학원 등 교육기관 개인정보 관리 실태 집중 점검 안내

[사무장]

제 목 :

학원 등 교육기관 개인정보 관리 실태 집중 점검 안내

1. 지난 3월 15일 행정안전부에서는 보도자료를 통해 학원 등 교육기관 개인정보 관리 실태에 대해 집중 점검할 계획을 보도한바 있습니다.

2. 이번 현장점검의 중점 점검항목은 개인정보 오․남용을 예방하기 위한 개인정보처리시스템의 개인정보 수집 적정성, 보존기간이 경과된 개인 정보의 파기, 업무 위탁 시 수탁사 관리․감독, 안전초치위반 등으로 계획하고 있습니다.

3. 특히, 지난 2017년도 교육분야를 현장 점검한 결과, 59개 기관 중 49개 기관에서 69건의 법 위반(위반율 83%, 기관당 평균 1.4건)이 확인되었습니다.

4. 따라서 귀 지회, 협의회에서는 회원 학원이 사전에 자체점검 및 개선하도록 “개인정보보호 자율점검표” 작성을 독려하여 주시기 바랍니다.

붙임: 관련 보도자료 1부. 끝.

학원·대학 등 교육기관 개인정보 관리실태 집중 살핀다

○ “대학 입학원서를 관련없는 아파트 택배 기록대장의 이면지로 사용하네요”

“ㅇㅇ아파트에서는 거주자 대신 택배기록대장 등록 후 택배를 보관해줍니다. 그런데, 택배기록대장 이면지에 ㅇㅇ대학 입학원서로 재학증명서, 개인신상(사진, 이름, 주민번호, 거주지 등) 등이 기록 되어있어 대학 입학과 관계없는 사람들이 보게 되는데 문제가 있지 않나요?”

○ “수강 목적 계정등록 후 5년 경과 후에도 폐기하지 않고 활용 중 이네요”

“ㅇㅇ학원 웹사이트에 ㅇㅇㅇ이라는 ID로 회원가입을 했습니다. 수강 종료 후 5년이 지난 지금도 저의 정보가 폐기되지 않은 것을 확인할 수 있었습니다. 문제 아닌가요?”

※ 위 사례는 행정안전부 운영 개인정보침해신고센터(한국인터넷진흥원)에 접수된 내용

대학, 학원 등 교육기관은 학생 및 수강생 등 많은 분량의 개인정보를 보유하고 있다. 따라서 이들 기관의 개인정보 관리는 국가의 개인정보 보호 관점에서 볼 때 매우 중요하다.

행정안전부(장관 김부겸)는 교육분야 기관 중 개인정보 관리실태 현장점검을 실시하지 않은 대학 및 민간교육기관을 중심으로 개인정보 관리실태 현장점검을 실시한다.

 점검 대상기관은 미점검 및 고유식별정보 안전성 확보조치 실태조사(’17.4.∼6) 결과 주민등록번호 다량 보유하고 있거나 안전성 확보조치가 미흡한 대학과 민간교육기관을 포함하여 총 20개 기관이다.

이번 현장점검의 중점 점검항목은 개인정보 오․남용을 예방하기 위한 개인정보처리시스템의 개인정보 수집 적정성, 보존기간이 경과된 개인정보의 파기, 업무 위탁시 수탁사 관리‧감독, 안전조치위반(접근권한 관리, 접근통제, 개인정보 암호화, 접속기록 보관 및 점검 등) 등이다.

 점검방법과 절차는 먼저 수검기관 현장을 직접 방문하여 자료조사, 담당자 인터뷰, 개인정보처리시스템 점검 등을 실시하고, 법 위반사항이 적발되면 즉시 개선토록 조치한 후 개선권고, 과태료ㆍ과징금 부과, 명단공표 등 엄정한 행정처분을 실시할 계획이다.

<실태점검 절차>

현장점검 대상선정 (온라인 사전점검)	▶	점검대상 공문발송 (점검 1주전)	▶	현장점검	▶	행정처분 및 공표 (개선권고, 과태료 등)

 특히 ▲고유식별정보 관리실태 현장점검 시 주민등록번호 등 고유식별정보 처리여부 ▲처리하고 있는 경우 동의 및 법적 근거 여부 ▲암호화 등 안전조치 이행여부를 집중 점검할 계획이다. 아울러, 모든 공공기관 및 5만명 이상의 고유식별정보를 처리하는 기업은 올해 6월까지 개인정보보호 종합포털(www.privacy.go.kr)에 자체점검 결과를 등록해야 하며, 점검결과 미흡기관은 추후 현장점검을 실시할 예정이다.

지난 2017년도 교육분야를 현장 점검한 결과, 59개 기관 중 49개 기관에서 69건의 법 위반(위반율 83%, 기관당 평균 1.4건)이 확인되었다.

 세부적으로는 학습지(위반율 100%), 대학(84%), 학원(67%) 등으로 법 위반율이 확인되고 있어 개인정보 관리가 다소 미흡한 것으로 분석된다.

 주요 법 위반 사항으로는 전체 69건 중 43건(62%)이 안전조치의무(제29조)으로 가장 많았으며, 파기(제21조) 6건(9%), 수탁자 교육 및 감독(제26조) 4건(6%), 고유식별정보 처리제한(제24조) 4건(6%), 주민등록번호 처리제한(제24조의2) 1건(1%) 등이다.

<2017년 교육분야 점검 결과>

구분	점검기관수(A)	위반기관수(B)	위반율 (B/A)	위반 항목수	29조 (안전조치)	21조 (파기)	26조 (업무위탁)	24조의2 (주민등록)	24조 (고유식별)	기타
교 육	59	49	83.1%	69	43	6	4	1	4	11

 안전조치의무 위반사항 43건을 세분화(1건당 다수 세부위반 적용 시)하면 총 118건의 기술적 조치 위반사항이 확인되는데, ①접근권한 관리(39건) 위반이 가장 많았고, ②접근통제(36건), ③개인정보 암호화(23건), ④접속기록의 보관 및 점검(20건), ⑤물리적 안전조치(3건) 위반 순이다.

김혜영 행정안전부 개인정보보호정책관은 “2017년도 교육분야 현장점검 위반사례를 분석‧활용하여 현장점검 대상기관이 사전에 자체 점검 및 개선하도록 함으로서 선제적으로 개인정보 보호 역량을 갖추도록 하고, 수탁 업체에 대한 관리감독 여부 등도 중점적으로 현장 점검함으로서 교육분야의 개인정보 보호 인식 및 관리 수준을 더욱 높이도록 최선을 다할 것이다.”라고 말했다.

붙임1

실태점검 항목별 주요 검사내용

법 조항				세부 검사 항목
제15조	개인정보의 수집‧이용 동의			◦온‧오프라인 회원가입 및 각종 게시판에서 개인정보 수집 시 동의 여부 ◦정보주체의 동의 시 필수 고지항목 적정 여부
제16조	개인정보의 수집제한			◦개인정보 수집 시 그 목적에 필요한 최소한의 개인정보 수집 여부
제17조	개인정보의 제공			◦개인정보 제3자 제공 시 정보주체의 동의 여부 ※(다국적기업)국외의 제3자 제공시 정보주체 동의 여부 ◦정보주체의 동의 시 필수 고지항목 적정 여부
제18조	개인정보의 이용‧제공 제한			◦개인정보 수집 당시의 정보주체의 이용‧제공 동의 범위를 초과하여 이용‧제공 여부
제21조	개인정보의 파기			◦목적달성 또는 보유기간 경과 후 개인정보 파기 여부 ◦법 목적에 따라 보유기간 경과 후 보관 시 별도 보관 여부
제22조	동의를 받는 방법			◦고유식별정보, 민감정보 수집시 구분동의 여부 ◦재화나 서비스 홍보 또는 판매 권유시 구분동의 여부 ◦만14세 미만 아동 개인정보 처리 법정대리인 동의
제24조	고유식별정보의 처리제한			◦별도동의, 법령허용 외 고유식별정보 처리불가 ◦고유식별정보 분실‧도난‧유출‧위‧변조 또는 훼손되지 않도록 령에따라 암호화 등 안전성 확보에 필요한 조치 ※(범위)주민번호, 여권번호, 운전면허번호, 외국인등록번호
제24조의2	주민등록번호 처리의 제한			◦법령허용, 정보주체 이익을 위해 명백히 필요, 처리 불가피한 경우외 주민번호 처리불가 ◦주민번호 분실‧도난‧유출‧위‧변조 또는 훼손되지 않도록 암호화 조치를 통하여 안전하게 보관
제26조	업무위탁에 따른 개인정보의 처리 제한			◦수탁사와의 문서에 의한 계약 여부 ◦수탁사에 대한 교육, 처리 현황 점검 등 관리‧감독 여부 등
제28조	개인정보취급자에 대한 감독			◦안전한 개인정보 관리를 위한 관리‧감독 여부 ◦개인정보취급자에 대한 정기적인 교육실시 여부
제29조	관리적 조 치	①	내부관리계획 수립‧시행	◦내부의사 결정 절차 통해 수립‧시행, 연1회 이행 점검‧관리 ※(기재사항)책임자 지정, 책임자‧취급자 역할 및 책임, 교육, 안전성 조치(접근 권한관리, 접근통제, 암호화, 접속기록 보관‧점검, 악성프로그램 등 방지 등), 조직 구성‧운영, 유출사고 대응계획 수립‧시행, 위험도 분석‧대응, 재해‧재난 대비 안전조치, 수탁자 관리‧감독, 그 밖 필요 등 15개항목
	기술적 조 치	②	접근 권한 관리	◦직급별‧업무별 권한의 차등부여 및 권한변경 기록 3년간 보관 여부 ◦비밀번호 작성규칙 수립 및 계정정보 또는 비밀번호 일정 횟수 이상 잘못 입력한 경우 접근 제한 여부 ※(작성규칙)영대문자, 영소문자, 숫자 및 특수문자 중 2종류 이상 최소 10자리 이상, 3종류 이상 최소8자리 이상
		③	접근통제	◦외부의 열람권한이 없는 자에게 공개 여부 ◦방화벽, IPS 및 VPN 설치 여부
		④	개인정보의 암호화	◦정보통신망에서 송‧수신시 암호화 전송 여부 ◦인터넷구간, DMZ에 개인정보 저장 시 암호화 여부 ※(암호화 정보) 비밀번호, 고유식별정보 및 바이오정보
		⑤	접속기록 보관 및 위‧변조 방지	◦접속기록 6개월 이상 보관‧관리 및 위‧변조 방지를 위한 접속기록 등 반기별 1회 이상 점검 여부
		⑥	악성프로그램 등 방지	◦보안프로그램 설치‧관리 여부
	물리적 조 치	⑦	물리적 안전 조치	◦개인정보 물리적 보호장소 별도관리 경우 출입통제 ◦개인정보 서류, 보조저장매체 등 잠금장치 안전장소 ◦개인정보 포함 보조저장매체 반출‧입 통제 보안장치
		⑧	재해‧재난 대비 안전조치	◦화재, 홍수, 단전 등 재해‧재난 발생 시 위기대응 매뉴얼 등 대응절차, 백업‧복구 계획 마련 및 정기점검 여부
		➈	개인정보 파기	◦소각‧파쇄 등 완전파괴, 전용 소자장비 이용 삭제, 초기화 또는 덮어쓰기 등 개인정보 파기 조치 여부
제30조	개인정보처리방침 수립‧공개			◦개인정보처리방침 수립 적정성 여부 ※(기재사항)처리목적, 개인정보 항목, 처리 및 보유기간, 제3자제공, 파기, 위탁, 안전성 확보조치, 권리‧의무 및 행사방법, 방침변경, 책임자, 열람청구 부서, 권익침해 구제방법 등 12개항목 ◦개인정보처리방침 공개 적정성 여부
제31조	개인정보 보호책임자의 지정			◦개인정보 보호책임자의 지정 여부 ◦개인정보 보호책임자 담당 업무의 적정성 여부

붙임2

고유식별정보 안전조치 자체점검 점검표(체크리스트)

NO	세부 점검내용	조치 (있음)	미조치 (없음)	해당 없음
1	주민등록번호를 처리(수집․이용․보관 등)함에 있어 법령의 근거가 있는지 여부
2	여권번호, 운전면허번호, 외국인등록번호를 처리(수집․이용․보관 등)함에 있어 법령의 근거 또는 정보주체의 동의가 있는지 여부
3	수집목적이 달성되었고, 보존기간이 경과한 고유식별정보를 파기하고 있는지 여부
4	개인정보의 안전한 처리를 위한 내부 관리계획을 수립․시행하고 있는지 여부
5	개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에게 차등 부여하고 있는지 여부
6	전보 또는 퇴직 등 개인정보취급자 변경 시, 개인정보처리시스템에 대한 접근권한을 변경 또는 말소하고 있는지 여부
7	개인정보처리시스템에 대한 개인정보취급자의 접근권한 부여‧변경‧말소 내역을 기록하고 있으며 3년간 보관하고 있는지 여부
8	개인정보취급자별로 개인정보처리시스템에 대한 사용자계정(ID)을 발급하고 해당 사용자계정을 다른 개인정보취급자 등과 공유하고 있지 않는지 여부
9	개인정보취급자 또는 정보주체가 안전한 비밀번호 작성규칙을 수립하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하고 있는지 여부
10	사용자계정 또는 비밀번호를 일정 횟수이상 잘못 입력한 경우, 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하고 있는지 여부
11	정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리 시스템에 대한 접속권한을 IP주소 등으로 제한하고 있는지 여부
12	정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 개인정보처리시스템에 접속한 IP주소 등을 분석하여 불법적인 유출시도를 탐지 및 대응하고 있는지 여부
13	외부에서 개인정보처리시스템에 접속 시, 가상사설망(VPN), 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하고 있는지 여부
14	개인정보가 인터넷 홈페이지, P2P, 공유설정 등으로 유․노출되지 않도록 개인정보처리시스템, 업무용컴퓨터 등에 접근통제 등에 관한 조치를 하고 있는지 여부
15	인터넷 홈페이지를 통해 고유식별정보를 처리하는 경우, 해당 홈페이지에 대해 연 1회 이상 취약점을 점검 및 그에 따른 개선조치를 하고 있는지 여부
16	개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우, 자동으로 개인정보처리시스템에 접속을 차단하고 있는지 여부
17	고유식별정보를 송신 또는 보조저장매체를 통해 전달하는 경우 안전한 알고리즘에 의한 암호화 조치를 하고 있는지 여부
18	내부망에 고유식별정보를 저장하는 경우, 안전한 알고리즘으로 암호화 조치를 하고 있는지 여부
19	암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차 수립 여부
20	업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하는지 여부
21	개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관‧ 관리하고 있는지 여부
22	개인정보취급자가 개인정보처리시스템에 접속한 기록에는 사용자 계정, 접속일시, 접속자 정보, 수행한 업무내용 등이 포함되어 있는지 여부
23	악성프로그램을 방지‧치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치․운영 및 최신의 상태로 유지하고 있는지 여부
24	개인정보처리시스템에 직접 접속하는 관리용 단말기에 대해 비인가자가 임의로 조작하지 못하도록 조치하고 있는지 여부
25	개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 장소에 보관하고 있는지 여부
26	재해‧재난 발생 시, 개인정보의 손실‧훼손 등을 방지하기 위하여 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 있는지 여부