시치미 SICHIMI - 한국교육ID연합

정책(Policy)

SICHIMI는 정책, 개인정보 보호지침, 기술 프로파일을 통해 연합 서비스의 신뢰성과 안전성을 보장합니다.

개인정보관리지침

개인정보관리 지침

제 1 장 소개

본 지침에서는 교육ID연합(SICHIMI) 참여 주체별(운영센터, IdP, SP, 정보주체)로 준수해야 하는 개인정보보호 관련법령 및 서비스 제공에 따른 역할과 책임에 대해 정의 한다.

제 2 장 서비스와 관련된 개인정보보호법

조직도 목록 : 조직도를 보여줍니다.
해당 법 조항	점검 항목
제 15조 (개인정보의 수집·이용 동의)	회원 가입 시 동의 여부 개인정보 수집 시 동의 여부 정보주체 동의 시 필수고지항목 고지 여부 필수고지항목(4개) 내용의 적정 여부 ＊4개 : 목적, 항목, 보유 및 이용기간, 거부권 및 불이익
제 17조 (개인정보의 제공)	제 3자에게 개인정보 제공 시 정보주체의 동의 여부 정보주체 동의 시 필수 고지항목(5개) 고지 여부 필수 고지항목(5개) 내용의 적정 여부 ＊5개 : 제공받는 자, 목적, 항목, 보유 및 이용기간, 거부권 및 불이익
제 18조 (개인정보의 이용·제공 제한)	개인정보 수집 당시 정보주체의 이용, 제공 동의 범위를 초과하여 이용, 제공 여부 개인정보 제공 시 제공 목적범위 내 이용, 안전조치 실시, 목적 달성 후 파기 등 요청 여부 동의에 의한 목적 외 이용, 목적 외 제3자 제공시 필수 고지항목(5개) 고지 여부 필수 고지항목(5개) 내용의 적정 여부 ＊5개 : 제공받는 자, 목적, 항목, 보유 및 이용기간, 거부권 및 불이익
제 21조 (개인정보의 파기)	보유기간 경과, 처리 목적 달성 후 지체 없이 개인정보 파기 여부 개인정보 파기 시 복구 또는 재생되지 않도록 조치 여부 임시파일 및 출력자료 등에 대한 즉시 파기 여부 법령에 따라 보존할 경우 별도 분리 보관 여부
제 23조 (민감정보의 처리 제한)	사상, 정치, 건강 등 민감정보의 동의에 의한 수집 및 제공 시 구분 동의 여부 정보주체 동의 시 필수 고지항목(수집 4개, 제공 5개) 고지 여부 필수 고지항목(4개 또는 5개) 내용의 적정 여부
제 24조 (고유식별정보의 처리 제한)	고유식별정보의 동의에 의한 수집 및 제공 시 구분 동의 여부 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 주민등록번호 외 회원가입 방법 제공 여부
제 29조 (안전의무 조치)	비밀번호의 외부 송·수신 시 암호화 조치 여부 비밀번호의 내부 저장 시 일방향 암호화 조치 여부 바이오정보의 외부 송·수신 시 암호화 조치 여부 바이오정보의 내부 저장 시 암호화 조치 여부 고유식별정보의 외부 송·수신 시 암호화 조치 여부 고유식별정보의 인터넷과 내부망의 중간지점 저장시 암호화 조치 여부 고유식별정보의 내부 저장 시 암호화 조치 또는 그에 상응하는 조치 적용 여부

제17조(개인정보의 제공)

개인정보처리자는 다음 각 호의 어느 하나에 해당되는 경우에는 정보주체의 개인정보를 제3자에게 제공(공유를 포함한다. 이하 같다)할 수 있다. <개정 2020. 2. 4.>
- 정보주체의 동의를 받은 경우
- 제15조제1항제2호·제3호·제5호 및 제39조의3제2항제2호·제3호에 따라 개인정보를 수집한 목적 범위에서 개인정보를 제공하는 경우
개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다. 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
- 개인정보를 제공받는 자
- 개인정보를 제공받는 자의 개인정보 이용 목적
- 제공하는 개인정보의 항목
- 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
개인정보처리자가 개인정보를 국외의 제3자에게 제공할 때에는 제2항 각 호에 따른 사항을 정보주체에게 알리고 동의를 받아야 하며, 이 법을 위반하는 내용으로 개인정보의 국외 이전에 관한 계약을 체결하여서는 아니 된다.
개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 제공할 수 있다. <신설 2020. 2. 4>

제 3 장 사용자 속성 정보

사용자 속성정보는 사용자의 권한을 부여하기 위해 개별 Entity들이 이용하는 정보이다. SICHIMI에서 사용되는 속성 정보는 본 문서의 부록 "지원되는 속성 정보 목록"을 참조한다.

3.1 Trust Framework Provider : 한국교육정보화재단(KREN) 교육ID연합정책위원회

교육ID연합(SICHIMI)의 관리주체(3rd-party Trusted Authority)역할
정책수립과 정책 준수 여부 정기적인 조사
메타데이터 취합 및 배포
참여기관 관리자 개인정보 관리
Central Discovery 서비스 제공
IdP와 SP간 개인정보 중개하지 않음

3.2 IdP(Identity Provider) : ID제공자

참여기관 소속 사용자(정보주체) 계정 및 개인정보관리 및 개인정보보보호법 준수
참여기관 개인정보처리방침에 "다른 기관에 제공하는 개인정보파일 현황" 또는 제3자 피제공기관에 교육ID연합(SICHIMI) 목록 URL(www.sichimi.kr/sps) 안내(권고사항)
개인정보 제공시 사용자동의 구조(uApprove, Consent) 자동화 제공(필수)
메타데이터 제출 및 검증
SP와 SAML통신시 Self Signed Certificate 로 검증 및 암호화

3.3 SP(Service Provider) : 서비스 공급자

IdP로부터 정보주체자 브라우저를 통해 전달받은 개인정보를 저장 활용할 경우 개인정보보호법 등 관련 법령 준수
메타데이터에 개인정보보호처리방침 URL 명시 제출 및 검증
IdP와 SAML통신시 Self Signed Certificate 로 검증 및 암호화

3.4 정보주체 : 서비스 공급자

서비스를 받고자 하는 SP를 통해 서비스를 받고자 할 경우 소속기관 선택
소속기관 인증서버에서 소속기관에 등록된 계정으로 인증
개인정보동의 구조를 통해 제공되는 기관, 제공항목 등을 보여주고 동의시 개인정보를 SP에 암호화되어 사용자 브라우저를 통해 SP에 전달되며, SP에서 권한부여 후 서비스를 제공 받을 수 있음(거절시 개인정보는 전달되는 않으며 SP서비스 사용 불가)

제 4 장 IdP에서 SP로 제공되는 속성정보와 개인정보

IdP는 SP에 속성정보 제공시 속성 값을 필터링 할 수 있는 권한이 있으나, 속성정보를 과도하게 필터링할 경우 소속기관 사용자들이 서비스 사용에 제한이 있을 수 있음

4.1 속성분류

기술프로파일 부록에 별도 명시 교육ID연합(SICHIMI) 운영센터에서는 SP가입 시 필요속성 정보를 제출 받아 서비스 목적 등을 검토하고 가급적 속성정보 제공이 최소화 될 수 있도록 관리

필수속성(*) : 교육ID연합(SICHIMI) 시스템 운영상 반드시 필요한 속성
권고속성(**) : 개인정보 중요도가 낮은 속성으로 국제적으로 통용되는 속성
부가속성(***) : 디지털혁신공유대학, 지역혁신플랫폼 등 학점교류 등의 목적으로 공유대학간 개인을 식별 할 수 있는 정보가 추가로 필요한 속성

부가속성은 정책위원회에서 사업 목적 주체 등을 심사하여 승인된 SP로만 속성을 제공하고, 제공대상 SP목록은 IdP로 자동 배포 적용 되도록 기능 구현 제공