• 이용안내
  • 개인정보처리방침
  • 개인정보 침해사고 대응절차서

개인정보 침해사고 대응절차서

Ⅰ. 개 요

목 적

국제식물검역인증원(이하 인증원) 개인정보 침해사고 대응절차서는 과실 및 오·남용 또는 외부해킹 등으로 내부 개인정보에 대한 침해사고가 발생할 경우, 체계적이고 신속한 대응을 통하여 피해를 최소화하고자 함

적용범위

  • 인증원에서 처리하는 모든 개인정보 및 그 개인정보를 처리하는 개인정보처리자(외부인력 포함)에 의한 침해·유출 사고
  • 개인정보 오·남용 등 내,외부 침해·유출 요인으로 인해 발생한 침해·유출사고

용어 정의

  • “침해”란 법적 근거, 규정 또는 본인 동의에 의하지 않고 이루어지는 개인정보의 수집, 저장, 이용 및 제공, 파기 행위 일체를 말함
  • “개인정보 유출”이란 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 것
    • - 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
    • - 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
    • - 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장매체가 권한이 없는 자에게 잘못 전달된 경우
    • - 기타 권한이 없는 자에게 개인정보가 전달되거나 개인정보처리 시스템 등에 접근 가능하게 된 경우
  • “개인정보 노출”이란 일반 인터넷 이용자가 해킹 등 특별한 방법을 이용하지 않고, 정상적으로 인터넷을 이용하면서 타인의 개인정보를 취득할 수 있도록 인터넷에 방치되어 있는 경우

Ⅱ. 침해사고의 분류

개인정보의 분류

개인정보의 분류 표
등급 조합 수준 개인정보 항목 영향도 설명
1 개인을 식별할 수 있으며, 악용할 경우 위험이 매우 큰 정보 주민등록번호, 여권번호, 외국인등록번호, 운전면허 번호, 신용카드번호, 카드비밀번호, 계좌번호, 아이디, 비밀번호 개인의 신분 및 신상정보에 대해 알 수 있으며, 악용할 경우 위험이 매우 큰 정보
서비스 관련 정보 상담내용, 녹취내용, 위치정보, IP정보, 개인영상정보,시스템(홈페이지) 이용내역 개인의 신분 및 신상정보에 대해 알 수 있으며, 악용할 경우 위험이 매우 큰 정보
2 개인을 식별할 수 있으며, 악용할 경우 위험이 높은 정보 이름, 주소, 전화번호, 핸드폰번호, 이메일주소, 인종, 종교, 병역, 사회단체활동, 보건 등 개인의 신분 및 신상정보에 대해 알 수 있으며, 악용할 경우 위험이 높은 정보
3 개인을 식별할 수 있으며, 악용할 경우 위험이 낮은 정보 이름, 주소, 전화번호, 핸드폰번호, 이메일주소 등 개인의 신분과 신상정보에 대한 추정이 가능하며 노출 시 금액의 피해보상을 요구 받을 수 있는 수준
4 개인을 식별할 수 없으나, 개인을 식별할 수 있는 정보와 같이 노출 시 위험이 높은 정보 인종, 종교, 병역, 사회단체활동, 보건 등 개인의 신분과 신상정보를 파악하기 어려우나 신상정보와 같이 노출 시 매우 민감한 정보
5 정보가치가 낮은 정보 일반정보(개인정보 없음) 아무런 영향을 미치지 않는 수준

개인정보 침해사고의 등급 분류

  • 1급 침해는 개인정보보호법 제17조(개인정보의 제공) 및 제18조(개인정보의 목적 외 이용ㆍ제공 제한)외의 사항에 해당하는 경우에 해당하며 개인정보등급분류에 따른 1급 개인정보가 외부의 제3자에게 제공된 것을 말함
  • 2급 침해는 개인정보등급분류에 따른 1급 개인정보가 법적 근거 없이 내부자에게 전달되어 개인정보를 처리(저장,수정,파기등)하는 것을 말함
  • 3급 침해는 개인정보보호법 제17조 및 제18조 외의 사항에 해당하는 경우에 해당하며 개인정보등급분류에 따른 2급 개인정보가 외부의 제3자에게 제공된 것을 말함
  • 4급 침해는 개인정보등급분류에 따른 2급 개인정보가 법적 근거 없이 내부자에게 전달되어 개인정보를 처리(저장,수정,파기등)하는 것을 말함
  • 5급 침해는 개인정보보호법 제17조 및 제18조 외의 사항에 해당하는 경우에 해당하며 개인정보등급분류에 따른 3급 및 4급 개인정보가 외부의 제3자에게 제공된 것을 말함
  • 6급 침해는 개인정보등급분류에 따른 3급 및 4급 개인정보가 법적 근거 없이 내부자에게 전달되어 개인정보를 처리(저장,수정,파기등)하는 것을 말함
  • 7급 침해는 안전하지 않은 상태로 개인정보를 저장하거나, 파기해야 할 정보를 파기하지 않는 등 개인정보보호법의 규정을 위반한 것을 말함
  • 8급 침해는 개인정보등급분류에 따른 5급에 해당하는 정보가 법적 근거 없이 외부의 제3자에게 제공된 것을 말함

Ⅲ. 침해사고 대응절차

개인정보 침해사고 대응절차

사고인지신고
정보주체,개인정보처리자
개인정보보호 담당자에게 신고
침해사고 사실조사
개인정보 보호 담당자
사실확인,경위조사, 유출신고
개인정보 처리자
긴급조치, 정보주체에게 유출통보
침해사고 처리
개인정보 분야별 책임자(처리자)
사건 조사 분석 후, 피해최소화 대책 마련 및 이행
침해사고 결과보고
개인정보 분야별 책임자(처리자)
처리보고서 작성·보고
개선 및 이행점검
개인정보 보호 책임자
개선이행, 이행점검
가. 침해사고 인지 및 신고
  • 개인정보 침해사고를 인지ㆍ접수한 경우, 개인정보 처리자는 <별지1호>“개인정보침해사실신고서”를 작성하여 개인정보보호 담당자에게 신고하여야 함
  • 개인정보보호 담당자는 침해사고 관련 신고접수 시 개인정보 보호책임자에게 보고
나. 대응팀 구성
  • 침해사고 대응은 개인정보보호 책임자 총괄하에 이루어지며, 경우에 따라 침해부서 및 관련자를 포함한 대응팀을 구성·운영할 수 있음
다. 침해사고 사실조사
  • 침해사실 여부를 확인하고, 사실로 확인될 경우 침해의 규모, 경위, 방법, 원인 및 관련자를 조사함
  • 개인정보처리자는 개인정보가 유출사실을 알게 된 때에는 그로부터 5일 이내에 해당 정보주체에게 다음 항목을 포함한 유출통지문 통보
    구 분 내 용
    통지 내용
    1. 유출된 개인정보의 항목
    2. 유출된 시점과 그 경위
    3. 피해최소화를 위한 정보주체의 조치방법
    4. 기관의 대응조치 및 피해구제 절차
    5. 피해 신고 접수 담당부서 및 연락처

      구체적인 유출내용을 확인하지 못한 경우 먼저 개인정보가 유출된 사실과 확인된 사항만을 먼저 통보, 추후 확인되는 사항을 추가 통보할 수 있음 [별지 제2호 서식] “개인정보 유출 통지문”

    통지 방법
    • 서면, 전자우편, 모사전송, 전화, 문자전송 또는 이와 유사한 방법
    • 1만명 이상의 정보주체의 개인정보 유출시에는 홈페이지에 7일 이상 게재
  • 1만명 이상 정보주체의 개인정보 유출사고 발생 시 관계 법령에 따라 정부기관에 신고해야 함
    신고 기관 한국인터넷진흥원, 한국정보화진흥원
    신고 방법
    • 전자우편, 팩스, 인터넷 사이트를 통해 유출사고 신고 및 신고서 제출
    • [별지 제3호 서식] “개인정보 유출 신고서”
    신고 내용
    • 기관명, 통지여부, 유출 개인정보 항목ㆍ규모, 유출시점ㆍ경위
    • 유출피해 최소화 대책ㆍ조치 및 결과
    • 정보주체가 할 수 있는 피해 최소화방법 및 구제절차
    • 담당부서ㆍ담당자 연락처 등
  • 주요 신고기관 연락처
    주요 신고기관 연락처
    기 관 명 전화번호 전자우편 인터넷사이트
    한국인터넷진흥원(개인정보침해대응팀) 118 118@kisa.or.kr (개인정보보호 종합지원포털)
    한국정보화진흥원(개인정보보호단) 02-2131-0111 privacy@nia.or.kr
라. 침해사고 처리
  • 해당 개인정보를 파기, 회수 또는 복구를 위한 조치를 취함
    ※ 침해사고 등급에 따른 대응조치
    1. 1급, 3급및 5급 침해의 경우, 해당 개인정보를 파기 또는 회수하기 위한 조치를 취함
    2. 2급, 4급 및 6급 침해의 경우, 해당 개인정보를 파기, 회수 또는 복구하기 위한 조치를 취하거나 정보주체의 사후 동의를 받아 근거를 마련
    3. 7급 및 8급 침해의 경우, 해당 개인정보를 적절히 보호하거나 파기하기 위한 조치를 취함
  • 피해최소화를 위해 접속경로 차단, 취약점 점검 및 보완 등 필요한 긴급조치를 이행
  • 향후 침해사고 발생방지를 위한 강화조치 방안 마련(교육, 점검 등)
  • 조사를 통해 법적 위반사항이 있는 경우 관련자 행정처분
마. 침해사고 결과보고
  • 침해사고 처리보고서를 작성하여 개인정보 보호책임자에게 보고
바. 개선 및 이행점검
  • 개인정보 보호책임자는 개선안을 검토하여 시행 및 변경 여부와 시기를 결정
  • 시행된 개선대책에 대해 이행 점검 실시

개인정보 노출 시 대응절차

가. 노출인지 및 통보
  • 홈페이지, 개인정보처리시스템 등 개인정보가 노출된 것을 인지한 경우 개인정보 처리부서(경영지원팀)에 즉시 통보
나. 노출대응
  • 노출된 개인정보 즉시 삭제, 재발방지를 위한 개인정보처리자 주의 조치 및 재발방지 교육 실시
  • 개인정보노출 점검을 위한 필터링시스템 도입 등 안전성 확보조치 마련

주요 업무분장

개인정보 담당 업무분장
담당 부서 세부 업무
개인정보보호
책임자
  • 개인정보 침해사고 대응 총괄
  • 개선안 검토 및 이행 점검
개인정보보호
담당부서
  • 비상대응팀 구성시 운영업무 총괄
  • 개인정보 침해사고 관련 조치사항 지휘 및 감독
    • 사실확인, 경위조사
    • 관련법령에 따른 외부기관 신고
    • 개인정보 유출 관련 위기대응 체계 운영
  • 침해사고 관련 진행사항 개인정보보호 책임자 보고
개인정보
처리부서
  • 침해사고 인지시 개인정보보호 담당자에게 신고
  • 침해사고 사실조사 및 대책 마련 - 긴급조치, 정보주체에게 유출사실 통보 - 사실조사, 분석  - 피해방지 대책 마련 - 향후 사고발생 방지를 위한 강화조치 마련(교육, 점검 등)
  • 침해사고 처리보고서 작성ㆍ보고

Ⅳ. 피해구제

피해구제 안내

정보주체에게 개인정보 침해·유출 피해에 대해 피해구제, 상담 등을 문의할 수 있음을 안내

<예시> 개인정보 주체는 개인정보 침해·유출로 인한 구제를 받기 위해 개인정보침해신고센터, 개인정보분쟁조정위원회 등에 분쟁해결이나 상담 등을 신청할 수 있습니다.

▶ 개인정보침해신고센터(한국인터넷진흥원 운영)
  • 개인정보 침해사실 신고, 상담신청
  • 홈페이지 : privacy.kisa.or.kr
  • 전화 : (국번없이) 118번
  • 주소 : (138-950)서울시 송파구 중대로 135 한국인터넷진흥원 개인정보침해신고센터
▶ 개인정보분쟁조정위원회(한국인터넷진흥원 운영)
  • 개인정보 분쟁조정신청, 집단분쟁조정(민사적 해결)
  • 홈페이지 : privacy.kisa.or.kr
  • 전화 : (국번없이) 118번
  • 주소 : (138-950)서울시 송파구 중대로 135 한국인터넷진흥원 개인정보침해신고센터

인증원이 행한 개인정보 관련 처분 또는 부작위로 인하여 권리 또는 이익을 침해받은 자는 행정심판법이 정하는 바에 행정 심판을 청구할 수 있음을 안내

<예시> 인증원이 행한 개인정보 관련 처분, 피해구제 결과에 만족하지 못하실 경우 아래의 기관에 문의·상담 또는 행정심판을 청구할 수 있습니다.

▶ 행정심판위원회:행정심판 포털 권리누리(www.simpan.go.kr)를 통해 온라인 접수, 방문 또는 우편접수
  • 전화 : 02-360-6793
  • 주소 : (339-012)세종특별자치시 도움5로 20 정부세종청사 7-2동 중앙행정심판위원회
개인정보드신고서등의 별첨파일 다운로드
서식구분 서식명 다운로드
[별지 제1호 서식] 개인정보침해사실 신고서 개인정보침해사실 신고서 한글파일 개인정보침해사실 신고서 PDF파일
[별지 제2호 서식] 개인정보 유출 표준 통지문안(샘플) 개인정보 유출 표준 통지문안(샘플)한글파일 개인정보 유출 표준 통지문안(샘플)PDF파일
[별지 제3호 서식] 개인정보 유출신고서 개인정보 유출신고서 한글파일 개인정보 유출신고서 PDF파일
[별지 제4호 서식] 개인정보침해사고 처리보고서 개인정보침해사고 처리보고서 한글파일 개인정보침해사고 처리보고서 PDF파일
[별지 제5호서식] 개인정보침해사고 관리대장 개인정보침해사고 관리대장 한글파일개인정보침해사고 관리대장 PDF파일

본원:부산광역시 남구 문현금융로 40 부산국제금융센터 903호 국제식물검역인증원

TEL 051-600-8008 당직전화 051-600-8021 FAX 051-600-8080
상단으로