개인정보 유출시 정보주체에 바로 통지, 피해 최소화 위한 대책 마련 필요
1천명 이상 유출 시 유출통지결과 신고, 홈페이지에 7일 이상 추가 공지해야
5월 31일~6월 1일, PIS FAIR서 개인정보보호 정책방향과 유출시 대응방안 강연
[보안뉴스 김경애 기자] 기업이 관리하고 있는 고객정보 등 개인정보가 유출됐을 때 기업에서는 반드시 취해야할 필수조치가 몇 가지 있다. 하지만 기업 상당수는 이에 대해 잘 모르는 것으로 드러났다. 특히, 영세업체나 보안담당자가 없는 중소기업의 경우 더욱 그렇다.
[이미지=iclickart]
‘2013~2017 개인정보 실태 점검 및 행정 처분 사례집’을 살펴보면 개인정보 유출 시 필수 조치(법 제34조)로 △유출된 정보주체 개개인에게 지체 없이 통지(개인정보보호법 제34조제1항) △피해 최소화를 위한 대책 마련 및 필요한 조치 실시(개인정보보호법 제34조제1항) △1천 명 이상 유출된 경우 유출 통지 결과 신고(개인정보보호법 제34조제3항) △1천 명 이상 유출된 경우에는 추가로 홈페이지에 공지(개인정보보호법 시행령 제40조제3항)해야 한다.
첫째, 개인정보가 유출된 기업은 개인정보보호법 제75조제2항제8호(3천만 원 이하의 과태료)에 따라 유출됐음을 알게 된 즉시(통상 5일 이내) 반드시 유출된 정보주체 개개인에게 지체 없이 통지해야 한다. 통지해야 하는 항목은 총 5가지로 ①유출된 개인정보의 항목 ②유출 시점과 그 경위 ③피해 최소화를 위한 정보주체의 조치방법 ④기관의 대응 조치 및 피해 구제 절차 ⑤피해 신고 접수 담당부서 및 연락처다.
둘째, 피해 최소화를 위한 대책 마련과 필요한 조치를 취해야 한다. 여기에는 접속 경로 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 피해를 최소화하기 위해 필요한 긴급조치가 포함된다. 만약 긴급 조치 이행 등에 어려움이 있는 경우 전문기관에 기술 지원을 요청해야 한다. 피해 최소화 대책을 마련하지 않거나 필요한 긴급 조치를 하지 않은 경우 행정안전부로부터 시정명령을 받을 수 있다.
셋째. 개인정보가 1천명 이상 유출된 경우 개인정보보호법 제75조제2항제9호(3천만 원 이하의 과태료)에 따라 유출 통지 및 조치 결과를 지체 없이 행정안전부(이하 행안부) 또는 전문기관(한국인터넷진흥원)에 신고해야 한다. 만약 조치 결과를 신고하지 않을 경우 개인정보보호법 제75조제2항제9호에 따라 3천만 원 이하의 과태료가 부과될 수 있다.
마지막으로, 1천명 이상 개인정보가 유출된 경우 개별 통지와 함께 유출된 사실을 인터넷 홈페이지에 7일 이상 게재해야 한다. 홈페이지 등에 공지하지 않거나 7일 미만으로 게재하는 경우 행안부로부터 시정명령을 받을 수 있다.
[자료=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]
하지만 이러한 법적 규제가 있음에도 홈페이지에 제대로 공지하지 않는 기업이 적지 않다. 특히 사건 경위, 유출규모, 유출된 정보, 유출 사실 등에 대해 정확히 명시하지 않는 경우가 발견돼 이용자들의 비판을 받기도 한다.
익명을 요청한 한 보안전문가는 “개인정보 유출기업의 경우 추후 민사소송 때 공지한 내용들이 증거자료로 사용되기 때문에 변호사 자문에 따라 두리뭉실하게 공지하는 등 꼼수를 부리는 경우가 상당수”라며 “하지만 법의 테두리 내에서 진행되는 만큼 확실한 팩트가 나오기 전까지 이를 확인하기가 쉽지 않다”고 지적했다.
한국인터넷진흥원 개인정보대응센터 김주영 센터장은 “소관 법률에 맞게 기업은 이용자에게 통지의무가 제대로 이행돼야 한다”며 “이용자에게 통지해야 할 내용은 어떤 정보가 유출됐고, 유출규모는 어느 정도인지를 명확히 포함해야 한다”고 강조했다.
이러한 가운데 올해 하반기 개인정보보호 정책방향을 설명하고, 상반기 개인정보보호 실태점검 결과에 따른 기업의 대응방안을 제시하는 자리가 마련될 예정이라 주목된다. 오는 5월 31일부터 6월 1일까지 행정안전부, 방송통신위원회, 개인정보보호위원회가 공동 주최하고, PIS FAIR 2018 조직위원회와 한국인터넷진흥원이 공동으로 주관하는 국내 최대의 개인정보보호 행사인 PIS FAIR 2018이 코엑스 그랜드볼룸에서 열린다. 이번 PIS FAIR 2018에서는 시행이 얼마 남지 않은 유럽 개인정보보호법(GDPR) 세션과 함께 개인정보보호와 관련된 이슈와 신기술들이 이틀에 걸쳐 세부적으로 소개될 전망이다.
[김경애 기자(boan3@boannews.com)]
1천명 이상 유출 시 유출통지결과 신고, 홈페이지에 7일 이상 추가 공지해야
5월 31일~6월 1일, PIS FAIR서 개인정보보호 정책방향과 유출시 대응방안 강연
[보안뉴스 김경애 기자] 기업이 관리하고 있는 고객정보 등 개인정보가 유출됐을 때 기업에서는 반드시 취해야할 필수조치가 몇 가지 있다. 하지만 기업 상당수는 이에 대해 잘 모르는 것으로 드러났다. 특히, 영세업체나 보안담당자가 없는 중소기업의 경우 더욱 그렇다.
[이미지=iclickart]
‘2013~2017 개인정보 실태 점검 및 행정 처분 사례집’을 살펴보면 개인정보 유출 시 필수 조치(법 제34조)로 △유출된 정보주체 개개인에게 지체 없이 통지(개인정보보호법 제34조제1항) △피해 최소화를 위한 대책 마련 및 필요한 조치 실시(개인정보보호법 제34조제1항) △1천 명 이상 유출된 경우 유출 통지 결과 신고(개인정보보호법 제34조제3항) △1천 명 이상 유출된 경우에는 추가로 홈페이지에 공지(개인정보보호법 시행령 제40조제3항)해야 한다.
첫째, 개인정보가 유출된 기업은 개인정보보호법 제75조제2항제8호(3천만 원 이하의 과태료)에 따라 유출됐음을 알게 된 즉시(통상 5일 이내) 반드시 유출된 정보주체 개개인에게 지체 없이 통지해야 한다. 통지해야 하는 항목은 총 5가지로 ①유출된 개인정보의 항목 ②유출 시점과 그 경위 ③피해 최소화를 위한 정보주체의 조치방법 ④기관의 대응 조치 및 피해 구제 절차 ⑤피해 신고 접수 담당부서 및 연락처다.
둘째, 피해 최소화를 위한 대책 마련과 필요한 조치를 취해야 한다. 여기에는 접속 경로 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 피해를 최소화하기 위해 필요한 긴급조치가 포함된다. 만약 긴급 조치 이행 등에 어려움이 있는 경우 전문기관에 기술 지원을 요청해야 한다. 피해 최소화 대책을 마련하지 않거나 필요한 긴급 조치를 하지 않은 경우 행정안전부로부터 시정명령을 받을 수 있다.
셋째. 개인정보가 1천명 이상 유출된 경우 개인정보보호법 제75조제2항제9호(3천만 원 이하의 과태료)에 따라 유출 통지 및 조치 결과를 지체 없이 행정안전부(이하 행안부) 또는 전문기관(한국인터넷진흥원)에 신고해야 한다. 만약 조치 결과를 신고하지 않을 경우 개인정보보호법 제75조제2항제9호에 따라 3천만 원 이하의 과태료가 부과될 수 있다.
마지막으로, 1천명 이상 개인정보가 유출된 경우 개별 통지와 함께 유출된 사실을 인터넷 홈페이지에 7일 이상 게재해야 한다. 홈페이지 등에 공지하지 않거나 7일 미만으로 게재하는 경우 행안부로부터 시정명령을 받을 수 있다.
[자료=2013~2017 개인정보 실태 점검 및 행정 처분 사례집]
하지만 이러한 법적 규제가 있음에도 홈페이지에 제대로 공지하지 않는 기업이 적지 않다. 특히 사건 경위, 유출규모, 유출된 정보, 유출 사실 등에 대해 정확히 명시하지 않는 경우가 발견돼 이용자들의 비판을 받기도 한다.
익명을 요청한 한 보안전문가는 “개인정보 유출기업의 경우 추후 민사소송 때 공지한 내용들이 증거자료로 사용되기 때문에 변호사 자문에 따라 두리뭉실하게 공지하는 등 꼼수를 부리는 경우가 상당수”라며 “하지만 법의 테두리 내에서 진행되는 만큼 확실한 팩트가 나오기 전까지 이를 확인하기가 쉽지 않다”고 지적했다.
한국인터넷진흥원 개인정보대응센터 김주영 센터장은 “소관 법률에 맞게 기업은 이용자에게 통지의무가 제대로 이행돼야 한다”며 “이용자에게 통지해야 할 내용은 어떤 정보가 유출됐고, 유출규모는 어느 정도인지를 명확히 포함해야 한다”고 강조했다.
이러한 가운데 올해 하반기 개인정보보호 정책방향을 설명하고, 상반기 개인정보보호 실태점검 결과에 따른 기업의 대응방안을 제시하는 자리가 마련될 예정이라 주목된다. 오는 5월 31일부터 6월 1일까지 행정안전부, 방송통신위원회, 개인정보보호위원회가 공동 주최하고, PIS FAIR 2018 조직위원회와 한국인터넷진흥원이 공동으로 주관하는 국내 최대의 개인정보보호 행사인 PIS FAIR 2018이 코엑스 그랜드볼룸에서 열린다. 이번 PIS FAIR 2018에서는 시행이 얼마 남지 않은 유럽 개인정보보호법(GDPR) 세션과 함께 개인정보보호와 관련된 이슈와 신기술들이 이틀에 걸쳐 세부적으로 소개될 전망이다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
