Posted by 고객의 개인정보가 유출되었다는 상상, 생각만 해도 끔찍하다. 사표를 써야할까 싶은데, 그래도 해야할 일은 해야한다. 우리 기업에게는 해당되지 않는 일이기를 바라지만 만일 개인정보 유출사고가 일어난다면, 기업의 개인정보 보호책임자 및 관련 담당자들은 어떤 조치를 취해야 할까?
개인정보의 ‘유출’은 개인정보 보호법 표준 개인정보 보호지침의 제25조에서 아래와 같이 정의하고 있다.
제25조(개인정보의 유출) 개인정보의 유출은 법령이나 개인정보처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 개인정보처리자가 통제를 상실하거나 권한 없는 자의 접근을 허용한 것으로서 다음 각 호의 어느 하나에 해당하는 경우를 말한다.
개인정보 보호법, 표준 개인정보 보호지침, 제25조
1. 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난당한 경우
2. 개인정보가 저장된 데이터베이스 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우
3. 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일 또는 종이문서, 기타 저장 매체가 권한이 없는 자에게 잘못 전달된 경우
4. 기타 권한이 없는 자에게 개인정보가 전달된 경우
지금 우리 회사에 발생한 상황이 지침에서 말하고 있는 ‘유출’에 해당된다면, 담당자는 가장 먼저 우리 회사가 “정보통신서비스 제공자등”에 해당하는지를 확인해봐야 한다. 만약, 우리 기업이 “정보통신서비스 제공자등”에 해당된다면 개인정보 보호법 제39조의4에 따른 조치를 취해야 하고, 그렇지 않다면 개인정보 보호법 제34조에 따른 유출 통지와 신고 등의 조치를 취해야 하기 때문이다.
“정보통신서비스 제공자”와 “정보통신서비스 제공자등”이란?
“정보통신서비스 제공자”는 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다. (정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조)
“정보통신서비스 제공자등”은 정보통신서비스 제공자와 그로부터 개인정보 보호법 제17조제1항에 따라 이용자의 개인정보를 제공받은 자를 의미한다. (개인정보 보호법 제39조의4)
우리 기업이 “정보통신서비스 제공자등”에 해당되지 않는다면, 따라야 하는 절차는 다음과 같다.
가장 먼저 개인정보가 유출되었을 때 해야 할 업무는 정보주체에게 유출된 사실을 통지하는 것이다. 정보주체에게 알릴 때에는 아래의 정보들이 포함되어 있어야 한다.
1. 유출된 개인정보의 항목
2. 유출된 시점과 그 경위
3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4. 개인정보처리자의 대응조치 및 피해 구제절차
5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
이후 그 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하여야 하며, 만약 1천명 이상의 정보주체에 관한 개인정보가 유출되었다면 정보주체에게 통지한 내용과 개인정보 처리자가 취한 조치의 결과를 지체 없이(정당한 사유가 없는 한 5일 이내) 보호위원회 또는 한국인터넷진흥원에 신고하여야 한다. 또한 서면등의 방법과 함께 인터넷 홈페이지에 위 4가지의 내용을 7일 이상 게재하여야 한다.
‘지체 없이’의 의미는? 정당한 사유가 없는 한 5일 이내
다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검·보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 그로부터 5일 이내에 정보주체에게 알릴 수 있다.
개인정보 보호법, 표준 개인정보 보호지침 제26조
또한 개인정보처리자는 개인정보 유출 사고를 인지하지 못해 유출 사고가 발생한 시점으로부터 5일 이내에 해당 정보주체에게 개인정보 유출 통지를 하지 아니한 경우에는 실제 유출 사고를 알게 된 시점을 입증하여야 한다.
하지만 정보주체에게 알리기 전에 긴급하게 유출된 개인정보의 확산 및 추가 유출 방지하기 위한 긴급한 조치가 먼저 필요한 경우에는, 조치를 먼저 취한 후 정보주체에게 알릴 수 있다. 또한 정보주체에게 유출된 사실에 대해 알려야 하는 상황에서 유출된 개인정보의 항목이나 유출된 시점과 그 경위의 구체적인 유출 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출된 사실과 유출이 확인된 사항만을 서면등의 방법으로 먼저 알리고, 나중에 다른 사항들이 확인되면 추가로 알릴 수 있다.
만약 우리 기업이 “정보통신서비스 제공자등”에 해당한다면, 법에서 요구하는 조치가 다르기 때문에 그에 맞는 방법을 취하여야 한다.
정보통신서비스 제공자등의 유출사고 통지와 신고에 관한 내용은 데이터 3법의 개정 이전에는 정보통신망법에 포함되어 있었으나, 2020년 2월 4일 개정 이후 개인정보 보호법으로 통합되어 특례 조항으로 포함되어 있다.(개인정보 보호법 제39조의4)
정보통신 서비스 제공자등은 개인정보의 유출 사실을 안 때에는 지체없이 아래의 다섯 가지의 사항을 해당 이용자에게 통지하고 보호위원회 또는 한국인터넷진흥원에 신고하여야 한다. 이 때 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지ㆍ신고해서는 안된다. 그런데 만약, 사실을 안 때부터 24시간이 경과 후 통지하였다면, 정당한 사유를 보호위원회에 소명해야 한다.
1. 유출등이 된 개인정보 항목
2. 유출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
또한 통지ㆍ신고를 하려고 할 때 구체적인 내용이 확인되지 않았으면 그때까지 확인된 내용과 이용자가 취할 수 있는 조치, 정보통신서비스 제공자등의 대응 조치, 이용자 상담 접수 부서 및 연락처의 사항을 우선적으로 통지ㆍ신고 한 후 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지ㆍ신고해야 한다.
다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 인터넷 홈페이지에 30일 이상 게시하는 것으로 통지를 갈음하는 조치를 취할 수 있다.(만약, 홈페이지 게시가 곤란한 경우에는 전국을 보급지역으로 하는 둘 이상의 일반일간신문에 1회 이상 공고하는 것으로 홈페이지 게시를 갈음할 수 있다.)
위 내용들을 종합했을 때 기업은 개인정보 유출사고가 발생했다면,
1) 우리 기업이 “정보통신서비스 제공자등”에 해당하는지를 파악 후
2) 개인정보 보호법에서 어느 조항(개인정보 보호법 제25조 or 개인정보 보호법 제39조의4)에서 요구하는 조치를 취해야 하는지를 확인하고
3) 이후 필요한 조치들을 지체 없이 취하는 것이 필요하다.
