닫기 아이콘

개인정보보호 관리규정


  총 6개 조항※ 아래 신구 대비표는 자동 프로그램에 따라 제공되는 것으로서 오류가 있을 수 있습니다.
이전 연혁
현재 연혁
제3조(용어정의)
본 내부관리계획에서 사용하는 용어의 정의는 다음의 각 호와 같다.
1. "개인정보"라 함은 살아 있는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
2. "고유식별정보"라 함은 개인을 고유하게 구별하기 위하여 부여된 개인정보로서 「주민등록법」 제7조제3항에 따른 주민등록번호, 「여권법」 제7조제1항제1호에 따른 여권번호,「도로교통법」 제80조에 따른 운전면허의 면허번호,「출입국관리법」 제31조제4항에 따른 외국인등록번호를 포함한다.
3. "민감정보"라 함은 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 유전정보, 범죄경력에 해당하는 정보를 포함한다. <신설 2017.12.29.>
4. "개인정보파일"이라 함은 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. <번호변경 2017.12.29.>
5. "개인정보처리시스템"이라 함은 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다. <개정 2017.12.29.>
6. "정보주체"라 함은 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. <번호변경 2017.12.29.>
7. "처리"라 함은 개인정보의 수집·생성·기록·저장·보유·가공·편집·검색·출력·정정(訂正)·복구·이용·제공·공개·파기(破棄), 그 밖에 이와 유사한 행위를 말한다. <번호변경 2017.12.29.>
8. "제공"이라 함은 우리 대학교가 보유한 개인정보를 제3자에게 이전하거나 공동으로 이용할 수 있는 상태를 초래하는 모든 행위를 말한다. <번호변경 2017.12.29.>
9. "위탁"이라 함은 우리 대학교가 개인정보의 처리에 관한 업무를 수탁자에게 맡겨 처리하는 모든 행위를 말한다. <번호변경 2017.12.29.>
제3조(용어정의)
본 내부관리계획에서 사용하는 용어의 정의는 다음의 각 호와 같다.
1. "개인정보"라 함은 살아 있는 개인에 관한 정보로서 성명, 주민등록번호, 영상 등을 통하여 개인을 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다)를 말한다.
2. "고유식별정보"라 함은 개인을 고유하게 구별하기 위하여 부여된 개인정보로서 「주민등록법」 제7조제3항에 따른 주민등록번호, 「여권법」 제7조제1항제1호에 따른 여권번호,「도로교통법」 제80조에 따른 운전면허의 면허번호,「출입국관리법」 제31조제4항에 따른 외국인등록번호를 포함한다.
3. "민감정보"라 함은 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 유전정보, 범죄경력에 해당하는 정보를 포함한다. <신설 2017.12.29.>
4. "개인정보파일"이라 함은 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다. <번호변경 2017.12.29.>
5. "개인정보처리시스템"이라 함은 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다. <개정 2017.12.29.>
6. "정보주체"라 함은 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. <번호변경 2017.12.29.>
7. "처리"라 함은 개인정보의 수집·생성·기록·저장·보유·가공·편집·검색·출력·정정(訂正)·복구·이용·제공·공개·파기(破棄), 그 밖에 이와 유사한 행위를 말한다. <번호변경 2017.12.29.>
8. "제공"이라 함은 우리 대학교가 보유한 개인정보를 제3자에게 이전하거나 공동으로 이용할 수 있는 상태를 초래하는 모든 행위를 말한다. <번호변경 2017.12.29.>
9. "위탁"이라 함은 우리 대학교가 개인정보의 처리에 관한 업무를 수탁자에게 맡겨 처리하는 모든 행위를 말한다. <번호변경 2017.12.29.>
10. "가명정보"라 함은 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 등의 방법으로 추가 정보가 없이는 특정 개인을 알아볼 수 없도록 처리한 정보로서 추가 정보 결합 시 개인 재식별이 가능한 정보를 말한다. <신설 2022.2.22.>
제21조(보호구역 출입 통제)
1. ① 책임자는 개인정보를 보관하는 물리적인 장소를 보호구역으로 지정하고 다음 각 호의 사항을 포함하는 출입통제 절차를 적용하여야 한다. <개정 2017.12.29.> 1. 보호구역 출입자 관리대장에 출입내역을 기록 및 보관 (출입자, 출입사유, 출입시각 등) <신설 2017.12.29.>
2. 상시 이용하는 출입문은 곳으로 정하고 이중 잠금장치 설치 <신설 2017.12.29.>
3. 출입자 식별을 위한 출입문 보안장치 설치 및 주야간 감시 <신설 2017.12.29.>
책임자는 개인정보가 포함된 서류·보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다. <개정 2017.12.29.>
[번호변경 2017.12.29.] [제목개정 2017.12.29.]
제21조(보호구역 출입 통제)
① 책임자는 개인정보를 보관하는 물리적인 장소를 보호구역으로 지정하고 다음 각 호의 사항을 포함하는 출입통제 절차를 적용하여야 한다. <개정 2017.12.29.>
1. 보호구역 출입자 관리대장에 출입내역을 기록 보관 (출입자, 출입사유, 출입시각 등) <신설 2017.12.29.>
2. 상시 이용하는 출입문은 곳으로 정하고 이중 잠금장치 설치 <신설 2017.12.29.>
3. 출입자 식별을 위한 출입문 보안장치 설치 주야간 감시 <신설 2017.12.29.>
책임자는 개인정보가 포함된 서류·보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다. <개정 2017.12.29.>
[번호변경 2017.12.29.] [제목개정 2017.12.29.]
제29조(개인정보 처리 동의)
① 취급자는 다음 각 호의 어느 하나에 해당하는 경우 정보주체로부터 동의를 받아 개인정보를 처리할 수 있다.
1. 개인정보의 수집ㆍ이용ㆍ제공
2. 개인정보의 수집ㆍ이용ㆍ제공 목적 외의 용도로 이용 또는 제3자 제공
3. 민감정보의 처리
4. 주민등록번호를 제외한 고유식별정보의 처리
취급자가 우리 대학교의 대다수 구성원(학생ㆍ교직원 등)으로부터 반복적 또는 통상적으로 개인정보의 처리에 대한 동의를 받아야 하는 경우 취급자는 책임자에게 이를 전자적으로 처리할 수 있도록 지원을 요청할 수 있다.
개인정보의 처리에 대한 동의와 관련한 구체적인 사항은 별도로 정한다.
[본조신설 2017.12.29.]
제29조(개인정보 처리 동의)
① 취급자는 다음 각 호의 어느 하나에 해당하는 경우 정보주체로부터 동의를 받아 개인정보를 처리할 수 있다.
1. 개인정보의 수집ㆍ이용ㆍ제공
2. 개인정보의 수집ㆍ이용ㆍ제공 목적 외의 용도로 이용 또는 제3자 제공
3. 민감정보의 처리
4. 주민등록번호를 제외한 고유식별정보의 처리
취급자가 우리 대학교의 대다수 구성원(학생ㆍ교직원 등)으로부터 반복적 또는 통상적으로 개인정보의 처리에 대한 동의를 받아야 하는 경우 취급자는 책임자에게 이를 전자적으로 처리할 수 있도록 지원을 요청할 수 있다.
취급자는 정보주체의 동의 없이 개인정보를 이용 또는 제공하려는 경우에는 다음 각 호의 사항을 모두 고려하여야 한다. <신설 2022.2.22.>
1. 당초 수집 목적과 관련성이 있는지 여부 <신설 2022.2.22.>
2. 개인정보 수집 정황 또는 처리 관행 측면에서 추가적인 이용/제공에 대한 예측 가능성 여부 <신설 2022.2.22.>
3. 정보주체의 이익을 부당하게 침해하는지 여부 <신설 2022.2.22.>
4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치 여부 <신설 2022.2.22.>
5. 개인정보의 추가적인 이용·제공 내역을 개인정보 처리방침에 공개 여부 <신설 2022.2.22.>
개인정보의 처리에 대한 동의와 관련한 구체적인 사항은 별도로 정한다. <번호개정 2022.2.22.>
[본조신설 2017.12.29.]
제31조(가명정보 처리)
취급자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
취급자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
취급자는 가명정보를 처리하는 경우 사실을 책임자에게 알려야 하며, 책임자는 가명정보 처리에 필요한 다음 호의 사항을 확인하여야 한다.
1. 서로 다른 개인정보처리자 간의 가명정보의 결합에 대한 제한
2. 가명정보 복원을 위한 추가 정보(이하 '복원정보')를 별도로 분리하여 보관·관리
3. 복원정보의 안전성 확보에 필요한 기술적·관리적 물리적 조치
4. 가명정보 처리내역 기록 보관
가명정보 처리에 관한 세부 사항은 교육부의 '교육분야 가명정보 처리 가이드라인'을 따른다.
[본조신설 2021.6.17.]
제31조(가명정보 처리)
취급자는 통계작성, 과학적 연구, 공익적 기록보존 등을 위하여 정보주체의 동의 없이 가명정보를 처리할 수 있다.
취급자는 특정 개인을 알아보기 위한 목적으로 가명정보를 처리해서는 아니 된다.
취급자는 가명정보를 제3자에게 제공할 경우 특정 개인을 식별하기 위해 사용될 있는 추가정보를 제공할 없다. <신설 2022.2.22.>
취급자는 가명정보 처리 특정 개인을 식별할 있는 정보가 생성된 경우 해당 정보의 처리를 중지하고 즉시 회수 또는 파기하여야 한다. <신설 2022.2.22.>
취급자는 가명정보를 처리하는 경우 그 사실을 책임자에게 알려야 하며, 책임자는 가명정보 처리에 필요한 다음 호의 사항을 확인하여야 한다. <번호개정 2022.2.22.>
1. 서로 다른 개인정보처리자 간의 가명정보의 결합에 대한 제한
2. 가명정보와 가명정보를 원래의 상태로 복원하기 위한 정보(이하 '추가정보')의 분리 보관 (추가정보가 불필요한 경우에는 추가정보 파기) <개정 2022.2.22.>
3. 가명정보와 추가정보에 대한 안전성 확보 조치 접근권한의 분리 <개정 2022.2.22.>
4. 가명정보 처리내역 기록 및 보관
가명정보 처리에 관한 세부 사항은 교육부의 '교육분야 가명정보 처리 가이드라인'을 따른다. <번호개정 2022.2.22.>
[본조신설 2021.6.17.]
<신설>
부칙(2021.6.17.)
이 규정은 2021.6.17.부터 시행한다.
<신설>
부칙(2022.2.22.)
이 규정은 2022.2.22.부터 시행한다.
개인정보 처리위탁 계약서
단국대학교(이하 "갑"이라 한다)와 __________(이하 "을"이라 한다)는 "갑"의 개인정보 처리업무를 "을"에게 위탁함에 있어 다음과 같은 내용으로 본 위탁 계약을 체결한다.
제1조 (목적)
이 계약은 "갑"이 개인정보 처리업무를 "을"에게 위탁하고, "을"은 이를 승낙하여 "을"의 책임 아래 성실하게 업무를 완성하도록 하는데 필요한 사항을 정함을 목적으로 한다.
제2조 (용어의 정의)
본 계약에서 별도로 정의되지 아니한 용어는 「개인정보 보호법」, 「개인정보의 안전성 확보조치 기준」, 「표준 개인정보 보호지침」에서 정의된 바에 따른다.
제3조 (위탁업무의 목적, 범위, 기간)
"을"은 본 계약이 정하는 바에 따라 목적으로 년 월 일 부터 년 월 일 까지 다음과 같은 개인정보 처리 업무를 수행한다.1)
1.
2.
제4조 (재위탁 제한)
"을"은 "갑"의 사전 승낙을 얻은 경우를 제외하고 "갑"과의 계약상의 권리와 의무의 전부 또는 일부를 제3자에게 양도하거나 재위탁할 수 없다.
"을"이 재위탁받은 수탁회사를 선임한 경우 "을"은 당해 재위탁 계약서와 함께 그 사실을 즉시 "갑"에 통보하여야 한다.
제5조 (개인정보의 안전성 확보조치)
"을"은 「개인정보 보호법」제24조제3항 및 제29조, 동법 시행령 제21조 및 제30조, 「개인정보의 안전성 확보조치 기준」에 따라 개인정보의 안전성 확보에 필요한 관리적ㆍ기술적ㆍ물리적 조치를 취하여야 한다.
제6조 (개인정보의 처리제한)
"을"은 계약기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 된다.
"을"은 계약이 해지되거나 또는 계약기간이 만료된 경우 위탁업무와 관련하여 보유하고 있는 개인정보를 「개인정보 보호법 시행령」 제16조 및「개인정보의 안전성 확보조치 기준」에 따라 즉시 파기하거나 "갑"에게 반납하여야 한다.
제2항에 따라 "을"이 개인정보를 파기한 경우 지체없이 "갑"에게 그 결과를 통보하여야 한다.
제7조 (수탁자에 대한 관리·감독 등)
"갑"은 "을"에 대하여 다음 각 호의 사항을 관리하도록 요구할 수 있으며, "을"은 특별한 사유가 없는 한 이에 응하여야 한다.
1. 개인정보 처리 현황
2. 개인정보 접근 현황
3. 목적외 이용ㆍ제공 및 재위탁 금지 준수여부
4. 암호화 등 안전성 확보조치 이행여부
5. 그 밖에 개인정보의 보호를 위하여 필요한 사항
"갑"은 "을"에 대하여 제1항 각 호의 사항에 대한 실태를 점검하여 시정을 요구할 수 있으며, "을"은 특별한 사유가 없는 한 이행하여야 한다.
"갑"은 위탁으로 인하여 정보주체의 개인정보가 분실·도난·유출·변조 또는 훼손되지 아니하도록 1년에 1회 "을"을 교육할 수 있으며, "을"은 이에 응하여야 한다.2)
제1항에 따른 교육의 시기와 방법 등에 대해서는 "갑"은 "을"과 협의하여 시행한다.
제8조 (손해배상)
"을" 또는 "을"의 임직원 기타 "을"의 수탁자가 이 계약에 의하여 위탁 또는 재위탁받은 업무를 수행함에 있어 이 계약에 따른 의무를 위반하거나 "을" 또는 "을"의 임직원 기타 "을"의 수탁자의 귀책사유로 인하여 이 계약이 해지되어 "갑" 또는 개인정보주체 기타 제3자에게 손해가 발생한 경우 "을"은 그 손해를 배상하여야 한다.
제1항과 관련하여 개인정보주체 기타 제3자에게 발생한 손해에 대하여 "갑"이 전부 또는 일부를 배상한 때에는 "갑"은 "을"에게 구상할 수 있으며, "을"은 이에 응하여야 한다.
제9조 (개인정보 유출사고 신고 의무)
위탁받아 처리 중인 개인정보가 유출된 경우, "을"은 개인정보 유출사고 인지 시점으로부터 3일 이내에 "갑"에게 그 사실을 신고하여야 한다.
본 계약의 내용을 증명하기 위하여 계약서 2부를 작성하고, "갑"과 "을"이 서명 또는 날인한 후 각 1부씩 보관한다.
년 월 일
갑 : 단국대학교 _____________
주소 : 경기도 용인시 수지구 죽전로 152
성명 : (인)
을 :
주소 :
성명 : (인)

개인정보 처리위탁 점검표
위탁목적

위탁자
부 서

수탁자
업 체

위탁기간
. . . ~ . . .
연락처

연락처

점검일자
년 월 일
담당자
(서명)
담당자
(서명)

번호
점검사항
점검결과

아니오
해당없음
1
개인정보 처리위탁 계약을 문서에 의하여 체결하였습니까?
☞ 개인정보 처리 업무를 위탁하는 경우에는 개인정보보호 관리규정 제1호 서식에 따라 위탁자와 수탁자 간 개인정보 처리위탁 계약을 체결하여야 합니다.



2
개인정보 처리위탁 계약에 따른 개인정보 처리 업무를 제3자에게 양도하거나 재위탁하였습니까?
☞ 수탁자는 위탁자로부터 사전 승인을 받은 후 위탁받은 업무를 제3자에게 양도하거나 재위탁할 수 있으며, 관련 사실을 포함하는 재위탁 계약서를 위탁자에게 통지하여야 합니다.



3
개인정보 처리위탁 목적의 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공한 사실이 있습니까?
☞ 수탁자는 개인정보 처리위탁 계약에 명시된 위탁업무의 목적, 범위, 기간을 초과하여 개인정보를 이용하거나 제3자에게 제공 또는 누설하여서는 아니 됩니다.



4
개인정보 처리위탁 계약의 해지⦁만료 시 위탁받은 개인정보를 전량 파기하거나 반납할 것을 확약합니까?
☞ 수탁자는 개인정보 처리위탁 계약이 해지 또는 만료되는 경우 위탁받아 처리 중인 모든 개인정보를 즉시 파기하거나 반납하여야 하며, 그 결과를 위탁자에게 통지하여야 합니다.



5
개인정보 취급자를 대상으로 하는 개인정보 보호 교육을 이수하였습니까?
☞ 개인정보보호 종합포털(www.privacy.go.kr)에서 제공하는 개인정보 보호 교육을 연 1회 이상 수강하십시오.



6
개인정보처리시스템에 대한 사용자 접근권한의 부여〮⦁변경⦁말소 내역을 기록하고 3년간 보관합니까?
☞ 개인정보처리시스템에 대한 사용자 접근권한의 부여⦁변경⦁말소 내역(신청자⦁신청일시⦁승인자⦁사유 등)을 기록하고 보관하십시오.



7
비밀번호 작성규칙을 수립하여 개인정보처리시스템에 적용하였습니까?
☞ 개인정보처리시스템에 접근하기 위한 비밀번호는 대소문자⦁숫자 조합의 8자리 이상으로 설정하도록 개인정보처리시스템에 적용하십시오.



8
개인정보처리시스템에 대한 접속을 IP 주소, 포트 등으로 제한하여 비인가 접근을 차단합니까?
☞ 호스트 방화벽(예; Windows 방화벽, iptables 등)을 활용하여 네트워크 접근 정책을 적용하고 비인가 접근을 차단하십시오.



9
개인정보가 포함된 게시글(본문내용⦁첨부파일)을 공개용 게시판에 등록하는 경우 차단합니까?
☞ 공개용 게시판을 통한 개인정보 유출을 방지하기 위해 게시글(본문내용⦁첨부파일)에 대해 개인정보 필터링 기능을 적용하십시오. ※문의:정보인프라팀(031-8005-2324)



10
고유식별정보⦁비밀번호⦁바이오정보는 암호화하여 송신하거나 전달합니까?
☞ 해당 개인정보는 IPSec⦁SSL VPN 등을 활용하여 암호화하여 송신하거나 (한글⦁엑셀 등에서 제공하는) 비밀번호 설정기능 등을 활용하여 암호화하여 저장한 후 전달하십시오.



11
고유식별정보⦁비밀번호⦁바이오정보는 암호화하여 저장합니까?
☞ 고유식별정보 및 바이오정보는 양방향 암호화, 비밀번호는 일방향 암호화(hashing)하여 저장하십시오.



12
고유식별정보⦁비밀번호⦁바이오정보를 안전한 암호알고리즘으로 암호화합니까?
☞ 국가정보원⦁NIST(美)⦁CRYPTREC(日)⦁ECRYPT(EU)에서 권고하는 암호화 알고리즘을 이용하여 압호화하십시오.



13
개인정보처리시스템에 사용자가 접속한 기록을 6개월 이상 보관합니까?
☞ 개인정보처리시스템에 대한 사용자의 접속기록(계정⦁접속일시⦁IP주소⦁처리(등록/수정/삭제/조회/출력 등))을 보관하십시오.



14
개인정보처리시스템에 백신프로그램을 설치하고 자동 업데이트 설정하였습니까?
☞ Windows의 경우 Windows Defender⦁V3, Linux 계열의 ClamAV 등을 설치하십시오.



15
개인정보처리시스템의 운영체제에 보안 업데이트를 최신으로 유지하고 있습니까?
☞ 운영체제 업데이트를 자동으로 설정하고, 보안 업데이트 공지 시 즉시 수동 업데이트하십시오.