다시 뛰는 공정도시 서울!

문서번호 정보시스템담당관-2513 결재일자 2022. 9. 30. 공개여부 부분공개(6) 방침번호 시 민 실무사무관 개인정보보호팀장 정보시스템담당관 디지털정책관 이용철 임형준 우정숙 09/30 이혜경 협 조 - 개인정보 보호관련 지침 개정에 따른 - 내부관리계획 및 개인정보 보호지침 일부개정 보고 2022. 9. 디지털정책관 (정보시스템담당관) - 개인정보 보호관련 지침 개정에 따른 - 내부관리계획 및 개인정보 보호지침 일부개정 보고 개정된 개인정보보호 관련 지침을 반영하여 우리시 내부 관리계획 및 개인정보 보호지침을 개정하여 개인정보 안전성 확보 조치 시행 1 추진개요 □ 추진배경 ㅇ 개인정보호위원회 고시 및 지침 개정사항을 서울시 개인정보 보호지침 및 매뉴얼, 내부관리계획 등에 반영 필요 - 개인정보 처리방침 개정(2022.3.)에 따른 일부 개정 - 개인정보 처리동의 개정(2022.3.)에 따른 일부 개정 - 가명정보 처리 가이드라인 개정(2022.4.)에 따른 일부 개정 - 접근권한 관리지침(부록2) 및 재해·재난 복구지침 등 현황 최신화 - 개인정보 처리방침 및 가명정보 처리 가이드라인 개정에 따른 내부관리계획 일부 개정 □ 추진경과 ㅇ 2011. 02. : 서울특별시 개인정보 보호지침(제정) ㅇ 2019. 05. : 서울특별시 개인정보 보호지침(전부개정) ㅇ 2019. 11. : 서울특별시 개인정보보호 기본계획 수립 - 개인정보보호 관련 지침·매뉴얼 제도 정비 : 2종 통합 (개인정보 보호지침, 개인정보보호 내부관리계획) ㅇ 2021. 10. : 서울특별시 개인정보 보호지침(일부개정) 2 서울시 개인정보 보호지침 현황 □ 운영현황 : 지침·매뉴얼 10건 연번 관련규정 주요내용 비 고 1 개인정보 보호지침 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항 규정 부록1 개인정보보호의 날 운영지침 개인정보보호에 대한 인식제고 및 개인정보의 안전성 확보조치를 위하여 개인정보보호의 날 지정·운영 부록2 개인정보처리시스템 접근권한 관리지침 접근권한의 오·남용으로 인한 개인정보의 유·노출을 방지, 개인정보 보호에 필요한 사항 규정 부록3 개인정보 목적 외 이용 및 제3자 제공지침 수집？보유하고 있는 개인정보를 목적 외 이용 및 제3자 제공 시 업무처리 지침 부록4 개인정보처리시스템 암호키 관리 지침 개인정보처리시스템의 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차 규정 부록5 개인정보처리시스템 재해·재난복구지침 재해·재난 발생시 개인정보처리시스템 보호를 위한 대응절차 부록6 개인정보 처리방침 개인정보보호 및 권익을 보호하고 개인정보와 관련한 이용자의 고충을 원활하게 처리 부록7 개인정보 유출사고 대응매뉴얼 개인정보 유출사고에 대한 신속하고 체계적인 대응 부록8 정보보호 및 개인정보보호 관리체계 운영지침 정보보호 및 개인정보보호 관리체계의 운영·관리를 위한 활동 전반에 대한 사항 규정 부록9 가명정보 처리지침 안전한 가명정보 활용을 위한 서울시 가명정보 처리 및 결합, 반출을 위한 대응절차 규정 2 개인정보 내부관리계획 안전성 확보에 필요한 기술적？관리적？물리적 안전조치에 관한 사항 규정 3 개인정보보호 지침 및 매뉴얼 등 정비 □ 주요 개정내용 ㅇ 개인정보보호법령 및 고시 조항 변경사항 반영 ㅇ 조직 변경 사항 반영 (스마트도시정책관 → 디지털정책관) ㅇ (부록2) 개인정보처리시스템 접근권한 관리지침 개정(개인정보처리시스템 현황 현행화 및 별지 제3호 서식 현행화) ㅇ (부록5) 개인정보처리시스템 재해재난 복구지침 개정(비상연락망, 별지 제1호 및 제4호 서식 현행화) ㅇ (부록6) 개인정보 처리방침 및 매뉴얼 개정에 따른 주요 개인정보 처리표시(라벨링) 반영 ㅇ (부록7) 개인정보 유출사고 대응 매뉴얼 개정(비상연락망 등 현행화) ㅇ (부록9) 가명정보 처리지침 개정(가명처리 절차 및 양식을 별도의 안내서 분리하여 지침적 성격 강화) ㅇ 개인정보 내부관리 계획 현행화 □ 세부내용 개인정보 보호지침 : 현행화 ㅇ 목 적 : 개인정보의 처리에 관한 기준, 개인정보 침해의 유형 및 예방조치 등에 관한 세부적인 사항을 규정 ㅇ 적용범위 : 서울시(본청 및 사업소) 및 서울시의회, 자치구, 시·구 투자출연기관 내 개인정보처리자에게 적용 ㅇ 주요내용 : 총 6장 73조로 구성 - 총칙, 개인정보 처리와 위탁, 개인정보처리방침 작성, 유출통지 및 신고 - 정보주체 권리보장, 영상정보처리기기 설치·열람, 개인정보파일등록·공개 ㅇ 개정내용 : 관련법률 현행화 - 동의를 받는 방법(제12조제2항제3호) : 법제22조제3항 -> 법제22조제4항 - 법정대리인의 동의(제13조제1항) : 영제17조3항 -> 영제17조제4항 동의(제13조제2항) : 법제22조제5항 -> 법제22조제6항 - 권리행사방법 및 절차(제34조제1항) : 법제37조제1항 -> 법제38조제1항 - 개인정보영향평가(제70조제1항제4호) : 법제33조제1항 삽입 - 친목단체에 대한 벌칙조항의 적용배제(제73조) : 법제75조제4항제7호 및 법제75조제4항제8호 - 보안성 검토시 개인정보보호 관련 체크리스트(별표3) 수정 개인정보처리시스템 접근권한 관리지침(부록2) : 현행화 ㅇ 목 적 : 서울시 개인정보처리시스템 접근권한 오남용으로 인한 개인정보 유·노출을 방지하기 위한 대응절차에 대한 사항 규정 ㅇ 적용범위 : 개인정보처리시스템을 운영하는 서울시 임직원 및 업무위탁 또는 대행하여 운영하는 자 ㅇ 주요내용 : 제18조로 구성 - 목적, 적용범위 및 용어 정의, 접근권한 관리원칙 및 조직구성, 관리담당자 역할 - 접근권한 신청, 외주직원의 접근통제, 변경·말소, 점검 및 관리 - 계정 정의 및 설정, 계정발급 기준, 계정의 부여 및 말소 등 ㅇ 개정내용 - 개인정보처리시스템 현황(제13조) 현행화 - 개인정보 접근권한 관리대장(별지 제3호서식) 현행화 개인정보 목적 외 이용 및 제3자 제공지침(부록3) : 개정 ㅇ 목 적 : 서울시가 수집？보유하고 있는 개인정보를 목적 외 이용 및 제3자 제공 시 업무처리의 원활한 수행을 도모 ㅇ 적용범위 : 서울시(본청 및 사업소) ㅇ 주요내용 : 제10조로 구성 - 목적 외 이용 및 제3자 제공기준, 업무절차 및 제공방법, 이용제한 - 안전성 확보조치 방안, 관리대장 기록관리 방안 및 사실의 공개 ㅇ 개정내용 : 관련법률 현행화 - 제5조(목적외 이용 및 제3자 제공기준) 제4호 삭제 - 제6조(목적 외 이용·제공업무절차) : 업무절차별 참조 서식 현행화 - 제10조(관리대장 기록·관리 방안 및 사실의 공개) 개인정보처리시스템 재해재난 복구 지침(부록5) : 현행화 ㅇ 목 적 : 재해·재난 발생시 서울시 개인정보처리시스템 보호를 위한 대응절차에 대한 사항 규정 ㅇ 적용범위 : 본청 및 사업소에서 개별 운영 중인 개인정보처리시스템 ㅇ 주요내용 : 제12조로 구성 - 목적, 적용범위 및 용어 정의, 역할 및 책임, 위기대응 절차, 위기대응 조직 구성 - 위기등급의 분류 및 위기등급별 대응계획, 복구목표 설정, 백업관리, 위기대응훈련, 비상연락망 관리 ㅇ 개정내용 - 제12조(비상연락망 관리) : 비상연락망 수정 - 별지 제1호서식 개인정보처리시스템 현황 현행화 - 별지 제4호서식 개인정보처리시스템 복구 목표시간 현행화 개인정보 처리방침(부록6) : 개정 ㅇ 목 적 : 개인정보 보호 법령을 준수하여 이용자의 개인정보 보호 및 권익보호, 권익침해 구제 방법 등에 관한 사항 규정 ㅇ 적용범위 : 서울특별시 운영 홈페이지 ㅇ 주요내용 : 총 14조로 구성 - 개인정보의 처리 목적, 처리 및 보유기간, 제3자 제공에 관한 사항, 위탁에 관한 사항, 권리·의무 행사방법, 파기에 관한 사항 - 개인정보의 안전성 확보조치에 관한 사항, 권익침해 구제방법, 개인정보 열람청구를 접수·처리하는 부서, 개인정보 보호책임자에 관한 사항 ㅇ 개정내용 : - 개인정보 처리방침 개정(개인정보보호위원회 작성지침 개정에 따른 주요 개인정보 처리표시(라벨링) 반영) - 제11조(개인정보 보호책임자에 관한 사항) 개인정보보호 책임자 등 변경 개인정보 유츌사고 대응 매뉴얼(부록7) : 현행화 ㅇ 목 적 : 개인정보 유출사고에 대한 신속하고 체계적인 대응 ㅇ 적용범위 : 본청 및 사업소 소속 임직원과 개인정보처리시스템 ㅇ 주요내용 : 제25조로 구성 - 단계별 대응 프로세서, 유출사고 유형·등급·대응체계, 신고 및 접수 - 조사분석, 대응 및 복구, 유출하고 개선 및 이행점검, 통지방법, 보고절차 ㅇ 개정내용 : - 제6조(유출대응 업무수행 체계) : 비상연락망 수정 - 별지 제1호서식 개인정보처리시스템 현황 현행화 가명정보 처리지침(부록9) : 개정 ㅇ 목 적 : 가명정보의 처리 및 결합·반출에 관한 절차와 방법 등 ㅇ 적용범위 : 서울시(본청 및 사업소)에서 개별 운영하는 개인정보처리시스템 ㅇ 주요내용 : 제12조로 구성 - 총괄부서 구성, 신청, 가명처리, 심의위원회, 비용, 가명처리시스템 구축운영 - 관리적 보호, 기술적 보호, 물리적 보호, 위임규정 등 ㅇ 개정내용 : 전면 개정 개인정보 내부관리계획 : 개정 ㅇ 목 적 : 개인정보가 분실·도난·유출·위조·변조·훼손되지 않도록 안전성 확보에 필요한 안전조치에 관한 사항을 규정 ㅇ 적용범위 : 서울시 소속 임직원 및 외부업체 직원의 개인정보 처리 ㅇ 주요내용 : 총 27조로 구성 - 목적, 용어정의, 적용범위, 내부관리계획의 수립 및 승인, 역할, 교육 - 접근권한의 관리, 접근통제, 개인정보의 암호화, 접속기록의 보관·점검 - 개인정보의 파기 및 개인정보 유출 통지·신고, 열람청구, 권익침해 구제방법 ㅇ 개정내용 - '개인정보의 안전성 확보조치 기준(개인정보보호위원회고시 제2021-2호)' 개정 사항 반영 - 제2조(용어 정의) : 바이오정보를 생체정보와 생체인식정보로 구분 - 제6조(개인정보 보호책임자의 지정) : 디지털정책관으로 변경 - 제7조(개인정보 보호책임자의 역할 및 책임) : 가명정보 관리책임자의 역할 및 책임 추가 - 제10조의2(가명정보를 처리하는 자의 교육) 추가 - 제25조(가명정보 및 추가정보 분리 보관) 추가 - 제26조(가명정보 수탁자 관리·감독) : 가명정보 처리업무 외부 위탁 시, 문서에 포함될 사항 추가 - 제26조의2(가명정보 및 추가정보에 대한 접근권한 분리) 추가 - 제26조의3(가명정보의 재식별 금지) 추가 4 향후계획 ㅇ 개인정보 처리방침 변경 : 즉시 ㅇ 개인정보 관리수준 진단평가 실적 제출 : ~10.31 붙임 : 1. 서울특별시 개인정보 보호지침 1부. 2. 서울특별시 내부관리계획 1부. 끝.

26903317

20221001051507

본청

정보시스템담당관-2513

D0000046336982