개인정보 처리방침
침해 대응 메뉴얼
1. 목적 및 적용범위
◦ 목적 : 개인정보보호법 시행에 따라 개인정보 유·노출 및 침해사고를 예방하고 발생 시 신속한 사고대응 및 처리방법 마련
◦ 적용범위 : 당사가 보유하고 있는 개인정보 및 홈페이지 개인정보 유·노출 사고 발생 시
2. 개인정보 침해 예방
◦ 분야별 담당자는 개인정보 노출을 예방하기 위해 노력
◦ 개인정보 취급자는 문서작성 및 게시판에 자료 게재 시 개인정보 보호 의무를 다해야 함
3. 개인정보 유·노출 시 처리 절차
가. 개인정보의 유출
◦ 정보주체의 개인정보에 대해 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 상태
◦ 개인정보 유출의 종류
– 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실 또는 도난당한 경우
– 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
– 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
– 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리시스템 등에 접근 가능하게 된 경우
나. 통지시기 및 항목
◦ 통지시기 : 유출사고 발생 확인시기로부터 5일 이내
◦ 통지대상 : 개인정보유출 정보주체
◦ 유출 시 정보주체에게 통지할 항목
– 유출된 개인정보 항목, 유출시점과 경위
– 유출로 인한 피해 최소화를 위해 정보주체가 취할 수 있는 방법 등에 관한 정보
– 개인정보처리자의 대응 조치 및 피해구제절차
– 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
다. 유출 통지 사항
◦ 긴급한 조치가 필요한 경우에는 다음의 조치를 취한 후 지체 없이 개인정보주체에게 알려야 함.
– 유출된 개인정보의 확산 및 추가유출 방지를 위한 접속경로 차단
– 취약점 점검ㆍ보완
– 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우
라. 통지방법
◦ 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법으로 정보주체에게 통지
◦ 5천명 이상의 정보주체에 관한 개인정보가 유출된 경우 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 유출 내역을 7일이상 게재
마. 개인정보 유출 신고
◦ 5천명 이상의 정보주체에 관한 개인정보 유출시 정보주체에 대한 통지 및 조치결과를 “개인정보 유출신고서”를 작성하여 5일 이내에 행정자치부 또는 전문기관(한국정보화진흥원 및 한국인터넷진흥원)에 신고
바. 홈페이지 개인정보 유·노출 신고
◦ 홈페이지를 통해 관리자의 실수, 고의 또는 해킹으로 인한 개인정보의 노출 및 유출이 일어났을 경우 정보보호담당자에게 즉시 보고
◦ 개인정보의 노출 및 유출에 대한 보고를 받은 개인정보 보호담당자는 개인정보 노출 및 유출에 대한 조치
◦ 개인정보보호담당자는 개인정보 보호책임자에게 보고하여 사태의 심각성과 사후 대책을 논의하여 조치
사. 개인정보 침해사고 처리 절차
◦ 신고 및 처리절차
| <침해신고 접수> | <조사> | <처리> | <결과통보> |
|
메일 또는 전화, 방문접수 |
침해여부 확인 |
처리 및 조치 |
신고인 |
| 침해신고서 | 침해사고신고대장 | 처리보고서 | 결과통보 |
4. 개인정보 침해 사고 대응 체계
가. 개인정보 침해 사고 대응팀 구성
| 업무내용 | 직위(급) | 비고 |
| – 침해사고 대응 총괄 | 개인정보 보호책임자 | |
| – 개인정보침해사고 접수 및 절차 개시 – 대내외 비상연락망(관계사) 관리 및 연락 – 개인정보 침해기록 관리 및 관련 기관 보고 – 사고 발생 시 기술적 조사 및 분석 제공 – 전산관련 사후 조치 실행 |
개인정보 업무담당자 |
|
| – 사고내용을 침해사고처리 및 개인정보보호 담당자에게 알림 – 침해사고 처리 조사 보조 |
분야별 개인정보보호 담당자 |
|
| – 침해사고가 기술적 분석을 요구할 경우 지원 |
개인정보 업무담당자 |
|
나. 침해대응팀 구성 요건
◦ 개인정보 보호책임자는 사고 발생 시 침해사고 총괄처리 책임자를 정하고 개인정보침해사고 대응팀 구성
◦ 침해사고 처리책임자가 침해사고에 연루된 경우 개인정보 보호책임자가 임의로 침해사고 총괄 책임자 및 처리책임자 지정
◦ 개인정보 보호책임자는 필요시 전문가에게 분석 의뢰 및 사고조사를 위해 대응팀 인원을 추가, 보강 가능
◦ 5천명 이상의 개인정보가 유출된 경우에는 개인정보 침해통지 및 조치결과를 전문기관(한국정보화진흥원, 한국인터넷진흥원)에 신고
다. 개인정보 침해 신고자 보호
◦ 개인정보침해 신고자의 신분은 침해사고 대응에 반드시 필요한 경우 담당자 및 권한자에게만 제공
◦ 개인정보침해 신고자는 어떠한 경우에도 신고로 인한 불이익 금지
라. 침해사고 단계별 대응 절차
| 단계 |
내 용 |
| 신고 |
– 개인정보 침해 발생 또는 침해로 의심되는 경우 개인정보 보호담당자 및 분야별 개인정보 보호담당자에게 신고 |
| 접수 |
– 개인정보 보호담당자는 침해사고 접수 후 대장 기록 – 개인정보 보호책임자에게 보고 |
| 대응체계 |
– 개인정보침해사고 대응팀 구성 – 침해사고의 정도에 따라 대응팀을 구성하지 않을 수 있음 |
| 분석 |
– 침해사고 처리책임자는 침해 사실 여부를 확인하고 사실로 확인될 경우 침해의 규모, 경위, 방법, 원인 및 관련자를 조사 – 침해사고 처리책임자는 개인정보 보호책임자가 승인한 외부 전문가의 지원을 받아 증거자료를 수집할 수 있음 |
| 복수 |
– 침해사고의 정도에 따라 처리챔임자는 해당 개인정보를 파기, 복구 또는 회수 조치 – 침해사고 처리책임자는 즉각적 조치가 가능한 경우 재발 방지 조치 |
| 종료 |
– 침해사고 처리책임자는 개인정보침해사고 보고서 작성 후 개인정보 보호책임자에게 보고 – 개인정보 보호책임자는 개인정보침해 관련자에 대해 사안에 따라 징계위원회에 회부 및 조치 – 개인정보 보호담당자는 처리보고서를 기록하고 징계 시 징계조치 결과를 기록 |