다시 뛰는 공정도시 서울!

문서번호 정보통신보안담당관-5892 결재일자 2019.3.14. 공개여부 부분공개(2) 방침번호 시 민 실무사무관 개인정보보호팀장 정보통신보안담당관 서재호 도찬구 03/14 김완집 협조 주무관 오지성 - 서울문화포털 개인정보 유출 언론보도에 따른 - 행정안전부 개인정보보호 특별점검 결과보고 추진근거 대내(외) 협력 현황 사업비 부서(단체)명 협의내용 협의결과 개인정보 보호법 제29조 문화정책과 서울문화포털 개인정보 유출 관련 원인, 문제점 및 개선방안 추진중 없음 서울역사편찬원 정보통신보안담당관 (개인정보보호팀) - 서울문화포털 개인정보 유출 언론보도에 따른 - 행정안전부 개인정보보호 특별점검 결과보고 서울문화포털(문화정책과 관리？운영)에서 개인정보 유출 및 언론보도에 따른 행정안전부(개인정보보호정책과)에서 개인정보보호 특별점검을 실시하고 점검결과, 조치사항 및 개선방안에 대해 보고 드림. 1 관련 규정 ？？ 개인정보 보호법 제29조(안전조치의무) 및 제63조(자료제출 및 검사) ？？ 개인정보의 안전성 확보조치 기준(행정안전부 고시) ？？ 서울특별시 개인정보 보호에 관한 조례 제3조(개인정보 보호원칙) ？？ 서울특별시 개인정보 보호지침 ？？ 서울특별시 개인정보 처리방침 ？？ 서울특별시 개인정보 유출사고 대응 매뉴얼 ？？ 서울특별시 개인정보 내부관리계획 ？？ 서울특별시 정보통신 보안업무 처리규칙 2 개인정보 노출사항 ？？ 해당부서 : 서울역사편찬원(생산), 문화정책과(운영？관리) ？？ 유출규모 : 136명(주민등록번호 84명, 기타 52명) ？？ 노출기간 : 2011.8.8~2019.2.12(개인정보보호법 2011. 9.30 시행) ？？ 노출경로 : 게시판 등록 엑셀파일(서비스 중단된 도메인 - 구글검색) ○ 2011년 역사학자와 함께 문화유산 찾아가기 신청자 및 당첨자 명단 3 추진경과 ？？ ‘19.2.12 : jtbc 기자에게 시민제보(오선민기자 → 문화정책과 사실 확인) ？？ ‘19.2.12 : 개인정보 노출 인지즉시 파일 및 캐시 삭제(오전 10시) ？？ ‘19.2.17 : 서울문화포털 개인정보 유출(136명) 보도(jtbc 21시 뉴스) ？？ ‘19.2.18 : 개인정보 유출신고서 제출(문화정책과) ？？ ‘19.2.20~28 : 서울문화포털 일제점검(WAS 2대, DB 1대) ？？ ‘19.2.22 : 개인정보보호 특별점검 계획 통보(행정안전부) ？？ ‘19.2.27 : 정보주체에게 노출사실 통지(이메일, 문자) ？？ ‘19.3.05~08 : 행정안전부 특별점검 실시(2명) 4 점검개요 ？？ 점검기간 : ‘19.3.5(화)~8(금) - 4일간, 영상회의실(3동 1층) ？？ 점 검 반 : 2명(행정안전부 1명, 한국인터넷진흥원 1명) ？？ 수 검 자 : 4명(문화정책과 1, 서울역사편찬원 1, 유지보수업체 2) ※ 입회 및 지원 : 3명(정보통신보안담당관 도찬구/서재호/오지성) ？？ 점검방법 : 서면조사 및 현장점검 ？？ 점검내용 : 개인정보보호법 준수사항 및 이행여부 등 ？？ 요청사항 : 회의실, 노트북(2), 프린터, 기술인력 및 운영지원 ？？ 제출자료 ○ 서울문화포털 자료제출요구서 1부 ○ 서울시 개인정보 보호매뉴얼(처리방침, 보호지침, 내부관리계획 등) 각1부 ？？ 서울문화포털 개인정보보호법 준수여부 등 5 점검결과 ？？ 진행사항 구분 점검사항 비고 3.5(화) 서울문화포털 3.6(수) 서울역사편찬원 3.7(목) 3.8(금) ？？ 점검결과(지적사항) 업 6 개선방안 < 서울문화포털/서울역사편찬원포털 주요 지적사항 > ？？ 주요원인 ？？ 개선방안 ？？ 행정안전부 개인정보보호 특별점검 관련 애로사항 ○ 개인정보 유？노출 관련 언론보도시 행정처분을 위해 무조건 검사시행 - 서울시 : 개인정보 유출사고 대응매뉴얼, 정보통신 보안업무 처리규칙에 따라 사고조사를 통해 대응조치, 원인, 문제점 및 개선방안 도출 - 행안부 : 서울시와 개인정보호법 사고조사 업무 중복, 서울시에서 사고조사가 미흡하거나 부족할때 검사 또는 조사, 정책대안 제시없이 단순 규정위반 여부 점검 ○ 금융위원회 ‘전자금융 감독규정’처럼 인력 및 예산확보 규정 제시 필요 - 행정안전부에서 개인정보보호 관련 예산 또는 인력에 대한이 검사를 나옴으로써 서울시 고유업무 및 현안업무 처리에 막대한 지장 초래 - 개인정보처리시스템에 대한 안전성 확보을 위한 예반반영 또는 예산지원 규정 신설 필요 ○ 개인정보보호 검사에 따른 자료제출 요구가 수용할 수 없을 정도로 과다함 - 서울시의 개인정보보호 조직 및 인력, 개인정보처리시스템, 개인정보파일, 관리인력(75,531명), 관리기관수(25개 구청, 23개 투자출연기관, 150개 부서, 50개 사업소, 서울시의회) - 서울시를 타 시？도, 시？군？구와 단순 비교하는 것에는 문제가 많음. ○ 개인정보보호법 규정 자체가 임의규정(~ 할 수 있다.)으로 의무사항이 아닌데에도 불구하고 행정안전부에서 일방적으로 결정하고 검사 실시 - 서울시에서 정보통신 보안업무 처리규측, 개인정보 유출사고 발생시 매뉴얼에 따라 자체조사(대응조치, 원인, 문제점, 개선방안)하고 있으며 사고조사업무가 중복됨. ○ 행정안전부 개인정보 관리실태 검사시 서울시 전담직원 필요(최소 3개월) - 서울시 직원(팀장, 담당 등)이 검사지원, 보고자료, 보안교육, 개선방안, 재발방지를 위해 유사시스템 점검 등 최소 3개월이상 전담직원 필요 → 전담팀 필요 - 행정안전부에서 개인정보보호 관리실태 점검은 신규업무로서 적정인력충원 공문 시행 - 사례 : 행안부 1차 검사(‘18.9.18~12.31), 행안부 2차 검사(‘19.2.22~4.30) ○ 개인정보 유출사고에 대한 모든 책임은 원인자 부담원칙에 따라 유출사고 발생기관(부서)에서 져야 함 - 개인정보처리자, 개인정보보호책임자, 개인정보 총괄부서, 개인정보보호팀(개인정보보 직원에게 책임을 전가하는 것은 문제가 있음 - 서울시에서는 개인정보보호 관련 매뉴얼을 일괄정비하여 개인정보 유출사고와 관련한 모든 책임은 유출사고 부서(개인정보 관리책임자, 개인정보 취급자)에서 책임지도록 개정 ※ 서울시 : 인사, 예산, 업무 등 실국본부장 책임제 시행 중(모든 권한을 실국본부에 위임함) - 서울시 개인정보보호 총괄(스마트도시정책관-CPO, 정보통신보안담당관-총괄부서, 개인정보보호팀-담당자)은 사고조사 및 재발방지대책 마련, 개인정보보호 교육, 정책 및 기술지원, 사실관계 확인서 검토 ○ 행정안전부 개인정보보호 관리실태 검사결과 관련 : 2회 - 행정안전부 공문인데 행정안전부 직원은 한번도 나오지 않아 중앙정부와 지방정부간 소통과 협력에 문제발생[2018. 10월(금융위, KISA), 2019.3월(경찰, KISA)] ○ 행정안전부에서 개인정보 유출사고 점검을 가장 바쁠 때 나옴으로써 서울시 개인정보 고유업무추진에 지장 초래 - ‘18.10월 : ’19년 예산, 국정감사(행안위, 국토위), 서울시의회 행정사무감사, 워크숍 등 - ‘19.03월 : 서울시의회(2.22~3.12), 보안교육(2.20), 워크숍(3.21~22), 개인정보보호심의위원회(3.15), 민간위탁기관 개인정보보호관리실태 점검(3.7~13), 세계보안엑스포(3.6~8) 등 ？？ 행정안전부 개인정보보호 특별점검 관련 건의사항 ○ 서울시 개인정보 유출사고에 대해서는 자체적으로 조사하고, 결과는 공유 ○ 행정안전부 개인정보 유출사고 검사업무는 신규발생 업무로 지방정부에서 전담인력 확보 공문 시행(서울시 전담조직, 팀신설 운영 필요) ○ 금융위원회 ‘전자금융감독규정’처럼 ‘개인정보의 안전성 확보조치 기준(행안부 고시)’에 인력 및 예산확보 규정 반영 ○ 개인정보 유출사고 발생시 해당시스템에 대해서만 자료제출 요구 필요 - 모든 시스템에 대해 자료제출요구는 현실적으로 자료제출이 불가능하고 수용 곤란함. ○ 행정안전부 개인정보보호정책과에서 서울시 개인정보보호 인력 파견 수용 - 서울시 : 2007.4월부터 개인정보보호팀 조직신설 및 운영중에 있음 ○ 개인정보 유출사고와 관련 개인정보처리자, 개인정보보호책임자에서 개인정보 유출기관(부서 : 개인정보 분야별관리자, 개인정보취급자)로 관련법령 및 규정 개선 7 개인정보 유출사고 조사체계 규정안내 및 교육실시 규정준수 시스템 운영 이행점검 (서면조사) 정보통신보안담당관 운영부서 정보통신보안담당관 서면 조사결과 미비사항 발견 현장조사 사실확인서 작성 조사결과 통보 정보통신보안담당관 운영부서 정보통신보안담당관 미흡사항 개선 및 결과 제출 조치사항 확인 개선 미이행 시정권고 및 결과제출요구 운영부서 정보통신보안담당관 정보통신보안담당관 시정조치 및 결과제출 시정사항 확인 시정 미이행 조사의뢰 운영부서 정보통신보안담당관 정보통신보안담당관 8 추진계획 ？？ 행정안전부 개인정보보호 특별점검 관련 방문협의 : ‘19.4월중 ○ 무리한 자료요구, 사실확인서 날인 관련, 회의실/노트북등 지원 ○ 모든 책임을 CPO와 개인정보보호 총괄부서에 부가함 ○ 서울시 개인정보보호 사고조사 업무와 중복, 필요시 인력 및 기술지원 (※ 전자정부국장 최장혁, 정보기반보호정책관 김혜영, 개인정보보호정책과장 하인호) ？？ 주무과장 회의 및 실국본부장 회의자료 제출 : ‘19.3~4월 ○ 개인정보보호법 위반시 : 시정조치 및 과태료 부과 등의 행정처분 ※(서울문화포털, 동작구청) 홈페이지 개인정보유출에 따른 행정안전부 특별점검 실시 ？？ 대시민 홈페이지 개인정보 관리실태 이행 일제점검 : ‘19.3~4월 ○ 서울시(본청 및 사업소) : 121개 시스템 (※ 2개시스템 점검완료) ※ 서울시의회, 투자출연기관, 자치구(구청 산하기관 포함) : 자체계획수립 시행 ？？ 서울시 개인정보보호 매뉴얼 정비 ○ 개인정보 보호지침 : 개인정보보호의 날 운영, 개인정보 전반적 사항 ○ 개인정보 유출사고 대응매뉴얼 : 역할분담, 책임한계 등 ○ 개인정보 처리방침 : 민간위탁관련, 위수탁계약서 작성 등 ？？ ‘개인정보보호의 날’ 운영 강화[PC + 서버(WAS/DB)] : 매월 ○ 개인정보처리시스템 접근권한 및 접속기록 보관관리, 접속기록 정기적 점검 ○ 개인정보의 안전성 확보조치 준수여부 : 암호화, 비밀번호 작성규칙 준수, 개인정보 수집？이용 동의서, 민간위탁관련(수탁사관리, 위수탁계약서 등), 개인정보 파기(보존기간 경과, 수집목적 달성, 불필요한 파일 등) ？？ 개인정보취급자 교육 실시(매년 2회 이상) : 2019.4.2 ？？ 2019년 개인정보보호 관리수준 진단평가 협조(‘18. 7. 1 ~ ‘19. 6. 30) 붙임1. 개인정보 보호 특별점검계획 알림 1부 2. 개인정보 특별점검 관련규정 1부 3. 행정안전부 점검 보고 1부. 4. 언론보도_'개인정보 유출' 200만건(jtbc_‘19.2.17.) 1부 5. 사실확인서(9건, ‘19.3.8) 1부. 끝.

17371460

20210929141106

본청

정보통신보안담당관-5892

D0000035777836