[보안] 개인정보 유출 시 대응조치 (feat. 개인정보보호법)

 개인정보가 유출되었을 시, 대응해야 하는 매뉴얼에 대해 살펴봅니다. (출처: 개인정보 포털)

 

[ Contents ]

 

 

1. 개인정보 유출 사실 통지

 - 유출을 안 때로부터 정당한 사유가 없는 한 늦어도 5일 이내에 정보주체에게 통지해야 합니다.

 - 유출된 개인정보의 확산 및 추가 유출을 방지하기 위해 접속경로 차단과 취약점 점검·보완, 그리고 유출된 개인정보 삭제 등 긴급한 조치가 필요한 경우에는 조치 후 5일 이내에 정보주체에게 통지할 수 있습니다.

 - 통지사항을 모두 확인하기 어려운 경우에는 통지항목 중 확인된 사실만 우선 알리고, 추후 확인되는 즉시 통지합니다.

 - 정보주체에 대한 통지사항은 유출된 개인정보의 항목, 유출된 시점과 그 경위, 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보, 개인정보처리자의 대응조치 및 피해 구제절차, 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 등입니다.

 - 1천명 이상(정보통신서비스 제공자는 1명 이상)의 정보주체에 관한 개인정보가 유출된 경우에는 정보주체에 대한 통지 및 조치결과를 5일 이내에 관련기관에 신고, 인터넷 홈페이지 등에 정보주체가 알아보기 쉽도록 통지사항을 7일 이상 게재해야 합니다.

 

 

 

2. 유출사고 대응 매뉴얼 수립

  - 매뉴얼에는 유출 통지·조회 절차, 영업점·인터넷회선 확충 등 고객 민원 대응조치, 현장 혼잡 최소화 조치, 고객불안 해소조치, 피해자 구제조치 등이 포함됩니다.

  - 손해배상책임 보장 조치 의무 이행이 있는 정보통신서비스 제공자 기준은 전년도 매출액이 5천만원 이상이고, 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 1천 명 이상일 경우입니다. (단, 공공기관과 오프라인 사업자는 제외)

 - 손해배상책임 보장 조치 방법은 개인정보 손해배상 보장 목적의 보험 또는 공제에 가입하거나 준비금을 적립해도 되고, 보험 또는 공제 가입과 준비금 적립을 병행할 수도 있습니다.

 

 

 

3. 개인정보보호 책임자[CPO] 지정

 - 사업주 혹은 대표자 임원 중 지정합니다.(별도 지정 없을 시 사업주/대표자로 간주)

 - 업무: 개인정보보호 계획의 수립 및 시행, 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선, 개인정보 처리와 관련한 불만의 처리 및 피해 구제, 개인정보 유출 및 오용ㆍ남용 방지를 위한 내부통제시스템의 구축, 개인정보보호 교육 계획의 수립 및 시행, 개인정보파일의 보호 및 관리ㆍ감독, 개인정보 처리방침의 수립ㆍ변경 및 시행, 개인정보보호 관련 자료의 관리, 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기 등의 업무 수행

 - 개인정보보호 책임자는 개인정보의 처리 현황, 처리 체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 권한이 있으며, 이 법 및 다른 관계 법령의 위반 사실을 알게 된 경우에는 즉시 개선조치를 하고, 필요하면 소속 기관 또는 단체의 장에게 개선조치를 보고할 의무를 가지고 있습니다.

 - 개인정보 보호법에서는 개인정보보호 책임자에 대한 불이익을 금지하고 있습니다.

 

 

 

※ CPO와 CISO의 차이

 - CPO: 개인정보보호 업무(Privacy) 총괄
 - CISO: 정보보안 업무(Security) 총괄

 => 개인정보보호 책임자가 정보보호 최고 책임자를 겸임할 수 있습니다. 하지만 직전 사업연도 말 자산총액이 5조원 이상이거나, 정보보호관리체계 인증 의무대상 중 자산총액 5,000억 원 이상인 정보통신서비스제공자의 경우 겸임할 수 없습니다.