대전학생해양수련원
개인정보보호 내부관리계획
ㅣ
2022. 9. .
대전학생해양수련원
총무부
별첨1
침해사고 대응 절차서
□ 목적
개인정보 유․노출 및 침해사고를 통해 발생할 수 있는 경제적 피해 등 2차 피해를 예방하기 위해 침해사고에 신속하고 효율적으로 대응할 수 있는 보호·대응 체계를 갖추고자 함.
□ 용어의 정의
○ “침해”란 법적 근거, 규정 또는 본인 동의에 의하지 않고 이루어지는 개인정보의 수집, 저장, 이용 및 제공, 파기 행위 일체를 말함
○ “개인정보 유출”이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것
- 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
- 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
- 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
- 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리 시스템 등에 접근 가능하게 된 경우
○ “개인정보 노출”이란 일반 인터넷 이용자가 해킹 등 특별한 방법을 이용하지 않고, 정상적으로 인터넷을 이용하면서 타인의 개인정보를 취득할 수 있도록 인터넷에 방치되어 있는 경우
□ 침해사고 대응 및 조치
○ 개인정보 침해사고 대응 절차
침해사고 신고 | ➪ | 사고 접수 | ➪ | 침해사고 대응팀구성 | ➪ | 침해사고 조사 | ➪ | 침해사고 대응, 침해사고 결과보고 | ➪ | 개선조치 사례전파 |
민원인, 교직원 | 개인정보 보호책임자 | 침해사고 처리책임자 지정 | 침해사고 대응팀 | 개인정보보호책임자 침해사고 처리책임자 | 관할 교육청 개인정보 보호담당자 | |||||
신고 | 신고접수, 사고보고 | 침해사고 발생부서 중심의 대응팀 구성 | 조사 분석 및 조치, 사건보고 | -정보주체통지 -1천명 이상 유출 시 홈페이지공지 필수 -관할교육청에 보고 | 재발방지 대책 시행 | |||||
별지서식1 (민원인) | 별지서식2 | 별지서식2 | 별지서식2 |
○ 침해사고 보고 절차
(1) 대전학생해양수련원 개인정보취급자 및 교직원은 개인정보 침해사고가 발생한
것을 인지한 경우 또는 그러한 침해의 발생이 의심되는 경우 지체없이 개인정보
보호책임자에게 보고한다.
(2) 대전학생해양수련원 개인정보 보호책임자는 [별지서식2] “개인정보 유출신고
(보고)서”를 작성하여 관할교육청 개인정보 보호책임자에게 보고하고, 시간적 여유가
없거나 특별한 사정이 있는 경우는 전화로 사전 신고 후 [별지서식2]를 제출한다.
○ 개인정보침해 대응체계
(1) 개인정보 보호책임자는 유출 또는 제공된 정보의 종류에 따라 또는 발생부서의 장을
침해사고 처리책임자를 지정하고 개인정보 침해사고 대응팀을 구성한다.
(2) 개인정보 보호책임자는 필요시 외부 전문가에게 분석을 의뢰할 수 있다.
○ 침해사고의 분석
(1) 침해사고 처리책임자는 침해 사실 여부를 확인하고 사실로 확인될 경우 침해의 규모, 경위, 방법, 원인 및 관련자를 조사한다.
(2) 침해사고 처리책임자는 필요한 경우 개인정보침해사고 대응팀 또는 개인정보 보호 책임자가 승인한 외부 전문가의 지원을 받아 증거자료를 수집한다.
○ 침해사고의 대응 및 복구
(1) 침해사고 처리책임자는 개인정보 유출사실을 인지하였을 경우 지체 없이 해당 정보주체
에게 관련 사실을 통지하고 정보주체가 피해에 관한 신고 등을 접수할 수 있는 담당부서
및 연락처를 안내한다.
(2) 개인정보침해사고 발생 시 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검/ 보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다
(3) 침해사고 처리책임자는 즉각적 조치가 가능한 경우 재발방지 조치를 취한다.
○ 침해사고의 결과보고
(1) 침해사고 처리책임자는 「개인정보 유출신고(보고)서」[별지서식2]를 작성하여 개인정보
보호책임자에게 보고하고, 개인정보 보호책임자는 이를 검토·승인한다.
(2) 과실이 인정된 경우 침해사고 관련자에 대한 처분(징계 등)을 요구할 수 있으며,
개인정보 보호책임자는 침해사고 조치 이후 「개인정보 유출신고(보고)서」[별지서식2]를
동부/서부교육지원청/대전시교육청(관할교육청명) 개인정보 보호책임자에게 보고한다.
○ 침해사고의 징계와 처벌
(1) 개인정보 보호책임자는 개인정보침해 관련자에 대한 처분을 징계양정에 따라 징계
위원회에 회부한다.
(2) 개인정보 보호책임자는 징계조치결과를 기록·관리한다.
○ 개인정보침해사고의 신고 및 상급기관 유출보고
(1) 1건이라도 정보주체에 관한 개인정보가 유출된 경우에는 유출내용 및 조치결과를
5일 이내에 교육부에 보고(교육부 개인정보 보호지침 제53조)
(2) 1천명 이상의 개인정보의 개인정보 유출 시 행정안전부장관 또는 한국인터넷진흥원에
유출사실을 신고한다.
○ 침해사고 개선안 마련
(1) 침해사고 처리책임자는 대응보고서 제출 후 현황을 분석하여 개선 대책을 마련하여
개인정보 보호책임자에게 제출한다.
(2) 개인정보 보호책임자는 개선안을 검토하여 시행 및 변경 여부와 시기를 결정한다.
(3) 개인정보 보호책임자는 시행된 개선대책에 대해 이행 점검을 실시하고, 유사사례가
발생하지 않도록 전 기관(학교)에 사례를 전파하고, 재발방지 대책을 시행한다.
개인정보 침해사고 대응 조직
총괄 책임자 | |||||||||
개인정보보호책임자 | |||||||||
침해사고 처리책임자 | 침해사고 처리지원 |
| 침해사고 처리 외부 지원 | ||||||
침해사고 발생부서 [개인정보취급자] | 개인정보보호담당자 정보보안담당자 | 대전광역시교육청 개인정보보호담당자 |
○ 개인정보 보호책임자
1) 개인정보침해사고 예방, 처리 및 재발방지의 총괄 관리 책임을 진다.
2) 개인정보침해사건 발생 시 침해사고 처리책임자를 지정하고 개인정보침해사고 대응팀을
소집하여 운영한다.
3) 개인정보침해기록을 관리하고 필요시 관련자 및 기관에 보고한다.
○ 개인정보 침해사고 대응팀
개인정보책임자가 해당 침해사고분석, 대응 및 복구에 필요한 관련자를 지정하여
소집한다. 필요시 업무담당자, 보안담당자, 외부 전문가(유지보수업체 등) 등이 포함될 수
있다.
○ 침해사고 처리책임자
해당 침해사고 발생 부서의 장으로 지정되며 처리 및 재발방지에 대한 책임을 지고 개인 정보 침해사고 대응팀과 협력하여 사고를 해결한다.
○ 정보보안담당자
정보보안담당자는 침해사고가 기술적인 분석을 요할 경우 이에 대한 지원을 제공
한다.
○ 전 교직원
모든 직원은 개인정보에 대한 침해가 발생 한 것을 인지한 경우 개인정보업무 분야별
책임자, 개인정보 보호책임자에게 신고하여야 한다.
□ 유출통지 방법
❍ 개인정보 유출이 발생했을 경우 지체없이 정보주체에게 개인정보 유출 관련 사항을
통지한다.
통지 방법 | 1. 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통해 5일 이내에 정보주체에게 고지 2. 1번의 통지방법과 동시에 홈페이지 등을 통하여도 공개할 수 있음. ※ 단, 통지 및 조치 후에도 1천명 이상의 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알기 쉽도록 7일 이상 통지내용을 게재해야 함. |
통지 내용 | 1. 유출된 개인정보의 항목 2. 유출된 시점과 그 경위 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 4. 개인정보처리자의 대응조치 및 피해구제절차 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처 |
통지시기 | 5일 이내 ※ 유출사고 최초발생 시점과 확인된 시점 사이에 시간적 차이가 있는 경우 이에 대한 과실유무를 입증해야 함 |
통지연기 | 1. 개인정보 유출 확산방지를 위해 필요한 경우 유출통지 연기 가능 가) 개인정보가 유출되었을 것으로 의심되는 개인정보처리시스템의 접속권한 삭제·변경 또는 폐쇄 조치 나) 네트워크, 방화벽 등 대·내외 시스템 보안점검 및 취약점 보완 조치 다) 향후 수사에 필요한 외부의 접속기록 등 증거 보존 조치 라) 정보주체에게 유출 관련 사실을 통지하기 위한 유출확인 웹페이지 제작 등의 통지방법 마련 조치 마) 기타 개인정보의 유출확산 방지를 위해 필요한 기술적·관리적 조치 2. 침해사고 처리책임자는 1번 각 항목의 조치를 취한 이후, 정보주체에게 다음 각 항목의 사실만 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있음 가) 정보주체에게 유출이 발생한 사실 나) 통지내용 중 확인된 사항 |
○ 대전시광역시교육청으로 유출사고 신고방법
신고 시기
5일 이내(정보주체에 대한 통지 및 조치결과 신고)
신고 방법
1. 업무메일을 활용하여 유출사고 신고 및 신고서[별지서식2] 제출
2. 시간적 여유가 없거나 특별한 사정이 있는 경우
- 유선으로 신고 후, 유출신고서를 제출할 수 있음.
신고 내용
대전학생해양수련원, 통지여부, 유출된 개인정보 항목·규모, 유출 시점·경위, 유출피해 최소화 대책·조치 및 결과, 정보주체가 할 수 있는 피해 최소화 방법 및 구제절차, 담당부서·담당자 연락처 등
❍ 유출 통지문 예시
개인정보 유출 표준 통지문안(샘플) | |
※ 부가설명 란에 필수사항은 < >, 참고사항은 ( )로 표기하였음 ※ 필수사항이 확인되지 않아 통지문에 포함하지 않은 경우 추후 확인되면 반드시 추가 통지 ※ 아래 예시를 참고하여 유출 상황에 적합하게 내용을 변경하여 활용 | |
표준 통지문안 예시 | 부가 설명 |
개인정보 유출 사실을 통지해 드리며, 깊이 사과드립니다. | <제목> - ‘유출 통지’ 문구 포함 |
귀하의 개인정보 보호를 위해 최우선으로 노력하여 왔으나, 불의의 사고로 귀하의 소중한 개인정보가 유출되었음을 알려 드리며, 이에 대하여 진심으로 사과를 드립니다. | (사과문) - 유출 통지 사실 알림 - 사과문을 먼저 표현 |
귀하의 개인정보는 2010년 3월 5일 회원관리시스템 장애 처리를 위한 데이터 분석 과정에서 유지보수업체로 전달되었고, 유지보수업체는 자체 서버에 저장‧보관하다가 안전한 조치를 다하지 못해 2010년 4월경 해커에 의한 해킹으로 유출되었습니다. 유출된 정확한 일시는 서울지방경찰청에서 현재 수사가 진행 중이며, 확인되면 추가로 알려 드리도록 하겠습니다. | <유출된 시점과 경위> - 유출된 시점과 경위를 누구나 이해할 수 있게 상세하게 설명 - ‘귀하’ 등으로 유출된 정보주체 명시 ※ 부적합한 표현 : 일부 고객, 회원정보의 일부 - 추가 확인된 사항은 반드시 추가로 통지 |
유출된 개인정보 항목은 이름, 아이디(ID), 비밀번호(P/W), 주민등록번호, 이메일, 연락처 등 총 6개입니다. | <유출된 항목> - 유출된 항목을 누락 없이 모두 나열 ※ ‘등’으로 생략하거나, ‘회사전화번호’ 및 ‘집전화번호’를 합쳐서 ‘전화번호’로 표시 안됨 |
유출 사실을 인지한 후 즉시 해당 IP와 불법접속 경로를 차단하고, 취약점 점검과 보완 조치를 하였습니다. 또한, 유지보수업체 서버에 있던 귀하의 개인정보는 즉시 삭제 조치하였습니다. | <개인정보처리자의 대응조치> - 접속경로 차단 등 예시된 항목 외에도 망 분리, 방화벽 설치, 개인정보 암호화, 인증 등 접근 통제, 시스템 모니터링 강화 등 조치한 내용 설명 |
서울지방경찰청이 발표한 수사 결과에 따르면 현재 해커는 검거되었고, 해커가 불법 수집한 개인정보는 2차 유출하거나 판매하지는 않은 것으로 확인되었습니다. 따라서 현재로서는 이번 사고로 인한 2차 피해가 발생할 가능성이 높지 않아 보이나, 혹시 모를 피해를 최소화하기 위하여 귀하의 비밀번호를 변경하여 주시기 바랍니다. 그리고 개인정보 악용으로 의심되는 전화, 메일 등을 받으시거나 기타 궁금하신 사항은 연락주시면 친절하게 안내해 드리고, 신속하게 대응하도록 하겠습니다. | <피해 최소화를 위한 정보주체의 조치방법> - 유출 경위에 따라 정보주체가 할 수 있는 방법을 안내 - 사건에 따라 다양한 피해를 추정하여 예방 가능한 방법을 모두 안내(보이스 피싱, 피싱 메일, 불법 TM, 스팸문자 등) |
아울러, 피해가 발생하였거나 예상되는 경우에는 아래 담당부서에 신고하시면 성실하게 안내와 상담을 해 드리고, 필요한 조사를 거쳐 손실보상이나 손해배상 등의 구제절차를 진행하도록 하겠습니다. 한국인터넷진흥원의 개인정보 분쟁 조정이나 민사 상 손해배상 청구, 감독기관인 0000부 민원신고센터 등을 통해 피해를 구제받고자 하실 경우에도 연락주시면 그 절차를 안내하고 필요한 제반 지원을 아끼지 않도록 하겠습니다. | <개인정보처리자의 피해 구제절차> - 보상이나 배상이 결정된 경우에는 그 내용을 상세히 기재 - 보상이나 배상이 결정되지 않은 경우 계획과 절차를 안내 - 감독기관 등을 통한 구제절차도 안내 |
앞으로 장애처리 과정에 대한 개인정보 보호 조치 강화 등 내부 개인정보 보호 관리체계를 개선하고, 관계 직원 교육을 통해 인식을 제고하여, 향후 다시는 이와 유사한 사례가 발생하지 않도록 최선의 노력을 다하겠습니다. | (개인정보처리자의 향후 대응계획) - 추가적인 향후 대응계획을 포함 |
항상 믿고 사랑해 주시는 ○○○께 심려를 끼쳐 드리게 되어 거듭 진심으로 사과드립니다. | (사과문) |
‣ 피해 등 접수 담당부서 : 000과 ‣ 피해 등 접수 전화번호 : 000-0000-0000 ‣ 피해 등 접수 e-메일주소 : 0000@korea.kr | <피해 등 신고 접수 담당부서 및 연락처> - 처리부서 안내를 원칙으로 하되, 대량 유출로 일시적으로 콜센타 등 다른 부서를 지정한 경우 해당 부서를 안내 |
OOOO년 OO월 OO일 [기관/학교명] 0000과 직원 일동 | <일자 및 발신명의> |
□ 피해 구제 안내
❍ 정보주체에게 개인정보 침해․유출 피해에 대한 피해구제, 상담 등을 문의할 수 있음을 안내
개인정보침해신고센터 : 118번(한국인터넷진흥원)
- 개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해 신고센터 등으로 침해사실을 신고할 수 있음
- privacy.kisa.or.kr
개인정보분쟁조정위원회 : 1833-6972
- 소관업무 : 개인정보 침해사실 신고, 상담 신청
-
❍ 분쟁조정 신청 안내
- 개인정보에 관한 분쟁이 발생하였을 때 소송제도의 대안으로서 제3자가 관여하거나 또는 관여 없이 당사자 쌍방의 자율적 의사 및 합의에 의하여 분쟁을 해결하는 방식
❍ 분쟁조정 효력
- 개인정보분쟁조정위원회의 조정 결정에 대해 신청인과 상대방이 이를 수락하여 조정이 성립된 경우 개인정보 보호법 제47조 제5항의 규정에 따라 양 당사자 간에는 조정서와 동일한 내용의 합의(재판상의 화해)가 성립한 것으로 봅니다.
❍ 개인정보 분쟁조정 절차
① 신청사건의 접수 및 통보
② 사실 확인 및 당사자 의견청취
③ 조정 전 합의를 권고
④ 위원회의 조정 절차 개시
⑤ 조정의 성립
⑥ 효력의 발생
[별지서식1]
개인정보 침해 사실 신고서
담당
과장
부장
신고인
성명
전자우편
전화번호
(핸드폰)
(선택기입)
접수
부서
부서명
성명
전화번호
신고
내용
- 수집하는 개인정보는 민원처리 목적으로만 사용되며, 관련 담당자를 제외하고는 함부로 열람할 수 없으며, 수집된 개인정보는 '민원 처리에 관한 법률' 에 근거, 3년간 보유하고 즉시 파기합니다.
- 민원처리 시 신청인의 본인확인에 필요한 최소한의 정보는 피신청인에게 제공될 수 있습니다.
- 사건처리를 위해서 필요할 경우 주민번호를 요청할 수도 있습니다.
- 메일주소를 정확하게 기재하여 주시기 바랍니다. 답변은 메일을 통해 발송됩니다.
위와 같이 개인정보 침해 사실을 신고합니다.
첨부 :
년 월 일
신고인 : (서명 또는 인)
[별지서식2]
개인정보 유출 신고(보고)서
기관명
정보주체에의
통지 여부
유출된 개인정보의 항목 및 규모
유출된 시점과
그 경위
유출피해 최소화
대책ㆍ조치 및 결과
정보주체가 할 수 있는 피해 최소화 방법 및 구제절차
담당부서 ∙
담당자 및 연락처
성명
부서
직위
연락처
개인정보
보호책임자
개인정보
취급자
유출신고(보고)
접수기관
기관명
담당자명
연락처