다시 뛰는 공정도시 서울!

문서번호 전산통신과-1518 결재일자 2019.4.10. 공개여부 부분공개(7) 방침번호 시 민 담당자 전산연구팀장 전산통신과장 남현석 엄철진 04/10 윤기응 협 조 개인정보보호 연간 운영 계획 2019. 4. 목차 contents Ⅰ. 추진개요 3 Ⅱ. 2018년도 추진 성과 3 Ⅲ. 2019년도 추진 계획 1. 조직 체계 5 2. 현 황 6 3. 추진 일정 7 4. 세부추진내용 8 Ⅳ. 기대효과 11 [별첨] 1. 개인정보보호 업무 서식 12 Ⅰ 추진 개요 ？？ 추진근거 ？ 개인정보 보호법(2017.10.19.) ？ 행정안전부 표준 개인정보 보호지침(2017.12.12.) ？ 서울종합방재센터 개인정보보호 내부관리계획(2018.12.18.) ？？ 필요성 ？ 신고자의 개인정보 수집 및 신고자 개인정보의 반영구적 보유 등으로 인하여 개인정보보호 필요성 대두 ？ 개인정보 담당자·취급자의 의식 및 역량 부족에 따른 개인정보의 오·남용 등 개인정보보호법 위반사례가 발생하지 않도록 사전예방 필요 ？ 개인정보보호법이 강화됨에 따라 개인정보보호 의식 및 역량을 강화할 수 있는 개인정보보호에 대한 주기적인 교육 필요 ？？ 추진목표 ？ 정보시스템 접근 통제 강화로 개인정보 유출 예방과 신고자의 개인정보 유출에 대한 불안감 해소 ？ 개인정보 유출 및 오·남용 방지를 통해 정보주체의 권익보장 ？ 개인정보 담당자·취급자에 대한 개인정보보호 교육을 통해 개인정보보호 의식제고 활동 강화 Ⅱ 2018년도 추진 성과 ？？ 개인정보처리시스템 보안 강화 ？ 관련근거 : 개인정보보호법 제 29조(안전조치의무) ？ 목 적 : 개인정보 체계적인 관리 및 보안취약점 개선 ？ 대 상 : 통합로그관리시스템, 매체제어시스템 신규설치 ？ 내 용 - 119전산정보시스템에서 운영 중인 서버장비,네트워크, 보안장비 등에 대한 로그수집하고 분석,관리 - 접근기록 관리를 통해 접속자, IP, 접속방법 등 확인 - USB, 이동저장장치, 스마트폰 등의 정보유출 방지 저장 매체 ？？ 개인정보보호 보호 역량 교육 실시 ？ 담당 업무별, 대상자별 맞춤형 교육 실시 - 일 자 : 2018.8.24. - 내 용 : 개인정보처리시스템 관리자 개인정보 유출 방지 및 안전한 관리방안 사이버 교육 실시 - 인 원 : 총220명 수료 ？ 개인정보보호 위탁업체 관리자 자체 교육 - 일 자 : 분기별 1회(전산)/반기별 1회(통신) - 내 용 : 개인정보 담당자 및 취급자의 개인정보 의식 제고 강화 - 인 원 : 전산 유지보수직원 13명/통신 유지보수직원 19명 ？？ 개인정보파일정비 ？ 긴급구조표준시스템 신고자 개인정보 삭제 - 일 자 : 2018.8.31.~2018.12.03. - 내 용 : 2014.12.25.~2013.4.30. 까지 개인정보 4,700,190건 삭제 ？ 119신고 녹취정보파일 파기 - 일 자 : 2018.7.14 - 내 용 : 2009.11.19.~2014.12.31. 까지 녹취파일 44,20,048건 파기 ？ 119신고 무선녹취파일 파기 - 일 자 : 2018.8.17. - 내 용 : 2015.1.~2015.12.31. 까지 10,220,000건 무선녹취파일 파기 ？？ 개인정보보호 시스템 운영 ？ 개인정보처리시스템 관리실태 조사 및 제출 - 일 자 : 2018.05.04 - 내 용 : 개인정보처리시스템 관리적,기술적,물리적 보호조치 ？ 주민등록번호 암호화 형식 변경 - 일 자 : 2018.8.9 - 내 용 : SHA256방식으로 고유식별번호 입력 시 긴급구조표준시스템에서 암호화 ？ 개인정보 제3자 제공 - 일 자 : 2018.1.~2012.12. - 내 용 : 경찰청, 법원, 국민건강보험 등 96건 제공 ？？ 개인정보처리시스템 접근권한 및 접근 기록 관리 ？ 업무수행에 필요한 최소한의 범위로 접근권한 부여(수시) ­ 접근권한 부여, 변경, 말소에 대한 이력을 최소 3년 보관(의무사항) ？ 개인정보취급자의 처리업무(개인정보 입/출력, 수정 등) 기록보관 ­ 기록사항 : 처리일시, 수행업무, 취급자, IP주소 등 ­ 접속기록 위·변조 방지를 위해 처리 이력 6개월 이상 보관(의무사항) 및 점검(분기별) Ⅲ 2019년도 추진계획 1.조직체계 ？？ 조직도 개인정보보호책임자 (전산통신과장) 개인정보보호 부서별 책임자(각 부서 팀장) 개인정보보호 총괄 업무 담당자 (남현석) 정보공개 긴급구조표준시스템 종합재난관리시스템 녹취관리시스템 영상정보시스템 무선통신시스템 구조활동정보시스템 개인정보취급자 김정희 남현석 남현석 신수환 이지훈 차영진 남현석 해당직원 ？？ 역할별 주요 업무 구 분 주 요 업 무 비 고 개인정보 보호책임자 ？개인정보보호 계획의 수립 및 시행 ？개인정보 처리 실태 조사 및 개선 ？개인정보 처리와 관련한 불만의 처리 및 피해 구제 ？개인정보 유출 및 오？남용 방지를 위한 내부통제 시스템의 구축 ？개인정보보호 교육 계획 수립 및 시행 ？개인정보파일의 보호 및 관리？감독 ？개인정보 처리방침의 수립？변경 및 시행 ？개인정보보호 관련 자료의 관리 ？처리 목적이 달성되거나 보유기간이 지난 개인정보 파기 전산통신과장 개인정보보호 분야별책임자 ？처리목적 달성, 보유기간 경과 개인정보 파기 등 ？부서 내 개인정보취급자에 대한 관리감독 ？부서 개인정보파일 및 개인정보처리시스템에 대한 안전성 확보조치 ？부서 개인정보파일에 대한 정보주체의 열람·정정·삭제 청구 시 처리 ？개인정보 침해사고 등 개인정보보호관련 사항을 개인정보보호책임자에게 보고 ？처리목적 달성, 보유기간 경과 개인정보 파기 등 ？기타 개인정보 보호를 위해 필요한 조치 각 부서장 개인정보 보호담당자 ？개인정보 보호책임자를 보좌하여 기관 내 개인정보보호 업무 전반에 관한 사항 담당 전산통신과 지령정보 담당자 개인정보보호 분야별 담당자 ？부서 내 개인정보보호 업무에 관한 사항 담당 각 부서 담당자 개인정보취급자 ？내부관리계획의 준수 및 이행 ？개인정보의 기술적·관리적 보호조치 기준 이행 ？업무상 알게 된 개인정보를 제3자에게 누설금지 ？기타 정보주체의 개인정보 보호를 위해 필요한 사항 이행 해당 업무담당자 2.현황 ？？ 개인정보 시스템 개인정보파일 보유기간 ？？ 영상정보처리기기 설치대수 설치위치 및 촬영범위 촬영시간 보관기간 보관장소 ？？ 개인정보 위탁 업무 위탁업무의 내용 위탁기관 수탁기관명 119종합전산시스템 유지보수 2019.1.1.~2019.12.31. ㈜에이텍아이엔에스 무선·영상시스템 및 소방관서 통신장비 유지관리 2019.1.1.~2019.12.31. ㈜SD시스템 ？？ 개인정보 제3자 제공 시스템명 제공부서 제공받는자 제공항목 제공목적 법적 근거 119지령전산시스템 (긴급구조표준시스템, 지리정보시스템, 녹취관리시스템) 종합상황실 경찰서/검찰/ 법원/보험회사 성명,녹취, 구조활동내역 수사/보험 증거자료 형사소송법 등 종합상황실 개인 녹취내용 증거자료 정보주체 동의 3.추진일정 연번 업무 시기 비고 1 개인정보보호법 등 법령개정사항 점검 법령개정 시 2 개인정보파일 일제 정비 상반기 3 개인정보 관리수준진단 대비 상반기 4 개인정보 처리방침 개정 및 홈페이지 공개 사유발생 시 5 개인정보처리시스템 취약점 점검 및 조치 사유발생 시 6 업무용 PC의 개인정보(고유식별정보) 보유 현황 점검 및 암호화 매월 7 암호화키 및 비밀번호 관리에 따른 암호화키 변경 3/4분기 8 개인정보처리시스템 접근권한 및 접근 기록 관리 분기별 9 개인정보 교육 계획 상반기 4.세부추진내용 1) 개인정보 관리 체계 정비 ？？ 개인정보보호법 등 법령개정사항 점검 ？ 관련근거 : 개인정보보호법 및 관련규정(훈련,예규 등) ？ 목 적 : 법령과 규정 변경에 따라 개인정보처리자 이행 사항 점검 ？ 최근 1년 법령개정 현황 - 개인정보보호법 : 2017.7.26. 개정 - 개인정보보호법 시행령 : 2018.12.24. 개정시행 - 개인정보보호법 시행규칙 : 2017.10.19. 개정시행 - 행안부 개인정보보호 지침 : 2017.12.12. 개정시행 ？ 일 정 : 법령 개정 시 ？ 내 용 - 법 개정사항에 따른 변동사항 - 주요 업무처리절차 개선 및 조치사항 확인 - 법령개정사항에 따라 연간운영계획 및 내부관리계획 반영 ？？ 개인정보파일 일제 정비 ？ 관련근거 : 개인정보보호법 21조 ,시행령 15조의2 ,16조 ？ 목 적 : 보유기관 경과 및 처리목적 달성에 따른 개인정보파일 파기 ？ 대 상 : 긴급구조표준시스템, 종합재난관리시스템 녹취관리시스템, 영상관리시스템 ？ 일 정 : 상반기 ？ 방 법 - 전자적 파일 형태인 경우 복원이 불가능한 방법으로 영구 삭제 - 그 외의 기록물,인쇄물 등의 경우 파쇄 또는 소각 ？？ 개인정보 관리수준진단 대비 ？ 진단내용 : 3개 분야 12개 지표 분 야 주요 사항 관리체계 구축 및 운영 개인정보보호 기반마련 업무위탁에 따른 개인정보보호 활동 개인정보보호 교육 개인정보보호책임자 역할수행 보호대책 수립 및 이행 5. 개인정보수집 6. 개인정보 목적 외 이용·제3자 제공절차 운영 7. 개인정보 영향평가 수행 8. 영상정보처리기기 설치 및 운영 침해대책 수립 및 이행 9. 개인정보 유·노출 방지 및 자율개선 10.개인정보 침해대응 절차서 수립 11.개인정보처리시스템의 안전한 이용 및 관리 12.고유식별정보의 처리 제한 ？ 진단 대상 기간 : 2018년 7월 ~ 2019년 6월 2) 개인정보 유·노출 방지 강화 ？？ 개인정보 처리방침 개정 및 홈페이지 공개 ？ 근거: 개인정보 보호법 제30조 및 같은 법 시행령 31조 ？ 대상: 서울종합방재센터 홈페이지 ？ 시기: 개인정보 처리방침 변경 사유 발생 시 ？ 내용: 개인정보 처리방침을 현행화하여 홈페이지에 공개 - 개인정보 처리방침에 개인정보파일, 위탁사항, 목적 외 제3자 제공, 개인정보 보호책임자 및 담당자 등 변경 내용 현행화 ？？ 개인정보처리시스템 취약점 점검 및 조치 ？ 개인정보처리시스템 웹 취약점 점검 및 개선 ­ 대상 : 서울종합방재센터 홈페이지 및 종합재난관리시스템 ？？ 업무용 PC의 개인정보(고유식별정보) 보유 현황 점검 및 암호화 ？ 근거: 개인정보 보호법 제24조와 제24조의2 ？ 대상: 서울종합방재센터 업무용 PC ？ 내용 - 매월 「사이버보안진단의 날」에 PC개인정보관리시스템(Privacy-i) 실행 - 법적 근거 없이 보유한 고유식별정보 파기 - 법적 근거에 의하여 보관할 경우 고유식별정보는 암호화하여 저장 ？？ 암호화키 및 비밀번호 관리에 따른 암호화키 변경 ？ 관련근거 : 서울종합방재센터 암호화키 관리지침 제10조 (암호화키 및 비밀번호 관리-1년마다 변경) ？ 목 적 : 보유중인 주민등록번호 암호화 조치로 유출 시 피해 방지 ？ 대 상 : 위치 요청자 및 요구조자 ？ 일 정 : 3/4분기 ？ 내 용 - 암호화키 노출 위험의 최소화 - 암호화 형식 변경 ？？ 개인정보처리시스템 접근권한 및 접근 기록 관리 ？ 업무수행에 필요한 최소한의 범위로 접근권한 부여(수시) ­ 접근권한 부여, 변경, 말소에 대한 이력을 최소 3년 보관(의무사항) ？ 개인정보취급자의 처리업무(개인정보 입/출력, 수정 등) 기록보관 ­ 기록사항 : 처리일시, 수행업무, 취급자, IP주소 등 ­ 접속기록 위·변조 방지를 위해 처리 이력 6개월 이상 보관(의무사항) 및 점검(분기별) 3) 개인정보보호 교육 ？？ 개인정보 교육 계획 ？ 관련근거 : 개인정보보호법 제 28조 제2항 ？ 연 1회 이상 (개인정보취급자에 대한 정기교육실시) ？ 목 적 : 개인정보취급자의 적정 수준 보장 및 책임 의식 강화 ？ 대 상 : 전직원 ？ 일 정 : 상반기 구 분 주요 사항 교육방법 개인정보보호 책임자(CPO) ？ CPO 역할과 과제 ？ 개인정보보호법 정책 방향 및 주요이슈 행정안전부 주관 CPO교육 참석 (상반기,하반기) 개인정보보호 담 당 자 ？ 개인정보보호법 주요내용 ？ 개인정보 안정성 확보조치 ？ 개인정보 침해·위반 사례 분석 ？ 개인정보 노출 예방 방법 행정안전부 주관 교육 참석 개인정보보호 세미나 참석 (3, 6, 9, 10월) 개인정보보호 취 급 자 ？ 개인정보 안전성 확보조치 ？ 개인정보보호법 이해하기 ？ 업무용 PC에서 개인정보 보호조치 설정하기 개인정보보호 종합포탈 사이버 교육 수강 CCTV운영자 ？ 개인영상정보 처리 유의사항 ？ 열람, 이용, 파기 등 기록조치 개인정보보호 분야별 책임자 교육 (연1회) 용역업체 직원 ？ 위탁업무 외 개인정보 처리금지 ？ 개인정보보호 필수조치 ？ 재위탁 제한 개인정보보호 분야별 책임자교육 (연2회 이상) Ⅳ 기대효과 ？ 개인정보 관련 법·지침 준수로 개인정보 관리체계 확립 ？ 주기적인 개인정보보호 교육으로 개인정보 인식 제고 ？ 개인정보 노출점검시스템 운영기반 마련으로 유·노출 사고 사전 방지 [관련서식 1] 암호화키 관리 대장 일련번호 일자 키사용용도 암호화키 부서명/사용자명 사용자서명 정보호보담당자서명 [관련서식 2] 암호화키 복구 대장 일련번호 일자 암호화키 관리대장 일련번호 키 복구 사유 부서명/ 사용자명 사용자서명 정보호보 담당자서명 NO.1 [별지 3호] 개인정보의 목적 외 이용 및 제3자 제공 대장 개인정보 또는 개인정보파일 명칭 이용 또는 제공 구분 ［ ］목적 외 이용 ［ ］제3자 제공 목적 외 이용기관의 명칭 (목적 외 이용의 경우) 담당자 소 속 성 명 전화번호 제공받는 기관의 명칭 (제3자 제공의 경우) 담당자 성 명 소 속 전화번호 이용하거나 제공한 날짜, 주기 또는 기간 이용하거나 제공한 형태 이용 또는 제공의 법적 근거 이용 목적 또는 제공받는 목적 이용하거나 제공한 개인정보의 항목 「개인정보 보호법」 제18조제5항에 따라 제한을 하거나 필요한 조치를 마련할 것을 요청한 경우에는 그 내용 [별지 4호] 개인정보파일 파기 요청서 작성일 작성자 파기 대상 개인정보파일 생성일자 개인정보취급자 주요 대상업무 현재 보관건수 파기 사유 파기 일정 특기사항 파기 승인일 승인자 (개인정보 보호책임자) 파기 장소 파기 방법 파기 수행자 입회자 폐기 확인 방법 백업 조치 유무 매체 폐기 여부 [별지 5호] 개인정보파일 파기 관리대장 번호 개인정보 파일명 자료의 종류 생성일 폐기일 폐기사유 처리담당자 처리부서장 ■ 개인정보 보호법 시행규칙 [별지 제1호서식] 개인정보의 목적 외 이용 및 제3자 제공 대장 개인정보 또는 개인정보파일 명칭 이용 또는 제공 구분 ［ ］목적외 이용 ［ ］제3자 제공 목적 외 이용기관의 명칭 (목적 외 이용의 경우) 담당자 소 속 성 명 전화번호 제공받는 기관의 명칭 (제3자 제공의 경우) 담당자 성 명 소 속 전화번호 이용하거나 제공한 날짜, 주기 또는 기간 이용하거나 제공한 형태 이용 또는 제공의 법적 근거 이용 목적 또는 제공받는 목적 이용하거나 제공한 개인정보의 항목 「개인정보 보호법」 제18조제5항에 따라 제한을 하거나 필요한 조치를 마련할 것을 요청한 경우에는 그 내용 210mm×297mm[인쇄용지(특급) 34g/㎡] [별표 1호] 개인정보파일 보유기간 책정 기준표 보유기간 대상 개인정보파일 영구 1. 국민의 지위, 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일 2. 국민의 건강증진과 관련된 업무를 수행하기 위해 운용하는 개인정보파일 중 영구보존이 필요한 개인정보파일 준영구 1. 국민의 신분, 재산을 증명하기 위해 운용하는 개인정보파일 중 개인이 사망, 폐지 그 밖의 사유로 소멸되기 때문에 영구 보존할 필요가 없는 개인정보파일 2. 국민의 신분증명 및 의무부과, 특정대상 관리 등을 위하여 행정기관이 구축하여 운영하는 행정정보시스템의 데이터 셋으로 구성된 개인정보파일 30년 1. 관계 법령에 따라 10년 이상 30년 미만의 기간 동안 민？형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일 10년 1. 관계 법령에 따라 5년 이상 10년 미만의 기간 동안 민？형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일 5년 1. 관계 법령에 따라 3년 이상 5년 미만의 기간 동안 민？형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일 3년 1. 행정업무의 참고 또는 사실 증명을 위하여 1년 이상 3년 미만의 기간 동안 보존할 필요가 있는 개인정보파일 2. 관계 법령에 따라 1년 이상 3년 미만의 기간 동안 민. 형사상 또는 행정상의 책임 또는 시효가 지속되거나, 증명자료로서의 가치가 지속되는 개인정보파일 3. 각종 증명서 발급과 관련된 개인정보파일(단 다른 법령에서 증명서 발급 관련 보유기간이 별도로 규정된 경우 해당 법령에 따름) 1년 1. 상급기관(부서)의 요구에 따라 단순 보고를 위해 생성한 개인정보파일 [별표 2호] 개인정보 처리단계별 준수사항 및 위반시 벌칙사항 구분 주요내용 벌칙 및 과태료 수 집 ㆍ 이 용 민감정보(사상ㆍ신념ㆍ정당가입ㆍ건강 등) 처리기준 위반(제23조) 5년 이하 징역 또는 5천만원 이하 벌금 고유식별정보(주민등록ㆍ여권ㆍ운전면허 번호 등) 처리기준 위반(제24조) 주민등록번호 처리기준 위반(제24조의2) 3천만원 이하 과태료 부당한 수단이나 방법에 의해 개인정보를 취득하거나 개인정보처리에 관한 동의를 얻는 행위를 한 자(제59조) 3년 이하 징역 또는 3천만원 이하 벌금 개인정보의 수집기준 위반(제15조) 5천만원 이하 과태료 만14세 미만 아동의 개인정보 수집시 법정대리인 동의획득여부 위반(제22조) 탈의실ㆍ목욕실 등 영상정보처리기기 설치 금지 위반(제25조) 최소한의 개인정보 외 정보의 미동의를 이유로 재화 또는 서비스 제공을 거부한 자(제16조, 제22조) 3천만원 이하 과태료 주민등록번호를 제공하지 아니할 수 있는 방법 미제공(제24조의 2) 동의획득방법 위반하여 동의받은 자(제22조) 1천만원 이하 과태료 제 공 ㆍ 위 탁 정보주체의 동의 없는 개인정보 제3자 제공(17조) 5년 이하 징역 또는 5천만원 이하 벌금 개인정보의 목적 외 이용ㆍ제공(제18조, 제19조, 제26조, 제27조) 개인정보 주체에게 알려야 할 사항을 알리지 아니한 자(제15조, 제17조, 제18조, 제26조) 3천만원 이하 과태료 정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지 위반(제20조) 업무위탁에 따른 개인정보의 처리제한 및 공개의무 위반(제26조) 1천만원 이하 과태료 개 인 정 보 안 전 관 리 개인정보의 누설 또는 타인 이용에 제공(제59조) 5년 이하 징역 또는 5천만원 이하 벌금 개인정보의 훼손, 멸실, 변경, 위조, 유출(제59조) 영상정보처리기기 설치목적과 다른 목적으로 임의 조작하거나 다른곳을 비추는 자 또는 녹음기능을 사용한 자(제25조) 3년 이하 징역 또는 3천만원 이하 벌금 직무상 알게 된 비밀을 누설하거나 직무상 목적 외 사용한 자(제60조) 안전성 확보에 필요한 보호조치를 취하지 않아 개인정보를 도난ㆍ유출ㆍ변조 또는 훼손당하거나 분실한 자(제23조, 제24조, 제25조, 제29조) 2년 이하 징역 또는 2천만원 이하 벌금 안전성 확보에 필요한 조치의무 불이행(제23조, 제24조, 제25조, 제29조) 3천만원 이하 과태료 영상정보처리기기 설치ㆍ운영기준 위반(제25조) 개인정보를 분리해서 저장ㆍ관리하지 아니한 자(제21조) 1천만원 이하 과태료 개인정보처리방침 미공개(제30조) 개인정보관리책임자 미지정(제31조) 영상정보처리기기 안내판 설치 등 필요조치 불이행(제25조) 정 보 주 체 권 익 보 호 개인정보의 정정ㆍ삭제요청에 대한 필요한 조치를 취하지 않고, 개인정보를 계속 이용하거나 제3자에게 제공한 자(제36조) 2년 이하 징역 또는 2천만원 이하 벌금 개인정보의 처리정지 요구에 따라 처리를 중단하지 않고 계속 이용하거나 제3자에게 제공한 자(제37조) 개인정보 유출사실 미통지 및 조치결과 미신고(제34조) 3천만원 이하 과태료 정보주체의 열람 요구의 부당한 제한ㆍ거절(제35조) 정보주체의 정정ㆍ삭제요구에 따라 필요 조치를 취하지 아니한 자(제36조) 처리정지된 개인정보에 대해 파기 등의 조치를 하지 않은 자(제37조) 시정명령 불이행(제64조) 개인정보의 이전 사실을 알리지 아니한 자(제27조) 1천만원 이하 과태료 정보주체의 열람, 정정ㆍ삭제, 처리정보 요구 거부 시 통지의무 불이행(제35조, 제36조, 제37조) 관계물품ㆍ서류 등의 미제출 또는 허위제출(제63조) 출입ㆍ검사를 거부ㆍ방해 또는 기피한 자(제63조) 파기 개인정보 미파기(제21조) 3천만원 이하 과태료

17576106

20210929130229

본청

전산통신과-1518

D0000036001782