행정안전부에서 학원을 대상으로 개인정보 보호조치 사항에 대해 운영현황을 점검하고 발표한 학원에 적용될 수 있는 개인정보 보호조치 사례 입니다.
I. 개인정보의 수집·이용·제공·폐기
가. 학원생 정보의 관리
○ 교습을 위해 필요한 최소한의 개인정보만을 동의 받아 수집하여야 함
- 주민등록번호는 원칙적으로 수집을 금지
- 필수정보와 선택정보를 구분하고 선택정보는 동의하지 않을 수 있다는 사실과
선택정보 미 입력시 불이익을 명시하여 동의를 받아야 함
※ 동의서식을 참고하여 동의를 받고 홈페이지 회원가입 시에도 적용
○ 교습을 위한 목적 외로 개인정보를 이용할 수 없음
- 제3자에게 개인정보를 제공하지 않도록 주의
※ 위반시 5년이하 징역 또는 5천만원 이하 벌금
- 법률의 근거 없이 제3자에게 제공하려면 제공목적, 제공받는자 등을 명시한 동의서를
작성하여 동의를 받아야 함
○ 학원생이 학원을 퇴원하거나 회원에서 탈퇴하면 개인정보를 즉시 삭제
- 학원비 거래기록은 관련 법률에 따라 5년간 보관할 수 있으나 다른 개인정보와 별도로
분리하여 보관하여야 함
※ 관련법률 : 전자상거래등에서의 소비자보호에 관한 법률 제6조, 동법 시행령 제6조,
개인정보보호법 제21조 3항
<개인정보 수집 관련 개선 사례>
○ (사례1) 홈페이지를 통해 필수정보, 선택정보, 고유식별정보 등에 대한 별도 구분없이
모든 개인정보에 대하여 포괄적인 동의만으로 수집하여 관리
○ (사례2) 고유식별정보, 민감정보, 선택정보를 구분하였으나 구체적인 수집항목이나 목적,
동의하지 않을 경우 불이익을 명시하지 않았고 한가지 항목이라도 동의하지 않을 경우
회원가입이 안됨
⇒ 불필요한 주민등록번호와 민감정보를 수집하지 않도록 개선
- 개인정보를 필수정보와 선택정보로 구분하고 선택정보는 수집에 동의하지 않아도
회원가입이 가능하도록 개선
나. 학부형 및 일반 홈페이지 회원정보의 관리
○ 서비스를 위해 필요한 최소한의 개인정보만을 동의 받아 수집하여야 함
- 주민등록번호는 원칙적으로 수집을 금지
- 필수정보(성명, ID, 비밀번호 등)와 선택정보를 구분하고 선택정보는
동의하지 않을 수 있다는 사실과 선택정보 미 입력시 불이익
(서비스 관련 안내 수신불가 등)을 명시하여 동의를 받아야 함
○ 홍보 및 마케팅 목적으로 개인정보를 이용할 경우에는 사용 목적을 별도로 명시하여
동의를 받아야 함
다. 학원강사 정보의 관리
○ 주민등록번호, 자격사항 등 중요 정보들은 내부 인사정보이므로 웹서버에 등록하여
관리하지 않고 내부 업무용 시스템 또는 서류로만 관리
- 온라인 교습을 위해 홈페이지 회원으로 가입하여야 할 경우 회원가입에 필요한 성명,
ID, 비밀번호, 담당과목 등 필수정보만 회원정보로 등록
- 인사·급여를 위한 강사정보, 교습을 위한 강사의 홈페이지 회원정보 등은 인사계약과
관련하여 필수적인 내용이므로 수집 시 별도 동의 불필요
○ 관할 교육청에 강사에 대한 주민등록번호 등 개인정보가 포함된 자격사항을 신고하는 것은
법률에 근거하고 있으므로 별도 제3자 제공 동의 불필요
○ 강사가 퇴사하였을 경우 홈페이지 등을 통하여 관리하는 회원정보는 즉시 삭제하고
계약관련 분쟁해결을 위해 보존하는 자료는 다른 개인정보와 별도로 분리하여
보관하여야 함
- 서비스 제공 계약 관련 사항이므로 5년간 보관할 수 있으며, 경력증명 등을 위해 추가로
보관할 필요가 있는 경우 근로계약체결시 보관기간을 추가로 명시하여 동의를 받아야 함
<주민등록번호를 필수정보로 수집할 때의 문제점>
○ 홈페이지 회원가입을 위해 주민등록번호를 입력받고 이를 입력하지 않으면 회원에
가입할 수 없는 필수정보로 관리하는 경우
⇒ 주민등록번호가 필수정보임을 학원에서 입증하지 못하면 과태료 부과
- 나이나 성별 등 학원생의 확인을 위하여 필요하다는 의견
⇒ 생년월일, 성별을 수집하거나 별도 등록번호 등으로 학원생 구분 가능
- 학원비의 결재, 수련회 등 행사시 단체보험 가입 등 용도로 필요하다는 의견
⇒ 결재, 보험가입 등이 필요한 시점에 해당 용도로만 사용하여야 하며 이를 위해 학원에서
주민등록번호를 상시 보관하는 것은 불필요
(주민등록번호를 회원정보로 저장하여 관리하지 않도록 유의하여야 함)
라. 개인정보처리방침의 수립 및 공개
○ 학원생에 대한 개인정보, 홈페이지 회원정보, 강사정보에 대한 개인정보처리방침을
수립하여 홈페이지 또는 학원내에 게시하여야 함
- 홈페이지를 운영하지 않는 학원이나 교습소는 붙임2 서식, 홈페이지를 운영하는 경우
서식을 참고하여 처리방침 수립
※ 동의서식을 통해 서면으로만 개인정보를 수집하는 경우에도 개인정보처리방침의 수립 및 공개가
반드시 필요함
<개인정보처리방침에 포함되는 내용>
1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유기간
3. 개인정보의 제공 및 공유(제3자 제공이 있는 경우)
4. 개인정보처리의 위탁(외부에 위탁하는 업무가 있는 경우)
5. 정보주체의 권리·의무 및 행사방법 6. 처리하는 개인정보 항목
7. 개인정보의 파기에 관한 사항 8. 개인정보보호책임자에 관한 사항
9. 개인정보 처리방침의 변경에 관한 사항 10. 안전성 확보에 필요한 사항
마. 영상정보처리기기의 설치 및 운영
○ 학원에서 공개된 장소에 영상정보처리기기를 설치하려면 범죄예방, 시설안전, 화재예방 등
개인정보보호법 제25조에 명시된 목적으로만 가능
○ 공개된 장소에 영상정보처리기기를 설치한 경우 붙임4의 서식을 참고하여 안내판을 설치
하여야 함
- 학원내에 다수의 영상정보처리기기를 설치한 경우 출입문 등 이용자가 확인할 수 있는
위치에 안내판을 부착하여 일괄적으로 안내할 수 있음
※ 안내판을 부착하지 않을 경우 1천만원 이하 과태료 부과
○ 개인정보처리방침에 영상정보처리기기 운영과 관련한 내용을 포함하여 공개
- 영상정보처리기기 운영·관리 방침을 별도로 정하여 공개하여야 하나 학원은 개인정보처리
방침을 반드시 수립하여야 하므로 처리방침에 포함
<영상정보처리기기 운영·관리 방침에 포함되는 내용>
1. 설치근거 및 목적 2. 설치대수, 설치위치 및 촬영범위
3. 관리책임자, 부서 및 운영자 4. 촬영시간, 보관기간, 보관장소, 처리방법
5. 운영자의 정보 확인 방법 및 장소 6. 정보주체의 열람 등 요구에 대한 조치
7. 영상정보 안전성확보에 필요한 조치 등
II. 개인정보의 안전성확보를 위한 조치사항
가. 내부관리계획의 수립
○ 내부관리계획은 안전성확보를 위해 내부적으로 작성하는 비공개 문서로 다음의 사항들을
포함하여 임의 서식으로 작성
- 개인정보보호책임자 지정
- 개인정보보호책임자와 개인정보취급자의 역할 및 책임
- 안전성 확보를 위한 조치사항(보안장비 설치, 암호화, 열람기록 보관 등)
- 개인정보취급자의 교육에 관한 사항
※ 상시 근무인원 5인 이하의 학원은 내부관리계획을 수립하지 않아도 됨
나. 개인정보의 기술적 조치사항
○ 인터넷에 연결된 경우 방화벽 등 보안장비 설치
- 홈페이지를 위한 서버를 직접 운영하는 경우 별도의 방화벽 설치
- 홈페이지를 정보서비스 업체에 위탁하여 운영하는 경우 방화벽 등 보안장비 운영여부를
점검하고 필요시 보안서비스 추가 위탁
※ 인터넷 회선 제공회사에서 추가로 제공하는 방화벽 등 보안서비스 이용도 가능
- 내부시스템이나 PC만을 이용하는 학원은 PC방화벽, 백신 등을 설치
○ 비밀번호, 주민등록번호 등 중요 정보에 대한 암호화 저장
- 주민등록번호를 사용할 경우 암호화하여 저장하여야 함
※ 주민등록번호는 수집하지 않는 것이 가장 바람직함
- 정보서비스 업체에 위탁하여 정보시스템을 관리하는 경우 주민등록번호 등에 대한 암호화
기능이 포함될 수 있도록 위탁계약 시 확인
○ 개인정보 취급자 지정, 열람제한 및 열람기록 저장
- 개인정보를 열람할 수 있는 담당자를 최소한으로 지정
- 열람기록 및 권한부여, 변경, 삭제 기록을 보관하고 관리감독을 철저히 하여 내부직원에
의한 개인정보 유출을 방지
다. 정보시스템 관리를 전문업체에 위탁할 때 고려사항
○ 위탁업체 선정시 검토할 사항
- 수탁자의 인력 및 물적 시설, 재정 부담능력, 기술 보유정도, 책임능력 등을 종합적으로
고려하여 수탁자를 선정해야 함(표준개인정보보호지침 제19조제1항)
- 보안시스템 설치현황(방화벽, 백신 등), 비밀번호와 주민등록번호에 대한 암호화(저장시,
심사평가원 전송시), 사용자 접근제어 등이 가능한지 사전에 확인
○ 위탁계약 체결 시 고려할 사항
- 개인정보 처리업무 위탁은 반드시 문서로 하여야 함(개인정보보호법 제26조제1항)
<위탁계약 문서에 포함되는 내용>
1. 위탁업무 수행목적 외 개인정보 처리 금지에 관한 사항
2. 개인정보의 기술적, 관리적 보호조치에 관한 사항(개인정보의 접근제한 등 안전성 확보에
필요한 조치사항 포함)
3. 위탁업무의 목적 및 범위 4. 재위탁 제한에 관한 사항
5. 개인정보 관리현황 점검 등 감독에 관한 사항
6. 수탁자가 의무를 위반한 경우 손해배상 등 책임에 관한 사항
- 서비스수준협약(SLA)을 통해 개인정보보호 안전성확보조치 고시에 포함된 접근권한관리,
비밀번호관리, 접근통제시스템, 암호화, 접속기록보관, 물리적 접근방지 등이 보장될 수
있도록 계약을 체결
○ 위탁계약 체결 후 운영시 조치할 사항
- 위탁하는 업무의 내용과 수탁자를 공개 (개인정보 처리방침에 포함)
- 개인정보가 분실, 도난, 유출, 변조, 훼손되지 않도록 수탁자 교육 및 관리감독
라. 회원정보를 수집하는 홈페이지 위탁 운영시 고려사항
○ 서비스에 대한 보안시스템 구축 여부 점검
- 방화벽, 백신 등 필수 보안시스템이 설치되었는지 점검
- 회원정보 수집시 전송구간에서 암호화가 적용되는지 확인
○ 서비스 위탁자의 관리적 보호조치 점검
- 개인정보 처리를 위한 담당자 지정 및 권한관리 현황 확인
- 개인정보에 대한 열람 및 백업 시 작업기록 보관 및 보호조치 점검
○ 위탁내용을 개인정보처리방침에 담아 운영하는 홈페이지에 게시
III. 개인정보 침해 발생시 조치사항
가. 개인정보 유출시 정보주체에게 유출사실 통지
○ 학원내에서 관리하는 개인정보가 유출된 것을 확인한 경우 5일 이내에 정보주체에게 통보
- 우편, 전화, 전자우편 등을 이용하여 통보
- 1만건 이상의 정보가 유출된 경우 유출사실을 홈페이지에 게시하고 행정안전부 또는
전문기관에 신고(www.privacy.go.kr 참조)
※ 유출확인 시점 : 운영중인 홈페이지나 업무용 PC가 해킹되어 개인정보가 유출된 것을 직접 확인한 시점,
또는 경찰이나 전문기관으로부터 통보받아 인지한 시점
나 개인정보 침해신고에 대한 대응
○ 개인정보침해신고센터(privacy.kisa.or.kr)로 침해신고가 접수될 경우 한국인터넷진흥원
에서 전화, 서면, 방문을 통해 조사를 실시
- 학원에 대한 신고가 있을 경우 침해사실 조사에 성실히 응해야 함
○ 침해신고자가 침해행위 중지, 손해배상 등을 원할 경우 개인정보분쟁조정위원회의
중재를 받을 수 있음
- 분쟁조정위원회의 중재안을 쌍방이 받아들일 경우 재판상 화해의 효과가 발생하므로
동일 사안으로 재판을 청구할 수 없음
○ 50인 이상의 개인정보 침해사고 발생시 집단분쟁조정을 통해 다수의 피해자에 대한
중재가 가능
- 집단분쟁조정이 받아들여지지 않으면 피해자 대표가 법원에 단체소송 제기 가능
개인정보보호 컨설팅 - 케이핌(www.kpim.co.kr)
'개인정보 보호방법 알아보기' 카테고리의 다른 글
| 위키백과에 나오는 개인정보 정의 (0) | 2012.06.20 |
|---|---|
| 민감정보의 종류 (1) | 2012.06.18 |
| 웹사이트 개발/운영자를 위한 개인정보보호 가이드18_개인정보 파기(회원탈퇴) (0) | 2012.03.29 |
| 웹사이트 개발/운영자를 위한 개인정보보호 가이드17_개인정보 파기 (0) | 2012.03.28 |
| 웹사이트 개발/운영자를 위한 개인정보보호 가이드16_개인정보 이용 제한 (0) | 2012.03.28 |
