨단범죄수사과 : 02-3480-2000 (http://www.spo.go.kr/)

4. 경찰청 사이버테러대응센터 : 1566-0112 (http://www.netan.go.kr/)

제10조(개인정보 처리방침의 변경)

① 이 개인정보 처리방침은 2018.10.24.일부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 가능한 변경 사항의 시행 7일 전부터 공지사항을 통하여 고지한다.

이 전의 개인정보 처리방침은 아래에서 확인할 수 있다.

*개인정보 처리방침 수정 이력(예:도교육청)

제11조(개인정보 자동 수집 장치의 설치·운영 및 거부에 관한 사항)

① 우리 홈페이지는 이용자에게 서비스를 제공하기 위해 이용정보를 저장하고 수시로 불러오는 ‘쿠키(cookie)’를 사용한다. 쿠키는 웹사이트를 운영하는데 이용되는 서버(http)가 이용자의 컴퓨터 브라우저에게 보내는 소량의 정보이며 이용자들의 PC컴퓨터내의 하드디스크에 저장되기도 한다.

1. 쿠키의 사용 목적 : 자주 찾는 서비스를 설정할 수 있도록 하여 이용자에게 최적화된 정보 제공을 위해 사용된다.

2. 쿠키의 설치·운영 및 거부 : 웹브라우저 상단의 도구 〉 인터넷 옵션 〉 개인정보 메뉴의 옵션 설정을 통해 쿠키 저장을 거부할 수 있다. 쿠키 저장을 거부할 경우 일부 서비스 이용에 어려움이 발생할 수 있다.

제3장 개인정보 보호조직에 관한 구성 및 운영

제12조(개인정보 보호조직 구성)

① 개인정보처리자는 개인정보 보호를 위하여 조직을 구성 운영한다.

② 개인정보 보호조직 구성은 [별첨 1]과 같이 구성·운영 한다.

제13조(개인정보 보호책임자의 지정)

① 다음 각 호의 해당하는 지위에 있는 자를 개인정보 보호책임자로 임명한다.

1. 개인정보 보호책임자: 학교장

제14조(개인정보 보호책임자의 역할과 책임)

① 개인정보 보호책임자는 보유한 개인정보 보호를 위하여 다음 각 호의 임무 수행을 총괄한다.

1. 내부 관리계획 및 개인정보 처리방침 등 개인정보 보호 관련 지침 수립·승인·시행

2. 각종 개인정보 처리 실태 점검 및 개선 사항

3. 개인정보 처리와 관련한 불만 처리 및 침해대응, 피해 구제

4. 교직원 및 개인정보취급자 등에 대한 교육계획의 수립 및 시행

5. 개인정보파일의 보호 및 관리·감독

6. 개인정보 보호 관련 자료의 관리

7. 개인정보파일의 보유기간 산정

8. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

9. 개인정보 보호담당자 및 취급자의 의무와 책임의 규정 및 관리

10. 기타 개인정보보호에 필요한 사항

② 개인정보 보호책임자는 개인정보취급자를 최소한으로 제한하여 지정하고 수시로 관리.감독하여야 하며, 교직원에 대한 교육 및 보안서약 등을 통해 개인정보 침해사고를 사전에 예방하여야 한다.

③ 개인정보 보호책임자는 개인정보 관련 업무의 효율적 운영을 위하여 교직원 중 1인 이상을 개인정보 보호담당자로 임명한다.

제15조(개인정보 보호담당자 역할)

개인정보 보호담당자는 개인정보 보호책임자를 보좌하여 개인정보보호 업무에 대한 실무를 총괄하고 관리하며, 다음 각 호의 임무를 수행한다.

1. 관련 법령의 개정 사항 등을 검토·반영한 내부 관리계획의 개정 보고

2. 개인정보 처리방침의 개정 보고 및 공개

3. 개인정보 처리 실태의 정기적인 조사 및 개선

4. 개인정보 처리와 관련한 요구 처리 및 유출 통지, 피해 구제

5. 개인정보취급자 관리·감독과 교육 실시

6. 개인정보파일 등록.공개 및 관리

7. 개인정보보호 관련 자료 관리 및 제출 등

제16조(개인정보취급자의 범위 및 역할과 책임)

① 개인정보취급자의 범위는 개인정보처리자의 지휘·감독을 받아 개인정보 처리 업무를 수행하는 자를 말하며, 모든 교직원, 계약직, 파견근로자, 시간제근로자 및 계약에 의한 개인정보 처리 위탁 외부용역업체 직원 등을 포함한다.

② 개인정보취급자는 개인정보보호와 관련하여 다음과 같은 역할 및 책임을 이행한다.

1. 개인정보보호 활동 참여

2. 내부 관리계획 및 관련 법령, 규정의 준수 및 이행

3. 개인정보의 기술적·관리적·물리적 안전조치 기준 이행

4. 개인정보파일 관리

5. 정보주체의 민원 신청접수 및 처리(열람, 정정, 변경, 삭제)

6. 교직원 또는 제3자에 의한 위법·부당한 개인정보 침해행위에 대한 점검

7. 개인정보 관련 개선 권고 및 시정 조치사항 이행

8. 월1회 사이버보안진단의 날 PC 점검 및 고유식별정보 정비 및 암호화 관리

9. 기타 개인정보보호를 위해 필요한 사항의 이행

제4장 개인정보의 기술적·물리적 안전조치

제17조(접근권한의 관리)

① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.

② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.

③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록 관리하고, 그 기록을 최소 3년간 보관하여야 한다.

④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.

⑤ 개인정보처리자는 정당한 권한 보유자만 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 5회 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등의 기술적 조치를 취하여야 한다.

제18조(비밀번호 관리)

① 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.

② 비밀번호는 영문, 숫자, 특수문자를 3종류 이상 조합하여 최소 9자리 이상의 길이로 구성한다.

③ 비밀번호는 분기별 1회 이상 주기적으로 변경하여야 한다.

④ 비밀번호 부여는 추측하기 어려운 비밀번호로 생성·운영하여야 한다.

1. 사용자 계정, 개인 신상정보 및 부서명칭 등 추측하기 쉬운 비밀번호 사용 금지

2. 일련번호 또는 전화번호 등 쉬운 문자열 사용 금지

3. love, happy등 사전에 등록된 단어와 키보드 상 나란히 있는 문자열 포함 금지

4. 사용된 비밀번호 재사용 금지 및 동일한 비밀번호 공유 금지

5. 응용프로그램 등을 이용한 자동 비밀번호 입력기능 사용 금지

⑤ 동일한 비밀번호 사용 제한 및 개인정보가 포함된 문서 등에는 파일별 비밀번호를 부여하여야 한다.

제19조(접근통제)

① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음의 사항을 포함한 시스템을 설치·운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소로 제한하여 인가 받은 자만 접근할 수 있도록 제한

2. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지하고 대응

② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN: Virtual Private Network)이나 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여 접속할 수 있도록 하여야 한다.

③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 취하여야 한다.

④ 개인정보처리자는 고유식별정보를 처리할 경우 인터넷 홈페이지를 통하여 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 취약점 발견 시 보완 조치를 취하여야 한다.

⑤ 개인정보처리자는 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 기술적 조치를 취하여야 한다.

⑥ 개인정보처리자가 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터의 운영체제(OS: Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.

⑦ 개인정보처리자는 업무용 모바일 기기를 사용할 경우 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 취하여야 한다.

제20조(개인정보의 암호화)

① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 휴대용 저장매체(USB, CD) 등을 통하여 전달할 경우 암호화하여야 한다.

② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호는 복호화되지 않도록 일방향 암호화하여 저장하여야 한다.

③ 개인정보처리자는 고유식별정보를 저장할 경우 암호화 하여야 한다. 특히, 업무용 컴퓨터(PC)에 고유식별정보를 저장하여 관리하는 경우, PC개인정보관리시스템(Privacy-i) 또는 안전한 암호화알고리즘을 사용하여 암호화한다.

④ 개인정보를 암호화할 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.

제21조(접속기록 보관 및 점검)

① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관·관리하여야 한다.

② 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다.

- 비 인가된 개인정보 처리 및 대량의 개인정보 조회·정정·다운로드·삭제 등 비정상적 행위를 탐지하여 적절한 대응 조치 등

③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

④ 나이스·에듀파인 등 일괄 관리하는 시스템은 물적기반 관리 기관에서 접속기록을 보관 및 점검하는 내용으로 대체한다.

제22조(악성프로그램 등 방지)

개인정보취급자는 악성 프로그램으로부터 정보주체의 개인정보가 손상.유출이 되지 않도록 업무용 컴퓨터에 백신 소프트웨어 등의 보안 프로그램을 설치.운영하여야 하며, 다음 사항을 준수하여야 한다.

1. 자동 업데이트 기능을 사용하여 일 1회 이상 업데이트 실시로 최신의 상태 유지

2. 악성 프로그램 관련 경보 발령 시 또는 사용 중인 응용 프로그램이나 운영체제에 대한 보안 업데이트 공지 시 즉시 이에 따른 업데이트 실시

3. 악성프로그램 발견 시 즉시 삭제 등 대응 조치 실시

제23조(관리용 단말기의 안전조치)

개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대하여 다음 사항에 대한 안전조치를 취하여야 한다.

1. 비인가자의 관리용 단말기 접근 제한으로 임의 조작을 못하도록 조치

2. 목적 내에서만 사용될 수 있도록 접근제한 및 접근통제 조치

3. 관리용 단말기에 개인정보 저장금지 및 방치 금지

4. 백신프로그램 설치 및 주기적 업데이트로 악성프로그램 등 감염 방지 조치

제24조(물리적 안전조치)

① 개인정보처리자는 전산실, 평가실, 자료보관실 등 개인정보를 보관하는 장소를 별도로 두고 있는 경우에는 물리적 장소에 대한 출입통제 절차를 수립·운영 하여야 한다.

② 개인정보처리자는 개인정보가 포함된 서류, 휴대용 저장매체 등은 잠금장치가 있는 안전한 장소에 보관하여야 한다.

③ 개인정보처리자는 개인정보가 포함된 휴대용 저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다.

제5장 개인정보보호 교육

제25조(개인정보보호 교육계획의 수립)

① 개인정보 보호책임자는 다음 각 호의 사항을 포함하는 연간 개인정보보호 교육계획을 수립·운영하여야 한다.

1. 교육목적 및 대상

2. 교육내용

3. 교육 일정 및 방법

② 개인정보 보호책임자는 수립한 개인정보보호 교육계획을 실시한 이후에 교육의 성과와 개선 필요성을 검토하여 다음해 교육내용에 반영하여 수립한다.

③ 연간 개인정보보호 교육계획은 [별첨 2]와 같이하고, 개별 교육을 실시할 경우 별도의 세부교육계획을 수립하여 실시한다.

제26조(개인정보보호 교육의 실시)

① 개인정보 보호책임자는 개인정보 보호에 대한 직원들의 인식제고를 위해 노력해야 하며, 개인정보의 오.남용 또는 유출 등을 적극 예방하기 위해 교직원을 대상으로 매년 정기적으로 연1회 이상 개인정보보호 교육을 실시하여야 한다.

② 교육 방법은 집합 교육뿐만 아니라, 인터넷 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 외부 전문기관이나 전문 강사를 초빙하여 교육을 실시할 수 있다.

③ 개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 법 개정 등 변경된 사항이 있는 경우, 개인정보 보호책임자는 회의 등을 통해 수시 교육을 실시할 수 있다.

제6장 개인정보 처리의 위탁 및 수탁자 관리· 감독

제27조(개인정보 처리 위탁 및 공개)

① 개인정보처리자는 개인정보의 처리 업무를 위탁하는 경우에는 다음과 같이 문서화 하여야 한다.

- 법 제26조, 시행령 제28조의 필수 사항을 모두 포함한 계약서(표준 개인정보처리 위탁 계약서)·협약서·특약서 등을 작성

② 개인정보처리자는 위탁하는 업무의 내용과 수탁자의 정보, 수탁자의 관리 현황 점검 결과 등 위탁에 관한 사항을 정보주체가 언제든지 쉽게 확인할 수 있도록 홈페이지에 지속적으로 게재하여 공개하여야 한다.

제28조(수탁자 교육 및 관리·감독)

① 개인정보처리자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 않도록 [별첨 2]의 수탁자 교육계획에 따라 수탁자를 교육하고, 위탁계약서 내용 준수 및 안전성 확보 준수 여부, 개인정보 처리현황 점검 등 수탁자가 개인정보를 안전하게 처리하는지 연 1회 이상 관리·감독하여야 한다.

② 개인정보처리자는 수탁자를 교육하고 감독한 결과를 작성하여 보관하여야 한다.

제7장 개인정보의 목적 외 이용 및 제3자 제공

제29조(목적 외 이용 및 제3자 제공기준)

① 개인정보처리자는 개인정보를 목적 외의 용도로 제3자에게 제공할 경우 다음 각 호의 사항에 대하여 종합적으로 검토한 후 제공여부를 판단하여야 하며, 필요한 최소한의 범위 내에서 제공하여야 한다.

1. 자료제공 판단 기준

가. 목적의 정당성: 구체적으로 어떠한 목적을 위하여 당해 개인정보가 필요한지?

나. 수단의 적정성: 당해 개인정보를 제공함으로써 공익목적을 달성할 수 있는 것인지?

다. 피해의 최소성: 목적달성을 위하여 필요한 최소한의 정보는 어디까지인지?

라. 법익의 균형성: 제공에 따른 이익과 정보주체가 받을 수 있는 예상피해를 비교하여 전자가 우월하다고 할 수 있는지 여부 판단

2. 요청 기관의 적격 여부

가. 요청 기관의 개별법에 자료요청의 근거조항이 구체적으로 명시된 경우 제공 가능

나. 요청 기관의 개별법에 자료요청 근거법이 없는 경우, 정보주체의 별도 동의가 있었는지 여부 등 예외적 제공가능 사항에 해당되는지 확인한 후 제공 여부 결정

3. 제공항목 판단

가. 직접 수집한 정보 여부 확인: 직접 수집·생산한 정보가 아닌 경우 자료제공 불가

※단, 정보주체의 별도 동의가 있는 경우 제공 가능

나. 요청 목적에 부합하는 최소 항목만 제공(개인정보 최소 제공 원칙)

다. 주민등록번호 법령(법률, 시행령)에서 처리를 요구(허용)한 경우만 제공 가능

② 개인정보처리자는 개인정보를 수집 목적 외의 용도로 이용하거나 목적 외의 용도로 제3자에게 제공하고자 하는 경우, 법 제18조제2항의 각 호에 해당되는 경우에 한해 예외적으로 제공 할 수 있다. 다만, 정보주체 또는 제3자의 권익을 부당하게 침해할 우려가 있을 경우 제공이 불가능하다.

1. 정보주체로부터 별도의 동의를 받은 경우

2. 다른 법률에 특별한 규정이 있는 경우

3. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

4. 통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인정보를 제공하는 경우

5. 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 다른 법률에서 정하는 소관 업무를 수행할 수 없는 경우로서 보호위원회의 심의·의결을 거친 경우

6. 조약, 그 밖의 국제협정의 이행을 위하여 외국정부 또는 국제기구에 제공하기 위하여 필요한 경우

7. 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우

8. 법원의 재판업무 수행을 위하여 필요한 경우

9. 형(刑) 및 감호, 보호처분의 집행을 위하여 필요한 경우

제30조(목적 외 이용 및 제3자 제공방법 및 절차)

① 개인정보처리자는 제24조제2항 따라 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우, 개인정보를 제공받는 자에게 이용 목적, 이용 방법, 이용 기간, 이용 형태 등을 제한하거나, 개인정보의 안전성 확보를 위하여 필요한 구체적인 조치를 마련하도록 문서(전자문서 포함)로 요청하여 개인정보의 안전성 확보 조치에 관한 책임관계를 명확히 하여야 한다.

② 개인정보처리자는 제24조제2항 따라 개인정보를 목적 외의 용도로 이용하거나 목적 외의 용도로 제3자에게 제공하는 경우, [개인정보의 목적 외 이용 및 제3자 제공 대장(교육부 개인정보 보호지침 별지 제8호서식)]에 기록·관리하여야 한다.

③ 개인정보처리자는 제24조제2항 따라 개인정보를 목적 외의 용도로 이용하거나 목적 외의 용도로 제3자에게 제공하는 경우, 제공 한 날부터 30일 이내에 법적 근거, 목적, 개인정보의 항목, 이용·제공한 날짜 등 필요한 사항을 홈페이지에 10일 이상 계속 게재하여 공개하여야 한다. 다만, 제24제2항1호에 의한 정보주체의 별도 동의를 받은 경우, 제24조제2항7호 수사 목적인 경우는 제외한다.

④ 개인정보의 목적 외 이용 및 제3자 제공 세부적인 절차는 [별첨 3]에 따른다.

제8장 개인정보 파기계획 및 절차

제31조(파기기준 및 파기기한)

개인정보처리자는 개인정보의 보유기간이 경과된 경우, 개인정보의 처리 목적 달성, 해당 서비스의 폐지, 사업의 종료 등 그 개인정보가 불필요하게 되었을 때에는 지체없이(정당한 사유가 없는 한 그로부터 5일 이내) 그 개인정보를 파기하여야 한다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 관련법에 따라 처리하며 해당 개인정보 또는 개인정보파일은 다른 개인정보와 분리하여 저장·관리하여야 한다.

제32조(파기절차)

① 개인정보처리자는 개인정보의 파기에 관한 사항을 기록·관리하여야 하며, 개인정보의 파기 시행 및 확인은 개인정보 보호책임자의 책임하에 수행되어야 한다.

② 개인정보취급자는 보유기간 경과 및 처리목적을 달성한 개인정보파일을 선정하고, [개인정보파일 파기요청서(교육부 개인정보 보호지침 별지 제9호서식)]에 기재하여 개인정보 보호책임자의 승인을 받아 개인정보를 파기하여야 하며, 개인정보 보호책임자는 파기가 시행된 후 파기 결과를 확인하고 [개인정보파일 파기 관리대장(교육부 개인정보 보호지침 별지 제10호서식]에 기록 관리하여야 한다. 세부적인 파기 절차는 [별첨 4]에 의한다.

제33조(파기방법)

① 개인정보취급자는 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각을 통하여 파기하고, 전자적 파일 형태의 정보는 기록을 재생할 수 없는 기술적 방법을 사용하여 파기하여야 한다. 세부적인 파기 방법은 [별첨 5]에 따른다.

② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 취한다.

1. 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독

2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우: 해당 부분을 마스킹, 천공 등으로 삭제

제9장 개인정보 유출사고 대응 계획

제34조(개인정보 유출 등 신고체계)

① 개인정보취급자는 1명이라도 정보주체에 관한 개인정보가 유출된 경우에는 즉시 개인정보 보호책임자에게 보고하고, 개인정보 보호책임자는 유출내용 및 조치결과를 5일 이내에 충청북도교육청(초, 중, 소속기관은 교육지원청을 경유) 개인정보 보호책임자에 신고하여야 한다.

② 또한 유출되었음을 알게 된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다. 다만, 유출된 개인정보의 확산 및 추가 유출 방지를 위한 긴급한 조치(접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등) 필요 시 조치 후 5일 이내에 알릴 수 있다.

1. 유출된 개인정보의 항목

2. 유출된 시점과 그 경위

3. 유출로 인하여 발생할 수 있는 피해 최소화를 위해 정보주체가 할 수 있는 방법 등

4. 개인정보처리자의 대응조치 및 피해 구제절차

5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

③ 개인정보 보호책임자는 1천 명 이상의 개인정보가 유출된 경우에는 법 제34조(개인정보 유출 통지 등) 제3항에 따라 행정안전부장관 또는 시행령 제39조(개인정보 유출 신고의 범위 및 기관) 제2항에 따른 한국인터넷진흥원에 신고하고, 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 본 계획 제29조제2항의 사항을 7일 이상 게재 하여야 한다.

제10장 영상정보처리기기 설치 및 관리

제35조(영상정보처리기기 설치)

① 영상정보처리기기 설치 시에는 사전에 의견 수렴을 실시(지역 주민, 학교운영위원회 의견 수렴 등)한다.

② 설치한 장소마다 아래 사항이 기재된 안내판을 설치한다.

-설치목적 및 장소, 촬영 범위 및 시간, 관리책임자의 성명(직책) 및 연락처, 영상정보처리기기 설치·운영을 위탁한 경우 위탁받는 자의 명칭 및 연락처

*건물 안에 여러 개의 영상정보처리기기를 설치하는 경우에는 출입구 등 잘 보이는 곳에 해당시설 또는 장소 전체가 영상정보처리기기 설치 지역임을 표시하는 안내판 설치 가능

제36조(개인영상정보 처리 및 보호 조치)

① 개인영상정보의 보유 기간은 30일 이내로 설정한다.

② 개인영상정보를 수집 목적 이외로 이용, 제3자에게 제공, 파기, 정보주체의 영상정보 열람·제공 요청 시(법정서식에 의함)에는 ‘개인영상정보 관리대장’에 기록·관리한다.

③ 영상정보처리기기가 설치된 장소 및 영상정보가 실제로 열람·재생되는 장소는 출입제한구역으로 지정하고 접근권한이 부여된 자 외에 출입을 통제한다.

④ 영상정보처리기기의 설치 목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 행위와 녹음기능의 사용을 금지한다.

제37조(영상정보처리기기 설치 및 운영)

① 숭덕학교는 아래와 같이 영상정보처리기기를 설치·운영하고 있다.

-영상정보처리기기 설치 근거·목적 : 숭덕학교의 시설 안정·화재 예방

-관리책임자 및 접근권한자

-영상정보 촬영 시간, 보관 기간, 보관 장소, 처리 방법

-설치 대수, 설치 위치, 촬영 범위

-영상정보 확인 방법 및 장소 : 관리책임자에 요구

-정보주체의 영상정보 열람 등 요구에 대한 조치 : 개인영상정보 열람·존재 확인 청구서로 신청하여야 하며, 정보 주체 자신이 촬영된 경우 또는 명백히 정보주체의 생명·신체·재산 이익을 위해 필요한 경우에 한해 열람을 허용함.

-영상정보 보호를 위한 기술적·물리적 조치 : 접근 통제 및 접근권한 제한, 영상정보의 안정한 저장·전송 기술 적용, 처리 기록 보관 및 위·변조 방지 조치, 보관 시설 마련 및 잠금장치 설치 등

부칙

본 내부 관리계획은 2018.11.06. 부터 시행한다.

[별첨 1]

개인정보보호 조직 구성

[별첨 2]

연간 개인정보보호 교육계획

❍ 교육목적: 개인정보 보호 인식제고 및 침해사고 예방, 전문성 역량 강화

[별첨 3]

개인정보의 목적 외 이용 및 제3자 제공 처리절차

❍ 목적 외 이용 및 제3자 제공 처리절차

❍ 목적 외 이용·제3자 제공 시 주요내용 공개

[별첨 4]

개인정보파일 파기절차

[별첨 5]

정보시스템 저장매체 및 자료별 파기방법

㉮ 완전파괴(소각·파쇄·용해)

㉯ 전용 소자(소자)장비 이용 저장자료 삭제

㉰ 완전포맷 3회 수행

㉱ 완전포맷 1회 수행

[별지 제1호 서식]

※ 연 1회 이상 이행실태 점검 실시 후 개인정보 보호책임자(교장) 결재를 득하여 보관