학교·교육기관 개인정보보호법 완전 가이드

학교는 학생의 성적, 건강, 가정환경, 심리 상담 기록 등 매우 민감한 개인정보를 대량으로 처리하는 기관입니다. 특히 정보 주체가 미성년자인 경우가 대부분이므로 PIPA(개인정보보호법)와 함께 교육관련기관의 정보공개에 관한 특례법, 학교생활기록 작성 및 관리지침 등 교육 특수 법령도 함께 적용됩니다.

1. 학교 개인정보의 특수성

미성년자 정보 주체

학생 대부분이 만 14세 미만이거나 미성년자이므로:

• 만 14세 미만: 법정대리인(부모)의 동의가 원칙
• 만 14세 이상 미성년자: 본인 동의 가능하나, 민감정보·중요 결정은 법정대리인 동의 권고
• 성년 학생(대학교): 본인 동의 원칙

민감정보 해당 항목

학교에서 처리하는 다음 정보는 PIPA상 민감정보로 별도 동의 또는 법령 근거가 필요합니다.

| 민감정보 항목 | 학교 맥락 예시 | |---------------|----------------| | 건강 정보 | 건강검진 결과, 만성질환, 장애 유형 | | 정신건강 정보 | Wee 클래스 상담 기록, 심리검사 결과 | | 성적·행동 특성 | 학교생활기록부(법령 근거) | | 종교 정보 | 종교계 학교 입학 시 수집 | | 다문화·가정환경 | 다문화 가정 여부, 한부모 가정 여부 |

2. 학교생활기록부(학생부) 보관

학생부는 초·중등교육법 시행규칙 및 학교생활기록 작성 및 관리지침에 따라 처리됩니다.

법정 보관 기간

| 항목 | 보관 기간 | |------|-----------| | 학교생활기록부(학적, 성적 등) | 학교 졸업 후 5년 | | 학교생활기록부 보조 장부 | 학교 졸업 후 3년 | | 학교 재학 중 생성 데이터 | 졸업 후 교육부 지침에 따라 이관 또는 파기 |

주의: 학생부를 보관 기간 이후에도 유지하거나, 보관 기간 전 임의 삭제하는 것은 모두 위반입니다.

제3자 제공 제한

학생부 내용을 외부에 제공할 때는 학생 본인 또는 법정대리인의 동의가 원칙입니다. 단, 다음의 경우는 예외입니다.

• 대학 입시를 위한 교육부 지정 기관 제공
• 학교 간 전학 시 전출입 학교 간 이관
• 법령에 근거한 수사기관 제공 (영장 등 법적 절차 필요)

3. 학부모 동의 절차

수집 항목별 동의 분리

학기 초 가정통신문으로 일괄 동의를 받는 관행은 PIPA 위반 소지가 있습니다.

[필수] 교육과정 운영 목적
  - 성명, 생년월일, 주소, 연락처
  - 보관기간: 졸업 후 5년

[필수] 학교폭력 예방 목적
  - 위기학생 정보, 상담 기록
  - 보관기간: 3년

[선택] 학교 홍보·졸업앨범 제작
  - 사진·영상 촬영 및 학교 홈페이지 게시
  - 동의 거부 시 관련 활동 제외 (불이익 없음)

[선택] 교육복지 프로그램 연계
  - 저소득층·다문화 가정 여부
  - 동의 거부 시 해당 프로그램 지원 불가 (불이익 안내 의무)

연간 동의 갱신

학기 초 동의를 받았더라도 새로운 목적이 추가되면 별도 동의가 필요합니다. 예를 들어 신규 에듀테크 서비스 도입 시 기존 동의만으로는 부족합니다.

4. 교외활동·수련활동 위탁

수학여행, 수련활동, 현장학습 등을 위탁 업체에 맡길 때는 위탁 계약서에 개인정보 처리 조항을 포함해야 합니다.

위탁 시 제공 정보 최소화 원칙

| 활동 유형 | 제공 정보 | 주의사항 | |-----------|-----------|----------| | 수학여행 여행사 | 성명, 생년월일, 비상연락처 | 여권번호는 해외여행 시만, 국내 불필요 | | 급식 위탁 업체 | 식품 알레르기, 특이식이 여부 | 민감정보 — 별도 동의 또는 학교보건법 근거 | | 방과후 학교 위탁 강사 | 수강 학생 명단 | 성적·상담 기록은 제공 금지 | | 에듀테크 서비스 | 학습 데이터 | 클라우드 서버 국내 위치 확인 필수 |

에듀테크·LMS 플랫폼 주의사항

Google Workspace for Education, Microsoft Teams, 학교 LMS 등 해외 클라우드 서비스를 도입할 때:

• 국외 이전 동의 필요 (또는 개인정보보호위원회 인증 국가 여부 확인)
• 학생 계정 데이터가 해당 플랫폼 광고에 활용되지 않는지 계약서 확인
• 서비스 종료 또는 계약 해지 시 데이터 반환·파기 조항 필수

5. 학교 CCTV 운영

학교 CCTV는 개인정보보호법과 학교폭력예방법이 함께 적용됩니다.

설치 가능 장소

| 장소 | 가능 여부 | |------|-----------| | 교문·복도·운동장 | 가능 (안내판 필수) | | 교실 내부 | 원칙 금지 — 학습권·사생활 침해 | | 화장실·탈의실 | 절대 금지 | | 상담실 | 절대 금지 |

학교 CCTV 안내판 필수 항목

• 설치 목적 (학교폭력 예방, 안전사고 대응)
• 촬영 범위
• 보관 기간 (30일 권고)
• 관리 책임자 및 연락처

학교폭력 사건 시 영상 열람

학교폭력 사건 조사 시 CCTV 영상은 피해 학생 또는 법정대리인 요청으로 열람 가능합니다. 단, 영상에 포함된 제3자(다른 학생) 정보는 블러 처리 후 제공하는 것이 원칙입니다.

6. 교사·교직원 개인정보

교직원은 학교와 근로관계에 있으므로 별도의 고지·동의 체계가 필요합니다.

• 급여 이체를 위한 계좌번호 수집: 동의 불필요 (근로계약 이행 목적)
• 교원자격증·면허 정보: 적법한 인사 목적으로 처리
• 교사 수업 녹화(온라인 수업): 수업 목적 외 배포 금지, 학기 종료 후 파기
• 교사 얼굴이 포함된 CCTV 영상: 교사도 정보 주체 — 열람 요청 권리 있음

7. 졸업생 정보 처리

졸업생 연락처 활용

졸업생 연락처를 동문회 소식·행사 안내에 사용하려면 별도의 마케팅 동의가 필요합니다. 재학 중 수집한 비상연락처를 졸업 후 홍보에 사용하는 것은 목적 외 이용입니다.

졸업앨범·학교 홈페이지 사진

졸업앨범이나 학교 홈페이지에 학생 사진을 사용할 때:

• 재학 시 동의를 받았더라도 졸업 후 홈페이지 지속 게시는 재확인 권고
• 특히 학교폭력 가해자·피해자가 포함된 사진은 삭제 요청 시 즉시 처리
• SNS 공식 계정에 학생 사진 게시 시 개별 동의 필요

8. 개인정보 침해 사례 (학교)

흔한 위반 유형

1. 가정통신문 학급 전체 공유: 한 학생의 결석 사유(질병 등)를 전체 가정통신문에 기재
2. 성적 공개 좌석 배치: 성적순 자리 배치표를 교실에 공개 게시
3. 학부모 단체 카톡방: 학생 문제행동을 학부모 단톡방에 공유 (명예훼손 + PIPA 위반)
4. 졸업생 연락처 무단 활용: 모금 캠페인 등에 졸업생 연락처 활용
5. 에듀테크 무허가 도입: IT 담당 교사가 개인정보 검토 없이 해외 앱 도입

9. PipaGuard 학교 지원 기능

PipaGuard는 교육기관의 개인정보 관리를 지원합니다.

• 동의서 템플릿: 학기 초 가정통신문용 PIPA 적합 동의서
• 위탁 계약서: 수학여행, 급식, 방과후 위탁용 표준 계약 조항
• CCTV 안내판 생성기: 법정 필수 항목이 포함된 안내판 출력
• 에듀테크 도입 체크리스트: 해외 서비스 도입 전 개인정보 검토 항목

👉 pipaguard.vercel.app에서 무료로 시작하세요.

마치며

학교는 미성년자라는 취약 정보 주체를 대규모로 처리하는 기관입니다. PIPA 위반 시 과징금뿐 아니라 교육청 감사, 언론 보도, 학부모 민원으로 이어지는 경우가 많습니다. 학기 초 동의 절차 정비, CCTV 안내판 점검, 위탁 계약서 표준화부터 시작해 보세요.