보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

개인정보 유출 사고 발생시 기업에서는 어떤 조치를 취해야 할까?

입력 : 2024-05-13 18:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
개인정보 유출 사고 발생 시 준수해야 할 법적 의무사항
개인정보 유출 사고 대응계획 수립, 사고 대응 매뉴얼 마련, 개인정보 유출 통지·신고


[보안뉴스 김경애 기자] 개인정보가 유출됐을 경우 많은 기업이 어떻게 대처해야 하는지 모르는 경우가 적지 않다. 특히 중소기업의 경우 예산 부족 등의 이유로 보안 및 개인정보보호 인력이 없거나 보안 교육 및 훈련 부재로 대응이 미흡한 경우가 비일비재하다. ‘개인정보 유출 등 사고 대응 매뉴얼’이 필요한 이유다. 이와 관련 개인정보보호위원회는 개인정보 유출 사고가 발생할 경우, 피해확산 방지와 정보주체에 대한 피해구제를 위해 ‘개인정보 유출 등 사고 대응 매뉴얼’을 발간해 배포하고 있다.

[이미지=gettyimagesbank]


개인정보가 유출되면 ‘개인정보 보호법’ 제34조가 적용된다. 다만, 신용정보회사 등(상거래기업 및 법인)은 ‘신용정보법’ 제39조의4가 우선 적용된다. 개인정보 유출 등 대응 절차는 유출 대응체계 구축, 피해 최소화 및 긴급조치, 유출 통지 및 신고 등의 순서로 진행해야 한다.

개인정보보호위원회가 발간한 ‘개인정보 유출 등 사고 대응 매뉴얼’에 따른 법적 의무사항은 △개인정보 유출 사고 대응 계획 수립·시행 △개인정보 유출 등 사고 대응 매뉴얼 마련 △개인정보 유출 등 통지 및 신고 등 크게 3가지로 구분된다.

1. 개인정보 유출 사고 대응 계획 수립·시행
‘개인정보보호법’ 제29조 ‘안전조치의무’
개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 내부 관리계획 수립, 접속기록 보관 등 기술적·관리적·물리적 조치를 해야 한다.

‘개인정보 보호법 시행령’ ‘제30조 개인정보의 안전성 확보 조치’
이어 개인정보처리자는 안전성 확보조치로 △개인정보취급자에 대한 관리·감독 및 교육(법 제28조제1항) △개인정보보호 책임자 지정 등 개인정보보호 조직의 구성·운영(법 제31조) △조치 이행(제2호부터 제8호까지)을 위해 필요한 세부사항 등 개인정보의 안전한 처리를 위해 내부 관리계획의 수립·시행과 점검을 해야 한다.

‘개인정보의 안전성 확보조치 기준’ 제4조(내부 관리계획의 수립·시행)
개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 않도록 내부 의사결정 절차를 통해 개인정보 유출 사고 대응 매뉴얼을 마련하는 등 내부 관리계획을 수립·시행해야 한다. 다만, 1만명 미만의 정보주체에 관해 개인정보를 처리하는 소상공인·개인·단체의 경우에는 생략할 수 있다.

2. 개인정보 유출 등 사고 대응 매뉴얼 마련
‘개인정보보호법’ 제12조(개인정보 보호지침)
개인정보보호위원회는 개인정보 처리에 관한 기준, 개인정보 침해의 유형과 예방조치 등에 관한 표준 개인정보보호 지침을 정해 개인정보처리자에게 그 준수를 권장할 수 있다.

‘(개인정보보호위원회) 표준 개인정보 보호지침’
제29조 개인정보 유출 등 사고 대응 매뉴얼에 따라 개인정보처리자는 유출 등 사고 발생 시 피해 발생 최소화를 위해 ‘개인정보 유출 등 사고 대응 매뉴얼’을 마련해야 한다.

‘개인정보 유출 등 사고 대응 매뉴얼’은 법 제2조제6호에 따른 공공기관과 그 밖에 1천명 이상의 개인정보를 처리하는 개인정보처리자가 해당한다.

제1항에 따른 개인정보 유출 등 사고 대응 매뉴얼에는 △유출 등 통지·조회 절차 △영업점·인터넷회선 확충 등 고객 민원 대응조치 △현장 혼잡 최소화 조치 △고객 불안 해소 조치 △피해자 구제조치 등을 포함해야 한다.

개인정보처리자는 개인정보 유출 등에 따른 피해복구 조치 등 정보주체의 불편과 경제적 부담을 최소화할 수 있도록 노력해야 한다.

개인정보 유출 등 사고 대응 매뉴얼[자료=개인정보보호위원회]


3. 개인정보 유출 등 통지 및 신고
개인정보 유출 시에는 ‘개인정보 보호법 시행령’ 제39조(개인정보 유출 등의 통지), 제40조(개인정보 유출 등의 신고)에 따라 정보 주체에 유출 사실을 통지해야 한다.

신고는 △1천명 이상의 개인정보 유출 △민감정보 또는 고유식별정보 유출 △외부로부터의 불법 접근에 의해 개인정보가 유출 등이 된 경우 개인정보의 유형, 유출 등의 경로와 규모 등을 고려해 지체없이 대통령령으로 정한 전문기관인 개인정보보호위원회, 한국인터넷진흥원에 72시간 이내에 신고해야 한다. 개인정보보호위원회와 한국인터넷진흥원은 피해 확산방지, 피해 복구 등을 위한 기술을 지원할 수 있다.

신고 시에는 유출된 △개인정보 항목 △유출된 시점과 경위 △유출 피해 최소화를 위해 정보주체가 할 수 있는 방법 등에 관한 정보 △개인정보처리자의 대응조치 및 피해 구제절차 △정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서와 연락처를 서면 등의 방법으로 신고해야 한다.

다만 ‘개인정보보호법’ 제34조(개인정보 유출 등의 통지·신고)에 따라 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다. 또한 개인정보가 유출된 경우 개인정보처리자는 피해 최소화를 위해 대책 마련과 필요한 조치를 해야 한다.

제40조(개인정보 유출 등의 신고)에 따라 천재지변이나 부득이한 사유로 인해 72시간 이내에 신고하기 곤란한 경우에는 해당 사유가 해소된 후 지체없이 신고할 수 있다.

또한 개인정보 유출 등의 경로가 확인되어 해당 개인정보를 회수·삭제하는 등의 조치를 통해 정보주체의 권익 침해 가능성이 현저히 낮아진 경우에는 신고하지 않을 수 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)