안녕하세요. 개인정보보호 파트너 캐치시큐입니다.

최근 개인정보보호 관련 규제가 강화되며, 개인정보보호에 대한 중요성이 커지고 있습니다.

현재 개인정보 보호법은 개인정보처리자를 대상으로 하고 있는데요. 개인정보처리자는 다른 사람의 중요한 개인정보들을 관리하고 있는 입장이니, 개인정보를 보호하여 관리해야 할 의무가 있습니다. 결국, 고객들의 개인정보가 유출되지 않도록 조심하는 것이 가장 중요하겠죠.

하지만 아무리 주의를 기울여도 개인정보 유출 사고는 꾸준히 일어나고 있는데요.

따라서 오늘은 개인정보 유출 사고 발생 시 대응방안에 대해 설명해드리려고 합니다.

 

Check!

1. 개인정보 유출이란?
2. 개인정보 유출 사고 발생 시 대응 매뉴얼 및 절차
3. 꼭 고객에게 알려야 하나요?
4. 개인정보 유출 사고 사례
5. 마치며

 

1. 개인정보 유출이란?

 

개인정보 유출이란, 법령이나 개인정보처리자 등의 자유로운 의사에 의하지 않고, 정보 주체의 개인정보에 대하여 개인정보처리자 등이 통제를 상실하거나 권한 없는 자의 접근을 허용한 것을 말합니다.

쉽게 말해 개인정보를 수집하고 관리하는 자들의 의사와 관계없이 다른 사람들에게 개인정보가 유출된 것을 의미해요.

개인정보보호의 중요성과 개인정보 관리의 필요성을 모두 인지하고 있지만, 막상 유출 사고가 일어나면 당황해 제대로 대응하지 못하는 경우가 잦은데요.

개인정보 유출 자체로도 중대한 문제이지만, 사후 대응을 제대로 진행했는지 여부 또한 법적으로 많은 책임이 부여되는 부분이니 확실하게 알아두시는 것이 좋습니다.

그렇다면, 개인정보 유출 사고 발생 시 어떻게 대응해야 할까요?

 

2. 개인정보 유출 사고 발생 시 대응 매뉴얼 및 절차

 

사전 대응 매뉴얼 작성

먼저, 개인정보 유출 사고 발생 시 즉각적인 대응을 위해 미리 사내에서 개인정보 유출 신속 대응팀을 구성해야 합니다. 개인정보 유출 신속대응팀은 ‘개인정보 유출 사고 대응 매뉴얼’을 작성해야 하는데요. 미리 각 부서의 역할을 작성해두어 개인정보 유출에 대비해야 합니다.

즉, 개인정보 유출 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 개인정보 유출 사고 대응 매뉴얼을 미리 작성해두는 것이죠.

그렇다면, 개인정보 유출 사고 대응 매뉴얼에는 어떤 내용이 포함되어야 할까요?

 

표준 개인정보 보호지침 제29조제2항에 따르면,

• 유출 통지·조회 절차
• 영업점·인터넷회선 확충 등 고객 민원 대응조치
• 현장 혼잡 최소화 조치
• 고객불안 해소조치
• 피해자 구제조치

등의 주요 내용을 포함해야 합니다.

매뉴얼 작성 후에는 임직원들에게 이를 공유해야 하며, 신속 대응팀의 경우 해당 매뉴얼의 내용을 숙지하여 사고 시 언제든지 즉각적으로 대응할 수 있도록 준비하여야 합니다.

 

사후 대응 프로세스

만일 개인정보 유출 사고가 발생했다면, 어떻게 해야 할까요?

유출 사고 대응 프로세스는 총 7단계로 이루어져 있습니다.

 

1. 개인정보 유출 징후 발견

– 개인정보보호 관리자에게 신고

2. 사고조사

– 유출 여부, 시기, 원인, 규모 등 파악

3. 외부 기관 신고

4. 사고처리 대응

– 사고 대응대책반 구성·운영

5. 고객

– 유출된 사실을 고객에게 통지 및 고객 관리

6. 피해 구제

– 피해 발생 시 구제 절차 수립

7. 재발 방지

– 재발 방지 대책 수립

 

3. 꼭 고객에게 알려야 하나요?

 

개인정보 유출 대응 프로세스를 살펴보면, 유출된 사실을 고객에게 통지해야 한다고 나와 있는데요.

그렇다면 꼭 고객에게 개인정보 유출 사고에 대해 알려야 할까요?

 

네, 고객에게 유출 사고에 대해 필수적으로 알려야 합니다.

개인정보 보호법 제34조제1항(개인정보 유출 통지 등)에 의해 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보 주체에게 “유출된 개인정보의 항목, 유출된 시점과 그 경위, 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보 주체가 할 수 있는 방법 등에 관한 정보, 개인정보처리자의 대응조치 및 피해 구제 절차, 정보 주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당 부서 및 연락처”에 대한 사실을 알려야 합니다.

또한 개인정보 보호법 제39조의4제1항(개인정보 유출등의 통지·신고에 관한 특례)에 근거하여 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지·신고해서는 안 됩니다.

위 두 가지 사항(개인정보 유출 통지, 개인정보 유출 신고)을 이행하지 않았을 경우 최대 5천만 원 이하의 과태료가 부과됩니다.

 

4. 개인정보 유출 사고 사례

 

혹시, 개인정보 유출 사고는 얼마나 많이 발생하는지 알고 계시나요?

개인정보 유출 사고는 매달 1건 이상씩 발생할 정도로 꾸준하고 빈번하게 일어나고 있어요.

 

한 자원봉사센터의 경우 개인정보 유출 명단이 입수되고도 30여 일이 지나서야 정보 주체에게 유출 사실을 통지하여, 개인정보 보호법 제39조의4 조항 위반인 유출통지 지연으로 인해 300만 원의 과태료를 받은 적이 있습니다.

또한 약국 운영자가 개인정보 유출 사실을 통지하지 않고, 신고조차 하지 않아 개인정보 보호법 제34조와 39조의4 조항을 위반하여 각 조항별 300만 원씩, 총 600만 원의 과태료를 받은 사례가 있었습니다.

 

위의 사례들처럼 과태료를 부과받지 않으려면 사전에 사내 개인정보 유출 사고 대응 매뉴얼을 작성하고, 매뉴얼을 토대로 유출 신고 및 통지, 구제 및 재발 방지 대책 수립이 이루어져야 해요.

소중한 회원들의 개인정보를 관리하고 있는 만큼, 유출 사고에 잘 대응해야 합니다.

 

5. 마치며

 

지금까지 개인정보 유출 사고 대응에 대해 알아보았습니다.

개인정보를 어떻게 관리해야 하는지, 유출되었을 때는 어떻게 대응해야 하는지 막막하신가요?

 

캐치시큐에서는 연간 서비스를 통해 개인정보 유출 대응 매뉴얼 작성부터 관리까지, 꼼꼼히 살펴봐 드리고 있어요. 개인정보 유출 대응 매뉴얼 작성뿐만 아니라, 1년 동안 개인정보보호 담당자가 되어 운영하시는 서비스의 현황 파악 및 규제 준수 검토, 여러 가지 개인정보보호 활동들을 가이드 해드려요.

글을 읽으며 궁금한 점이 생기셨다면, 개인정보보호 전문가와의 무료 상담을 진행해보세요.

개인정보 유출 대응, 캐치시큐와 미리 준비해보세요.

감사합니다.