개인정보보호

개인정보 유출 사고 시 현명하게 대응하는 방법

캐치시큐

2023.11.14 08:00
  • 1616
  • 콘텐츠에 ‘좋아’해줘서 고마워요 -
    0
  • 1

 

안녕하세요, 개인정보보호 규제 준수 서비스 캐치시큐입니다.

최근에 개인정보보호 관련 규제가 강화되면서 개인정보보호에 대한 중요성이 커지고 있습니다.

개인정보 관련 이슈는 국내외를 막론하고 속속히 터지고 있습니다. 요즘에는 개인정보 유출 사고 관련 이슈에 대한 소비자 관심이 높아지면서, 기업들은 고객의 개인정보가 더욱 유출되지 않도록 철저한 예방을 하고 있는데요.

이런 상황 속, 개인정보 유출 사고는 매년 증가하고 있습니다. 만약 우리 회사가 개인정보 유출 사고를 일으킨다면? 적절하지 못한 대응은 오히려 소비자의 신뢰도를 하락 시킬 수 있는데요.

만약 우리 회사에서 개인정보 유출 사고가 일어난다면? 어떤 대응을 해야 하는 지 차근차근 알려드리겠습니다.

 

 

1. 개인정보 유출이란?

 

 

개인정보 유출은 법령이나 개인정보처리자 등 자유로운 의사에 의하지 않고, 정보 주체의 개인정보에 대해 개인정보처리자 등이 통제를 상실하거나 권한이 없는 자의 접근을 허용한 것을 의미합니다.

쉽게 말씀드리면, 개인정보를 수집하고 관리하는 자들의 의사와는 관계없이 다른 사람들에게 정보 주체의 개인정보가 유출된 것을 의미해요.


 

2. 개인정보 유출 사고 발생 시 대응 매뉴얼 및 절차

 

 

사전 대응 매뉴얼 작성 

 

개인정보 유출 사고 발생 시에 즉각적인 대응을 위해 미리 사내에서 개인정보 유출 신속 대응팀을 구성하는 게 좋습니다. 개인정보 유출 신속 대응팀은개인정보 유출 사고 대응 매뉴얼을 작성해, 미리 각 부서의 역할을 작성해야 합니다. 그래서 추가로 발생될 수 있는 개인정보 유출에 대비하는 게 좋습니다.

그렇다면, 개인정보 유출 사고 대응 매뉴얼에는 어떤 내용이 포함되야 할까요? 표준 개인정보보호 지침 제29조 제2항에 따르면 각 항목이 상세히 기재되어 있습니다.


  유출 통지·조회 절차

  영업점·인터넷회선 확충 등 고객 민원 대응조치

  현장 혼잡 최소화 조치

  고객불안 해소조치

  피해자 구제조치

 

개인정보 유출 신속 대응팀은 매뉴얼을 작성한 후에는 임직원에게 이를 공유해야 합니다. 그리고  해당 매뉴얼의 내용을 숙지해 사고 시 언제든지 즉각적으로 대응할 수 있어야 합니다.

 

사후 대응 프로세스

 

유출 사고 대응 프로세스는 총 7단계로 구성되어 있습니다.

 

1단계

개인정보 유출 징후 발견

개인정보 유출에 관한 징후가 발견 되었다면, 발견 즉시 회사내 개인정보보호 관리자에게 신고해야 합니다.

 

2단계. 사고조사

개인정보관리자는 개인정보 유출 징후를 확인 후, 유출 사실이 확인되면 유출 여부, 시기, 원인, 규모 등에 관해서 파악해야 합니다.

3단계. 외부기관 신고

 

 

 

4단계. 사고처리 대응

 

회사는 사고 대응책반을 구성 및 운영해 적절한 대응책을 마련 후, 실행해야 합니다.

5단계. 고객 통보

유출된 사실을 고객에게 피해 유출 사실을 통지해야 합니다.

6단계. 피해 구제

고객 피해 발생 시에는 구제 절차를 수립하고, 이를 고객에게 알려야 합니다.

7단계. 재발 방지

유출된 사실에 대해서 명확히 고객에게 알리고, 재발 방지 단계에서는 향후 회사가 어떻게 재발 방지를 할지 명확한 프로세스를 안내하며, 고객 피해 발생 시에는 구제 절차를 수립하고, 이를 고객에게 알려야 합니다.

 

 

 3. 고객에게 꼭 알려야 하나요?

 

 

만약 개인정보 유출 사고 사실을 고객에게 알리지 않는다면, 어떻게 될까요?

개인정보 유출 대응 프로세스를 확인하면, 유출된 사실을 고객에게 통지해야 한다고 나와 있습니다.

개인정보 보호법 제34조 제1(개인정보 유출 통지 등)에 의해 개인정보처리자는 개인정보가 유출되었음을 알게 될 때에는 지체 없이 해당 정보 주체에게 해당 사실을 알려야 합니다.

 

  유출된 개인정보의 항목

  유출된 시점과 경위

  유출로 인하여 발생할 수 있는 피해를 최소화하기 위해 정보주체가 할 수 있는 방법 등에 관한 정보

  피해를 최소화하기 위해 정보 주체가 할 수 있는 방법

 


4. 개인정보 유출 사고 사례

 

 

온라인 이벤트를 진행할 때에는 마케터 사이에서 주로 구글폼이나 네이버폼 등을 사용하는데요. 꼭 온라인 이벤트가 아니어도 개인정보를 수집할 때에는 해당 설문조사 폼을 보편적으로 사용하고 있습니다.

구글폼과 네이버폼을 사용하는 것은 문제가 되지 않습니다. 다만 개인정보 규제를 모르고 사용했다가 실수로 과징금이나 과태료를 받는 경우가 있습니다.

 

 

 

지난 해에는 한 연예 기획사가 회원권 환불을 위해 구글 폼을 활용한 적이 있었습니다. 이때 설문 결과의 접근 권한을 '링크가 있는 모든 사용자'로 설정했는데, 이 설정은 설문 결과를 누구나 볼 수 있도록 공개되었습니다.

결과적으로 구글 폼을 통해 개인정보를 제출한 사람들의 정보가 불특정 다수에게 공개되었고, 이 사건은 개인정보 유출에 해당하여 해당 연예 기획사는 과태료 처분을 받았습니다.

또 다른 기업은 개인정보처리시스템에 대한 접근 권한을 제한하지 않고, 악성 코드 파일이 업로드되고 실행되도록 하는 등 접근 통제를 소홀히 한 적이 있습니다. 이에 해당 기업은 과징금 4 6457만원과 과태료 720만원을 부과받아 회사 브랜드 이미지가 악화되었고, 불필요한 지출이 발생했습니다.

 

 

5. 마치며

 

개인정보는 마케팅 외에도 다양한 분야와 상호작용합니다. 개인정보 유출 사고를 야기할 경우 브랜드 이미지에 부정적 영향을 미칠 수 있습니다. 또한, 과태료와 과징금을 납부해야 하므로 불필요한 지출이 발생하기도 합니다. 심지어는 개인정보 유출 사고 시에는 대응을 위해 본 업무에 집중하지 못할 수도 있습니다.

개인정보 유출 사고는 기업에서 결코 발생해서는 안됩니다. 그러나 담당자의 실수로 개인정보 유출 사고가 발생한 경우, 이에 대한 대응도 중요합니다.

최근에는 고객이 회사를 바라보는 기준이 엄격해지고 있습니다. 개인 정보도 그 중 하나인데요.

회사는 유출 사고가 발생하면 해당 사실을 급하게 숨기는 것보다는 체계적인 절차를 통해 명확하게

해당 사실을 고객에게 알리고, 이후 재발 방지 대책을 철저히 세우는 것이 오히려 우리 회사 브랜드

이미지에 긍정적 영향을 미칠 것입니다.



 

  • #개인정보
  • #개인정보보호
  • #개인정보유출