[개인정보보호위원회] 개인정보 유출 등 사고 대응 매뉴얼 (2023.09 개정)

안녕하세요. 황컴플라이언스 입니다.

[개인정보보호위원회] 개인정보 유출 등 사고 대응 매뉴얼 (2023.09 개정) 입니다.

업무에 참고하시기 바랍니다.

 

○ 자료명 : 개인정보 유출 등 사고 대응 매뉴얼

○ 발행일 : 2023년 09월

○ 주관부처 : 개인정보보호위원회, 한국인터넷진흥원

---

[개요]

□ 추진배경

개인정보처리자 등이 처리하고 있는 개인정보가 분실·도난·유출 사고가 발생한 경우, 이에 대한 신속한 대응 및 조치를 통한 피해 확산 방지 및 정보주체에 대한 피해구제를 위한 매뉴얼이 필요함.

• 개인정보의 분실·도난·유출(이하 '유출 등'이라 한다.)이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 개인정보가 해당 개인정보처리자의 관리·통제권을 벗어나 제3자가 그 내용을 알 수 있는 상태에 이르게 되는 것을 의미함.

따라서, 본 매뉴얼은 개인정보 유출 등 사고와 관련하여 신속한 대응과 그 피해를 최소화 하기 위한 최소한의 사항을 안내함.

• 특히, '개인정보보호법' 제34조(개인정보 유출 등의 통지·신고)로 변경 및 '신용정보의 이용 촉진 및 보호에 관한 법률' 제39조의4(개인신용정보 누설통지 등)에 따라, 개인정보보호위원회 또는 한국인터넷진흥원(KISA)에 신고하여야 하는 개인정보 유출 등 사고에 대한 안내를 포함한다.
• '신용정보법' 제39조의4(개인신용정보 누설통지 등)에서 개인신용정보가 신용정보 회사 등의 업무 목적 외로 누설되는 경우도 포함함.

개인정보처리자 및 신용정보 회사 등이 처리하는 개인(신용)정보의 종류, 처리하는 방법 및 환경, 개인정보 처리 주체의 유형(성격) 등에 따라, 적용될 수 있으므로, 각각의 환경을 고려하여 개인정보 유출 등 사고 대응 매뉴얼 마련이 필요함.

---

개인정보 유출 등 사고 대응 매뉴얼(2023.09).pdf

3.52MB

개인정보 유출 등 사고 대응 매뉴얼(2023.09) : 개인정보보호위원회, 한국인터넷진흥원

---

[적용 범위]

• 개인정보처리자가 개인정보를 유출 등을 한 경우에는 '개인정보보호법' 제34조가 적용되며 다만, 신용정보 회사 등(상거래기업 및 법인)은 '신용정보법' 제39조의4가 우선 적용된다.
• 신용정보 회사 등(상거래기업 및 법인) : '개인정보보호위원회 등'에 신고
• 신용정보 회사 등(상거래기업 및 법인을 제외한 전체) : '금융위원회 등'에 신고

---

[법적 의무사항]

○ 개인정보 유출 사고 대응 계획 수립 및 시행

• 개인정보 유출 사고 대응 계획에 관한 사항을 내부관리계획에 포함하여 수립 및 시행해야 한다.

○ 개인정보보호법 제29조(안전조치의무)

• 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부관리계획 수립, 접속기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하여야 한다.

○ 개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치)

① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보조치를 해야 한다.

• 1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립·시행 및 점검
• 가. 법 제28조 제1항에 따른 개인정보취급자에 대한 관리·감독 및 교육에 관한 사항
• 나. 법 제31조에 따른 개인정보 보호책임자의 지정 등 개인정보보호 조직의 구성·운영에 관한 사항
• 다. 제2호부터 제8호까지의 규정의 따른 조치를 이행하기 위하여 필요한 세부사항

○ 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립·시행)

• ① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부관리계획을 수립·시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인·개인·단체의 경우에는 생략할 수 있다.
• 12. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항

○ 개인정보 유출 등 사고 대응 매뉴얼 마련

• 개인정보 유출 등 사고 발생 시에 신속한 대응을 통해 피해 발생을 최소화해야 함
• 공공기관 및 1천명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리자는 '개인정보 유출 등 사고 대응 매뉴얼'을 마련 권고

개인정보 유출 등 통지 및 신고

• 개인정보가 유출 등이 되었을 때에는 해당 정보주체에게 유출 등 사실을 통지

개인정보 유출 등 대응체계 구축

---

[개인정보 유출 등 사고 발생 사실 보고 체계]

개인정보 유출 등 사실을 알게된 경우에는 개인정보 보호책임자는 즉시 개인정보처리자에게 보고하고 개인정보보호·정보보호 부서 등을 중심으로 '개인정보 유출 등 사고 신속 대응팀' 등을 구성하여 피해 확산 방지 및 최소화를 위해 조치를 해야 한다.

• (전직원) 개인정보 유출 등 사실을 발견하거나 의심스러운 정황을 알게된 경우에는 즉시 개인정보보호 담당자에게 전화 및 이메일 등으로 신고
• (개인정보보호 담당자) 신고를 받은 즉시 관련자에게 유출 등 규모, 경로 등 사실 여부를 확인 요청하고, 개인정보보호 책임자에게 유출 등 사실 및 피해 규모, 대응 상황 등을 신속하게 보고
• (개인정보 보호책임자) 해당 시점까지 파악된 현황을 개인정보처리자에게 신속하게 보고하고, 새로운 상황이 발생할 때마다 수시로 보고해야 하며, 개인정보 유출 등 사고가 확인되는 즉시, '개인정보 유출 신속대응팀(T/F)'을 운영
• (대표자(CEO)) '개인정보 유출 등 사고 신속 대응팀'을 중심으로 유관부서가 유기적으로 대응하도록 지원하고 유출 등 대응에 대한 방향성 제시 등 의사결정을 진행 

---

[목차]

Ⅰ. 개요

1. 필요성
2. 적용 범위
3. 법적 의무사항
4. 용어 정리

Ⅱ. 개인정보 유출 등 유츨 대응체계 구축

1. 개인정보 유출 등 사고 발생 사실 보고 체계
2. 개인정보 유출 등 사고 신속 대응팀 구성 및 운영

Ⅲ. 피해 최소화 및 긴급 조치

1. 해킹에 의한 경우
2. 내부자가 유출한 경우
3. 이메일 오발송에 의한 경우
4. 개인정보 노출에 의한 경우

Ⅳ. 개인정보 유출 등 통지 및 신고

1. 개인정보 유출 등의 통지
2. 개인정보 유출 등의 신고

Ⅴ. 정보주체 피해 구제 및 재발 방지

1. 정보주체의 피해 구제
2. 재발 방지 대책 마련

부록

1. 관련 법률
2. 유출 등 신고서 양식
3. 해킹에 의한 유출 시 조치사항
4. 경찰 수사 및 침해사고 신고
5. 개인정보 유출에 따른 2차 피해 유형 및 대응방안