- 버전
- 다운로드 76
- 파일 크기 3.52 MB
- 파일 수 1
- 생성 날짜 2023년 10월 16일
- 마지막 업데이트 2024년 2월 2일
[개인정보보호위원회] 개인정보 유출 등 사고 대응 매뉴얼(2023.09. 개정)
개인정보 유출 등 사고 대응 매뉴얼(2023.09. 개정) 입니다.
업무에 참고 바랍니다.
○ 자료명 : 개인정보 유출 등 사고 대응 매뉴얼
○ 발행일 : 2023년 09월
○ 주관부처 : 개인정보보호위원회
[개요]
필요성
- 개인정보처리자 등이 처리하고 있는 개인정보가 분실 도난 유출 사고가 발생한 경우, 이에 대한 신속한 대응 및 조치를 통한 피해 확산 방지 및 정보주체에 대한 피해구제를 위한 매뉴얼 필요.
- 개인정보의 분실·도난유출(이하 "유출 등"이라 한다)이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고 개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되는 것을 말함.
- 따라서 본 매뉴얼은 개인정보 유출 등 사고와 관련하여 신속한 대응과 그 피해를 최소화 하기 위한 최소한의 사항을 안내
- 특히,「개인정보 보호법」 제34조(개인정보 유출 등의 통지·신고)로 변경 및 「신용정보의 이용 촉진 및 보호에 관한 법률」제39조의4(개인신용정보 누설통지 등)에 따라 개인정보 보호위원회 또는 한국인터넷진흥원(KISA)에 신고하여야 하는 개인정보 유출 등 사고에 대한 안내를 포함한다.
- 「신용정보법」제39조의4(개인신용정보 누설통지 등)에서 개인정보신용정보가 신용정보회사 등의 업무 목적외로 누설되는 경우도 포함
- 특히,「개인정보 보호법」 제34조(개인정보 유출 등의 통지·신고)로 변경 및 「신용정보의 이용 촉진 및 보호에 관한 법률」제39조의4(개인신용정보 누설통지 등)에 따라 개인정보 보호위원회 또는 한국인터넷진흥원(KISA)에 신고하여야 하는 개인정보 유출 등 사고에 대한 안내를 포함한다.
- 개인정보처리자 및 신용정보회사등이 처리하는 개인(신용)정보의 종류, 처리하는 방법 및 환경, 개인정보 처리주체의 유형(성격) 등에 따라 다르게 적용될 수 있으므로 각각의 환경을 고려하여 개인정보 유출 등 사고 대응 매뉴얼 마련 필요
적용범위
- 개인정보처리자가 개인정보를 유출 등을 한 경우에는 「개인정보 보호법」제34조가 적용되며 다만, 신용정보회사등(상거래기업 및 법인)은 「신용정보법」제39조의4가 우선 적용된다.
- 신용정보회사등(상거래기업 및 법인) : "개인정보보호위원회등"에 신고
- 신용정보회사등(상거래기업 및 법인을 제외한 전체) : "금융위원회등"에 신고
법적 의무사항
- 개인정보 유출 사고 대응 계획 수립 및 시행
- 개인정보 유출 사고 대응 계획에 관한 사항을 내부 관리계획에 포함하여 수립 및 시행해야 한다.
- 개인정보 유출 등 사고 대응 매뉴얼 마련
- 개인정보 유출 등 사고 발생 시에 신속한 대응을 통해 피해 발생을 최소화 해야 함
- 공공기관 및 1천명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 "개인정보 유출 등 사고 대응 매뉴얼"을 마련 권고
- 개인정보 유출 등 통지 및 신고
- 개인정보가 유출 등이 되었음을 알게 되었을 때에는 해당 정보주체에게 유출 등 사실을 통지
개인정보 유출 등 대응체계 구축
[개인정보 유출 등 사고 발생 사실 보고 체계]
개인정보 유출 등 사실을 알게 된 경우에는 개인정보 보호책임자는 즉시 개인정보처리자에게 보고하고 개인정보보호·정보보호 부서 등을 중심으로 '개인정보 유출 등 사고 신속 대응팀' 등을 구성하여 피해 확산 방지 및 최소화를 위해 조치를 해야 한다.
- (전직원) 개인정보 유출 등 사실을 발견하거나 의심스러운 정황을 알게 된 경우에는 즉시 개인정보 보호담당자에게 전화 및 이메일 등으로 신고
- (개인정보 보호담당자) 신고를 받은 즉시 관련자에게 유출 등 규모, 경로 등 사실 여부를 확인 요청하고, 개인정보 보호 책임자에게 유출 등 사실 및 피해 규모, 대응 상황 등을 신속하게 보고
- (개인정보 보호책임자) 해당 시점까지 파악된 현황을 개인정보처리자에게 신속하게 보고하고, 새로운 상황이 발생할 때마다 수시로 보고해야 하며, 개인정보 유출 등 사고가 확인되는 즉시 "개인정보 유출 신속대응팀(T/F)"을 운영
- (대표자(CEO)) "개인정보 유출 등 사고 신속 대응팀"을 중심으로 유관부서가 유기적으로 대응하도록 지원하고 유출 등 대응에 대한 방향성 제시 등 의사결정을 진행