2019.10.16.개정

제1장 총칙

제1조(목적)

개인정보보호 내부관리계획은 개인정보보호법 제29조(안전조치의무) 내부관리계획의 수립 및 시행 의무에 따라 제정된 것으로 금마초등학교가 취급하는 개인정보를 체계적으로 관리하여 개인정보가 분실, 도난, 누출, 변조, 훼손, 오.남용 등이 되지 아니하도록 함을 목적으로 한다.

제2조(적용범위)

본 계획은 홈페이지 등의 온라인을 통하여 수집, 이용, 제공 또는 관리되는 개인정보뿐만 아니라 오프라인(서면, 전화, 팩스 등)을 통해 수집, 이용, 제공 또는 관리되는 개인정보에 대해서도 적용되며, 이러한 개인정보를 취급하는 내부 교직원 및 외부업체 직원에 대해 적용된다.

제2장 개인정보 보호조직 구성 및 운영

제3조(개인정보 보호조직 구성 및 운영)

① 개인정보처리자는 개인정보 보호를 위하여 조직을 구성ㆍ운영한다.

② 개인정보 보호조직은 다음과 같이 구성ㆍ운영한다.

제4조(개인정보 보호책임자 지정)

① 금마초등학교는 교육부 개인정보 보호지침 제21조에 따라 금마초등학교장을 개인정보보호책임자로 임명한다.

제5조(개인정보 보호책임자의 역할과 책임)

① 개인정보보호책임자는 정보주체의 개인정보 보호를 위하여 다음 각 호의 업무를 수행한다.

1. 개인정보 내부관리 및 개인정보처리방침 등 수립ㆍ변경 및 시행

2. 연 1회 이상 내부관리 및 개인정보처리방침의 이행 실태 및 변경할 사항 점검ㆍ관리

3. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선

4. 개인정보 처리와 관련한 불만의 처리 및 피해 구제

5. 개인정보 유출 및 오용？남용 방지를 위한 내부통제시스템의 구축

6. 개인정보 보호 교육 계획의 수립 및 시행

7. 개인정보파일의 보호 및 관리 감독

8. 법 제30조에 따른 개인정보 처리방침의 수립？변경 및 시행

9. 개인정보 보호 관련 자료의 관리

10. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

11. 기타 개인정보보호에 필요한 사항

② 개인정보보호책임자는 업무를 수행함에 있어서 필요한 경우 개인정보 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.

③ 개인정보보호책임자는 개인정보 보호와 관련하여 이법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하여야 하며, 필요하면 익산교육지원청 교육장 또는 전라북도교육청 교육감에게 개선조치를 보고하여야 한다.

제6조(개인정보취급자의 역할과 책임)

① 개인정보취급자의 범위는 다음과 같다.

1. 금마초등학교 내에서 정보주체의 개인정보를 처리하는 업무를 수행하는 자를 말하며, 정규직 이외에 계약제교원, 임시직, 파견근로자, 시간제근로자 등이 포함될 수 있다.

② 개인정보취급자의 의무와 책임

1. 내부관리계획의 준수 및 이행

2. 개인정보의 기술적？관리적 보호조치 기준 이행

3. 업무상 알게 된 개인정보를 제3자에게 제공하지 않음

제3장 개인정보의 기술적.관리적 보호조치

제7조(개인정보취급자 접근권한 관리 및 인증)

① 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.

② 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 하며, 또한 비밀유지의무 등에 대한 서약서를 받아야 한다.

③ 제1항, 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.

④ 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.

⑤ 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망 또는 전용선 등 안전한 접속수단을 적용하여야 한다.

제8조(비밀번호 관리)

① 개인정보취급자 또는 정보주체가 생일, 주민등록번호, 전화번호 등 추측하기 쉬운 숫자나 개인관련 정보를 패스워드로 이용하지 않도록 하고, 비밀번호는 전라북도교육청 정보보안기본지침을 따라 문자, 숫자, 특수문자를 혼합하여 9자리 이상으로 정하여야 한다.

② 비밀번호에 적정한 기간의 유효기간(반기별 1회 이상)을 설정하여야 한다.

제9조(접근통제)

① 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치？운영하여야 한다.

1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한

2. 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지

② 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치를 취하여야 한다.

③ 금마초등학교는 제1항, 제2항을 준수하기 위하여 전라북도교육청 및 전라북도교육연구정보원의 서비스를 이용할 수 있다.

제10조(개인정보의 암호화 조치)

① 주민등록번호, 비밀번호, 바이오정보에 대해서는 안전한 암호 알고리즘으로 암호화하여 저장하여야 한다. 단, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.

② 정보주체의 개인정보를 정보통신망을 통하여 송？수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.

③ 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.

④ 개인정보취급자는 정보주체의 개인정보를 업무용 컴퓨터(PC)에 저장 및 관리할 때에는 도교육청에서 구축한 PC개인정보보호시스템을 통해 불필요한 개인정보 파일은 삭제하고, 저장하고 있는 개인정보 파일은 암호화하여 관리하여야 한다.

제11조(접속기록의 보관 및 점검)

① 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관하여야 한다.

② 개인정보취급자의 접속기록이 위？변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.

③ 개인정보처리자는 개인정보의 분실？도난？유출？위조？변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접소기록 등을 반기별로 1회 이상 점검 한다.

- 비 인가된 개인정보 처리 및 대량의 개인정보 조회？정정？다운로드？삭제 등 비정상적 행위를 탐지하여 적절한 대응 조치 등

④ 나이스？에듀파인 등 일괄 관리하는 시스템은 물적기반 관리 기관에서 접속기록을 보관 및 점검하는 내용으로 대체한다.

제12조(악성프로그램 등 방지)

① 개인정보처리시스템 또는 업무용 컴퓨터에 악성 프로그램 등을 방지？치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치？운영하여야 한다.

② 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 적용하여야 한다.

③ 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 적용하여야 한다.

제13조(물리적 안전조치)

① 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립.운영하여야 한다.

② 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.

③ 물리적 접근방지를 위한 별도의 보호시설에 출입하거나 개인정보를 열람하는 경우, 그 출입자에 대한 출입사실 및 열람 내용에 관한 관리대장을 작성하도록 하여야 한다.

제14조(개인정보 파기)

① 보유기간 경과, 처리목적 달성 등 그 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 5일 이내에 그 개인정보를 파기하여야 한다.

- 단,『공공기록물 관리에 관한 법률』등 다른 법령에서 보존해야 하는 경우에는 예외

- 다른 법령에 의해 파기하지 않고 보존하는 개인정보는 다른 개인정보와 분리하여 저장.관리

② 개인정보 파기 시 아래의 절차에 따라 파기한다.

- 공개하지 않는 개인정보파일(종이문서 포함)은 개인정보 파기절차와 동일하게 한다.

③ 개인정보를 파기할 때에는 복구 또는 재생이 불가능한 방법으로 파기하여야 한다.

- 전자적 파일 형태의 경우 : 복원이 불가능한 방법으로 영구 삭제

- 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 파쇄 또는 소각

- 개인정보의 일부만을 파기하는 경우, 위 두 가지 방법으로 파기하는 것이 어려운 경우: 전자적파일 형태인 경우에는 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독하고, 그 외 기록물, 인쇄물, 서면인 경우에는 해당 부분을 마스킹, 천공 등으로 삭제

제15조(개인정보의 목적 외 이용 및 제3자 제공)

① 개인정보의 제공이 필요한 경우 목적의 정당성, 수단의 적정성, 피해의 최소성, 법익의 균형성에 대하여 종합적으로 검토한 후 필요한 최소한의 범위 내에서 제공하여야 한다.

② 개인정보의 제공이 필요한 경우 아래의 기준에 따라 확인하고 제공하여야 한다.

③ 목적 외 이용.제3자 제공 시 절차

④ 개인정보 자료 제공은 문서로 시행되어야 하며, 문서에 제공 목적 이외의 이용금지, 사용 목적 달성 후 폐기, 사후관리 실태 확인 등의 안전성 확보 조치 문구를 표기하여 시행하여야 한다.

제16조(업무위탁에 따른 수탁자 관리감독사항)

① 개인정보처리에 관한 업무를 제3자에게 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서에 의하여야 한다.

1. 위탁 업무 수행 목적 외 개인정보의 처리 금지에 관한 사항

2. 개인정보의 기술적.관리적 보호조치에 관한 사항

3. 위탁업무의 목적 및 범위

4. 재위탁 제한에 관한 사항

5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항

6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항

7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

② 개인정보의 처리 업무를 위탁하는 경우 수탁자를 인터넷 홈페이지에 위탁하는 업무의 내용과 수탁자를 지속적으로 게재한다.

③ 위탁자는 업무 위탁으로 인하여 정보주체의 개인정보가 분실.도난.유출.변조 또는 훼손되지 아니하도록 수탁자를 교육 한다.

④ 위탁자는 수탁자가 개인정보처리자로서 준수해야할 사항과 문서(계약서)에 포함된 필수사항의 준수 여부를 관리.감독한다.

제17조(재해ㆍ재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항)

① 재해ㆍ재난에 대비하여 개인정보처리시스템을 물리적으로 안전하게 조치하여야 한다.

1. 화재, 홍수, 단전 등의 재해ㆍ재난 발생 시 개인정보처리시스템 보호를 위한 위기 대응 매뉴얼 등 대응절차를 마련하고 점검하여야 한다.

2. 재해ㆍ재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.

제4장 영상정보처리기기의 설치 및 운영관리

제18조(영상정보처리기기 관리책임자 지정)

① 금마초등학교는(은) 교육부 개인정보 보호지침에 따라 금마초등학교장을 개인영상정보 보호책임자로 임명한다.

② 제1항의 관리책임자는 법 제31조 제2항에 따른 개인정보 보호책임자의 업무에 준하여 다음 각 호의 업무를 수행하여야 한다.

1. 개인영상정보 보호 계획의 수립 및 시행

2. 개인영상정보 처리 실태 및 관행의 정기적인 조사 및 개선

3. 개인영상정보 처리와 관련한 불만의 처리 및 피해구제

4. 개인영상정보 유출 및 오용.남용 방지를 위한 내부통제시스템의 구축

5. 개인영상정보 보호 교육 계획 수립 및 시행

6. 개인영상정보 파일의 보호 및 파기에 대한 관리.감독

7. 그 밖에 개인영상정보의 보호를 위하여 필요한 업무

③ 법 제31조에 따른 개인정보 보호책임자가 지정되어 있는 경우에는 그 개인정보 보호책임자가 개인영상정보 보호책임자의 업무를 수행할 수 있다.

제19조(영상정보처리기기 운영·관리 방침)

① 개인영상정보 보호책임자는 영상정보처리기기 운영·관리방침을 수립하여 홈페이지 등에 공개하여야 하며, 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.

② 영상정보처리기기 운영 관리 방침은 법 제30조에 따라 개인정보 처리방침에 포함하여 정할 수 있다.

③ 개인영상정보 보유목적의 달성을 위한 최소한의 기간을 설정하기 곤란한 때에는 보관기간을 개인영상정보 수집 후 30일 이내로 한다.

제20조(사전의견 수렴)

① 영상정보처리기기의 설치 목적 변경에 따른 추가 설치 등의 경우에도 시행령 제23조제1항에 따라 관계 전문가 및 이해관계인의 의견을 수렴하여야 한다.

② 의견 수렴은 학교운영위원회 등을 통해 할 수 있다.

제21조(안내판 설치)

① 개인영상정보 보호책임자는 정보주체가 알아보기 쉬운 장소에 판독가능하게 안내판을 설치해야 한다.

- 건물 안에 여러 개를 설치하는 경우 출입구 등 잘 보이는 곳에 해당시설 전체가 설치지역임을 알리는 안내판 설치 가능

- 안내판 의무기재 내용

제22조(개인영상정보 보호 조치)

① 영상정보처리기기 운영자는 개인영상정보가 분실·도난·유출·변조 또는 훼손되지 않도록 다음 각 호의 조치를 취하여야 한다.

1. 영상정보처리기기의 설치 목적과 다른 목적으로 임의 조작하거나 다른 곳을 비추는 행위 금지, 녹음기능 사용 금지

2. 개인영상정보 접근통제 및 접근권한의 제한 조치

3. 개인영상정보를 안전하게 저장.전송할 수 있는 기술 적용(네트워크 카메라의 경우 암호화 전송, 개인정보영상파일의 비밀번호 설정 등)

4. 처리 기록의 보관 및 위.변조 방지를 위한 조치

- 개인영상정보의 이용.열람.제공.파기 시 개인영상정보 관리대장 작성 등

5. 안전한 물리적 보관을 위한 보관시설 마련 또는 잠금장치 설치

제23조(영상정보처리기기 설치·운영 점검)

① 개인영상정보 보호책임자는 본 계획의 준수 여부에 대하여 자체점검을 실시하여 하여야 한다.

② 자체 점검사항

- 영상정보처리기기의 운영.관리 방침 내용

- 관리책임자의 업무 수행, 위탁 및 수탁자에 대한 관리.감독 현황

- 영상정보처리기기의 설치.운영 및 기술적.관리적.물리적 조치

- 개인영상정보 수집 및 이용.제공.파기, 정보주체 권리행사 조치

- 영상정보처리기기 설치.운영의 필요성 지속 여부 등

③ 개인영상정보 보호책임자는 영상정보처리기기 운영 현황을 매년 개인정보보호종합지원포털(intra.privacy.go.kr)에 등록·관리하여야 한다.

제5장 개인정보보호 교육

제24조(개인정보보호 교육의 실시)

① 개인정보보호책임자는 정보주체정보보호에 대한 직원들의 인식제고를 위해 노력해야 하며, 개인정보의 오.남용 또는 유출 등을 적극 예방하기 위해 교직원을 대상으로 매년 정기적으로 연1회 이상의 개인정보보호 교육을 실시한다.

- 개인정보보호 책임자/담당자는 전라북도교육청에서 안내하는 각종 집합/원격 교육 및 세미나를 년 1회 이상 참석(수강)한다.

- 개인정보취급자 교육은 개인정보보호담당자가 년 1회 이상 실시한다.

② 교육 방법은 집체 교육뿐만 아니라, 인터넷 교육, 그룹웨어 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 외부 전문기관이나 전문요원에 위탁하여 교육을 실시한다.

③ 개인정보보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 변경된 사항이 있는 경우, 회의 등을 통해 수시 교육을 실시할 수 있다.

제6장 개인정보 유출사고 대응 계획 수립 및 시행

제25조(개인정보 유출 등의 신고)

① 개인정보 취급자는 1건이라도 개인정보가 유출된 경우에는 즉시 개인정보 보호책임자에게 보고하고, 개인정보 보호책임자는 유출내용 및 조치결과를 5일 이내에 전라북도교육청 개인정보 보호책임자에게 신고한다.

1. 유출된 개인정보의 항목

2. 유출된 시점과 그 경위

② 개인정보 보호책임자는 1만 명 이상의 개인정보가 유출된 경우에는 법 제34조(개인정보 유출 통지 등)제3항에 따라 행정안정부장관 또는 시행령 제39조(개인정보 유출 신고의 범위 및 기관) 제2항에 따른 한국인터넷진흥원에 신고한다.

③ 그 외 개인정보 유출통지 방법과 신고관련 세부적인 내용은 전라북도교육청 개인정보 유출사고 대응 매뉴얼에 따른다.

제7장 개인정보 침해대응 및 피해구제

제26조(권익침해 구제방법)

① 개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해 신고센터 등으로 침해사실을 신고 할 수 있습니다.

- 개인정보침해신고센터 : (국번없이)118(내선2번)

또한, 개인정보의 열람, 정정·삭제, 처리정지 등에 대한 정보주체자의 요구에 대하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익을 침해 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.

- 중앙행정심판위원회(www.simpan.go.kr)의 전화번호 안내 참조