침해사고 대응 절차
①침해사고 신고 | ⇒ | ②접수 및 확인 조사 | ⇒ | ③침해사고 점검반 구성 | ⇒ | ④사고처리 | ⇒ | ⑤결과보고 및 개선 이행 |
침해․유출 사고 인지 | 침해․유출 사고 사실 확인 및 보고 | 침해사고 대응체계 구성 | 긴급조치 세부 조사 유출통지 | 보고서 작성보고 기술적.관리적 보완조치 |
▣ 침해사고 신고
① 각급기관(학교)의 개인정보 보호책임자(또는 분야별 책임자)는 취급하는 개인정보에 대하여 침해가 발생한 것으로 인지한 경우 또는 민원인의 신고를 받은 경우 지체없이 지도·감독기관의 개인정보보호책임자에게 침해사고를 신고하고,
☞ 초·중학교는 해당 교육지원청에 신고, 교육지원청은 접수된 내용을 즉시 본청에 보고할 것.
② 침해사고 신고 방법은 [첨부1] “개인정보 침해 사실 신고서”를 작성하여 지도·감독기관에 보고한다.
③ 시간적 여유가 없거나 특별한 사정이 있는 경우, 전화로 사전 신고 후 “개인정보 침해 사실 신고서”를 제출 함.
▣ 신고 접수
① 개인정보 보호담당자는 침해사실 여부를 확인하고 사실로 확인될 경우 개인정보 보호책임자에게 보고하고
② 개인정보 침해사고를 접수한 경우 개인정보 보호책임자는 [첨부2] “개인정보 침해사고 관리대장”에 기록하여 사고를 접수한다.
▣ 개인정보 침해 대응 체계
① 개인정보 보호책임자는 침해사고의 유형, 등급을 파악한 후, 침해사고처리 책임자를 지정하고, 필요시 개인정보침해사고 점검반 구성 지원하고
② 개인정보 침해사고 점검반은 침해사고분석, 대응 및 복구에 필요한 관련자를 지정하여 구성하며 필요시 외부 전문가의 지원을 받을 수 있다.
③ 3등급 또는 4등급 침해의 경우 개인정보 보호책임자는 침해사고처리 책임자와 협의하여 개인정보침해사고 점검반을 구성하지 않을 수 있다.
④ 1명 이상의 정보주체에 관한 개인정보 유출 된 경우, 유출내용 및 조치결과를, 상급기관 경유하여 5일 이내 교육부에 보고(단, 1만명 이상의 개인정보가 유출된 경우에는 행정안전부장관 또는 한국인터넷진흥원에 신고하여야 한다.
▣ 침해사고의 대응 및 복구
① 침해사고 처리책임자는 유출된 개인정보의 확산 및 추가 유출 방지를 위해 필요한 경우 긴급 조치를 취할 수 있다.
- 추가유출 방지를 위한 접속경로 차단 및 취약점 점검·보완
- 유출된 정보의 삭제 및 외부 접근기록 등 증거 보존
② 침해사고 처리책임자는 지체없이 정보주체에게 개인정보 유출 관련 사실을 통지하고,
③ 침해사고의 규모, 경위, 방법, 원인 및 관련자를 1차 조사한 이후
④ 필요한 경우 개인정보 침해사고 점검반 또는 개인정보 보호책임자가 승인한 외부 전문가의 지원을 받아 증거자료를 수집할 수 있다.
▣ 결과 보고
① 침해사고 처리책임자는 [첨부3] “개인정보 침해사고 처리보고서”를 작성하여 개인정보 보호책임자에게 보고하여야 한다.
② 개인정보 보호책임자는 “개인정보 침해사고 처리보고서”를 검토·승인하고
③ 과실이 인정된 경우 침해사고 관련자에 대한 처분(징계 등)을 요구할 수 있다
④ 교육지원청 및 직속기관의 개인정보보호책임자는 침해사고 조치 이후 [첨부3] “개인정보 침해사고 처리보고서” 사본과 [첨부4] “개인정보 유출 신고서”를 작성하여 본청 개인정보 보호책임자에게 보고하여야 한다.
▣ 개선 조치 및 사례 전파
① 본청 개인정보 보호책임자는 개인정보 침해사고 현황을 분석하여, 개선 대책이 필요한 경우 해당 기관(학교)에 개선요구를 하고, 점검을 할 수 있다.
② 유사 사례가 발생하지 않도록 전 기관(학교)에 사례를 전파하고, 재발방지 대책을 시행하여야 한다.
❍ 인천광역시교육청 개인정보 침해사고 구성 및 대응 절차
[(개인)정보보호 점검반 구성]
| (개인)정보보호 점검반장 개인정보 보호책임자 | |
| | | | | |
| | | | | |
점검반 | | | 침해사고 처리 책임자 |
| |
정보보안담당자 개인정보 보호담당자 | | | 해당 침해사고 발생 기관(학교) 개인정보보호책임자 (또는 개인정보 분야별책임자) |
| | 해당 침해사고 개인정보취급자 |
| | | | | |
| | | |
| | | | | |
유출신고/권익구제 | | | 유관기관 |
개인정보 분쟁조정위원회(118) 한국인터넷진흥원 개인정보침해신고센터(118) | | | 교육부(044-203-6513) 한국교육학술정보원(053-714-0574) |
[(개인)정보보호 점검반 역할 및 책임]
구분 | 역할 및 책임 |
개인정보 보호책임자 | • 개인정보침해사고 예방, 처리 및 재발방지의 총괄 관리 책임 • 개인정보 침해사고 발생 시, 침해사고 처리책임자를 지정하고 (개인)정보보호 점검반을 구성 운영 • 침해사고 처리책임자 기술 지원 및 자문역할 |
(개인)정보 보호점검반 | • 개인정보 침해사고 분석, 대응 및 복구 지원 • 구성: 본청(교육지원청)의 개인정보 보호책임자가 사고분석, 대응 및 복구에 필요한 관련자를 지정하여 구성 ※ 필요시 사고 부서 업무담당자, 보안 업무담당자, 홍보 업무담당자, 외부 전문가등 포함 가능 |
침해사고 처리책임자 | • 침해사고 발생 기관(학교)의 개인정보 보호책임자 또는 분야별 개인정보 보호책임자가 지정되며, 사고 처리 및 재발방지에 대한 책임을 지고 (개인)정보 보호점검반과 협력하여 사고처리 역할 수행 |
개인정보 보호담당자 | • 개인정보침해사고 접수 및 사고 등급을 분류하여 침해사고 대응 절차 개시 • 개인정보침해사고 기록을 관리하고 필요시 관련자 및 기관에 보고 • 비상연락망을 관리하고 점검반 연락 및 조정 담당 |
정보보안 담당자 | • 침해사고가 정보보안 분야의 기술적인 분석을 요할 경우 이에 대한 기술지원 |
개인정보취급자 | • 개인정보에 대한 침해 발생할 것을 인지한 경우 개인정보 보호담당자에게 즉시 신고 |
해당기관 개인정보 담당자 | • 해당기관과 개인정보 침해사고 점검반간의 연락책 및 처리상황 보고 |
❍ 연락체계(비상연락망 양식)
구분 | 소속 | 직위 | 성명 | 사무실 | 핸드폰 |
개인정보 보호책임자 | ○○○ | ○○○ | ○○○ | | |
정보보안 담당자 | ○○○ | ○○○ | ○○○ | | |
개인정보보호 담당자 | ○○○ | ○○○ | ○○○ | | |
○○개인정보파일 취급자 | ○○○ | ○○○ | ○○○ | | |
⁞ | ⁞ | ⁞ | ⁞ | | |
유출통지 방법
통지방법 | 1. 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통해 5일 이내에 정보주체에게 고지 2. 1번의 통지방법과 동시에 홈페이지 등을 통하여도 공개할 수 있음. ※ 단, 통지 및 조치 후에도 1만명 이상의 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알기 쉽도록 7일 이상 통지내용을 게재해야 함. |
통지내용 | 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 |
통지시기 | 5일 이내(*유출사고 최초발생 시점과 확인된 시점 사이에 시간적 차이가 있는 경우 이에 대한 과실유무를 입증해야 함) |
통지연기 | 1. 개인정보 유출 확산방지를 위해 필요한 경우 유출통지 연기 가능 가) 개인정보가 유출되었을 것으로 의심되는 개인정보처리시스템의 접속권한 삭제·변경 또는 폐쇄 조치 나) 네트워크, 방화벽 등 대·내외 시스템 보안점검 및 취약점 보완 조치 다) 향후 수사에 필요한 외부의 접속기록 등 증거 보존 조치 라) 정보주체에게 유출 관련 사실을 통지하기 위한 유출확인 웹페이지 제작 등의 통지방법 마련 조치 마) 기타 개인정보의 유출확산 방지를 위해 필요한 기술적·관리적 조치 2. 개인정보처리자는 1번 각 항목의 조치를 취한 이후, 정보주체에게 다음 각 항목의 사실만 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있음 가) 정보주체에게 유출이 발생한 사실 나) 통지내용 중 확인된 사항 |
❍ 유출통지 신고방법
신고 대상 | 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우 |
신고 시기 | 5일 이내(정보주체에 대한 통지 및 조치결과 신고) |
신고 방법 | 1. 전자우편, 팩스, 인터넷 사이트를 통해 유출사고 신고 및 신고서 제출 2. 시간적 여유가 없거나 특별한 사정이 있는 경우 - 유선으로 신고 후, 유출신고서를 제출할 수 있음. |
신고 내용 | 기관명, 통지여부, 유출된 개인정보 항목·규모, 유출 시점·경위, 유출피해 최소화 대책·조치 및 결과, 정보주체가 할 수 있는 피해 최소화 방법 및 구제절차, 담당부서·담당자 연락처 등 |
신고 양식 | [첨부 4] 개인정보 유출신고서 |
※ 단, 1명이라도 개인정보 유출시, 조치결과를 5일 이내에 상급기관 경유하여 교육부에 보고
❍ 유출통지 신고기관
구분 | 교육부 | 한국인터넷진흥원 |
전화번호 | 044-203-6513 | 118 |
팩스번호 | 044-203-6185 | 02-405-5619 |
전자우편 | winwin@moe.go.kr | privacy@kisa.or.kr |
인터넷사이트 | privacy.moe.go.kr | privacy.kisa.or.kr www.privacy.go.kr |
유출 통지문 예시
개인정보 유출에 대한 안내 및 사과의 말씀
개인정보 유출 사실을 통지해 드리며, 깊이 사과드립니다.
저희 기관에서는 귀하의 소중한 개인정보를 안전하게 보호, 관리하고자 최선의 노력을 다해왔으나, 귀하의 개인정보가 OOOO년 O월 O일 유출되었음을 알려드리며, 진심으로 사과를 드립니다.
귀하의 개인정보는 홈페이지 서버에 저장되어 관리되어 왔으나 서버 변경 작업을 하다가 안전 조치를 다하지 못해 해킹에 의해 유출되었습니다. (유출경위 설명)
유출된 개인정보 항목은 OOO, OOOO, OOO, OOOOOO 등 총 O개입니다. (유출된 개인정보 항목)
추가적인 피해 방지를 위해 반드시 기존에 사용하시던 비밀번호를 새로운 비밀번호로 모두 변경해 주시기 바랍니다.
저희 기관에서는 유출 사실을 인지한 후 즉시 해당 IP와 불법접속 경로를 차단하고, 취약점 점검과 보완 조치를 하였습니다. (개인정보처리자의 대응 조치)
아울러, 저희 기관은 침해 사실 확인 후 해당 시스템의 보안조치와 관련 기관의 유기적 공조를 통해 철저한 조사와 대응을 진행하고 있음을 알려드리며, 정보 유출로 인한 피해가 발생하였을 경우 아래의 담당부서에 연락주시면 피해 구제절차에 대해 성실하게 안내해 해드리겠습니다. (피해 구제절차)
앞으로 개인정보 보호 강화를 위해 내부 관리 체계를 재검토하고 직원 교육을 강화하여, 향후 다시는 이와 유사한 사례가 발생하지 않도록 최선의 노력을 다하겠습니다. (개인정보처리자의 향후 대응 계획)
- 피해 접수 담당 부서 : OOO실
- 피해 접수 전화번호 : OOO-OOO-OOOO (피해 신고 접수 담당부서 및 연락처)
OOOO년 OO월 OO일
인천광역시교육청 직원 일동 올림
Ⅳ. 피해 구제
피해구제 안내
❍ 정보주체에게 개인정보 침해․유출 피해에 대한 피해구제, 상담 등을 문의할 수 있음을 안내
- 개인정보침해신고센터 : 118번(한국인터넷진흥원)
- 개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해 신고센터 등으로 침해사실을 신고할 수 있음
- privacy.kisa.or.kr
- 개인정보분쟁조정위원회 : 1833-6972
- 소관업무 : 개인정보 침해사실 신고, 상담 신청
- www.kopico.go.kr
❍ 분쟁조정 신청 안내
- 개인정보에 관한 분쟁이 발생하였을 때 소송제도의 대안으로서 제3자가 관여하거나 또는 관여 없이 당사자 쌍방의 자율적 의사 및 합의에 의하여 분쟁을 해결하는 방식
❍ 분쟁조정 효력
- 개인정보분쟁조정위원회의 조정 결정에 대해 신청인과 상대방이 이를 수락하여 조정이 성립된 경우 개인정보 보호법 제47조 제5항의 규정에 따라 양 당사자 간에는 조정서와 동일한 내용의 합의(재판상의 화해)가 성립한 것으로 봅니다.
❍ 개인정보 분쟁조정 절차
① 신청사건의 접수 및 통보
② 사실 확인 및 당사자 의견청취
③ 조정 전 합의를 권고
④ 위원회의 조정 절차 개시
⑤ 조정의 성립
⑥ 효력의 발생
개인정보 분쟁조정 절차
엑스 공유