다시 뛰는 공정도시 서울!

문서번호 정보시스템담당관-14925 결재일자 2021. 10. 5. 공개여부 부분공개(5) 방침번호 시 민 실무사무관 개인정보보호팀장 정보시스템담당관 스마트도시정책관 김세형 여인선 한정우 10/05 박종수 협 조 정보통신보안담당관 이철희 주무관 정성중 - 공공데이터 이용 활성화 및 안전한 활용을 위한 - 서울시 가명정보 처리 가이드라인 수립(안) 2021. 10. 5.(화) 스마트도시정책관 (정보시스템담당관) 제9조 제1항 2호 목 차 1. 추진개요 1 □ 추진배경 □ 기본방향 □ 관련근거 □ 주요 용어정의 2. 개인정보 현황 및 조직체계 3 □ 개인정보 보유현황 □ 가명정보 처리 조직체계 3. 가명처리 단계별 절차 4 □ 가명처리 개요 □ 부서별 역할 □ 가명정보 처리절차 □ 가명정보 제공 단계별 검토사항 4. 가명정보 결합 및 반출 13 □ 가명정보 결합·반출 개요 □ 가명정보 결합·반출 세부절차 □ 결합 신청절차 및 결합전문기관 지정 5. 내부결합 처리절차 16 □ 가명정보 내부결합 개요 □ 내부결합 세부절차 □ 결합키의 안전한 관리 □ 내부결합 처리절차도 6. 향후계획 18 7. 행정사항 19 [별지 서식] 20 - 공공데이터 이용 활성화 및 안전한 활용을 위한 - 서울특별시 가명정보 처리 가이드라인 수립(안) 데이터3법 개정·시행(’20.8.)으로 민·관·학·연 등 다양한 데이터 결합 이용수요 증가가 예상되며, 가명정보의 안전한 활용 확대 및 데이터경제 생태계 구축을 위해 서울시 가명정보 처리 가이드라인을 마련하고자 함 1 추진개요 ？？ 추진배경 ？ 4차 산업혁명 시대 신성장 동력인 ‘데이터’ 이용 활성화를 위해 다양한 산업에서 ‘가명정보’를 활용하도록 법적근거가 마련됨 - 서울특별시 개인정보 보호에 관한 조례 일부개정(‘21.7.20) : 서울시 가명처리 근거 마련 ？ 가명정보 처리과정에서 개인정보 오·남용 방지 및 데이터 산업 활성화를 위한 안전한 가명정보 활용을 위한 서울시 가명정보 처리지침 및 절차 필요 - 가명정보 활용목적 및 범위, 처리절차, 가명정보의 안전성 확보 방안, 주요 가명처리 기술 등 ？ 가명정보 제공 신청, 적합성·적정성 검토 및 내부결합 절차, 안전성 확보조치 등 서울시 가명처리 세부절차 마련 필요 - 가명정보 제공여부 결정을 위한 적합성 검토 및 가명처리 적정성 검토, 안전한 개인정보 관리·보관을 위한 관리적·기술적 안전조치 등 - 내부결합 및 활용에 따른 가명처리, 반출절차, 결합검증 등 ？？ 기본방향 ？ 서울시 보유 공공데이터의 안전한 활용기반 조성 - 가명처리 시설 구축 및 단계별 조치사항, 안전성 확보조치 기준 마련 ？ 중앙정부와 서울시간 협력을 통한 데이터 서비스 모델 발굴 - 보호위원회, 과기정통부 등과 협력하여 데이터 활성화를 위한 시범사업 추진 ？ 데이터 이용 활성화를 위해 가명정보 교육 및 상담지원 강화 - 가명정보 관련 실무교육 및 가명처리 상담(가명처리 지원센터 운영) 지원 ？？ 관련근거 ？ 개인정보보호법 제28조의2~7 및 시행령 제29조의3~6 - 가명정보 처리 및 데이터 간 결합 근거 마련 - 가명정보 처리 안전성 확보조치(추가정보의 분리 및 보관, 처리 내용 기록관리 등) 의무 신설 ？ 가명정보 처리 가이드라인(개인정보보호위원회, ’20.9.) - 가명정보 처리 단계별 절차, 주요기술 안내 및 가명정보의 안전조치에 관한 사항 ？ 공공분야 가명정보 제공 실무안내서(행정안전부, 개인정보보호위원회 ’21.1.) - 공공데이터에 대한 가명처리 및 제공 시 실무적으로 참고할 수 있는 안내서 ？？ 주요 용어정의 ？ (가명정보) 개인정보를 가명처리 함으로써 원래 상태로 복원하기 위한 추가 정보의 사용·결합 없이는 특정 개인을 알아볼 수 없는 정보 ？ (가명처리) 개인정보 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가정보 없이는 특정개인을 알아볼 수 없도록 처리 ？ (익명정보) 시간·비용·기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 개인을 알아볼 수 없는 정보 ？ (추가정보) 개인정보의 전부 또는 일부를 대체하는 데 이용된 수단이나 방식(알고리즘 등), 가명정보와의 비교·대조 등을 통해 삭제 또는 대체된 개인정보를 복원할 수 있는 정보(매핑테이블 정보, 가명처리에 사용된 개인정보 등) 등 ？ (특이정보) 다른 데이터와 확연히 구분되거나 비정상적으로 데이터의 분포를 벗어나 측정이 되는 값으로서, 개인정보 식별과 관련하여 특정 개인의 식별 가능성이 매우 높은 정보 ？ (재식별) 특정개인을 알아볼 수 없도록 처리한 가명정보에서 특정 개인을 알아보는 것 ？ (개인정보파일) 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물 2 개인정보 현황 및 조직체계 ？？ 개인정보 보유현황 [2021.9. 현재] 구 분 계 서울시 서울시의회 자치구 투자 출연기관 소 계 본 청 사업소 개인정보처리시스템(식) 1,150 84 55 29 8 1,018 40 개인정보 파일 (개) 14,762 130 79 51 11 14,359 262 정보주체의 수 (천건) 619,880 130,965 110,613 20,352 12 474,836 14,067 ？？ 가명정보 처리 조직체계 ？ 조직체계 개인정보 처리자 (서울특별시장) 개인정보 보호책임자 (CPO : 스마트도시정책관) 개인정보 총괄관리자 (정보시스템담당관) 개인정보 관리책임자 (개인정보처리시스템 운영부서장) 결합키관리기관(KISA) 결합전문기관 (신청기관에 따라 지정) 개인(가명)정보 보호담당자 (개인정보보호팀 담당자) 개인(가명)정보취급자 (개인정보처리시스템 담당자) ？ 가명정보 처리 총괄부서 및 주요업무 - 가명처리 신청(목적)에 대한 적합성 및 가명처리 적정성 검토 총괄 - 가명정보 취급자에 대한 관리·감독 - 가명정보에 대한 안전한 관리를 위한 안전성 확보조치(관리적·기술적·물리적) 수행 - 가명처리 심의위원회 인력풀 구성 및 운영 - 가명처리 솔루션 및 가명처리 지원센터 운영 - 그 외 안전하고 효율적인 가명정보 처리를 위해 필요한 사항 ？ 가명처리(신청)부서 - 가명정보 제공신청 적합성(가명정보 처리 목적 적합여부) 및 적정성 검토 - 위험도 평가 시 검토 결과보고서 작성 - 가명처리 대상선정, 위험도측정, 가명처리 수준정의 및 가명처리, 사후관리 등 ？ 가명처리 관련 업무 담당자 분리 - 가명처리를 수행한 자와 가명정보의 적정성을 검토하는 자, 가명정보취급자(활용 등)는 관리적·기술적으로 권한 분리 ※ 출처 : 가명정보 처리 가이드라인(개인정보보호위원회, p11) 3 가명처리 단계별 절차 ？？ 가명처리 개요 ？ 서울시 전기관(본청, 사업소) 보유 개인정보파일에 대한 가명처리 요구 시, 해당(신청)부서에서 진행할 가명처리 절차 및 단계별 처리내용, 수행부서 역할 규정 ※ 본 가명정보 처리지침에 규정하지 않은 사항은 개인정보위 ‘가명정보 처리 가이드라인’ 적용 ？？ 부서별 역할 구분 부서명 총 괄 (정책) 가명처리 단계별 내부결합 1단계 2단계 3단계 4단계 시민봉사담당관 - 오프라인접수 (정보시스템 담당관 지정) - - - - 정보시스템담당관 - 온라인접수 (홈페이지에 별도 구성) - - - - - 가명처리 시스템 제공 - - - - 정책 총괄 해당부서 문서 배분 적합성 검토 지원 기술지원 적정성 검토 지원 안전성 확보조치 적정성 검토 지원 안전성 확보조치 해당부서 (신청부서) - 적합성 검토 검토결과 통보 결과보고서 가명처리 적정성 검토 사후관리 가명처리 활용, 사후관리 ？？ 가명정보 처리절차 ？ 단계별 세부내용 단 계 세부절차 내 용 수행부서 1단계 (사전준비) 사전준비 ① [처리목적 및 대상 명확화] 가명정보의 처리목적(통계작성, 과학적 연구, 공익적 기록보존 등)을 명확히 정의하고, 가명처리 대상 개인정보(개인정보파일, DB, 테이블 등)를 선정 해당부서 ② [신청서 접수] ※ 가명정보 신청서 : 서울시 대표홈페이지 공개 - 오프라인 접수 : 시민봉사담당관 → 정보시스템담당관 → 해당부서, 온라인 접수 : 정보시스템담당관 → 해당부서 정보시스템담당관 ③ [가명처리 적합성 검토] 개인정보의 수집 목적 및 성격, 가명정보 활용 목적 등 고려 결정 - (필요시) 해당부서장 또는 심의위원회 평가를 통해 결정 (심의위원회 인력풀 - 정보시스템담당관) ※ [가명정보 제공거부 시] 해당부서장 또는 심의위원회 검토 후 거부사유 및 불복절차 안내 해당부서 정보시스템담당관 해당부서 ④ [위탁계약서] 가명처리 위탁 제3자 제공하는 경우, 재식별 금지 등 유의사항 포함 해당부서 ⑤ [내부관리계획] 가명정보 및 추가정보를 안전하게 관리하기 위한 내부관리계획 수립·시행 정보시스템담당관 2단계 (가명처리) 대상선정 ① [대상선정] 개인정보파일에서 가명처리에 필요한 항목(칼럼) 추출 ※ 가명정보 처리 목적달성에 필요한 최소 항목 추출(분석 목적과 상관없는 정보는 제외) 해당부서 위험도 측정 ① [처리(제공)환경 검토] - 처리목적에 따라 처리(제공)환경(내부통제 수준, 재식별 의도 및 능력 등)과 제공받는 자의 개인정보 보호수준 및 다른 정보 보유여부 등 검토 - [내부 활용·제공] 소속부서에서 보유한 개인정보를 가명처리 또는 내부결합하여 직접 활용 또는 다른 부서에 제공 - [제3자 제공] 해당부서에서 보유한 개인정보를 가명처리하여 특정 제3자에게 제공하는 경우로서 제3자의 사전 보유정보 및 처리시점을 기준으로 제공받는 다른 정보(개인정보보호 수준) 등 고려 해당부서 ② [항목별 위험도 분석] - 데이터 속성을 식별정보, 식별가능정보 등으로 분류(처리환경과 정보의 규모, 구체성 등 고려) ※ 식별정보 : 외부연계(식별) 정보, 식별가능정보 : 개인을 알아볼 수 있는 정보 해당부서 ③ [결과보고서] 검토의견은 심의위원회(외부전문가)를 활용하여 자문 및 작성 가능 - 처리(제공)환경과 항목별 위험도 분석을 참고하여 가명처리 위험도 평가결과 도출 해당부서 가명처리 수준정의 ① [수준정의] 가명처리 검토 결과보고서를 기반으로 활용 목적에 필요한 수준을 고려, 수준결정 ※ [가명처리 수준정의] - 식별정보 : 암호화(SHA256) + salt로 가명처리 - 식별가능정보 : 일부 또는 전부 삭제 및 특정항목 일부 또는 전부 대체, 라운딩 등 적용 해당부서 가명처리 수행 ① [가명처리] ‘가명처리 수준 정의표’를 기반으로 가명처리 수행 ※ [가명처리 추가정보] - 추가정보(원본정보와 알고리즘·매핑테이블 정보)는 원칙적으로 분리보관, 삭제 원칙 해당부서 3단계 (적정성검토 및 추가 가명처리) 적정성검토 및 추가 가명처리 ① [적정성 검토] 가명처리 수준 정의표에 따라 적절한 가명처리가 되었는지, 초기 가명정보 활용목적을 달성할 수 있는지, 재식별 가능성이 없는지 등 검토 - 활용목적 달성이 어렵거나 가명처리 수준이 부족하면, 가명처리 단계 반복 또는 추가 가명처리 ※ [심의위원회] 가명정보 처리의 적정성 및 제3자에게 제공하는 경우, 제공의 적정성 등 검토 ？？개인정보보호 심의위원회의 소위원회를 통해 적정성 검토 해당부서 정보시스템담당관 ② [추가 가명처리] ‘특이정보’를 통해 개인식별이 가능한 경우, 추가 가명처리 해당부서 4단계 (활용 및 사후관리) 가명정보 이용·제공 결합 및 사후관리 ① [이용제공] 통계작성, 연구, 공익적 기록보존 등 목적으로 동의없이 가명정보 이용 또는 제공 해당부서 ② [위탁계약서] 가명정보의 제3자 제공시 재식별 시도 금지, 책임 범위, 보호조치, 목적 외 사용금지, 재제공 제한 등에 대한 사항을 계약서 등에 명시 및 안전하게 처리 해당부서 ③ [기술적 보호조치] 접근권한 부여, 변경 또는 말소내역을 기록하고, 최소 3년간 보관 - 가명정보의 처리목적, 가명처리한 개인정보 항목, 가명정보의 이용내역, 제3자 제공 시 제공받는 자를 작성하여 보관하고, 개인정보 처리방침에 공개 ※ 개인정보 보호지침 [부록 6] 참조 - 추가정보는 분리하여 보관하거나 삭제 해당부서 정보시스템담당관 ④ [관리적 보호조치] - 내부관리계획 수립·시행 및 위탁업무 내용, 위탁받아 처리하는 자 공개, 수탁자 교육, 수탁자가 가명정보를 안전하게 처리하는지 감독 정보시스템담당관 ⑤ [파기·회수] 가명정보를 이용하는 과정에서 특정 개인을 알아볼 수 있게 된 경우, 즉시 그 가명정보 회수, 처리중지 및 삭제 해당부서 가명정보 삭제 ① [보유기간 경과] 가명처리 계획 수립시 정한 가명정보 보유기간이 경과한 경우, 삭제 조치 ② [추가정보 불필요시] 삭제 조치 및 파기기록 작성·보관[가명정보 관리대장 - 별지 제9호 서식] 해당부서 ？？ 가명정보 제공 단계별 검토사항 【1단계】: 사전준비 1) 신청서 접수 : 공문 ？ 접수방법 - 온라인 신청 : 정보시스템담당관 접수 → 해당부서 통보 - 오프라인 신청 : 시민봉사담당관 접수 → 정보시스템담당관 → 해당부서 통보 ※ 신청서 양식을 쉽게 찾을 수 있도록 서울시 대표홈페이지 등 게재 : [별지 제1호 서식] ？ 접수결과 및 향후일정 안내 : 해당부서 - 신청서 내용 미흡시 보완 요청하고, 일정내 검토 불가시 해당사유 및 연장기간 등 안내 2) 가명정보 적합성 검토 : [별지 제2호 서식] ？ 가명처리 대상항목 및 처리수준 정의를 위해 가명정보 처리목적 적합여부 확인 - 가명정보 제공 신청에 대한 적합성 검토를 위해 필요시 심의위원회 구성[서울특별시 개인정보 보호에 관한 조례 제12조의1(소위원회)] ※ 개인정보보호 심의위원회의 소위원회 또는 해당부서장에 의한 적합성 검토 ？ 가명정보 제공여부를 결정하기 위해 기관 내부여건 및 활용 위험성, 법？제도 부합, 기술적 가능 여부 등 검토 가명정보 제공 신청 적합성 검토사항 ？ 기관 내부여건 및 활용 위험성 ？ 법·제도 부합 여부 ？ 기술적 가능 여부 · 기관의 가명처리 (제공) 비용 충당여부, 가명정보 제공의 가치, 활용자의 신뢰성 등 검토 · 「개인정보 보호법」 제28조2 상의 활용목적, 기타 법적 제한 여부 검토 · 비공개 대상정보의 기술적 분리 가능성, 데이터 활용목적과 요청한 데이터의 일치 여부 등 검토 ※ 공공기관의 가명정보 제공여부는 「개인정보 보호법」에 따라 기관 여건과 활용목적 등을 종합적으로 고려한 재량사항임. 다만 「공공데이터법」에 따라 누구나 공공데이터를 편리하게 활용하도록 필요한 조치를 취하여야 할 의무가 있으므로 가명정보 제공에 대해 성실한 검토 및 대응이 필요함 심의위원회 검토사항 (개인정보보호 심의위원회의 소위원회 활용) ？ 주요 심의사항 - 공공데이터 가명정보 제공목적 적합성 검토 및 최종 제공여부 결정에 관한 사항 - 공공데이터 가명처리 관련 비용결정에 관한 사항 ？ 위원회 구성 외부위원 (소위원회 위원) <관련부서 의견청취> - 데이터 활용 관련 전문가 - 개인정보 보호 정책위원회 법률전문가 - 개인정보보호 관련 전문가 - 개인정보 가명처리 등 비식별 처리 전문가 - 기타 위원장이 필요하다고 인정하는 전문가 - 개인정보보호 관련 부서장 - 데이터 제공 및 분석업무 관련 부서장이 추천하는 사람 - 관련 가명처리 기술 이해가 높은 사람 3) 적합성 검토결과 통보 ① 제공거부 시 : 심의위원회 또는 해당부서장 검토 후 결과통보(해당부서) ？ 신청자에게 거부결정 사유 통보 및 불복절차 안내 ※ 공공기관의 비공개결정에 불복이 있는 경우, 정보공개법 제18조~제20조에 따라 이의신청, 행정심판, 행정소송 제기를 통해 불복절차를 진행할 수 있음 (제공거부 결정 통보 양식은 [별지 제4호 서식] 참고) ② 제공결정 시 : [별지 제3호 서식] ？ 신청자에게 필요서류 제출 및 비용처리, 가명처리 절차·일정 등 안내 - (계약서) 가명정보 재제공·재식별 금지, 처리기록 작성 및 보관, 재식별시 파기·손해배상 등 유의사항을 포함한 계약서 작성 ※ “가명정보 처리지침“ 참조 - (비용처리)「공공데이터 관리지침」 및 「공공기관의 정보공개에 관한 법률 시행규칙(수수료)」을 참조하여 비용 산정 ※ “가명정보 처리지침” 참조 【2단계】: 가명처리 1) 가명처리 검토 결과보고서 작성 : 해당부서 ？ 가명처리자는 가명처리(제공) 환경 위험도와 항목별 위험도를 종합적으로 고려하여 가명처리에 대한 위험도 평가결과 도출 - 가명정보 활용에 따른 처리환경과 개인정보 분류를 통해 도출된 위험도를 기반으로 ‘가명처리 위험도 평가 결과보고서’[별지 제5호 서식] 작성 2) 가명처리 수준정의 ？ 가명처리 검토 결과보고서를 기반으로 적절한 가명처리 방법과 수준을 결정하고 ‘가명처리 수준 정의표’[별지 제6호 서식] 작성 【3단계】: 적정성 검토 및 추가 가명처리 1) 적정성 검토 ？ 적절한 수준으로 가명처리 됐는지, 재식별 가능성 없는지 등 검토 ？ 적정성 검토를 위해 심의위원회 구성 심의위원회 검토사항 ？ 주요 내용 - ‘가명정보 처리 가이드라인’의 수준으로 가명처리 되었는지 검토 - 대용량 데이터의 경우 중간에 처리가 안 된 부분이 있는지 확인 - 데이터 특성에 따른 특이정보의 처리 내용 확인 - 가명처리 위험도, 가명정보의 기술적 안전조치 검토 2) 적정성 검토 결과보고서 작성 : (별지 제7호 서식) ？ 심의위원회는 적정성 검토 결과에 대해 ‘가명처리 검토 결과보고서’ 및 ‘가명처리 수준 정의표’를 참고하여 「적정성 검토 결과보고서」작성 ？ 적정성 검토결과, “부적정” 판정 시 가명정보의 활용·제공 계획을 중단하거나, 가명정보 활용을 계속하고자 한다면 2단계인 “가명처리” 단계로 돌아가 추가적인 가명처리 조치 ※ 적정성 검토 과정에 개인식별 위험이 발생한 경우, 위원회 판단에 따라 즉시 조치가 가능한 경우, 즉시 조치 후 적정성 검토 진행 3) 가명정보 제공방식 결정 ？ (제공방식) 제공되는 가명정보의 위험성 정도를 고려하여 온라인 제공, 오프라인 제공, 안심구역 설정 등 제공방식 결정 - (온라인 제공) 온라인 제공 시 안전한 암호 알고리즘을 적용하여 암호화 후 전송해야 하며, 오류 발생을 방지하기 위한 무결성 검증기능 필요 SSL(Secure Socket Layer)방식, 암호화응용프로그램(솔루션) 방식, IPSec VPN 또는 SSL VPN 방식, 첨부문서 암호화 후 이메일 등으로 전송하는 방식 등 - (오프라인 제공) 오프라인 제공시 안전한 암호 알고리즘을 적용하여 암호화 하여 복사해야 하며, 오류 방지를 위해 2개 이상의 복사본을 함께 저장 제공 암호화 기능을 제공하는 보안 USB 등 보조저장 매체에 저장하여 전달 또는 해당 데이터를 암호화 후 보조저장매체에서 저장하여 전달 - (안심구역 설정) 데이터 분석 및 활용을 위한 안심구역 설정 시 허가된 경우만 출입 또는 이용 가능하여야 하며 관련 기록을 남겨야 함 안심구역은 오프라인 공간 또는 온라인상의 독립된 안전한 공간 모두를 의미 물리적 접근방지를 위한 장치 : 비밀번호 기반 출입통제 장치, 스마트카드기반 출입통제 장치, 지문 등 바이오정보기반 출입통제 장치 등 【4단계】: 활용 및 사후관리 단계 1) 관리적 보호조치 ① 내부 관리계획 (시행령 제29조의5 ①항1호) ※ [붙임1] 참조 ？ 가명정보 및 추가정보를 안전하게 관리하기 위한 내부 관리계획 수립·시행 - 내부 관리계획에는 추가정보의 별도 분리보관 및 접근권한 분리에 대한 사항 등 포함 - 내부 관리계획의 중요한 변경이 있는 경우, 이를 즉시 반영하여 내부 관리계획을 수정·시행하고, 관리 책임자는 연 1회 이상 내부 관리계획 이행실태 점검·관리 가. 가명정보 또는 추가정보의 관리책임자 지정에 관한 사항 나. 추가정보 별도 분리 보관 다. 가명정보 또는 추가정보의 안전성확보조치에 관한 사항 라. 가명정보처리자의 교육에 관한 사항 마. 가명정보 처리 기록 작성 및 보관에 관한 사항 바. 개인정보 처리방침 공개에 관한 사항 사. 가명정보의 재식별 금지에 관한 사항 ※ 상기 내용에 포함되지 않은 항목은 ‘개인정보 안전성 확보조치’ 해설서 참조 ② 취급자 관리 및 교육 ？ 가명정보취급자 관리 및 교육 (시행령 제28조) - 가명정보의 원본 개인정보 및 추가정보 접근금지 등 취급자 직무 분리 - 가명정보취급자에 대한 교육계획 수립 및 교육 실시 등 - 개인정보보호 담당부서 및 해당부서, 결합전담부서의 역량확보 및 강화를 위하여 전문교육과 시스템 운영 교육 등 실시 ③ 가명처리 위탁 관리 ？ 수탁자 관리·감독의 의무 (시행령 제28조) - 가명정보 처리업무를 외부에 위탁하는 경우, 법 제26조에 따라 위탁업무 수행 목적 외 가명정보의 처리금지에 관한 사항 등을 포함한 문서 작성 ※ ‘가명정보 처리지침’ 참조 - 위탁업무 내용과 가명정보 처리업무를 위탁받아 처리하는 자 공개(개인정보 처리방침) - 업무위탁으로 인하여 정보주체의 가명정보가 분실·도난·유출·위조·변조·훼손 또는 재식별되지 않도록 수탁자를 교육하고, 처리현황 점검 등 수탁자가 가명정보를 안전하게 처리하는지 감독 ？ 가명정보 처리업무 위탁계약서에 포함되어야 할 사항 ※ ‘가명정보 처리지침‘ 참조 - 재식별 금지 및 재제공 또는 재위탁 제한, 재식별 위험 발생 시 통지 등 2) 기술적 보호조치 ① 추가정보의 분리 보관 ？ 추가정보는 가명정보와 분리보관을 원칙으로 하고, 가명정보와 결합되어 재식별에 악용되지 않도록 접근권한을 최소화 및 접근통제 강화 등 조치 ？ 불가피한 사유로 물리적인 분리가 어려운 경우, DB테이블 분리 등 논리적 분리도 가능 ※ 추가정보의 활용목적 달성 및 불필요한 경우, 추가정보 파기 및 파기기록 작성·보관 ② 접근권한의 분리 ？ 가명정보 또는 추가정보에 접근할 수 있는 담당자를 가명정보 처리 목적달성에 필요한 최소한의 인원으로 엄격하게 통제 및 접근권한 업무에 따라 차등부여 - 접근권한 분리가 어려운 정당한 사유가 있는 경우, 업무수행에 필요한 최소한 접근권한 부여 및 접근권한의 보유현황 기록 보관 - 가명정보취급자가 다른 개인정보처리시스템에 접근할 수 없도록 권한 제한 ？ 인사이동으로 가명정보취급자 변경시 지체없이 시스템의 접근권한 변경 또는 말소 ？ 접근권한 부여, 변경 또는 말소 등 내역 기록하고, 최소 3년간 보관 ？ 사용자계정 발급 시 가명정보취급자 별로 사용자계정 발급 및 공유 금지 ？ 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우, 가명정보처리시스템에 대한 접근제한 ③ 가명정보 기록 작성·보관 및 공개 ※ 개인정보 보호지침 참조 ？ (가명정보 관리대장 기록·관리) 가명정보 처리(생성, 파기 등)하는 경우, ‘가명정보 관리대장’(별지 제8호 서식)을 기록 관리하고, 년 1회 이상 점검 ？ (접속기록의 보관 및 점검) 가명정보 또는 추가정보 처리에 관한 접속기록을 최소 1년 이상 보관·관리 ※ 가명정보가 5만명 이상일 경우, 최소 2년 이상 보관 ？ 가명정보 처리와 관련하여 아래의 내용을 개인정보 처리방침에 포함하여 공개 <가명정보 활용 관련 개인정보처리방침에 포함 사항 예시> 1. 가명정보 처리 목적 2. 가명정보 처리 및 보유 기간(선택) 3. 가명정보 제3자 제공에 관한 사항(해당되는 경우에만 정한다) 4. 가명정보 처리의 위탁에 관한 사항(해당되는 경우에만 정한다) 5. 처리하는 가명정보의 항목 6. 법 제28조의4(가명정보에 대한 안전조치의무 등)에 따른 가명정보의 안전성 확보조치에 관한 사항 3) 물리적 보호조치 ？ 가명정보 또는 추가정보가 전산실이나 자료보관실에 보관되어 있는 경우에는 비인가자의 접근으로부터 보호하기 위하여 출입통제 등의 절차 수립 ？ 가명정보, 추가정보가 보조저장매체 등에 저장되어 있는 경우, 잠금장치가 있는 안전한 장소에 보관 및 보조저장매체 등 반·출입 통제를 위한 보안대책 마련 4 가명정보 결합 및 반출 ？？ 가명정보 결합·반출 개요 ？ 서로 다른 개인정보처리자 간의 가명정보 결합은 분야별 결합 지정기관 또는 서울시 개인정보처리자가 지정한 결합전문기관을 통해 수행 ※ 금융기관 또는 보건의료분야 등과 데이터 결합시 해당 가이드라인의 절차를 따름 ？？ 가명정보 결합·반출 세부절차 ？？ 단계별 세부내용 단 계 내 용 수행부서 1단계 사전준비 및 결합신청 (가명처리) ① [사전준비] 결합신청자 간 협의를 통해 가명정보 결합에 대한 사전준비 수행 - [협의사항] 결합 목적달성에 필요한 항목선정 및 시계열분석, 결합률 확인여부, 결합키 생성항목, 가명처리 수준 등 - [결합키 생성항목 선정] 공통으로 보유하고 있는 정보 중에서 결합키를 생성할 때 활용할 항목 결정 ※ [필요시] 가명정보 결합에 관한 별도 내부승인 절차 및 계약체결 절차이행 등 해당부서 ② [가명처리] 정보주체별 중복되지 않는 일렬번호를 생성하고, 일련번호와 결합키 생성을 제외한 나머지 정보들(결합대상정보)에 대한 가명처리 수행 및 가명처리 내역 기록·보관 ※ (결합키) 결합신청 후 결합키관리기관과 협의하여 결합키를 생성하고, 생성항목은 별도 가명처리 해당부서 ③ [결합신청] : 결합신청서 작성 - [결합신청서] ‘가명정보 결합 종합지원시스템(link.privacy.go.kr)’을 통해 제출 ※ 분야별 결합 지정기관 또는 서울시 개인정보 처리자가 지정한 결합전문기관 선택 해당부서 2단계 결합키 생성 및 정보전송 ① [결합키 생성] 결합전문기관 및 결합키관리기관(KISA)은 결합신청자와 결합, 결합키 생성에 관한 사항 사전협의 ※ 일방향 암호화 권고기준 : 보안강도 112비트 이상 해시 알고리즘 SHA-256이상, Salt값 사용 등 - [KISA] 결합키 생성에 이용되는 salt값 및 생성에 관한 기술지원, 사전 결합률 확인여부 등 협의 - [결합전문기관] 결합일정 및 절차, 전송파일 형태 등 결합에 필요한 사항 협의 - [해당부서] 결합신청자간 합의항목 및 KISA와 협의한 사항(salt값 등)을 적용하여 결합키 생성 - [인코딩방식] 암호화 대상 정보에 한글 포함 시 동일한 인코딩 방식(UTF-8-권고, EUC-KR 등) 확인 ※ [동일한 결합키 생성 확인] 각자 동일한 데이터에 동일한 알고리즘을 적용하여 암호화 처리 후 결과값 확인 해당부서 ② [정보전달] - [해당부서] KISA에 결합키+일련번호를 ‘가명정보 결합 종합지원시스템’을 통해 정보전달 - [해당부서] 결합전문기관이 제공하는 전송방식으로 결합대상정보(가명정보)+일련번호를 전송 ※ [전송방법] 결합신청자는 결합에 필요한 정보를 압축 및 암호화, 무결성 검증 등 보호조치 후 전송 - [KISA] 시계열분석키 및 결합키연계정보 생성→결합전문기관으로 전달 ※ 결합완료(반출) 시 즉시 파기 - [결합전문기관] 결합키연계정보 + 결합대상정보(가명정보) = 결합 해당부서 KISA 결합전문기관 ③ [결합률 확인] KISA는 사전협의 단계에서 결합률 요청여부 결정 및 결합률 확인 후 해당부서에 통보 - [결합키 재생성] 결합키 문제(결합률 0% 등) 또는 효용성이 높은 결합결과물 생성을 위해 결합키 생성 항목을 변경하는 경우 - [결합 재신청] 결합신청 내용 변경(결합 목적, 항목수, 레코드 수 등)이 있는 경우 KISA 해당부서 3단계 추가처리 및 반출요청 ① [가명정보 결합 및 결합검증] - 결합신청자 및 결합키관리기관(KISA)으로부터 받은 정보를 비교 결합을 수행하고, 가명정보에 대한 무결성 등 결합검증 실시 결합전문기관 ② [추가처리] 해당부서(활용자)는 결합정보를 결합전문기관 내 공간에서 반출을 위한 추가 가명·익명처리 조치 - [추가 가명처리 자] 결합신청자 중에서 결합된 정보를 반출하여 활용하고자 하는 자로 제한 해당부서 ③ 결합정보 반출심사 요청 - [반출심사 요청] 결합신청자별로 결합전문기관에 반출 요청 및 추가 가명·익명처리 내역 제출 해당부서 4단계 반출 및 사후관리 ① [반출심사위원회 구성] 결합신청자가 반출을 요청하는 경우 지체없이 반출심사위원회를 구성하여 반출여부 심사 - 결합신청자는 반출요청을 한 경우, 심사에 필요한 사항 제출 및 설명 결합전문기관 ② [반출심사] - 반출불허 판정 시 결합신청자는 결합전문기관 내 설치된 별도의 공간에서 추가 가명·익명처리 ※ 추가처리 시 가명정보 수준은 결합된 정보를 활용하고자 하는 자의 처리환경 등을 고려 결합전문기관 ③ [반출승인 및 반출] 반출심사 “적정”시 반출요청을 승인하여 결합 및 추가 처리된 정보 반출 - [반출] 반출심사위원회 반출 승인결정, 결합신청자는 반출된 정보를 결합 목적에 맞게 활용 - [비용지급] 결합전문기관이 결합 및 반출 등에 필요한 비용 청구 시 결합신청자가 비용 지급 결합전문기관 해당부서 ④ 사후관리 - [금지사항] 결합데이터의 재식별 및 재결합 시도, 결합 목적 외 활용 금지 - [안전조치] 가명정보의 안전한 처리에 따른 보호조치 준수 : 가명정보 처리 가이드라인 적용 해당부서 ？？ 결합 신청절차 및 결합전문기관 지정 ？ 가명정보 결합 신청방법 및 절차 ① 가명정보 결합 종합지원시스템(link.privacy.go.kr)에서 결합신청서 작성·제출 - 온라인 결합신청서 작성 시 결합전문기관 선택 ② 결합신청서 → 지정한 결합전문기관 전달 ③ 결합전문기관 : 결합신청서 접수 ④ 관련자료 및 정보전송 - 결합신청자 : <결합키+일련번호> ⇒ 결합키관리기관(KISA)에 전송 - 결합신청자 : <일련번호+결합대상정보> ⇒ 결합전문기관에 전송 - 결합키관리기관 : <결합키 연계정보> ⇒ 결합전문기관에 전송 ⑤ 결합 및 반출절차 진행 ※ 결합전문기관에서 결합 및 반출에 필요한 비용을 결합신청자(비용 지급)에게 청구 ？ 결합전문기관 지정 현황 지정기관 구분 보건복지부 국토교통부 개인정보보호위원회 과학기술정보통신부 금융위원회 교육부 결합전문기관 건강보험심사평가원 국민건강보험공단 한국보건산업진흥원 한국도로공사 통계청, ㈜케이시에이 삼성에스디에스(주) 한국지역정보개발원 롯데정보통신 한국지능정보사회진흥원 SK주식회사 더존비즈 금융보안원 한국신용정보원 국세청(‘20.12.22) 한국교육학술정보원 ※ 결합전문기관 지정은 보건·의료, 금융 등 신청기관에 따라 분야별 지정기관 선정 5 내부결합 처리절차 ？？ 가명정보 내부결합 개요 ？ 서울시 보유 개인정보(개인정보파일)를 내부 활용·제공하기 위해 가명처리하는 경우, 외부 결합전문기관을 거치지 않고, 내부결합을 통해 활용 또는 다른 부서 제공 ？ 안전한 결합을 위하여 결합전문기관의 결합절차와 유사하게 처리하는 것을 권고 개인정보를 가명처리하는 자와 결합하는 자를 구분하여 결합하는 방식 ？？ 내부결합 세부절차 ？ 가명정보 내부결합 단계별 절차도 ？ 단계별 세부내용 단 계 내 용 수행부서 1단계 사전준비 (결합대상, 결합키생성항목, 결합알고리즘 등 선정) ① [사전준비] 결합신청자 간 결합 타당성 검증 및 협의를 통해 내부결합에 대한 사전준비 수행 - [협의사항] 결합 목적달성에 필요한 항목선정, 시계열분석 및 결합키 생성항목, 가명처리 수준, 결합일정, 절차 등 → 내부결합정보를 활용하는 부서에서 결합 신청 - [결합대상 선정] 내부 부서(기관)간, 내부결합 대상 결정 ※ 필요시 내부 승인절차 이행 - [결합키 생성항목 선정] 공통으로 보유하고 있는 정보 중에서 결합키를 생성할 때 활용할 항목 결정 - [결합키 알고리즘] 결합 해당부서와 결합전담부서간 협의하여 결합 알고리즘 선정 해당부서 결합전담부서 2단계 가명처리 (가명처리 및 결합키 생성) ① 가명처리 - [가명처리] 해당부서에서 결합키를 제외한 나머지 항목(식별가능정보)들에 대해 가명처리를 수행하고, 가명처리 내역 기록·보관 해당부서 ② 결합신청 - [내부결합 신청] 해당부서는 내부결합 신청서를 결합전담부서에 신청 ※ [별지 제9호 서식] 참조 ※ 내부결합 신청서와 관련 첨부서류를 준비하여 「서울시 가명처리 시스템」을 통해 제출 - [내부결합 신청서 접수 및 보완요청] ？？결합에 대한 타당성 검토 실시 후 신청서, 첨부서류가 미흡한 경우 신청부서에 보완 요청 ？？신청부서는 가명정보 가명처리 수준에 대한 권고가 있는 경우, 특별한 사정이 없으면 반영 해당부서 결합전담부서 ③ [결합키 생성] 해당부서는 결합전담부서와 협의 - [해당부서] 정보제공부서 합의 항목(salt값 등)과 결합정보 활용부서와 협의를 통해 결합키 생성 - [결합키 생성] 결합키 생성항목 + 암호화 알고리즘(SHA256) + Salt값 ？？정보 제공부서와 결합정보 활용부서(해당부서)에서 각각 결합키 생성 해당부서 ④ [정보전달] 「서울시 가명처리 시스템」을 통해 정보전달 - [해당부서] 결합키 + 결합대상정보(가명정보) ⇒ 결합전담부서로 전송 해당부서 3단계 적정성 검토 및 추가가명 처리 (내부결합 및 결합키 삭제, 적정성 검토) ① 내부결합 및 결합키 삭제 - [내부결합] 결합전담부서는「서울시 가명처리 시스템」을 통해 내부결합 수행 ？？결합 수행 : 결합대상정보(가명정보) + 결합키 - [결합키 삭제] 해당부서는 가명정보의 결합 및 적정성 검토가 완료되는 즉시 결합키 삭제 - [추가 가명처리] 해당부서는 결합된 정보를 결합전담부서에서 설치한 별도의 공간에서 반출을 위한 추가 가명처리 및 재식별 위험성 제거 ※ 추가 가명처리를 할 수 있는 자 : 결합신청자 중에서 결합된 정보를 활용하고자 하는 자로 제한 결합전담부서 해당부서 ② [결합검증] - [무결성 검증] 결합전담부서는 결합률을 통한 레코드 수와 결합된 속성(컬럼) 수를 검토하여 검증 결합전담부서 ③ [적정성 검토] 가명처리 절차와 동일한 적정성 검토 수행 - [심의위원회] 적절한 수준의 가명처리가 됐는지, 가명정보 활용목적 달성할 수 있는지, 재식별 가능성이 없는지, 특이정보가 없는지 등 검토 ※ 개인정보보호 심의위원회의 소위원회를 통해 적정성 검토 - [반출승인 및 반출] 적정성 검토결과, 적정하면 결합해당부서로 반출하고, 부적정으로 판정되면 추가 가명처리를 해당부서에서 수행 정보시스템담당관 결합전담부서 4단계 사후관리 (활용 및 사후관리) ① [활용] 적정성 검토결과, 내부결합에 의한 가명처리가 적정한 경우, 활용 목적으로만 처리 - [안전한 관리] 해당부서는 결합데이터의 재식별 또는 재결합 시도, 결합목적 외의 활용 금지 및 가명처리의 안전한 처리에 따른 보호조치 준수 - ‘가명정보 처리 가이드라인’ 참조 - 결합된 가명정보와 원본 개인정보를 동시에 취급하는 자가 없도록 권한 및 직무분리 해당부서 ② 사후관리 - [관리감독 수행] 내부결합한 결합정보가 활용목적에 맞게 사용하는지, 안전하게 보관되고 있는지, 필요한 경우 주기적으로 관리감독 수행 ※ 가명·결합정보의 안전한 관리부분에 대해서는 ‘가명정보 처리 가이드라인’ 참조 정보시스템담당관 ？？ 결합키의 안전한 관리 ？ 내부 데이터 간 결합을 하는 경우, 결합키는 해당부서에서 결합 후 삭제 또는 별도 보관 - 결합 데이터를 통해 재식별의 위험성이 있으므로 결합키 관련 별도의 관리자 운영 - 결합처리 해당부서 데이터 운영자는 결합키에 대한 접근권한 삭제 ？ 결합키 보관은 결합데이터와 물리적으로 분리된 공간에 안전하게 보관 - 결합키에 대한 접근권한을 최소인원으로 할당하고, 특히 결합 데이터 취급자에 대해서는 결합키 접근권한 부여금지 ※ 불가피한 사유로 물리적으로 분리가 어려운 경우 DB테이블 등 논리적 분리도 가능 ？ 가명정보 및 내부결합 정보에 대한 안전한 관리에 대해서는 가명정보 처리 가이드라인(개인정보보호위원회) 준수 ？？ 내부결합 처리절차도 6 향후계획 ？？ 서울시 가명정보 처리지침 및 운영매뉴얼 제정·배포 : ’21.9. ？ 서울시(본청·사업소) 및 시·구 투자출연기관, 자치구 등 ？？ 개인정보 가명처리 시스템 구축 및 운영 ？ 데이터센터의 가상서버 할당 및 가명처리 솔루션 설치 : ’21.9.~10. - 개인정보 가명처리 및 분석 : 정보시스템담당관(개인정보보호팀) 내 2석 확보 운영 - 가명정보 적합성·적정성 검토 등 심의위원회 개최 : 정보시스템담당관 회의실 활용 ※ 향후, 가명처리 및 가명정보 결합신청 건수 등 고려하여 확대, 증원여부 검토 ？ 가명처리 시범운영 : ’21.10.15.~ 10.31(정상운영 11월부터) 8 행정사항 ？？ 컴퓨터 지원 및 서버관리망 공사 : 정보통신보안담당관 ？ 가명처리 및 적정성검토 심의·교육용 PC 지원 : 노트북 6대, 데스크톱 PC 2대, 모니터 4대 ？ 서버관리망 구성 : IP할당 및 세팅(8대), 스위치(1대) 설치 ？？ 향후 가명처리 및 결합신청 건수 대폭 증가 시 운영 확대 검토 붙임 : 1. 서울특별시 개인정보 보호지침(부록 6 개정, 부록 9 추가) 1부. 2. 서울특별시 개인정보 내부 관리계획(개정) 1부. 3. 가명정보 처리 가이드라인(개인정보보호위원회, 별첨) 1부. 4. 공공분야 가명정보 제공 실무안내서(’21.1.) 1부. 5. 서울특별시 개인정보 보호지침 및 내부 관리계획 제·개정 내용 1부. 끝. [별지 제1호 서식] 가명정보 제공 신청서 접수번호 접수일 처리기간 신청인 성 명 (단체명 및 부서명) 생년월일 주소(소재지) 사업자(법인·단체) 등록번호 전화번호 전자우편주소 신청 명세 가명처리 대상 공공데이터 명칭 가명처리 대상 공공데이터 내용 가명정보 활용 목적 [ ] 통계작성 [ ]과학적 연구 [ ]공익적 기록보존 가명정보 세부 활용 목적 ※작성 예시 ？ (적절하지 않은 예시) 신제품 개발 관련 통계 작성 → 목적이 구체적으로 명시되지 않아 적절하지 않음 ？ (적절한 예시) A사의 OO정보를 활용하여 연령별 OO제품의 수요 예측을 위한 통계작성 가명정보 제공 방법 [ ] 온라인 [ ] 오프라인 [ ] 안심구역 가명정보 활용 및 보유기간 ？ 활용기간 : 년 월 ？ 보유기간 : 년 월 「개인정보 보호법」제28조의2에 근거하여 상기 공공데이터의 가명처리 및 제공을 신청합니다. ※ 첨부 서류 : 활용목적 증빙 서류, 관리적·기술적·물리적 보호조치를 포함한 활용자의 안전조치계획 증빙서류, 활용자가 보유하고 있는 관련 개인정보 목록 년 월 일장 신청인 성명 (서명 또는 인) 서울특별시장 귀중 자르는 선 접 수 증 접수번호 신청인 성명 접수부서 접수자 성명 (서명 또는 인) 귀하의 신청서는 위와 같이 접수되었습니다. 서울특별시장 직인 년 월 일 처리 절차 신청서 작성 ？ 접 수 ？ 검 토 ？ 결 재 ？ 결과 통보 신청인 공공기관의 장 공공기관의 장 공공기관의 장 210㎜×297㎜(백상지(80g/㎡) 또는 중질지(80g/㎡)) [별지 제1-1호 서식] 서 약 서 신청인 성 명 (단체명 및 부서명) 생년월일 주소(소재지) 사업자(법인·단체) 등록번호 전화번호 전자우편주소 신청인은 다음과 같은 조건에 따라 제공받은 가명정보를 활용하기로 한다. (제1조) 신청인은 서울특별시가 허용한 목적에 한하여 가명정보를 활용할 수 있다. (제2조) 신청인은 제공받은 가명정보에 다른 정보를 결합하여 개인을 식별하는 행위를 포함하여 특정 개인을 식별하는 일체의 행위를 하여서는 아니 된다. (제3조) 신청인은 가명정보를 활용하는 과정에서 특정 개인을 식별할 수 있는 정보가 생성된 경우에는 즉시 해당 정보 활용을 중지하고 지체 없이 회수·파기하여야 한다. (제4조) 신청인은 제공받은 가명정보를 제3자에게 제공·유출·누설하여서는 아니 된다. (제5조) 신청인은 제공받은 가명정보가 외부로 유출된 경우 이러한 사실을 지체 없이 서울특별시에게 통지하여야 한다. (제6조) 신청인은 개인정보 보호법이 정한 일체의 의무사항을 준수한다. (제7조) 신청인이 위와 같은 의무를 불이행함으로써 발생하는 모든 민형사상 책임은 신청인이 부담한다. 년 월 일 신청인 : (서명) 서울특별시장 귀중 [별지 제1-2호 서식] 가명·익명정보 이용 신청서 정보 처리 유형 □ 가명처리 □ 익명처리 정보 활용 주체 □ 내부 □ 외부 신청정보의 내부결합 여부 □ 있음 □ 없음 신청정보의 외부결합 여부 □ 있음 □ 없음 내부결합 대상 데이터 (내부결합 활용 시에만 작성) 신청정보와 결합될 데이터에 대하여 전체 작성 (Ex. 연체금액 : 신용카드 연체 총 금액 연체기간 : 신용카드 연체 총 기간 등) 외부결합 대상 데이터 (외부결합 활용 시에만 작성) 신청정보와 결합될 데이터에 대하여 전체 작성 데이터 활용 유형 □ 신청인 자체 활용 □ 내부결합을 위한 신청인 외, 내부 타 조직 처리·활용 □ 외부결합을 위한 결합전문기관 제공·처리 □ 불특정 제3자 제공 (익명처리에 한정) □ 외부 완전 공개 (익명처리에 한정) 처리·활용 부서(기관)명 성명 직위 전화번호 이메일 주소 신청인과 동일할 경우 해당 없음 년 월 일 신청인 : (서명) 서울특별시장 귀중 [별지 제1-3호 서식] 신청인(기관)의 개인정보 안전 조치 현황 No 내 용 평가 1 신청인(기관)은 개인정보보호책임자가 임명되어 있음 Yes / No 2 신청인(기관)은 개인정보보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항을 명시하고 있음 Yes / No 3 신청인(기관)은 개인정보취급자에 대해 정기 보안교육을 실시하고 있음 Yes / No 4 신청인(기관)의 개인정보처리자는 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무담당자에 따라 차등 부여하고 있으며 필요한 기술적 조치를 취하고 있음 - 개인정보취급자별 계정·비밀번호 부여 및 무단접근 탐지·차단 Yes / No 5 신청인(기관)의 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 필요한 기술적 조치를 취하고 있음 - 개인정보처리시스템에 대한 접근제한 및 정기·비정기 취약성 점검·조치 Yes / No 6 신청인(기관)의 개인정보처리자는 주요 개인정보(식별정보, 비밀번호, 바이오정보 등)를 암호화하여 처리·보관하고 있음 Yes / No 7 신청인(기관)의 개인정보처리자는 개인정보처리시스템에 접속한 기록을 최소 1년 이상 보관·관리하며, 접속기록을 정기적으로 점검하고 있음 Yes / No 8 신청인(기관)의 개인정보처리자는 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하고 있음 Yes / No 9 신청인(기관)의 개인정보처리자는 개인정보를 안전한 물리적 장소에 보관 하고 있으며 이에 대한 출입통제절차를 수립·운영하고 있음 Yes / No 10 신청인(기관)의 개인정보처리자는 재해·재난 발생 시, 개인정보처리시스템 업무연속성을 위한 백업·복구계획을 마련하고 있음 Yes / No 11 ISMS-P(또는 ISMS)인증을 획득·유지하고 있음 (기관 전체 / 일부분) Yes / No 년 월 일 신청인 : (서명) 서울특별시장 귀중 [별지 제1-4호 서식] 신청인(기관)의 개인정보 보유(취급) 리스트 구분 명칭 평가 명칭 평가 식별 정보 주민등록번호 Yes / No 여권번호 Yes / No 운전면허번호 Yes / No 외국인등록번호 Yes / No 성명 Yes / No 지문·홍체·안면인식 등의 BIO정보 Yes / No 전화번호 Yes / No 주소(지번·동호수) Yes / No 이메일 주소 Yes / No SNS 주소 Yes / No 정보통신망법 제23 조의3에 따른 본인 확인기관이 특정 개인을 식별하기 위해 부여한 정보 - CI : 연계정보 - DI : 중복가입 확인정보 Yes / No 특정 개인을 고유 하게 식별하기 위하여 부여된 정보 - 회원번호 - 멤버십번호 - 의료기록번호 Yes / No 국내거소신고번호 Yes / No 건강보험증번호 Yes / No 계좌번호 Yes / No 신용카드번호 Yes / No 자동차번호 Yes / No 기기 식별자 - IMEI, IMSI 등 Yes / No 면허번호 - 국가자격증 - 민간자격증 Yes / No 반려동물등록번호 Yes / No 식별 가능 정보 나이 Yes / No 성별 Yes / No 직업 - 직장, 직급 등 Yes / No 주소(도로명 포함) - 우편번호 등 Yes / No 기념일 - 생년월일 - 결혼기념일 - 회원가입일 등 Yes / No 보건기록 - 혈액형 - 신장 - 체중 등 Yes / No 결혼여부 Yes / No 국적 Yes / No 가족 - 배우자, 자녀 - 부모, 형제 등 Yes / No 처방약 - 혈압약 - 당뇨약 등 Yes / No 위치정보 - 인터넷 접속기록 - 휴대폰 사용기록 - GPS정보 등 Yes / No 경력정보 - 학력 - 학교·학과명 - 경력 등 Yes / No 병명 - 유방암, 설암 - 췌장암 등 Yes / No 민감 병명 - AIDS, 희귀질환 - 장애유형 등 Yes / No 개인특성 - 종교, 흡연여부 - 연소득 등 Yes / No 가입단체명 - 정치적 : 정당 - 사회적 : 노동 Yes / No 사법처리기록 - 발생일시 - 징역／금고 - 집행유예 등 Yes / No 벌금기록 - 발생일시 - 범칙금액 - 과태료 등 Yes / No 특이 정보 사법처리횟수 Yes / No 벌금처리횟수 Yes / No 재혼 여부 Yes / No 입양 여부 Yes / No 대출금액 Yes / No 연체금액 Yes / No 국세·지방세 체납금액 Yes / No 국세·지방세 체납기간 Yes / No 해외부동산 소유 - 대상 국가 - 취득 금액 등 Yes / No 고가 자동차 소유 - 취득일자 - 기종, 색상 등 Yes / No 출국금지 - 발생일자 - 금지사유 등 Yes / No 해외추방여부 - 발생일자 - 국가, 사유 등 Yes / No 민감 병명 - 성매개감염증 - 정신질환 등 Yes / No Yes / No 기타 신청인(기관)만의 고유정보 년 월 일 신청인 : (서명) 서울특별시장 귀중 [별지 제2호 서식] 가명정보 제공 신청 적합성 검토서 신청일자 : 년 월 일 구 분 기관명(부서명) 직 위 성 명 서 명 가명정보 제공부서 검 토 자 (해당부서, 심의위원회) 검토결과 적 합 부 적 합 가명정보 신청목적 - 가명정보 제공을 신청한 기관(부서)의 상세 활용목적 가명정보 신청항목 예) 소유자명, 연락처, 주택구분, 시도, 시군구, 읍면동, 지번, 전용면적, 공급면적, 전세, 보증금, 월세 ※ 항목을 나열하지 못하는 경우 ‘별지’사용 가능 신청목적 부합검토 - 신청기관(부서)가 기재한 활용목적이 통계작성·과학적 연구·공익적 기록보존 등에 해당 및 적합 여부를 가명정보 제공 부서 또는 심의위원회에서 평가 가명처리 환경검토 서울시 내부 환경 - (내부여건) 가명처리·제공에 소요되는 인적·물적 비용 충당여부, 서울시 본래 업무수행에 상당한 지장을 초래할 우려가 있는지 등 검토 - (제공가치) 제공된 가명정보가 목적에 맞게 활용되어 창출되는 사회·경제적 가치 및 공공성 검토 활용 위험성 - (활용자 신뢰성) 제공받은 가명정보를 악용하거나 제3자 권리를 침해할 가능성, 해당 가명정보 활용이 공공기관이 추진 중이거나 계획 중인 정책에 배치될 가능성 등 검토 기술적 가능 여부 - 가명정보 이외의 비공개 대상 정보 및 이용허락을 확보하지 못한 제3자 권리가 포함된 정보에 대하여 기술적 분리 가능여부 확인 - 가명정보가 신청자의 요청목적에 활용될 수 있는지, 익명정보로 목적달성이 가능한지 여부 검토 검토 의견 - 가명정보의 활용목적 및 가명정보를 보유한 기관 내부 환경, 활용 위험성, 기술적 가능 여부를 종합적으로 검토 [별지 제3호 서식] 서 울 특 별 시 수신 : (신청인) 경유 : 제목 : 가명정보 제공 결정 통지서 귀하의 가명정보 제공 신청에 대한 제공 결정을 아래와 같이 알려드립니다. 궁금하신 사항은 가명정보 제공 실무담당자에게 문의해 주시면 자세히 설명해 드리겠습니다. 가명정보 제공 결정 통지서 신청인 성명 (단체명 및 부서명) 신청 명세 접수일 접수번호 가명처리 대상 공공데이터 명칭 가명처리 대상 공공데이터 내용 가명정보 활용 목적 [ ] 통계작성 [ ]과학적 연구 [ ]공익적 기록보존 가명정보 세부 활용목적 제공 일시 및 방법 제공 일시 제공 장소 제공 방법 [ ] 온라인 [ ] 오프라인 [ ] 안심구역 제공 비용 [ ] 무료 [ ] 유료 ( 원) (부과기준 : , 부과단위 : ) 가명정보 제공 책임부서장 성명 부서명 전화번호 직위 가명정보 제공 실무담당자 성명 부서명 전화번호 직위 서울특별시장 직인 기안자 직위(직급) 서명 검토자 직위(직급) 서명 결재권자 직위(직급) 서명 협조자 시행 처리과-일련번호(시행일) 우 도로명주소 / 홈페이지 주소 전화번호( ) 팩스번호( ) / 기안자의 전자우편주소 / 공개구분 210㎜×297㎜(백상지(80g/㎡) [별지 제4호 서식] 서 울 특 별 시 수신 : (신청인) 경유 : 제목 : 가명정보 제공 거부 결정 통보서 귀하의 가명정보 제공 신청에 대한 거부 결정을 아래와 같이 알려드립니다. 궁금하신 사항은 가명정보 제공 실무담당자에게 문의해 주시면 자세히 설명해 드리겠습니다. 가명정보 제공 거부 결정 통보서 신청인 성명 (단체명 및 부서명) 신청 명세 접수일 접수번호 가명처리 대상 공공데이터 명칭 가명처리 대상 공공데이터 내용 가명정보 활용 목적 [ ] 통계작성 [ ]과학적 연구 [ ]공익적 기록보존 가명정보 세부 활용목적 제공 거부 내용 및 사유 가명정보 제공 책임부서장 성명 부서명 전화번호 직위 가명정보 제공 실무담당자 성명 부서명 전화번호 직위 서울특별시장 직인 기안자 직위(직급) 서명 검토자 직위(직급) 서명 결재권자 직위(직급) 서명 협조자 시행 처리과-일련번호(시행일) 우 도로명주소 / 홈페이지 주소 전화번호( ) 팩스번호( ) / 기안자의 전자우편주소 / 공개구분 210㎜×297㎜(백상지(80g/㎡) [별지 제5호 서식] ※ 최종 검토의견은 심의위원회를 활용하여 자문 및 작성을 요청할 수 있음. 가명처리 위험도 평가 결과보고서 검토일자 : 년 월 일 구 분 기관명 부 서 명 직 위 성 명 서 명 신 청 자 검 토 자 가명정보 활용목적 - A사가 보유한 부동산 시세정보를 가명처리하여 B기관에 제공하여, 부동산 임대소득 계산 및 인근지역 시세자료 파악을 위한 연구 수행 가명정보 항목 소유자명, 연락처, 주택구분, 시도, 시군구, 읍면동, 지번, 전용면적, 공급면적, 전세, 보증금, 월세 ※ 항목을 나열하지 못하는 경우 ‘별지’사용 가능 처리(제공) 환경 검토 처리(제공) 환경 - 특정 제3자(B기관) 제공 ※ A사는 B기관과 계약체결을 통해 가명정보를 제공 제공받는 자의 환경 (재식별 가능 여부) - 가명정보를 제공받는 기관은 부동산 관련 다른(개인)정보를 보유하고 있지 않음 제공받는 자의 보호수준 - B기관은 가명정보처리시스템에 대한 ISMS인증을 취득하고 있으며, 내부관리를 통해 관리적, 기술적 보호조치를 수행하고 있음. 항목별 위험도 분석 · ‘소유자명’, ‘연락처’는 식별정보 · ‘지번’은 식별가능정보, ‘시세정보(전세, 보증금, 월세)’는 특이정보 가능성 존재 최종 검토 의견 · 해당 연구는 특정 제3자와의 계약서 체결을 통해 가명정보를 활용하는 경우에 해당하며, 제공받는 자가 별도의 다른(개인)정보를 통해 가명정보를 재식별 할 가능성이 낮음 - ‘소유자명’, ‘연락처’는 활용 목적상 반드시 필요한 경우가 아니라면 삭제 또는 목적 달성에 필요한 경우 가명처리 필요 - ‘지번’, ‘시세정보(전세, 보증금, 월세)’의 경우 다른(공개된 정보 등) 정보를 통해 재색별 가능성이 있어 삭제 또는 목적 달성에 필요한 경우 가명처리 필요 그 외의 정보들은 재식별 가능성이 낮으며 목적달성을 위해 필요하다고 판단되므로 가명처리하지 않음 [별지 제6호 서식] 가명처리 수준 정의표 (예시) 순번 항목명 처리수준 비 고 1 소유자명 - 가명처리 (암호화 : SHA2 + Salt) - 소유자명과 연락처는 추후 시계열 분석을 위해 가명처리 수행 2 연락처 3 지번 - 가명처리 (삭제) - 세부 지번의 정보는 분석목적에 필요하지 않음 4 전세 - 기타기술 (라운딩 : 만원 단위) - 만원 단위의 금액만 분석 목적에 필요 5 보증금 6 월세 7 주택구분 - 처리하지 않음 ※ 항목이 다수여서 작성이 어려운 경우 ‘별지’를 활용하여 목록만 제시 - 처리하지 않는 항목을 작성 8 시도 9 시군구 10 읍면동 11 전용면적 12 공급면적 [별지 제7호 서식] ※ 최종 의견 및 결과보고서는 심의위원회에서 작성·승인되어져야 함. 적정성 검토 결과보고서 검토일자 : 년 월 일 구 분 성 명 서 명 검 토 자 (심의위원회) 심의위원장 심의위원 심의위원 심의위원 심의위원 검토결과 적 정 부적정 가명정보 신청기관 - 신청일련번호(코드) : - 신청기관(부서) : 가명정보 활용목적 - 가명정보 신청기관(부서)에서 작성한 활용목적 기재 가명정보 항목 식별정보 - 식별정보의 삭제 여부 식별가능정보 - 식별가능정보 항목 기재 - 식별가능정보 항목의 선정 타당성 검토 특이정보 - 특이정보 항목 기재 - 특이정보 항목의 선정 타당성 검토 가명처리 적정성 평가 식별가능정보 - 가명처리 기술(기법)의 타당성 평가 - 프라이버시 보호모델(익명성·다양성·근접성) 적용 타당성 평가 - 재식별 가능성 판별을 위한 항목별 분포도 평가 특이정보 - 가명처리 기술(기법)의 타당성 평가 - 프라이버시 보호모델(익명성·다양성·근접성) 적용 타당성 평가 - 재식별 가능성 판별을 위한 항목별 분포도 평가 최 종 검토의견 ① 특이정보 중, ‘벌칙금부여건수’ 항목에 대한 범주화(5단계 적용) 미흡에 따른 이상 분포 현상 발생 → 부여건수 100회 이상(5단계)에 속하는 정보가 5건 미만으로 재식별 가능 → 해당 항목에 대한 추가 가명처리(8단계 이상의 범주화 적용) 필요 [별지 제8호 서식] 가명처리 관리대장 순번 기간 목적 항 목 처리 및 보유기간 제공 받는자 위탁 사항 제한 사항 처리 구분 기타 (추가정보) 가명처리 수행자 가명처리 부서장 1. 순번 : 가명정보 처리에 대한 순서를 작성한다. 2. 기간 : 가명처리를 시작한 날부터 끝난 날까지의 기간을 작성한다. 3. 목적 : 가명정보를 처리하는 목적을 작성한다. 4. 항목 : 처리하는 가명정보의 항목을 작성한다. 5. 처리 및 보유기간 (필요시) : 가명정보의 사용 및 보유기간을 작성한다. ※ 예시) 처리기간(2년), 보유기간(1년) or 처리기간(1년), 보유기간(없음) 등 6. 제공받는 자 : 제3자 제공시 제공받는 자의 정보를 작성한다. 가명정보 결합시 결합대상 가명정보처리자의 정보를 작성한다. 7. 위탁사항 : 가명정보 처리를 위탁한 경우 해당 사항을 작성한다. 8. 제한사항 : 가명정보 처리 유형에 따라 제한사항을 둔 내용을 작성한다. 9. 처리구분 : 가명정보 처리 유형을 작성한다. 예시) 생성, 결합, 제공, 공개 등 10. 기 타 : 추가정보의 경우 가명정보 생성즉시 파기 후 ‘추가정보 동시 파기’ 작성 및 기타 추가적인 사항에 대해 이 란에 작성한다. 11. 가명처리 수행자 : 가명처리를 수행한 자의 이름을 작성하고 서명한다. 12. 가명처리 부서장 : 가명처리 부서의 책임자의 이름을 작성하고 서명한다. [별지 제9호 서식] 내부결합 신청서 신청일자 : 년 월 일 구 분 기관명(부서명) 직 위 성 명 서 명 가명정보 제공부서 가명정보 제공부서 결합정보 활용부서 결합목적 □ 통계 작성 □ 과학적 연구 □ 공익적 기록보존 가명정보 결합항목 - ○○부서 제공정보 : - △△부서 제공정보 : ※ 항목을 나열하지 못하는 경우 ‘별지’사용 가능 활용목적 부합검토 - 가명정보 내부결합을 신청한 기관(부서)의 상세 활용 목적을 기재 결합처리 대상정보 ○○부서 제공정보 - (파일 크기) 100MB - (정보 건수) 1,200,000건 - (항목 건수) 17개 컬럼 △△부서 제공정보 - (파일 크기) 150MB - (정보 건수) 950,000건 - (항목 건수) 27개 컬럼 활용부서 제공정보 (필요 시) - (파일 크기) 500MB - (정보 건수) 7,100,000건 - (항목 건수) 21개 컬럼 결합키 - 이름, 전화번호, 생년월일 검토 의견 - 가명정보 제공부서에서 결합정보의 활용 목적 및 신규 서비스 발굴 가능 여부 등을 종합적으로 검토한 의견 기재 ※ 내부결합신청은 결합정보 활용부서에서 신청함. [별지 제10호 서식] ※ 최종 의견 및 결과보고서는 심의위원회에서 작성·승인되어져야 함. 내부결합 적정성 검토 결과보고서 검토일자 : 년 월 일 구 분 성 명 서 명 검 토 자 (심의위원회) 심의위원장 심의위원 심의위원 심의위원 심의위원 검토결과 적 정 부적정 결합정보 활용기관 - 신청일련번호(코드) : - 신청기관(부서) : 결합정보 활용목적 - 결합처리 신청기관(부서)에서 작성한 활용목적 기재 결합대상 정보항목 식별정보 - 식별정보의 삭제 여부 식별가능정보 - 식별가능정보 항목 기재 - 식별가능정보 항목의 선정 타당성 검토 특이정보 - 특이정보 항목 기재 - 특이정보 항목의 선정 타당성 검토 결합처리 적정성 평가 식별가능정보 - 가명처리 기술(기법)의 타당성 평가 - 프라이버시 보호모델(익명성·다양성·근접성) 적용 타당성 평가 - 재식별 가능성 판별을 위한 항목별 분포도 평가 특이정보 - 가명처리 기술(기법)의 타당성 평가 - 프라이버시 보호모델(익명성·다양성·근접성) 적용 타당성 평가 - 재식별 가능성 판별을 위한 항목별 분포도 평가 최 종 검토의견 ① 특이정보 중, ‘벌칙금부여건수’ 항목에 대한 범주화(5단계 적용) 미흡에 따른 이상 분포 현상 발생 → 부여건수 100회 이상(5단계)에 속하는 정보가 5건 미만으로 재식별 가능 → 해당 항목에 대한 추가 가명처리(8단계 이상의 범주화 적용) 필요

23832010

20211006062007

본청

정보시스템담당관-14925

D0000043709886