다시 뛰는 공정도시 서울!

문서번호 정보시스템담당관-2270 결재일자 2020.2.6. 공개여부 부분공개(5) 방침번호 시 민 ★주무관 개인정보보호팀장 정보시스템담당관 오지성 여인선 02/06 한정우 협조 서울시 개인정보파일 일제정비 계획 2020. 2. 정보시스템담당관 (개인정보보호팀) 서울시 개인정보파일 일제정비 계획 본청 및 사업소 업무상 보유중인 개인정보파일에 대하여 보유기간 경과 및 처리 목적 달성 등 불필요한 파일을 일제정비하여 정보주체의 권리 보장과 개인정보 처리의 적정성 및 투명성을 확보하기 위함 1 추진 개요 ？？ 관련근거 ○「개인정보 보호법」 제32조 및 동법 제34조(개인정보파일 등록 및 공개) ○ 표준 개인정보 보호지침(행정안전부고시 제2017-1호, `17.7.26.) ？？ 대상 : 본청 및 사업소 ※자치구 및 투자출연기관 자체 추진 ？？ 기간 : ‘20.2.3. ~ 3.6.(행안부 주관 전 공공기관 동시 추진) ？？ 정비내용 및 절차 ○ 주요 정비내용 - 업무상 보유중인 개인정보파일 전수조사하여 등록？변경？파기 등 조치 - 업무용 PC 등에 보관된 개인정보파일 조사, 파기 또는 보안조치 - 미등록된 파일의 신규 등록 및 파일 변경사항 현행화 ○ 정비절차 개인정보파일 일제정비 계획 수립,시행 (2.3~2.7) ？ 개인정보파일 전수조사 (2.10~2.21) ？ 개인정보파일 일제정비(등록,변경, 파기 등), 개인정보보호 종합지원시스템 (intra.privacy.go.kr)에 등록 (2.24~3.6) 정보시스템담당관 본청 및 사업소 본청 : 정보시스템담당관 사업소 : 해당부서 ※ 다수 업무의 개인정보를 통합하여 하나의 시스템에 저장·운영하는 경우 업무별로 개인정보파일을 각각 등록하여야 함 <예시> 【통합DB를 운영하는 경우】 개인정보처리시스템 개인정보파일(업무단위) 지방세 납부 대상자 통합 DB ☞ 지방세 고액 납부자 명단 지방세 체납자 명단 과태료 부과 대상자 명단 과태료 체납자 명단 등 (고액 납부자 관리 업무) (지방세 체납자 관리 업무) (과태료 부과 대상자 관리 업무) (과태료 체납자 관리 업무) 2 개인정보파일 전수조사 ？？ 업무상 보유중인 개인정보파일 전수조사 ○ 각 부서는 자체 개인정보파일 보유현황 조사와 정비계획을 수립하여 정비 - 향후 주기적으로 목적달성이나 보유기간 변동 여부 등을 정기적으로 전수 조사하여 불필요한 파일을 과다 보유하는 경우가 없도록 조치 - 특히, 관행적으로 수집·보유하거나 과다하게 수집·보유하는 행위 금지 - 조직개편, 전보 등으로 기관 명칭, 업무 담당부서, 열람요구 접수 및 처리부서가 변경될 경우 수시 점검하여 현행화 ○ 각 부서가 업무용으로 운영하는 개인정보파일에 대하여 전수조사를 실시 후 등록 대상여부를 구분 - 등록 대상파일이 기 등록되어 있는 경우 ☞ 변경등록 절차에 따라 정비 ？ 특히, 개인정보 항목, 개인정보(파일)에 대한 접근권한 및 공유범위, 운영목적, 보유기간, 정보주체 수는 반드시 재검토하여 최소 범위로 조정 - 등록 대상파일이 등록되지 않은 경우 ☞ 신규등록 절차에 따라 정비 ？ 등록 대상파일에 불필요한 개인정보 항목, 보유기간 과다 설정 등 파일별, 등록항목별 모든 항목에 대해 적정성 여부 검토 후 등록 ？ 특히, 개인정보(파일)에 대한 접근권한 및 공유범위, 운영목적, 보유기간, 정보주체 수는 반드시 재검토하여 최소 범위로 조정 ？ 1개의 파일에 등록대상과 등록 제외대상이 혼재되어 있는 경우, 등록대상과 제외대상을 구분하여 각각 파일을 생성·분리 관리 ○ “개인정보파일 표준목록”을 참고하여 정비 - 지방자치단체(공통) 표준목록 수 : 540개 ？ [붙임3-3] 참조 ※ 개인정보파일의 등록·변경 시 개인정보보호 종합지원시스템(intra.privacy.go.kr)에서 기관별로 조회 가능 ？？ 업무용 PC 內 개인정보파일 전수조사 ○ PC개인정보암호화시스템(Privacy-i) 등을 활용하여 업무용 PC에 개인정보 또는 개인정보파일이 있는지 전수조사 ※ 시업무공지 참조 ○ 취급권한이 없는자가 업무용 PC 등에 개인정보(파일)을 참고용으로 보유하고 있는 경우 파기 절차에 따라 즉시 파기 ○ 목적을 달성하였거나 보유기간이 경과하여 파기한 개인정보파일 자료를 참고용으로 보유하고 있는 경우 파기 절차에 따라 즉시 파기 ○ 업무추진에 따라 지속적으로 운용이 필요하거나, 타 법령 등에서 보존을 요구하는 경우에는 안전성 확보조치 등 적절한 보안조치를 취하여 보존 3 개인정보파일 등록 및 변경 ？？ 등록(변경) 의무자 ○ 공공기관의 장은 개인정보파일을 운용하는 경우 행정안전부장관(개인정보보호 종합지원시스템)에게 그 사실을 등록하여야 함 ○ 등록된 사항에 변경이 있는 경우에도 역시 그 내용을 등록하여야 함 등록대상 공공기관의 범위(표준 개인정보 보호 지침 제49조) 1. 중앙행정기관(대통령 소속기관과 국무총리 소속기관을 포함한다) 및 그 소속기관, 지방자치단체 2. ？국가인권위원회법？에 따른 국가인권위원회 3. ？공공기관의 운영에 관한 법률？에 따른 공공기관 4. ？지방공기업법？에 따른 지방공사 및 지방공단 5. 특별법에 의하여 설립된 특수법인 6. ？초·중등교육법？, ？고등교육법？및 그 밖의 다른 법률에 따라 설치된 각급 학교 ？？ 등록(변경) 사항 ○ 다음 각 호의 사항 중 해당되는 내용을 등록하여야 함 파일 등록사항(법 제32조제1항, 제33조제4항 및 시행령 제33조) 1. 개인정보파일의 명칭 2. 개인정보파일의 운영 근거 및 목적 3. 개인정보파일에 기록되는 개인정보의 항목 4. 개인정보의 처리방법 5. 개인정보의 보유기간 6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자 7. 개인정보파일을 운용하는 공공기관의 명칭 8. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수 9. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서 10. 개인정보의 열람 요구를 접수ㆍ처리하는 부서 11. 개인정보파일의 개인정보 중 법 제35조제4항에 따라 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유 12. 개인정보파일 영향평가 결과 ○ 다음 사유에 해당하는 경우에는 개인정보파일 등록대상에서 제외 파일 등록 제외사항(법 제32조제2항) 1. 국가안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일 2. 범죄의 수사, 공소의 제기 및 유지, 형 및 감호의 집행, 교정처분, 보호처분, 보안관찰처분과 출입국관리에 관한 사항을 기록한 개인정보파일 3.『조세범처벌법』에 따른 범칙행위 조사 및 『관세법』에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 4. 공공기관의 내부적 업무처리만을 위하여 사용되는 개인정보파일 5. 다른 법령에 따라 비밀로 분류된 개인정보파일 ○ 다음의 경우에도 개인정보파일 등록대상에서 제외 - 헌법기관의 개인정보파일(법 제32조제6항, 표준지침 제50조제1호) ？ 국회, 법원, 헌법재판소, 중앙선거관리위원회 및 그 소속 기관의 개인정보파일 등록 및 공개에 관하여는 소관 규칙에 따름 - 법 제58조 제1항에 따라 적용이 제외되는 개인정보파일 ① 공공기관이 처리하는 개인정보 중「통계법」에 따라 수집되는 개인정보 ② 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보 ③ 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일 - 그 외에 등록 의무가 적용 제외되는 개인정보파일 ① CCTV 개인영상정보 파일, ② 자료？물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서, 저장하거나 기록하지 않고 폐기할 목적으로 수집한 개인정보파일 등 ※ 공공기관 내부 업무처리를 위한 개인정보파일 예시 ？ 임직원 전화번호부, 비상연락망, 인사기록파일 등 ？ 요금정산, 회의참석자 수당지급, 자문기구운영 등을 위한 개인정보파일 ※ 다른 법령에 따른 비밀 개인정보파일 예시 ？「공공기록물관리에관한법률」제33조(비밀 기록물의 관리) ？「보안업무규정」제4조(비밀의 구분) ？？ 등록(변경) 절차 ？ 정보시스템담당관 사전 협의 ○ 개인정보파일을 운용하는 공공기관의 개인정보취급자는 해당 공공기관의 개인정보보호 책임자에게 개인정보파일 등록을 신청함 ※ 본청 : 정보시스템담당관 / 사업소 : 사업소별 담당자 ○ 등록 신청을 받은 개인정보 보호책임자는 등록？변경 사항을 검토하여 그 적정성을 판단한 후 행정안전부에 개인정보파일을 등록함 - 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 등록？변경 사항의 검토 및 적정성 판단을 요청한 후, 상위 관리기관의 확인을 받아 행정안전부에 등록하여야 함 □ 등록(변경) 시한 ○ 개인정보파일을 운용하는 공공기관의 장은 그 운용을 시작한 날부터 60일 이내에 행정안전부령으로 정하는 바에 따라 행정안전부장관에게 등록사항의 등록을 신청하여야 함 ○ 등록 후 등록사항이 변경된 경우에도 또한 같음 4 개인정보파일 파기 ？？ 파기 기준 ○ 보유기간의 경과, 개인정보파일의 처리목적 달성 등 개인정보파일이 불필요하게 되었을 때에는 지체 없이(5일 이내) 파기하여야 함 - 개별적으로 보관하던 자료도 모두 삭제하여야 함 ○ 다만, 다른 법령에 따라 보존하여야 하는 경우에는 파기하지 않고, 그 법령에 따라 보존하여야 함 보존의무를 규정하고 있는 법례 예시 1. 주민등록법 : 세대별·개인별 주민등록표(영구), 주민등록증 발급대장(영구) 등 2. 전자상거래 등에서의 소비자보호에 관한 법률 및 시행령 ㆍ계약 또는 청약철회 등에 관한 기록(5년) ㆍ대금결재 및 재화 등의 공급에 관한 기록(5년) ㆍ소비자의 불만 또는 분쟁처리에 관한 기록(3년) 3. 의료법 시행규칙 : 환자명부(5년), 진료기록부(10년), 처방전(2년) 등 4. 통신비밀보호법 및 동법 시행령 : 통신사실 확인자료(12개월) ○ 개인정보파일을 파기하지 않고 보관하여, 법을 위반할 경우 최대 3천만원 이하의 과태료가 부과될 수 있음(법 제21조, 제75조) ？？ 파기 방법 ○ 개인정보파일 전체를 파기하는 경우 - 완전파괴(소각·파쇄 등) - 전용 소자장비를 이용하여 삭제 - 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행 ○ 개인정보처리자가 개인정보의 일부만을 파기하는 경우 - 전자적 파일 형태인 경우 ？ 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독 - 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 ？ 해당 부분을 마스킹, 천공 등으로 삭제 ？？ 파기 절차 ？ 정보시스템담당관 사전 협의 ○ 개인정보파일의 보유기간·처리목적 등을 반영한 개인정보 파기계획 수립·시행 - 시행령 제30조제1항에 따른 내부 관리계획에 개인정보 파기계획을 포함하여 시행 가능 - 정당한 사유가 없는 한 보유기간 종료일 또는 개인정보의 처리가 불필요한 것으로 인정되는 날부터 5일 이내에 파기하여야 함 【 파기 절차도 】 개인정보 취급자 개인정보 보호책임자 본청 및 사업소(시스템 운영 부서) 스마트도시정책관(정보시스템담당관) 개인정보파일 파기요청서 공문 제출 (표준지침 서식 제4호) ？ 파기 검토 ？ 개인정보파일 파기 ？ 승인 ？ 개인정보파일 삭제 승인요청 (intra.privacy.go.kr) ※ 사업소인 경우에만 해당, ※ 본청은 정보시스템담당관이 관리 ？ 파기결과 확인 후 개인정보파일 파기 관리대장 작성(표준지침 별지 제5호) 공개된 개인정보파일 등록 삭제 4 향후계획 ？？ 개인정보파일 일제정비 실시 : `20.2.10. ~ 3.6. ○ 본청 및 사업소 ？ 정보시스템담당관 ① 부서별 자체 정비 후 정비 결과(개인정보파일 등록·변경 신청서 또는 파기 요청서)를 정보시스템담당관으로 공문 제출 ② 정비결과를 개인정보보호 종합지원시스템(intra.privacy.go.kr)에 등록 ？ 본 청 : 본청 내 개인정보파일의 정비결과를 정보시스템담당관에서 총괄관리 ？ 사업소 : 사업소별로 개인정보처리시스템 담당자가 직접 등록 ？？ 개인정보파일 일제정비 결과보고 : `20.3.17. 붙임 1. 개인정보파일 등록·변경 신청서(양식) 1부. 2. 개인정보파일 파기 요청서(양식) 1부. 3. 개인정보파일 관련 참고자료 3부. 끝.

19726987

20210929004107

본청

정보시스템담당관-2270

D0000039282040