|
| 제1조 |
(목적) 이 지침은 국민대학교(이하 “본교”라 한다)에서 개인정보침해사고 발생 시 사고대응 및 처리방법과 이를 위한 사전 준비사항에 대하여 정의함을 목적으로 한다. |
| 제2조 |
(적용범위) 본 지침의 적용범위는 본교의 개인정보를 취급하는 대학 내부 교직원(계약직 등 비정규직 포함)을 대상으로 한다. |
| 제3조 |
(용어정의) 본 지침에서 사용하는 용어의 정의는 다음과 같다.
(용어정의) 본 지침에서 사용하는 용어의 정의
| (용어정의) 본 지침에서 사용하는 용어의 정의 |
| 1. |
“개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다. |
| 2. |
“개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다. |
| 3. |
“개인정보보호책임자”란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지거나 업무처리를 최종적으로 결정하는 자를 말한다. |
| 4. |
“개인정보보호 분야별책임자”(이하 “분야별책임자”라 한다)란 업무를 위하여 개인정보파일을 처리하는 부서의 장으로 개인정보 보호책임자가 지정한 자를 말한다. |
| 5. |
“개인정보보호담당자”란 각급기관의 실질적인 개인정보 보호업무를 담당하는 자로 개인정보 처리자가 지정한 자를 말한다. |
| 6. |
“개인정보취급자”란 개인정보처리자의 지휘감독을 받아 개인정보를 처리하는 자로서 직원, 파견근로자, 시간제근로자 등을 말한다. |
| 7. |
“개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. |
| 8. |
“정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. |
| 9. |
개인정보의 유출이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서, 다음 각 호의 어느 하나에 해당하는 경우를 말한다. |
|
가. |
개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우 |
|
나. |
개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우 |
|
다. |
개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 그 밖에 저장매체가 권한이 없는 자에게 잘못 전달된 경우 |
|
라. |
그 밖에 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우 | |
|
| 제4조 |
(개인정보보호책임자) ① 개인정보보호책임자는 개인정보침해사고 예방, 처리 및 재발방지의 총괄 관리를 한다. |
|
② 개인정보보호책임자는 개인정보침해사건 발생 시 침해사고 처리책임자를 지정하고 개인정보침해사고 대응팀을 소집하여 운영한다. |
| 제5조 |
(개인정보침해사고 대응팀) 개인정보보호분야별책임자로 구성되며 개인정보보호책임자가 해당 침해사고 분석, 대응 및 복구에 필요한 관련자를 지정하여 소집한다. 필요시 업무담당자, 외부 전문가 등이 포함될 수 있다. |
| 제6조 |
(침해사고 처리책임자) 해당 침해사고의 발생 부서의 장으로 지정되며 처리 및 재발방지에 대한 책임을 지고 개인정보침해사고 대응팀과 협력하여 사고를 해결한다. |
| 제7조 |
(개인정보보호담당자) ① 개인정보침해사고를 접수하고 본 지침 제10조의 기준에 따라 등급을 분류하여 침해사고 대응 절차를 개시한다. |
|
② 개인정보침해사고 대응팀의 간사로서 대내외 비상연락망을 관리하고 팀 내 연락 및 조정을 담당한다. [붙임5] 참조 |
|
③ 개인정보침해기록을 관리하고 필요시 관련자 및 기관에 보고한다. |
| 제8조 |
(정보보안담당자) 정보보안담당자는 침해사고 발생 시 기술적인 분석을 제공한다. |
| 제9조 |
(전직원) 대학의 내부 교직원(계약직 등 비정규직 포함)은 개인정보에 대한 침해가 발생한 것을 인지한 경우, 지체없이 개인정보보호담당자에게 신고하여야 한다. |
|
| 제10조 |
(개인정보침해의 분류) 개인정보침해사고는 다음과 같이 3등급으로 분류한다. |
|
제3장 침해사고의 분류
| 제3장 침해사고의 분류 |
침해
등급 |
내용 |
예시 |
| 1등급 |
법적 근거, 규정 또는 본인의 동의 없이 개인정보가 대학 외부의 제3자에게 노출 또는 제공 |
- 해킹, DDOS, 내부자에 의한 개인정보 유출
- 본인 동의 없이 목적 외 이용 또는 제3자 제공 등
|
| 2등급 |
법적 근거, 규정 또는 본인의 동의 없이 개인정보를 수집, 접근, 분석, 이용, 내부자에게 제공, 저장, 파기 |
- 개인정보취급 권한이 없는 직원이 개인정보 취급․훼손
- 개인정보 취급자에 의한 개인정보 훼손․침해
- 이용자의 동의 없는 개인정보 수집/이용
- 과도한 개인정보 수집 등
|
| 3등급 |
안전하지 않은 상태로 개인정보를 저장하거나, 파기해야 할 정보를 파기하지 않는 등 세부지침의 규정 위반 |
- 주요 개인정보(고유식별번호 등) 암호화 미실시
- 개인정보에 대한 기술적․관리적 조치 미비
- 개인정보 수집 또는 제공받은 목적 달성 후 개인정보 미파기 등
| |
|
| 제11조 |
(개인정보침해 예방 및 탐지) ① 개인정보보호담당자는 웹사이트를 통한 개인정보 유출을 예방하기 위하여 개인정보 유출차단 시스템을 운영·관리한다. |
|
② 게시판 등에 자료를 게재할 때 개인정보 유출에 대하여 주의를 환기시키기 위한 경고를 제공하여야 한다. |
|
③ 개인정보보호담당자는 년 1회 웹사이트의 개인정보 노출 취약점 점검을 시행하고 개인정보보호책임자에게 결과를 보고한다. |
| 제12조 |
(개인정보침해의 신고) ① 대학 내부직원(계약직 등 비정규직 포함)이 취급하는 개인정보에 대하여 본 지침 제10조에서 정의한 침해가 발생한 것을 인지한 경우 또는 그러한 침해의 발생이 의심되는 경우 지체없이 개인정보보호담당자에게 신고하여야 한다.
|
|
개인정보침해의 신고 절차
| 개인정보침해의 신고 절차 |
| 대학 홈페이지
| ⇒ |
종합정보시스템 양식함
| ⇒ |
개인정보침해사실신고서작성 | |
|
② 개인정보침해사고 발생시 고의적으로 신고를 누락 한 경우 개인정보보호책임자는 관련자에 대한 처분(징계 등)을 요청 할 수 있다. |
| 제13조 |
(개인정보침해사고의 접수) ① 개인정보보호담당자는 개인정보침해사고를 접수한 경우 [붙임1] “개인정보 침해사고 관리대장” 에 사고 접수를 기록한다. |
|
② 개인정보보호담당자는 접수 후 지체 없이 개인정보보호책임자에게 보고 한다. |
| 제14조 |
(개인정보침해사고 대응팀 구성) ① 개인정보보호책임자는 유출 또는 제공된 정보의 종류에 따라, 발생 부서의 분야별책임자를 침해사고 처리책임자로 지정하여 개인정보침해사고 대응팀을 구성한다. |
|
② 발생 부서를 적시할 수 없거나 담당 분야별책임자가 침해사고에 연루된 경우 개인정보보호책임자가 임의로 침해사고 처리책임자를 지정할 수 있다. |
|
③ 개인정보침해사고 대응팀은 분야별책임자 중에서 사안에 따라 선정한다. |
|
④ 2, 3등급 침해의 경우 개인정보보호책임자는 침해사고처리책임자와 협의하여 개인정보침해사고 대응팀을 구성하지 않을 수 있다. |
|
⑤ 개인정보보호책임자는 필요시 외부 전문가에게 분석을 의뢰할 수 있다. |
| 제15조 |
(침해사고의 분석) ① 침해사고 처리책임자는 침해 사실 여부를 확인하고 사실로 확인될 경우 침해의 규모, 경위, 방법, 원인 및 관련자를 조사한다. ② 침해사고 처리책임자는 필요한 경우 개인정보침해사고 대응팀 또는 개인정보보호책임자가 승인한 외부 전문가의 지원을 받아 증거자료를 수집한다. |
| 제16조 |
(침해사고의 대응 및 복구) ① 1등급의 경우 침해사고 처리책임자는 해당 개인정보를 파기 또는 회수하기 위한 조치를 취한다. |
|
② 2등급의 경우 침해사고 책임자는 해당 개인정보를 파기, 회수 또는 복구하기 위한 조치를 취하거나 정보주체의 사후 동의를 받아 근거를 마련한다. |
|
③ 3등급의 경우 침해사고 처리책임자는 해당 개인정보를 적절히 보호하거나 파기하기 위한 조치를 취한다. |
|
④ 침해사고 처리책임자는 즉각적 조치가 가능한 경우 재발방지 조치를 취한다. |
| 제17조 |
(침해사고의 종료) ① 침해사고 처리책임자는 [붙임2] 개인정보침해사고 처리보고서를 작성하여 개인정보보호책임자에게 제출한다. |
|
② 개인정보보호책임자는 개인정보침해사고 처리보고서를 검토하고 승인한다. |
|
③ 개인정보보호책임자는 개인정보침해 관련자에 대한 처분(징계 등)을 해당부서에 요청 할 수도 있다. |
|
④ 개인정보보호담당자는 개인정보침해사고 처리보고서를 관리하고 처분(징계 등) 결과를 기록한다. |
| 제18조 |
(침해사고 사후분석) ① 침해사고 처리책임자는 처리보고서 제출 후 30일 이내 근본원인 분석, 교훈 및 예방을 위한 개선대책을 마련하여 개인정보보호책임자에게 제출한다. |
|
② 개인정보보호책임자는 개선안을 검토하여 시행 및 변경 여부와 시기를 결정한다. |
|
③ 개인정보보호책임자는 필요하다고 판단할 경우 사고의 교훈을 적절한 대상을 지정하여 전파 및 교육을 할 수 있다. |
|
④ 개인정보보호책임자는 개선안 시행, 교훈 전파 및 교육 후 그 성과를 검토한다. |
|
| 제19조 |
(개인정보침해사고의 보고) 개인정보보호책임자는 1등급 사고의 경우 발생 즉시 및 수시로 그 진행 현황을 총장에게 보고한다. |
| 제20조 |
(개인정보침해사고의 현황 관리) 개인정보보호책임자는 개인정보침해사고 현황을 분석하여 추가적인 개선대책이 필요한 경우 개선 대책을 마련하여 시행한다. 개선 대책에는 교육자료 활용 등을 포함할 수 있다. |
| 제21조 |
(개인정보침해사고 교육훈련) 개인정보보호책임자는 전 직원에게 연1회 이상 개인정보침해사고의 유형과 보고 방법을 교육하여야 한다. |
|
| 제22조 |
(개인정보유출 통지시기 및 항목) ① 개인정보보호 담당자는 실제로 유출 사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다.
개인정보유출 통지시기 및 항목
| 개인정보유출 통지시기 및 항목 |
| |
1. |
유출된 개인정보의 항목 |
| |
2. |
유출된 시점과 그 경위 |
| |
3. |
유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 |
| |
4. |
개인정보처리자의 대응조치 및 피해구제절차 |
| |
5. |
정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 | |
|
② 개인정보보호담당자는 제1항 제2호의 경우 개인정보 유출 사고가 최초 발생한 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실유무를 입증하여야 한다. |
|
③ 개인정보보호담당자는 제1항 각 호의 조치를 취한 이후에는 정보주체에게 다음 각 호의 사실만을 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있다.
개인정보의 유출․침해시 처리방안
| 개인정보의 유출․침해시 처리방안 |
| |
1. |
정보주체에게 유출이 발생한 사실 |
| |
2. |
제1항의 통지항목 중 확인된 사항 | |
| 제23조 |
(개인정보유출 통지방법) ① 개인정보보호담당자는 정보주체에게 제22조제1항 각 호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 5일 이내에 정보주체에게 알려야 한다. |
|
② 개인정보 보호담당자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제22조제1항 각 호의 사항을 공개할 수 있다. |
| 제24조 |
(개인정보 유출 보고 절차) ① 개인정보보호담당자는 정보주체에 관한 개인정보 유출내용 및 조치결과를 5일 이내에 교육부(정보보호화과)에 보고하여야 한다. 다만 1만명 이상의 개인정보가 유출된 경우에는 행정자치부장관 또는 개인정보보호법 시행령 제39조제2항 각 호의 전문기관 중 어느 하나에 신고하여야 한다. |
|
② 제1항에 따른 신고는 [붙임4] 개인정보 유출신고서를 작성하여 공문으로 신고하여야 한다. |
|
③ 개인정보 보호담당자는 전자우편, 모사전송 또는 인터넷 사이트를 통하여 유출 보고 또는 신고를 할 시간적 여유가 없거나 그 밖에 특별한 사정이 있는 때에는 먼저 전화를 통하여 제22조제1항 각 호의 사항을 신고한 후, [붙임4] 개인정보 유출신고서를 제출할 수 있다. |
|
유출신고 기관 및 연락처
| 유출신고 기관 및 연락처 |
| [ 유출신고 기관 및 연락처 ]
|
○ 교육부(정보보호화과)
- 전화: 044-203-6504 / FAX 044-203-6185
○ 한국인터넷진흥원(privacy.kisa.or.kr)
- 전화: 118(ARS 내선 2번) / Fax: 02-405-4789 / 메일: privacy@kisa.or.kr
- 우편: 서울시 송파구 중대로 135 (가락동 78) IT벤처타워 개인정보침해신고센터/개인정보분쟁조정위원회
- 방문: (찾아오시는 길) 지하철 8호선 가락시장역 2번 출구 경찰병원 방향 400
|
|
|
④ 유출통지는 서면, 전자우편, 팩스, 전화, 문자전송 등의 방법으로 정보주체에게 개별 통지하여야 하며, 1만명 이상 개인정보 유출 시에는 개별 통지와 함께 홈페이지에 유출통지 내용(5개항목)을 7일 이상 게시하여야 합니다. |
| 제25조 |
(개인정보침해 신고자의 보호) ① 개인정보침해 신고자의 신분은 침해사고 대응에 반드시 필요한 경우 반드시 필요한 담당자 및 권한자에게만 제공되어야 하며 외부로 노출되어서는 아니 된다. |
|
② 개인정보침해 신고자는 어떠한 경우에도 신고로 인해 불이익을 당하는 경우가 없어야 한다. |
| 제26조 |
(개인정보 침해신고에 대한 대응) 개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해신고센터에 침해사실을 신고한 경우, 해당기관이 사실의 조사·확인을 통해 필요한 조치를 취하므로 사실조사에 적극 협조하여야 한다. |
| 제27조 |
(개인정보 침해구제 절차) 개인정보 침해구제 절차는 다음과 같습니다. |
|
① 개인정보 침해에 대한 신고(☏118, privacy.kisa.or.kr) |
|
② 개인정보침해신고센터의 사실조사(서면, 방문조사 등) |
|
③ 사실조사 결과 통보 및 위법 사실 발견시 조치(수사의뢰, 과태료 등) |
|
④ 손해배상, 침해행위 중지, 재발방지 등에 대한 분쟁조정 (☏118, privacy.kisa.or.kr) |
|
※ 동일 피해를 입은 정보주체가 50명 이상인 경우 집단분쟁조정 신청 가능 |
|
⑤ 분쟁조정위원회 자료조사 및 조정안 작성 |
|
⑥ 조정안 제시(당사자들이 조정안 수용시 재판상 화해의 효력을 갖음) |
|
⑦ 분쟁조정이 실패할 경우 민사소송 또는 단체소송 제기 가능(관할 지방법원) |
|
※ 단체소송은 권리침해행위의 금지·중지를 구하는 소송 |
| 부 칙 |
| ① (시행일) 이 지침은 2015년 9월 1일부터 시행한다. |
