개인정보유출침해 사고 대응
I. 총 칙

제1조(목적)
개인정보 침해사고 발생 시 사고대응 및 처리방법과 이를 위한 사전 준비사항에 대하여 정의함을 목적으로 함

제2조(적용범위)
대학의 개인정보를 취급하는 대학 내부 교직원(계약직 등 비정규직 포함)을 대상으로 함


II. 개인정보 침해사고 대응에 관한 역할

제3조(개인정보보호 책임자)
① 개인정보보호책임자는 개인정보침해사고 예방, 처리 및 재발방지의 총괄 관리를 한다.
② 개인정보보호책임자는 개인정보침해사건 발생 시 침해사고 처리책임자를 지정하고 개인정보침해사고 대응팀을 소집하여 운영한다.

제4조(개인정보 침해사고 대응팀)
개인정보보호 분야별 책임자로 구성되며 개인정보보호책임자가 해당 침해사고 분석, 대응 및 복구에 필요한 관련자를 지정하여 소집한다.(필요시 업무담당자, 외부 전문가 등이 포함될 수 있음)

제5조(침해사고 처리책임자)
해당 침해사고의 발생 부서의 장으로 지정되며 처리 및 재발방지에 대한 책임을 지고 개인정보침해사고 대응팀과 협력하여 사고를 해결한다.

제6조(개인정보보호 담당자)
① 개인정보침해사고를 접수하고 본 지침 제10조의 기준에 따라 등급을 분류하여 침해사고 대응 절차를 개시한다.
② 개인정보침해사고 대응팀의 간사로서 대내외 비상연락망을 관리하고 팀 내 연락 및 조정을 담당한다. [별지 5호 서식] 참조
③ 개인정보침해기록을 관리하고 필요시 관련자 및 기관에 보고한다.

제7조(정보보안 담당자)
정보보안담당자는 침해사고 발생 시 기술적인 분석을 제공한다.

제8조(전직원)
○ 대학의 내부 교직원(계약직 등 비정규직 포함)은 개인정보에 대한 침해가 발생한 것을 인지한 경우, 지체없이 개인정보보호담당자에게 신고하여야 한다.


III. 침해사고 분류

제9조(개인정보 침해 분류)
개인정보 침해사고는 다음과 같이 3등급으로 분류한다.

침해등급 내용 예시
1등급 법적 근거, 규정 또는 본인의 동의 없이 개인정보가 대학 외부의 제3자에게 노출 또는 제공 · 해킹, DDOS, 내부자에 의한 개인정보 유출
· 본인 동의 없이 목적 외 이용 또는 제3자 제공 등
2등급 법적 근거, 규정 또는 본인의 동의 없이 개인정보를 수집, 접근, 분석, 이용, 내부자에게 제공, 저장, 파기 · 개인정보취급 권한이 없는 직원이 개인정보 취급·훼손
· 개인정보 취급자에 의한 개인정보 훼손·침해
· 이용자의 동의 없는 개인정보 수집/이용
· 과도한 개인정보 수집
3등급 안전하지 않은 상태로 개인정보를 저장하거나, 파기해야 할 정보를 파기하지 않는 등 세부지침의 규정 위반 · 주요 개인정보(고유식별번호 등) 암호화 미실시
· 개인정보에 대한 기술적·관리적 조치 미비
· 개인정보 수집 또는 제공받은 목적 달성 후 개인정보 미파기 등


IV. 개인정보 침해 대응 절차

제10조(개인정보침해 예방 및 탐지)
① 개인정보보호담당자는 웹사이트를 통한 개인정보 유출을 예방하기 위하여 개인정보 유출차단 시스템을 운영·관리한다.
② 게시판 등에 자료를 게재할 때 개인정보 유출에 대하여 주의를 환기시키기 위한 경고를 제공하여야 한다.
③ 개인정보보호담당자는 년 1회 웹사이트의 개인정보 노출 취약점 점검을 시행하고 개인정보보호책임자에게 결과를 보고한다.

제11조(개인정보침해 신고)
① 대학 내부직원(계약직 등 비정규직 포함)이 취급하는 개인정보에 대하여 본 지침 제10조에서 정의한 침해가 발생한 것을 인지한 경우 또는 그러한 침해의 발생이 의심되는 경우 지체없이 개인정보보호담당자에게 신고하여야 한다.[별지 3호 서식] 참조
② 개인정보침해사고 발생 시 고의적으로 신고를 누락 한 경우 개인정보보호책임자는 관련자에 대한 처분(징계 등)을 요청 할 수 있다.

제12조(개인정보 침해사고 접수)
① 개인정보보호담당자는 개인정보침해사고를 접수한 경우 [별지 1호 서식] “개인정보 침해사고 관리대장” 에 사고 접수를 기록한다.
② 개인정보보호담당자는 접수 후 지체 없이 개인정보보호책임자에게 보고 한다.

제13조(개인정보 침해사고 대응팀 구성)
① 개인정보보호책임자는 유출 또는 제공된 정보의 종류에 따라, 발생 부서의 분야별책임자를 침해사고 처리책임자로 지정하여 개인정보침해사고 대응팀을 구성한다.
② 발생 부서를 적시할 수 없거나 담당 분야별책임자가 침해사고에 연루된 경우 개인정보보호책임자가 임의로 침해사고 처리책임자를 지정할 수 있다.
③ 개인정보침해사고 대응팀은 분야별책임자 중에서 사안에 따라 선정한다.
④ 2, 3등급 침해의 경우 개인정보보호책임자는 침해사고처리책임자와 협의하여 개인정보침해사고 대응팀을 구성하지 않을 수 있다.
⑤ 개인정보보호책임자는 필요시 외부 전문가에게 분석을 의뢰할 수 있다.

제14조(침해사고 분석)
① 침해사고 처리책임자는 침해 사실 여부를 확인하고 사실로 확인될 경우 침해의 규모, 경위, 방법, 원인 및 관련자를 조사한다.
② 침해사고 처리책임자는 필요한 경우 개인정보침해사고 대응팀 또는 개인정보보호책임자가 승인한 외부 전문가의 지원을 받아 증거자료를 수집한다.

제15조(침해사고 대응 및 복구)
① 1등급의 경우 침해사고 처리책임자는 해당 개인정보를 파기 또는 회수하기 위한 조치를 취한다.
② 2등급의 경우 침해사고 책임자는 해당 개인정보를 파기, 회수 또는 복구하기 위한 조치를 취하거나 정보주체의 사후 동의를 받아 근거를 마련한다.
③ 3등급의 경우 침해사고 처리책임자는 해당 개인정보를 적절히 보호하거나 파기하기 위한 조치를 취한다.
④ 침해사고 처리책임자는 즉각적 조치가 가능한 경우 재발방지 조치를 취한다.

제16조(침해사고 종료)
① 침해사고 처리책임자는 [별지 2호 서식] "개인정보침해사고 처리보고서"를 작성하여 개인정보보호책임자에게 제출한다.
② 개인정보보호책임자는 개인정보침해사고 처리보고서를 검토하고 승인한다.
③ 개인정보보호책임자는 개인정보침해 관련자에 대한 처분(징계 등)을 해당부서에 요청 할 수도 있다.
④ 개인정보보호담당자는 개인정보침해사고 처리보고서를 관리하고 처분(징계 등) 결과를 기록한다.

제17조(침해사고 사후분석)
① 침해사고 처리책임자는 처리보고서 제출 후 30일 이내 근본원인 분석, 교훈 및 예방을 위한 개선대책을 마련하여 개인정보보호 책임자에게 제출한다.
② 개인정보보호책임자는 개선안을 검토하여 시행 및 변경 여부와 시기를 결정한다.
③ 개인정보보호책임자는 필요하다고 판단할 경우 사고의 교훈을 적절한 대상을 지정하여 전파 및 교육을 할 수 있다.
④ 개인정보보호책임자는 개선안 시행, 교훈 전파 및 교육 후 그 성과를 검토한다.


V. 개인정보 침해사고의 관리

제18조(개인정보 유출통지 시기 및 항목)
① 개인정보보호 담당자는 실제로 유출 사고가 발생한 것으로 확인된 때에는 정당한 사유가 없는 한 5일 이내에 해당 정보주체에게 다음 각 호의 사항을 알려야 한다.

1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

② 개인정보보호담당자는 제1항 제2호의 경우 개인정보 유출 사고가 최초 발생한 시점과 알게 된 시점 사이에 시간적 차이가 있는 경우에는 이에 대한 과실유무를 입증하여야 한다.
③ 개인정보보호담당자는 제1항 각 호의 조치를 취한 이후에는 정보주체에게 다음 각 호의 사실만을 일차적으로 알리고, 추후 확인되는 즉시 알릴 수 있다.

1. 정보주체에게 유출이 발생한 사실
2. 제1항의 통지항목 중 확인된 사항

제19조(개인정보 유출통지 방법)
① 개인정보보호담당자는 정보주체에게 제22조제1항 각 호의 사항을 통지할 때에는 서면, 전자우편, 모사전송, 전화, 휴대전화 문자전송 또는 이와 유사한 방법을 통하여 5일 이내에 정보주체에게 알려야 한다.
② 개인정보 보호담당자는 제1항의 통지방법과 동시에, 홈페이지 등을 통하여 제22조제1항 각 호의 사항을 공개할 수 있다.

제20조(개인정보 유출보고 절차)
① 개인정보보호담당자는 정보주체에 관한 개인정보 유출내용 및 조치결과를 5일 이내에 교육부(정보보호화과)에 보고하여야 한다. 다만 1만명 이상의 개인정보가 유출된 경우에는 행정자치부장관 또는 개인정보보호법 시행령 제39조제2항 각 호의 전문기관 중 어느 하나에 신고하여야 한다.
② 제1항에 따른 신고는 [별지 4호 서식] “개인정보 유출신고서”를 작성하여 공문으로 신고하여야 한다.
③ 개인정보 보호담당자는 전자우편, 모사전송 또는 인터넷 사이트를 통하여 유출 보고 또는 신고를 할 시간적 여유가 없거나 그 밖에 특별한 사정이 있는 때에는 먼저 전화를 통하여 제22조제1항 각 호의 사항을 신고한 후, [별지 4호 서식] “개인정보 유출신고서”를 제출할 수 있다.
④ 유출통지는 서면, 전자우편, 팩스, 전화, 문자전송 등의 방법으로 정보주체에게 개별 통지하여야 하며, 1만명 이상 개인정보 유출 시에는 개별 통지와 함께 홈페이지에 유출통지 내용(5개항목)을 7일 이상 게시하여야 합니다.

제21조(개인정보 침해신고자 보호)
① 개인정보침해 신고자의 신분은 침해사고 대응에 반드시 필요한 경우 반드시 필요한 담당자 및 권한자에게만 제공되어야 하며 외부로 노출되어서는 아니 된다.
② 개인정보침해 신고자는 어떠한 경우에도 신고로 인해 불이익을 당하는 경우가 없어야 한다.

제22조(개인정보 침해신고에 대한 대응)
개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해신고센터에 침해사실을 신고한 경우, 해당기관이 사실의 조사·확인을 통해 필요한 조치를 취하므로 사실조사에 적극 협조하여야 한다.

제23조(개인정보 침해구제 절차)
개인정보 침해구제 절차는 다음과 같습니다.
① 개인정보 침해에 대한 신고(☏118, privacy.kisa.or.kr)
② 개인정보침해신고센터의 사실조사(서면, 방문조사 등)
③ 사실조사 결과 통보 및 위법 사실 발견시 조치(수사의뢰, 과태료 등)
④ 손해배상, 침해행위 중지, 재발방지 등에 대한 분쟁조정 (☏118, privacy.kisa.or.kr)
※ 동일 피해를 입은 정보주체가 50명 이상인 경우 집단분쟁조정 신청 가능
⑤ 분쟁조정위원회 자료조사 및 조정안 작성
⑥ 조정안 제시(당사자들이 조정안 수용시 재판상 화해의 효력을 갖음)
⑦ 분쟁조정이 실패할 경우 민사소송 또는 단체소송 제기 가능(관할 지방법원)
※ 단체소송은 권리침해행위의 금지·중지를 구하는 소송

[별지 1호 서식] 개인정보 침해사고 관리대장
[별지 2호 서식] 개인정보 침해사고 처리보고서
[별지 3호 서식] 개인정보 침해사실 신고서
[별지 4호 서식] 개인정보 유출신고(보고)서
[별지 5호 서식] 침해사고 비상연락망