.jpg)
개인정보 유출 사고 발생 시 준수해야 할 법적 의무사항
개인정보 유출 사고 대응계획 수립, 사고 대응 매뉴얼 마련, 개인정보 유출 통지·신고
[보안뉴스 김경애 기자] 개인정보가 유출됐을 경우 많은 기업이 어떻게 대처해야 하는지 모르는 경우가 적지 않다. 특히 중소기업의 경우 예산 부족 등의 이유로 보안 및 개인정보보호 인력이 없거나 보안 교육 및 훈련 부재로 대응이 미흡한 경우가 비일비재하다. ‘개인정보 유출 등 사고 대응 매뉴얼’이 필요한 이유다. 이와 관련 개인정보보호위원회는 개인정보 유출 사고가 발생할 경우, 피해확산 방지와 정보주체에 대한 피해구제를 위해 ‘개인정보 유출 등 사고 대응 매뉴얼’을 발간해 배포하고 있다.
[이미지=gettyimagesbank]
개인정보가 유출되면 ‘개인정보 보호법’ 제34조가 적용된다. 다만, 신용정보회사 등(상거래기업 및 법인)은 ‘신용정보법’ 제39조의4가 우선 적용된다. 개인정보 유출 등 대응 절차는 유출 대응체계 구축, 피해 최소화 및 긴급조치, 유출 통지 및 신고 등의 순서로 진행해야 한다.
개인정보보호위원회가 발간한 ‘개인정보 유출 등 사고 대응 매뉴얼’에 따른 법적 의무사항은 △개인정보 유출 사고 대응 계획 수립·시행 △개인정보 유출 등 사고 대응 매뉴얼 마련 △개인정보 유출 등 통지 및 신고 등 크게 3가지로 구분된다.
1. 개인정보 유출 사고 대응 계획 수립·시행
‘개인정보보호법’ 제29조 ‘안전조치의무’
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 내부 관리계획 수립, 접속기록 보관 등 기술적·관리적·물리적 조치를 해야 한다.
‘개인정보 보호법 시행령’ ‘제30조 개인정보의 안전성 확보 조치’
이어 개인정보처리자는 안전성 확보조치로 △개인정보취급자에 대한 관리·감독 및 교육(법 제28조제1항) △개인정보보호 책임자 지정 등 개인정보보호 조직의 구성·운영(법 제31조) △조치 이행(제2호부터 제8호까지)을 위해 필요한 세부사항 등 개인정보의 안전한 처리를 위해 내부 관리계획의 수립·시행과 점검을 해야 한다.
‘개인정보의 안전성 확보조치 기준’ 제4조(내부 관리계획의 수립·시행)
개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 않도록 내부 의사결정 절차를 통해 개인정보 유출 사고 대응 매뉴얼을 마련하는 등 내부 관리계획을 수립·시행해야 한다. 다만, 1만명 미만의 정보주체에 관해 개인정보를 처리하는 소상공인·개인·단체의 경우에는 생략할 수 있다.
2. 개인정보 유출 등 사고 대응 매뉴얼 마련
‘개인정보보호법’ 제12조(개인정보 보호지침)
개인정보보호위원회는 개인정보 처리에 관한 기준, 개인정보 침해의 유형과 예방조치 등에 관한 표준 개인정보보호 지침을 정해 개인정보처리자에게 그 준수를 권장할 수 있다.
‘(개인정보보호위원회) 표준 개인정보 보호지침’
제29조 개인정보 유출 등 사고 대응 매뉴얼에 따라 개인정보처리자는 유출 등 사고 발생 시 피해 발생 최소화를 위해 ‘개인정보 유출 등 사고 대응 매뉴얼’을 마련해야 한다.
‘개인정보 유출 등 사고 대응 매뉴얼’은 법 제2조제6호에 따른 공공기관과 그 밖에 1천명 이상의 개인정보를 처리하는 개인정보처리자가 해당한다.
제1항에 따른 개인정보 유출 등 사고 대응 매뉴얼에는 △유출 등 통지·조회 절차 △영업점·인터넷회선 확충 등 고객 민원 대응조치 △현장 혼잡 최소화 조치 △고객 불안 해소 조치 △피해자 구제조치 등을 포함해야 한다.
개인정보처리자는 개인정보 유출 등에 따른 피해복구 조치 등 정보주체의 불편과 경제적 부담을 최소화할 수 있도록 노력해야 한다.
개인정보 유출 등 사고 대응 매뉴얼[자료=개인정보보호위원회]
3. 개인정보 유출 등 통지 및 신고
개인정보 유출 시에는 ‘개인정보 보호법 시행령’ 제39조(개인정보 유출 등의 통지), 제40조(개인정보 유출 등의 신고)에 따라 정보 주체에 유출 사실을 통지해야 한다.
신고는 △1천명 이상의 개인정보 유출 △민감정보 또는 고유식별정보 유출 △외부로부터의 불법 접근에 의해 개인정보가 유출 등이 된 경우 개인정보의 유형, 유출 등의 경로와 규모 등을 고려해 지체없이 대통령령으로 정한 전문기관인 개인정보보호위원회, 한국인터넷진흥원에 72시간 이내에 신고해야 한다. 개인정보보호위원회와 한국인터넷진흥원은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.
신고 시에는 유출된 △개인정보 항목 △유출된 시점과 경위 △유출 피해 최소화를 위해 정보주체가 할 수 있는 방법 등에 관한 정보 △개인정보처리자의 대응조치 및 피해 구제절차 △정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서와 연락처를 서면 등의 방법으로 신고해야 한다.
다만 ‘개인정보보호법’ 제34조(개인정보 유출 등의 통지·신고)에 따라 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다. 또한 개인정보가 유출된 경우 개인정보처리자는 피해 최소화를 위해 대책 마련과 필요한 조치를 해야 한다.
제40조(개인정보 유출 등의 신고)에 따라 천재지변이나 부득이한 사유로 인해 72시간 이내에 신고하기 곤란한 경우에는 해당 사유가 해소된 후 지체없이 신고할 수 있다.
또한 개인정보 유출 등의 경로가 확인되어 해당 개인정보를 회수·삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고하지 않을 수 있다.
[김경애 기자(boan3@boannews.com)]
개인정보 유출 사고 대응계획 수립, 사고 대응 매뉴얼 마련, 개인정보 유출 통지·신고
[보안뉴스 김경애 기자] 개인정보가 유출됐을 경우 많은 기업이 어떻게 대처해야 하는지 모르는 경우가 적지 않다. 특히 중소기업의 경우 예산 부족 등의 이유로 보안 및 개인정보보호 인력이 없거나 보안 교육 및 훈련 부재로 대응이 미흡한 경우가 비일비재하다. ‘개인정보 유출 등 사고 대응 매뉴얼’이 필요한 이유다. 이와 관련 개인정보보호위원회는 개인정보 유출 사고가 발생할 경우, 피해확산 방지와 정보주체에 대한 피해구제를 위해 ‘개인정보 유출 등 사고 대응 매뉴얼’을 발간해 배포하고 있다.
[이미지=gettyimagesbank]
개인정보가 유출되면 ‘개인정보 보호법’ 제34조가 적용된다. 다만, 신용정보회사 등(상거래기업 및 법인)은 ‘신용정보법’ 제39조의4가 우선 적용된다. 개인정보 유출 등 대응 절차는 유출 대응체계 구축, 피해 최소화 및 긴급조치, 유출 통지 및 신고 등의 순서로 진행해야 한다.
개인정보보호위원회가 발간한 ‘개인정보 유출 등 사고 대응 매뉴얼’에 따른 법적 의무사항은 △개인정보 유출 사고 대응 계획 수립·시행 △개인정보 유출 등 사고 대응 매뉴얼 마련 △개인정보 유출 등 통지 및 신고 등 크게 3가지로 구분된다.
1. 개인정보 유출 사고 대응 계획 수립·시행
‘개인정보보호법’ 제29조 ‘안전조치의무’
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 내부 관리계획 수립, 접속기록 보관 등 기술적·관리적·물리적 조치를 해야 한다.
‘개인정보 보호법 시행령’ ‘제30조 개인정보의 안전성 확보 조치’
이어 개인정보처리자는 안전성 확보조치로 △개인정보취급자에 대한 관리·감독 및 교육(법 제28조제1항) △개인정보보호 책임자 지정 등 개인정보보호 조직의 구성·운영(법 제31조) △조치 이행(제2호부터 제8호까지)을 위해 필요한 세부사항 등 개인정보의 안전한 처리를 위해 내부 관리계획의 수립·시행과 점검을 해야 한다.
‘개인정보의 안전성 확보조치 기준’ 제4조(내부 관리계획의 수립·시행)
개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 않도록 내부 의사결정 절차를 통해 개인정보 유출 사고 대응 매뉴얼을 마련하는 등 내부 관리계획을 수립·시행해야 한다. 다만, 1만명 미만의 정보주체에 관해 개인정보를 처리하는 소상공인·개인·단체의 경우에는 생략할 수 있다.
2. 개인정보 유출 등 사고 대응 매뉴얼 마련
‘개인정보보호법’ 제12조(개인정보 보호지침)
개인정보보호위원회는 개인정보 처리에 관한 기준, 개인정보 침해의 유형과 예방조치 등에 관한 표준 개인정보보호 지침을 정해 개인정보처리자에게 그 준수를 권장할 수 있다.
‘(개인정보보호위원회) 표준 개인정보 보호지침’
제29조 개인정보 유출 등 사고 대응 매뉴얼에 따라 개인정보처리자는 유출 등 사고 발생 시 피해 발생 최소화를 위해 ‘개인정보 유출 등 사고 대응 매뉴얼’을 마련해야 한다.
‘개인정보 유출 등 사고 대응 매뉴얼’은 법 제2조제6호에 따른 공공기관과 그 밖에 1천명 이상의 개인정보를 처리하는 개인정보처리자가 해당한다.
제1항에 따른 개인정보 유출 등 사고 대응 매뉴얼에는 △유출 등 통지·조회 절차 △영업점·인터넷회선 확충 등 고객 민원 대응조치 △현장 혼잡 최소화 조치 △고객 불안 해소 조치 △피해자 구제조치 등을 포함해야 한다.
개인정보처리자는 개인정보 유출 등에 따른 피해복구 조치 등 정보주체의 불편과 경제적 부담을 최소화할 수 있도록 노력해야 한다.
개인정보 유출 등 사고 대응 매뉴얼[자료=개인정보보호위원회]
3. 개인정보 유출 등 통지 및 신고
개인정보 유출 시에는 ‘개인정보 보호법 시행령’ 제39조(개인정보 유출 등의 통지), 제40조(개인정보 유출 등의 신고)에 따라 정보 주체에 유출 사실을 통지해야 한다.
신고는 △1천명 이상의 개인정보 유출 △민감정보 또는 고유식별정보 유출 △외부로부터의 불법 접근에 의해 개인정보가 유출 등이 된 경우 개인정보의 유형, 유출 등의 경로와 규모 등을 고려해 지체없이 대통령령으로 정한 전문기관인 개인정보보호위원회, 한국인터넷진흥원에 72시간 이내에 신고해야 한다. 개인정보보호위원회와 한국인터넷진흥원은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.
신고 시에는 유출된 △개인정보 항목 △유출된 시점과 경위 △유출 피해 최소화를 위해 정보주체가 할 수 있는 방법 등에 관한 정보 △개인정보처리자의 대응조치 및 피해 구제절차 △정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서와 연락처를 서면 등의 방법으로 신고해야 한다.
다만 ‘개인정보보호법’ 제34조(개인정보 유출 등의 통지·신고)에 따라 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다. 또한 개인정보가 유출된 경우 개인정보처리자는 피해 최소화를 위해 대책 마련과 필요한 조치를 해야 한다.
제40조(개인정보 유출 등의 신고)에 따라 천재지변이나 부득이한 사유로 인해 72시간 이내에 신고하기 곤란한 경우에는 해당 사유가 해소된 후 지체없이 신고할 수 있다.
또한 개인정보 유출 등의 경로가 확인되어 해당 개인정보를 회수·삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고하지 않을 수 있다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
