개인정보침해 및 유출 대응 시행세칙
시행 : 2024.04.05.
본 시행세칙은 경희대학교(이하 "본교"라 한다) 「개인정보 내부관리계획」에 의거하여 개인정보침해 및 유출 발생 시 사고대응 및 처리방법과 이를 위한 사전 준비사항을 정의함을 목적으로 한다.
본 시행세칙은 「개인정보 보호법」 및 「개인정보 보호법 시행령」ㆍ 「개인정보 처리 방법에 관한 고시」, 「표준 개인정보 보호지침」과 같은 관련 고시 및 지침에 근거한다.
본 시행세칙에서 사용되는 용어의 정의는 본교「개인정보 내부관리계획」과 세부절차의 정의를 따른다.
본 시행세칙은 해킹, 분실, 도난 등으로 인해 개인정보가 내·외부자에 의하여 유출된 경우에 적용된다.
① 개인정보보호책임자는 개인정보침해 및 유출 예방, 처리 및 재발방지의 총괄 관리 책임을 진다.
② 개인정보보호책임자는 개인정보침해 및 유출 발생 시 개인정보침해 및 유출 처리책임자를 지정하고 개인정보침해 및 유출 대응팀을 소집하여 운영한다.
① 개인정보보호조직의 구성원으로 구성되며 개인정보보호책임자가 해당 개인정보침해 및 유출 분석, 대응 및 복구에 필요한 관련자를 지정하여 소집한다. 필요시 업무담당자, 개인정보보호 담당자, 대변인, 외부 전문가 등이 포함될 수 있다.
② 대변인은 개인정보침해 및 유출 대응팀의 입장을 공식적으로 전달하는 역할을 하며, 필요시 개인정보보호책임자가 본교 구성원으로 지정한다.
③ 개인정보침해 및 유출 대응팀은 감사행정원에 법률자문을 구할 수 있다.
④ 본교 개인정보침해 및 유출 대응팀은 [별표3] 개인정보침해 및 유출 대응 업무수행 체계와 같이 구성하여 운영한다.
조항
|
제7조 (개인정보침해 및 유출 처리책임자) |
해당 개인정보침해 및 유출 발생 부서의 부서장으로 지정되며 처리 및 재발방지에 대한 책임을 지고 개인정보침해 및 유출 대응팀과 협력하여 사고를 해결한다.
① 개인정보침해 및 유출 신고를 접수하고 본 시행세칙 제10조의 기준에 따라 등급을 분류하여 개인정보침해 및 유출 대응 절차를 개시한다.
② 개인정보침해 및 유출 대응팀의 간사로서 대내외 비상연락망을 관리하고 팀 내 연락 및 조정을 담당한다.
③ 개인정보침해 및 유출 기록을 관리하고 필요시 관련자 및 기관에 보고한다.
④ 필요 시 정보보안에 대한 기술적인 분석을 담당한다.
본교 소속 내부직원(계약직 등 비정규직 포함)은 개인정보에 대한 침해 또는 유출사고가 발생한 것을 인지한 경우, 지체없이 개인정보보호 담당자에게 신고하여야 한다.
조항
|
제10조 (개인정보침해 및 유출의 분류) |
개인정보침해 및 유출은 다음과 같이 3등급으로 분류한다.
1. 1등급 침해는 법적 근거, 규정 또는 본인의 동의 없이 개인정보가 본교 외부의 제3자에게 노출 또는 제공된 것을 말한다.
2. 2등급 침해는 법적 근거, 규정 또는 본인의 동의 없이 개인정보를 수집, 접근, 분석, 이용, 내부자에게 제공, 저장, 파기하는 것을 말한다.
3. 3등급 침해는 안전하지 않은 상태로 개인정보를 저장하거나, 파기해야 할 정보를 파기하지 않는 등 세부시행세칙의 규정을 위반한 것을 말한다.
<표1>
침해등급 | 예시 | 비고 |
1등급 | 해킹, 탈취 등에 의한 개인정보 외부 유출 등 | |
2등급 | 개인정보취급 권한이 없는 교직원이 개인정보를 취급하는 경우, 개인정보 수집시 동의없이 개인정보를 수집·이용 하는 경우 등 | |
3등급 | 주요 개인정보(고유식별번호 등) 암호화 미실시, 개인정보 보유목적 달성 후 미파기, 정보주체 권리행사 대응 미비 등 | |
조항
|
제11조 (개인정보침해 및 유출 예방 및 탐지) |
① 개인정보보호 담당자는 웹사이트를 통한 개인정보 노출을 예방하기 위하여 개인정보 노출차단 솔루션을 운영하고 월별 현황을 관리한다.
② 개인정보보호 담당자는 분기별로 웹페이지, 붙임파일, 소스코드 및 외부 검색엔진 상의 노출을 점검하고 분기별 현황을 관리한다.
③ 구성원(또는 외부인)이 게시판 등에 자료를 게재할 때 개인정보 노출에 대하여 주의를 환기시키기 위한 경고를 제공하여야 한다.
④ 개인정보보호 담당자는 연 1회 보안취약점 점검을 시행하고 개인정보보호책임자에게 결과를 보고한다.
조항
|
제12조 (개인정보침해 및 유출의 신고) |
본교의 내부직원(계약직 등 비정규직 포함)이 취급하는 개인정보에 대하여 본 시행세칙 제10조에서 정의한 개인정보침해 및 유출이 발생한 것을 인지한 경우 또는 그러한 침해의 발생이 의심되는 경우 지체없이 본교 개인정보보호 담당자에게 알린 후 개인정보침해 업무를 담당하는 정부기관에 신고하여야 한다.
(예 : KISA "개인정보침해신고센터" (privacy.kisa.or.kr) 등)
조항
|
제13조 (개인정보침해 및 유출의 접수) |
① 개인정보보호 담당자는 개인정보침해 및 유출을 접수한 경우 [붙임1] "개인정보침해 및 유출 관리대장" 에 사고 접수를 기록한다.
② 개인정보보호 담당자는 접수 후 지체 없이 개인정보보호책임자에게 보고 한다.
③ 개인정보보호 담당자는 개인정보 침해 및 유출사고에 대한 긴급조치가 가능한 경우 지체없이 피해 최소화를 위해 다음 각 호의 조치를 수행한다.
1. 인터넷 홈페이지를 통해 개인정보가 유출된 경우 삭제조치 또는 삭제 요청
2. 오프라인 서류 및 보조저장매체 등이 분실된 경우 조사 및 회수 조치
3. 해킹 등으로 시스템이 탈취되어 개인정보가 유출된 경우 관련 네트워크 경로 차단, 시스템 일시 중지 등의 조치
조항
|
제14조 (개인정보침해 및 유출 대응체계) |
① 개인정보보호책임자는 노출 또는 제공된 정보의 종류에 따라, 발생 부서의 부서장으로 개인정보침해 및 유출 처리책임자를 지정하고 개인정보침해 및 유출 대응팀을 구성한다.
② 발생 부서를 적시할 수 없거나 발생 부서의 부서장이 개인정보침해 및 유출에 연루된 경우 개인정보보호책임자가 임의로 개인정보침해 및 유출 처리책임자를 지정할 수 있다.
③ 2등급 또는 3등급 개인정보침해 및 유출의 경우 개인정보보호책임자는 개인정보침해 및 유출 처리책임자와 협의하여 개인정보침해 및 유출 대응팀을 구성하지 않을 수 있다.
④ 개인정보보호책임자는 필요시 외부 전문가에게 분석을 의뢰할 수 있고 개인정보 유출 인원 등을 확인하여 [별표4] 개인정보 유출 통지방법에 따라 지체 없이 대상자에게 통지한다.
⑤ 개인정보침해 및 유출 대응팀은 필요 시 [별표7] 민원대응 조치에 따라 민원대응팀과 같이 대외적 접촉을 위한 창구를 별도로 마련하여 외부로부터의 개인정보침해 및 유출 관련 질문에 대응 할 수 있다.
⑥ 개인정보침해 및 유출 대응팀은 정보주체의 2차 피해 및 불안 해소를 위한 내용을 개인정보 유출 통지에 포함하여 안내할 수 있다.
⑦ 1천명 이상의 개인정보가 유출된 경우, 민감정보 또는 고유식별정보가 유출된 경우, 개인정보처리시스템 또는 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 대한 외부로부터의 불법적인 접근에 의해 개인정보가 유출 등이 된 경우에는 개인정보 침해 통지 및 조치 결과를 지체 없이 개인정보침해 업무를 담당하는 개인정보보호위원회 및 한국인터넷진흥원(KISA)와 같은 전문기관에 신고하여야 한다. 다만, 1건의 개인정보라도 유출된 경우에도 교육부 정보보호팀에 신고하여야 한다.
⑧ 제7항에 따른 유출 신고는 개인정보보호위원회(한국인터넷진흥원 위탁 운영)의 개인정보보호 포털 내 개인정보 유출신고 방법에 따른다.
⑨ 개인정보가 분실·도난·유출되었음을 알게 되었을 때에는 [별표4] 개인정보 유출 통지방법을 참고하여 서면등의 방법으로 72시간 이내에 정보주체에게 알려야 하며 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 정보주체가 쉽게 알 수 있도록 본교 홈페이지에 30일 이상 게시하도록 한다.
조항
|
제15조 (개인정보침해 및 유출의 분석) |
① 개인정보침해 및 유출 처리책임자는 침해 사실 여부를 확인하고 사실로 확인될 경우 침해의 규모, 경위, 방법, 원인 및 관련자를 조사한다.
② 개인정보침해 및 유출 처리책임자는 필요한 경우 개인정보침해 및 유출 대응팀 또는 개인정보보호책임자가 승인한 외부 전문가의 지원을 받아 증거자료를 수집한다.
조항
|
제16조 (개인정보침해·유출의 대응 및 복구) |
① 1등급 개인정보침해 및 유출의 경우 개인정보침해 및 유출 처리책임자는 해당 개인정보를 파기 또는 회수하기 위한 조치를 취한다.
② 2등급 개인정보침해의 경우 개인정보침해 및 유출 책임자는 해당 개인정보를 파기, 회수 또는 복구하기 위한 조치를 취하거나 정보주체의 사후 동의를 받아 근거를 마련한다.
③ 3등급 개인정보침해의 경우 개인정보침해 및 유출 처리책임자는 해당 개인정보를 적절히 보호하거나 파기하기 위한 조치를 취한다.
④ 개인정보침해 및 유출 처리책임자는 즉각적 조치가 가능한 경우 재발방지 조치를 취한다.
조항
|
제17조 (개인정보침해 및 유출의 종료) |
① 개인정보침해 및 유출 처리책임자는 [붙임2] 개인정보침해 및 유출 처리보고서를 작성하여 개인정보보호책임자에게 제출한다.
② 개인정보보호책임자는 개인정보침해 및 유출 처리보고서를 검토하고 승인한다.
③ 개인정보보호책임자는 개인정보침해 및 유출 관련자에 대한 처분(징계 등)을 해당부서에 요청할 수 있다.
④ 개인정보보호 담당자는 개인정보침해 및 유출 처리보고서를 관리하고 처분(징계 등) 결과를 기록한다.
조항
|
제18조 (개인정보침해 및 유출 사후분석) |
① 개인정보침해 및 유출 처리책임자는 처리보고서 제출 후 30일 이내 근본원인 분석, 교훈 및 예방을 위한 개선대책을 마련하여 개인정보보호책임자에게 제출한다.
② 개인정보보호책임자는 개선안을 검토하여 시행 및 변경 여부와 시기를 결정한다.
③ 개인정보보호책임자는 필요하다고 판단할 경우 사고의 교훈을 적절한 대상을 지정하여 전파 및 교육을 할 수 있다.
④ 개인정보보호책임자는 개선안 시행, 교훈 전파 및 교육 후 그 성과를 검토한다.
조항
|
제19조 (개인정보침해 및 유출의 보고) |
① 개인정보보호책임자는 1등급 개인정보침해 및 유출의 경우 발생 즉시 및 수시로 그 진행 현황을 총장에게 보고한다.
② 개인정보보호 담당자는 연간 등급별ㆍ유형별 개인정보침해 및 유출 발생 및 처리현황을 개인정보보호책임자에게 보고한다.
조항
|
제20조 (개인정보침해 및 유출의 현황 관리) |
개인정보보호책임자는 개인정보침해 및 유출 현황을 분석하여 추가적인 개선대책이 필요한 경우 개선 대책을 마련하여 시행한다. 개선 대책에는 교육자료 활용 등을 포함할 수 있다.
조항
|
제21조 (개인정보침해 및 유출 교육훈련) |
① 개인정보 보호책임자는 연간 개인정보보호 교육 시 개인정보침해 및 유출사고 관련 내용이 포함되도록 한다.
② 제1항에 따른 교육은 [별표1] 개인정보침해 및 유출 모의시나리오를 활용할 수 있다.
조항
|
제22조 (개인정보침해 및 유출 신고자의 보호) |
① 개인정보침해 및 유출 신고자의 신분은 개인정보침해 및 유출 대응에 필요한 경우 반드시 필요한 담당자 및 권한자에게만 제공되어야 하며 외부로 노출되어서는 아니 된다.
② 개인정보침해 및 유출 신고자는 어떠한 경우에도 신고로 인해 불이익을 당하는 경우가 없어야 한다.
조항
|
제23조 (개인정보침해 및 유출 당사자에게 통보) |
개인정보침해 및 유출 처리책임자가 개인정보 유출사실을 인지하였을 경우 지체 없이 해당 정보주체에게 관련 사실을 통지한다.
부 칙
본 시행세칙은 2019년 3월 28일부터 시행한다.
부 칙
본 시행세칙은 2021년 7월 13일부터 시행한다.
부 칙
본 시행세칙은 2023년 05월 31일부터 시행한다.
부 칙
본 시행세칙은 2024년 04월 05일부터 시행한다.
[별표/서식 파일]
※ gif 파일은 미리보기 파일입니다.
미리보기 시, 해당 별표/서식의 첫 번째 페이지만 보입니다.
전문은 다운로드를 통해 확인하실 수 있습니다.
별지서식다운로드
[붙임1] 개인정보침해 및 유출 관리대장.hwp
|
|
별지서식다운로드
[붙임2] 개인정보침해 및 유출 처리보고서.hwp
|
|
별지서식다운로드
[붙임3] 개인정보침해 및 유출사실 신고서.hwp
|
|
별지서식다운로드
[별표1] 개인정보침해 및 유출 모의시나리오.hwp
|
|
별지서식다운로드
[별표2] 개인정보침해 및 유출 단계별 세부 프로세스 .hwp
|
|
별지서식다운로드
[별표3] 개인정보침해 및 유출 대응 업무수행 체계.hwp
|
|
별지서식다운로드
[별표4] 개인정보 유출 통지방법.hwp
|
|
별지서식다운로드
[별표5] 개인정보 유출 표준 통지문안(예시).hwp
|
|
별지서식다운로드
[별표6] 개인정보 유출 신고기관 연락처.hwp
|
|
별지서식다운로드
[별표7] 민원대응 조치.hwp
|
|