개인정보 침해사고, 개인정보보호책임자에게 통보 등 대응절차 마련  

[보안뉴스=정환석 대구도시공사 개인정보보호담당] 그동안 공공기관 개인정보보호 담당자로써 기관의 개인정보취급자가 지켜야 할 필수 실천항목으로 ①개인정보 수집, 이용 및 활용 동의서 양식 정비 ②개인정보 처리 업무 위탁 기준 준수(문서화, 교육, 감독 등) ③수집 목적 외 이용 및 제3자 제공 기준 준수 ④개인정보 수집 목적 달성 시 파기 기준 준수 ⑤CCTV 설치 및 운영 및 관리 기준 준수 ⑥업무용 PC관리를 철저하게 해야하는 것에 대해 알아봤다.

이번 시간은 개인정보취급자가 지켜야 할 피수 실천항목 마지막 시간으로 개인정보 침해사고 발생 시 대응절차 수립 및 준수에 대해 알아보고자 한다.

개인정보 유·노출 및 침해사고를 통해 발생할 수 있는 사회적, 경제적 피해 등 2차 피해를 예방하기 위해서는 개인정보 침해사고 대응 범위, 절차, 담당자·부서별 업무, 피해구제 방법, 비상연락망·연락체계 등 침해사고 대응절차 마련이 필요하다.

개인정보 유·노출 및 침해사고가 발생 또는 접수되면 즉시 개인정보보호책임자에게 통보하고, 개인정보보호책임자는 즉시 침해사고대응팀을 구성해 사고 상황파악 및 복구 방안을 검토하게 된다. 이후 침해사고처리책임자(CPO 또는 임원)는 안전성 확보조치 등 대응조치를 실시하게 되고, 유출사고 원인분석 및 재발방지 대책을 수립하게 된다.

또한 개인정보가 유출되었음을 알게 되었을 때에는 서면 등의 방법으로 지체 없이 정보주체에게 알려야 한다. 통지 내용은 유출된 개인정보의 항목, 유출시점과 그 경위, 피해구제절차, 연락처 등이다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다.

1만 명이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면 등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조제1항 각 호의 사항을 7일 이상 게재해야 하며, 조치결과에 대하여는 안전행정부장관 또는 대통령령으로 정하는 전문기관(NIA, KISA)에 신고해야 한다.(피해 확산방지, 피해복구 등을 위한 기술지원)

개인정보 침해사고에 대비하여 ‘침해사고 대응절차도’는 전체 개인정보취급자가 숙지토록 하여, 사고발생 시 신속하고 효율적으로 대응할 수 있는 체계를 구축해야 한다.

▲ 개인정보 유출 표준 통지문

개인정보보호법 시행 이후 줄곧 ‘공공기관 개인정보보호 수준진단’ 평가를 준비하며 개인정보 취급 업무에 약간이나마 도움이 되고자, 개인정보취급자들이 꼭 실천해야 될 사항들에 대하여 정리해 보았다.

▲ 대구도시공사 정환석 개인정보보호 담당

하루에도 수천, 수만 건의 개인정보가 취급되고 있는 공공기관에서의 개인정보취급업무는 그리 쉬운 자리가 아니다. 그렇다고 넋 놓고 있을 수도 없는 자리이다. 고객의 정보를 소중히 처리하고 있다고는 하나 통상적으로 해 오던 일처럼 처리하고 있었다면, 법률 위반으로 징역 5년, 벌금 5천만원을 받게 될 수도 있다.

이렇듯 개인정보 유출은 정부주체에게도 피해를 줄 수 있지만, 개인정보를 취급하는 취급자 자신에게도 엄청난 피해를 줄 수 있다는 것을 명심해야 될 것이다. 아무쪼록, 위 실천사항 7가지에 대해 자기 자신의 업무에 접목시켜 자신은 물론 고객의 소중한 개인정보를 잘 지켜 안전하고 신뢰받는 공공기관이 구현되길 기대한다.

[글_ 정환석 대구도시공사 개인정보보호 담당(ISO27001/PIMS 심사원(보)(xpertstone@hanmail.net)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>