최근 AI 업계에서 있던 개인정보 이슈를 생각해보면 이 말이 딱 맞지 않나 싶습니다. “공든 탑, 개인정보로 무너진다” 아무리 좋은 서비스를 런칭해도 사용자가 없으면 아무 소용이 없는데요. 그렇기에 많은 기업이 “소중한 고객님”을 찾고, 평생 고객으로 전환하기 위해 노력합니다. 하지만 그들의 개인정보가 유출되는 순간, 고객들은 물론 회사의 신뢰도까지 잃게 되죠. 개인정보 전담 부서가 있는 대기업조차 이런 이슈들이 생기는 걸 보면 “만약 개인정보 유출 사고가 우리 회사에서 발생한다면?” 하는 생각이 듭니다. 물론, 유출이 되지 않게 관리하는 게 최선이지만, 이런 일이 발생했을 때 어떻게 해야 할지 막막해지는 여러분을 위해 준비했습니다.
“개인정보 유출 사고가 발생했을 때 어떻게 대응해야 하는 걸까요?” 같이 알아보도록 해요.
[개인정보유출사고는 어떤 사항을 포함하고 있는가?]
여러분들이 가장 먼저 떠올리는 해킹, APT 공격 등, 악의적인 공격으로 인해 개인정보를 도난당하는 경우는 물론, 개인정보가 포함된 USB를 분실하거나 단체 메일을 발송할 때 수신자의 정보를 모두에게 전달하여 노출하는 임직원의 실수 역시 모두 해당합니다. 회사가 고객의 개인정보 접근을 허가하지 않은 비인가자가 개인정보를 획득하는 모든 경우를 개인정보 유출로 간주한다는 뜻이죠.
개인정보 유출 사고가 발생했을 경우, 어떻게 해야 하죠?
기업에서 개인정보 유출 사고가 발생하는 경우, 서비스를 제공하는 방법에 따라 신고해야 하는 기준이 상이합니다. 조치해야 하는 사항도 서비스 제공방식에 따라 조금씩 다른데요. 하단 이미지로 알아보도록 하겠습니다.
< 위 차트에 있는 내용이 어렵게 느껴지는 분들을 위한 추가설명! >
- 온라인으로 서비스를 제공하신다면 개인정보가 1건만 유출되더라도 고객에게 통보하고 한국인터넷진흥원 또는 개인정보위원회에 24시간 이내 신고해야 합니다. (오프라인의 경우 5일 이내)
- 유출사고가 발생하면 고객에게 유출된 개인정보 항목, 유출 시점과 그 경위, 조치방안, 조치부서 등을 직접 통보하거나 7~30일 이상 홈페이지에 게시해야 합니다. 공지 일수 역시 서비스 제공 방식에 따라 달라집니다.
열심히 찾은 “소중한 고객”의 신뢰를 개인정보유출로 져버려서는 안 되겠죠? 소 잃고 외양간 고치는 일이 없도록 귀사의 대응 체계를 미리 수립해보세요.